Chema Alonso, vicepresidente y Head of International Development de Cloudflare“La tormenta perfecta” ya está aquí. Así define Chema Alonso el escenario que afrontan empresas y responsables de seguridad ante una nueva generación de inteligencias artificiales capaces de localizar vulnerabilidades, desarrollar exploits y ejecutar ataques complejos de forma autónoma. El vicepresidente y Head of International Development de Cloudflare reflexiona sobre los riesgos y oportunidades de la IA, la posición de Europa en la competición tecnológica global y los cambios estructurales que esta revolución está provocando en la economía y el empleo.
La inteligencia artificial está redefiniendo industrias enteras. ¿Qué sectores crees que van a experimentar una disrupción más profunda en los próximos cinco años?
Prácticamente no hay sector que no esté sintiendo ya, de una manera u otra, el impacto de la Inteligencia Artificial en la gestión de su negocio. Hemos visto cómo la creación de tecnología se está democratizando, y esto está llevando a que todas las empresas estén pudiendo acceder a sistemas digitales y herramientas tecnológicas que están cambiando la manera de producir riqueza. Además, muchas tareas que requerían de destrezas cognitivas de personas están siendo atendidas por agentes de inteligencia artificial que están automatizando con flujos de trabajo inteligentes procesos corporativos. Pensar en un sector en el que no vaya a tener impacto en mayor o menor medida la Inteligencia Artificial es casi imposible.
El Banco Central Europeo ha alertado de que modelos de IA como “Claude Mythos” podrían detectar vulnerabilidades bancarias a una velocidad inasumible para los sistemas actuales. ¿Está la banca europea preparada para un escenario en el que la IA supere a los humanos tanto en ataque como en defensa?
Llevamos años viendo esta evolución. Desde antes de que aparecieran los modelos de DeepReasoning en diciembre del año 2024, ya teníamos trabajos de investigación donde se utilizaban modelos de IA para buscar y explotar vulnerabilidades. Mythos solo es una evolución natural de lo que hemos visto en estos dos últimos años. Un año antes, los que trabajamos en ciberseguridad, alertamos de lo fácil que era localizar vulnerabilidades en proyectos OpenSource con solo pedirle a un modelo de DeepReasoning que las buscara.
Con la llegada de Mythos, lo que tenemos es una evolución natural de todo esto, teniendo un modelo de IA que busca vulnerabilidades completas, genera los programas que las explotan de forma eficiente y robusta, incluso con el encadenamiento de varias vulnerabilidades y debilidades, y todo con un solo prompt, nada de hacer un Vibe-exploiting en el que tienes que ir ayudándole. El problema no es que Mythos pueda hacer esto, sino que en el mundo del cibercrimen vemos la creación de modelos con capacidades, si no igual de potentes, sí similares, pero con una progresión que hará que en unos meses estén al nivel de estos.
Esto está haciendo que se esté dando la “tormenta perfecta” para los responsables de seguridad, ya que la IA utilizada internamente en los servicios digitales trae riesgos por diseño que se deben proteger, como son jailbreak, Bias, Hallucinations, Data Leakage, Prompt Injection, Misalignment, etc…, algo que los responsables de seguridad deben evitar.
¿Hay algo más a considerar?
A eso le sumamos que los agentes de Inteligencia Artificial tienen capacidades de realizar todas las fases de una intrusión en un sistema de forma automática y autónoma con una calidad igual o superior a los mejores equipos de seguridad ofensiva, y que los están aprovechando los cibercriminales. Estos modelos realizan las fases de footprinting, fingerprinting, búsqueda de vulnerabilidades, explotación, elevación de privilegios, búsqueda de persistencia, movimientos laterales y exfiltración de datos, todo ello de manera automática con solo darle un objetivo. Y lo hacen de manera persistente.
Y para terminar de completar el paisaje, los modelos de IA, tipo Mythos, son capaces de crear exploits no conocidos en tiempo récord, donde en sólo horas desde la publicación de un bug, pueden estar explotándolos en Internet.
¿Cómo se podría solventar?
Teniendo este ecosistema, en Cloudflare hemos tenido que crear tecnología para detectar los problemas que están siendo explotados en Internet y generar firmas de detección y bloqueo de ellos en todas las protecciones perimetrales que ponemos a los clientes, para dar a las empresas tiempo de parchear y actualizar sus sistemas. Además, hemos construido un esquema completo de AI Security para poder evitar todas las vulnerabilidades y debilidades de los sistemas construidos con IA, transformando todo el conjunto de herramientas de seguridad en un AI Security Suite que permita a las empresas controlar la seguridad en cada punto de la arquitectura. En el API Gateway, en el MCP Server, en el WAF, en el RAG/GraphRAG, en el CASB, y usando Workers en la plataforma de Edge de Cloudflare, poder crear guardarraíles personalizados y afinados para cada cliente.
Es decir, en un año, la compañía ha tenido que transformarse y acelerar todos los procesos para dar respuesta a las necesidades cada vez más importantes de los CISOS de todas las empresas del mundo debido al impacto acelerado que la IA ha tenido en el mundo del ataque y la protección de sistemas informáticos.
CHEMA ALONSO, VICEPRESIDENTE Y RESPONSABLE DE DESARROLLO INTERNACIONAL EN CLOUDFLARE,
Tras tu salida de Telefónica, ¿qué diagnóstico haces del momento que atraviesan las grandes telecos en Europa?
Creo que las telecos son fundamentales en el ecosistema de Internet, y que van a jugar un papel muy importante en la construcción de redes que van a ser transitadas no solo por personas que navegan, trabajan y socializan por Internet, sino por los Agentes de IA que cada vez pueblan más Internet. En nuestra plataforma de Open Data, donde cualquier persona puede consultar la evolución de lo que pasa en Internet, podemos ver que a día de hoy ya el tráfico de bots es de un tercio del total.
La inteligencia artificial se ha convertido en una carrera geopolítica entre EE. UU. y China. ¿Europa tiene alguna opción real de competir o llega tarde?
Yo creo que el mundo de la Inteligencia Artificial está aún comenzando. El nuevo paradigma va a cambiar todo, y sobre él se construirán nuevas piezas tecnológicas, con nuevas posibilidades. Europa no debería renunciar a nada, y por supuesto que tiene la posibilidad de construir grandes empresas tecnológicas no solo en IA, sino en las tecnologías que vengan después.
Lo que tenemos que hacer es entender qué le falta a nuestro ecosistema para que aparezcan grandes empresas en Europa, para que no se vayan las que comienzan a crecer, y mirar el problema de fondo. No es un tema de poder, sino de que queramos tomar las decisiones que sean necesarias para hacer los cambios que favorezcan la creación, retención y atracción para que florezcan grandes empresas tecnológicas en Europa. No es sólo inversión y emprendedores con talento que ponen sus ideas en marcha, son muchas más cosas las que generan un cambio de tendencia en un ecosistema.
Para que una empresa crezca, hay que pasar por muchas fases, y quizá en Europa no tenemos todas las facilidades para que una empresa transite de forma rápida y segura por todas esas fases. Pero, respondiendo a tu pregunta, claro que Europa tiene opción de competir, decir lo contrario sería tirar la toalla, y no debemos hacer eso nunca.
Cada semana vemos nuevos casos de deepfakes y fraudes impulsados por IA. ¿Estamos perdiendo el control de la identidad digital?
La identidad digital es un problema sin resolver desde hace muchos años. La conexión persona con identidad digital se basa en un probatorio tecnológico que confirme que detrás de una representación de bits —usuario, dirección de correo electrónico o imagen en una videollamada— está la persona con la que queremos interactuar.
Y estos sistemas aún adolecen de problemas que, cuando no son de robustez, son de universalidad o de facilidad de uso. Creo que seguir trabajando en la identidad digital va a ser una tarea muy importante, y más cuando hoy en día hablamos ya de las “Non Human Identities” o las “Identidades No Humanas”.
Los Agentes de IA requieren autenticación, autenticación delegada, monitorización y control exhausto. Estos agentes tienen su independencia de toma de acciones para resolución de objetivos a los que se les someta, y debemos controlar su identidad en cualquier acción que quieran realizar. Pero es que además muchas veces tienen nuestra identidad delegada, lo que complejiza aún más la gestión de la seguridad y la protección de nuestra propia identidad. Es un reto con el que debemos seguir trabajando, invirtiendo, y mejorando día a día.
Las grandes tecnológicas están invirtiendo miles de millones en IA mientras ajustan plantillas. ¿Es eficiencia o un cambio estructural del empleo cualificado?
Es un cambio en la manera de hacer las cosas. Yo cuando era pequeño me saqué el título de mecanografía e iba a apuntarme a taquigrafía, pero hoy en día esas disciplinas no son tan valiosas para el mundo que vivimos. Con la llegada de la IA, hay muchas tareas en la gestión de la información, en los flujos de trabajo, que se automatizan.
Esto pasó en el pasado con la maquinización del campo, o la digitalización del sistema industrial. Ahora, con la llegada de la IA a las empresas, hay que pensar cómo se debe trabajar para el futuro. Todas las empresas cambian constantemente —y lo he vivido 25 años— sus organigramas, sus tareas, las necesidades de talento que tienen. Por eso pasamos por procesos continuos de upskilling y reskilling. Las empresas están cambiando su manera de trabajar con la IA, y eso implica transformar la inversión de los recursos humanos de unos roles a otros.
La regulación europea en IA avanza rápido. ¿Crees que marcará un estándar global o que penalizará la innovación local?
La regulación sirve para muchos propósitos que son buenos.
Sin embargo, conseguir que una regulación sea buena y penalice lo malo sin afectar a lo positivo, es lo que hace que una regulación sea beneficiosa o no. En el mundo de la IA hay muchos aspectos diferentes. Regular si queremos que los juguetes para niños tengan algoritmos de engagement con IA o que se use para armas, o vigilancia de personas es una cosa que tenemos que debatir en la sociedad y darnos una regulación de cómo queremos que se use una tecnología tan disruptiva. Pero regular cómo la construimos, es otra discusión diferente.
Al final, la regulación tiene un impacto directo en nuestros países, pero también un impacto indirecto en cómo nos posiciona en un mundo globalizado. Debemos pensar en regulaciones que ayuden a que la vida de las personas en nuestra sociedad sea mejor, teniendo en cuenta los dos aspectos, que he citado, es decir, el impacto directo en nuestra sociedad y el impacto indirecto por estar en un mundo globalizado.
Chema Alonso
Desde tu visión como hacker, ¿cuál es hoy la mayor vulnerabilidad: la tecnología en sí o el factor humano?
Por supuesto, las personas siempre son un objetivo sencillo para los atacantes, pero como “hacker” que piensa en tecnología, creo que la mayor vulnerabilidad que tenemos hoy en día es despegar y utilizar tecnologías tan potentes como los modelos de Inteligencia Artificial sin entender todos los riesgos y dotar de protecciones de seguridad necesarias para atenuar —que no me atrevo a decir eliminar— el riesgo. Así que, las inversiones de IA, deben llevar acompañadas inversiones relevantes en seguridad de la misma, o el resultado va a ser poco agradable.
España presume de talento tecnológico, pero sigue sin generar gigantes digitales. ¿Qué está fallando realmente?
Creo que esto es lo que he querido responder en la pregunta de Europa. Se trata de analizar los retos que tienen las empresas en todas sus fases de desarrollo, desde que el emprendedor se lanza con su idea, hasta que la empresa es un unicornio. Para ello, en España y en Europa debemos dar ventajas a las empresas para que crezcan.
Si comparamos con los ecosistemas donde crecen esos gigantes tecnológicos, veremos todas las debilidades que tenemos en nuestra regulación, legislación, y sistemas de incentivos para las empresas.
Creo que tenemos un ecosistema que no es tan favorable como los ecosistemas de otros países. Eso no quiere decir que sea bueno o malo como sociedad, quiere decir que no es favorable para la construcción de gigantes digitales, si queremos que estos aparezcan y florezcan, hay que crear el entorno regulatorio, legal, fiscal, de inversiones, promoción, retención, etcétera, que incentivan la creación de estas grandes empresas.
Más allá de la IA, ¿qué tecnología crees que está infravalorada hoy y puede cambiar las reglas del juego en los próximos años?
No sabría decirte. Creo que la IA tiene muchas aristas y muchas ramificaciones que están cambiando al resto de tecnologías. Por supuesto, seguiremos la evolución de los ordenadores cuánticos, la robótica está siendo una industria creciendo muchísimo gracias a la IA, o nuevos avances tecnológicos en cómputo, como la fotónica, o las nuevas arquitecturas de datacenters. Pero también la energía, las comunicaciones, o la tecnología espacial están sufriendo evoluciones que cambian la manera en la que funcionan las empresas. Es una época bonita si eres un amante de la tecnología y la innovación, la verdad. Pero para muchas personas también genera ansiedad no poder seguir el ritmo de asimilación de nuevas tecnologías que nos llegan día a día.