El Instituto Nacional de Ciberseguridad de España (INCIBE) ha cofinanciado un proyecto al grupo de investigación CRISES de la URV para realizar una nueva investigación sobre ciberseguridad. Denominado HERMES, el proyecto cuenta con 1,8 M€ de financiación y aborda cuatro grandes ejes: criptografía resistente a ataques cuánticos y de canal lateral, asegurar el anonimato de datos personales en entornos de inteligencia artificial descentralizados, sistemas de certificación de la seguridad y su gestión en entornos del internet de las cosas (IoT).
Criptografía resistente a ataques cuánticos
Si bien los ordenadores cuánticos todavía no son una realidad a nivel comercial, los expertos en ciberseguridad ven en su aparición una amenaza para los sistemas de cifrado actuales. Descifrar informaciones encriptadas supone un reto para los procesadores convencionales, pero sería pan comido para la capacidad de computación de un ordenador cuántico. «Hay que encontrar métodos de cifrado que continúen siendo difíciles cuando esto suceda; mientras tanto, no estorba usar cifrados que sean robustos», explica Josep Domingo-Ferrer, catedrático de Ciencias de la Computación y profesor ICREA-Academia del Departamento de Ingeniería Informática y Matemáticas de la URV y líder del proyecto.
Seguridad en entornos descentralizados
La capacidad de un modelo de inteligencia artificial depende en gran medida del volumen de datos con que haya sido entrenado para llevar a cabo una tarea determinada. Por esta razón, se acostumbra a centralizar las bases de datos con el objetivo de construir modelos potentes y fiables. «Esta centralización no siempre es posible puesto que, a menudo, los datos de interés son de carácter personal y pueden incluir información confidencial», puntualiza Domingo-Ferrer. La solución pasa por que cada propietario de los datos entrene localmente un modelo de inteligencia artificial que, a posteriori, se pone en común con otros modelos locales para obtener un modelo global. El objetivo en este ámbito es asegurar que no se pueda deducir ningún tipo de información confidencial a partir de la puesta en común de estos modelos descentralizados.
Certificar la seguridad de un cifrado
«Los métodos de cifrado son cada vez más complicados de entender, incluso para los ingenieros», apunta Domingo-Ferrer. Como consecuencia, la seguridad percibida de un sistema de cifrado se basa, no solo en la robustez de la encriptación, sino también en la reputación del organismo que la certifica. Para ofrecer una valoración objetiva del grado de seguridad de un sistema, una de las líneas de investigación previstas es trabajar en sistemas de verificación formal. Estos atacan deliberadamente una información cifrada para detectar vulnerabilidades y determinar el grado de seguridad del método que se ha empleado en su codificación.
Seguridad en el internet de las cosas
El internet de las cosas es una categorización que hace referencia a objetos que, si bien su función principal no tiene nada que ver con conectarse a internet, disponen de esta funcionalidad. Estos, cuando se comunican con otros dispositivos, deben ser capaces de determinar con exactitud cuáles son de fiar y cuáles suponen una amenaza. Domingo-Ferrer ejemplifica en los coches con conexión a internet las posibles amenazas de una ciberseguridad deficiente en el entorno de la IoT: «Un coche controlado a distancia puede llegar a ser un arma en manos de terroristas; un vehículo conectado a internet tiene que ser seguro». Las vulnerabilidades en otros dispositivos como cámaras de seguridad, electrodomésticos o portables, aunque quizás son menos críticas, también implican riesgos.
El proyecto HERMES empezó el septiembre de 2023, se prevé que finalice el diciembre del 2025 y tiene un presupuesto total de 1.200.000 €. De estos, 900.000 están financiados por el Instituto Nacional de Ciberseguridad con fondos europeos Next Generation y 300.000 por la URV. Paralelamente, el grupo de investigación CRISES ha conseguido otros 600.000 € —también de fondos Next Generation obtenidos a través del INCIBE (450.000) y fondo URV (150.000)— para poner en marcha acciones de comunicación, diseminación y transferencia de los resultados derivados del proyecto.