Meta y Microsoft SQL Server: Compañeros inesperados en el dolor cibernético

OPINIÓN Cuando dos historias de extremos opuestos del universo de TI terminan señalando el mismo problema, es hora de prestar atención. En el vanguardista mundo de la IA, Meta ha cumplido a regañadientes con una normativa que prohíbe usar datos de redes sociales europeas en su entrenamiento. Mientras tanto, en los barrios industriales, el 20% de las instancias de Microsoft SQL Server en funcionamiento ya están fuera de soporte.

En un mundo más sensato, esa segunda historia tendría la misma prominencia en los medios que cualquier otra noticia sobre IA y ciberdelincuencia que llena los titulares. Las bases de datos son el núcleo del mundo digital. Son donde viven los datos de entrenamiento de IA y donde los piratas informáticos atacan para saquear. Contienen nuestro dinero, nuestra salud y nuestras vidas digitales. Son el corazón de toda empresa, grande o pequeña. Sin embargo, son implacablemente aburridas para la mayoría, por lo que cuando una de cada cinco bases de datos está desactualizada en un entorno hostil, a nadie le importa. Peor aún, tampoco a uno de cada cinco administradores de sistemas. Si esas bases de datos fueran leche en la nevera, lo sabríamos. Pero las bases de datos no huelen cuando caducan.

En Meta, la prohibición del uso de datos europeos para el entrenamiento de IA por motivos de privacidad es válida, pero oculta muchas preguntas sin resolver. ¿Cómo maneja un modelo de lenguaje grande más de 20 idiomas diferentes? En realidad, ni siquiera sabemos cómo maneja uno. Es un área de investigación fascinante, sin duda, y no algo que se quiera poner en marcha mañana para cientos de millones de ciudadanos. Una pregunta más importante es qué sucederá cuando se lancen productos basados en datos de entrenamiento sin Europa en el mercado europeo.

Si los esfuerzos para regular y eticizar la IA avanzan, minimizarán el uso de datos de entrenamiento sesgados que puedan dañar a los usuarios a largo plazo. Si la IA fuera una granja lechera, prohibir los datos europeos sería como prohibir suplementos alimenticios dañinos, y las directrices éticas para la IA evitarían vender leche de vacas mal alimentadas.

Hora de comer

Por eso nuestras dos historias se encuentran en el medio: ambas tratan sobre la cadena de suministro de software y servicios, solo en extremos opuestos. Lo que significa que ya tenemos un modelo de sistema que puede crear y hacer cumplir las mejores prácticas basadas en el riesgo y la evidencia de daño, sin importar los detalles de la tecnología. Lo que ponemos en nuestra boca es aún más íntimo que lo que ponemos en nuestro cerebro, por lo que los estándares alimentarios tienen mucho que enseñarnos.

El entorno regulatorio de los estándares alimentarios es uno de los grandes éxitos de nuestro tiempo, aunque en gran medida no reconocido y a menudo utilizado como peón político. La industria alimentaria es inmensamente vasta y variada, y ferozmente competitiva. Si se puede ahorrar un céntimo, se hará, aunque se necesiten tiritas para las heridas. Aun así, seguimos comprando nuestra comida enviada desde todo el mundo a nuestros supermercados con la despreocupada suposición de que ha sido preparada, enviada y vendida manteniéndose perfectamente segura para comer.

Diferentes regímenes regulatorios son más o menos laxos, con consecuencias claras: uno de cada seis estadounidenses se enferma por enfermedades transmitidas por los alimentos al año, en comparación con uno de cada 28 británicos. No es por una higiene personal meticulosa en el viejo país. Tales diferencias son una elección política. Dado que el Reino Unido tiene una cadena alimentaria perfectamente funcional, una regulación más estricta no impide el comercio y la innovación.

El sistema funciona, cuando se le permite, en un ciclo de retroalimentación: se establecen reglas y se realizan suficientes controles para persuadir a la industria a cumplir, y cuando algo sale mal, un régimen de diagnóstico muy eficiente identifica el problema y rastrea su origen. Típicamente, un aumento en las infecciones transmitidas por alimentos desencadena la secuenciación del ADN del patógeno para establecer una causa común, junto con una investigación sobre quién comió qué y cuándo. Los investigadores luego retroceden a través de la cadena de suministro para encontrar una fuente común, que luego se aborda.

Es, al menos, discutible que el software de bases de datos obsoleto sea un vector de patógenos al final de la cadena de suministro. Si un gran número de sistemas similares se vuelven vulnerables, atraen la atención de actores maliciosos que ven grandes recompensas por menos trabajo. Los supermercados no pueden vender alimentos caducados, ¿por qué deberían las empresas poder usar software obsoleto? Aunque la subregulación del software significa que hay pocas herramientas disponibles para hacer cumplir la higiene cibernética, hay opciones. La industria de seguros protege e indemniza a las organizaciones, pero está altamente regulada. Invalidar aspectos de eso cuando se ha identificado y no se ha solucionado software obsoleto sería muy interesante.

Al otro extremo de la cadena de suministro, donde se crean y entrenan los software y servicios, pueden aplicarse los mismos principios de control de riesgo basados en la evidencia y el daño potencial que se encuentran en los alimentos. La innovación no está prohibida, se fomenta y es esencial, pero el riesgo potencial escala con el alcance y el impacto en los usuarios. Los reguladores de datos europeos trabajan implícitamente con esto en mente; una formulación explícita de este principio aquí también sería muy interesante.

La higiene alimentaria desde la granja hasta el plato se ha desarrollado junto con la biología de la enfermedad desde el siglo XIX. La higiene cibernética solo comenzó en la década de 1980 con el co-desarrollo de virus, monopolios de software y, más recientemente, conectividad universal. No es de extrañar que esté un siglo atrasada. Hasta que eso cambie, espere enfermarse cibernéticamente como un campesino medieval con el flujo de sangre. No querrás eso.