"Con la Inteligencia Artificial, hay mucha información expuesta", alerta experta de ciberseguridad

De ser una tecnología 'ajena' a las personas, hoy la Inteligencia Artificial (IA) está en boca de todos, y también en las manos de los cibercriminales que pueden usar el boom de IA para atacar con más precisión a sus víctimas.

La investigadora argentina de ciberseguridad, Fabiana Ramírez, alerta que sobre el impacto de la IA, las redes sociales y el Internet de las Cosas en la protección de datos de los usuarios.

Ramírez estuvo en el pasado ESET Security Day, realizado en Quito, que reunió a varias personas encargadas de mantener la ciberseguridad en sus empresas acá en Ecuador y en otros países de Latinoamérica, y no es para menos.

En entrevista con PRIMICIAS, reflexiona sobre la seguridad que las legislaciones, las empresas, y los usuarios finales debemos dar a los datos personales.

Hay personas que cuando se les habla de protección de datos pueden decir “bueno, pero ¿a quién le va a interesar mis datos?”

La cuestión es que ahora, así como ha avanzado la tecnología, ha aumentado la superficie de ataque de los cibercriminales.

Por ejemplo, en el uso de la Inteligencia Artificial, el Internet de las cosas (IoT), con los relojes o televisiones inteligentes o las refrigeradoras que se conectan a Internet, y la existencia de la ‘Big Data’.

Perder o exponer nuestros datos no solamente le afecta a uno, sino también a nuestro entorno. Al conocer la información personal, se podría, por ejemplo, llevar a cabo fraude financiero, hacerse pasar por nosotros para estafar a otras personas, quedarse con nuestro número de teléfono o correo electrónico.

Y con tecnologías más nuevas, hasta clonar nuestra voz, suplantar la identidad, sobre todo con tecnologías tipo 'deep fake'.

En un contexto como el latinoamericano ¿por qué nos debería importar la protección de datos?

El contexto a nivel mundial es uno de bastante cambio, en cuanto a protección de datos. No solo en Latinoamérica.

Que se empiece a usar la Inteligencia Artificial implica que mucha de nuestra información está expuesta y, por otro lado, está el aumento del uso de las redes sociales durante y después de la pandemia.

¿Qué tan buenas son las normativas de protección de datos ahora?

En el caso de Europa, ellos tienen una normativa bastante avanzada. Pero en el caso de Latinoamérica, no.

Si bien Ecuador tiene una normativa bastante reciente, hay países como Argentina que tienen una legislación de hace 20 años. Están trabajando para actualizarla desde hace cinco años, pero cuando estas actualizaciones a la ley se sancionen, la normativa ya estará desactualizada.

"Si nosotros estamos compartiendo nuestra información en todos lados, es mucho más fácil que un cibercriminal se pueda hacer pasar por nosotros".

¿Cómo se compara el uso de la tecnología en América Latina respecto a otras regiones?

Podemos decir que Latinoamérica se ha tecnologizado mucho. Antes había una brecha tecnológica muy grande con Europa, hoy no. Somos países muy abiertos a la tecnología más allá de la situación económica.

Pero lamentablemente, a nivel mundial, no solo en Latinoamérica, los usuarios tienen mucho desconocimiento sobre cómo funciona [el manejo y la protección de datos] y los Estados a nivel legislativos no están preparados.

Ahora hay muchos datos que se pasan de un país a otro, por las aplicaciones y servicios que usamos ¿qué pasa con esa información?

Hay un valor creciente de la información. Hoy casi todo se ha transformado en este bien intangible: los datos, que vale muchísimo a nivel de negocios, gobierno, política, socioeconomía.

Pero justamente no hay una buena regulación ni entidades que puedan resolver problemas que surgen cuando los datos de una persona de un Estado se transfieren a otro Estado.

En la protección de datos hay dos partes, nosotros como usuarios y las empresas que facilitamos nuestra información ¿En quién recae una mayor responsabilidad?

En las dos partes. Las empresas muchas veces no tienen alguna regulación impuesta por el Estado justamente porque son legislaciones que están un poco relegadas, o si es que hay normativas, no hay entidades que las controlen.

Las empresas en Latinoamérica todavía tienen poca inversión en ciberseguridad, es algo que también está bastante desfasado. O quizá no tienen la intención de incumplir con la protección de nuestros datos, pero tampoco están preparadas para hacerlo.

Pero por el otro lado está el usuario que, sin tener consciencia de todo esto, simplemente actúa. Y tiene mucho que ver con la falta de educación en ciberseguridad.

"Las empresas en Latinoamérica todavía tienen poca inversión en ciberseguridad".

¿Qué podemos evitar estos ataques?

Una vez que ya pasó el ataque, detenerlo es complejo. Nosotros siempre promovemos la prevención. El primer paso para eso es conocer lo que es la ciberseguridad, no como una disciplina informática, sin como un acto de tomar consciencia de que estos ataques existen.

Tenemos que abrazar la tecnología, pero también conocer sus riesgos. Puede parecer que tengo el control de mi celular, pero hay muchas cosas que no conozco cómo funcionan y que hay quienes pueden explotar eso para fines negativos.

Siempre es importante ver quién nos pide la información. Y si en algún momento se ven vulnerados nuestros datos, hay que comunicarse con las autoridades. También es importante descargar sólo aplicaciones verificadas, instalar antivirus o antimalware en los dispositivos y tener cuidado de dónde hago clic.

¿Cómo puede una persona conocer de ciberseguridad de manera segura y verificada?

Ir a sitios confiables. Ver que la URL de arriba tenga un candadito (HTTPS). Buscar sitios conocidos. Entrar a páginas oficiales de las empresas. También, no siempre la primera respuesta en Google es cierta, los criminales también se enfocan en engañar.

¿Qué hay de la protección de datos en las empresas?

Ahora hay una tendencia, aunque no tanto en Latinoamérica, de contratar ciberseguros, así como contratar un seguro para el auto. Son seguros contra incidentes de ciberseguridad.

Un dato adicional es que, desde 2023 hasta marzo de 2024, los rescates que se pedían a las empresas cuyos datos fueron secuestrados, en promedio superaban los USD 3 millones.

En ese mismo periodo más de 200.000 bases de datos en todo el mundo fueron afectadas por ataques de 'ransomware', es decir, secuestro de datos.

Última pregunta, en cuanto a Inteligencia Artificial

Nos va a dominar.

Además de eso, el desarrollo tecnológico avanza más rápido que las legislaciones. En ese sentido ¿las leyes en la región están a la altura para responder a ataques de IA?

Es compleja la pregunta. Diría que las legislaciones lo que hacen es establecer lineamientos. Sabemos que los datos de la Inteligencia Artificial se tienen que tratar respetando estos límites, que están relacionados con los derechos humanos.

Las normativas que tenemos establecen límites. Dicen, "bueno, podemos tratar datos en cuanto no se usen para tales fines". Por ejemplo, si mi IA los usa con fines de marketing, por decir, yo debería poder explicar cómo se llegó a eso.

Pero las legislaciones no son tan amplias, porque todavía no han sucedido tantos incidentes. Aunque en legislaciones más avanzadas como las de Estados Unidos o Europa no se trata sobre incidentes sino sobre riesgos.