Hacker versus cracker. El conflicto entre sombreros blancos y negros. Aunque la sociedad suele asociar al hacker con un criminal, esta percepción está equivocada. En realidad, el hacker ético, conocido como sombrero blanco, se dedica a identificar fallos en los sistemas de manera altruista o a cambio de recompensas ofrecidas por empresas, con el objetivo de mejorar la ciberseguridad. Así, los hackers éticos son los que han ayudado al desarrollo de internet. Mientras que el cracker, o sombrero negro, busca vulnerar sistemas con fines malignos, como atacar, amenazar y extorsionar.
“Los crackers se han convertido en una gran amenaza”, afirma Pino Caballero, directora de CryptULL: grupo de criptología y de las Cátedras de Ciberseguridad de la Universidad de La Laguna, patrocinadas por el Instituto Nacional de Ciberseguridad (Incibe) y Binter. Además, señala que los sombreros negros ya no actúan únicamente por dinero, sino que también tienen otras motivaciones, como el ciberterrorismo. En este sentido, Caballero declara: “Hacen falta hackers para protegernos de los crackers”.
La investigadora apunta que, en la actualidad, los crackers llevan a cabo numerosos ataques de ransomware, que consisten en cifrar el sistema de la víctima, ya sea un medio de comunicación, un hospital o una administración, y luego exigir un rescate a cambio de la clave de descifrado, supuestamente para restaurar el acceso. Un ejemplo de ello fue Petya, un malware de tipo ransomware lanzado en 2016 que afectó a infraestructuras públicas.
“Normalmente, los ataques de ransomware potentes utilizan cifrado con estándares actuales, que son muy difíciles de romper, por lo que la recuperación del sistema es prácticamente imposible a menos que se proporcione la clave”, explica Caballero. Asimismo, advierte que se recomienda no pagar el rescate, ya que hacerlo convierte a la víctima en un objetivo ideal para siguientes ofensas.
Amenazas para la ciberseguridad
Cada año, el Proyecto Abierto de Seguridad de Aplicaciones Web (OWASP, de sus siglas en inglés) elabora una lista con las 10 principales amenazas para la ciberseguridad. Caballero señala que en 2024 las tres principales son los problemas relacionados con el control de acceso, los fallos criptográficos y los ataques por inyección de código malicioso. También se incluyen problemas habituales, como el diseño erróneo de las aplicaciones o el uso de componentes obsoletos. Por otro lado, Carlos Trincado, investigador del área de Derecho Penal de la Universidad de La Laguna, indica que, en general, existen problemas vinculados con el filtrado masivo de datos, los ataques de denegación de servicios y de ransomware.
En 1988 se registró el primer caso de malware en Internet —entonces conocido como ARPANET—, el gusano Morris, que afectó al 10% de las máquinas conectadas a la red. A raíz de este incidente, la Asociación de Maquinaria Computacional (ACM, de sus siglas en inglés) estableció el 30 de noviembre como el Día Internacional de la Seguridad Informática con el objetivo de concienciar sobre la importancia de proteger los datos en el mundo digital y estar en alerta ante las posibles amenazas.
El mayor problema son los errores humanos. “Somos el eslabón más débil”, afirma Caballero. “En criptografía —disciplina que estudia y desarrolla técnicas para asegurar la información— podemos diseñar algoritmos perfectos, pero cuando llega el momento de la implementación, es el humano quien los ejecuta y puede cometer errores”, señala. Los errores humanos más comunes están relacionados con la creación y el uso repetido de contraseñas débiles en todas las plataformas, los ataques de phishing, la desactualización del software y el mal uso de las herramientas informáticas.
A la directora de CryptULL le fastidian los ataques de ingeniería social como el phishing, que buscan manipular a los usuarios para obtener información confidencial. Actualmente, es muy común que los individuos reciban llamadas telefónicas solicitando datos personales. “Me enfada mucho que las personas caigan en estas trampas, porque no hay forma de defenderse ante tanta ignorancia”. Los ciberdelincuentes incluso están utilizando técnicas más avanzadas de ingeniería social. Según Trincado, está aumentando el número de casos en los que se emplean herramientas de inteligencia artificial generativa para cometer fraudes informáticos. Un ejemplo de ello es una modalidad específica en la que la inteligencia artificial modula la voz del director ejecutivo de una empresa para suplantar su identidad y ordenar a un empleado que realice una transferencia bancaria.
Las mujeres, más vulnerables
Dentro del ecosistema digital, las mujeres son más vulnerables. “Desafortunadamente, el entorno digital forma parte de nuestro mundo”, indica Caballero. Así, si el mundo físico es machista, el digital también lo es. Las mujeres sufren dos tipos de ciberviolencia: el ciberacoso por ataques misóginos y el acoso sexual relacionado con la difusión de imágenes. En este sentido, Caballero señala que la mejor manera de que las mujeres se protejan es a través de formación en igualdad de género y en el uso de los medios digitales. “Está demostrado que las mujeres tienen más riesgos de que se cuelen en los sistemas”, afirma. Por esta razón, en España, el Incibe busca introducir a más mujeres en el mundo de la ciberseguridad, un ámbito en el que son muy pocas. “Somos víctimas y debemos convertirnos en nuestras propias defensoras”, declara.
En la actualidad, la tecnología del machine learning o aprendizaje automático es ampliamente utilizada en el ámbito de la ciberseguridad, tanto para realizar ataques como para defenderse de ellos. Además de detectar ataques ya conocidos, es capaz de identificar nuevas amenazas mediante procesos de aprendizaje. Su principal ventaja reside en su habilidad de manejar grandes volúmenes de datos. “Se alimenta de una cantidad enorme de información, de la cual identifica patrones para extraer conclusiones y mejorar su aprendizaje”, explica Caballero.
Por otro lado, el blockchain o cadena de bloques es otra tecnología importante en el campo de la ciberseguridad. Su principal utilidad es para los contratos inteligentes. Sin embargo, Caballero indica que su uso se ha desinflado. La investigadora destaca como ventajas de esta tecnología su distribución equitativa y su sólida base criptográfica, que garantizan la integridad de la información almacenada.
“Hace unos años participé en una charla TED en la que traté la computación cuántica como una broma”, admite Caballero. “Me como mis palabras”, confiesa. Los ordenadores cuánticos son ya una realidad: “Son mucho más eficientes y poderosos que nuestros ordenadores tradicionales, ahora obsoletos”. Aunque la computación cuántica tiene aplicaciones en diferentes campos, su impacto es destacable en el ámbito de la ciberseguridad, particularmente relacionado con la criptografía.
“En cuanto dispongamos de ordenadores cuánticos con la potencia suficiente, será posible romper todos los sistemas criptográficos que utilizamos actualmente para navegar por Internet, comunicarnos mediante el móvil o realizar transacciones bancarias”, advierte Caballero. Los sistemas criptográficos de la informática tradicional se basan en problemas matemáticos complejos, como los logaritmos elípticos o la factorización de grandes números primos: “Para un ordenador convencional, separar la multiplicación de dos números primos grandes es muy difícil”, explica.
Sin embargo, para un ordenador cuántico, estos problemas resultan mucho más sencillos de resolver. Por esta razón, será necesario sustituir todos los algoritmos criptográficos actuales. Caballero destaca que la empresa tecnológica IBM Research lidera el desarrollo en este ámbito: “Han prometido que, en pocos años, habrá un ordenador cuántico capaz de romper toda la criptografía actual”.
De hecho, el presidente saliente de Estados Unidos, Joe Biden, durante su mandato publicó un acta que ordenaba a todos los organismos públicos sustituir los algoritmos criptográficos en un plazo de 18 meses, una medida tomada de manera urgente ante el avance de esta tecnología. Por su parte, Europa también publicó una serie de recomendaciones instando a los países a actualizar los algoritmos para adaptarlos a los ordenadores cuánticos. De hecho, según Caballero, el Instituto Nacional de Estándares y Tecnologías (NIST, de sus siglas en inglés) ha publicado un anuncio de forma reciente en el que revela que toda la criptografía actual quedará obsoleta antes de 2030 y prohibida después de 2035.
Criptografía post cuántica
De esta forma, las matemáticas y la ingeniería informática han trabajado para desarrollar la criptografía post cuántica, resistente a los ordenadores cuánticos. Esta nueva criptografía debe basarse en otros problemas matemáticos distintos a los utilizados en los sistemas tradicionales. Caballero cuenta que, en uno de sus libros, el primero sobre criptografía en español, introdujo el esquema McEliece, que se basa en códigos. Sin embargo, este esquema presenta dos inconvenientes: requiere claves muy grandes y su cálculo es lento. La investigadora tiene una publicación más reciente en la que propone una modificación del esquema McEliece con claves más cortas. El sistema de códigos fue propuesto como un posible estándar para la criptografía post cuántica, pero finalmente se ha optado por sistemas basados en retículos.
Sin embargo, la criptografía basada en retículos es muy difícil de comprender. Por esta razón, el grupo CryptULL ha desarrollado herramientas didácticas para trasladar estos conocimientos a las aulas de los centros educativos y las universidades. “Hemos utilizado herramientas de software como Geogebra para introducir la teoría de retículos y Scratch para enseñar a programar e introducir la computación cuántica”, explica. Además, han diseñado un juego de cartas relacionado con la computación cuántica.
Todas estas herramientas de divulgación científica han sido presentadas en congresos internacionales y publicadas en revistas científicas de impacto. Caballero confiesa que personal de IBM Research y del NIST se ha interesado por algunas de ellas. Por otro lado, la directora de CryptULL señala que han implementado estas actividades en las aulas y han analizado cuánto han aprendido los estudiantes con estas herramientas, obteniendo resultados prometedores.
El papel del derecho en el ámbito de la ciberseguridad es fundamental. Trincado, investigador del área de Derecho Penal, señala que la mayoría de delitos se concretan en aquellos relacionados con los daños y la interrupción de sistemas informáticos, regulados en los artículos 264 y 264 bis del Código Penal. Por otro lado, el acceso no autorizado a datos reservados contenidos en sistemas informáticos abarca un conjunto de delitos dispersos a lo largo del documento, entre los que destacan el delito de descubrimiento y revelación de secretos, el acceso indebido a datos de carácter personal almacenados en ficheros informáticos, los delitos relativos a los secretos empresariales y las infracciones relacionadas con la seguridad nacional.
“La cuestión es que gran parte de estos delitos presentan una cifra negra, término que se refiere a la alta frecuencia de ciertos delitos cuya incidencia real no se refleja en las estadísticas oficiales”, cuenta. Esto ocurre porque es muy complicado identificar y perseguir a los cibercriminales. Así, los hechos denunciados finalmente no llegan a ser enjuiciados, por lo que los criminales no reciben sus respectivas condenas. “En cambio, otros delitos, como las estafas o los fraudes informáticos, registran una mayor cantidad de condenas, ya que es más fácil identificar a los responsables”, explica Trincado.
En relación con los delitos contra el acceso a datos reservados en sistemas informáticos, la sociedad tiende a imaginar a los culpables como crackers en una habitación oscura frente a una pantalla de ordenador con algunas luces. Sin embargo, las estadísticas judiciales revelan que una gran parte de los casos involucra a empleados de empresas o funcionarios públicos que acceden a los ficheros desde ordenadores que, probablemente, incluso les cuesta arrancar.
“Esto ocurre porque las administraciones ejercen un control muy exhaustivo sobre quién y cómo accede a los sistemas informáticos”, explica Trincado. “En el ámbito público, existen numerosas sentencias en las que se condena a funcionarios por acceder indebidamente a datos de historias clínicas y ficheros de antecedentes policiales, entre otros”, agrega. Desde el punto de vista jurídico, el aspecto destacable es que no solo es necesario establecer medidas de seguridad contra las amenazas externas, sino que también deben considerarse las internas.
¿Y cómo se puede adaptar el derecho al ritmo frenético del mundo digital? “Acceder a datos reservados es posible tanto en sistemas informáticos como en ficheros o almacenes físicos”, afirma. Así, la interpretación de estos delitos por lo general puede subsumirse en los existentes. Sin embargo, algunas acciones, como la difusión no consentida de imágenes íntimas —sexting—, han tenido que ser incorporadas al Código Penal debido a su creciente frecuencia en el mundo digital. En cuanto a la jurisprudencia, es cierto que algunos jueces, especialmente los más puristas, pueden carecer de formación específica en nuevas tecnologías, lo que influye en cómo interpretan ciertos términos. Sin embargo, esto no implica una mala administración de justicia: “Los jueces se apoyan en informes de peritos y expertos, como ocurre en otras disciplinas técnicas”, explica Trincado.
Regular la IA
El problema con la inteligencia artificial radica en su definición, ya que ni los expertos en la tecnología ni en informática logran ponerse de acuerdo. Desde el punto de vista jurídico, esto representa un obstáculo, ya que las leyes requieren definiciones precisas. “Utilizar una definición muy amplia puede generar problemas en la aplicación de la ley”, afirma. En junio de 2024, la Unión Europea (UE) aprobó un reglamento que regula la inteligencia artificial. Al respecto, el investigador sostiene: “Se logró un consenso que, aunque en términos generales es una definición correcta, presenta el problema de seguir siendo demasiado abierta y ambigua”.
Aunque existen pocas dudas de que sistemas avanzados como Chat GPT puede considerarse inteligencia artificial, la definición planteada por la UE podría contemplar de la misma forma a estos sistemas, así como a los software más tradicionales. “La UE ha intentado evitarlo introduciendo algunas modificaciones, pero los expertos siguen poniéndola en cuestión”, afirma.
El mismo Trincado sigue teniendo dudas sobre cómo diferenciar claramente un sistema de inteligencia artificial y un software tradicional a partir de la definición planteada. “Una interpretación amplia podría regular innecesariamente sistemas que no presentan los riesgos asociados a la inteligencia artificial”, afirma. Pero también podría ocurrir lo contrario: “Una definición demasiado estrecha podría excluir sistemas que plantean los mismos problemas que la norma busca evitar”. De esta forma, una definición amplia podría suponer un freno para la innovación tecnológica, ya que los sistemas tendrían que cumplir con las obligaciones establecidas en el reglamento, lo que tendría consecuencias económicas y temporales.
(Este reportaje es una iniciativa enmarcada en el Calendario de Conmemoraciones InvestigaULL, proyecto de divulgación científica promovido por la Universidad de La Laguna).
Unidad de Cultura Científica y de la Innovación (Cienci@ULL)