Leyes permisivas e IA hacen más vulnerables los datos personales

La señora Lucía tomaba el café de la mañana, cuando recibió una videollamada de su nieta Angelina. Angustiada, la joven le contó que había chocado el auto y que necesitaba con urgencia un depósito de siete mil pesos para indemnizar a los afectados. Le dio a su abuela un número de cuenta bancaria.

Doña Lucía no dudó en ayudar a su nieta; desde que murió su esposo, hace cuatro años, recibe una pensión que le permite vivir con cierta holgura. Además, era el rostro y era la voz de Angelina.

La transferencia se hubiera concretado de no ser porque la señora no sabía con detalle el procedimiento para dar de alta una nueva cuenta bancaria en su aplicación de banca en línea. Fue hasta que pidió asistencia a otro de sus nietos, cuando se descubrió el montaje.

—¿Te dijo la contraseña? —le preguntó el joven.

—No —contestó la abuela. —Pero tampoco era necesario, yo la vi con mis propios ojos. Era ella…

—Mejor vamos a marcarle.

Después de llamar a Angelina, se descubrió que todo fue un intento de estafa. Los ladrones habían hackeado la cuenta de WhatsApp de la chica y clonaron su imagen y voz con ayuda de herramientas de Inteligencia Artificial.

Y la contraseña de la que hablaba el nieto es un pacto que hizo la familia para evitar engaños, cada vez más frecuentes en México.

Acordaron que cada vez que un familiar pida ayuda económica, datos personales o información sensible, deberá decir una frase o palabra clave para saber que la petición es auténtica. En este caso, la contraseña era decir en algún momento “olvidé apagarle a los frijoles”.

Este caso permite ilustrar la enorme vulnerabilidad de los datos personales, los cuales están en riesgo por el avance de la tecnología y la Inteligencia Artificial y los vacíos jurídicos que impiden sancionar adecuadamente a quien hace uso indebido de ellos.

La tecnología como amenaza

La Inteligencia Artificial está marcando un hito en la vulneración de datos personales, suplantación de identidad y extorsión a usuarios. A partir de 2023, la disponibilidad de diversas herramientas digitales se disparó, lo que ha dado a los ciberdelincuentes mayores posibilidades para la estafa a escala individual, empresarial y gubernamental.

Datos del Consejo Ciudadano para la Seguridad y Justicia de la Ciudad de México revelan un aumento acelerado en los reportes por robo de identidad.

En 2023 se contabilizaron mil 607 denuncias por este ciberdelito, lo que representa un incremento de 134% respecto de los 684 reportes de 2022; de 695% en relación a los 202 recibidos en 2021 y de 1,960% respecto a los 78 que hubo en 2020.

Desde el año pasado, las herramientas basadas en Inteligencia Artificial se volvieron de fácil acceso y bajo costo, por lo que un extorsionador puede enviar videos o audios manipulados donde pareciera que un ser querido está en peligro inminente. Además se pueden transmitir fotos, videos o audios alterados para crear circunstancias que afecten el patrimonio o reputación de las personas.

Los delincuentes acuden al robo de identidad para tramitar créditos o ingresar a cuentas bancarias para realizar compras, pero también para acosar y abusar laboral, profesional o sexualmente de una persona y vulnerar su vida privada.

Computadora cuántica

Si la Inteligencia Artificial representa enormes desafíos en materia de ciberseguridad, el inminente arribo de las computadoras cuánticas amenaza con hacer aún más frágil la protección de datos de gobiernos, corporaciones y usuarios de servicios como redes sociales, correos electrónicos y banca por Internet.

“La computación cuántica procesa información a una velocidad inimaginable e indescriptible, de manera que las contraseñas más robustas serán descifradas en minutos con esa velocidad de procesamiento de datos”, refiere Víctor Saavedra Salazar, coordinador de Investigación del Instituto de Transparencia, Información Pública y Protección de Datos Personales de Jalisco (ITEI).

“Afortunadamente, las computadoras cuánticas todavía no están en el mercado, pero las agencias de inteligencia ya las tienen; en cinco o 10 años estarán al alcance del público en general, es un escenario posible y real, para el cual el ser humano tendrá que adaptarse”, agrega.

Por lo pronto, con un software que ya está en el mercado, explica Saavedra, es posible descifrar claves de dispositivos y cuentas de correos o redes sociales en un promedio de dos horas, situación que se facilita cuando los individuos emplean contraseñas muy débiles como “123456”, “abc123”, “superman” o “soccer”, que son utilizadas por millones de personas.

“Pero si pones una contraseña de 15 dígitos, que combine elementos alfanuméricos y signos especiales, pues ya se la complicamos a esos
software para descifrar contraseñas. Si ahora se tarda dos horas, para una robusta se tardará semanas o meses, lo que desincentivará la intención criminal”, señala.

El papel de la “ingeniería humana”

“Hola, cuñis. ¿Cómo estás?”, leyó
Dennis una tarde en el messenger de Facebook. Esa es la forma en que Leticia, hermana de su esposa, se refería hacia él de manera cotidiana, por lo que no dudó en responderle el saludo.

“Me da mucha pena, pero estoy en un apuro y quería ver si me puedes prestar dos mil 500 pesos y en la quincena te los pago”. Dennis supuso que se trataba de una emergencia y le transfirió el dinero a la cuenta que le indicó.

El año 2023 marcó un punto de inflexión en la ciberseguridad, con la Inteligencia Artificial emergiendo como una herramienta poderosa tanto para las empresas legítimas como para los cibercriminales.

El uso indebido de ChatGPT y el desarrollo de modelos de lenguaje clandestinos han elevado el potencial de ataques sofisticados, poniendo en riesgo la información confidencial de las organizaciones y las personas.

El portal de Silikn, empresa especializada en ciberseguridad, advierte que la Inteligencia Artificial puede ser utilizada para crear textos muy realistas que pueden ser utilizados en ataques de ingeniería social, aumentando las posibilidades de éxito.

›“Los grandes modelos de lenguaje como ChatGPT se están convirtiendo en una nueva herramienta para los cibercriminales. Estos modelos, capaces de generar texto realista y convincente, están siendo modificados y adaptados para lanzar ataques más sofisticados”, refiere el portal, el cual agrega que aplicaciones como FraudGPT y WormGPT están diseñadas para crear correos electrónicos y mensajes de phishing altamente convincentes.

Estas herramientas, de acuerdo con Saavedra Salazar, están basadas en “ingeniería humana”, es decir, se aprovechan de los sentimientos y emociones más básicas del ser humano: la codicia, la ambición, el deseo, la curiosidad y la atracción sexual.

“Cuando te contacta una persona atractiva siempre está el impulso de aceptar una invitación, pero muchas veces está detrás una técnica para estafarte. Cuando te llaman para decirte que un paquete está por llegar a tu domicilio, es una oferta irresistible, pero detrás está la intención de invadir tus dispositivos para robarte información”, puntualiza.

La ciberseguridad es un desafío constante, alerta el portal de Silikn, y la IA ha introducido una nueva dimensión en la lucha contra el cibercrimen. “Las organizaciones y usuarios que no se adapten a este nuevo panorama estarán en mayor riesgo de sufrir ataques sofisticados y costosos”, anticipa.

Marco jurídico permisivo

El pasado 22 de febrero, durante su conferencia matutina, el presidente Andrés Manuel López Obrador exhibió el número telefónico de la corresponsal del diario The New York Times, Natalie Kitroeff, quien había enviado al mandatario una petición escrita para que fijara postura sobre una investigación sobre supuesto financiamiento del narcotráfico a su campaña del 2018.

El descuido del mandatario propició que usuarios de las redes sociales filtraran los números telefónicos de Claudia Sheinbaum, candidata de la alianza Morena-Verde-PT a la Presidencia de la República; del hijo mayor del presidente, José Ramón López Beltrán; del vocero de la Presidencia, Jesús Ramírez Cuevas, y del líder del partido Morena, Mario Delgado, entre otros.

Tanto la indiscreción del mandatario como la reacción de quienes filtraron celulares de morenistas implicaron la violación de la fracción III del artículo 163 de la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados, la cual establece que “serán causas de sanción por incumplimiento de las obligaciones establecidas en la materia de la presente Ley usar, sustraer, divulgar, ocultar, alterar, mutilar, destruir o inutilizar, total o parcialmente y de manera indebida datos personales, que se encuentren bajo su custodia o a los cuales tengan acceso o conocimiento con motivo de su empleo, cargo o comisión”.

›Sin embargo, desde el punto de vista de Ernesto Villanueva, abogado especializado en derecho a la información y derechos digitales, las sanciones previstas en la ley no cumplen con la función de disuadir esta conducta, debido a que “son multas administrativas, que se van incrementando según vaya siendo la gravedad del asunto, pues se analiza caso por caso”.

De acuerdo con el artículo 153 de la citada ley, los organismos garantes podrán imponer las siguientes medidas de apremio para asegurar el cumplimiento de sus determinaciones: a) Amonestación pública o b) Multa, equivalente a la cantidad de 150 hasta mil 500 veces el valor diario de la Unidad de Medida y Actualización.

En el caso de las redes sociales, agregó Villanueva, “tenemos un problema mucho más grande, porque éstas responden a una autorregulación, y esa autorregulación no está funcionando”.

Opinó que el marco legal tiene que ampliarse a las redes sociales y se deben dar nuevas atribuciones a los órganos garantes de transparencia, “para que en el ámbito de su jurisdicción puedan intervenir, sobre todo con este nuevo desarrollo de la Inteligencia Artificial, la suplantación de identidad y el robo de datos personales, que nos está rebasando”.

Usuarios “críticos” de redes sociales

Ante los desafíos que trae consigo la Inteligencia Artificial, los usuarios de redes sociales, servicios en línea y correos electrónicos deben dar un segundo paso para la protección en entornos digitales, señala Diego Morábito, especialista en ciberseguridad e integrante de Social Tic, organización especializada en infoactivismo, datos abiertos y seguridad digital.

Además de recomendar usar contraseñas largas, robustas y aleatorias, no dar información en redes que comprometan datos personales y no socializar todas las actividades, Morábito destaca que la Inteligencia Artificial y el posible arribo de la computación cuántica nos obliga a tener una “conciencia crítica” de los dispositivos y las aplicaciones.

Detalla que esta conciencia nos debe llevar a pensar que nuestra foto en Whats-App no debe estar visible para todo el público, ya que es información personal que puede ser usada de manera maliciosa. También a considerar que las aplicaciones con filtros de moda recopilan datos biométricos de nuestro rostro que no sabemos cómo serán utilizados y reflexionar que con las app de citas estamos dando información valiosa como fotos, hábitos, intereses y qué buscamos de una relación

“En Social Tic creemos que los delitos asociados al robo de datos personales y suplantación de identidad van al alza”, expone Morábito, quien señala que los principales delitos son extorsiones o embustes para pedir dinero.

›Agrega que si bien hay herramientas digitales y prácticas delincuenciales para extracción de datos, la vulnerabilidad se incrementa por el desconocimiento los usuarios sobre los datos que acumulamos en cuentas de redes sociales con publicaciones, fotos, textos, likes, traslados o posteos de los lugares que visitamos.

Crece el entono digital, crecen los riesgos

Hace un par de años era relativamente fácil identificar un correo o un mensaje que pretendía hacerse pasar como un proveedor de servicios para perpetrar un fraude. En algunos casos, el lenguaje no correspondía con el institucional, los logotipos no eran totalmente perecidos en sus formas y colores, y hasta había errores ortográficos que delataban al estafador.

Ahora, con el aprendizaje acumulado por la inteligencia artificial, estas deficiencias han sido solventadas y los correos o mensajes falsos elaborados por ciberatacantes ya son prácticamente iguales a los verdaderos, lo que pone en riesgo a los usuarios.

Para Víctor Ruiz, director de Silikn, empresa dedicada a la ciberseguridad, uno de los factores que explican el boom en la vulneración de datos y prácticas extorsivas es que se ha incrementado la cantidad de información que hay en el entorno digital y en la “nube”; ahora existen más servidores, más unidades del almacenamiento y más bases de datos circulando en el ciberespacio.

“En el caso de México, la información gubernamental no ha sido resguardada de manera adecuada y eso ha permitido que esté expuesta; una vez que es vulnerada, las autoridades no han actuado con transparencia para explicar las medidas que están implementando y de qué forma están protegiendo los datos de las personas o las empresas. Muchos ciberatacantes están conscientes de esta deficiencia y entonces emprenden el rastreo de más brechas de seguridad”, apunta Ruiz.

Sobre la facilidad con la que las cuentas de usuarios de redes sociale son hackeadas, Ruiz explica que cada vez es mayor el número de personas que utilizan dispositivos móviles sin las medidas básicas de seguridad.

“Esto ha abierto un nuevo vector de ataque para los criminales, ya que han desarrollado habilidades para construir mensajes persuasivos para distintos sectores de la población, dependiendo de su edad, sus hábitos y sus gustos.

Entonces, arman campañas en las que estiman que, de 10 mil mensajes, es probable que caigan 100 personas extorsionables y con eso ya tienen recuperada su inversión”, detalla el especialista.

Ante la proliferación de mensajes que buscan vulnerar los dispositivos móviles para extraer datos personales y perpetrar una estafa, el especialista en seguridad digital Víctor Saavedra aconseja a las familias acordar una frase o palabra clave para alertar a los integrantes ante posibles intentos de extorsión, como ocurrió con la señora Lucía y sus nietos.

Los delincuentes acuden al robo de identidad para tramitar créditos o ingresar a cuentas bancarias para realizar compras, pero también para acosar y abusar laboral, profesional o sexualmente de una persona y vulnerar su vida privada.