Tanto la computación cuántica como la inteligencia artificial, provocaban acaloradas discusiones filosóficas en la universidad de Essex en 1979. Pero eran debates teóricos y sumamente especulativos.
Como sabemos, la inteligencia artificial (IA) es una realidad y la computación cuántica (CC) está a punto de irrumpir en el mercado con gran fuerza y velocidad. Lo que ninguno de nosotros previó en 1979 fue la manera como estas dos tecnologías iban a trabajar juntas para, entre otras cosas, cambiar para siempre el panorama de la ciberseguridad.
El 22 de setiembre tuve la oportunidad de entrevistar sobre el tema a Roger Pardo Maurer en el escenario del TEDxPuraVida. Roger, como veterano de guerra —estuvo en Iraq y Afganistán— y exsubsecretario de Defensa de EE. UU., es un gran conocedor de las guerras modernas, y no solo las de balas y cañones, sino también la ciberguerra que está en curso a escala global.
Roger explicó que todas las batallas, en todas las eras, tienen un arma que las define. El arma de las guerras actuales es el teléfono celular conectado a internet. Comentó cómo desde la cocina de su casa en Washington, el año pasado, durante la lucha por salir de Kabul, pudo coordinar el rescate de un muchacho de 15 años que se encontraba en medio de un tumulto a solo cinco metros del portón del aeropuerto.
Después de esta entrevista, escuché un pódcast de The Economist sobre el uso que se da a la inteligencia abierta u open source intelligence (Osint) en Ucrania y otros conflictos recientes. Existen satélites comerciales (antes solo eran militares) que proporcionan cantidades de imágenes disponibles para quien las quiera ver, incluidas unas llamadas SAR, esto es, synthetic aperture radar, más difíciles de interpretar, pero que no son tapadas por las nubes y pueden traspasar algunos tipos de techos.
Si a estas novedosas herramientas a disposición de la población civil agregamos las redes sociales, utilizadas indiscriminadamente por soldados de ambos lados de un conflicto (postean selfis fácilmente geolocalizables por las edificaciones y otras señas que se incluyen en el fondo de las tomas), entonces, periodistas y activistas tienen la posibilidad de deducir enormes cantidades de información antes reservada a unos pocos, como por ejemplo determinar el movimiento de tropas y prever dónde serán las próximas batallas, así como la cantidad de efectivos. Todo esto solo gracias al efecto del celular dotado de un GPS y otros sensores, y conectado a internet.
La CC es algo verdaderamente complejo. Empezando porque necesitamos físicos para que nos expliquen cómo funciona, ya la cosa se pone peluda, pero la verdad es que solo es preciso saber que se trata de muchas órdenes de magnitud más veloz que la computadora clásica.
El término supremacía cuántica se definió hace años como el momento en que una computadora cuántica supera en velocidad de cálculo a la mayor supercomputadora clásica. Ya ha habido varias máquinas que reclaman ese título, de empresas como Google e IBM. De esta última, la más veloz data del 2019 y fue superada dos veces por desarrollos de China, cuyos expertos están a la cabeza en esta carrera tecnológica, no por casualidad sino porque la inversión en investigación y desarrollo de CC en su país supera por mucho a los países occidentales.
Pardo explicó también en el TEDxPuraVida que ya existen servicios de CC brindados en la nube, capaces de analizar el tráfico de internet de una empresa del Fortune 100 (o sea, una empresa más grande que el gobierno de Costa Rica) en un cuarto de segundo, en tiempo real.
El análisis se realiza con IA, pero la recolección de los datos a estas velocidades solo es posible a través de CC, y es ese precisamente el trabajo que hay que hacer constantemente para defenderse en la ciberguerra que estamos viviendo todos, no importa qué tan pacifistas seamos. Si bien estos servicios están disponibles, no lo están para todos, ya que pude confirmar que el alquiler de una computadora cuántica cuesta cientos de dólares el segundo.
Lo que la CC todavía —creemos— no hace es descifrar datos encriptados con las más modernas técnicas, al menos no en tiempo real. De hecho, la teoría y la práctica de cifrado se basan en la dificultad de encontrar los datos descifrados a partir de los datos cifrados, dificultad no por proceso, sino por el enorme tamaño de la posible población de datos entre los que hay que buscar, y esa búsqueda en una computadora clásica típicamente se traduce en miles de años de máquina. Se espera que la CC lo haga en pocos segundos.
Esa es la carrera y lo que está en juego: la totalidad de las las transacciones financieras y las bases de datos confidenciales, que ahora creemos están protegidas por certificados digitales que cifran los datos, tanto en tránsito como en reposo, que quedarán expuestas, en las manos de quien primero tenga una máquina de estas disponible.
Claro que también es posible que el ganador de la carrera utilice esta tecnología para recifrar todos los datos de manera que se requieran miles de años en una computadora cuántica para descifrarlos. Para complicar aún más la trama, agregó Roger, ya hay actores maliciosos robando datos cifrados para descifrarlos más tarde.
La ciberguerra se las trae. Las estrategias anteriores, como las utilizadas en la era atómica de disuasión, están siendo reemplazadas por la interacción permanente (persistent engagement) en la que estamos interactuando siempre con actores maliciosos que nos atacan.
Es necesario el análisis continuo de todo el tráfico y todo el tiempo para detectar comportamientos atípicos y reaccionar. Las decisiones ante un hecho verdaderamente atípico (no un falso positivo) y cómo proceder son decisiones humanas (todavía), pero, dada la vastedad de datos por analizar, es necesario que la IA sea capaz de producir un porcentaje muy pequeño de falsos positivos y cero falsos negativos.
Roger terminó la entrevista con cuatro recomendaciones para Costa Rica que me parecieron muy sensatas: educación, educación, educación y educación. En Costa Rica no vamos a participar en la creación de la última computadora cuántica, pero sí lo haremos como usuarios.
Así como la Universidad Cenfotec ha graduado ya más de 100 profesionales en ciberseguridad, así también debemos empezar a producir profesionales en CC + IA. La población en general debe ser educada en las mejores prácticas en ciberseguridad y todos debemos dejar de creer que porque somos pequeños y pacíficos no nos van a atacar.
De hecho, la creencia generalizada es que atacaron al Ministerio de Hacienda y la Caja Costarricense del Seguro Social porque podían y eran blancos fáciles. También, me enteré de que atacaron fuertemente al ICE, pero este se defendió, como debe ser.
La mezcla de CC + IA es muy peligrosa, no debe tomarse a la ligera, pero también presenta una oportunidad. Sugiero que escuchemos a nuestro compatriota Roger Pardo y empecemos a hacer algo al respecto, igual que exportamos servicios de ciberseguridad pronto podríamos vender al extranjero servicios de CC + IA, e incluso pensar en un país que se torna todavía más atractivo a la inversión extranjera debido a un ciberescudo impenetrable que protege enteramente al país.
