El exmilitar israelí que trabaja para que 'Minority Report' nunca se haga realidad

En Israel viven obsesionados por la ciberseguridad, hasta el punto de que este pequeño país de nueve millones de habitantes se ha convertido en el líder mundial en investigación y desarrollo de productos relacionados con esta industria. Hace unos días, un miembro del Ministerio de Asuntos Exteriores me confesaba emocionado que esperan cada año el día en el que el colectivo de 'hackers' Anonymous realiza un ataque conjunto a objetivos israelíes. "Nos lo tomamos como un entrenamiento para comprobar nuestros sistemas de seguridad".

Este #OpIsrael se celebra anualmente el 1 de mayo, en coincidencia con el Yom HaShoah o Día de Recuerdo del Holocausto, y básicamente trata de llenar páginas webs de organismos oficiales o asociaciones proisraelíes con banderas, calaveras o símbolos de todo pelaje. Mientras, los escudos de ciberdefensa del Estado judío tratan de sofocar estos ataques, en su mayoría meramente estéticos, para demostrar músculo.

TE PUEDE INTERESAR

Una hora con la exjefa de ciberseguridad de EEUU: "¿Snowden? ¡Es una terrible persona!"

Manuel Ángel Méndez

Para comprender bien cómo esta defensa patriótica de las telecomunicaciones se ha convertido en una de las industrias más lucrativas del país, me dirijo a un prominente rascacielos frente al Museo de Arte Moderno de Tel Aviv, donde el despacho de abogados Herzog, Fox & Newman tiene su sede. Allí trabaja Nimrod Kozlovski, actualmente director de Regulación Tecnológica de la firma. En su juventud, este doctor en derecho e informática por la Universidad de Yale fue comandante de las Fuerzas de Defensa Israelíes (IDF) y más tarde se convirtió en consultor de 'startups' de ciberseguridad, fundó un par de estas empresas y dio clases de Estudios Cibernéticos en la Universidad de Tel Aviv.

Después de nuestra entrevista, Kozlovski tomará un vuelo a Estocolmo para participar en un taller de la OTAN sobre ciberseguridad, pero no tiene prisa ni miedo a responder, recibe una pregunta tras otra sin que le salte el 'firewall'. Su tesis es que el argumento que vimos en 'Minority Report' —aquel relato de Philip K. Dick llevado a la pantalla por Steven Spielberg donde Tom Cruise interpreta a un policía experto en predecir crímenes antes de que sucedan— no solo está cerca sino que ya lleva tiempo cumpliéndose.

"Esas historias de detectives y policías atrapando delincuentes ya no son ciertas", dice con calma. "Ahora la mayoría de los casos son transfronterizos, no dejan evidencia ni atributos del crimen o sus autores, son principalmente cibercrímenes donde tenemos al delito y a la víctima, pero la gran mayoría de casos se quedan sin resolver".

PREGUNTA. ¿Y cómo deberían actuar entonces las fuerzas del orden?

RESPUESTA. Creo que la única forma en la que podemos manejar este tipo de crímenes es tratar de predecirlos antes de que ocurran.

P. ¿Esta forma de actuar preventivamente ya es una realidad?

R. Ya es una realidad. Por ejemplo, con la falsificación de tarjetas de crédito. Recuerdo que, hace 20 años, el CEO de VISA dijo claramente que no iban a permitir las transacciones 'online' con tarjeta de crédito. La razón era que en aquellos tiempos, las comisiones por transacciones con tarjeta eran altas en internet porque la gente usaba su tarjeta para, básicamente, apostar y ver porno.

Cuando recibían los cargos, llamaban a la empresa y decían "alguien ha estado usando mi tarjeta". Si se fija, estos días un 99% de las transacciones por internet son con tarjeta, incluso en PayPal, y el motivo es porque la tecnología ha resuelto el problema del fraude: algo que antes era un problema hoy no lo es gracias a una tecnología parecida a la que se usaba en 'Minority Report'.

P. ¿Cómo funciona esa tecnología?

R. Es la forma en que se analiza todo en las transacciones con tarjeta: saben qué compras, qué producto, a qué hora del día, en qué tiendas, cómo te identificas, qué teléfono usas, cuál es tu última localización conocida, cuál es la IP... Analizamos unos 100 factores que están detrás de cada transacción que haces con la tarjeta. Cada vez que compras algo 'online', hay una empresa por detrás analizando el factor de riesgo de esa transacción y que devuelve, en milisegundos, una puntuación de riesgo: ¿cuánto riesgo tiene esa transacción? Y en tiempo real, la empresa de tarjetas de crédito decide si permitir esa transacción o detenerla.

La tecnología se ha vuelto tan buena, que pese a tener millones de registros robados, el fraude con tarjetas de crédito hoy es casi cero

La tecnología para las tarjetas de crédito se ha vuelto tan buena, que a pesar de tener cientos de millones de registros vendidos en la 'dark net' cada segundo, de todos los datos que han sido robados, el fraude con tarjetas de crédito es inapreciable, prácticamente cero. Y pasa lo mismo con los filtros de 'spam'. Hace 20 años se decía que el 'spam' iba a acabar con internet, y ahora raramente recibimos 'spam' y, por otro lado, raramente el filtro descarta un 'e-mail' que era legítimo.

P. Y, por supuesto, esta vigilancia 'por nuestro bien' no acaba solo en internet.

R. Gradualmente, estamos viendo esto aplicarse también al mundo físico. Si observa proyectos como el Future Attribute Screening Technology (FAST), implementado por el Gobierno de Estados Unidos, podemos ver parámetros de comportamiento para detectar actitudes anormales. Por ejemplo, en edificios federales o aeropuertos, la actividad conjunta de los sensores puede potencialmente detectar signos de actividad maliciosa. ¿Qué miden? Básicamente todo. Puedes saber cómo suda una persona, cómo mueve las pupilas, cómo de rígidos están los músculos, sus patrones de movimiento, la fluctuación de su voz... Ya se han instalado en algunas residencias universitarias de EEUU cámaras inteligentes alimentadas por este tipo de analíticas que, si ven a una mujer caminando y cerca hay un hombre, analizan si se trata de un comportamiento normal o de actividad potencialmente maliciosa. Además, es posible agregar datos digitales: ¿son amigos en Facebook? ¿Han tenido relación anteriormente?

P. La ley, generalmente, dice que para que alguien sea juzgado por un delito debe haberlo cometido, tiene que haber hechos. ¿Reformular esto no significaría vulnerar todo en lo que se asienta la Justicia actualmente?

R. Las bases legales para esto no son sólidas aún. Los libros de texto solo reconocen el cumplimiento activo de la ley: empiezas a investigar a un individuo si tienes pruebas razonables de que ha cometido un crimen. Pero creo que gradualmente iremos implementando tecnologías que... son muy diferentes. Tengo una TedTalk sobre algo que está llegando desde China ahora, una innovación que lo que nos dice es que 'Minority Report' se equivocaba. Allí se intentaba analizar el comportamiento y asumía que si había alguna anomalía eso podría conducir a un comportamiento malicioso. La realidad es que no hace falta un comportamiento sino una evaluación en tiempo real de 'cómo de peligroso soy'. Así que empezamos a tener proyectos basados en puntuar el riesgo de los individuos, y empezamos a ver cómo gente con diferente puntuación recibía una atención diferente.

Hay un proyecto muy conocido en China que se llama Sesame, que empezó a recopilar todos los datos que tienen sobre individuos. Lo llevan a empresas privadas y dicen, vamos a ver, en tu telefono tienes interacciones sociales, 'gaming', 'shopping', 'e-sports'... Así que empiezan a analizar cuáles son tus relaciones sociales normales, las indicaciones psicológicas de tu salud mental... y te dan una nota. Y esta nota en China ahora afecta tu vida, si quieres un crédito o reservar una habitacion de hotel, tu nota en Sesame tiene consecuencias. Hay precisamente un episodio en 'Black Mirror', 'Nosedive', que se está volviendo realidad.

P. Pero la gente que ve 'Minority Report' o 'Black Mirror' no cree que ese exceso de vigilancia sea un escenario apetecible.

R. Para mí fue muy reveladora una experiencia que tuve al ir a estudiar a Yale. Mi mentor me dijo 'puedes hacer el típico proyecto de un jurista y decir por qué todo esto es malo, hablar de privacidad y todas esas cosas, e incluso obtendrás un doctorado en Yale'. Pero también podía, me dijo, 'mirar a qué se parece la realidad'. Porque, honestamente, a la realidad no le importa todo lo que digamos sobre privacidad, la sociedad tiene la preferencia de prevenir el crimen antes de pagar el precio del crimen. ¿Por qué no ser realistas, ver lo que va a suceder y tratar de preparar una estructura legal y regulatoria para ello? El Gobierno chino ha sido, en realidad, muy transparente. Han dicho que para 2020 ese sistema será obligatorio y todos los ciudadanos tendrán que tener su puntuación. Y ellos la sabrán y sabrán cómo podrán modificarla. Compórtate apropiadamente y subirás tus puntos.

A la realidad no le importa todo lo que digamos sobre privacidad, la sociedad tiene la preferencia de prevenir el crimen antes de pagar el precio

En Occidente, tenemos proyectos similares pero no son transparentes. Le daré un ejemplo: actualmente, cuando solicita un trabajo, por detrás hay motores de búsqueda y tecnologías que nos ponen una nota. ¿Cómo? No sé si conoce un test psicológico llamado Ocean. Se meten en tu Facebook, analizan tus 'posts', tus fotos y te puntúan. Analizan todos estos datos sobre ti y te dan una puntuación que afecta a si te concederán un préstamo o si conseguirás un trabajo o una cita en una 'app'. Pero en lugar del sistema chino, en el que sabes cómo vas a ser puntuado, aquí todo está en el trasfondo y la mayoría de las empresas lo tratarán como 'secreto comercial'.

P. ¿No es eso ilegal bajo la actual ley de protección de datos?

R. En realidad no, porque el problema es que estas empresas te dicen, de alguna manera muy legal, que necesitarán acceder a tus datos para analizarlos y que no los utilizarán para nada más. Hasta el momento, tenemos la opción de permitirlo o no, pero gradualmente estamos viendo algo más alarmante. Para rodear las nuevas estructuras de privacidad, como el GDPR en Europa, lo que está pasando es que muchas empresas se están pasando al negocio de puntuar a la gente. Y muchas otras empiezan a decir 'no queremos tus datos, solo queremos ver la puntuación que tienes en esta compañía puntuadora'. Gradualmente, estamos viendo empresas monopolísticas que todo lo que hacen es recoger datos para crear estas puntuaciones.

Si mira el sistema bancario en Europa, está regulado por la normativa PSD2, que introduce el 'open banking'. ¿Pero cómo aplicar el 'open banking' si no sabes si puedes confiar en la persona que está al otro lado? Empiezan a tener acceso a las puntuaciones, de alguna forma se ha legalizado.

P. Pero si analizan mis datos, ¿no tendrían que notificármelo?

R. De nuevo, asumiendo que ha cedido sus datos a una empresa y que otra empresa le diga que, si quiere un préstamo o un trabajo, tendrá que tener acceso a su puntuación, no a sus datos. Gradualmente, vemos que este mercado va evolucionando. Segundo, en el GDPR hay excepciones, por ejemplo, por motivos de seguridad o de credibilidad yo podría analizar sus datos sin necesidad de su consentimiento.

En cuanto al cumplimiento de la ley, el análisis de individuos no cae dentro de las atribuciones de la GDPR, no me voy a quedar estos datos, pero quiero analizar cómo los individuos se comportan en espacios públicos. Estamos viendo más y más de estas soluciones. Algunas de ellas para mí son alarmantes. Por ejemplo, hay una empresa israelí que aporta ciencia para una disciplina que quedó obsoleta hace 100 años. Decían que los criminales tenían una forma diferente de cráneo.

P. Faception. Hacen algo muy parecido a la antigua frenología.

R. Eso es. Era ciencia asociada a los nazis. Esta empresa hizo un proyecto y cogieron decenas de millones de fotografías señalando cuáles eran de criminales convictos. Veamos qué patrones puede encontrar nuestra inteligencia artificial. Así que llegaron a crear este sistema, que tuvo mucha publicidad, que podía detectar a los criminales. Y en sitios como el Departamento de Seguridad Aeroportuaria de EEUU pueden decir 'bueno, no vamos a tomar decisiones con esto, pero puede ser un filtro más que usemos'. Y ponen una cámara que, cuando atraviesas la frontera, si tu cara tiene similitud con la de algún criminal... ellos dicen que pueden detectar a pedófilos o comportamientos violentos. Y dicen que hay ciencia detrás basada en las formas de tu cara. ¿Me gusta esta ciencia? No, odio esta ciencia, ¿pero creo que es algo sobre lo que deberíamos estar alerta? Ciertamente. Estamos viendo cada vez más y más de estas tecnologías.