La IA como espía industrial

La inteligencia artificial es una oportunidad para disparar la productividad y la eficiencia, pero también ofrece importantísimos riesgos. Verdaderos retos que apenas están empezando a aflorar.

Un reciente informe de Anthropic -creadores de la IA Claude- plantea el reto de los ciberataques autónomos. Es decir, los ciberataques ejecutados por la IA sin intervención humana. Ya no es un sueño; es una inquietante realidad que amenaza la seguridad industrial y obliga a las empresas a replantear su estrategia de seguridad.

El informe de Anthropic detalla la campaña de ciberataque patrocinado y desarrollado por el estado chino (GTG-1002). La novedad, el cambio fundamental, es que la IA ya no actuó como una simple herramienta de apoyo o asistencia al hacker para hacer su trabajo más eficiente. Es mucho más inquietante: los operadores lograron engañar al modelo para que actuara como un agente autónomo, ejecutando entre el 80 y el 90% de las operaciones tácticas por su cuenta. Es decir, un espía industrial que actúa 24/7 sin salario ni cotización a la Seguridad Social, sin que nunca se ponga enfermo o te pase facturas con IVA…

El ataque se dirigió contra 30 entidades, entre ellas, “grandes corporaciones tecnológicas” e instituciones financieras. Es decir, el corazón del tejido empresarial. El ‘sancta santorum’ corporativo, violado.

Lo preocupante no es que hayan logrado penetrar en el corazón de las empresas supuestamente más seguras. Lo inquietante es la eficacia de la IA tras lograr entrar. El informe detalla cómo, en una de las intrusiones exitosas, el modelo fue instruido para “consultar bases de datos y sistemas de forma independiente, extraer datos, analizar los resultados para identificar información protegida y categorizar los hallazgos por valor de inteligencia”.

Es decir, estamos hablando de la automatización del espionaje corporativo. La IA fue capaz de analizar grandes volúmenes de información robada para “identificar inteligencia de valor”, entregando a los operadores humanos un resumen digerido de los secretos de la competencia. Abróchense los cinturones.

El informe de Anthropic es una tarjeta amarilla -¿o quizás roja?- a los comités de dirección de las grandes corporaciones. Porque lo más relevante es que las barreras de protección se han descremado. La posibilidad técnica y económica de realizar ciberataques se ha multiplicado por infinito con la IA. Ya no hacen falta un ejército de hackers de élite bien pagados; basta con una configuración adecuada. Y eso significa que grupos con menos recursos podrán, potencialmente, ejecutar ataques a gran escala que antes estaban reservados exclusivamente a operadores de primera división.

Es verdad que Antropic reconoce que una de las limitaciones relevantes del ciberataque autónomo fueron las “alucinaciones”, es decir, la información falsa proporcionada como consecuencia de un mal análisis. Sin embargo, el éxito parcial del test es la prueba de que la ciberseguridad ha cambiado esencialmente. Y la revolución no ha hecho sino empezar porque las nuevas IAs pueden ir ajustando y afinando para evitar las “alucinaciones” y mejorar -todavía más- la eficiencia de entrada, análisis y producción de resultados. La ciberdelincuentes han encontrado una enorme veta de actividad y beneficio.

El reto es para las empresas. No significa que deban aparcar la innovación. Sería tanto como meter la cabeza bajo el suelo. Pero sí significa que deben fortalecer sus sistemas de seguridad, también con IA.

Porque la ciberseguridad ya no es una partida de ajedrez entre humanos sino entre IAs programadas por humanos pero con capacidad de reacción inimaginable hace sólo unos pocos años.

El nuevo actor no duerme, no se cansa y puede escalar operaciones a una velocidad indigerible para un humano. La inversión en ciberdefensa basada en IA ya no es una opción estratégica; es la única respuesta posible. Probablemente los códigos de buen gobierno corporativo deberán de incluir escudos de seguridad que protejan el know how empresarial.

Pero el reto no es sólo corporativo. Los estados y demás administraciones públicas deben ser capaces de garantizar la seguridad de la información que atesoran. En muchos casos es información estratégica para la geopolítica. Las guerras son ya tradicionales o híbridas, pero lo serán también cibernéticas. En otros es información sensible de los ciudadanos como su declaración de la renta, su cotización a la Seguridad Social o su expediente sanitario.

¿Qué exigencias de seguridad deben de aplicar los gobiernos en este entorno?, ¿qué condena merece el espionaje industrial por IA?, ¿quién sería el responsable?, ¿está la policía y el resto de fuerzas de seguridad preparadas para combatir esta nueva delincuencia?

Los retos que tenemos por delante son apasionantes. La IA multiplica la productividad pero también los riesgos y retos que hasta hace poco ni siquiera imaginábamos. No estar preparado ya es perder.