En solo siete días (del 14 al 21 de mayo) se han aprobado tres textos cruciales en el ámbito de la gobernanza, estrategia y regulación de la inteligencia artificial (IA) y del dato. Dos de ámbito europeo y uno a nivel nacional. Isaac Asimov, con su Yo, Robot, estaría feliz.
Pasen y vean: Estrategia Nacional de Inteligencia Artificial (4 de mayo, España, Consejo de Ministros); Convenio Marco del Consejo de Europa sobre Inteligencia Artificial y Derechos Humanos, Democracia y Estado de Derecho (Estrasburgo, 17 de mayo, 133º período de sesiones del Comité de Ministros); y el Reglamento DAS-2, ya en vigor desde el pasado 20 de mayo de 2024, por el que los Estados miembros de la Unión Europea están obligados a implementar las nuevas carteras de identidad digital en un plazo de 24 meses desde la publicación de sus desarrollos normativos de ejecución (antes del 21 de noviembre de 2026). Este último tiene como principal objetivo reforzar la confianza en las transacciones electrónicas en el entorno europeo y dotar a los ciudadanos de dicho territorio de un mayor control sobre quién tiene acceso a su identidad digital y sus datos.
Para aterrizar estas inversiones, nuestro plan de vuelo en inteligencia artificial se resume en seis estrategias: uno, impulsar la investigación científica, el desarrollo tecnológico y la innovación en IA; dos, promover el desarrollo de capacidades digitales, potenciar el talento nacional y atraer talento global en inteligencia artificial; tres, desarrollar plataformas de datos e infraestructuras tecnológicas que den soporte a la IA; cuatro, integrar la IA en las cadenas de valor para transformar el tejido económico; cinco, potenciar el uso de la IA en la Administración Pública y en las misiones estratégicas nacionales; y seis, establecer un marco ético y normativo que refuerce la protección de los derechos individuales y colectivos, a efectos de garantizar la inclusión y el bienestar social.
Hay que destacar el enfoque humanístico, y no solo humanista, que parece darse en esta Estrategia Nacional. Veremos cómo se consigue. Todo un reto y una gran meta.
En siete días se han aprobado tres textos cruciales sobre gobernanza, estrategia y regulación de la IA y el dato
Amenazas: inteligencia artificial y cibercrisis
En este contexto geopolítico y estratégico, ENISA analiza en este sentido el contexto de amenazas para Europa de la siguiente forma. Primero, abarca diez áreas (las más problemáticas por sus consecuencias para personas y países). A continuación, propone 16 líneas de mejora y termina con cinco conclusiones.
Nos centraremos en las conclusiones de su informe sobre la materia. En primer lugar, coordinar sesiones de trabajo en las que participen todos los Estados miembros para definir una lista de mecanismos de cibercrisis a escala de la Unión Europea que permitan una evaluación común de los incidentes e identificar a los actores que deben intervenir en función de la gravedad, lo que daría lugar a un modelo de plan de respuesta a las cibercrisis.
En segundo lugar, desarrollar ejercicios de simulación a escala europea que pongan a prueba, en particular, a los actores y procedimientos a nivel operativo, con el objetivo de practicar la asignación de tareas, la cooperación y la fluidez de acción de cada país durante una cibercrisis.
En tercer lugar, apoyar a los Estados miembros en la creación de plataformas de comunicación seguras para intercambiar información con entidades esenciales, incluso para la comunicación informal, durante una crisis cibernética.
En cuarto lugar, garantizar que las autoridades nacionales de gestión de cibercrisis de los Estados miembros, en coordinación con el Grupo de Cooperación NIS, actualicen periódicamente los mapas de entidades críticas de su país.
Y en quinto y último lugar, apoyar la organización de sesiones de media training para los ejecutivos de las autoridades nacionales de gestión de cibercrisis de los países.
Finalmente, el documento de ENISA define 16 mejores prácticas, que se engloban en las cuatro fases del ciclo de vida de la gestión de cibercrisis: prevención, preparación, respuesta y recuperación.
Gestión eficaz de la inteligencia artificial y otros riesgos
Concluyo este análisis jurídico y estratégico reafirmando la necesidad de una gestión eficaz de estos riesgos con otro informe que ratifica la visión y versión de ENISA. Se trata del 2024 Security Report publicado por Check Point Software Technologies. La edición de este año profundiza en la creciente complejidad de los ciberataques, con un enfoque especial en el dramático aumento de los incidentes de ransomware y el uso estratégico de la IA en las defensas de ciberseguridad.
Según este documento, el volumen total de malware a nivel mundial aumentó un 11 por ciento en 2023, siendo América Latina y Estados Unidos los que registraron los mayores aumentos (30 y 15% respectivamente). Sorprendentemente, Europa experimentó un descenso del dos por ciento, siendo el Reino Unido el que registró la caída más pronunciada, con un 28.
Por otro lado, las cifras globales de ransomware experimentaron un descenso anual del 36 por ciento. Pero durante los meses de verano (37%) y durante la segunda mitad del año surgió un fuerte repunte en comparación con el mismo periodo del año pasado. De hecho, las víctimas extorsionadas públicamente por ataques de ransomware aumentaron un 90 por ciento.
Este tipo de ataques representa ahora el 10 por ciento de todo el malware detectado por los sensores de Check Point. Incluso el equipo de respuesta a incidentes de esta compañía ha observado que casi la mitad de sus casos estaban relacionados con ransomware y que el número de víctimas extorsionadas públicamente se ha disparado hasta aproximadamente 5.000, el doble que el año anterior.
En cuanto al Internet de las Cosas, el volumen global aumentó un 15 por ciento, a medida que los dispositivos conectados continuaron multiplicándose rápidamente, ya que los ciberdelincuentes están apuntando a los puntos débiles de entrada como vectores potenciales de ataque a las organizaciones.
Otro enfoque más silencioso adoptado por los ciberdelincuentes el año pasado fue el de las amenazas cifradas, que se disparó un 117 por ciento en todo el mundo.
Por otro lado, el informe identifica una tendencia creciente en los ataques a dispositivos edge, lo que pone en relieve la necesidad crítica de medidas de seguridad integrales que abarquen todos los elementos de la red.
Estabilidad
En definitiva, todo proyecto serio (y España y Europa lo son) debe incorporar un sistema integrado de gestión que asegure estabilidad al propio proyecto, a la nación y a las personas. En su defecto, vendrán los ataques y, de ahí, las pérdidas y posteriores indemnizaciones. La incorporación de la ISO 31022, de gestión de riesgos legales, puede contribuir a ello en gran medida.
Saber innovar conlleva saber gestionar. Y, a su vez, saber gestionar conlleva saber crecer.