En una reciente publicación del medio español Confilegal se da a conocer el artículo ChatGPT: una tecnología para el bien que también puede ser utilizada para el mal, por Lucia Do Nascimento.
A estas alturas parece que no debiera quedar ya duda de que la inteligencia artificial (IA) ha llegado para quedarse. No son pocos los ejemplos de estas combinaciones algorítmicas que han sido desarrolladas en los últimos tiempos[1] -y acogidas cálidamente por el público- con funciones tan dispares como asistir mediante voz al usuario (piénsese en Alexa, el Asistente de Google, Siri o Cortana, entre otros), crear imágenes representando lo que éste describe a través de un texto (por ejemplo, MidJourney) e incluso ayudarle a obtener respuestas sencillas a consultas (los consabidos chatbots).
En lo que atañe a estos últimos, existe concretamente uno que ha adquirido gran popularidad como consecuencia de dos factores: su simplicidad, lo que lo hace especialmente accesible para todos los públicos, y su funcionalidad, ya que abarca un amplio abanico de materias y de respuestas adecuadas a ellas.
Se trata de ChatGPT, un bot creado en noviembre de 2022 por la mercantil estadounidense OpenAI con el que es posible mantener una conversación sobre prácticamente cualquier asunto y al que se pueden encomendar tareas complejas como redacciones extensas o técnicas.
Pero, ¿cuál es la configuración de esta clase de IA?, ¿cómo obtiene la información que transmite?, ¿cuáles son los riesgos inherentes a su uso?
Los dos primeros interrogantes encuentran respuesta en la propia naturaleza del instrumento a través del que se articula. Los bots son programas con capacidad de interactuar con las personas y que ejecutan tareas repetidas de modo automático.
Para intercambiar datos con su interlocutor, el algoritmo en el que se basa precisa ser entrenado previamente manejando datos, documentos y patrones de diálogo para ser capaces de responder con coherencia a lo que se le pregunta.
Por este motivo, ChatGPT ha tenido acceso a datos[2] y documentos hasta 2021 que sus desarrolladores le han proporcionado. Esto no implica que la herramienta almacene datos[3], ya que esto dependerá del modelo utilizado y de cuáles sean sus fines.
Además, con el objetivo de contestar a lo que se le pregunta e incluso mantener una conversación viva sobre un tema determinado o en un tono específico, consulta buscadores en línea para ofrecer información actualizada.
A pesar de ello, los expertos y cada vez más usuarios alertan de su imprecisión, de manera que, por el momento, no será posible prescindir de las capacidades humanas para delegar las referidas tareas en la IA.
PHISHING Y MALWARE
Esta interfaz generadora, tal como se ha apuntado, no elabora únicamente estructuras gramaticales susceptibles de asemejarse al lenguaje humano en el hilo de una conversación, sino que, al no distinguir las intenciones espurias del usuario, también elabora, previa solicitud, textos creíbles para perpetrar engaños a través de la técnica phishing o códigos malware con los que ataca los sistemas de otros beneficiarios de Internet[4].
De lo anterior se desprende que los ciberdelincuentes han encontrado un nuevo mecanismo para la consecución de sus fines que, con independencia de la secuencia de acciones que hayan elegido para ello, suelen desembocar en un apoderamiento ilícito del patrimonio, en todo o en parte, del usuario ingenuo.
En consecuencia, esta nueva realidad tecnológica interpela al jurista a plantearse, entre otras cuestiones de enjundia jurídica, en qué tipos penales podrían subsumirse estos hechos.
Los referidos nuevos modos de actuación tienen encaje en el nuevo artículo 249 del Código Penal, que, tras la reforma operada por la Ley Orgánica 14/2022, de 22 de diciembre -por la que se transpone con casi dos años de retraso la Directiva (UE) 2019/713 del Parlamento Europeo y del Consejo, de 17 de abril de 2019-, ha escindido de la redacción del artículo 248 las estafas informáticas, reservando el mismo para el tipo básico y agrupando aquellas en el repetido art. 249.
Este cambio normativo no ha conllevado una modificación sustancial de los comportamientos penalmente censurables a través de este tipo, así como tampoco de la penalidad aneja a ellos. De este modo, se observan únicamente dos mutaciones significativas:
a) la incorporación en la acción punible de la obstaculización o interferencia en el funcionamiento de un sistema informático, así como la introducción, alteración, borrado, transmisión o supresión de datos [letra a) del punto 1][5]; y
b) la inserción de los medios de pago distintos del efectivo entre los objetos materiales de la sustracción patrimonial, para adaptar este entorno normativo a las criptomonedas [letra b) del punto 2].
Remitiéndonos al primero de los citados supuestos modificativos y a los presupuestos de concurrencia requerida por la jurisprudencia para apreciar la existencia de un delito de estafa informática (por todas, STS nº 1004/2022, de 28 de diciembre[6]), la remisión de textos generados a través de ChatGPT a uno o varios usuarios vía email o SMS haciéndose pasar por otra persona o entidad, con el objetivo de acceder al patrimonio de la víctima, y que sean susceptibles de inducir en aquéllos engaño idóneo y bastante por el que terminen ofreciéndoles la llave de sus datos bancarios, será susceptible de ser castigada a través de la aplicación del referido precepto.
RANSONWARE
Algo similar plantea el supuesto de la introducción de códigos maliciosos generados por el referido robot en el sistema de otros usuarios con el objetivo de obtener una transferencia de activos no consentida; cambia el instrumento de la comisión, pero los elementos del tipo se mantienen intactos.
Podría tratarse, por ejemplo, de un ataque de ransomware o secuestro del sistema, a través del cual éste se infecta y se impide o dificulta al usuario el acceso a él o a los archivos que en él tenga almacenados mientras no abone el rescate solicitado por el cracker.
No resulta tan clara la aplicación a estos supuestos de lo dispuesto en la letra a) del punto 2º del repetido art. 249, en cuanto a la atribución de la responsabilidad a las personas que, en resumidas cuentas, diseñan o facilitan instrumentos informáticos destinados específicamente a perpetrar esta clase de ilícito.
La nota diferencial viene servida por el carácter de herramienta creada expresamente para la comisión de hechos delictivos, es decir, con tal exclusividad[7], de modo que, en principio, los actos aludidos resultarían atípicos, por cuanto ChatGPT no ha sido creada con el fin de facilitar instrumentos de defraudación a los ciberdelincuentes, sino como medio a través del que simplificar una sociedad cada vez más informatizada.
Alertados por estos hechos, los desarrolladores de OpenAI han implementado los controles de seguridad en el uso de la plataforma, estableciendo restricciones a determinadas peticiones del usuario.
En cualquier caso, tanto si esta infección del sistema se produce por acometida directa del sujeto activo como si es ocasionada a través de un ataque de phishing, puede ocasionar daños funcionales que impidan al sistema ejecutar correcta o completamente sus comandos, circunstancia que se puede encuadrar en la conducta castigada en el artículo 264 del Código Penal.
Este artículo tipifica la acción consistente en borrar, dañar, deteriorar, alterar suprimir o hacer inaccesibles datos, programas o documentos electrónicos ajenos, siempre que esa conducta imposibilite o trastoque gravemente el funcionamiento del sistema.
Noticia Relacionada
Esa gravedad ha sido exigida por la jurisprudencia del Tribunal Supremo (entre otras, STS nº 91/2022 de 7 de febrero[8]) respecto de la acción y del resultado, de modo que, por un lado, la acción debe desembocar en la inaccesibilidad al sistema o en la eliminación total de datos sin posibilidad de ser recuperados y, por otro, el resultado alcanzado ha de causar perjuicios económicos, organizativos o reputacionales a la víctima.
En definitiva, el avance de los tiempos, el imparable desarrollo tecnológico de la sociedad[9] y la consecuente versatilidad de los crackers hacen cada vez más difícil el ajuste de las conductas producto de su ingenio en la normativa penal de la que disponemos, adaptación que, a mayor abundamiento, no constituye una prioridad para el legislador.
En este sentido, el pasado 23 de marzo el Parlamento Europeo emitió un breve comunicado[10] en el que, tras sopesar los beneficios y contingencias de las “IA”, anuncia la próxima promulgación de un Reglamento en la materia en el que, previsiblemente, creará un marco legal al que deberán adaptarse las respectivas normativas de los Estados miembros.
Se prevé que parte de esa dedicación normativa esté dedicada al orden penal, ya que uno de los motivos aducidos por el legislador europeo ha sido la potencial vulneración de derechos (intimidad, propia imagen, honor, etcétera) que puede originar este tipo de tecnología.
Por todo ello, al igual que con lo sucedido con el anterior artículo 248.2 del Código Penal, y a la espera de la anunciada normativa europea, habrán de ser los tribunales españoles los que deban emprender la labor de interpretar las disposiciones legales contenidas en el nuevo artículo 249 de acuerdo con la realidad material, hasta que, nuevamente, ésta aventaje a la previsión normativa.
[1] De hecho, las “IA” ya se encuentran plenamente integradas en nuestra vida diaria en formas diferentes a las citadas, como, por ejemplo, a través del reconocimiento facial en los smartphones, del teclado predictivo, de los sistemas guiados de navegación o de la integración de la robótica en el hogar.
[2] Existe controversia sobre la entidad de la información recopilada por esta herramienta, ya que no existe constancia de que, operando en europa, hayan tomado las precauciones exigidas por el RPDP europeo.
En este sentido, el Garante italiano para la Protección de Datos Personales acordó el pasado viernes 31 de marzo la suspensión cautelar de la actividad de ChatGPT en su territorio, ya que no alerta de una potencial recogida de datos personales ni establece un mecanismo de verificación de la edad del usuario, pese a estar limitada a 13 años. Por tanto, la medida se mantendrá en vigor hasta que la mercantil OpenAI acredite qué medidas ha implementado en este sentido.
https://www.xataka.com/aplicaciones/italia-prohibe-chatgpt-infringir-gdpr-movimiento-que-vierte-sombra-duda-toda-europa
[3] ChatGPT no atesora, en principio, datos personales que el usuario pueda proporcionarle durante una conversación, únicamente almacena los inherentes al proceso de registro (nombre y apellidos, fecha de nacimiento, correo electrónico). https://openai.com/policies/privacy-policy
[4] https://computerhoy.com/tecnologia/lado-oscuro-chatgpt-estafas-malware-deepfakes-otros-usos-hacer-mal-1199614
[5] Quedará por ver cómo resuelve la jurisprudencia de la Sala Segunda del Tribunal Supremo los problemas concursales que sin duda surgirán en lo sucesivo con la acción castigada en el delito de daños informáticos, regulado en los artículos 264 y siguientes del Código Penal.
[6] STS nº 1004/2022, de 28 de diciembre. ECLI:ES:TS:2022:4966
[7] Ejemplo de ello es la STS nº 649/2021 de 19 de julio (ECLI:ES:TS:2021:3231), en la que se resuelve un supuesto de clonado de datos de tarjetas de crédito o débito tras su sustracción haciendo uso de herramientas específicas para ello. Nos encontraríamos ante el mismo supuesto si el delito se hubiera cometido a través de la ejecución de un software creado especialmente para ello con el objetivo de extraer dinero de una cuenta bancaria ajena.
[8] STS nº 91/2022, de 7 de febrero. ECLI:ES:TS:2022:528
[9] Empresas como Alibaba o Google (pionera en el desarrollo de esta inteligencia con la creación del bot generativo “Bard”, aunque con resultados poco fructíferos ab initio) son algunas de las que ya están trabajando en “IA” susceptibles de competir con la estadounidense OpenAI.