Aún recuerdo el día en que hace 20 años, en un congreso de ciberseguridad, un admirado colega propuso un escudo digital para Andalucía. Se había creado poco antes la ADA, la Agencia Digital de Andalucía y la idea de proteger los servidores de DNS, caló rápido.
En una audiencia del Congreso de los EEUU, el fundador de Open AI, la empresa que disparó el debate y la preocupación por la IA, pidió a los reguladores del país más anti-regulación del mundo que, por favor, metieran mano y auditaran y regularan la Inteligencia Artificial porque ésta podía hacer mucho daño al mundo, a la democracia y a la confusión entre lo verdadero y su copia idéntica y falsa. Aquel mismo mes, el G7, cinismos de la vida, se reunió en Hiroshima, el lugar de vergüenza que marca las irracionales relaciones de Japón con EEUU con la regulación de la Inteligencia Artificial en la misma agenda que la guerra de Ucrania.
Hay veces que un concepto te bombardea de repente. Pedro Baños, en sus dos libros, me había abierto los ojos sobre el significado de Hiroshima en la Geopolítica del Pacífico y los insostenibles equilibrios con China, las dos Coreas y Japón. Pero mi admirado periodista y escritor Agustín Rivera me había tocado las cuerdas del alma, poniendo su magnífica pluma y su conocimiento de Japón, donde no me perdí ni una de sus crónicas cuando era corresponsal allí, al servicio de la mejor literatura en Hiroshima (Ed. Kailas 2022), un relato de testimonios de los últimos supervivientes que presentó en mi librería preferida de Barcelona junto a Rosa María Calaf, una maestra de corresponsales y periodistas de raza.
La cara de Masayo Mori, fotografiada por mi querida Toñi Guerrero, con la que dimos los primeros pasos en la internacionalización de nuestra empresa, me llegó al alma. Aquel 6 de junio era un martes raro porque la fiesta de Pentecostés, la Segunda Pascua, en Barcelona, que caía en el 29 de mayo y había coincidido siempre con el Rocío, por cálculos electorales, había sido movida al siguiente lunes 5 de junio. De nada le sirvió a Ada Colau dejarnos sin el puente en su sitio. Pensé si alguien podría atrasar la Navidad o Sant Jordi o el 2 de mayo una semana sin que nadie reflexionara al respecto. Las fiestas tienen su sentido y su momento. Perdió las elecciones. Yo adelanté mi vuelo de Málaga para ver a mis paisanos malagueños en la capital editorial del sur de Europa.
Un mes antes, en abril de aquel año Europol había advertido de que la IA Generativa incrementaría exponencialmente el cibercrimen. Incluso advertían de un riesgo inminente para las elecciones presidenciales del 2024. Aquellas elecciones llevaron a los EEUU a la implosión.
Hasta 1928, la guerra entre países era legal. Lo que era ilegal eran las sanciones económicas, diplomáticas, comerciales. Nuestros bisabuelos tenían recuerdo o habían vivido la Guerra de Cuba por la que los norteamericanos, siguiendo la doctrina Monroe decidieron robar para ellos Cuba, Puerto Rico y el enclave estratégico de Filipinas.
Luego los filipinos, ansiosos de República y democracia, se dieron cuenta con el exterminio de casi un millón de que los americanos no habían venido a apoyar su democracia. Pocos conocen la historia de Emilio Aguinaldo, presidente de la recién emancipada Filipinas.
También España se metía en guerras, ahora imposibles de entender, y nuestros bisabuelos vivieron las de África. Desde el Tratado Kellogg-Briand de 1928, suscrito por muchos países la guerra fue ilegal. No impidió la Segunda Guerra Mundial, pero fue la base jurídica para los juicios de Nuremberg. La Carta de Naciones Unidas recoge buena parte. Al césar lo que es del césar. Hay que reconocer al Secretario de Estado de los EE UU, Frank B. Kellogg, que en año de elecciones y sabiendo que la paz era bien vista aceptó el borrador de su colega francés Arístides Briand y propuso que se extendiera no solo a Francia y EEUU sino a cuantos más países como fuera posible. Pronto lo ratificaría hasta Alemania, Japón e Italia. Esta podría ser la base jurídica por la que los japoneses podrían dar su propia medicina a los autores de Hiroshima.
La Universidad de Stanford, en su reporte sobre IA del 2023, decía que, por primera vez en este campo, las empresas estaban por delante de la academia. Ahora sabía más la industria, entre otras cosas porque eran las que tenían los petabytes de datos que se requieren para dominar la IA y generar resultados potentes. Además, la potencia computacional necesaria y las inversiones decantaron a favor de las grandes empresas que cada vez tienen más conocimiento y poder frente a otros actores. NVIDIA se alzaba con el trono y anunciaba la construcción de supercomputadores exaescale capaces de hace 10 elevado a 18 operaciones por segundo.
Xi Jinping, el presidente chino, lo vio hacía años y decidió que ese poder debía estar en manos del Estado. En el libro AI Superpowers, Kai-Fu Lee, que estuvo en la cumbre del 2023 de IA de Ametic, invitado por el que fue su alumno en el MIT, Enrique Serrano, se describen de nuevo dos modelos completamente distintos, China versus Silicon Valley .
El impacto medioambiental de la IA era tremendo, las emisiones de BLOOM, el mayor motor de IA del mundo científico con 176.000 millones de parámetros, 46 lenguajes naturales y 13 lenguajes de programación, durante su entrenamiento fueron mayores que 25 vuelos Nueva York a San Francisco.
Y así, en la década de los 20 se volvió la jungla a pesar de que el 91% de los 13.000 expertos en IA consultados en 11 países diferentes habían acordado y pedido que la IA fuese gestionada y regulada con mucho cuidado.
Se volvió una carrera en la que el que tenía más dinero y energía barata ganaba mucho más incrementando todas las brechas de conocimiento, sociales, tecnológicas. “The winner takes it all”.
Robar datos de clientes se había vuelto un juego de niños. Sólo los hackers norcoreanos habían robado 1.700 millones de dólares en criptomonedas en 2022. La guerra de Ucrania había puesto a miles de hackers a tomar bando, ISSP, Molfar, Resilience, de parte ucraniana y otros como Conti, un grupo experto en ransomware de parte rusa.
En algunos países como Australia, los ataques, robos y chantajes eran continuos. Los datos de 10 millones de usuarios del operador Optus, el 40% de la población del país, de la compañía de seguros AHM, perteneciente a Medibank, con 4 millones de usuarios comprometidos, de Woolworths, una cadena de supermercados, de MyDeal, un portal online con 2,2 millones de clientes cuyos datos habían quedado expuestos, o los 500.000 clientes de Vinofo, una tienda online de vinos había sido robados y usados en phishing o ransomware o vendidos en la Deep web.
Recuerdo que, en una cena con columnistas de EL ESPAÑOL de Málaga, Sergio de los Santos, cuyo libro Máxima Seguridad en Windows: Secretos Técnicos era un best seller entre técnicos, me aseguraba que todas las empresas iban a ser hackeadas, si no lo habían sido ya, y no lo sabían. La clave era que el impacto fuera insignificante y que te pudieras recuperar del ataque en minutos. Esa noche dormí poco.
A la vez que el libro de De los Santos, el profesor de la Yale Law School, Scott Saphiro, había llamado la atención con su libro “The Internationalists”, una historia del pacto Kellogg-Briand y del orden liberal de Bretton Woods que ya se tambaleaba, con la estocada que las autocracias le asestaron con su capacidad para decidir e implantar decisiones estratégicas con superior eficacia.
El objetivo del nuevo libro “Fancy Bear Goes Phising” (Editorial Allen Lane 2023), era llamar la atención sobre la regulación (o su inexistencia) en un campo como la ciberseguridad en internet. Desde una perspectiva jurídica y forense, Saphiro describía algunos de los más célebres casos, desde el gusano (worm) Morris, de 1998 y que empezó más o menos accidentalmente, el Dark Avenger, que a principio de los 90 destruía los datos del ordenador, el hackeo del smartphone de Paris Hilton, que desveló fotos privadas e íntimas de la celebrity en 2005 y en el que no se atacó el dispositivo sino los servidores que almacenaban en la nube las fotos. El caso del hackeo de los sistemas y equipos de la campaña presidencial de Hillary Clinton que desveló miles de correos electrónicos y le acabó costando la derrota empezaba a ser una amenaza directa a la democracia. Aquel ataque se vinculó a Fancy Bear, el nombre que los expertos daban a la Unidad Militar de Ciberguerra rusa. Robaba contraseñas usando phishing.
Recuerdo aún la foto de Sergio, con Paloma Simón y Fernando Denis en la fábrica de cervezas Victoria, eran jóvenes y recordaban que esto no había surgido como una seta de la noche a la mañana. Llevaban 20 años. Conocían a la perfección todos esos casos y muchas veces fueron pioneros en identificarlos y desactivarlos. Todos mencionaban a Quintero. Me hacía gracia lo de que “ni somos frikis ni delincuentes”. Y tanto que no lo eran. Ellos vislumbraron que podíamos llegar a ser capital mundial de la ciberseguridad.
Los que estaban protegidos por nuestros super héroes y sus tecnologías no habían sufrido el ataque de la red de bots Mirai que sincronizaba y coordinaba más de 300.000 ordenadores infectados conectados a internet y que sumaba una potencia de ataque de más de 1 gigabit por segundo de tráfico. El ejército Mirai llegó a adueñarse de cantidades enormes de información y lo habían creado tres chavales que ofrecían derribar sitios web por 100 dólares. El FBI los pilló y comprobó que no eran peligrosos ciber delincuentes sino un grupillo inmaduro de cracks de la informática que se pasaron encantados a trabajar con y para el FBI en la detección y prevención de estos ataques.
A pesar de los esfuerzos del profesor Saphiro, la ciberguerra, siguió siendo legal, los estados la practicaban en un juego de suma 0 que otorgaba ciertas ventajas incruentas al que nadie quiso renunciar. No hubo un pacto Briand- Kellogg sobre la ciberguerra y el cibercrimen. El ciber espacio era, cada vez más, un estado fallido. La ley del más fuerte (más malo y más listo) imperaba. ¿Qué hacían espías italianos e israelíes en un barco que se hundió en el lago Maggiore en la Italia alpina colindante con suiza rodeados de embarcaciones y residencias de oligarcas rusos? Todos ciber espiaban a todos.
Visto con los años, los territorios que no contaban con estos profesionales de la “ciber” se vieron cada vez más expuestos. Los ciudadanos cada vez más atacados y extorsionados. Las empresas empezaban a instalarse en la Gran Málaga, esa área metropolitana de la isócrona de media hora desde la Alameda porque estaban en un espacio ciber seguro. Ya no ofrecíamos sol, playa y espetos, solamente. Hacía años que se ofrecía arte, cultura, inversión, tecnología, innovación y seguridad, la física y la digital.
Pero ahora sus datos, sus principales activos, la propiedad intelectual y sus activos intangibles, el primero de todos, la confianza de sus clientes, accionistas y empleados, estaban a salvo. Usaron la IA para detectar daños de la IA. Aquellos pioneros hicieron de nuestro territorio un lugar ciber seguro. Cada vez, con la disponibilidad de energía renovable y barata se instalaron más data centers y centros de computación cloud.
Cada vez había más empresas que ofrecían hacking ético. La IA se usó para generar tráfico falso y atraer a las moscas “honeypots”. Code Insight , una herramienta de Virus Total con padres malagueños había nacido para desvelar comportamientos inseguros de los programas basándose en IA generativa. No fue fácil que administraciones, especialmente en Sevilla, por el dogma del “café para todos”, se dieran cuenta de que ofrecer un lugar con una buena calidad educativa, formación STEM, buenos profesionales e infraestructuras digitales ciber seguras atraía mucho más que ofrecer subvenciones y la barrera de entrada para otros territorios era inmensa. Formar a tantos y en tan poco tiempo era mucho más caro que implantarse aquí.
Las empresas adoptaron voluntariamente la práctica de la auditoría de ciberseguridad. Málaga fue la sede del primer instituto de certificación de ciber auditores, el equivalente al ICAC en contabilidad. Nadie entendía ya que se fuera más riguroso con las cuentas anuales que con los datos de los clientes y la empresa. Los espacios de datos fueron una nueva fuente de negocio y valor. Círculo virtuoso de la economía de escala en el conocimiento. Ya no importaba que se fueran unos pocos ingenieros. Había miles de profesionales cualificados trabajando en toda una cadena de valor sofisticada y conectada.
Las empresas en nuestro territorio eran más competitivas, sus activos valían más, sus profesionales eran mejores y estaban más contentos. La huella de Bernardo estaba en todas partes. La Universidad, hacía años que trabajaba sólo por el índice C, el de la colaboración. El primer grado en Ciberseguridad e IA empezó el curso 23-24. En 2029 tuvimos los primeros 65 graduados en IA. Habían pasado casi 30 años desde los inicios en 1998 con los pioneros de Hispasec. Pronto encontraron la forma de ofrecer 300 plazas cada año a partir del año 2030. Y todo empezó con un grupo de super héroes hace ya 40 años.