El hackeo de un coche como tal no tiene mucho misterio. Suele contener unos 20-30 microprocesadores, quizás el doble en algunos modelos, pero atacar el PLC (Power Line Communications) resulta fácil. Para los expertos, el verdadero desafío es abordar toda una clase de vehículos. En el laboratorio de la española S2 se experimenta sobre un coche junto a un punto de recarga y el objetivo consiste ‘zumbarse’ a toda una clase de dispositivos de carga, por ejemplo. Apagar todos los coches del mismo tipo en bloque los convierte en armas supersofisticadas.
Los sistemas no están preparados para evitarlo, ni siquiera están pensando en eso. Así como en el mundo del software un gigante tecnológico saca una actualización y en cuestión de minutos está a disposición de todo el mundo, en el caso del hardware, en el de los PLC, eso no sucede ni de lejos.
Tres expertos de la Fundación Mozilla, Jen Caltrider, Misha Rykov y Zoë MacDonald, acaban de analizar 25 marcas automovilísticas en términos de seguridad y de privacidad y, en todos los casos, han suspendido. Les han asignado su temida etiqueta ‘* Privacidad no incluida’, superando así los peores registros que ostentaba otra categoría de productos que, según dicen, “apesta a la privacidad”: la de las aplicaciones de salud mental. Presentan deficiencias incompatibles con la seguridad en el 63% de los casos.
Los coches tienen la posibilidad de recopilar más datos de nosotros que los propios móviles, desde información médica, a genética e incluso, sí, sexual; a los que hay que añadir cualquier indicador sobre modo de conducción, gustos estéticos y rasgos de nuestro carácter. El problema no es sólo que captan más datos de los que deberían, ni siquiera que los usen para sus propias campañas de marketing, sino que el 84% contemplan la posibilidad de compartirlos y el 76% incluso de venderlos.
Sólo Renault y Dacia, de entre las 25 marcas analizadas, aceptan que los conductores tienen derecho a la eliminación de sus datos personales, algo que los autores atribuyen al peso del RGPD europeo. En general hay serias dudas acerca de si, cuando damos el consentimiento sobre el uso de nuestros datos, estamos permitiendo también que se recopilen los de los acompañantes.
Esta investigación forma parte de los primeros síntomas de resaca tras la ola de entusiasmo en torno a la inteligencia artificial (IA) generativa. Nos encanta el reflujo de la tecnología, como si de un cabrilleo marino se tratara. Si no fuera un asunto tan delicado, podría pensarse que la obstinada campaña dirigida a poner de manifiesto sus vulnerabilidades está próxima a la mofa.
En el reciente evento Def Con 2023 celebrado en Las Vegas, con animosa presencia española, incluidos representantes de la Guardia Civil, quedó patente el interés de la Casa Blanca. Se pudo ver por los pasillos a Arati Prabhakar, asesora de ciencia y tecnología del presidente Joe Biden, y escuchar a la directora de la Agencia de Ciberseguridad e Infraestructura de Seguridad de Estados Unidos (CISA), Jen Easterly.
Los concursos del certamen para hallar vulnerabilidades, llamados red teaming, apostaron esta vez por usar palabras y no herramientas de hackers. Demostraron hasta qué punto la IA generativa ha sido diseñada sin tener en cuenta la seguridad.
Desde el estudiante que consigue que el chatbot le revele el número de una tarjeta de crédito, hasta el asistente conversacional Alexa interpretando un fragmento de una obra de Beethoven como una instrucción para encargar cien pizzas congeladas como cuentan Hyrum Anderson y Ram Shankar Siva Kumar en su libro. Investigadores de la ETH de Zúrich han probado que basta con corromper el 0,01% de un modelo de lenguaje extenso (LLM) para dañarlo, y eso se puede conseguir por apenas 60 euros.
También sobre el escenario, el presidente de Microsoft España, Alberto Granados, dejó sin palabras hace poco al nada impresionable auditorio del Encuentro de Ametic en Santander enseñando las diabluras que puede hacer la tecnología de OpenAI incrustada en las herramientas de Office. “Resúmeme el contrato y prepárame una presentación de Powerpoint, y ahí está”. Disfrutamos haciendo memes pasando la voz o las imágenes de un famoso por el tamiz de la IA, pero en un mundo que tiende a la automatización hay que estar vigilantes.
Los científicos han sugerido una regla empírica muy simple: todas las tareas que involucran solo un segundo de pensamiento pueden ser reemplazadas por análisis predictivos realizados por máquinas. La empresa aeronáutica Aciturri, con sede en Miranda del Ebro, encargó a un equipo que automatizara dos o tres procesos de su actividad y ya va por 200. Hasta el punto de haber creado una filial especializada en ello. “Hemos pasado de hacer un proceso cada 10 minutos a tres cada minuto”, me dice el director de Aciturri Tech, Carlos Noriega.
En la Inspección de Trabajo todavía no se acostumbran a dejar en manos de los algoritmos algunas de sus tareas, tal y como se decidió a principios de 2022. La clave estará siempre en la transparencia en la toma de las decisiones. Hasta los sindicatos mayoritarios, UGT y CCOO, manejan ya con soltura la taxonomía digital en la negociación de convenios. Europa es tan consciente como Estados Unidos de que debe lidiar con una IA que no ha sido diseñada desde la seguridad.
Ese va a ser un debate profundo para los gestores de la innovación, especialmente en un sector como el automóvil en el que el negocio digital superará pronto al que visionó Henry Ford hace más de un siglo: automatizar, asumiendo que eso implicará afrontar nuevos riesgos, o perder la carrera de la competitividad. Hay que andar con pies de plomo, pero la cabeza en el cielo.
