El grupo CRISES, referente internacional desde hace muchos años, centra la intensa investigación de la URV alrededor de la seguridad y la privacidad en entornos informáticos y digitales, con la gestión de la inteligencia artificial como reto añadido

“Es como una carrera constante entre los atacantes cibernéticos y los que trabajamos para garantizar la seguridad, en que se trata de ser más rápidos y más listos.” Oriol Farràs, uno de los miembros del grupo de investigación CRISES de la Universitat Rovira i Virgili, referente internacional en ciberseguridad, tiene todo un reto: avanzarse al desarrollo de los ordenadores cuánticos, que, según algunas previsiones, acabarán sustituyendo los ordenadores convencionales y desmontarán los protocolos actuales de seguridad cibernética. Si la computación cuántica, que superpone y entrelaza datos por su capacidad de estar en dos estados simultáneamente, lo cual le permite resolver cálculos muy complejos, continúa evolucionando, se prevé que se creen ordenadores potentes y cada vez más extendidos que podrían descifrar informaciones encriptadas con mucha más facilidad que los convencionales.

“Se trata, por lo tanto, de encontrar esquemas alternativos, nuevos estándares de seguridad que continúen siendo difíciles de descifrar y que no sean vulnerables en ataques cuánticos”, explica Oriol Farràs, que recuerda el peligro que para la seguridad supondría la posibilidad de encontrar puertas de entrada a blockchains (libros de contabilidad y datos compartidos), a aplicaciones de mensajería, en canales de comunicación segura con navegadores… O de falsificar o hacer un uso fraudulento de firmas digitales, con lo que todo esto implica.

Así, el trabajo de Oriol Farràs se basa, por un lado, en encontrar problemas matemáticos, métodos de cifrado, cada vez más robustos y, por otro, desarrollar aceleradores para los nuevos estándares de seguridad, que de momento son demasiado lentos, en colaboración con el Barcelona Supercomputing Center. “Tenemos que conseguir que la seguridad postcuántica no implique grandes demoras o repercusiones negativas en la comunicación digital”, afirma.

La carrera es constante, sin final, puesto que hay que garantizar la seguridad a sabiendas de que los mismos adelantos tecnológicos en que se basa la investigación son los que facilitan los ataques. Hay que ir neutralizando las amenazas a medida que surgen otras nuevas.

La línea de investigación de Oriol Farràs es una de las principales en que se trabaja desde el grupo CRISES-Security & Privacy del Departamento de Ingeniería y Matemáticas de la URV, que hace más de dos décadas que se dedica a hacer investigación sobre ciberseguridad y privacidad. “Hay un momento en que internet se generaliza, todo el mundo está conectado y es cuando la gente se da cuenta que hay problemas de ciberseguridad. Aparecen virus, ataques cada vez más sofisticados, y es cuando vemos que hay que investigar a fondo.” Lo explica Josep Domingo-Ferrer, director del grupo de investigación y el investigador más citado del estado en ciberseguridad y el vigésimo octavo del mundo. Domingo-Ferrer también coordina desde la URV el CYBERCAT, el centro de investigación en ciberseguridad de Cataluña que agrupa siete grupos de investigación de seis universidades del país.

“Cada vez más parte de nuestra vida tiene lugar en el mundo virtual. Tradicionalmente era suficiente asegurando el mundo físico, con policía y ejército, pero en este momento hay que asegurar el virtual. Sin seguridad no hay civilización, y por eso es básico, pero también hay que garantizar, por ejemplo, la privacidad, que tu vida no esté expuesta”, explica Domingo-Ferrer. De hecho, según él, “hay que ser más celosos de la privacidad en el mundo virtual que en el físico puesto que no puedes ver quién te está observando, y quien te observa puede ser que no tenga buenas intenciones”.

En los tiempos actuales, la inteligencia artificial es una herramienta que facilita mucho las cosas a todos los niveles, pero también abre un nuevo frente en la carrera por la seguridad y la privacidad. En este sentido, Josep Domingo-Ferrer y otro catedrático del grupo, David Sánchez, centran su línea de investigación en hacer que la IA sea confiable, es decir, que no pueda ser atacada para distorsionar el aprendizaje y que los datos de entrenamiento, los que se utilizan para desarrollarla y que generalmente son privados, no puedan ser compartidos más allá de esta función.

La carrera es constante, sin final, puesto que hay que garantizar la seguridad a sabiendas de que los mismos adelantos tecnológicos en que se basa la investigación son los que facilitan los ataques

Trabajan, por ejemplo, alrededor del llamado olvido digital. “El reglamento general de protección de datos dice que todo el mundo tiene derecho a que sus datos desaparezcan de los sistemas informáticos, que por ejemplo Google no devuelva resultados que tú no quieres que devuelva”, explica Domingo-Ferrer, que asegura que este derecho es más difícil de garantizar en modelos de lenguaje como por ejemplo el ChatGPT, puesto que han sido entrenados con todos los datos disponibles y cuesta más discernir los datos que en un momento dado alguien pide que sean eliminadas: “Por lo tanto, para eliminar del todo estos datos habría que volver a entrenar el modelo desde cero, lo cual sería muy costosa. De todos modos, existen métodos de desaprenentaje que lo hacen de manera más rápida, pero sin garantía total. Lo que nosotros buscamos son modelos que sean bastante rápidos y que den el máximo de garantías de privacidad.”

El equilibrio entre seguridad y privacidad también es una de las preocupaciones de Rolando Trujillo. Por ejemplo, este investigador trabaja en un proyecto, con la colaboración de empresas de comunicación, que busca comprobar si un sistema para luchar contra la desinformación, que se dedica a autenticar imágenes y videos que circulan por internet, cumple con sus objetivos y, al mismo tiempo, con la privacidad: “Cuando para validar la imagen se añade una firma, se pone en entredicho la privacidad puesto que se facilita la identidad de quien ha hecho la fotografía. Lo que tenemos que hacer es calibrar este balance entre privacidad e información contrastada.”

Principalmente, Trujillo se dedica a buscar métodos formales para comprobar la seguridad de un producto de manera automática: “Cualquier sistema informático tiene un periodo de prueba para saber si la implementación del software y el diseño cumplen con las propiedades que se le piden. Es decir, que no implemente funciones adicionales, puesto que son las explotadas por los hackers, que disponen de así puertas de entrada. Es fácil definir qué esperamos del software, pero no tanto definir lo que no esperamos. Por lo tanto, intentamos demostrar de manera matemática, dada una especificación de un software, como por ejemplo la aplicación de mensajería de Whatsapp, que cumple exactamente con las propiedades que se esperan, es decir, si se mantiene robusto ante la amenaza de los hackers.”

Los tipos de software que intenta verificar Rolando Trujillo son, generalmente, protocolos de seguridad de aplicaciones de mensajería o los que se utilizan en las tarjetas de pago, por ejemplo, los que verifican la proximidad entre dos dispositivos para asegurar que el pago se hace en la terminal que toca.

Los investigadores de CRISES buscan una demostración matemática para obtener una valoración objetiva del grado de seguridad de un sistema. Estas herramientas de verificación formal se encargan de explorar todos los estados posibles del software (en una aplicación de mensajería son, por ejemplo, el envío, la respuesta, el hecho de estar en línea…) y cuando detecta a través de una fórmula matemática que hay uno de inválido, donde se viola una propiedad de seguridad, avisa e informa del camino a través del cual ha llegado, que seria el que seguiría el hacker. “Nuestro trabajo ayuda a encontrar, a través de razonamientos por ordenador, errores muy sutiles que se escapan de los ojos humanos y que pueden ser caminos de entrada para ataques”, explica.

La dificultad es que hace falta cierta abstracción puesto que el mundo real es muy difícil de definir de manera precisa, y a menudo demostrar que cierta propiedad se cumple no es fácil porque las herramientas a menudo no pueden resolver situaciones no decidibles, es decir, que no son ciertas o falsas, sino que hay matices que obligan a ayudarlas, reforzarlas, por ejemplo mediante teoremas. “Estamos, por lo tanto, entre la computación y las matemáticas”, apunta Trujillo, nacido en Cuba y que, después de largas estancias en Luxemburgo y Australia, ha vuelto a la URV, donde tiempo atrás defendió la tesis doctoral sobre, precisamente, protocolos de seguridad que no impliquen un aumento de los costes de los dispositivos.

La expansión de internet, y su implementación en objetos cotidianos, también aumenta las posibilidades tecnológicas, pero, como en la carrera a que hacía referencia Oriol Farràs, obliga a los investigadores a mantener el ritmo y actualizar sus investigaciones. Es el caso de Jordi Castellà, experto en la seguridad del vehículo conectado. Por ejemplo, trata el acceso de los coches a las zonas de bajas emisiones de las áreas urbanas, con muchas cámaras que registran matrículas. “La privacidad, por lo tanto, queda en entredicho con estas cámaras, puesto que se pueden saber los movimientos de mucha gente, donde viven, a qué hora y donde van a trabajar… La apuesta es hacerlo desde los dispositivos móviles, a través de los cuales se avisa que podemos acceder pero sin identificarnos. Y, quien no pueda entrar y lo haga, entonces sí que será identificado.” La eliminación de la privacidad como castigo. Según Castellà, las mismas cámaras de los vehículos se pueden aprovechar para controlar los otros coches y reportar situaciones irregulares.

Todos los proyectos están preparados para ser aplicados cuando les haga falta a las administraciones, siempre atentas a los adelantos de un grupo de investigación que consideran líder

La privacidad también se pone en riesgo en la red inteligente de electricidad a través de paneles solares, en que los mismos consumidores de energía son productores. “Como hay que hacer previsiones con los históricos de consumo se necesitan datos, y hay el peligro de que si estos datos son demasiado públicos se puedan saber todos los movimientos de una casa. Si se automatiza con métodos inteligente, la información está igualmente, pero se protege la privacidad de cada usuario”, razona Castellà.

Por ejemplo, se consigue entrenando la inteligencia artificial con muchos datos de consumo, que los mismos usuarios pueden dar pero sin identificarse. Es el llamado aprendizaje federado. Cuantos más datos, más ajustada será la previsión, y también los ajustamientos automáticos del consumo para hacerlo más eficiente, y menos visibles serán los datos individuales.

Aun así, porque los datos que alimentan la IA sean realmente fiables, hay que tener permiso y hay que saber la trazabilidad (de donde vienen, qué condicionantes tienen…), pero en los dos casos garantizando la privacidad. En este sentido, los smart contracts (contratos inteligentes) entre usuarios y empresas son clave para garantizar la privacidad, puesto que consta a que se ha dado permiso y se pueden cancelar o actualizar en cualquier momento. “El reto es mantener esta trazabilidad para que los datos sean fiables, pero sin desvelar el origen. Garantizar, al mismo tiempo, la trazabilidad y la privacidad”, concluye Castellà.

Mucha de esta investigación se hace en colaboración con empresas, de las cuales se obtiene información para avanzar con los estudios, además de feedback, y en contacto con las administraciones, atentas a cualquier adelanto en materia de ciberseguridad y privacidad y que tienen los investigadores del grupo CRISES de la URV entre los referentes en este ámbito. “La expectativa es que el conocimiento que desarrollamos internamente, tanto el que sale de la actividad académica como que el que desarrollamos inspirándonos en la actividad privada, acabe siendo usado por empresas y por administraciones”, afirma Rolando Trujillo. En cuanto a la actividad académica, la URV imparte desde hace años el Máster universitario en Ingeniería de la Seguridad Informática e inteligencia Artificial. “Todos nuestros proyectos están preparados para ser aplicados cuando haga falta a las administraciones”, apunta Jordi Castellà.

https://vimeo.com/1080064286/bb758f14b2

La ciberseguridad es de gran importancia en el contexto internacional actual, con bloques polarizados y amenazas bélicas y terroristas latentes. Es por eso, tal y como recuerda Josep Domingo-Ferrer, que el doble uso, civil y militar, de muchos de los adelantos que se desallorren en estos campos se tiene mucho en cuenta en la hora de financiar proyectos. Domingo-Ferrer tiene claro que hay que preservar valores, no solo la privacidad sino otros como por ejemplo la equidad, la no discriminación, el respeto y el diálogo, y que en un momento en que el populismo y el refuerzo de los estados están en auge, es Europa quién las tiene que garantizar. Pero también avisa que el exceso de celo alrededor, por ejemplo, de las implicaciones éticas de la inteligencia artificial, exagerarlas, puede ser contraproducente y hacer que Europa, el bloque más débil tecnológicamente, se continúe alejando de los otros.

De hecho, Domingo-Ferrer explica que David Sánchez y él encabezan una línea de investigación para establecer cuáles son los peligros reales, con argumentos tecnológicos y científicos, que puede tener la IA y la gestión de datos para que los legisladores hagan leyes realistas. De hecho, Europa está dispuesta a flexibilizar las leyes alrededor de la inteligencia artificial, puesto que, como recuerda Josep Domingo-Ferrer, se está demostrando que los riesgos para la privacidad se han exagerado y se ha creado un alarmismo no suficientemente justificado. En definitiva, que en esta carrera de fondo los valores sean una motivación para mantener la delantera, pero no una carga excesiva que dé ventaja al perseguidor.