ChatGPT es un modelo de lenguaje de gran escala desarrollado por OpenAI, capaz de generar texto a partir de un “prompt” o contexto dado. Este modelo fue entrenado por una cantidad sin precedentes de textos obtenidos en la web de la web.

Pero, ¿qué es el “prompt”? es la secuencia de texto o pregunta que se le proporciona como entrada a un modelo de lenguaje, como ChatGPT, para generar una respuesta o continuación de texto. El prompt es un factor clave para establecer el contexto y dar dirección a la salida generada por el modelo, en algunas ocasiones escribir buenos prompts es todo un reto.

ChatGPT puede ser utilizado en una variedad de aplicaciones, algunos ejemplos:

• Chatbots: para proporcionar respuestas automatizadas a preguntas y conversaciones en tiempo real.
• Generación de texto: para crear descripciones, resúmenes, noticias, artículos, etc. a partir de un prompt o contexto.
• Asistentes virtuales: para brindar información y ayudar con tareas simples, como programar una reunión o hacer una reserva.
• Aplicaciones de traducción: para traducir texto automáticamente a otro idioma.
• Análisis de sentimientos: para determinar el tono o emoción expresados en un texto.

Casi con toda seguridad algunas profesiones van a verse afectadas por el desarrollo y adopción de ChatGPT y otros modelos de lenguaje similares, generadores de contenidos (artículos, noticias, descripciones de productos, etc.), traductores y algunas tareas relativas al análisis de datos e información. Probablemente el uso de estos modelos se extenderá a muchas otras profesiones en el futuro, según estos modelos vayan ganando eficiencia y habilidades.  La automatización de trabajos y profesiones no significa necesariamente la desaparición de estos trabajos, sino más bien una transformación en la forma en que se realizan.

ChatGPT podría tener un impacto significativo en algunos trabajos relacionados con el lenguaje y la escritura, como la generación de contenido automático y la traducción. También puede ser una herramienta útil a la par que peligrosa para estudiantes. ChatGPT podría facilitarles la realización de tareas de investigación y escritura más rápida y eficientemente. Estos modelos también pueden ser utilizados para generar trabajos de forma automática o modificar trabajos de otras personas de forma totalmente automática, haciendo que se dificulte enormemente la detección de fraudes.

Actualmente varios sistemas trabajan en la detección de texto escrito por modelos como ChatGPT. Esto puede lograrse mediante la comparación de características de lenguaje y estilo con textos conocidos escritos por ChatGPT, o mediante el uso de técnicas de aprendizaje automático para clasificar textos en «escritos por un modelo» y «escritos por un humano». Sin embargo, debido a la sofisticación de los modelos de lenguaje actuales, puede ser difícil distinguir con certeza el texto escrito por un modelo de texto escrito por un humano.

Es importante tener en cuenta que ChatGPT y otros modelos de lenguaje aún no pueden reemplazar completamente la creatividad e inteligencia humana, y que se requiere una comprensión profunda del lenguaje y la cultura para realizar tareas que requieren habilidades emocionales, sociales y cognitivas complejas. Aunque puede generar respuestas coherentes y convincentes a una amplia variedad de preguntas, no tiene la capacidad de razonar o comprender el mundo de manera similar a un ser humano. En su lugar, se basa en patrones de lenguaje y asociaciones encontrados en el texto al que ha sido entrenado para producir respuestas. Es importante tener en cuenta que las respuestas generadas por un modelo pueden ser inapropiadas o erróneas, y no deben ser utilizadas como reemplazo para la investigación o la toma de decisiones críticas. En general es importante utilizar la información proporcionada por ChatGPT como un recurso adicional y verificar la información con fuentes confiables antes de tomar cualquier acción. ChatGPT no está recomendado para usar en situaciones que requieran, decisiones basadas en leyes o regulaciones, información confidencial o sensible, diagnósticos médicos, decisiones financieras, etc.

Es difícil predecir con certeza qué será capaz de hacer ChatGPT en el futuro, ya que la tecnología de lenguaje está en constante evolución y mejora. Sin embargo, es probable que en el futuro ChatGPT pueda realizar una amplia gama de tareas, incluyendo conversaciones más naturales y convincentes, también es posible que ChatGPT se integre con otros sistemas y tecnologías, ampliando su alcance y capacidad.

Jordán Pascual Espada, colegiado en COIIPA.

El Colegio Oficial de Ingenieros en Informática del Principado de Asturias ha estado presente, este viernes, en la celebración del Día de la Mujer y la Niña en la Ciencia; que se celebra este sábado 11 de febrero. En colaboración con el C.E.I.P. San Lázaro-Escuelas Blancas, la decana del COIIPA, Irene Cid, ha participado en una charla con los jóvenes alumnos. Un total de 60 alumnos, de 4º, 5º y 6º de Primaria, han formado parte de una clase muy especial.

La actividad ha estado basada en tres puntos. En el primero de ellos, se ha puesto en común la actividad de las pioneras de la informática. Hedy Lamarr, Margareth Hamilton, Grace Hooper, Katherine Johnson o Ángela Ruiz Robles han estado presentes entre los más pequeños.

Posteriormente, han llevado a cabo un taller de Inteligencia Artificial. El alumnado del colegio ha ayudado, a través de una aplicación, a una inteligencia artificial a diferenciar peces de residuos marinos. Por último, también ha habido tiempo para introducir a los más pequeños a codificar una imagen.

Desde el COIIPA estamos plenamente concienciados con este tipo de actividades de divulgación de la Ingeniería en Informática entre la juventud y, que también, sirven para promover la figura de las mujeres dentro del sector.

Poner los pies en la tierra

Recientemente, la Unión Europea ha publicado varios textos que pretenden ser un refuerzo para la ciberseguridad de todos. Incluso incorporan en el título de alguno de ellos la palabra «resiliencia», tan de moda estos días. Esto demuestra que existe una preocupación general sobre el tema y esta preocupación no está exenta de razones.  

Dos de las publicaciones recientes de mayor relevancia son:

• Reglamento (UE) 2022/2554, conocido como DORA.
• Directiva (UE) 2022/2555, conocida como NIS 2.

DORA va dirigida a la «resiliencia operativa digital del sector financiero». Por su parte, la directiva 2022/2555 viene a sustituir, y mejorar, la directiva NIS (Network and Information Security) de 2018 y alguna más, y es mucho más transversal.

Sin entrar en demasiados detalles, ambas son pasos adelante en la buena dirección, pero son como «el capítulo piloto de la serie». Es decir, presentan la trama y se publican con timidez y precaución para ver si captan audiencia o requieren grandes cambios para hacerlo. No deja de ser un poco frustrante que sigamos viendo capítulos piloto en lugar de lanzar la serie de una vez por todas.

Se marcan directrices para asegurar lo que llama «entidades críticas». Llevamos desde 2011 dándole vueltas a ese concepto sin muchos resultados prácticos.

Reglamentos, normas, leyes, buenas prácticas, modelos «de orquestación», de madurez, de gobierno… reinventamos constantemente la rueda de la seguridad de la información. ¡Ah! perdón, que ahora hay que decir «ciberseguridad».

Desde mi punto de vista, esto de darle vueltas al tema como un hámster en su rueda, sin llegar a ningún lado, es mal síntoma. Delata una cierta incapacidad para aterrizar todas esas grandes teorías en una mejora real de la seguridad. Y no es que estén mal pensadas, pues todas ellas tienen sentido y son defendibles. Pero hay un espacio vacío donde la comunicación se interrumpe, donde reina la incomprensión, justo a medio camino entre las normas y los especialistas técnicos en seguridad.

La situación es cada vez más grave, sobre todo en lo que respecta a normas de obligado cumplimiento, sea porque son ley, porque te lo exigen tus clientes o por cualquier otra circunstancia. Ahí es donde la situación se vuelve kafkiana.

Hace muchos años, un colega expresaba esto mismo cambiando la palabra «cumplimiento» por «cumplo y miento». Desde entonces ha ido a peor. Se implantan normas aplicando maquillaje, pervirtiendo el espíritu de dichas normas, sin la más mínima incidencia positiva en la seguridad. Incluso con una incidencia negativa, pues todo lo que sea introducir complejidad en una organización abre agujeros por los que entran los problemas.

Un simple ejemplo y os prometo que no es excepcional. Empresa «de ciberseguridad», certificada en ISO/IEC 27001 y en ENS en categoría alta. Podemos encontrarnos las contraseñas más importantes de la empresa pulcramente almacenadas en texto claro en una hoja excel. Como medida de seguridad adicional, por si la hoja de cálculo se pierde, un alto cargo de la empresa lleva siempre en el bolsillo de su chaqueta una copia en una memoria USB. Todo ello sin ningún tipo de cifrado, claro.

Otro ejemplo. Muchas empresas dan sus primeros pasos hacia un SGSI haciéndose trampas al solitario. Todas las normas coinciden en la importancia que tiene hacer un buen análisis de riesgos de seguridad de la información. Tanto NIS2 como DORA, y otras normas que se han publicado o actualizado en los últimos meses, dedican grandes esfuerzos en este tema. Es algo que los profesionales sabemos desde hace muchos años.

El primer paso para hacer un análisis de riesgos clásico, salvo en sistemas simplificados, es tener un buen inventario de activos. Pero hay muchas formas de hacer un inventario, según para qué se vaya a utilizar. Está claro que este tiene que ser útil, tiene que estar pensado desde el punto de vista de la seguridad.

Pues bien, en mis años de profesión he visto infinidad de organizaciones en las que tanto el inventario como el análisis de riesgos resultaban completamente inútiles. Si tu inventario de activos especifica «información crítica» e «información no crítica» está claro que el resultado será implantar medidas de seguridad más estrictas para la primera que para la segunda. Pero si no especificas más ¿cómo llevas eso a la práctica?

¿Cómo es posible que este tipo de situaciones ocurran? Muy sencillo. Si aplicamos las normas sólo por su texto, sin entender realmente de dónde vienen, todas esas empresas cumplen la literalidad y por tanto merecen su certificado.

La mayoría de los auditores de normas, con honrosas excepciones, no tienen experiencia real en seguridad. Es más, muchos de ellos ni siquiera tienen experiencia en informática. Su campo son los sistemas de gestión, es decir, la parte burocrática. Se conocen las normas y cómo les han explicado que tienen que interpretarlas. En muchos casos trabajan con normas de todo tipo, como calidad y medio ambiente.

Cuando uno de estos auditores llega a una empresa, examina en profundidad la parte burocrática, el sistema de gestión, que es donde se sienten fuertes. Pero a la hora de analizar las evidencias, se quedan en la superficie. No tienen conocimientos ni tiempo para rascar y ver lo que hay debajo.

El resultado es el previsible. No se evalúa realmente la seguridad, sino la aplicación literal de la norma en el ámbito que la empresa haya elegido.

Con el tiempo, muchas empresas adquieren conciencia. Entonces es cuando buscan ayuda y te explican: “ya tengo todas estas certificaciones, ahora quiero mejorar de verdad mi seguridad”.

Tenemos que hacer un esfuerzo importante. Pero no en crear más normas, sino en poner los pies en la tierra. Es fundamental enlazar las normas, el “gobierno de la seguridad”, con cambios prácticos que podamos medir y que produzcan una mejora real de la seguridad.

Necesitamos urgentemente cubrir ese hueco entre el papel y la realidad. Necesitamos especialistas que entiendan ambos mundos (el normativo y el técnico) y puedan ejercer de nexo de unión, de “traductores”.

Y vamos tarde, visto el ritmo al que aumentan los incidentes.

Modesto Álvarez, tesorero de COIIPA.