El legendario ladrón de bancos estadounidense Willie Sutton pasó 40 años robando bancos porque, como afirmó en su autobiografía, le encantaba hacerlo. Y cuando le preguntaron por qué elegía bancos, de todos los sitios, para robar, supuestamente respondió: “Porque ahí está el dinero.”
En 2017, escribí un libro prediciendo que no solo serían villanos entrañables como Sutton quienes pronto estarían robando bancos, sino la inteligencia artificial (IA).
Parece que ese día podría estar a punto de llegar. Los bancos de todo el mundo están seriamente preocupados de que los ciberdelincuentes pronto aprovechen los últimos avances en IA para intentar robarles.
La puerta trasera digital hacia la cámara fuerte
La preocupación del mundo financiero radica en las impresionantes capacidades cibernéticas de un producto llamado “Mythos”. Este es el modelo de IA más reciente y capaz de Anthropic, la empresa detrás del popular chatbot Claude.
Como miembro del público, no puedes acceder ni usar este modelo – por ahora. Eso se debe a que Anthropic (y muchos otros) creen que Mythos es demasiado capaz de lanzarse a un mundo desprevenido.
Las pruebas internas de Mythos han descubierto miles de vulnerabilidades graves de seguridad en todos los sistemas operativos y navegadores principales de la empresa.
Algunas de estas vulnerabilidades han pasado desapercibidas durante décadas. Muchas son lo que los expertos en tecnología llaman vulnerabilidades “zero day” – ataques tan peligrosos que los desarrolladores necesitan arreglarlos en un plazo de cero días.
No para uso público
Para contrarrestar esta amenaza emergente, Anthropic ha puesto el modelo a disposición de una docena de socios de una coalición defensiva que incluye a Microsoft, Amazon Web Services, Apple, Cisco y la Linux Foundation.
La empresa también ha comprometido 100 millones de dólares estadounidenses en créditos de uso y 4 millones de dólares estadounidenses en subvenciones de código abierto para empezar a encontrar y corregir estos fallos.
Además, más de 40 organizaciones adicionales —incluidos varios bancos estadounidenses— también han recibido acceso. Pero, preocupantemente, hasta donde sabemos, Anthropic aún no ha concedido acceso a ningún banco en Australia, Reino Unido o Europa.
Para aumentar las preocupaciones, el miércoles Anthropic confirmó que estaba investigando afirmaciones en un informe de Bloomberg de que un pequeño grupo de usuarios no autorizados había accedido a Mythos. Sin embargo, en esta fase, no hay indicios de que este supuesto acceso fuera con fines maliciosos.
Te puede interesar: Crece número de líneas celulares activas a 144.5 millones
¿Deberías preocuparte?
La semana pasada, reguladores y responsables políticos de todo el mundo se reunieron en la reunión de primavera del Fondo Monetario Internacional en Washington. La guerra de Irán fue un foco principal. Pero los asistentes también emitieron una serie de advertencias sobre esta amenaza emergente de ciberseguridad para la industria bancaria.
No solo los bancos son un objetivo atractivo, ya que está donde está el dinero, sino que la industria funciona con muchos sistemas heredados, tecnología de décadas que puede ser especialmente vulnerable a este tipo de ataques.
Personalmente, no tienes que preocuparte demasiado. Muchos países tienen fuertes protecciones para los clientes bancarios. En Australia, por ejemplo, los primeros 250,000 dólares australianos de los depósitos de un cliente se aseguran a través del Financial Claims Scheme, respaldado por el gobierno.
Y la Comisión Australiana de Valores e Inversiones se asegura de que los bancos investiguen y reembolsen las transacciones fraudulentas cuando el cliente no tiene culpa.
Así que probablemente no sea buena idea retirar tu dinero y meterlo bajo el colchón. Pero los bancos deberían estar (y están) apresurándose a cubrir estas vulnerabilidades.
Te recomendaría actualizar regularmente tu ordenador y smartphone para tener el sistema operativo y las aplicaciones bancarias más recientes. Probablemente habrá muchas más actualizaciones en un futuro cercano a medida que se descubran y parcheen nuevas vulnerabilidades.
Y, como seguro que has sido, debes estar siempre atento a los ataques de phishing por correo electrónico y SMS que intenten obtener tus credenciales bancarias.
El panorama de amenazas en evolución
A largo plazo, Mythos pone de manifiesto el desafío de que la defensa es mucho más difícil que el ataque. El software es uno de los productos más complejos que la humanidad construye. Por lo tanto, es casi imposible garantizar que esté libre de errores.
Eso nos pone en una carrera interminable contra los “malos” para descubrir y corregir fallos antes de que sean explotados.
Por ejemplo, con gran alboroto, la Unión Europea acaba de lanzar su aplicación de verificación de edad, diseñada para ser una piedra angular de las leyes emergentes sobre acceso a redes sociales, pornografía y otros contenidos restringidos por edad. Sin embargo, en cuestión de horas, expertos en seguridad encontraron vulnerabilidades cibernéticas que los usuarios menores de edad podían explotar fácilmente.
En los entornos más críticos, podemos intentar demostrar matemáticamente que nuestro software está libre de errores. Por ejemplo, la Beneficial AI Foundation acaba de anunciar un ambicioso proyecto “moonshot” para demostrar que la popular aplicación de mensajería Signal está libre de errores y protege la privacidad tal y como se afirma.
Pero tales esfuerzos son hoy la excepción y no la norma. Quizá futuros avances en IA puedan ayudar pronto a revertir esto.
*Toby Walsh es Profesor de IA, líder de grupo de investigación en la UNSW Sydney.
Este artículo fue publicado originalmente en The Conversation/Reuters
