El poder geoeconómico de la ciberseguridad

Acaba de celebrarse en la ciudad de Las Rozas la jornada “Innovación en ciberseguridad y defensa: nuevos retos” organizada por Madrid Open Cities y Las Rozas Innova donde se han tratado los principales desafíos estratégicos para las ciudades, las empresas y las instituciones en un contexto global cada vez más digitalizado e interconectado.

Un encuentro tras unas semanas en las que la empresa estadounidense Anthropic fundada en 2021 por ex investigadores de ChatGPT de OpenAI y asociada con Google Cloud, presentase en abril su aplicación Claude Mythos Preview con 52.000 millones de parámetros entrenada en seguridad informática, que sin duda es el mayor hito disruptivo en ciberseguridad de la última década y un claro punto de inflexión en la muy reciente historia de la Inteligencia Artificial.

Este modelo de Inteligencia Artificial automatizada, diseñado con el objetivo de crear código ha resultado ser muy eficaz en detectar y explotar las vulnerabilidades en todo tipo de softwares complejos, y que ha demostrado tener una extraordinaria capacidad para identificar los fallos zero-day en todo tipo de software crítico, las ciberbrechas, tanto en los sistemas operativos como en los navegadores principales. Algunos de esos fallos habían estado ocultos durante más de una década, en numerosas aplicaciones que habían sido utilizadas millones de veces sin que ningún ser humano fuera consciente de la existencia de las brechas ahora detectadas. Según sus creadores, el programa de Inteligencia Artificial, aprendió por si solo a hackear, saltándose las numerosas barreras de seguridad y los controles, porque sabía programar muy bien.

Tenemos la certeza de que el riesgo cero en ciberseguridad no existe, pero también es cierto que es clave desarrollar de manera eficiente nuestra capacidad de anticipación de dichos riesgos en una etapa como la actual, de gran inestabilidad estructural en un mundo digital hiperconectado. Su potencial dual, tanto defensivo como ofensivo, está obligando a las grandes organizaciones, a las infraestructuras críticas, a las redes logísticas, a las centrales eléctricas, a la gestión de los cables submarinos incluidos a replantear sus estrategias de protección en un entorno donde la automatización de los ataques cibernéticos se acelera. Incluimos a las instituciones de defensa de los diferentes países europeos que conforman la OTAN.

Ya no es necesario ser un experto en tecnologías de información, para realizar un ataque sofisticado a bajo coste en el ciberespacio. Hoy es más fácil que nunca atacar y es suficiente dar la orden desde el anonimato de la red bajo los denominados ataques híbridos en los que se producen una combinación de acciones tales como el sabotaje, la coacción, el bloqueo de aplicaciones…lo que se conoce ya como la niebla de la guerra.

Parafraseando a Churchill cuando hablaba de Rusia, las vulnerabilidades cibernéticas futuras son un acertijo, envueltas en un misterio dentro de un enigma.

Desde el punto de vista del marco regulatorio europeo y para lograr la reducción de dichos riesgos, se aprueba el Reglamento de la Unión Europea 2022/2554, conocido como DORA, Digital Operational Resilience Act, que establece un marco normativo obligatorio de ciberresiliencia a las entidades financieras europeas aplicable desde enero del año 2025 para lograr un elevado nivel común de resiliencia operativa digital en el sector financiero. Busca garantizar que tanto estas compañías como sus proveedores de servicios tengan las medidas adecuadas para prevenir, detectar y gestionar los incidentes informáticos que puedan amenazar la estabilidad del sistema financiero. Entre los aspectos más relevantes, DORA introduce la obligación de notificar incidentes graves relacionados con las TIC a las autoridades competentes, además de incentivar la comunicación de ciberamenazas importantes de forma voluntaria exigiendo a las entidades financieras una gestión robusta de los riesgos TIC, realizando pruebas de resiliencia operativa.

DORA armoniza la protección cibernética en el sector financiero, enfrentando el desafío de integrar herramientas avanzadas como Mythos para cumplir con los requisitos de detección y de respuesta proactiva. Con este marco regulatorio, DORA fortalece la resiliencia operativa digital del sector financiero en la UE, asegurando un enfoque preventivo y coordinado frente a las ciberamenazas. Apoyando la resiliencia en el mundo de los ciberriesgos se avanza hacia un sector financiero más estable, con una base tecnológica sólida para proseguir la transformación digital, proceso vital en el que se encuentra inmerso el sector para mejorar su eficiencia y competitividad.

Además de la normativa, estamos asistiendo al acelerado desarrollo de la tecnología cuántica. En España ya contamos con ordenadores de este tipo en Barcelona y San Sebastián. Esta tecnología, está acelerando drásticamente los procesos de posible descifrado de los actuales algoritmos criptográficos. La computación cuántica permite realizar millones de operaciones simultáneas de forma exponencial. La criptografía y el cifrado que conocemos saltarán por los aires en una época de conectividad avanzada, alta velocidad y baja latencia.

Dichos algoritmos, RSA de factorización de números primos o ECC de ecuaciones algebraicas de curvas elípticas, de criptografía asimétrica que utilizan un par de claves, pública y privada, para asegurar datos y que son la base de la seguridad que conocemos, serán vulnerables ante un proceso de computación cuántica que aplique los algoritmos de Shor desarrollados en 1994, que calculan los factores primos de un número entero en tiempo polinómico de una forma eficiente.

En la práctica, esperamos un escenario a medio plazo que confirma una amenaza existencial tanto para los millones de datos en tránsito como aquellos que están bajo custodia, especialmente en los sectores críticos donde mantener la confidencialidad a largo plazo es esencial y base fundamental del negocio, un riesgo en ascenso, hasta que podamos contar con los nuevos algoritmos post cuánticos.

La Inteligencia Artificial de Mythos, combinada con los avances cuánticos, multiplica los riesgos para las principales infraestructuras críticas europeas. Mientras Mythos automatiza la búsqueda de las vulnerabilidades en código legacy, la computación cuántica permite romper aquellos códigos cifrados que antes se consideraban totalmente seguros. En el entorno europeo estos riesgos afectarían de lleno a las redes energéticas y de telecomunicaciones, incluida la red 5G, a los sistemas electrónicos de pago y de transacciones financieras, a los principales sistemas de transporte aéreo y de movilidad urbana incluidos los semáforos, así como a los servicios sanitarios recibidos de la red publico privada de hospitales. Diferentes ámbitos donde el éxito de un ataque podría causar una serie de disrupciones en cadena, con un masivo impacto económico, en la línea de lo que experimentamos con el gran apagón eléctrico a cero ocurrido en España hace ya un año.

La normativa DORA tiene el reto de evolucionar para incorporar tanto la amenaza cuántica como las capacidades demostradas de Mythos. En este marco protector, también juega un papel clave la Directiva NIS 2 (UE 2022/2555) una normativa de ciberseguridad que establece un nivel común de seguridad para las redes y los sistemas de información de la Unión Europea ampliando los sectores críticos regulados y endureciendo las medidas de gestión de riesgos y las correspondientes sanciones.

Las entidades financieras deben realizar ya pruebas que simulen los ataques híbridos, utilizando la Inteligencia Artificial para la explotación de los fallos y la computación cuántica para la ruptura criptográfica, elevando los estándares de cumplimiento actuales.

En términos del impacto geoeconómico esperado en Europa, este es muy profundo dada nuestra operativa bajo la dependencia de extensas infraestructuras digitales interconectadas entre si. La realidad es que un retraso en la adopción de una nueva y eficaz criptografía postcuántica puede erosionar la competitividad europea frente a las grandes potencias como los Estados Unidos y China, que llevan décadas invirtiendo en este tipo de tecnologías disruptivas. Adicionalmente, debemos ser conscientes que nuestra fragmentación regulatoria y tecnológica dificulta contar con una real soberanía digital de la industria europea.

En el plano militar, Mythos está acelerando la carrera armamentística cibernética en el marco geopolítico y geoeconómico actual de alta tensión. Mythos detecta de una forma masiva las vulnerabilidades, una herramienta que en su versión completa será utilizada tanto en los escenarios de espionaje estatal como en el sabotaje económico. Europa, con un amplio mercado único digital, se convierte en un objetivo prioritario para los ciberataques, donde el fallo en un país afectaría también a todos aquellos que estén interconectados al atacado. Recordemos que hemos construido un jardín botánico en medio de un parque jurásico, y olvidamos a menudo que nos rodea el mal.

La transición a una criptografía resistente a la computación cuántica, impulsada por las recomendaciones europeas, debería ser una realidad en 2030 para las principales infraestructuras críticas. DORA puede convertirse en el marco jurídico que sirva de base para extender los requisitos establecidos en la industria financiera al resto de los sectores esenciales. Es un hecho que no es sencillo hacerlo realidad, dado que los elevados costes de migración y la escasez de un talento especializado están generando importantes desigualdades entre los diferentes Estados miembros, afectando además a la cohesión económica.

La integración de herramientas como Mythos en las estrategias de cumplimiento de DORA es una oportunidad para fortalecer la resiliencia europea. Usada de una forma controlada y restringida a un numero de organizaciones seleccionadas, tal y como ya ha realizado Anthropic con 12 organizaciones bajo una alianza estratégica con Microsoft, Google, Amazon y Apple, en el proyecto Glasswing, esta Inteligencia Artificial de frontera permitiría una gran proactividad en la corrección de los fallos antes de que nuestros adversarios potencialmente con acceso cuántico, Rusia, Irán y Corea del Norte, los exploten. Una estrategia de esta naturaleza posicionaría a Europa como líder en ciberdefensa avanzada.

Desde el punto de vista de la geoeconomía, la vulnerabilidad cuántica europea amenaza directamente a la confianza en nuestros mercados financieros. Un descifrado masivo de las transacciones históricas o actuales mediante la combinación de la computación cuántica y de la Inteligencia Artificial puede erosionar la estabilidad económica. Esta falta de confianza podría desviar la inversión actual hacia jurisdicciones más seguras, reduciendo el potencial del atractivo de Europa como un hub financiero global.

La convergencia de Mythos, la normativa DORA y la amenaza cuántica exige una estrategia europea unificada sobre una verdadera soberanía tecnológica. Debemos invertir en desarrollar unas capacidades propias de una Inteligencia Artificial de apoyo a la ciberdefensa. Una computación cuántica segura no solo mitigaría los riesgos, sino que contribuirá a la generación de nuevas industrias y empleos cualificados en el seno de Europa. Caso contrario, Europa se quedará fundamentalmente como dependiente de una serie de tecnologías externas, con unas implicaciones estratégicas negativas.

En resumen, los elementos analizados configuran un escenario donde la ciberseguridad se convierte en un factor clave de poder geoeconómico. Mythos ilustra el potencial de la Inteligencia Artificial, DORA puede proporcionar el marco regulatorio adecuado y la computación cuántica marca el reloj de la obsolescencia criptográfica.

Europa debe actuar con urgencia sobre la protección de sus infraestructuras críticas para transformar las amenazas descritas en oportunidades de liderazgo tecnológico y económico en las décadas venideras.

Lux futura, tempus opportunum

José Luis Moreno, economista, ha sido director de Economía en la Comunidad de Madrid y en el Ayuntamiento de Madrid. Autor de Geoeconomía estratégica con ESIC