Magnifica Humanitas: cuando el Vaticano se mete a discutir IA
El 15 de mayo el Papa León XIV publicó una encíclica sobre dignidad humana en la era de la inteligencia artificial. La leí con ojos de pentester y resulta que el Vaticano está describiendo, con vocabulario teológico, exactamente las cosas que rompemos los que vivimos del offsec.
Hace doce días apareció en vatican.va una encíclica que casi nadie en mi timeline leyó. Se llama Magnifica Humanitas, la firma León XIV y son ochenta páginas sobre dignidad humana en la era de la IA.
La leí entera porque pensé que iba a ser otro documento conservador con miedo a la tecnología. No lo es. Es el análisis técnico-político más afilado sobre el ecosistema digital que he visto venir desde una institución no tecnológica en los últimos años, y eso me obliga a escribir esto.
Lo que dice, en cinco frases
La humanidad enfrenta una elección entre dos imágenes bíblicas: la Torre de Babel, símbolo de un poder concentrado que ignora al humano, y Jerusalén reconstruida por Nehemías, símbolo de trabajo distribuido y bien común. El documento dice que la tecnología no es neutra, que toma las características de quien la diseña, financia, regula y usa. Identifica como problema estructural que empresas transnacionales privadas, no Estados, ejerzan hoy un poder sin precedentes sobre miles de millones de personas. Critica el transhumanismo y el posthumanismo como ideologías que reducen al humano a datos y eficiencia. Y propone una idea operativa llamada subsidiariedad digital: comunidades intermedias (escuelas, asociaciones, sindicatos, comunidades técnicas) deberían decidir sobre plataformas, datos y algoritmos, no recibirlos por imposición.
Hasta acá puede sonar a teoría política. La traducción al lenguaje ofensivo es donde se vuelve interesante.
Lo que el Vaticano describe es lo que nosotros hackeamos
Tomé las cinco preocupaciones técnicas del documento y las mapeé contra los vectores que ejecutamos en pentest cualquier semana. El resultado es incómodo de lo bien que calza.
Cuando León XIV escribe sobre “concentración de poder en plataformas”, está describiendo lo mismo que vemos cuando una BOLA en una API te deja leer el correo de cinco millones de usuarios con una request. Cuando habla de “vigilancia y control social”, está describiendo lo que documentamos cada vez que decodificamos el SDK de tracking de una app móvil y aparecen veintiocho dominios distintos recibiendo eventos de teclado. Cuando reclama “transparencia y gobernanza de la IA”, está pidiendo lo que un model inversion attack obtiene a la mala: revelar qué datos vio el modelo, qué guardrails tiene, qué decisiones internas no audita nadie.
La diferencia es de método, no de diagnóstico. El teólogo redacta el problema en plano normativo. El pentester lo demuestra con un PoC reproducible y un CVSS de 8.6.
La parte que me hizo sentir validado
Hay un párrafo donde el documento dice que la subsidiariedad digital implica que “datos, patentes, plataformas digitales e infraestructura tecnológica deben someterse al principio del destino universal de bienes, y no concentrarse en pocas manos”.
Léelo de nuevo despacio. Una institución de dos mil años está diciendo que la concentración monopólica de infraestructura crítica es ilegítima. Eso es exactamente la lógica detrás de los programas de bug bounty serios, del disclosure responsable y del derecho de los investigadores de seguridad a auditar lo que las plataformas no quieren que se audite. Es la misma lógica que defiende a Moxie Marlinspike cuando se mete a desarmar el SDK de Cellebrite, o a Snowden cuando publica lo que publicó.
No estoy diciendo que el Papa esté ratificando el offsec. Estoy diciendo que cuando una autoridad ética grande llega a una conclusión por su lado y coincide con la nuestra, vale la pena anotarlo. Sirve para conversar con clientes corporativos que necesitan justificar por qué pagan auditorías externas. Sirve para argumentar ante un compliance officer por qué tu PoC es legítimo. Sirve, francamente, para defender el oficio frente a quien lo cree solo destrucción.
Lo que el documento no entiende bien
Para ser honesto con el ejercicio. La encíclica tiene puntos ciegos técnicos. Cuando habla de IA generativa lo hace en términos algo abstractos: no distingue entre modelos open weight y APIs cerradas, no menciona el debate sobre fine-tuning soberano, no entra al detalle de cómo se aplica gobernanza a sistemas que ya están desplegados. Es lo esperable cuando un equipo de redacción curial intenta cubrir tres décadas de cambio tecnológico en un documento. Lo que pierde en precisión técnica lo gana en marco moral, que es lo suyo.
También se nota la ausencia de una posición clara sobre ciberguerra estatal. Los actores estatales que producen malware ofensivo para vigilancia interna (NSO Group como caso clásico, pero hay quince más) son justo el tipo de poder que el documento critica en abstracto, pero no aparecen mencionados. Habría sido interesante.
Conclusión
No suelo recomendar leer encíclicas a colegas de seguridad. Esta sí. Tómala como un policy paper escrito desde fuera del Beltway tecnológico, con un vocabulario distinto al que estamos acostumbrados, pero apuntando a las mismas grietas que llevamos años explotando profesionalmente.
Si trabajas en pentest, threat intel, privacy engineering o gobernanza de IA, el documento te da munición narrativa para conversaciones que son difíciles cuando uno solo habla con tecnicismos. Cita ¶9 cuando te discutan si la tecnología es “solo una herramienta”. Cita el principio de destino universal de bienes cuando te pregunten por qué los datos personales son distintos a la propiedad común. Cita la idea de subsidiariedad digital cuando alguien quiera centralizar auditoría en un organismo único.
El Vaticano publicó un manifiesto compatible con nuestro oficio. La pregunta es si el oficio se da cuenta a tiempo.
Hack the planet. Ethically. Tonsuradamente, si hace falta.