Manolo, mucho ojo, poca vista y escaso atisbo para ser āDomador de IAsā
DecĆa Antoine de Saint-ExupĆ©ry que lo āesencial es invisible a los ojosā. Y buen ejemplo de que no se trata de tener vista sino de saber mirar es Manolo. Un prodigio anatĆ³mico, que ha paseado por el Ćŗltimo congreso de ciberseguridad de AndalucĆa, con una gigantesca cabeza coronada por un Ćŗnico ojo descomunalā¦ incapaz de dar dos pasos sin caerse sin que alguien le llevara del brazo. El ideal de la visibilidad totalā¦ con la movilidad de un bonsĆ”i y, seguramente, un perfecto ejemplo de la ciberseguridad esperpĆ©ntica que a veces vivimos. Y es que el exceso de visibilidad, sin criterio, se ha convertido en una forma sofisticada de ceguera. AsĆ se ha evidenciado en la Ćŗltima ediciĆ³n de Espacio TiSEC, donde la observabilidad, la de verdad, se considera mĆ”s que una cuestiĆ³n tĆ©cnica āun motivo de supervivenciaā fruto de una verdad incĆ³moda: vemos mĆ”s que nunca, pero, posiblemente, entendemos menos que siempre. Y en este festival de ciberfuegos artificiales la IA se alza como hidra poderosa. O mejor dicho, las IA. Bajo el ābĆ”lsamo de fierabrĆ”sā que tanto se oye prometiendo automatizarlo todo surge el apocalipsis de desplegar todo tipo de sistemas sin el menor control donde el usuario ha dejado de ser āel tonto Ćŗtilā tan cacareado durante dĆ©cadas. El que hace clic donde no debe, el que reutiliza contraseƱas, el que confunde urgencia con legitimidad. Un relato que ha permitido mantener intacta la fe en arquitecturas, productos y procesos considerando que Ć©l siempre es el eslabĆ³n dĆ©bil de la cadena.
JosƩ Manuel Vera
Redactor
Revista SIC
Ahora, gracias a la IA, muchos incidentes de alto impacto no requieren ni clic, ni error humano. Porque la IA estĆ” pensada para complacer y esa que es una de sus virtudes, se torna como una de sus grandes debilidades en ciberseguridad. Buena prueba son los denominados ataques zero click, sin intervenciĆ³n alguna de la persona.
El sistema procesa, interpreta y ejecuta sin necesidad del usuario demandando, mĆ”s que nunca, profesionales que sean capaces de ser āDomadores de IAā, como mostrĆ© en la Ćŗltima ediciĆ³n de RootedCON, en una ponencia muy ilustrativa, junto a la siempre incisiva Carmen Torrano, sobre la ciberseguridad que se aplica a los algoritmos de IA antes de salir a producciĆ³n.
Si algo puede salir mal...
Y, como enunciaba, el ingeniero Edward A. Murphy Jr., en los aƱos 40, ātodo lo que pueda ir mal, irĆ” malā. Buena prueba de ello, es el tan esperado āpero seguramente inexistenteā impacto en la ciberseguridad europea de la tan cacareada Directiva NIS2, de obligado cumplimiento desde octubre de 2024, pero aĆŗn sin transponer por media docena de paĆses. Una cibertorre de Babel, que la ComisiĆ³n ha querido ādomarā proponiendo modificaciones especĆficas de NIS2 (Directiva (UE) 2022/2555)ā a travĆ©s de lo que se denomina ācyber postureā. Con ellas se busca aumentar la claridad jurĆdica mediante la simplificaciĆ³n de las normas jurisdiccionales, la agilizaciĆ³n de la recopilaciĆ³n de datos sobre ataques de ransomware y facilitar la supervisiĆ³n de las entidades transfronterizas con el papel de coordinaciĆ³n reforzado de Enisa. En definitiva, se aspira a homogeneizar el mosaico de realidades nacionales que ha generado esta directiva, permitiendo certificar una postura. Un cambio notable y toda una declaraciĆ³n de intenciones.
La ciberseguridad no necesita ojos mƔs grandes, como el de Manolo, sino miradas mƔs entrenadas. Porque al final, proteger no es vigilarlo todo, sino saber quƩ no puede fallar. Lo que marca la diferencia no es cuƔnto vemos, sino cuƔnto entendemos. Y eso, por desgracia, no se compra con licencias.