Los guardianes de la ciberseguridad desde León

En 2024, el Instituto Nacional de Ciberseguridad (Incibe) gestionó un total de 97.348 incidentes de ciberseguridad, unas cifras que representan un aumento del 16,6% en comparación al año anterior. De estos, el 67,6% afectaron a la ciudadanía, mientras que el 32,4% a empresas, incluyendo pymes, micropymes y autónomos. Además, como medida proactiva, se detectaron y notificaron 183.851 sistemas vulnerables relevantes, susceptibles de ser explotados por ciberdelincuentes para acceder a redes o provocar incidentes.

Estos datos reflejan una tendencia donde la seguridad en el entorno online se ha visto cada vez más comprometida. El acelerado proceso de digitalización y la constante llegada de nuevas tecnologías son algunos de los factores que han llevado a esta situación. Pero ¿existe un riesgo real? ¿Se encuentra España en una situación vulnerable ante posibles ciberataques?

El doctor Enrique Alegre, responsable del grupo de investigación GVIS, Grupo de Visión y Sistemas Inteligentes de la Universidad de León, cree que «es difícil» responder porque «es difícil decir si se está preparado frente a una amenaza que cambia y evoluciona continuamente».

«A favor de España se puede decir que tiene una Estrategia Nacional de Ciberseguridad, agencias dedicadas como el Centro Criptológico Nacional, Incibe y el mando conjunto del ciberspacio (MCCE) o la recientemente creada Agencia Española de Supervisión de la IA. Además, se ha desarrollado un marco legal amplio y hay mucha concienciación sobre el problema y sus retos», explica.

El grupo que dirige Alegre enmarca sus líneas de investigación principalmente en el campo de la ciberseguridad en un sentido amplio. Fue creado en 2003 bajo las siglas VARP (Grupo de Visión Artificial y Reconocimiento de Patrones), aunque fue renombrado como Grupo de Visión y Sistemas Inteligentes (GVIS, por sus siglas) en 2018. Actualmente, se encuentra formado por 31 miembros y está dirigido por el Dr. Enrique Alegre.

Desde su fundación, los investigadores han participado en numerosos proyectos de investigación, tanto regionales como nacionales y desde el año 2011 de forma ininterrumpida en proyectos europeos centrados principalmente en la lucha contra el cibercrimen utilizando Inteligencia Artificial (IA), y en aplicaciones de ciberseguridad desde 2016.

«En la actualidad participamos en SIESTA (y también participamos en DIGIS3) para desarrollar nuevos métodos que permitan entrenar modelos de IA con datos anonimizados. También hemos participado en numerosos proyectos para empresas, de los que cabe mencionar los contratos con Incibe para desarrollar herramientas para mejorar la ciberseguridad utilizando IA, similares a las que estamos desarrollando en nuestro proyecto LUCIA», afirma Enrique Alegre.

Uno de los hitos más destacados del grupo ha sido cinco patentes que han estado en explotación durante 10 años por la empresa Microptics y que han generado importantes ingresos por su explotación para la Universidad de León. «Además, en los proyectos que hemos tenido con Incibe desarrollamos métodos y herramientas asociadas a los mismos que también fueron utilizados por ellos. En total hemos registrado 15 patentes relacionadas con los resultados obtenidos en los diferentes proyectos en los que hemos participado», destaca Alegre.

Por otro lado, el trabajo del grupo también ha estado muy vinculado a proyectos de ciberseguridad en entidades. De este modo, Alegre recuerda que «hemos ayudado a diversas empresas, tanto del entorno como otras nacionales, a través de retos Universidad-Empresa que hemos ganado y que produjeron un software que ha sido utilizado» por ellas o ha sido «la semilla de desarrollos y productos para las mismas».

«En todo este proceso hemos creado un gran número de ‘datasets’ (conjuntos de datos) que hemos dejado disponibles para investigación y que nos solicitan de forma regular investigadores de todo el mundo e incluso algunas grandes empresas del sector tecnológico», añade.

Lucha contra los ciberdelitos

Aunque inicialmente sus primeros proyectos se centraban en aplicaciones de la visión por computador, la llegada del ‘deep learning’ en el año 2012 motivó que el grupo diversificará sus líneas de investigación. «Eso supuso que el procesamiento de lenguaje natural, la visión por computador e incluso el procesamiento de audio empezaron a utilizar técnicas muy similares, basadas en Deep Learning».

Una de sus principales investigaciones actuales es LUCIA, un proyecto financiado por Incibe con fondos NextGeneration del plan de recuperación. Iniciado en noviembre de 2023 y que finalizará en junio de 2026, con una financiación total de 1.210.471 euros de los que Incibe aporta 899.519 euros y el resto la ULE.

Su propósito es desarrollar nuevas soluciones utilizando IA que permitan luchar contra ciberdelitos. Se centra en el ‘smishing’, el ‘phishing’, el spam, las tiendas fraudulentas que venden productos falsificados, la clasificación de ciberincidentes que se reportan a un CERT (un equipo especializado en la gestión de incidentes de seguridad informática, que se encarga de prevenir, detectar y responder a ciberataques) y la lucha contra el abuso sexual infantil, desarrollando métodos que permitan estimar la edad de los menores, tanto a partir de imágenes como de texto, y detectando ‘grooming’, entre otros.

Una de las líneas que tiene el proyecto LUCIA es la protección de menores frente al cibercrimen

Una de las líneas que tiene el proyecto de LUCIA es la protección de los menores contra la ciberdelicuencia relacionada con abusos sexuales. Alegre cree que esta franja de población se encuentra más expuesta a los ciberdelitos en comparación a generaciones anteriores debido a factores como su mayor presencia en las redes que pueden hacer que sean abordados por adultos para participar en actividades dañinas, su vulnerabilidad frente a depredadores online en relación al ‘grooming’ y la explotación sexual (delitos abordados por LUCIA), el ciberbullyng, su exposición ante contenidos inapropiados y su vulnerabilidad frente a fraudes.

Sin embargo, la población infantil no son los únicos usuarios expuestos a este tipo de riesgos. Las Administraciones públicas o las pymes son otros perfiles que también son vulnerables a sufrir la ciberdelicuencia. Como explica el investigador, «la falta de personal formado, la alta dependencia tecnológica de software y hardware desarrollado en el extranjero y la mayor sofisticación en los ciberataques» son algunas de las razones que exponen la seguridad online de pequeñas y medianas empresas. Asimismo, la creciente digitalización de hogares y empresas provoca que «haya más donde atacar».

Por ello, es imprescindible crear estrategias robustas para garantizar la seguridad en los entornos online. Acorde al científico, las tendencias actuales se mueven, entre otros puntos clave, hacia la arquitectura de confianza cero, es decir, siempre verificar la identidad de cada usuario o dispositivo; la preparación para la computación cuántica cuando esta sea una realidad (y los desafíos que plantea); la concienciación de los usuarios para crear entornos seguros y el empleo de la IA para detectar amenazas y automatizar respuestas a los ataques.

No obstante, la utilización de la IA también plantea numerosos retos en sí misma para lograr crear entornos seguros Alegre considera que «se requiere esfuerzos en regulación, educación, gobernanza, supervisión humana y gestión de riesgos entre otros».

«En los últimos años, ha surgido un gran debate sobre la IA Generalista (o Artificial General Intelligence, AGI) se refiere a un tipo de Inteligencia Artificial capaz de aprender, razonar y realizar cualquier tarea intelectual que un ser humano puede hacer, sin limitarse a dominios específicos. A diferencia de la IA estrecha (o Narrow AI), —que es la que tenemos ahora— y que está diseñada para tareas concretas (como reconocer imágenes o traducir idiomas), la IA generalista busca emular la flexibilidad y adaptabilidad de la inteligencia humana. Los grandes popes de la IA están divididos sobre cuándo llegará la AGI», explica el investigador.

Según Alegre, algunos auguran que esto puede suceder en unos 5 o 10 años, como el CEO de Google Deep Mind, el CEO de Open Ai o Geoffrey Hinton, uno de los padres de la IA, aunque se debe ver su opinión «con prudencia» debido a «los intereses económicos» que hay detrás en que esto suceda.

Otros, como Yann LeCun, uno de los padres del Deep Learning y trabajador de Meta, consideran que no es un problema de simple escalado, sino que hacen falta avances significativos. «Estos últimos piensan que los LLMs (un tipo de IA que se especializa en entender y generar lenguaje natural) son impresionantes, pero que no tienen modelos internos del mundo, como lo hacemos los humanos, por lo que no ‘razonan’ puramente, si no que devuelven información agregada, organizada y elaborada en base a la información que se les ha proporcionado.

Inicialmente los primeros proyectos del grupo de investigación se centraban en aplicaciones de la visión por computador

En tema de regulación, la Unión Europea ha dado un paso adelante, ya que ha creado la primera normativa global de regulación de la IA que clasifica los diferentes niveles de riesgo. Esta normativa los divide en inaceptable, alto, limitado y nulo y prohibe los sitemas de riesgo inaceptable como el reconocimiento de emociones en el trabajo o la educación. Su objetivo es que los sistemas de Inteligencia Artificial sean seguros, fiables y respeten los derechos de las personas.

Una de las consecuencias que tiene para España esta ley es que «tendrá que designar autoridades competentes de supervisar, implementar y hacer cumplir la ley, así como adaptar la legislación nacional».

«Al ser un reglamento de la UE será directamente aplicable en España en cuanto entre plenamente en vigor. Las disposiciones principales no se transcriben y entran en vigor tal cual. Afectará a cualquier empresa o Administración que desarrolle o use IA», recalca el investigador. Advierte que «quizás sea una limitación para el desarrollo de la IA, del que Europa va a la cola de las potencias mundiales como Estados Unidos o China».

Los datos sensibles

Otra de las investigaciones principales actual del GVIS es SIESTA, un proyecto europeo que busca proporcionar una herramienta para permitir el acceso y reutilización de datos sensibles en la «nube europea de ciencia abierta (EOSC, por sus siglas en inglés)», respetando los principios FAIR y la confidencialidad y privacidad de estos. «Es decir, que, si existen datos sensibles, estos se anonimicen antes de quedar disponibles en abierto. Esto contribuirá de manera global a la mejora del desarrollo, despliegue y explotación de servicios de software en el ecosistema EOSC», avanza Alegre.

FAIR consiste en una serie de buenas prácticas para la publicación de datos científicos para convertirlos de acceso público. «Una de las principales carencias que siempre tenemos es la falta de buenos datos. Existen datos por todas partes, pero no siempre son de calidad, o no siempre están bien curados y anotados para investigación. Y, los que existen, en muchos casos no se pueden divulgar por problemas de privacidad. Creemos que esta plataforma va a contribuir a paliar esa limitación y promover una ciencia más abierta», detalla.

En SIESTA, se plantean cinco tipos diferentes de datos: epidemiología, imagen médica, datos de energía, datos demográficos y, el que llevan desde GVIS, datos en forma de textos no estructurados.

«En nuestro caso trabajamos con informes de ciberincidentes. Una de las líneas en las que hemos trabajado con Incibe ha sido la de clasificar automáticamente el tema del que trata un informe de un ciberincidente que llega a un CERT (phishing, robo de credenciales, etc.), para que se pueda derivar a un especialista o a otro en función del tipo de ciberincidente. Para ello, es necesario entrenar modelos de Inteligencia Artificial con textos de informes reales. El problema al que nos enfrentamos es que estos datos a menudo contienen información confidencial y, por ello, no los pueden compartir. Por esa razón, necesitamos algún método para anonimizar los datos sensibles de estos informes. La idea es que SIESTA cuente con un módulo que permita anonimizar este tipo de textos, de manera que dichos datos se puedan compartir», explica.

Existen datos por todas partes, pero no siempre son de calidad, o están bien curados para investigación

SIESTA es un proyecto financiado parcialmente por el programa Horizon Europe de la Unión Europea, bajo el Grant Agreement nº 101058354.

Próximos pasos

A pesar de los numerosos desafíos que se plantean para el futuro, el grupo lo tiene claro y espera seguir trabajando para la creación de «nuevas herramientas que ayuden en mejorar la ciberseguridad en la red aplicando técnicas de Inteligencia Artificial».

«Tenemos un demostrador que estamos evaluando en nuestra red interna y que permite detectar smishing, tanto en imagen como en texto, spam en emails, phishing, tiendas fraudulentas y clasificar ciberincidentes en numerosas categorías. Nuestro objetivo es que Incibe en España u otros CERT-CSIRT en otros países usen esas herramientas y nos ayuden a desarrollarlas o incluso vendérselas a aquellos que estén interesados en ellas», expone.

«Por otro lado, estamos interesados en continuar trabajando en desarrollar métodos que permitan entrenar modelos con datos anonimizados, de forma similar a los objetivos que tenemos en SIESTA. Creemos que eso ha sido una limitación en el pasado en los proyectos europeos en los que hemos participado y es una limitación general cuando se trabaja con FCSE en España o LEAs en general», afirma.

Asimismo, los investigadores quieren seguir desarollando algoritmos de estimación de edad de forma precisa, especialmente para la detección de menores, mediante la utilización de imágenes y texto.

«En resumen, seguiremos desarrollando técnicas de IA para mejorar la ciberseguridad y para luchar contra el cibercrimen, aplicándolas también a otros dominios que puedan tener problemáticas similares, como es el procesamiento de datos médicos o incluso a otros entornos industriales en los que tengan utilidad», concluye el investigador Enrique Alegre.