La Guardia Civil de València se forma en ciberseguridad: "En menos de 5 minutos la IA puede clonar la cara y la voz de una persona"

"En breve va a haber una explosión de 'deepfake' y eso va a alterar toda la ciberseguridad". Quien lo dice es Francisco José Ramírez, un investigador especializado en Inteligencia artificial (IA) y en la lucha contra las amenazas que llegan del ciberespacio de Telefónica Innovación Digital y lo hace desde un púlpito muy especial: un aula de formación para las dos docenas de agentes de la Guardia Civil que integra el Equipo @, los especialistas que deben resolver los delitos que llegan de la red y que, hoy por hoy, ya suponen uno de cada cinco de todos los que se cometen en España. Ese 20 por ciento de la cuota criminal justifican sobradamente no solo esta jornada formativa con la IA como eje central, sino que auguran otras muchas en un futuro corto.

Y ese, el tiempo, es lo que domina al delincuente y a quien debe reprimirlo. "El gran problema hoy es la velocidad, la aceleración en los cambios. El año pasado, se producían en dos o tres meses; hoy, en apenas días. Es increíble el estrés en la evolución vertiginosa en este juego del ratón y el gato entre quienes están generando [contenido delictivo] y los que estamos detectando y frenando esa generación", explica Ramírez.

"Hace ocho o nueve años, los informáticos que estábamos en ciberseguridad lo veíamos venir, pero lo que sorprende es esa velocidad enorme con que se producen los cambios en este terreno de la IA. El impacto es en todos los ámbitos, pero el mayor de todos se produce en el terreno de la seguridad. Una sola persona en un cuarto con un ordenador puede montarse un 'call center' o dirigir un ataque masivo en nada de tiempo. Es una revolución absoluta". Hasta hace poco, los ciberestafadores contaban con un sistema de ordenadores para el envío masivo de mensajes en busca de víctimas.

Un ataque masivo desde un solo ordenador

Ahora, con la mayoría de las IA, esa sola persona desde ese único ordenador, que tampoco requiere una potencia prodigiosa para hacerlo, puede suplir al ejército de timadores y pescar en ese río revuelto de la estafa a distancia, ya sea a una empresa, con un botín millonario, o a cientos de incautos en compras o accediendo a sus cuentas bancarias tras darles acceso involuntario cayendo en su trampa.

Y, por si fuera poco, ya ni siquiera es necesario contar con un equipo de programadores. Inteligencias artificiales como Claude, por ejemplo, permiten que cualquier persona sin tener ni idea de programación consiga algoritmos de aplicaciones, eso sí, de usar y tirar o para pequeños 'apaños', porque la IA genera el código necesario en minutos a partir de instrucciones recibidas en lenguaje natural. "Con la IA, todos somos expertos", apunta el investigador de Telefónica, aunque, matiza, "en realidad no seamos expertos en nada".

Y el futuro, considera, es amenazador, algo así como un frente de nubes negras cargadas de malos presagios. Ramírez advierte del "escaso control" que las empresas e instituciones tienen a la hora de intentar prevenir ataques cibernéticos, pese al potencial delictivo que tienen ahora mismo la mayoría de las IA: "En minutos se puede montar un sistema de ataque".

"La nube no es más que el ordenador de otro"

Pero no solo eso. Entre el juego, la curiosidad y la necesidad, millones de personas están volcando datos personales, muchas veces altamente sensibles -desde problemas médicos a documentos, pasando por secretos, informes e intimidades, fotos con los parámetros biométricos y hasta audios con la propia voz-, en las aplicaciones de IA como si nadie fuese a verlas o a utilizarlas "y no nos engañemos, la nube no es más que el ordenador de otro. Lo que se sube a la nube, se queda en la nube". Sin control y con acceso, como mínimo, de la empresa dueña de cada una de esas IA.

¿Realmente el panorama es tan desolador? La respuesta más sincera parece ser un sí bastante rotundo. "Cada vez nos es más difícil distinguir lo que está hecho con IA y lo que no. Hasta hace poco tiempo, se podía deducir a simple vista. Ahora ya no. Incluso a nosotros, que contamos con herramientas informáticas de detección, nos cuesta cada vez más distinguir que está generado artificialmente y qué no. En este momento, aún podemos buscar indicios de humanidad en las imágenes o en los audios, pero por poco tiempo...", deja en el aire el investigador de Telefónica.

El Equipo @, la punta de lanza

Eso, adiestrar a los agentes en cómo detectar las 'deepfake' -la capacidad de generación de audios, vídeos, fotos y textos por IA-, es lo que pretenden jornadas formativas como esta. Para ello, se busca dotarles del conocimiento necesario y, sobre todo, de las herramientas para poder combatir, si no en las mismas condiciones, sí en las más ventajosas posibles, para afrontar un futuro criminal en el que alguien "puede clonar una voz en 3 segundos y una cara o un cuerpo, en menos de 5 minutos y con una perfección increíble, cuando hasta hace muy poco tiempo eso podía costar de dos a tres semanas. No se trata de no usar la IA, que es una aportación maravillosa, sino de conocer cómo funciona y de poner barreras a los delincuentes".

En palabras del coronel Juan Martínez Ros, jefe de la Comandancia de València, que ha abierto las jornadas junto con el subdelegado del Gobierno, José Rodríguez, "vamos a aprovechar esta formación para investigar lo que ocurre y lo que va a ocurrir". O, como ha explicado Celia Fuentes, una de las agentes del Equipo @, para "poder dar una respuesta sólida a esa amenaza cada vez más sofisticada como son las usurpaciones de voz e imagen y las 'deepfake' en general' creadas con IA". La ciudadanía y, sobre todos, sus bolsillos, lo agradecerán.