La desinformación está a la orden del día. No hay más que revisar las redes sociales, los canales Internet, los portales de noticias o algunos medios de comunicación para darse cuenta de hasta qué punto la alteración —cuando no la invención— de información se ha convertido en una herramienta de manipulación de sentimientos de masas.
Se trata de un aspecto psicosociológico que tiene relevancia también en ciberseguridad y que afecta a personas y organizaciones. No pocos profesionales de la ciberseguridad han identificado en la manipulación de la información una nueva superficie de ciberataque surgida al amparo de la avalancha de datos que se utilizan para la toma de decisiones; un tsunami que hace muy difícil distinguir datos fiables de aquellos que no lo son tanto.
Esta oleada de información difusa ha hecho que la Unión Europea esté tomando iniciativas en la definición de mecanismos, regulaciones y protocolos de actuación que permitan atenuar el impacto de lo que ha venido a definirse genéricamente como las “fake news”.
Desde All4Sec resumen estas iniciativas, explican el uso de la tecnología para la desinformación y como podemos hacer frente a este fenómeno.
Una iniciativa europea: EUvsDisinfo.eu
Una de esas ideas es EUvsDisinfo.eu. Creada y financiada por la Unión Europea recoge multitud de enfoques para la lucha contra la desinformación a través de la publicación constante de desmentidos. Paralelamente, organismos de seguridad como el ENISA han puesto en marcha nuevas capacidades de monitorización y seguimiento de la amenaza, ayudados por mecanismos de ciberseguridad.
También organizaciones como EU Disinfo Lab se mueven en líneas similares. En uno de los informes que publica esta ONG se describe la convergencia entre ciberseguridad y desinformación en torno a cuatro grandes pilares (las cuatro “T”, por sus siglas en inglés): el terreno, las tácticas, los objetivos (targets) y las tentaciones.
El “terreno” (o campo de acción) afecta a las infraestructuras de redes y los servicios —a menudo en forma de plataformas de redes sociales o portales de noticias— que actúan como medios amplificadores de la información manipulada cuando se trata de llegar a los últimos niveles de la sociedad. Las “tácticas” coinciden en la manipulación de las emociones, orientadas a conseguir sus “objetivos”: desde instalaciones de malwares, a la divulgación de claves de acceso a sistemas protegidos, pasando por la adhesión a posiciones interesadas o la ejecución de acciones ilícitas. Por último, las “tentaciones” provienen de intereses económicos o políticos difícilmente atribuibles —al menos de forma efectiva— a ciberdelincuentes o divulgadores de fake news claramente identificables.
Tecnología al servicio de la desinformación
El uso dual de la tecnología también impacta en las amenazas que genera la desinformación; básicamente podríamos decir que hace más difícil su identificación y seguimiento. Los agentes de la desinformación han aprendido a utilizar la tecnología con contenidos reales y convertirlos en datos manipulados que llevan el sello de “verdades a medias” —o, como diría Antonio Machado, “dobles mentiras”.
El uso interesado de la sátira o la parodia genera división en la audiencia; la referencia en redes sociales a personas con opinión reputada sirven para afianzar la desinformación; los contenidos ambiguos abren la posibilidad a interpretaciones malintencionadas; la exposición en contextos que no se ajustan a la realidad inducen intencionadamente a errores; las atribuciones falsas de opiniones críticas refuerzan la credibilidad ficticia; los datos manipulados dirigen los posicionamientos de la opinión; o los contenidos específicamente elaborados para satisfacer los intereses de los agentes son algunos de los ejemplos de uso más relevantes.
El Foro Económico Mundial, desde hace tiempo, ha definido la desinformación digital como uno de los principales riesgos a los que se enfrenta el mundo actual. De facto, ciertos informes llegan a destacar que las pérdidas económicas anuales ocasionadas por la manipulación de la información alcanzan los 80 mil millones de dólares. Y lo que es peor, la inversión necesaria para causar ese daño apenas alcanza el 1% del daño total.
Contraataque
Las medidas que habitualmente se proponen en la lucha contra estas amenazas son similares a las que se utilizan en ciberseguridad. Sin embargo, la desinformación ha abierto el debate en torno a la posibilidad del contraataque. Y es que ni las notificaciones sobre el flujo de la información falsa, ni la regulación en cuanto a multas por el uso o divulgación de información manipulada, resultan actualmente suficientes.
La desinformación quizás requiera, esta vez sí, de acciones ofensivas que permitan compensar el efecto multiplicador que tiene una secuencia encadenada de datos intencionadamente manipulados. Por ejemplo, un estudio publicado por la revista Science evidenció, en 2018, que la información falsa se retuiteaba un 70% más que la información veraz, y que alcanzaba a sus primeros 1.500 destinatarios seis veces más rápido que los datos contrastados.
Por eso, y ante este escenario, las técnicas de ciberseguridad tradicionales de detección y prevención evidentemente se quedarían cortas y necesitarían de técnicas que afrontaran no solo la amenaza de la información falsa, sino también la lucha contra la fuente originaria. Se trataría de una batalla coordinada en la que deberían participar empresas tecnológicas, gobiernos, medios de comunicación y sociedad civil.
Técnicas contra la desinformación
No entraremos a definir los medios que podrían utilizar cada uno de estos grupos de presión en su lucha contra las fuentes de desinformación. Sin embargo, no nos resignaremos a referir algunas técnicas que las empresas tecnológicas podrían emplear contra la desinformación y que incluyen (1) una definición clara de los algoritmos que catalogan la veracidad de una información; (2) el empleo de información de contexto veraz con la que contrastar los datos manipulados; (3) la lucha contra el atractivo económico—por ejemplo, clic-baits— que supone el consumo de este tipo de información; (4) los filtros tecnológicos que impidan su propagación telemática (i.e. las restricciones en dominios de Internet); (5) la identificación visual de la manipulación de la información frente las nuevas deep fakes; o (6) el desarrollo de herramientas de verificación o fact-checks.
Al final, es posible que tengamos que empezar a hablar de Sistemas de Defensa Activa contra la desinformación, clasificando las estrategias y tácticas de estos agentes e identificando los actores maliciosos para combatir sus comportamientos y actividades a través del bloqueo de sus fuentes de desinformación. No es una decisión que resulte fácil, y posiblemente no esté exenta de debates sobre los límites de la libertad de expresión.