Escuchar
Parece que cada tres días se lanza una nueva inteligencia artificial (IA) más poderosa que todas las anteriores. Las grandes empresas del sector están vendiendo varios miles de millones de dólares al mes, y algunos analistas consideran que tal vez no se trate de una burbuja después de todo.
La semana antepasada hubo varios lanzamientos, incluyendo Claude Mythos Preview, que en realidad fue más bien un anuncio, ya que se decidió no ponerlo en el mercado por considerarlo demasiado poderoso. En lugar de ello, se puso a disposición de 40 grandes empresas –con la expectativa de que lo utilicen responsablemente– bajo la iniciativa “Glasswing”.
Antes de ese anuncio, Mythos descubrió miles de vulnerabilidades de alta severidad en todos los sistemas operativos y navegadores del planeta. A uno de los sistemas operativos considerados entre los más seguros del mundo le identificó una vulnerabilidad que llevaba 27 años sin ser detectada. Y no solo encontró las fallas, sino que también generó el código necesario para explotarlas; es decir, para hackear los sistemas.
La lógica de la iniciativa Glasswing es que estas grandes empresas se dediquen a corregir las vulnerabilidades durante un tiempo, antes de que el modelo esté disponible para el público en general. Algunos analistas escépticos señalaron que podría tratarse de una estrategia de mercadeo; otros sugirieron que la decisión responde a limitaciones en la capacidad de cómputo para atender la demanda que generaría. Sea cual sea la razón, no hay duda de que una herramienta de este tipo, en manos de personas sin escrúpulos, representa un riesgo considerable.
Cabe preguntarse cuán seguro se mantendrá el secreto entre estas 40 empresas, especialmente a la luz del estado actual del software a nivel global.
Las vulnerabilidades son, en esencia, errores en el software. Hace unos 70 años, Grace Hopper acuñó el término “bug” para referirse a una falla en una computadora; en su caso, se trataba, literalmente, de una cucaracha dentro de la máquina. Hoy, todos los bugs –o “pulgas”, como algunos los llaman– son defectos en el software que impiden que los sistemas funcionen como deberían.
Durante años, cada vez que señalaba que el software del mundo está repleto de fallas, muchos pensaban que exageraba. Sin embargo, conviene recordar que el software no se desgasta ni se rompe: si está bien hecho, seguirá funcionando correctamente hasta que alguien lo modifique. Y lo mismo ocurre si está mal hecho.
Ahora bien, también es pertinente preguntarse si la IA ayudará a corregir esta situación o si, por el contrario, la agravará.
Cuando los grandes desarrolladores lanzan nuevas versiones de software, generalmente lo hacen para corregir errores detectados, aunque a menudo aprovechan para incorporar nuevas funcionalidades. El problema es que, al corregir un error, es relativamente fácil introducir otros nuevos.
Existen errores conocidos como “vulnerabilidades de día cero”: fallas que nadie había detectado previamente. Cuando una de estas vulnerabilidades se hace pública, se inicia una carrera entre los actores maliciosos y la empresa responsable del software. Mientras la empresa trabaja en desarrollar un parche, los atacantes intentan crear códigos para explotarla y afectar al mayor número posible de usuarios.
La situación se vuelve aún más compleja con las nuevas herramientas. Cuando una vulnerabilidad de día cero no se hace pública –como ocurre la mayoría de las veces– y la empresa desarrolla y distribuye un parche, los usuarios deben aplicarlo en menos de 72 horas. Ese es el tiempo que suelen tardar los atacantes en realizar ingeniería inversa del parche para identificar la vulnerabilidad y explotarla. Sin embargo, muchos usuarios consideran que tienen mejores cosas que hacer que mantenerse al día con estas actualizaciones.
Ante tantas aplicaciones posibles de la IA, surge otra pregunta: ¿por qué se ha puesto tanto énfasis en su uso para el desarrollo de software? Algunos creen que es porque las propias empresas la utilizan internamente, y que los sistemas de IA ya están generando nuevas versiones de software por sí mismos –idealmente bajo control, dirección y supervisión humana–. No sería sorprendente, pero sí genera inquietud sobre las precauciones que deberían estarse tomando.
Si a los seres humanos nos ha resultado tan difícil demostrar que un software es correcto –de hecho, son muy pocos en el mundo quienes saben hacerlo–, ¿cómo podrían los modelos de IA lograrlo de manera rutinaria?
Y si se opta por realizar “pruebas exhaustivas”, surge otra interrogante: ¿cómo demostrar que realmente lo son? Siempre se ha entendido que las pruebas sirven para evidenciar la presencia de errores, pero no para garantizar su ausencia.
Ojalá estemos cerca de un mundo en el que todo el software sea correcto y, por tanto, no existan vulnerabilidades explotables.
Un informe de hace dos o tres años del Consorcio de Calidad de Software de Información (CISQ) estimó que el costo de la mala calidad del software en Estados Unidos equivale al 10% del producto interno bruto. No hay razones para pensar que la situación sea muy distinta en el resto del mundo.
Sé de varias organizaciones en Costa Rica que ya están utilizando IA para generar y corregir software. Se trata de un esfuerzo valioso, con potencial para generar un gran impacto económico y convertirse en un importante producto de exportación para el país.
Roberto Sasso es ingeniero, presidente del Club de Investigación Tecnológica y organizador del TEDxPuraVida.
