Suscríbete aquí al boletín informativo del Brennan Center en español
Los riesgos de los ciberataques asistidos por la inteligencia artificial recalcan más que nunca que la seguridad en las elecciones es una carrera sin línea de llegada.
Las respuestas a las amenazas de seguridad anteriores también muestran el camino para lograr mejoras en el futuro.
Desde que ChatGPT y otros sistemas de inteligencia artificial (IA) generativa se volvieron disponibles masivamente, el Brennan Center y otros expertos han estado advirtiendo que esta tecnología puede causar más ciberataques contra las elecciones y otros tipos de infraestructura crítica.
Los informes que indican que el nuevo modelo de inteligencia artificial de Anthropic, Claude Mythos, puede detectar vulnerabilidades de software que hasta los expertos humanos más experimentados pasarían de largo, ponen de manifiesto la urgencia de esos riesgos.
Afortunadamente, las autoridades electorales se han estado preparando para enfrentar posibles ciberataques y han logrado importantes avances a la hora de aumentar la seguridad de sus sistemas durante la última década, al incorporar mejores prácticas de ciberseguridad en cada etapa del proceso electoral.
Anthropic afirma que su nuevo modelo puede detectar de forma autónoma vulnerabilidades en el software con más eficiencia que incluso los investigadores expertos en seguridad.
En teoría, si se le brindara acceso a este nuevo modelo, cualquier usuario amateur podría ser capaz de identificar y explotar vulnerabilidades en modos en que antes solo podían hacerlo los actores más sofisticados, como las naciones estado. Por eso, Anthropic decidió no lanzar el modelo Mythos públicamente.
En cambio, en el marco de una iniciativa que Anthropic llama Proyecto Glasswing, le ha ofrecido acceso a Mythos a un grupo de importantes firmas tecnológicas y operadores de infraestructura crítica, para que estas compañías puedan identificar y abordar de manera proactiva las vulnerabilidades de sus propios sistemas. Si bien Anthropic actualmente controla el acceso a su modelo para prevenir los abusos, los expertos creen que es solo cuestión de tiempo para que haya herramientas disponibles al público que anuncien tener las mismas capacidades.
Este peligro no necesariamente será nuevo para las autoridades electorales. Año tras año, las elecciones han recibido ciberataques muy sofisticados provenientes de adversarios extranjeros y actores delictivos que buscan interferir en los comicios. Las autoridades electorales han preparado planes para enfrentar estas amenazas y las han minimizado cuando surgían.
Si bien las herramientas de detección de vulnerabilidades asistidas por la inteligencia artificial podrían aumentar la magnitud de los posibles ataques, igualmente representa una diferencia solo en la escala —y no en el tipo— de los ataques que las autoridades electorales se han preparado para enfrentar.
Algunos expertos en seguridad con acceso a Mythos han dicho públicamente que coinciden con este análisis y han señalado que incluso las vulnerabilidades antes no identificadas podría haberlas detectado un investigador humano, que no eran vulnerabilidades totalmente nuevas.
Las capas de protección que construyeron las autoridades electorales para defenderse de los posibles ciberataques durante la era previa a la inteligencia artificial seguirán protegiéndonos de nuevos ataques y ofrecen un punto de partida sobre el cual los sistemas electorales podrán seguir fortaleciéndose.
Desde que ciertos actores rusos intentaron analizar e infiltrarse en las bases de datos estatales de registro de los votantes durante las elecciones de 2016, las autoridades electorales de todo el país han adoptado las mejores prácticas en seguridad y han actualizado su tecnología gracias a los fondos y el apoyo recibidos de los gobiernos estatales y federal.
Una encuesta de las autoridades electorales estatales demuestra que la mayoría de los estados han implementado las protecciones recomendadas para sus bases de datos de registro de los votantes, tales como exigir una autenticación multifactorial para todos los usuarios, usar los sistemas de monitoreo de las redes, llevar a cabo auditorías de los sistemas y crear copias de seguridad con regularidad.
Entre 2018 y 2024, el gobierno federal proporcionó más de $1 mil millones para actualizar las tecnologías electorales y ofreció un acceso gratuito a las evaluaciones de ciberseguridad y herramientas de detección de vulnerabilidades, lo cual les permitió a las autoridades electorales comprender mejor las amenazas contra sus sistemas y mejorar los protocolos de prevención.
Si bien, durante este último año, el gobierno federal ha recortado gran parte de este apoyo a favor de la seguridad de las elecciones, los estados, en general, tienen más capacidades de ciberseguridad para defender sus sistemas que hace una década, tras un programa de subsidios para la ciberseguridad estatal y local por un total de $1 mil millones de dólares y una duración de cuatro años, que se lanzó en 2021.
Lo que reviste más importancia es que las autoridades electorales no dependen únicamente de las protecciones de ciberseguridad para garantizar la precisión del conteo final de votos. Se preparan para la eventualidad de que surjan problemas y elaboran copias de seguridad, sistemas de redundancias y planes recuperación para asegurarse de que las personas votantes elegibles puedan votar y que se cuente cada uno de los votos emitidos.
A diferencia de que lo ocurría en 2016, cuando la cuarta parte de todos los votos se emitía en sistemas sin ningún registro en papel, ahora casi todos los votos tienen un registro en papel que puede revisarse manualmente si existe la preocupación de que haya habido un ciberataque contra los sistemas de votación.
