por Thomas P. Vartanian
A medida que avanzan la IA, el metaverso y la computación cuántica, la ciberseguridad se convertirá en un tema cada vez más complejo.
• • •
Funcionarios del gobierno en el EE. UU.. y el REINO UNIDO recientemente dio la vuelta de la victoria tras reportar una reducción del 15% en los ataques de ransomware. Irónicamente, ya que ambos gobiernos emitieron comunicados de prensa y tout ed sus logros, estaba en marcha un ataque mundial de ransomware por parte de un supuesto grupo de hackers rusos y chinos. Los ataques infectaron a un 5000 víctimas en Europa y EE. UU. con el ransomware, lo que demuestra la naturaleza de dos pasos adelante y un paso atrás de la lucha contra el ciberterrorismo.
Hace algunos años, el CEO de una importante institución financiera me llamó después de que su empresa sufriera un ataque en Internet. Cuando llegué a su oficina, es probable que los datos de los clientes ya circularan en la dark web. Como abogado de la empresa, necesitaba determinar no solo qué había ocurrido, sino qué (y cuándo) podíamos decírselo a los reguladores y a los clientes. Se pensaba que el acceso a los servidores de la empresa había sido penetrado a través de un proveedor de servicios externo. Cuando entrevistamos a ese proveedor, nos enteramos de que había obtenido el hardware y el software de otros terceros que dependían de otras partes (algunas en países extranjeros), muchas de las cuales mostraron un modesto sentido de la responsabilidad, en el mejor de los casos, por lo ocurrido.
En ese momento, empecé a apreciar los falibilidades de un Internet que no se había creado para proteger todos los datos y el valor del planeta. También fue entonces cuando me di cuenta de lo difícil que es asignar la responsabilidad por los hackeos, sobre todo teniendo en cuenta el número de partes en la cadena y los errores que los humanos inevitablemente cometen en el proceso.
Dado que la frecuencia de las principales infracciones relacionadas con ransomware y ciberataques bien documentados a un panteón de agencias gubernamentales y empresas sigue sin disminuir, se plantea una pregunta clave para los ejecutivos de negocios: ¿cómo se enfrenta a un futuro virtual que puede contener más amenazas que beneficios?
Las amenazas son numerosas. En los EE. UU., los ordenadores de uno de cada tres hogares han sido infectado con software malintencionado y la información personal del 47% de los adultos estadounidenses ha estado expuesta a ciberdelincuentes. Quizás ninguna estadística diga más fuerte que la conclusión del gobierno de que cada día se hackean 600 000 cuentas de Facebook en los EE. UU.. Debemos esperar que estas cifras continúen e incluso aumenten. Entonces, ¿quién va a pagar esto?
La de la administración Biden Estrategia nacional de ciberseguridad, publicado el 2 de marzo de 2023, intenta responder a esa pregunta. En parte, propone que la manera de superar las deficiencias estructurales de Internet es «correr más rápido»: básicamente, adelantarse a los ciberdelincuentes e imponer una mayor participación del gobierno en la ciberregulación. Eso no ha funcionado ni funcionará. Esto propone imponer sanciones de responsabilidad más estrictas por las infracciones en el sector privado a fin de modificar los incentivos económicos que recompensan a ser los primeros y no penalizar a quienes buscan beneficios e ignoran las normas de seguridad. Incluso si esa responsabilidad se impusiera inicialmente a los proveedores de software, no cabe duda de que se extenderá a las empresas de usuarios intermedios y finales. De eso, podemos estar seguros.
Hacer frente a este nuevo mundo de ciberamenazas se hará aún más complejo a medida que se desarrollen los próximos grandes avances digitales. Por ejemplo, 100 millones de usuarios descargó ChatGPT en solo dos meses para escribir ensayos, investigar y despertar su curiosidad, sin entender los riesgos que implica. Las tecnologías 5G unirán la omnipresente conectividad de persona a persona, máquina a máquina y de persona a máquina, lo que permitirá un Internet de las cosas (IoT) sin problemas. Ese IoT conectará a las personas, las mascotas, los electrodomésticos y las herramientas industriales y las hará más capaces de funcionar, comunicarse, grabar, monitorear, ajustar e interactuar con una mínima intervención humana. La eficiencia empresarial de estas nuevas herramientas será enorme, pero también lo serán los riesgos. La conexión de productos, personas, transmisores portátiles y máquinas creará bases de datos nuevas y más grandes de las que se podrá almacenar, analizar, utilizar y abusar. Todo lo que esté conectado se puede hackear y todo se conectará.
Y luego está la computación cuántica, que amenaza con hacer que la tecnología actual que utilizamos para proteger los datos y el dinero quede obsoleta. Los informáticos estiman que el cifrado RSA de 2.048 bits que se utiliza actualmente para proteger los datos podría funcionar en los superordenadores actuales Quedan 300 billones de años. En comparación, los 4.099 ordenadores cúbits de un futuro próximo podrán descifrar el mismo código en 10 segundos. Los expertos en la materia esperan desarrollar un ordenador cuántico con 1000 cúbits en los próximos años, lo que nos permitirá proteger mejor o desmantelar aún más todos los sistemas de seguridad digital que existen en la actualidad. Que la computación cuántica sea, en última instancia, una amenaza o una mejora notable de la condición humana depende de quién llegue primero y de lo que haga con ella. No por casualidad, China planea llegar primero y está gastando y superando rápidamente a los Estados Unidos en sus esfuerzos por hacerlo.
Por último, está el metaverso, la próxima generación de Internet que aumentará las apuestas y la dificultad de proteger el entorno en línea al difuminar aún más las líneas entre la conciencia humana y la de las máquinas.
Los gobiernos son incapaces de solucionar la inseguridad de Internet por sí solos, y es poco probable que las empresas lo hagan hasta que el problema económico de ignorar la inseguridad sea mayor que los beneficios que pueden obtener con ello. No hay soluciones mágicas más allá de reestructurar Internet para confiar más en las nuevas redes privadas seguras, especialmente para el funcionamiento de infraestructuras críticas. Eso requerirá que las empresas, los gobiernos y los usuarios de los países democráticos actúen juntos para transformar Internet en redes que se basen en la autenticación de las personas en lugar de en las direcciones IP, impongan normas estrictas de comportamiento en Internet y mantengan a la ciberpolicía (humana o mecánica) para hacerlas cumplir.
No será una tarea fácil ni popular, pero la alternativa al caos cibernético y la posible desaparición de la electricidad, el dinero y los servicios de salud es claramente inaceptable. Un nuevo Internet también requerirá una nueva forma de supervisión, en lugar del estilo de policías y ladrones que hemos tenido. Esta nueva ola de regulación exigirá una forma de supervisión más descentralizada y colegiada en la que los sectores público y privado trabajen juntos para compartir datos y crear un consenso político. Todo esto llevará tiempo y líderes fuertes para lograrlo. Parece que no tenemos mucho de ninguno de los dos en este momento.
_