Pino Caballero: “Quien tiene acceso a tu iris puede suplantarte durante toda tu vida”

Pionera en la investigación en criptografía y la ciberseguridad, Pino Caballero (Las Palmas de Gran Canaria, 1968) publicó el primer libro en español sobre la ciencia que se encarga de la protección de la información. La catedrática en Ciencias de la Computación e Inteligencia Artificial y doctora en Estadística, Investigación Operativa y Computación en la Universidad de La Laguna (ULL) atesora una amplia e incansable trayectoria que le ha valido varios premios y la sitúan como una de las principales referentes en su campo.

Durante la XIX edición del Congreso Internacional en Sistemas Asistidos por Ordenador, Eurocast 2024, organizado por la Universidad de Las Palmas de Gran Canaria (ULPGC) y que se celebra en el Museo Élder hasta el 1 de marzo, Caballero coordina dos jornadas sobre los retos en la serseguridad de la digitalización global y la inteligencia artificial.

¿Cómo empezó su interés por la ciberseguridad?

Estudié Matemáticas y en el último año cayó en mis manos un libro de criptografía, que es la matemática que está debajo de todos los algoritmos de ciberseguridad. Y me enganché. Era tan misterioso… Fue en la década de 1990, casi no había nada sobre ello; nosotros fuimos de los primeros; la Universidad de La Laguna fue la cuarta universidad en España que incluyó una asignatura de ciberseguridad. Ahora está en todas, con grados completos y en master. Cuando publiqué el primer libro de criptografía en español, fui a la librería y me lo encontré en la zona esotérica, porque relacionaron cripto con muertos. No había ningún conocimiento, en absoluto. Ya la gente más o menos tiene conocimiento de a qué hace referencia la criptografía.

Es asidua a los Congresos de Eurocast casi desde sus inicios, ¿qué destacaría de estas jornadas?

Es el más longevo y sigue aguantando. En criptografía tenemos un congreso desde 1991, que lo hacemos cada dos años y también aguanta. Pero es difícil que un congreso se mantenga año tras año porque requiere que la organización le eche muchas horas. Prácticamente vengo siempre y, si no, envío a gente de mi grupo porque es un Congreso que merece la pena.

En su participación en el Congreso Eurocast coordina un workshop sobre ciberseguridad, ¿cuáles son los temas centrales?

Se presentan varias ponencias dedicadas al Federative Learning, que es como utilizar el aprendizaje de los datos de diferentes fuentes con un objetivo común; concretamente, para utilizar eso con la finalidad de proteger los sistemas de seguridad. También hay varias sobre ataques a sistemas criptográficos que usamos en nuestras tecnologías hoy en día y a sistemas de ciberseguridad para la era post-cuántica. Empezamos con criptografía cuántica, basada en ordenadores cuánticos, aprovechando su potencial para protegernos, y terminamos con criptografía post-cuántica, que es utilizar los ordenadores actuales para protegernos para cuando haya ordenadores cuánticos. Entre los participantes hay doctorandos, científicos de ámbito internacional y también se incluyen investigadores de un proyecto que lidero, que se llama ATQUE (Aplicaciones de Tecnologías Cuánticas en Ciberseguridad).

¿En qué consiste el proyecto ATQUE?

Es para investigar sobre cómo hay que cambiar las tecnologías para que resistan un posible despliegue de ordenadores cuánticos, que parece cada vez más probable en los próximos años. Cuando se desarrollen, la tecnología actual no nos va a servir para protegernos, entonces hay que cambiarla (...) prepararnos ahora y diseñar sistemas totalmente nuevos para que podamos sustituir las tecnologías actuales con nuevos algoritmos. Y así, cuando haya acceso a los ordenadores cuánticos, ya sean resistentes a la computación cuántica. EE UU, hace como dos años, vio esa amenaza ya tan cercana que sacó un acta con unas fechas muy cortas diciendo que todos los sistemas estatales tenían que moverse hacia una criptografía resistente a la cuántica y puso unos plazos. En Europa está habiendo mucha inversión, en España tenemos iniciativas y nosotros tenemos un proyecto en esa línea.

Como experta en ciberseguridad, ¿qué opina sobre la empresa vinculada a ChatGPT que escanea iris a cambio de criptomonedas?

Como investigadora en ciberseguridad y persona responsable con un poco de sentido común, me alarma con todo lo que está pasando del escaneo del iris. Sé un poco de esto y de las características biométricas que se utilizan en ciberseguridad para el acceso a entidades o instalaciones, el iris es de las más sensibles. El iris es una cuestión biométrica que no cambia a lo largo de la vida, nunca. Y, además, acceder al iris de las personas no es sencillo. No te pueden sacar una foto en la calle y tener tu iris. Es mucho más invasivo. Quien tiene acceso a tu iris, está teniendo acceso a suplantarte durante toda tu vida.

¿Con qué fin se puede usar el escaneo del iris?

La empresa que está detrás de todo esto es de Inteligencia Artificial y lo anuncia para entrenar sus sistemas con datos que no estaban en internet. Y los compra. Uno de los problemas que más me preocupa es que están yendo a la juventud, a la gente que no tiene medios. Les ofrece 50 euros, que les puede resolver el día, pero a cambio han vendido una característica suya que a lo largo de toda su vida puede suponer un grave problema. A mí me preocupa bastante. Al igual que el iris, las venas de la mano. Es otra de las cuestiones biométricas que se utilizan en instalaciones de alta seguridad y que no se pueden recabar yendo por la calle. Probablemente se montará pronto una compra de datos de las venas de la mano porque es una de las cuestiones que se utilizan para acceder a instalaciones de alta seguridad y tampoco están en internet. 

¿Considera que existe desconocimiento en este campo?

En ciberseguridad siempre se dice que el eslabón más débil es el usuario. Y es verdad. Nosotros podemos diseñar algoritmos fantásticos, podemos implementarlos de una forma totalmente segura. Pero al final, si el usuario falla, es inútil. Y para que el usuario no falle, es preciso informar y formar. Los medios tienen mucho que hacer en esto. Por ejemplo, en el tema del iris, desde el minuto cero los medios de comunicación deben dejar claro que no es una buena idea. Se debe apostar por una formación actualizada sobre cuestiones básicas en ciberseguridad, nos hace falta a todos.

Suscríbete para seguir leyendo