El legendario ladrón de bancos estadounidense Willie Sutton pasó 40 años robando bancos porque, como afirmó en su autobiografía, le encantaba hacerlo. Y cuando se le preguntó por qué eligió los bancos para robar, supuestamente respondió: “Porque ahí es donde está el dinero”.
En 2017, escribí un libro en el que predije que no solo serían los delincuentes dulces como Sutton los que pronto estarían robando bancos, sino también la inteligencia artificial (IA).
Al parecer, este día está por llegar. Los bancos de todo el mundo están seriamente preocupados de que los ciberdelincuentes pronto aprovechen los últimos avances en inteligencia artificial para intentar robarles.
Puerta trasera digital al almacenamiento
El mundo financiero está preocupado por las impresionantes capacidades cibernéticas de un producto llamado Mythos. Este es el último y más poderoso modelo de inteligencia artificial de Anthropic, la compañía detrás del popular chatbot Claude.
Como miembro del público, no puede acceder ni utilizar este modelo en este momento. Esto se debe a que Anthropic (y muchos otros) creen que Mythos es demasiado capaz de atacar a un mundo desprevenido.
Las pruebas internas de Mythos han identificado miles de vulnerabilidades de seguridad graves en los principales sistemas operativos y navegadores web.
Algunas de estas vulnerabilidades pasaron desapercibidas durante décadas. Muchos de ellos son lo que los expertos en tecnología llaman vulnerabilidades de día cero: ataques que son tan peligrosos que los desarrolladores tienen que parchearlos en el plazo de cero días.
Dario Amodei, director ejecutivo de Anthropic, dice que su nuevo modelo es demasiado poderoso para presentarlo al público en esta etapa. Markus Schreiber/AP No para uso público
Para contrarrestar esta amenaza emergente, Anthropic ha proporcionado el modelo a una docena de socios en una coalición de defensa que incluye a Microsoft, Amazon Web Services, Apple, Cisco y la Fundación Linux.
La compañía también ha comprometido 100 millones de dólares (alrededor de 140 millones de dólares australianos) en créditos de uso y 4 millones de dólares (alrededor de 5,6 millones de dólares australianos) en subvenciones de código abierto para comenzar a encontrar y corregir estos errores.
Además, obtuvieron acceso más de 40 organizaciones más, incluidos varios bancos estadounidenses. Pero lo preocupante es que, hasta donde sabemos, Anthropic aún no ha brindado acceso a ningún banco en Australia, el Reino Unido o Europa.
Sumándose a las preocupaciones, Anthropic confirmó el miércoles que está investigando las afirmaciones en un informe de Bloomberg de que un pequeño grupo de usuarios no autorizados obtuvo acceso a Mythos. Sin embargo, en este momento no hay indicios de que este supuesto acceso tuviera fines maliciosos.
¿Deberías estar preocupado?
La semana pasada, reguladores y formuladores de políticas de todo el mundo se reunieron en la reunión de primavera del Fondo Monetario Internacional en Washington. La guerra en Irán estaba en el centro de atención. Pero los participantes también emitieron una serie de advertencias sobre esta nueva amenaza a la ciberseguridad del sector bancario.
Los bancos no sólo son un objetivo atractivo porque es allí donde está el dinero, sino que la industria opera con muchos sistemas y tecnologías heredados de décadas de antigüedad que pueden ser especialmente vulnerables a este tipo de ataques.
Personalmente, no deberías preocuparte demasiado. Muchos países tienen estrictas medidas de protección para los clientes bancarios. En Australia, por ejemplo, los primeros 250.000 dólares australianos de los depósitos de un cliente están asegurados a través de un plan de reclamaciones financieras respaldado por el gobierno.
Y la Comisión Australiana de Valores e Inversiones garantiza que los bancos investiguen y reembolsen las transacciones fraudulentas de las que el cliente no tiene culpa.
Por lo tanto, probablemente no sea una buena idea retirar dinero en efectivo y guardarlo debajo del colchón. Pero los bancos deberían (y lo hacen) apresurarse a corregir estas vulnerabilidades.
Le recomendaría que actualice periódicamente su computadora y teléfono inteligente para tener el sistema operativo y las aplicaciones bancarias más recientes. Es probable que haya muchas más actualizaciones en el futuro cercano a medida que se descubran y solucionen nuevas vulnerabilidades.
El presidente de la Reserva Federal de Estados Unidos, Jerome Powell, estuvo entre los participantes en la reunión de primavera del Fondo Monetario Internacional en Washington. Sean Tew/EPA: El panorama de amenazas en evolución
A largo plazo, Mythos expone el problema de que la defensa es mucho más difícil que la ofensiva. El software es uno de los productos más complejos creados por la humanidad. Por tanto, es casi imposible garantizar la ausencia de errores.
Esto nos obliga a una carrera interminable con los malos para identificar y corregir los errores antes de que sean explotados.
Por ejemplo, con mucha fanfarria, la Unión Europea acaba de lanzar su aplicación de verificación de edad, que pretende ser la piedra angular de nuevas leyes sobre el acceso a las redes sociales, la pornografía y otros contenidos restringidos por edad. Sin embargo, en cuestión de horas, los expertos en seguridad descubrieron vulnerabilidades cibernéticas que podrían ser explotadas fácilmente por usuarios menores de edad.
En las situaciones más críticas, podemos intentar demostrar matemáticamente que nuestro software está libre de errores. Por ejemplo, la Beneficial AI Foundation acaba de anunciar un ambicioso proyecto para demostrar que la popular aplicación de mensajería Signal está libre de errores y protege la privacidad como afirma.
Pero hoy estos esfuerzos son la excepción y no la norma. Quizás nuevos avances en inteligencia artificial pronto ayuden a cambiar esta situación.
