NEF
Posts
Nuevas tecnologías, viejos trucos | NEF

Nuevas tecnologías, viejos trucos | NEF

En que anda la ciberseguridad

Pablo Azcurra Arndt
19 de mayo de 2025 • TEL: 8 minutos

Contenidos

Los cables
Nuevas tecnologías, viejos trucos: ¿Cómo viene la …

Buenos días,

Esta semana me aguante las ganas de contar que Japón podría tener su propia oficina para buscar Fenómenos Aéreos No Identificados -antaño OVNIS- o hablar de un líder africano que parece estar siendo una silenciosa sensación en ciertos círculos decoloniales. De lo que si voy a hablar es de esto:

Los cables

Japón

Esta semana, el parlamento nipón aprobó una ley de "Ciberdefensa Activa" que le permite monitorear comunicaciones durante tiempos de paz. En rigor, el gobierno no tendrá acceso al contenido de las comunicaciones pero sí a las direcciones IP de comunicaciones desde fuera y hacia fuera de Japón. Las empresas encargadas de infraestructura crítica estarán obligadas a reportar ataques y, en caso de que suceda alguno, primero intervendrá la policía. Si se considera que hay una organización y premeditación suficientes detrás de dicho ataque, se involucrarán las fuerzas de autodefensa. Esto debería permitir a Japón poner su respuesta ante ciberamenazas a un nivel similar al de los Estados Unidos o Europa. La ley incluye un panel independiente que monitoreará la aplicación de la ley para evitar que se cometan abusos.

Turquía continúa buscando un mayor protagonismo

(De Foreign Affairs)

Hoy Turquía es el país con más misiones diplomáticas después de los Estados Unidos y China. Hace años que busca posicionarse en un escenario global que acertadamente juzga complejo, y ha estado cultivando sus lazos más allá de Occidente. En un contexto donde peligra el entramado internacional-institucional en torno a los Estados Unidos, estas son todas ventanas de oportunidad con las que cuenta. No es menor que haya sido el lugar donde Ucrania y Rusia, ambas, aceptaran una primera negociación de cara a negociar un fin a su contienda.

La búsqueda turca por una mayor presencia internacional debe ser cuidadosa: en tanto potencia media, su estabilidad interna también depende de factores externos (ej., acceso a mercados y capital), por lo que expandir su influencia hacia el Oriente no puede ser a costa de sus lazos occidentales. Dicho esto, la aparición de Trump con el aparente reemplazo de la institucionalidad por la transaccionalidad, podría permitir a negociadores habilidosos jugar este juego.

Apple y Epic.

Escapando el estricto mote de 'noticia internacional', pero que por la masividad de los dispositivos afecta a personas en todo el mundo, me parece interesante ver esto, aunque sea sintéticamente.

Apple es la compañía de tecnología que produce, entre otras cosas, los iPhones (teléfonos inteligentes). Epic, por su parte, es quien desarrolla Fortnite, un videojuego gratuito (aunque tiene compra de elementos dentro del mismo juego) que es un fenómeno global (350 millones de cuentas registradas).

Una corte falló a favor de Epic, permitiendo ofrecer medios de pago alternativos que, básicamente, permite evitar las comisiones de Apple por servir de intermediario. Epic, que había retirado el juego de la tienda digital de Apple, volvió a habilitarlo. El fallo apunta a desarmar una posición monopólica de Apple y: Por un lado va a obligar a Apple a buscar formas alternativas de sostener los ingresos que así generaba; por otro, sienta un precedente sobre el cual apalancar demandas contra posiciones monopólicas de compañías que provean hardware, software y servicios, como apple o google.

Ilustracion por Ayelen Lamas

Nuevas tecnologías, viejos trucos: ¿Cómo viene la ciberseguridad?

Esta semana el FBI advirtió a funcionarios estadounidenses que redoblen esfuerzos para protegerse de ataques de 'vishing' (video-phishing). Desde abril se han incrementado los reportes de este tipo de ataques, ahora potenciados por inteligencia artificial (IA), lo que permite generar video y voz para engañar a la víctima.

Anualmente, se estiman pérdidas por 10.500 billones de dólares (trillions en inglés, para disipar dudas) como resultado de cibercrímenes. La creciente digitalización, el desarrollo tecnológico y el aumento de tensiones geopolíticas se citan como algunos de los motivos del aumento de los ciberataques. Los mismos dan cuenta de una cercanía entre criminalidad y estatalidad que, si bien no es única, no resulta tan habitual en otros contextos.

El cibercrimen ya no se asocia a adolescentes queriendo probar su pericia con una computadora, sino a grupos paraestatales, cuando no directamente incluidos en el organigrama estatal. Por ejemplo, el caso del grupo APT28: llegó a ser acusado públicamente por el Ministro de Relaciones Exteriores de Francia y por su agencia de ciberseguridad de tener lazos con la inteligencia militar rusa, aunque sin poder presentar evidencia concluyente. Esto no se limita a ese país; el beneficio que ofrecen estos grupos es que los Estados pueden deslindarse de sus acciones, por lo que no existen, en ausencia de mejores legislaciones internacionales, incentivos para que esta situación "se solucione".

Este escenario permite la emergencia de grupos e individuos muy capaces, con más recursos que control, en un entorno de víctimas potenciales como consecuencia de una digitalidad tan extendida como pobremente entendida.

Por su parte, los actores estatales tienen una capacidad muy elevada para fortalecer sus capacidades defensivas. La introducción de la IA dio lugar a modelos antes difíciles de implementar, como el Zero Trust, de adopción creciente y dependiente de la IA para sostener vigilancia constante en tiempo real de redes; monitoreando y validando actores y actividades, y comparando toda esta información con patrones anteriores en busca de anomalías. En caso de detectar algo, las IA pueden ofrecer un abanico de respuestas inmediatas, mientras se notifica a quienes pueden decidir cómo proceder posteriormente. También son útiles para predecir vectores potenciales de ataque y reforzar la seguridad de forma preventiva.

Un uso que resulta llamativo por parte de los Estados es la propuesta (en principio) desde Europa de utilizar IA para monitorear el cumplimiento (compliance) con políticas de protección de datos y de utilización de IA en general. En cualquier caso, la lógica se sostiene: la IA permite automatizar y recorrer grandes volúmenes de datos haciendo operaciones específicas bajo criterios flexibles, con buenos resultados que mejoran con el tiempo.

Retomando la nota del principio, los llamados "Deep Fakes" crecen como vectores de ataque. Es relativamente sencillo para una persona hoy generar video y voz realistas, por lo que ya no basta con un video para confiar en quien está del otro lado. Sabemos que los modelos gratuitos de texto pueden fácilmente copiar estilos, sonar profesionales o comunicarse correctamente en otros idiomas (aunque es debatible si pueden hacer esto para textos extensos, pero es suficiente para correos electrónicos breves o mensajes de texto).

Imaginemos un ejemplo: recibo un correo de Juan -de ventas-, que tal vez me despierta una sospecha, y al poco tiempo un audio de WhatsApp donde la voz de Juan me dice que me envió lo que le pedí desde su correo alternativo. ¿Por qué desconfiar? ¡Me lo dijo el mismo Juan! Consideremos además las capacidades de automatización y el desarrollo de modelos de hackeo (particularmente de ransomware) como servicio. Organizaciones con mayores capacidades técnicas ofrecen, como servicios "listos para usar", capacidades a terceros con conocimientos técnicos más limitados.

De momento, la tendencia continúa siendo que aquellos Estados con formación y recursos podrán mantener al día sus capacidades, mientras que los demás se quedan atrás con infraestructuras cada vez más vulnerables. Los mismos con capacidad de fortalecimiento prefieren sostener una ambigüedad regulatoria internacional, apostando a sacar provecho de ese vacío legal. Mientras tanto, nos queda escuchar consejos de ese amigo que entiende algo de computadoras y tratar de ser precavidos. Sin importar cuánto avance la tecnología, el énfasis que nunca pierde la llamada "ingeniería social" demuestra que las personas seguimos siendo el aspecto más falible de cualquier sistema.

No terminé muy arriba, pero no siempre se puede.
¡Buena semana!