El caso Pegasus: ¿Puede la IA protegernos?

Escudándose en la seguridad nacional, las últimas décadas han visto un florecimiento de los sistemas de vigilancia y control de la sociedad en todo el planeta. Sin embargo no ha sido hasta hace pocos años que los sistemas de monitorización se han extendido y perfeccionado hasta llegar a niveles orwellianos. ¿Qué rol juegan los algoritmos de Inteligencia Artificial en todo ello? ¿Podemos hacer algo por evitar un futuro distópico de hípervigilancia donde el individuo pierda su libertad? ¡Veámoslo en Catch.batches!

Muchos políticos y líderes a lo largo y ancho del mundo aún piensan que son dueños de la sociedad, aunque sea en parte. Y ante algo que te pertenece, cualquier esfuerzo externo que busque cambiarlo, por legítimo o necesario que resulte, se vive como un ataque directo ante el cual es imperativo defenderse. Esto puede observarse en el actual clima de polarización política mundial, donde solo parecen caber los extremos, que emplean todo tipo de estrategias en aras de alcanzar sus propios objetivos. Por ejemplo, en las ultimas semanas se ha conocido el espionaje a algunos políticos españoles llevado a cabo por parte de los servicios de inteligencia nacionales, pero también hemos sido informados acerca cómo tecnologías de reconocimiento facial se están empleando en los campos de batalla de Ucrania.

El caso Pegasus: ¿Puede la IA protegernos?

Una investigación llevada a cabo por el diario Público ya desveló en 2020 que los servicios del CNI habían llevado a cabo operaciones de extracción de información mediante software de espionaje a diversos políticos españoles al menos desde el año 2015. Este software malicioso o malware, llamado así por realizar operaciones sin el consentimiento, (¡o incluso el conocimiento!) del dueño del dispositivo, parece aprovecharse de brechas de seguridad en los sistemas que infecta. Una vez un terminal está ha sido afectado, quien implantara el malware consigue acceso a toda la información almacenada en el dispositivo. El software es tan efectivo que permite incluso activar de manera que pase desapercibido el micrófono o la cámara. Sin embargo, al menos por el momento, este virus se limita (como si no fuera ya suficiente) a abrir de par en par las puertas a los datos contenidos en el dispositivo. La Inteligencia Artificial no parece tener cabida aún en cómo opera este virus informático avanzado.

Una de las particularidades de este malware es la complejidad para detectar su presencia. La mayoría de software similar, comúnmente conocidos como virus informáticos, dejan tras de sí una huella que puede rastrearse, analizarse y estudiarse para prevenir futuros ataques. De hecho, la mayor parte de actualizaciones en las apps de nuestros smartphones consisten en tapar “agujeros” de seguridad con “parches” a medida que se descubren nuevas vulnerabilidades.

Escudándose en la seguridad nacional, las últimas décadas han visto un florecimiento de los sistemas de vigilancia y control de la sociedad en todo el planeta. Sin embargo no ha sido hasta hace pocos años que los sistemas de monitorización se han extendido y perfeccionado hasta llegar a niveles orwellianos. ¿Qué rol juegan los algoritmos de Inteligencia Artificial en todo ello? ¿Podemos hacer algo por evitar un futuro distópico de hípervigilancia donde el individuo pierda su libertad? ¡Veámoslo en Catch.batches!

Muchos políticos y líderes a lo largo y ancho del mundo aún piensan que son dueños de la sociedad, aunque sea en parte. Y ante algo que te pertenece, cualquier esfuerzo externo que busque cambiarlo, por legítimo o necesario que resulte, se vive como un ataque directo ante el cual es imperativo defenderse. Esto puede observarse en el actual clima de polarización política mundial, donde solo parecen caber los extremos, que emplean todo tipo de estrategias en aras de alcanzar sus propios objetivos. Por ejemplo, en las ultimas semanas se ha conocido el espionaje a algunos políticos españoles llevado a cabo por parte de los servicios de inteligencia nacionales, pero también hemos sido informados acerca cómo tecnologías de reconocimiento facial se están empleando en los campos de batalla de Ucrania.

El caso Pegasus: ¿Puede la IA protegernos?

Una investigación llevada a cabo por el diario Público ya desveló en 2020 que los servicios del CNI habían llevado a cabo operaciones de extracción de información mediante software de espionaje a diversos políticos españoles al menos desde el año 2015. Este software malicioso o malware, llamado así por realizar operaciones sin el consentimiento, (¡o incluso el conocimiento!) del dueño del dispositivo, parece aprovecharse de brechas de seguridad en los sistemas que infecta. Una vez un terminal está ha sido afectado, quien implantara el malware consigue acceso a toda la información almacenada en el dispositivo. El software es tan efectivo que permite incluso activar de manera que pase desapercibido el micrófono o la cámara. Sin embargo, al menos por el momento, este virus se limita (como si no fuera ya suficiente) a abrir de par en par las puertas a los datos contenidos en el dispositivo. La Inteligencia Artificial no parece tener cabida aún en cómo opera este virus informático avanzado.

Una de las particularidades de este malware es la complejidad para detectar su presencia. La mayoría de software similar, comúnmente conocidos como virus informáticos, dejan tras de sí una huella que puede rastrearse, analizarse y estudiarse para prevenir futuros ataques. De hecho, la mayor parte de actualizaciones en las apps de nuestros smartphones consisten en tapar “agujeros” de seguridad con “parches” a medida que se descubren nuevas vulnerabilidades.

Figura 1: Esquema simplificado del proceso para valorar mediante aprendizaje de máquina si un archivo contiene malware o es seguro. El conocimiento previo y las muestras con que contemos de antemano determinan la capacidad de nuestro algoritmo.

in embargo, la democratización de las herramientas computacionales ha provocado que cada día se generen más de 450.000 nuevos virus informáticos, de acuerdo con un informe de AV-Test. Es fácil intuir que analizar manualmente cada virus es una tarea inabordable. Por ello hace ya años que es común que las empresas de desarrollo de programas antivirus y seguridad informática empleen machine learning en sus productos (resulta especialmente ilustrativo este informe de la empresa Kaspersky, donde detallan sus algoritmos de detección de malware).

Expertos entrenados en la detección de software malicioso evalúan de manera continua software para valorar si es benigno o no, de manera que se genera una base de datos de referencia donde aparecen patrones que permiten separar ambas categoría. Cuando aparece un nuevo archivo del cual desconocemos su función, un sistema automático puede sintetizar información sobre el tamaño en memoria del mismo, el código que ejecuta, su estructura, o la manera en que interactúa con el sistema de nuestro dispositivo. Esta información, al igual que para la base de datos de referencia, queda condensada en vectores que contienen toda la información relevante para que la IA estime por sí misma si el nuevo archivo es más similar a otro malware ya conocido, o por el contrario no compromete nuestra seguridad.

Pero como ya es costumbre comentar en Catch.batches, si no sabemos qué buscar (y ése es el caso del software Pegasus), nuestros sistemas de detección serán incapaces de determinar su potencial peligrosidad. Sin embargo, una vez conocido el problema, es cuestión de tiempo conocer cómo protegerse ante dicha amenaza. Como se dice coloquialmente, “las reglas están para romperlas”; todo sistema de seguridad está condenado a volverse obsoleto. Eso es precisamente lo que motiva el uso de sistemas inteligentes de extracción de patrones a alto nivel y por lo que pueden resultar tan sumamente útiles para la seguridad de todos nosotros.

Un ordenador ya te conoce “de vista”

Podemos asumir que la mayoría de rostros humanos tienen una disposición de sus elementos básicos muy similar: dos ojos, nariz, boca, mandíbula… Salvo contadas excepciones, todos “nos parecemos” en ese sentido. Por tanto, computacionalmente podemos describir un rostro como un conjunto localizado de puntos de interés, como se aprecia en la Figura 2.

Figura 2: Ejemplo de extracción de puntos de interés facial mediante un software automático, una de las estrategias más comunes a la hora de realizar tareas de reconocimiento facial para caracterizar el rostro de una persona..

Figura 3: Algoritmo para determinar si dos imágenes corresponden a la misma persona. Cuanto menor sea el ángulo entre las representaciones vectoriales, más probable será que ambas pertenezcan a una misma identidad.

Naturalmente, y más después de haber seguido nuestras anteriores publicaciones, uno se preguntaría cómo esto puede suponer un problema para el individuo anónimo, sin mayor relevancia o exposición pública. Y precisamente ése es el punto clave de la discusión en lugares tan diferentes como Reino Unido, Sudáfrica, Ucrania o China.

Muchos de nosotros, por no decir la mayoría, tendemos a prestar poca atención al rastro de información sobre nosotros mismos que dejamos de manera dispersa en redes sociales, foros y páginas web que visitamos. Es posible que  tenga Usted una cuenta en Facebook, Instagram o Linkedin, y que aparezca su rostro en su foto de perfil. Si ese es su caso, lamento comunicarle que, le guste o no, es probable que algún servicio de recogida de datos haya almacenado esa fotografía (Financial Times 2019MIT Tech. Rev. 2021) y le haya convertido en una persona perfectamente identificable por cualquier cámara con acceso a esa base de datos.

De hecho, la propia Microsoft se ha visto forzada a eliminar todo registro de una base de datos que contenía el rostro de millares de celebridades, periodistas y otros personajes públicos creada a partir de imágenes disponibles en abierto en Internet[1], y por tanto disponibles para cualquier con acceso a la red.  También ha llamado la atención del gran público conocer que Ucrania estaba contratando los servicios de la empresa Clearview, una compañía especializada en reconocimiento facial[2], para identificar espías rusos, así como prisioneros de guerra y la identidad de soldados fallecidos.

En China, el ya conocido como sistema de crédito social supone un peligro cada día más real (New Horizons 2022Wired 2019), llegando al punto de que públicamente se ha filtrado que el sistema, dentro del cual tiene una participación directa el gigante Huawei, puede orientarse específicamente al señalamiento y seguimiento de periodistas y opositores al régimen de Beijing. Esto lo vienen denunciando organizaciones como Big Brother Watch en Reino Unido desde hace años. Incluso en el centro financiero del Viejo Continente la policía ha llegado a detener a civiles en situaciones en las cuales el software policial disparó las alarmas al identificar erróneamente a algún individuo como un criminal buscado (The Guardian 2018Forbes 2019) . Y tal y como expone la periodista Karen Hao del MIT Technology Review, esta tecnología está sirviendo a las fuerzas de seguridad privadas que controlan el orden público en Sudáfrica para llevar a cabo seguimiento sistemático de aquellos elementos de la sociedad incómodos para los políticos[3].

¿Y qué puedo hacer yo al respecto?

Ciertamente, las perspectivas no son halagüeñas para aquellos de nosotros que aspiramos a ser dueños de nuestra propia vida. Por poner un ejemplo, ya se trabaja en cómo extraer de manera automática patrones que permitan identificar a una persona por el calor que emite su cuerpo[4], una propiedad que se acentúa en el rostro y que deja obsoletas las paredes y máscaras como método para esquivar el control al que algunos nos quieren someter.

Debemos tener claro que intentar prohibir el desarrollo de estas tecnologías, las cuales son en gran medida código abierto, es una empresa condenada al fracaso. Los agentes involucrados en la defensa genuina de los derechos ciudadanos deben por tanto realizar un esfuerzo adicional en la elaboración de leyes, pero sin descuidar el desarrollo simultáneo herramientas tecnológicas y culturales que se contrapongan a los potenciales malos usos de estos servicios de seguimiento, espionaje y control del ciudadano, minimizando las oportunidades de un uso impropio de estas herramientas.

Sería ingenuo sugerir que los problemas mencionados tienen una solución fácil. Que el desarrollo de cierta metodología o la labor legislativa pueden luchar esta batalla por nosotros. La realidad es que está en nuestra mano, tanto a nivel individual como institucional, el construir la sociedad que deseemos, y no simplemente dejarnos llevar por la inercia de un mundo que no siempre atiende a nuestros mejores intereses. La responsabilidad de hacer un uso responsable de la tecnología recae sobre cada uno de nosotros.

Referencias

[1]: Guo, Y., Zhang, L., Hu, Y., He, X., & Gao, J. (2016). MS-Celeb-1M: A Dataset and Benchmark for Large-Scale Face Recognition. ECCV.

[2]: R. D. Labati, D. De Angelis, B. Bertoglio, C. Cattaneo, F. Scotti and V. Piuri, «Automatic Face Recognition for Forensic Identification of Persons Deceased in Humanitarian Emergencies,» 2021 IEEE International Conference on Computational Intelligence and Virtual Environments for Measurement Systems and Applications (CIVEMSA), 2021, pp. 1-6, doi: 10.1109/CIVEMSA52099.2021.9493678.

[3]: “South Africa’s private surveillance machine is fueling a digital apartheid.”, Karen Hao para MIT Technology Review, 19 de Abril de 2022. Visitado por última vez el 25/04/2022.

[4]: Weidlich V. A. (2021). Thermal Infrared Face Recognition. Cureus, 13(3), e13736. https://doi.org/10.7759/cureus.13736.

Compartir :
Compartir en facebook
Compartir en twitter
Compartir en linkedin

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

¿Alguna pregunta?

Para más información sobre lo que hacemos, ponte en contacto con nosotros.