Los ciberataques, incluso a ojos de los expertos, se han vuelto demasiado complicados. Los constantes intentos de robar datos, tomar el control de sistemas, bloquear infraestructuras críticas… Han provocado una verdadera carrera armamentística entre los atacantes y los defensores -a menudo con roles intercambiables, según los intereses de unos y otros-. Desde roles en la empresa privada y entorno de las administraciones, Sarah Armstrong-Smith, exconsultora en jefe en materia de ciberseguridad en Microsoft, las ha visto de todos los colores. Y se ha encontrado que las ofensivas digitales más ambiciosas -aquellas que buscan cambiar el sentimiento de la población, imponer o revocar una normativa o, incluso, derrocar un régimen- han vuelto a lo más básico: la gente. «El objetivo principal de los ciberataques modernos es la mente de la ciudadanía«, argumenta la especialista, en una conversación con Món Economia en el marco de su participación en el Talent Arena, el apéndice del MWC que congrega perfiles empresariales, científicos y divulgadores de las tecnologías más punteras de la actualidad. En medio de una multitud de estudiantes admirando robots humanoides y directivos buscando la next big thing en inteligencia artificial, Armstrong-Smith reflexiona sobre las amenazas por goteo a la democracia liberal, el pensamiento crítico y los derechos de ciudadanía digital.
En su último libro, ‘The Cyber Attacker Mindset’, habla sobre cómo la escalada tecnológica ha provocado que las amenazas digitales busquen las grietas del componente humano. ¿Cómo se ha dado esto?
La ciberseguridad se ha centrado mucho en el método: la tecnología se desarrolla y, con ella, cambian las formas de atacar. Estamos en un juego del gato y el ratón perpetuo, porque los avances tecnológicos que benefician a una parte, también benefician a la otra. Para observar la defensa, se deben analizar los recursos de todos los actores: los estados tienen acceso a las herramientas más avanzadas; mientras que, quien es un hacker oportunista, quizás no tiene una capacidad técnica tan elevada. Así, uno de los pilares de la ciberseguridad es hacer que un ataque no sea rentable económicamente: hacerlo cada vez más y más difícil para acceder a mi sistema. Esto podría eliminar del mapa a aquellos actores menos desarrollados, porque a menudo son eso, oportunistas: no importa el objetivo concreto del ataque, la cuestión es acceder. Ahora bien, aquellos actores que sí tienen un objetivo concreto -un país, una empresa, una entidad-, harán lo que sea necesario para superar estas barreras.
Desde que hemos tenido este tipo de tecnología, quien debe dar el primer paso en términos técnicos debe ser siempre el atacante. Si el objetivo tiene unas herramientas defensivas, el atacante es quien debe desarrollar una forma de derribarlas. Malware, ransomware… Entonces, el responsable de ciberseguridad crea una contramedida. Y así se llega a una especie de diálogo, cada vez a un nivel más elevado. Poco a poco, pero sin detenerse, la tecnología se ha desarrollado en paralelo a los ataques. Y esto seguirá creciendo y creciendo, hasta que acabemos viendo combates de una IA contra otra IA. La solución de muchos atacantes a esta escalada es dar un paso atrás y volver al origen: la persona, la ingeniería social.
¿Qué tipo de ataques van directamente a los usuarios?
Vuelven a soluciones de toda la vida, como correos de phishing; porque nosotros como usuarios quizás no tenemos manera de distinguirlos de la realidad. Si recordamos cómo eran los mails fraudulentos años atrás, eran un despropósito: errores gramaticales, faltas de ortografía, incongruencias… Eso está superado. Ahora, el atacante estudia al usuario, qué busca, qué quiere. Hasta el punto de que entra la IA, y ahora el material fraudulento es perfecto, ¡e incluso personalizado! Ya no van a ciegas. El objetivo es manipular al usuario hasta el punto de que no sepan qué es legítimo y qué no. Pero ahora hay deepfakes que son prácticamente idénticos a personas. Con todo quiero decir que cada vez vemos más que los ciberataques tradicionales han sido sustituidos por operaciones de ciberinfluencia. Campañas de desinformación, inundar las redes de contenidos que intentan influir patrones de voto, prioridades políticas… Y esto crea un mundo increíblemente complicado.
¿Y cómo se combate esto? ¿Cuáles son las inversiones que debe hacer un estado para enfrentar estas operaciones de ciberinfluencia?
Es muy difícil defenderse, porque no se puede confirmar ni desmentir que un contenido concreto haya tenido influencia sobre cómo vota un ciudadano. Podemos decir con total seguridad que muchos países de la UE que han pasado por las urnas en los últimos años han sufrido una tendencia cada vez más hacia la derecha. La actitud de los ciudadanos hacia las políticas es cada vez más refractaria. Y esto crece sobre semillas que se plantaron meses, años atrás. Pero es muy difícil hacer la correlación directa: es un goteo, pero que se volverá más y más evidente.
Por lo tanto, ¿la regulación debe afectar los canales mediante los cuales se comparten estos contenidos?
El problema es que la regulación tarda mucho en funcionar. Las universidades ya comienzan a sufrir porque los estudiantes, y la gente en general, ya no usan su espíritu crítico, su pensamiento racional. Mucha gente usa herramientas de IA para escribir sus trabajos, sus textos. ¡Esto debería servir para desarrollar sus mentes! Y, por el contrario, se están volviendo perezosos: todo lo que ven, piensan que es real, y lo copian. «¡Si esto se ha compartido un millón de veces, será cierto!».
Siempre lo digo: en la actualidad, los ciudadanos deben asumir que la información está comprometida. Debemos asumir que intentan manipular. Sea como individuo o como parte de un colectivo. Esta certeza nos obliga a pensar, ir más allá. ¿Por qué alguien querría influirme? ¿Qué intereses hay detrás de esta influencia? ¿Quién estaría motivado a hacerme rechazar esta ley, o votar a favor o en contra de ese gobierno? ¿Qué esperan de esta manipulación? Muy fácil: si hay más ciudadanos a la derecha, habrá un retroceso autoritario, y esto favorecerá propuestas políticas más autoritarias. Y, poco a poco, sin prisa, pero sin pausa, comienza a cambiar todo el ecosistema político de un país. La forma en que la gente habla, piensa y actúa.
El objetivo de los ciberataques modernos, entonces, son las mentes de los ciudadanos.
Sí. Y, además, los actores estatales están bien preparados para jugar la partida con paciencia. Como te decía antes: están suficientemente motivados a cambiar el panorama político de las sociedades occidentales. Y saben que, como estado, cuando muestras tu mano, has perdido. Por lo tanto, utilizan sus recursos con mucho cuidado. Si sufro un ciberataque tradicional masivo, tomaré contramedidas para bloquear al atacante. Pero si el atacante tiene a su alcance un sistema para manipular a gran escala, influir los patrones políticos de la gente a favor de sus intereses, entonces es cuando logran fundamentar políticas diferentes, divisiones sociales, cambios de régimen… Y esto no sucede inmediatamente, son planes a muchos años vista.
¿Y cómo están reaccionando los gobiernos europeos a este tipo de ofensivas? ¿Y las empresas?
Vamos muy tarde. Estamos reaccionando solo al aquí y ahora; a las luchas de hoy. Reaccionamos a la última invención de Trump, o a la crisis geopolítica del momento. Y esto no deja espacio para pensar a 18 meses vista; dos, cinco, ocho años en el futuro. No hay el análisis de cómo las políticas que se implementan hoy influirán el estado de las cosas a medio plazo. Insisto mucho en que las instituciones miren más allá del día a día, a una imagen completa del mundo. Yo vengo de la gestión de crisis, y nos movemos mucho en escenarios de «¿qué pasaría si…? «. ¿Qué habría pasado si la gente hubiera votado de otra manera? ¿Qué pasaría si giramos más a la derecha? ¿Qué pasaría si la IA bloquea el pensamiento social? Y, desde esos escenarios, que son futuribles, se debe hacer una tarea de ingeniería inversa, mirar atrás y ver cómo podemos ahora influir en lo que suceda entonces. ¿Qué debemos detener, o qué debemos empezar a hacer, para llegar al mundo al que queremos llegar?
En Europa necesitamos alianzas. Si Rusia, u otros estados autoritarios, logran rompernos, dividirnos, generar conflictos dentro de la Unión, ya habrán ganado. Debemos ser conscientes de que este mundo de IA, noticias falsas, deepfakes… Alguien lo está construyendo con un propósito. La ruptura de las relaciones entre la UE y los EE.UU. se está provocando con un propósito. Porque estas potencias ofensivas se están preparando para el mundo que viene. Y nosotros debemos estar suficientemente motivados para actuar como contrapeso.
Pero, por ahora, no lo estamos haciendo.
No, no creo que lo estemos haciendo. Ocurren tantas cosas que las instituciones se están centrando en gestionar la amenaza inmediata, e ignoran la que vendrá al día siguiente. Pero necesitamos el microscopio, para analizar el detalle de lo que nos preocupa ahora, tanto como el telescopio, que nos permita vislumbrar el futuro.
