Xabier Mitxelena ha desarrollado su trayectoria profesional en el ámbito de la tecnología primero como parte del equipo de reconocidas firmas como S21SEC y luego como fundador de la tecnológica Cybertix con sede en Donostia, además de presidir Cybasque, el clúster de empresas de ciberseguridad de Euskadi. Recientemente participó en un foro sobre IA y ciberseguridad en Gasteiz organizado por la Spri y Mondragon Unibertsitatea que tendrá su continuación en Donostia el 11 de diciembre, esta vez centrado en la IA y la educación.
¿Cómo perjudica la IA a la ciberseguridad?
Triunfa aquel que mejor aplica la innovación, y los ciberdelincuentes lo hacen muy bien. La mayor ventaja que tienen es la automatización que proporciona la inteligencia artificial, porque con anterioridad, por ejemplo, los mensajes que enviaban contenían errores ortográficos o de traducción, algo que ahora desaparece, y además nos pueden clonar la imagen o la voz. Ante esta evidente mejora del mensaje, el problema que tenemos es no pensar, no pararnos a mirar de quién o de dónde viene ese mensaje. Hay que aplicar la táctica de cero confianza, antes de actuar ante un mensaje hay que respirar, chequear si es confiable y si está relacionado con el receptor.
¿Se incrementa el número de ciberataques con la IA?
Más que el número, lo importante es que su éxito crece, de nuevo relacionado con la automatización. A finales de 2023 se producían más de 1.000 ciberataques por segundo, y el 80% de ellos estaba automatizado.
“Queremos crear una industria digital, pero nos encontramos con que aquí no hay costumbre de invertir en estas actividades”
¿Los ataques se dirigen más a las personas o a los equipos tecnológicos de ciberseguridad?
Al principio se dirigían contra las infraestructuras, pero al tiempo que estas se han ido reforzando se han trasladado al humano, que es más vulnerable. El usuario es el eslabón más débil de la cadena y tenemos que convertirlo en el más fuerte a través de formación, entrenamiento y sensibilización. En este sentido, se ha producido un giro porque ahora en las grandes empresas se hacen simulacros todos los días para evitar ciberataques. El mundo digital es una jungla donde se actúa con anonimato, y creo necesario “regularlo”, entre comillas.
Tercera economía del mundo
¿Cuáles son los principales usos que dan los ciberdelincuentes a la IA?
Sus objetivos son económicos y la obtención de datos. Hemos pasado de los black hat hackers, personas que actuaban solas para desarrollar actividades ilegales, a organizaciones cibercriminales. Hoy existe toda una industria del ciberataque que tiene un impacto de 10,5 billones de euros, entre 16 o 17 veces el PIB de España. Se estima que es ya la tercera economía del mundo.
¿Qué sectores o actividades económicas son más vulnerables?
Se ha producido un cambio, porque al principio las entidades financieras eran las más atacadas, no tanto a la organización en sí, sino a sus usuarios, pero ahora se ha extendido a todos los sectores.
¿Qué puede hacer la IA por la ciberseguridad?
Llevamos muchos años aplicando la IA para prevenir incidentes con el machine learning. Sin embargo, en el año 2000 nadie quería decir que había sufrido un ciberataque porque afectaba a la reputación de su negocio y ahora estos hechos se comunican más, lo que nos permite obtener más información y mejorar la prevención, que es imprescindible. La clave es la colaboración, pese a que todavía los ciberdelincuentes sean más rápidos. Lo que nos ha permitido el desarrollo de la inteligencia artificial es reducir a una tecnología las siete que antes necesitaba una pyme para protegerse, y lo hemos conseguido gracias a la automatización de la IA. Además, con la inteligencia artificial se elimina la intervención humana porque puede interpretar cómo piensan los ciberdelincuentes y, si ve que algo no tiene lógica, lo pone en cuarentena.
“Las empresas tienen que crear un comité de ética para poner límites a la adopción de la inteligencia artificial en la organización”
Datos sin control
¿Utilizamos bien la inteligencia artificial?
Me preocupa el concepto que tenemos de empleo de la IA porque insistimos en que hay que aplicar el principio de cero confianza, pero luego todos utilizamos ChatGPT, Gemini y otras sin saber a quién estamos dando nuestros datos. No es un juguete, nos puede ayudar en nuestro trabajo, pero no es la solución y comporta riesgos.
¿Cuáles son las principales limitaciones que a día de hoy presenta la IA en este ámbito?
La inteligencia artificial se utiliza mucho para generación de código, ya que el desarrollo de software es caro. Pero debemos tener en cuenta que el 50% de ese código es vulnerable. Deberíamos dar un paso atrás y rediseñar la IA. Por ejemplo, los datos que utiliza la inteligencia artificial en muchos casos se obtienen del pasado, lo que tiene el riesgo de que reproduzca sesgos como hombre-mujer, blanco-negro…
¿En qué puntos deberíamos incidir?
Para empezar, más que la IA lo que tenemos que desarrollar es el concepto de calidad del dato con una regularización. La inteligencia artificial generativa se encuentra en un estado larvario, no tiene más de tres años. ¿Dejaríamos a un niño de ocho años conducir un avión? Es necesario tenerlo presente para realizar un uso adecuado de ella y saber que no nos va a solucionar todas nuestras deficiencias. Lo importante, repito, es la calidad del dato. Propongo crear una Human IA, un agente personal que cuide de nuestros datos y nos proteja.
Plan empresarial
¿La empresa incorpora bien la IA?
Hace falta un plan empresarial, hay que definir cómo desarrollar las aplicaciones y cómo aplicar la inteligencia artificial a cada puesto de trabajo. Las empresas también tienen que crear un comité de ética para poner límites a la adopción de la IA.
“Más que en número, los ciberataques crecen en éxito gracias a la automatización que proporciona la IA y que los perfecciona”
¿Qué nivel observa en Gipuzkoa?
Gipuzkoa y la CAV son pioneros, el 50% del conocimiento en esta materia a nivel estatal se concentra aquí. Estamos en un momento dulce, Euskadi es una de la regiones más relevantes de innovación a nivel europeo y esta posición se debe en gran medida a su apuesta por la IA y la cuántica, que forman parte de su investigación y estrategia. El sector privado, las empresas, hemos tomado la decisión de no esperar a las administraciones públicas y tomar decisiones aunque uno de los obstáculos es la falta de capital externo. Queremos crear una industria digital, pero nos encontramos con que no hay costumbre aquí de invertir en estas actividades, lo que se convierte en un reto a superar.
Ha fundado y es presidente de Cybertix, firma cuyo objetivo es proteger a las empresas de ciberataques que tiene la formación como un eje central. ¿Observa un creciente interés por este ámbito?
Las nuevas generaciones se van acercando pero debemos diseñar ciclos más cortos de formación para que se incorporen con más agilidad. Más que de tener una carrera universitaria o una formación de FP, va de formación continua, de tratar que nadie se quede fuera de este sector. En Cybertix buscamos conocimiento para reforzar el pensamiento crítico y la ética digital, y una de nuestras vías para reforzarnos es atraer empresas como Zerolynx, empresa que adquirimos en marzo de este año con la que incorporamos nuevos servicios
