Plumas NCC | Ciencia de datos y ciberseguridad en el ámbito legal

Por: Rodolfo Guerrero Martínez (México).

Los ordenadores superarán a los humanos dentro de 100 años. Cuando eso ocurra, tenemos que asegurarnos de que los ordenadores tengan objetivos alineados con los nuestros.”

Stephe Hawking.

En el presente artículo abordaremos la ciencia de datos y ciberseguridad en el ámbito legal por medio de las reflexiones compartidas en el tercer panel del Cuarto Diálogo Internacional de Juristas donde participaron expertos en derecho y tecnologías de la información y comunicación (TIC), además de compartir brevemente sobre las técnicas de ataque adversario.

Ciencia de datos y ciberseguridad en el ámbito legal

El pasado martes 7 de noviembre a las 16 horas de Ciudad de México se realizó en el marco del Cuarto Diálogo Internacional de Juristas (1) que organiza la Sociedad Civil Coffee Law “Dr. Jorge Fernández Ruiz”, el panel intitulado “Ciencia de datos y ciberseguridad en el ámbito legal” donde participaron como ponentes los expertos en derecho y TIC: el Doctor Salvador E. Venegas-Andraca, Quantom Engineer y Senior Consultant; Doctor Julio Córdoba Elizondo, profesor de Derecho Informático en la Escuela Libre de Derecho; y la Maestra Elizabeth Ruiz Ramírez, abogada por la Universidad Nacional Autónoma de México UNAM y especialista en ciberseguridad.

En dicho panel se desarrollaron una serie de planteamientos que resaltamos a continuación:

(1) Nociones generales de la importancia de la ciencia de datos y la ciberseguridad.

Básicamente el punto de intersección de la física cuántica y la ciberseguridad se encuentra en dos grandes rubros, el primero de ellos es la utilización de algoritmos y computadoras cuánticas para vulnerar sistemas de criptografía, que conocemos en el mundo técnico como sistemas de llave Pública, que es esencialmente la forma en la que se codifican, se ocultan datos. Cuando hacemos compras en internet, por ejemplo, y en muchos otros medios digitales.

Otro punto importante que intenta complementar o balancear el sentido de la vulnerabilidad y un beneficio, es consecuencia de la utilización de átomos, por ejemplo, luz, en fin, diferentes sistemas muy pequeños del tamaño de átomos o más pequeños para construir nuevas formas de codificación de datos, fundamentalmente a la criptografía cuántica y en específico a la distribución de llaves cuánticas. En este punto, estamos haciendo uso de las propiedades de la física para incrementar la seguridad de un sistema de codificación de datos.

Entonces a efecto de evitar entrar en detalles técnicos, la perspectiva de la física cuántica en la ciberseguridad es, una nueva herramienta poderosísima que contempla nuevas aplicaciones de cómo utilizar esos objetos diminutos que son los átomos, la luz, y otros sistemas físicos de ese tamaño, tanto para vulnerar los sistemas de criptografía o de ciberseguridad que tenemos actualmente, como también utilizar esos mismos sistemas para mejorar las capacidades de seguridad de datos y para incrementar a través de nuevos sistemas.

Por otra parte, la criptografía y la ciberseguridad cuántica son líneas de trabajo que comenzaron siendo disciplinas científicas universitarias, y de centros de investigación, hoy conforman el ecosistema de tecnología avanzada más elaborado de toda la tecnología cuántica, esto es, de las computadoras cuánticas, comunicaciones, criptografía y el área de ciberseguridad cuánticas, esta última siendo la más cercana con productos que se pueden utilizar hoy en el mercado de alta tecnología, así como procesos y actividades que las empresas y gobiernos deben seguir a efecto de proteger sus datos de los ataques de computadoras cuánticas.

(2) Ciencia de datos, gobernanza y protección de derechos humanos

Es muy importante pensar lo necesario que es hacer ciencia de datos, para la gobernanza como para temas relacionados con la empresa, sin embargo, todo este proceso de algoritmos de inteligencia artificial, de machine learning deben estar enfocados en la protección de los Derechos Humanos en especial de la privacidad.

En ese sentido, es trascendental que cada país tenga una legislación robusta en materia de protección de datos, y que esté armonizada con el paradigma presente a través del Reglamento de Datos de la Unión Europea. Esto ante el escenario desafortunado de algunos ejercicios de ciencias de datos ausentes de practicar la anonimización de la información, por tanto, ocasionando que las personas sean identificables y expuestas en la esfera de su vida privada (temas de salud, finanzas y creencias religiosas).

De manera que, resulta esencial generar límites claros para el respeto de los derechos humanos en el escenario de una sociedad que sufre una magna automatización de los procesos.

En este marco de ideas, compartimos el caso de Costa Rica que cuenta con la Ley de Datos Personales 8968, la cual lamentablemente no es de conocimiento general, ni siquiera entre colegas del sector jurídico se conoce bien la normativa. Por tanto, se tienen gobiernos municipales haciendo tratamiento de datos con el uso de inteligencia artificial sobre quién camina por la vía pública, rastreando a vehículos particulares, para conocer quién entra y sale, todo esto bajo la justificación de mantener y preservar la seguridad.

(3) La indispensable convergencia entre el derecho, la ciencia de datos y la ciberseguridad

Es importante revisar que sucede con la legalidad, en ese sentido, ubicamos el manejo de la seguridad de la información o concretamente la ciencia de datos para realizar este análisis en el manejo y protección ante cualquier situación de amenaza y/o vulneración generada por virus informáticos, ataques de denegación de servicio, entre otros.

Precisamente ante lo señalado en el párrafo precedente, las políticas y practicas en los ámbitos corporativos y gubernamentales son prioritarios para garantizar la legalidad en los procesos de uso con datos confidenciales o críticos. Además de la intersección entre la privacidad, la ciencia de datos y la ética.

Ahora bien, en materia de los tópicos selectos referidos, contemplamos la Estrategia Digital Nacional 2021-2024 que tiene como finalidad promover una cultura de la información que genere certeza y confianza a las personas usuarios de los servicios tecnológicos, institucionales y gubernamentales. Considera, además, la implementación de un protocolo homologado para la gestión de incidentes cibernéticos entre las instituciones.

Establecemos que la ciberseguridad es la prevención de la confidencialidad la integridad y la disponibilidad, que concordancia con estándares técnicos como la ISO 27001 y la normatividad internacional brindan herramientas (encriptamiento, tratamiento, análisis, transparencia) para la generación de una gestión empresarial y de una transformación gubernamental inteligente.

Ataque Adversario

En el presente objeto de estudio resulta relevante abordar el “ataque adversario”, como una técnica que busca engañar o manipular el comportamiento de una red neuronal utilizando datos maliciosos o ruido adicional en las etapas de entrenamiento, re-entrenamiento u operación. Asimismo, dichos métodos pueden clasificarse en ataques de caja blanca, gris y negra según el conocimiento que el adversario tenga del modelo.

Cabe resaltar que, en el bloque de las tecnologías exponenciales la relación entre la inteligencia artificial (2) y la ciberseguridad es primordial para la mitigación de riesgos, debido a que los ataques adversarios en esta lógica pueden afectar el comportamiento de la red neuronal; manipular resultados de búsquedas; generar contenidos falsos o engañosos; divulgar información confidencial; ocultar información relevante; y explotar vulnerabilidades y que potencien sus ataques.

Ahora bien, el contexto de actuación del ataque adversario podemos observarlo en diversas etapas, teniendo presente el proceso de entrenamiento de un modelo de lenguaje extenso, complejo y que demanda una gran cantidad de recursos computacionales y de tiempo.

La primera etapa es la selección y preparación de datos, en ella influye la selección para introducir datos maliciosos o manipulados para sesgar el modelo hacia una determinada dirección; la segunda es el pre-procesamiento de datos o de limpieza y enmascaramiento; la tercera es la de entrenamiento de modelo donde se puede manipular el proceso de entrenamiento para influir en los resultados, modificándolos y como consecuencia obtener resultados incorrectos o segados.

En suma, el escenario descrito demanda el desempeño de directrices para crear una inteligencia artificial fiable, en la actualidad un grupo europeo de ética de la ciencia y de las nuevas tecnologías, así como la Agencia de los Derechos fundamentales previenen: (I) Intervención y supervisión humanas a través de mecanismos de gobernanza, participación humana, la supervisión humana, o el control humano donde las autoridades tengan los elementos para ejercer sus competencias; (II) Rendición de cuentas: requiere que los algoritmos sean suficientemente seguros, fiables y sólidos para resolver errores o incoherencias y hacer frente adecuadamente a los resultados erróneos: fiables, resilientes, disponer de un plan de contingencia, sus resultados reproducibles e verificablemente seguros; (III) Privacidad y gestión de datos: debe garantizarse que las personas tienen el pleno control sobre sus propios datos y que no se utilizarán para perjudicarles o discriminarles por temas como preferencias, la edad, datos médicos, el sexo de las personas, orientación sexual o sus opiniones religiosas o políticas; y (IV) Transparencia: registrar y documentar tanto las decisiones tomadas por los sistemas como la totalidad del proceso, la descripción del acopio y el etiquetado de datos la descripción de los algoritmos utilizados y que dieron lugar a las decisiones.

Notas

(1) Cuarto Diálogo Internacional de Juristas, 2023. Sociedad Civil Coffee Law. Véase en: https://t.ly/Pv6Pv

(2) Inteligencia artificial y ciberseguridad en la esfera del derecho, 2023. Coffee Law. Véase en: https://t.ly/_uJZA