¿Qué necesitas? Productos de Inversión Asesoría Personalizada
Acceso clientes
Renta 4 Chile Renta 4 Chile
Ideas de inversión

El principal riesgo es cibernético

Consejero Director General

 

En las últimas semanas, la presidenta de la Comisión Europea, Ursula Von der Leyen, ha mencionado que Europa se encuentra en un "estado de preguerra". Hoy en día la guerra no es solo guerra cinética, con armamento militar, sino también guerra cibernética.

La tecnología está cambiando el mundo en todos sus aspectos, incluso en la forma en la que se combate en el campo de batalla. En la guerra de Ucrania se ha puesto de manifiesto el daño que puede causar un dron, cuyo coste es de apenas algunos miles de euros, a instalaciones o a carros de combate, cuyo coste es miles de veces superior. Tanto las defensas de cada contendiente como la planificación de inversiones en defensa nacional cambian radicalmente por la aparición de los drones en el campo de batalla.

Igualmente, la Inteligencia Artificial (IA) está cambiando de forma acelerada los planes de ciberseguridad de empresas y estados. En abril de este año Anthropic presentó Claude Mythos, un modelo de IA con la capacidad de encontrar vulnerabilidades en navegadores y sistemas operativos no conocida hasta ahora. Realmente, este modelo presenta unas características de ciberseguridad que no fueron programadas sino que surgieron como un subproducto del propio modelo. Mythos es capaz de combinar fallos menores detectados para crear vulnerabilidades severas en los sistemas que analiza. Ya ha detectado miles de vulnerabilidades de alta gravedad que, en ocasiones, han pasado desapercibidas durante décadas. A modo de ejemplo, Mythos detectó 271 fallos graves en el código del navegador Firefox que antes habían pasado desapercibidos.

Uno de los principales riesgos de este modelo de IA radica en que puede ser utilizado para generar ciberataques rápidos y sofisticados hasta ahora impensables. Podría llegar a provocar fallos en las infraestructuras esenciales de un país como redes eléctricas, centrales nucleares, depuradoras de agua, puertos, aeropuertos, hospitales o el sistema financiero.

El modelo es tan potente y tan peligroso en las manos no adecuadas que Anthropic ha decidido no ofrecerlo de forma abierta, sino compartirlo con 40 organizaciones que proporcionan tecnología utilizada en el mantenimiento de infraestructuras críticas. Entre estas empresas se encuentran Amazon, Apple, Microsoft y los cinco grandes bancos de Estados Unidos, además del Gobierno estadounidense.

El acceso a Mythos por parte de estas compañías les permite detectar las vulnerabilidades de sus sistemas y solventar los fallos de seguridad antes de que los ciberdelincuentes utilicen la herramienta. Europa se encuentra en una situación de extrema debilidad y dependencia en cuanto a la defensa frente a este riesgo. Por ello, distintos organismos europeos, entre ellos el BCE, han exigido a Anthropic el acceso a Mythos.

Si Mythos cayera en manos de ciberdelincuentes o de países hostiles, podría poner en grave riesgo a las infraestructuras críticas, a la infraestructura económica y financiera y a la generalidad de las empresas que no hayan podido hacer uso de la herramienta para detectar y subsanar sus propias vulnerabilidades. Según se va ampliando su uso, es solo cuestión de tiempo que Mythos, o algún modelo incluso más potente, caiga en las manos no adecuadas.

Al margen del caso de Mythos, es evidente que estamos en una carrera de desarrollo de la IA que puede llevar a resultados no deseados. Anthropic es una empresa privada que, afortunadamente, ha considerado conveniente no ofrecer abiertamente su modelo Claude Mythos. Otra empresa podría haber actuado de otro modo, dando libre acceso al modelo, provocando un elevadísimo riesgo de ciberataques a empresas y a infraestructuras esenciales de países enteros.

Mythos es capaz de detectar vulnerabilidades que ningún sistema anterior había sido capaz de detectar. Con el desarrollo exponencial de las capacidades de la IA, en no mucho tiempo aparecerá un nuevo modelo de IA que supere con creces las capacidades de Mythos.

Adicionalmente, y con la creciente tensión geopolítica de bloques, estos desarrollos de modelos de IA pueden ser utilizados por determinados países para detectar las vulnerabilidades de los sistemas y las infraestructuras de otros países y empresas considerados potenciales adversarios.

La Administración Trump espera lanzar en las próximas semanas una orden ejecutiva recomendando, no obligando, a las empresas de IA mostrar a la Administración sus nuevos modelos avanzados de IA 90 días antes de lanzarlos al mercado. Este periodo permitiría al Gobierno estadounidense valorar los riesgos y avisar a los proveedores de infraestructuras críticas para que solventaran posibles vulnerabilidades.

Así como existe un Tratado de no proliferación de armas nucleares (TNP), aunque se encuentre en horas bajas, no existe ningún acuerdo internacional que regule o limite el desarrollo de la IA. Las armas nucleares son físicamente difíciles de construir y los materiales que se necesitan son escasos y rastreables. Además, la infraestructura necesaria para la construcción de las armas nucleares es detectable desde satélites. Por el contrario, los modelos de IA son solamente código y el desarrollo de modelos como Mythos es difícilmente detectable.

La parte positiva del lanzamiento de Mythos por parte de Anthropic es que se ha puesto de manifiesto la existencia de un riesgo hasta ahora minusvalorado, sin que se haya producido ningún ciberataque de magnitud con éxito sobre infraestructuras esenciales. La inversión en ciberseguridad por parte de empresas y estados se convierte en una urgente obligación. Será una partida creciente. De todos los riesgos existentes, el riesgo cibernético probablemente sea el mayor de todos.