Desconfianza hacia lo digital

 

Gartner acaba de publicar sus predicciones tecnológicas de cara a 2026. Lo ha hecho durante la celebración de su Gartner IT Symposium/Xpo en Orlando. Entre las 10 tendencias que refiere, llama la atención la denominada en inglés digital provenance, que podría traducirse como procedencia digital. Básicamente se trata de la capacidad de verificar el origen, la propiedad y la integridad del software, los datos, los medios y los procesos que utiliza una organización. ¿Por qué es tan importante? Porque empresas y gobiernos cada vez confían más en terceros y, con la irrupción masiva de la Inteligencia Artificial (IA), no basta con fiarse, hay que tener certezas.

Cuando nos referimos a terceros, no apuntamos únicamente a proveedores externos, sino también al software open-source y, cómo no, al generado por IA. El Centro Nacional de Ciberseguridad (NCSC) de EEUU ya advertía en su informe de 2024 del aumento de ataques cibernéticos impulsados por IA generativa (GenAI) cada vez más sofisticados. Este nivel de innovación permite hacer pasar como auténtico contenido manipulado, resultando realmente complicado desenmascarar.

La procedencia digital persigue crear un registro en el que se recoge todo el ciclo de vida de activo digital, ya sea una imagen, un vídeo, un gráfico, una aplicación, etc. Este registro se basa en la custodia digital y en él figura quién y cuándo creó ese activo, quién y cómo lo ha modificado, quiénes lo han utilizado o si la versión actual es realmente auténtica. Supone un paso más respecto a lo que pueden ofrecer los metadatos, convirtiéndose en un registro irrefutable e inseparable del activo.

Desde una óptica más técnica, para poder llevar a cabo la determinación de la procedencia digital es preciso que se aplique hashing a los activos o, lo que es lo mismo, que se les cree una identificación propia a modo de huella dactilar. Gracias a este hashing criptográfico es posible garantizar tanto la autenticidad como la integridad de los datos. La trazabilidad es absoluta, dado que los sistemas de procedencia digital rastrean y registran la más mínima modificación, incluso, si es a nivel de byte o de pixel. 

Otro de los elementos esenciales de estos sistemas es el que afecta a la validación, que se realiza a través de plataformas de contenido o recurriendo a servicios de verificación de terceros. En el caso concreto del software, que es uno de los factores que más preocupa a las compañías, existe lo que se llama Listas de Materiales de Software (SBoM) que contribuyen a ofrecer una visibilidad completa de la cadena de suministro del software. Cada vez son más las compañías que recurren a SBoM, incorporándolo a sus estrategias de seguridad concebidas como ‘seguridad por diseño’.

Al contener una especie de lista de ingredientes del software, el SBoM permite mapear las dependencias del software frente a listas de vulnerabilidades existentes, pudiendo mantener una monitorización continua para rastrear nuevas vulnerabilidades que pudieran surgir. De este modo, se mejora tanto la velocidad como la eficiencia a la hora de responder a una vulnerabilidad.

Más allá del fraude, los sistemas de procedencia digital también podrían ayudar a combatir la desinformación, pues permiten garantizar que el contenido tenga un origen verificable. Sin ir más lejos, con esta tecnología resultaría muy sencillo zanjar en el polémico caso de los informes de cribado de cáncer supuestamente modificados en el Servicio Andaluz de Salud.

Si todo es tan maravilloso, ¿por qué no está más extendida la procedencia digital? Bueno, en primer lugar y aunque supone un plus en la seguridad de los activos digitales, hay que ser realistas y admitir que estos sistemas no se libran de posibles manipulaciones por parte de actores maliciosos. Además, la privacidad puede convertirse en un obstáculo para esta tecnología pues, según el nivel de detalle que se incorpore, puede generar cierta inquietud por lo sensible de la información.

Sin embargo, éste no es el principal motivo por el que no está masivamente implantado; la verdad es que se trata de un proceso complejo que requiere de una infraestructura y un software determinados que, además, han de integrarse con los flujos de trabajo existentes. A este respecto, los avances en la Tecnología de Registro Distribuido (DLT), como es el caso de blockchain, pueden ir allanando el camino. No obstante, existe otro reto: los sistemas de procedencia digital han de ser escalables, es decir, que tengan capacidad de gestionar grandes volúmenes de contenido sin afectar el rendimiento del resto de la infraestructura.

Ya existen organizaciones como la Coalition for Content Provenance and Authenticity (C2PA), que trabajan para extender el uso de sistemas de procedencia digital. Entre los miembros de la coalición no sólo figuran compañías tecnológicas como Adobe, Amazon, Microsoft, Meta, OpenAI o Google, sino también medios de comunicación como la BBC o la multinacional francesa de publicidad y relaciones públicas Publicis Groupe. C2PA ha desarrollado un estándar técnico abierto, llamado Content Credentials, para que editores, creadores y consumidores determinen el origen y las ediciones del contenido digital.

Cada vez más gobiernos barajan sumarse a esta tendencia y la lógica lleva a pensar que se plasmará en normativas de transparencia o trazabilidad digital de un modo u otro. Tanto es así que, según Gartner, las organizaciones que de aquí a 2029 no hayan invertido en recursos de procedencia digital podrían estar expuestas a riesgos de sanciones por valor de miles de millones de dólares.

(Artículo en Público)