Categorías
Desarrollo IT

IA: un nuevo reto para la ciberseguridad y la privacidad

La IA mejora los procesos de seguridad, pero también genera nuevas amenazas.

La Inteligencia Artificial ha ofrecido en años recientes técnicas para mejorar los procesos de las empresas, hacer tareas de manera más eficientes y analizar una gran cantidad de datos en poco tiempo. Sin embargo, estas mismas técnicas también pueden ser utilizadas para amenazar la privacidad y seguridad de los usuarios.

Acelerómetros usados para tomar tus datos

En 2016, un recién graduado danés encendió las alertas del mundo con su tesis de maestría en IT University de Copenhague. Tony Beltramelli, de entonces 25 años, había descubierto una manera para adivinar las contraseñas de los usuarios de relojes inteligentes como el iWatch.

Beltramelli advirtió que “por su muy natural característica de ser wearables, estos dispositivos [smartwatches y monitores de ejercicio] otorgan una base para realizar ataques nocivos que amenazan la privacidad del usuario y de otros”.

Gracias a los acelerómetros que integran estos dispositivos wearables, una aplicación puede saber si haces un movimiento natural de la mano o si estás tecleando algo en una tableta o computadora. Beltramelli fue más allá. Tras recolectar suficientes datos, demostró que la información del acelerómetro combinado con técnicas de machine learning hacen posible adivinar la contraseña de un dispositivo móvil. Esto es todavía más sencillo gracias a que la mayoría de los teclados están estandarizados en forma y tamaño.

Beltramelli pudo comprobar esto gracias a que tuvo acceso completo a los mecanismos internos de un smartwatch. Un usuario que no ha instalado alguna aplicación de terceros y que no ha otorgado permisos a la aplicación podría estar a salvo. Sin embargo, en septiembre de 2018 un equipo de investigadores del Instituto Internacional de Ciencias de la Computación en California descubrió que algunos desarrolladores de aplicaciones estaban utilizando técnicas maliciosas para recolectar información del usuario sin necesidad de solicitar permisos. La cifra no era baladí: más de 1,300 aplicaciones obtenían información de geolocalización precisa e identificadores del teléfono.

Los investigadores señalaron en su plática “ 50 Ways to Leak Your Data” que “las apps pueden evadir el modelo de permisos y acceder a datos protegidos sin el consentimiento del usuario, usando tanto canales velados o alternativos. Estos canales ocurren cuando hay una forma para acceder a los recursos protegidos que no están auditados por los mecanismos de seguridad, dejando a los recursos desprotegidos”.

Con esta técnica, aplicaciones como Photo Identifier eran capaces enviar información de geolocalización del usuario aprovechando los permisos de otra aplicación.

De esta misma manera, las aplicaciones pueden aprovechar el acelerómetro para colectar datos cuando se utiliza el altavoz, según publicó a inicios de este mes un equipo de investigadores de seguridad (Abhishek Anand, Chen Wang, Jian Liu, Nitesh Saxena, Yingying Chen).

Los investigadores crearon una aplicación como prueba de concepto que imita el comportamiento que tendría un atacante malicioso. La aplicación grababa las vibraciones de voz con el acelerómetro y enviaba la información a un servidor controlado por el atacante.

https://twitter.com/aestatevipera/status/1151632622507954177

De esta manera, una aplicación puede grabar las conversaciones que el usuario mantiene con otra persona en mensaje de audio u obtener información de sus gustos musicales. Los investigadores señalaron que información como la fecha de cumpleaños o las cuentas bancarias podrían no estar comprometidas mediante este método, ya que estas no suelen compartirse mediante mensajes de voz por estar conformadas de dígitos.

Sin embargo, esta técnica (llamada “Spearphone” por sus desarrolladores) tiene la capacidad de identificar el género de una persona con un 90% de precisión, mientras que puede identificar al interlocutor con un 80% de precisión.

Algunas técnicas de mitigación sugeridas por los investigadores fueron reducir la tasa de muestreo o variar el volumen máximo de un teléfono para que las lecturas del acelerómetro se dificulten.

Eres juzgado por tu aspecto

Otro caso que ha levantado preocupación sobre su potenciales usos contra la privacidad y seguridad de las personas es el reconocimiento facial, a tal grado que en San Francisco prohibió en mayo de 2019 el uso de tecnología de reconocimiento facial por el gobierno donde activistas y desarrolladores cuestionaron la necesidad de utilizar esta tecnología con fines policiales.

En el caso del reconocimiento facial, el problema no yace en el peligro que un criminal “hackee” nuestro rostro y lo utilice para acceder a nuestras cuentas bancarias, sino en las formas en que el Estado pueda utilizar esta tecnología para mantener el control y discriminar a ciertos grupos.

Uno de los problemas denunciados es la poca precisión que tiene esta tecnología para reconocer rostros que no son blancos. Existe un margen de error de 0.8% en estos dispositivos cuando se trata de hombres blancos, mientras que el margen de error aumenta a 34.7% para el caso de mujeres de piel oscura.

El New York Times denunció que autoridades chinas utilizaban esta tecnología para monitorear a las personas que pertenecen a minoría étnicas, como la población musulmana de la región de Xinjiang, en lo que calificaba como una expresión de racismo. En el desarrollo de estos sistemas de identificación facial estaban involucradas varias startups chinas, como Yitu, Megvii, SenseTime, and CloudWalk. Algunas de ellas, como Megvii, también desarrollan tecnología para startups de Estados Unidos.

El caso de China podrá sonar como una situación extrema, pero cada vez surgen más estudios que señalan cómo muchos algoritmos de IA muestran un sesgo a la hora de interpretar los datos, lo que no es problema de la tecnología en sí, sino en cómo es programada y entrenada.

Este tipo de situaciones ha llevado a advertir sobre los riesgos de esta tecnología, como el caso de Elon Musk quien ha calificado a la AI como “más peligrosa que las armas nucleares”.

Toda tecnología conlleva sus riesgos y estos es verdad desde que se crearon las primeras herramientas de la humanidad. El fuego y la cuña son un peligro utilizadas sin precaución. Proscribir las nuevas tecnologías es una salida poco realista. Un camino más prometedor es advertir de antemano los problemas que generan y buscar soluciones innovadoras para resolverlos.

Por Juan Paulo Pérez-Tejada

Estudié lingüística en la Escuela Nacional de Antropología e Historia y sociología en la UNAM. Estoy interesado en el PLN, desarrollo web y el impacto de las nuevas tecnologías en nuestra sociedad.

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.