Els ciberatacs, fins i tot a ulls dels experts, s’han tornat massa complicats. Els constants intents de robar dades, prendre el control de sistemes, bloquejar infraestructures crítiques… Han provocat una veritable cursa armamentística entre els atacants i els defensors -sovint amb rols intercanviables, segons els interessos dels uns i els altres-. Des de rols en l’empresa privada i entorn de les administracions, Sarah Armstrong -Smith, exconsultora en cap en matèria de ciberseguretat a Microsoft, les ha vist de tots els colors. I s’ha trobat que les ofensives digitals més ambicioses -aquelles que busquen canviar el sentiment de la població, imposar o revocar una normativa o, fins i tot, tombar un règim- han tornat a allò més bàsic: la gent. “L’objectiu principal dels ciberatacs moderns és el cap de la ciutadania“, argumenta l’especialista, en una conversa amb Món Economia en el marc de la seva participació en el Talent Arena, l’apèndix de l’MWC que congrega perfils empresarials, científics i divulgadors de les tecnologies més punteres de l’actualitat. Enmig d’una munió d’estudiants admirant robots humanoides i directius buscant la next big thing en intel·ligència artificial, Armstrong-Smith reflexiona sobre les amenaces per degoteig a la democràcia liberal, el pensament crític i els drets de ciutadania digital.
Al vostre darrer llibre, ‘The Cyber Attacker Mindset’, parleu de com l’escalada tecnològica ha provocat que les amenaces digitals busquin les escletxes component humà. Com s’ha donat, això?
La ciberseguretat s’ha centrat molt en el mètode: la tecnologia es desenvolupa i, amb ella, canvien les formes d’atacar. Estem en un joc del gat i el ratolí perpetu, perquè els avenços tecnològics que beneficien una part, també beneficien l’altra. Per observar la defensa, s’han d’analitzar els recursos de tots els actors: els estats tenen accés a les eines més punteres; mentre que, qui és un hacker oportunista, potser no té una capacitat tècnica tal elevada. Així, un dels puntals de la ciberseguretat és fer que un atac no surti a compte econòmicament: posar-ho cada cop més i més difícil per accedir al meu sistema. Això podria eliminar del mapa aquells actors menys desenvolupats, perquè sovint són això, oportunistes: no importa l’objectiu concret de l’atac, la qüestió és accedir-hi. Ara bé, aquells actors que sí que tenen un objectiu concret -un país, una empresa, una entitat-, faran el que sigui necessari per superar aquestes tanques.
Des que hem tingut aquesta mena de tecnologia, qui ha de fer el primer pas en termes tècnics ha de ser sempre l’atacant. Si l’objectiu té unes eines defensives, l’atacant és qui ha de desenvolupar una forma de tirar-les avall. Malware, ransomware… Llavors, el responsable de ciberseguretat crea una contramesura. I així s’arriba a una sort de diàleg, cada cop un nivell més elevat. A poc a poc, però sense aturador, la tecnologia s’ha desenvolupat en paral·lel als atacs. I això anirà creixent i creixent, fins que acabem veient combats d’una IA contra una altra IA. La solució de molts atacants a aquesta escalada és fer un pas enrere i tornar a l’origen: la persona, l’enginyeria social.
Quina mena d’atacs van directament als usuaris?
Tornen a solucions de tota la vida, com correus de phishing; perquè nosaltres com a usuaris potser no tenim manera de distingir-los de la realitat. Si recordem com eren els mails fraudulents anys enrere, eren un despropòsit: errades gramaticals, faltes d’ortografia, incongruències… Això està superat. Ara, l’atacant estudia l’usuari, què busca, què vol. Fins al punt que hi entra la IA, i ara el material fraudulent és perfecte, i fins i tot personalitzat! Ja no van a les palpentes. L’objectiu és manipular l’usuari fins al punt que no saben què és legítim i què no. Però ara hi ha deepfakes que són pràcticament idèntics a persones. Amb tot vull dir que cada cop veiem més que els ciberatacs tradicionals han estat substituïts per operacions de ciberinfluència. Campanyes de desinformació, inundar les xarxes de continguts que intenten influir patrons de vot, prioritats polítiques… I això crea un món increïblement complicat.
I això com es combat? Quines són les inversions que ha de fer un estat per enfrontar aquestes operacions de ciberinfluència?
És molt difícil defensar-se, perquè no es pot confirmar ni desmentir que un contingut concret hagi tingut influència sobre com vota un ciutadà. Podem dir amb total seguretat que molts països de la UE que han passat per les urnes en els últims anys han patit una tendència cada cop més cap a la dreta. L’actitud dels ciutadans cap a les polítiques és cada cop més refractària. I això creix sobre llavors que es van plantar mesos, anys enrere. Però és molt difícil fer la correlació directa: és un degoteig, però que esdevindrà més i més evident.
Per tant, la regulació ha d’afectar els canals mitjançant els quals es comparteixen aquests continguts?
El problema és que la regulació triga molt a funcionar. Les universitats ja comencen a patir perquè els estudiants, i la gent en general, ja no fan servir el seu esperit crític, el seu pensament racional. Molta gent fa servir eines d’IA per escriure els seus treballs, els seus textos. Això hauria de servir per desenvolupar les seves ments! I, per contra, s’estan tornant ganduls: tot allò que veuen, pensen que és real, i ho copien. “Si això s’ha compartit un milió de vegades, serà cert!”.
Sempre ho dic: en l’actualitat, els ciutadans han d’assumir que la informació està compromesa. Hem d’assumir que intenten manipular. Sigui com a individu o com a part d’un col·lectiu. Aquesta certesa ens obliga a pensar, anar més enllà. Per què algun voldria influir-me? Quins interessos hi ha darrere d’aquesta influència? Qui estaria motivat a fer-me rebutjar aquesta llei, o votar a favor o en contra d’aquell govern? Què esperen d’aquesta manipulació? Molt fàcil: si hi ha més ciutadans a la dreta, hi haurà un retrocés autoritari, i això afavorirà propostes polítiques més autoritàries. I, a poc a poc, sense pressa, però sense pausa, comença a canviar tot l’ecosistema polític d’un país. La forma en què la gent parla, pensa i actua.
L’objectiu dels ciberatacs moderns, doncs, són els caps dels ciutadans.
Sí. I, a més, els actors estatals estan ben preparats per jugar la partida amb paciència. Com et deia abans: estan prou motivats a canviar el panorama polític de les societats occidentals. I saben que, com a estat, quan ensenyes la teva mà, has perdut. Per tant, utilitzen els seus recursos amb molta cura. Si jo pateixo un ciberatac tradicional massiu, prendré contramesures per bloquejar l’atacant. Però si l’atacant té al seu abast un sistema per manipular a gran escala, influir els patrons polítics de la gent a favor dels seus interessos, llavors és quan aconsegueixen fonamentar polítiques diferents, divisions socials, canvis de règim… I això no passa immediatament, són plans a molts anys vista.
I com estan reaccionant els governs europeus a aquesta mena d’ofensives? I les empreses?
Anem molt tard. Estem reaccionant només a l’aquí i ara; a les lluites d’avui. Reaccionem a la darrera invenció de Trump, o a la crisi geopolítica del moment. I això no deixa espai per pensar a 18 mesos vista; dos, cinc, vuit anys en el futur. No hi ha l’anàlisi de com les polítiques que s’implementen avui influiran l’estat de les coses a mitjà termini. Insisteixo molt que les institucions mirin més enllà del dia a dia, a una imatge completa del món. Jo vinc de la gestió de crisis, i ens movem molt en escenaris de “què passaria passat si…?”. Què hauria passat si la gent hagués votat d’una altra manera? Què passaria si girem més a la dreta? Què passaria si la IA bloqueja el pensament social? I, des d’aquests escenaris, que són futuribles, s’ha de fer una tasca d’enginyeria inversa, mirar enrere i veure com podem ara influir en allò que passi llavors. Què hem d’aturar, o què hem de començar a fer, per arribar al món a què volem arribar?
A Europa necessitem aliances. Si Rússia, o altres estats autoritaris, aconsegueixen trencar-nos, dividir-nos, generar conflictes a dins la Unió, ja hauran guanyat. Hem de ser conscients que aquest món d’IA, notícies falses, deepfakes… Algú l’està construint amb un propòsit. El trencament de les relacions entre la UE i els EUA s’està provocant amb un propòsit. Perquè aquestes potències ofensives s’estan preparant per al món que ve. I nosaltres hem d’estar prou motivats per fer de contrapès.
Però, ara per ara, no ho estem fent.
No, no crec que ho estiguem fent. Passen tantes coses que les institucions s’estan centrant a gestionar l’amenaça immediata, i ignoren la que vindrà l’endemà. Però necessitem el microscopi, per analitzar el detall d’allò que ens preocupa ara, tant com el telescopi, que ens deixi albirar el futur.