Cubadebate

Sean bienvenidos una vez más a Código Seguro, mis estimados lectores de cada viernes. Dediquemos en el día de hoy, un espacio en la columna para hablarles acerca del fascinante mundo de la Inteligencia Artificial (IA) y los riesgos que trae consigo en torno a la ciberseguridad. Por un momento pensemos que estamos llamando nuestro banco para solucionar un problema con una transferencia. Al otro lado de la línea, una voz amable y sorprendentemente eficiente responde a todas tus preguntas, resuelve tu incidencia en minutos y, con una precisión envidiable, hasta te ofrece un producto financiero que se adapta perfectamente a tu perfil. Cuelgas el teléfono satisfecho, con la sensación de haber sido atendido por un empleado excepcional.

Pero ¿y si te dijera que no has intercambiado ni una sola palabra con un ser humano? ¿Lo creerías posible? Es momento de decirte que has sido un más de los que ha interactuado con normalidad ante una IA, una entidad digital que, para los sistemas internos de la entidad bancaria, existe como un empleado más: tiene su propio identificador de usuario, su propia dirección de correo corporativo y sus propios y amplios permisos para acceder, modificar y gestionar datos sensibles, incluidos los tuyos. Esta no es una escena de ciencia ficción, sino la realidad tangible que se está instalando en hospitales, empresas y entidades financieras. Nos adentramos en la era de las "identidades no humanas", y su crecimiento representa uno de los desafíos de ciberseguridad más complejos y, paradójicamente, más ignorados de la última década.

Estas identidades, en esencia, son perfiles digitales creados específicamente para máquinas, softwares y algoritmos. No son simples herramientas, sino "empleados digitales" a los que se les otorga una identidad dentro de una red para que puedan funcionar de forma autónoma. Las encontramos en los bots que revisan el inventario de un almacén, en los agentes de IA que analizan historiales médicos para utilizarlos en diagnósticos, y en los sistemas que ejecutan transacciones crediticias en milisegundos. Es importante que se entienda que estos agentes son un sistema de software que utiliza la IA para realizar tareas, perseguir objetivos y tomar decisiones de forma autónoma. Los mismos aprenden de los datos y los comentarios de los usuarios y se adaptan con el tiempo. En general actúan en nombre de los usuarios con una mínima intervención humana.

Su número se multiplica a un muy buen ritmo, y se estima que, en pocos años, superarán con creces a las identidades humanas en muchas organizaciones. La eficiencia que prometen es innegable ya que trabajan en un régimen de 24 horas los siete días de la semana, no cometen errores por cansancio y pueden procesar volúmenes de información impensables para una persona. El progreso que encarnan es inmenso, pero aquí yace precisamente la raíz del problema: nuestra precipitación por adoptar sus beneficios nos está haciendo descuidar por completo su seguridad.

La arquitectura técnica detrás de estas identidades es fascinante pero vulnerable. A diferencia de un empleado humano que utiliza un nombre de usuario y contraseña -y posiblemente un factor de autenticación adicional-, las identidades no humanas suelen autenticarse mediante tokens de API, certificados digitales o claves de servicio. Estos mecanismos, aunque técnicamente robustos, presentan un desafío único: son credenciales estáticas que rara vez se rotan (se cambian) y que frecuentemente tienen permisos excesivos. Un ejemplo concreto: un desarrollador crea un script para automatizar backups y le asigna una identidad con permisos de "administrador" porque es la forma más rápida de que funcione. Ese script, y su poderosa llave de acceso, puede permanecer años sin actualizarse, convirtiéndose en lo que los especialistas llamamos "secretos digitales olvidados" en el código.

El riesgo crítico no reside en que estas IA desarrollen conciencia propia y se rebelen, como pintan las distopías hollywoodenses. El peligro real, y mucho más inmediato, es que sean secuestradas. Pensémoslo de esta manera: cuando una empresa contrata a una persona, sigue un protocolo. Le hace una entrevista, verifica sus referencias, le proporciona formación sobre seguridad y confidencialidad, y le asigna un nivel de acceso específico a la información. Con una Identidad No Humana, este proceso a menudo se reduce a unos clics. Un desarrollador puede crear un perfil para un agente de IA con permisos de alto nivel porque es lo más rápido para que un proyecto funcione, y luego ese perfil se olvida en un rincón oscuro del sistema. Se convierte, sin quererlo, en una llave maestra digital abandonada.

Si un ciberdelincuente logra robar las credenciales de acceso de este "empleado fantasma", obtendrá algo mucho más valioso que una contraseña humana: tendrá un cómplice automático, incansable y que no levanta sospechas dentro de la red. Esta entidad secuestrada puede ser utilizada para desviar fondos de forma silenciosa, robar gigantescas bases de datos de clientes o incluso sabotear infraestructuras críticas, todo a una escala y una velocidad que un humano jamás podría alcanzar. Se imaginan que peligro pueden representar todo esto y sin ser extremadamente crítico siempre hay que analizar su costo y el beneficio que pueden representar antes de implantarlas.

Y como siempre les digo, la amenaza, por lo tanto, no es la IA en sí misma, sino nuestra alarmante falta de preparación para gestionar la vasta y creciente "población digital" que estamos creando hoy día. Es comparable a construir una metrópolis de la noche a la mañana, llenándola con millones de nuevos habitantes invisibles, cada uno con la llave de una oficina importante, una caja fuerte o un archivo confidencial, pero sin un registro central que sepa cuántos son exactamente, sin un cuerpo de policía que los vigile y, lo más preocupante, sin que nadie se pregunte periódicamente si siguen necesitando todas esas llaves. Los departamentos de Tecnología de la Información tradicionales, acostumbrados a gestionar identidades humanas, no están equipados para el reto que supone monitorizar, auditar y gobernar miles de identidades máquina que interactúan entre sí a velocidades de nanosegundos.

El futuro de la ciberseguridad ha dado un giro copernicano. Ya no se trata solo de proteger a las personas de los hackers, sino de aprender a gobernar y proteger un complejo sistema donde la mayoría de los usuarios activos pueden no ser humanos. La tarea urgente para empresas y gobiernos es desarrollar nuevos marcos de seguridad que traten a estas identidades no humanas con la misma seriedad que a las humanas: inventariarlas, aplicar el principio de mínimo privilegio (dándoles solo el acceso estrictamente necesario), monitorizar su comportamiento en busca de anomalías y establecer protocolos para "jubilarlas" cuando dejen de ser útiles.

Al darles una identidad, les hemos concedido un lugar en nuestro mundo. Nuestra responsabilidad colectiva ahora es asegurarnos de que, al hacerlo, no les estemos entregando también las llaves de nuestro reino más preciado sin un candado lo suficientemente fuerte y una alarma que suene a tiempo. La próxima gran brecha de seguridad podría no venir de una persona, sino de una cuenta de máquina a la que simplemente nos olvidamos de vigilar. Por hoy nos despedimos hasta la próxima semana.