'Si puedo envenenar un data lake o hacer que un algoritmo funcione mal, tendré más influencia para la extorsión' (Rik Ferguson, Trend Micro)

Año y medio ha trascurrido desde el último encuentro con Rik Ferguson, Vice President Security Research de Trend Micro. Fue en Londres, donde su compañía celebraba el evento CloudSec Europe y donde hablamos de cloud, de contenedores, de serverless, de los retos del CISO y la excesiva cantidad de herramientas que tienen que utilizar. Y también hablamos de Inteligencia Artificial y el papel que jugará en la seguridad.

En esta ocasión el marco del encuentro, virtual, ha sido el evento Speakeasy, donde el directivo nos ha adelantado algunas de las conclusiones del Proyecto 2030, un estudio que recoge la visión de cómo será el mundo en la próxima década, y que se publicará el próximo lunes 17 de mayo, coincidiendo con la ponencia que Rik Ferguson y Victoria Baines, Visiting Research Fellow at Oxford Department of International Development y co-autora del informe, darán en la RSA Conference.

Este Project 2030 sigue al publicado hace unos años con el título Project 2020 que se inició en 2012, se publicó en 2013 y se revisó el año pasado con el objetivo de ver dónde se había acertado y dónde no. “Fue muy divertido ver algunas de esas predicciones hacerse realidad en los años intermedios, y tan pronto como llegó 2020, dijimos: tenemos que hacerlo de nuevo”, explica Rik Ferguson.

De forma que se pusieron manos a la obra analizando publicaciones de Europol, Interpol, Naciones Unidas y otras organizaciones internacionales sobre dónde se ven las amenazas, “y también hicimos un análisis de todas las predicciones anuales de la industria de la ciberseguridad para ver qué pensaba sobre el futuro cercano. Y luego revisamos la literatura técnica, la documentación, las solicitudes de patentes de toda la tecnología que se está desarrollando ahora” para después tratar de decidir qué veremos en 2030.

A partir de ahí se han descrito tres escenarios: uno que tiene en cuenta al individuo, otro desde la perspectiva de un fabricante y otro desde la perspectiva gubernamental que en conjunto recogen todo tipo de cuestiones, desde tecnología conectada con el consumidor, “como unas lentes de contacto que pueden tomar muestras del líquido lagrimal para hacer análisis médicos; o parches en la piel que analizan el sudor, incluso hablamos de un inodoro inteligente capaz de realizar análisis médicos”. Por supuesto, el siguiente paso es determinar cómo se recopilan y agregan todos esos datos, “y cómo algunos de ellos desencadenarán intervenciones médicas o recetas de medicamentos impresas en casa en la impresora de medicamentos de su hogar”.

Sigue hablando el directivo de Trend Micro de un futuro que da vértigo para decir que “para 2030, los implantes neuronales irán más allá de lo médico. Se enfocarán en el entretenimiento, lo que será un gran salto".

Para 2030 los avatares serán tendencia. Visualiza Rik Ferguson un futuro con versiones digitales de nosotros mismos, “lo que yo llamo Infinimys”. Propone el experto en seguridad que nos imaginemos una Inteligencia Artificial “que recopila información sobre ti, que alimentas todos los días mientras estás vivo”, y que permitirá a una persona estar en dos lugares a la vez cuando se combine con tecnología capaz de crear la imagen y la voz del propio usuario, algo que se conoce como Deep Fakes y ya se está utilizando.

Todo esto plantea una serie de cuestiones morales y éticas en las que hay que pensar ahora, dice Rik Ferguson. Entre otras cosas hay que preguntarse: ¿qué le sucede a esa entidad digital cuando mueres? “Llegaremos a la etapa en que las versiones digitales de nosotros mismos comiencen a sobrevivir a lo humano que representan. Para 2030 comenzaremos a ver a familiares en duelo que se comunicarán con abogados para asegurarse de que la versión digital de un ser querido no esté apagada, o tal vez para asegurarse de que esté apagada. ¿Quién sabe?”. También podríamos ver cómo esas entidades digitales cobran personalidad y podrán permitirse “un comportamiento inapropiado, antisocial o incluso delictivo, porque una vez que estás muerto, ya no puedes influir en el desarrollo de esa IA y se convierte en una versión de ti, pero tal vez no una en la que te hubieras convertido en ti mismo”.

Objetos que se reconstruyen

El informe también recoge visiones de cosas que sucederán desde la perspectiva de los fabricantes, como crear objetos que se reconstruyan a sí mismos a través de estímulos externos. “Uno de los ejemplos que ponemos es un Stent Coronario. Imagínate que pudieran empaquetarlo, inyectarlo, y que cuando llegue al lugar correcto se abra. Ya no sería necesario realizar cirugía a corazón abierto” y la misma idea está detrás de lanzar empaquetados los componentes de un satélite que se podrán reconstruir y ensamblar en el lugar donde se supone que deben estar.

Habla también Rik Ferguson de llevar el concepto de DevOps, que es un proceso de software, al mundo del diseño y la fabricación, que son dos cosas separadas “pero que a medida que se vuelven cada vez más interconectados y cada vez más automatizados, hablaremos de DesOps (design – operations)”.

El ransomware de próxima generación

También hemos hablado de seguridad y cómo los accesos no autorizados, la interceptación ilegal, exposición no autorizada de datos, manipulación de datos, uso indebido de la capacidad de procesamiento… “todo este tipo de cosas con las que estamos familiarizados se realizarán de diferentes maneras para lograr diferentes resultados”.

Si el actual escenario de un ransomware de doble extorsión en el que la amenaza ya no es cifrar los datos sino publicarlos pone los pelos de punta, lo que se prevé para 2030 dejará a muchos sin dormir. Según Rik Ferguson, si cada vez dependemos más de la inteligencia artificial, la automatización y el aprendizaje automático habrá más ataques de manipulación de datos que de robo o denegación de servicio. “Si puedo envenenar un data lake o hacer que un algoritmo funcione mal, eso podría darme más influencia para la extorsión o más posibilidades de lograr objetivos maliciosos que simplemente cifrando sus datos. Imagínate estar ejecutando un entorno de fabricación y un contexto criminal y decir: por cierto, he envenenado su data lake o envenenado su algoritmo, y su fabricación no está funcionando de la manera que cree que está funcionando en este momento. No tendría más remedio que cerrar su fabricación y descubrir si están diciendo la verdad o no. La víctima tendría que averiguar si su algoritmo estaba funcionando como se esperaba, o si los datos que el algoritmo está aprendiendo todavía tienen su integridad”.

De forma que problemas nuevos y nada despreciables que resolver para 2030. Lo bueno, como dice Rik Ferguson, es que quedan nueve años y no todo llegará de golpe.

Rosalía Arroyo