Marcelo E. Huerta Miranda
Abogado Asesor jurídico en el Centro de Informática (CEI)
Contraloría General de la República de Chile.
INTRODUCCIÓN.
La Inteligencia Artificial (en adelante IA) Smart Contracts, Blockchain y la Computación Cuántica son innovaciones tecnológicas seguras, expeditas y de gran trazabilidad y utilidad para transacciones y procesos decisorios, pero que deben aplicarse y auditarse con especial criterios éticos y medidas preventivas de control en pro de la probidad administrativa”.
El principio de probidad y la ética plantean el desafío a los auditores de nuestras EFS de aplicarse correctamente para decidir en cada caso lo correcto, bástenos pensar al efecto en los recientes casos de eventual hackeo a la ClaveÚnica para trámites públicos en Chile y el ramsomware al BancoEstado. Casos que han ocurrido con aumento exponencial en estas últimas fechas con ocasión de la pandemia mundial y el teletrabajo en otros países como Argentina y Brasil, entre otros.
CASO CLAVE ÚNICA
El pasado 20 de octubre, el Diario “El Mostrador” informaba que la Brigada Investigadora del Cibercrimen Metropolitana de la Policía de Investigaciones de Chile, detuvo en la ciudad de Limache a un ingeniero informático de 26 años por el hackeo a la página de la División de Gobierno Digital -dependiente de la Secretaría General de la Presidencia- que permitió a hackers el día 8 de octubre de esta anualidad, la sustracción de la base de datos de la ClaveÚnica, quien será puesto a disposición de la justicia para ser formalizado por el delito de sabotaje informático (previsto en la ley N° 19.223) y continuar las diligencias investigativas.
La ClaveÚnica es una herramienta que facilita a los usuarios la realización de más de 900 trámites con organismos del Estado, y permite además acceder al sistema Docdigital, la plataforma de comunicación oficial del Estado, donde se cargan los documentos de los diferentes organismos del Estado, incluidos los de la Presidencia.
El Ejecutivo puso paños fríos señalando que “no existe evidencia que permita afirmar que haya existido acceso a información relacionada a ClaveÚnica”, aunque de todos modos inició un proceso actualización de esta por razones de seguridad.
CASO BANCOESTADO
El 7 de septiembre de este año, el diario “a Tercera” informó el ciberataque sufrido por el BancoEstado, donde no se afectó el patrimonio de la estatal ni los fondos de sus clientes, pero sí este lunes por la mañana tuvieron que cerrar las 410 sucursales que tienen en el país, en una inédita paralización para la banca local. Eso sí, durante el día lograron reabrir cerca de 24 sucursales, esto es cerca del 6% del total. El bloqueo de computadores y de algunos sistemas fue masivo.
Se trató de un caso de Ransomware, (software malicioso que infecta computadores y no permite que se puedan utilizar.) Generalmente, este tipo de malware, que rapta computadores, pide un rescate en dinero para poder liberar los equipos. Pero eso ha sido descartado. “Lo que pasó en la práctica es que este virus o este ataque lo que buscaba era tomar datos. Tomó datos que, por ahora, para el banco, no son significativos, por eso hemos podido levantar la operación”, explicó en el parlamento ayer Sebastián Sichel, presidente de BancoEstado.
No se detectó vulneración a las cuentas de los clientes ni al patrimonio del banco. El programa maligno logró encriptar datos del banco, por lo que en la práctica no se debería observar una comercialización o venta de esos datos, ya que no habrían logrado sacarlos del banco. El secuestro virtual de computadores), ante esta ciberamenaza en Chile el subsecretario de Interior que lidera el área Central e incidente de BancoEstado expresó que se seguirá trabajando con la CMF en el monitoreo y refuerzo de los procedimientos y medidas de seguridad para enfrentar amenazas de ciberseguridad”
Isabel Cabello, fiscal de BancoEstado, dijo este lunes que presentaron una querella por sabotaje informático.
Asimismo, se informó que, al igual que en el caso ocurrido en Migraciones de Argentina https://www.lavoz.com.ar/sucesos/hackeo-a-migraciones-se-vencio-plazo-y-ciberdelincuentes-publicaron-datos-secuestrados, la política es que no se negocia con ciberdelincuentes por el secuestro o divulgación de datos.
CASO BRASIL
Sin lugar a duda, el atentado más reciente y grave es el ocurrido en Brasil el día 5 de noviembre reciente.
https://obastidor.com.br/investigacao/cnj-governo-de-brasilia-e-sus-sofrem-ataque-semelhante-ao-do-stj-25
Los siguientes días se informó que no solamente fue el Superior Tribunal de Justicia de Brasil, sino también el Seguro Social, Consejo Nacional de Justicia, etc., unos 10 órganos importantes en total y ya hay un grupo hacker que ya se pronunció’, que tiene un pensamiento parecido con el Anonymous Brasil.
El Banco de Datos del Sistema Único de Salud está seriamente afectado. Eso, es decir: toda la información de jubilados, de quienes reciben ayudas para la salud, licencias laborales para tratamiento de salud, contribuciones para jubilación futura, etc.
Es como se hubieron incinerado, quemado todo el Banco de Datos del Superior Tribunal de Justicia. Todavía no sé aún cuánto del banco de datos de la Previdencia Social fue comprometido. Si ha alcanzado la Dataprev, la Empresa de Tecnología e Información de la Previdencia, esto perjudicará miles de brasileños, en especial jubilados y enfermos.
Se estima que este constituye un fracaso inmensurable de la seguridad informática de los órganos públicos brasileños.
Su trascendencia es realmente preocupante, pues si esto pasa en Brasil, todos los demás países de la región podemos estar ad-portas de ataques masivos a sistemas estatales por lo que emos dirigir la mirada a la adopción de especiales medidas de ciberseguridad. Ahora que se ha consolidado e impuesto, y toda clase de servicios y productos legales utilizando recursos tecnológicos bajo modelo LegalTech, e incluso la administración de justicia por medios digitales, y el expediente electrónico, es muy importante tener presente las brechas y vulnerabilidades a las que pueden estar sometidos.
LA ÉTICA.
Para Aristóteles el hombre es un animal naturalmente político social que estando con otros entiende que hay maneras correctas de comportarse y juzgar así a los demás, fundada metafísicamente en el imperativo categórico Kantiano. Se trata de una jerarquía de valores.
A nivel internacional, cabe destacar que el 28 de febrero en el Vaticano se firmó un documento sobre los aspectos éticos de la tecnología y la IA que influyó a su turno, en la directiva del parlamento europeo y del consejo de la unión, estableciendo que deben estar al servicio de las personas y el planeta, con pleno respeto al estado de derecho. Para ello, deben ser transparentes y fiables a fin de responder las organizaciones, ante el dilema ético, tanto en la dimensión utilitaristas como consecuencialistas, de trazar en líneas generales sobre su responsabilidad patrimonial vía reglamentación interna y garantías de fabricantes.
Sobre las decisiones judiciales vía IA, perfila que serán adoptadas sobre la bases pragmáticas y jurisprudenciales haciendo las veces de un banco de experiencia y sus posibilidades. Conforme lo cual Estonia, país muy avanzado en inteligencia social, ya anunció la creación de un juez robot para resolver casos simples en materia de Juzgados de Policía Local de tipo aplicación de multas por infracciones de tránsito, velocidad, estacionar en lugares prohibidos, etc.
Revisemos muy someramente estas tecnologías.
INTELIGENCIA ARTIFICIAL.
En mi libro “Delitos Informáticos” Ed. Conosur 1996-1998, señalé que si bien su concepto fue acuñado por primera vez en 1956 por John McCarthy, profesor de Standford, su aparición real ocurrió al final de la 5° generación histórica de computadores durante la Conferencia Internacional sobre los sistemas informáticos de Japón de 1981, al anunciarse la construcción de “computadores capaces de mantener diálogo normal con una persona y manipular informaciones de forma más rápida y versátil que las máquinas anteriores, desarrollándose los llamados sistemas expertos; de comprensión de lenguaje natural e-n contraposición al de programación-; de visión artificial, que tendrán la posibilidad de reconocer, imágenes, realizar controles visuales de calidad, personas, delincuentes etc.; y de sistemas de programación automática, en los cuales bastará decirle al computador por un lenguaje natural que quiere que haga y no como debe hacerlo”.
BIG DATA (como principal componente de IA)
Es un conjunto de datos o combinaciones de estos cuyo tamaño (volumen), complejidad (variabilidad) y velocidad de crecimiento (rapidez) dificultan su captura, gestión, procesamiento o análisis mediante tecnologías y herramientas convencionales.
Estas tecnologías son partes de la denominada MACHINE LEARNING (ML)
La máquina realmente aprende un algoritmo que revisa los datos y es capaz de predecir comportamientos futuros. Para ello busca patrones en los datos, y luego usa un modelo que los reconoce para hacer predicciones sobre nuevos datos. Posee 2 tipos de algoritmos: de aprendizaje supervisados -que utilizan datos etiquetados- y de aprendizaje no supervisados, que encuentran patrones en datos no etiquetados.
La tarea de codificación predictiva a diferencia de la legal cuantitativa implica aplicar uno, o más, de los conjuntos de algoritmos de aprendizaje supervisado para clasificar cada nuevo registro relacionándolo con los “datos de entrenamiento” previamente identificados por un revisor experto. A su vez pueden ser de clasificación o de regresión (lógica o lineal) que identifica a qué categoría pertenece un elemento en función de los ejemplos conocidos y logística: predice una probabilidad; Regresión lineal: un valor numérico.
COMPUTADORES CUÁNTICOS.
Buscan aprovechar las propiedades cuánticas de los qubits, para poder correr algoritmos cuánticos que utilizan la superposición y entrelazamiento con mayor capacidad de procesamiento que los clásicos. Para ello usa iones (átomos a los que se les ha quitado uno o varios electrones) en un estado determinado y los mantiene atrapados en trampas láser, para luego combinarlos según el cálculo a realizar. Son especialmente aptos en procesos de factorización.
BLOCKCHAIN O ‘CADENA DE BLOQUES’.
Mecanismo de criptografía avanzada, creado por Satoshi Nakamoto en “Bitcoin: A Peer-to-Peer Electronic Cash System” de 2008 como un sistema de registro descentralizado, a nivel físico, administrativo y político, permitiendo gestionar bases de datos de transacciones para una comunidad o red, sin requerir que los participantes confíen entre sí.
Se clasifican en 3 tipos: 1) De acceso público, abiertos y descentralizados; 2) Privados, cerrados y centralizados, y 3) Híbridos o consorciados, cerrados parcialmente y distribuidos.
SMART CONTRACTS (SC).
Este concepto fue introducido por Nick Szabo, en 1994, señalando que cualquier libro mayor descentralizado puede usarse como contratos autoejecutables que, más adelante, se denominaron contratos inteligentes pudiendo convertirse en códigos y permitir su ejecución en una cadena de bloques, la interacción de todas las entidades en la red entre sí distribuidamente, eliminando así la necesidad de tercero de confianza.
IDENTIDAD DIGITAL.
Tecnología representada por una selección ordenada de bases de datos y que está compuesto por registros y bloques de información que se encuentra cifrada los bloques están vinculados y encadenados entre sí y lo que caracteriza principalmente a esta tecnología es que los datos están distribuidos de tal forma que el usuario tiene acceso a todos los registros que están encadenados y la trazabilidad de la operación que ha realizado.
SISTEMA REGISTRAL.
Registro es aquel lugar donde se inscribe un activo y su derecho sobre él. Su noción alude al listado, documento o padrón donde constan las inscripciones o información en general de una cosa. Estonia funciona bajo el sistema e-Land Register, aplicación web que contiene la información sobre todos los derechos reales limitados para propiedades, entregando datos en tiempo real vía X-Road, herramienta fundamental para el mercado inmobiliario, brindando total transparencia y toda la información de los intervinientes en el sector inmobiliario. Información catastral (incluyendo dirección, área, propósito de la tierra); relaciones de propiedad; gravámenes, restricciones, derechos de uso, otras anotaciones; e información hipotecaria.
APLICACIÓN Y AUDITORÍA BLOCKCHAIN.
Su inmutabilidad permite una prueba irrefutable de la existencia de una transacción, y especialmente, mantener un registro de auditoría que garantice la trazabilidad de las transacciones y de la propiedad de los activos.
Requiere un órgano regulador que supervise este tipo de redes donde operarían las entidades bancarias. y fijar normas estandarizadas a nivel regional o mundial, y reglas sobre cómo se incorporarían las entidades bancarias (títulos habilitantes o licencias) y un sistema fidedigno de identidad digital para individualizar las partes, para ello, el nuevo Reglamento eIDAS introdujo disposiciones que garantizando la seguridad jurídica a la confianza depositada por consenso de las Entidades Financieras conformantes la plataforma, registros y transacciones válidas a terceros.
CONCLUSIÓN.
Hay un vacío legislativo a resolver sobre la aceptación que tendrán estos sistemas, su valor probatorio con miras a establecer un sistema de transacciones confiables, y políticas de prevención de atentados a la convivencia social entre usuarios y fabricantes.
Ya Shakespeare vislumbraba en el Mercader de Venecia el gran daño que pueden ocasionar las numerosas contiendas judiciales que la ley sin ética, en malas manos puede causar. Ejemplo de las consecuencias de hacer negocios con ligereza y sin reflexión o asesoramiento, de las contradicciones, ambigüedades y carencias de la ley, y de los motivos que llevan a emprender litigios.
No pedimos tanto a nuestras EFS, estimamos que adhiriendo a la teoría estructuralista (que no sincrética) usada en la formación del lenguaje (F. Saussure) y apreciando la evolución tecnológica en Sincronía (como una película que se va desarrollando) que no Diacrónica (cual foto) la ética y el principio de probidad marcan la senda para actuar con conciencia, evaluando las externalidades de estas interacciones de cara a nuestro legado a las futuras generaciones y críticamente a una sociedad inter lúcida que permita regular el conocimiento y comunicación de una ética efectiva de su valor como derecho de bienestar para todos (en términos hegelianos) en cuyo contexto el principio de accontability será la base de la conciencia social.
Es, sin lugar a duda, una tarea pendiente para cuyo éxito sugiero estudiar, con el mayor rigor posible estas herramientas y aplicarlas al cumplimiento de nuestros objetivos de control en armonía con el respeto de los derechos de los titulares de estos datos.
Sobre el autor:
Marcelo E. Huerta Miranda es Abogado Asesor jurídico en el Centro de Informática (CEI) de la Contraloría General de la República de Chile. Marcelo es Doctor © JURIS en Derecho, SAEJEE Bussiness School, España; Magíster en Derecho Público en Derecho Constitucional (PUC) y Diplomado “Peritaje Informático” y “Auditoría, Control y Seguridad Sistemas”, USACH. Ademas realizó el Curso Soziologie für Juristen, Univ. Salzburgo, Austria.
