El vigués Francisco Lázaro es experto de ciberseguridad de Renfe y alerta de los riesgos de la inteligencia artificial
08 jun 2023 . Actualizado a las 05:00 h.Francisco Lázaro Anguís (Vigo, 61 años) es responsable de ciberseguridad y delegado de protección de datos. Es profesor asociado en la ETSI de Telecomunicaciones de la Universidad Politécnica de Madrid, donde se graduó, miembro de la ejecutiva de ISMS (asociación de profesionales de ciberseguridad) y coordinador de grupos de trabajo como el de Internet e Inteligencia de las Cosas en el ISMS Forum. Inició su carrera en el grupo Telefónica y ahora dirige la Gerencia de las Áreas de Ciberseguridad y Privacidad de Renfe. Este vigués pertenece al Foro Nacional de Seguridad, grupo de trabajo dirigido por el Departamento de Seguridad Nacional, para el desarrollo de la Estrategia Nacional de Ciberseguridad. Resalta que las universidades gallegas crearon en marzo un marco ético y normativo de la inteligencia artificial (IA) y cita al centro de nueva creación de ciberseguridad ferroviaria de Monforte de Lemos, prueba de que se precisan profesionales en esta rama.
—¿En qué trabaja usted en la IA?
—En las implicaciones que tiene la IA tanto en ciberseguridad como en la protección de los datos de carácter personal. Por ejemplo, en los requerimientos que sobre ambas materias deben establecerse desde las fases más iniciales para todo nuevo producto o servicio que vaya a utilizar la IA, así como en la protección contra el uso que terceros maliciosos (ciberdelincuentes) pueden hacer para llevar a cabo ciberataques y en qué puede ayudar la IA a la ciberseguridad.
—¿Hay preocupación?
—No es una locura que tratemos con respeto y prudencia y dediquemos tiempo y esfuerzo a identificar los riesgos y los controles de seguridad que debemos aplicar a una tecnología tan potente, poderosa e inmadura como la IA y en la que la sociedad deposita tantas expectativas.
—¿Cuáles son los riesgos?
—Hay riesgos legales, de confidencialidad en las empresas y de calidad. Acabamos de oír al creador de ChatGPT alertar que el riesgo de extinción de la raza humana por la IA es tan severo como el de una guerra nuclear. Nos avisa del enorme riesgo de una tecnología que él mismo está ayudando a crear y de la que se está beneficiando económicamente y sobre la que miles de expertos han manifestado que es necesario hacer una pausa en su desarrollo para afrontar los retos de seguridad. El marco general es peligroso por la carencia de legislación y por la ausencia de acciones coordinadas entre países.
—¿Cómo puede dañar la IA?
—La IA usada con fines dañinos genera mensajes simulados totalmente creíbles para engañar a las personas y que estos mensajes y textos pueden ser usados en phishing o facturas y documentación de empresas para provocar fraude o bien construir como si de un experto programador se tratara de código de infección que se salte las protecciones frente a código dañino o que genera trozos de programación para atacar aplicaciones y servicios.
—¿Y si la IA es de mala calidad?
—La falta de calidad se puede producir por las respuestas fabricadas e inexactas que la IA proporciona ya sea por falta de información o por sesgo tanto en el modelo, como en la formulación de las preguntas y en los resultados. Quizás el problema más común de ChatGPT y otras herramientas sea la tendencia a responder con lo que se llama alucinaciones de la IA (equivalente a las respuestas de cuñado ilustrado). La IA proporcionará siempre un resultado y en muchos casos con información incorrecta, aunque plausible. Si tiene que inventar legislaciones, referencias o leyes de la física, lo hará.
—¿Qué otros problemas ve?
—Los contenidos creados mediante IA generativas muchas veces no podrán ser protegibles ni mediante propiedad intelectual. Además, ChatGPT podría filtrar en sus respuestas información confidencial o sensible que usaron los usuarios o formadores.
—¿Prevé más fallos de ciberseguridad de la IA?
—El primer riesgo es no ser conscientes del mismo; la infravaloración del riesgo es patente. Cuando un experto como Stuart Russell explicó para el Foro Económico Mundial por qué en opinión de miles de firmantes de la carta abierta era necesaria una pausa en el desarrollo de la IA, hay quién dijo: 'Me suena como si quisiéramos parar la producción de martillos porque se dieron cuenta de que pueden ser usados para matar personas'. Pero nunca se ha visto un martillo que por propia decisión se vuelva contra el humano que lo maneja. La noticia de una IA que manejaba en pruebas la simulación de ataque a objetivos con un dron y que decidió matar a su operador por representar un obstáculo nos hace pensar que quizás la IA no es un martillo.
— Para un experto en ciberseguridad ¿en qué puede ayudar la IA?
—En la actualidad son tres los campos en los que destaca el incipiente uso de la inteligencia artificial en la ciberseguridad: la respuesta a incidentes, la caza de amenazas (búsqueda proactiva de atacantes) y la generación de informes de seguridad. La capacidad de absorber información de todo tipo y en volúmenes enormes, analizarla, relacionarla desde perspectivas diferentes, clasificarla, refinar tanto las búsquedas como las conclusiones y presentarla de una forma entendible ya sea para los humanos o para otras máquinas o servicios hacen de la IA una tecnología que tendrá un rápido crecimiento en el campo de la ciberprotección. Una gran compañía, recoge diariamente varios miles de millones de sucesos relevantes para la seguridad y no lo hace solo cuando investiga un incidente identificado, sino que debe de forma proactiva buscar y cazar amenazas que aún no se han hecho visibles a fin de impedir daños que podrían llegar, como frecuentemente estamos leyendo en los periódicos, a paralizar las operaciones de la empresa.
— ¿La IA es de fiar?
—A medio plazo deberemos resolver si nos fiamos o no de la IA para darle un papel más activo. Por ejemplo, actuando directamente en un incidente colaborando en su contención y erradicación, tomando decisiones que deben ser supervisadas por humanos e incluso en un futuro, que parece no muy lejano dirigiendo actividades de ciberseguridad, es decir sin supervisión previa de una persona. Pero esa progresión de colaborador a dirigente no solo depende de aspectos técnicos, al debate se unen también cuestiones legales, regulatorios y de orden ético.
—¿Cómo ve el futuro?
—La humanidad parece dividida entre los que tienen la esperanza que la IA piense para nosotros, ayudándonos a superar los problemas y los que temen que la IA termine pensando por nosotros y dándose cuenta de que nosotros somos el problema o que genere problemas a una velocidad mayor que la que el ser humano es capaz de resolver.
—¿Cómo está la situación en Galicia y en Vigo en particular respecto a la IA?
—Las diferentes iniciativas, foros, nodos, polos, másters, cursos de especialización en la formación profesional y carreras universitarias, relativas a la inteligencia artificial y a la ciberseguridad nos da la idea que Galicia apuesta decididamente por tener un papel no limitado a generar profesionales sino a que estos puedan desarrollar su trabajo en un tejido empresarial gallego y que la comunidad juegue un papel relevante al menos en el panorama nacional.
—¿Algunos ejemplos?
—En marzo, con el refrendo de un informe elaborado por las tres universidades públicas sobre el marco ético y normativo para el desarrollo de la inteligencia artificial, se analizaron y propusieron líneas de actuación claras. El estudio promovido por la Xunta y elaborado por equipos multidisciplinares, pivotó sobre algunos aspectos relevantes de carácter general y otros, específicos al autonómico como el marco legislativo de la IA, la identificación de las claves del éxito en la adopción de esta tecnología, el análisis de la situación actual de la adopción de la IA en la Comunidad, así como recomendaciones para su impulso en el sector público autonómico y un sistema de indicadores para Galicia.
—¿Las universidades hicieron grandes esfuerzos?
—Citaremos expresamente los esfuerzos de la Universidad de Santiago o de la facultad de Informática de A Coruña y la Escuela de Telecomunicaciones de Vigo, en su máster interuniversitario o el activo y pujante capitulo gallego del ISMS Forum, con todo el talento que hay trabajando para potenciar la red de profesionales y conocimiento de ciberseguridad o finalmente, el centro de nueva creación de ciberseguridad ferroviaria de Monforte de Lemos. Esto viene señalar que la necesidad de profesionales en ciberseguridad o en ciberseguridad muy especializada en una tecnología o sector tiene en Galicia un magnifico lugar donde forjar y encontrar talento y puestos de trabajo.
—¿Otras amenazas de IA que quiera comentar?
—Hemos hablado fundamentalmente de los riesgos asociados a la posesión y uso empresarial de la inteligencia artificial, pero para aquellas entidades que no se identifiquen con el uso de productos y servicios IA, una recomendación: deben estar atentas incluso al uso que, por propia iniciativa, sus empleados hacen de la misma. Desde finales del 2018 el artículo 87.3 de la Ley Orgánica 3/2018 (LOPDGDD) obliga a las empresas a establecer criterios de utilización de los dispositivos digitales y lo hace habitualmente a través de una Política o Políticas de Medios Digitales o Políticas de Uso Aceptable. Esta, incluye habitualmente aspectos como, por ejemplo, si se puede hacer un uso moderado de los medios digitales de la empresa para finalidades personales o no, informaciones sobre si el empleador puede monitorizar el uso de dichos medios o no, cómo deben usarse ?y no usarse? dichos medios, y otros. Ahora también deberá contemplar si permite o no el uso de IA y si lo permite si la empresa fija restricciones o no, así como los riesgos y medidas de ciberseguridad que la empresa aplicará para garantizar, por ejemplo, la confidencialidad de la información digital de la empresa y el uso legal del medio.
—¿Algún otro comentario final que quiera hacer?
—La sociedad debe ser consciente que cuando los expertos de ciberseguridad o los responsables de protección de datos, por citar dos colectivos afectados, alertan sobre los riesgos de la IA, no es que sean contrarios al uso de nuevas tecnologías, ni que vean solo los problemas, sino que buscan un uso seguro, responsable y sostenible de la tecnología. Finalmente, señalar que dos pilares esenciales de la ciberseguridad son la colaboración y la concienciación, y en ese campo, en Galicia hay notables entidades dedicando esfuerzos, como por ejemplo el ISMS Forum a través de su capitulo gallego.