Follow us on:
Perspectives

El Reglamento General de Protección de Datos y la IA

Thursday, 15 September 2016 Maria Jose de la Calle Posted in iTTi Views

"Todo interesado tendrá derecho a no ser objeto de una decisión basada  únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos en él o le afecte significativamente de modo similar". Artículo 22, párrafo 1 del Reglamento (UE) 2016/679[i].

* * 

En el pasado mes de abril el Consejo de la Unión Europea y el Parlamento Europeo sancionaron el nuevo Reglamento General sobre Protección de Datos -Reglamento (UE) 2016/679 de 27/04/2016- que entró en vigor el 24 de mayo y que será de aplicación obligatoria en todos los países de la Unión a partir del 25 de mayo de 2018[ii]. 

Según una encuesta del Eurobarómetro[iii] realizada a principios del año 2015, el 81% de los europeos -el 85% de los españoles- dicen estar preocupados por no tener un control completo sobre la información facilitada a través de Internet, y un 69% -el 64% de los españoles-, por el posible uso que las empresas puedan hacer de los datos cedidos. 

Uno de los objetivos del Reglamento es el de permitir a los ciudadanos de la UE recobrar el control de sus datos personales. 

Para ello las normas recogidas en dicho Reglamento vienen a reforzar los derechos ya establecidos en la anterior directiva de 1995, con el derecho a la portabilidad de datos (artículo 20); aclaración del "derecho al olvido" (artículo 17) o el derecho a saber si los datos en poder de organismos o empresas han sido hackeados (artículo 34); además de facilitar el acceso a los datos propios en poder de terceros y a la forma en que éstos los traten. 

Concretamente, en el artículo 15 ("Derecho de acceso del interesado"), párrafo 1, apartado h, se establece que "[e]l interesado tendrá derecho a obtener del responsable del tratamiento confirmación de si se están tratando o no datos personales que le conciernen y, en tal caso, derecho de acceso a los datos personales y a ... la existencia de decisiones automatizadas, incluida la elaboración de perfiles, a que se refiere el artículo 22, ", artículo con el arrancaban estas reflexiones. 

Además, en el artículo 4 ("Definiciones"), apartado 4, se define la "elaboración de perfiles" como "toda forma de tratamiento automatizado de datos personales consistente en utilizar datos personales para evaluar determinados aspectos personales de una persona física, en particular para analizar o predecir aspectos relativos al rendimiento profesional, situación económica, salud, preferencias personales, intereses, fiabilidad, comportamiento, ubicación o movimientos de dicha persona física;". 

Hasta ahora, un tratamiento automatizado era completamente predecible en su comportamiento. No había más que seguir el código (programa informático) escrito al efecto y los datos de entrada que lo alimentaban, para conocer cómo trataba los referidos datos y cuál sería el resultado que se obtendría. Una máquina se programa indicándole instrucción por instrucción lo que debe realizar. A partir de ahí, salvo errores de funcionamiento, ella hará, únicamente, aquello para lo que se la ha programado. Más que decirle "qué debe hacer", se le dan una serie de instrucciones sobre "cómo debe hacerlo".

Consecuentemente, informar de cómo se ha llegado a un perfil determinado a partir de ciertos datos personales, y de las consecuencias previstas para el interesado, no parecen aspectos que impliquen una excesiva complejidad. 

Sin embargo, la llegada de la Inteligencia Artificial (IA) hace que esto esto comience a no resultar tan evidente (al menos de momento)[iv].

La IA podría definirse como un conjunto de algoritmos que, en mayor o menor medida, realizan sus funciones sobre la base de un reconocimiento del mundo natural y de un aprendizaje derivado de su interacción con aquel.

Dependiendo de los datos con los que se alimente a un sistema de IA y de su entrenamiento con humanos, los cuales evalúan su forma de actuar -evaluación que recoge la máquina como otro dato de aprendizaje-, dicho sistema será capaz de conducir un automóvil o un avión; de realizar una operación financiera, o un diagnóstico médico y sugerir el pertinente tratamiento; de recomendar la contratación de una persona para realizar una actividad dentro de la empresa, etc. 

Pero a diferencia de lo que ocurre en la programación tradicional, la programación de un sistema de IA busca decir QUÉ debe hacer. El CÓMO lo haga y sus resultados dependerán, en primer lugar, del entrenamiento que se le haya proporcionado; esto es, de los datos con los que que se le haya alimentado y de los expertos que lo hayan dirigido. En segundo lugar, cuando en un momento dado se le solicite llevar a cabo una determinada acción, el cómo la realice dependerá de los datos que le lleguen. Se trata de un modo de funcionamiento no determinista.

Esto supone que el hecho de poder informar de la lógica de una elaboración de perfil, si se ha hecho con IA, no siempre resultará posible (por ahora). Ello, aparentemente, puede resultar un poco raro ya que la IA no deja de ser una herramienta hecha por humanos; aunque estos no siempre la entiendan. Todo ello supone un reto para los investigadores en Inteligencia Artificial, ya que "los algoritmos no sólo tienen que ser eficientes, tienen que ser transparentes y justos"[v]. 

"Los algoritmos pueden hacer sistemas más inteligentes, sin embargo, sin añadir un poco de sentido común a la ecuación, pueden producir algunos resultados extraños." Stephen F. DeAngelis, Presidente and CEO de Enterra Solutions.[vi]

* * *

Este artículo fué publicado originalmente por ComunicacionesHoy, nº 155, 24-08-2016. Referencia: Regulación/ Opinión, pg.13 – "El Reglamento General de Protección de Datos y la IA" – María José de la Calle.  

----------------------------------------

[i] A lo largo del texto aparecen citados distintos artículos del Reglamento General sobre Protección de Datos, que se puede consultar en url [a 16-07-2016]   http://eur-lex.europa.eu/legal-content/EN/TXT/?qid=1473958690793&uri=CELEX:32016R0679 

[ii] "Reform of EU data protection rules". European Comission/ Justice. url [a 16-07-2016] http://ec.europa.eu/justice/data-protection/reform/index_en.htm  

[iii] Eurobarómetro, Comisión Europea. Mar 2015. url [a 16-07-2016] http://ec.europa.eu/public_opinion/archives/ebs/ebs_431_fact_es_es.pdf 

[iv] Cade Metz, 11 Jul, 2016, "Artificial Intelligence Is Setting Up the Internet for a Huge Clash With Europe". Wired. url [a 16-07-2016] http://www.wired.com/2016/07/artificial-intelligence-setting-internet-huge-clash-europe/?mbid=nl_71116_p3 

[v] "algorithms are not merely efficient, but transparent and fair." Bryce Goodman, Seth Flaxman, 28 Jun, 2016. "EU regulations on algorithmic decision-making and a “right to explanation”". url [a 16-07-2016] http://arxiv.org/pdf/1606.08813v1.pdf 

[vi] "Algorithms can make systems smarter, but without adding a little common sense into the equation they can still produce some pretty bizarre results." Stephen F. Deangelis, 2014. "Artificial Intelligence: How Algorithms Make Systems Smart". Wired. url [a 16-07-2016] http://www.wired.com/insights/2014/09/artificial-intelligence-algorithms-2/ 

 

Black swans with a timer

Saturday, 03 September 2016 Manolo Palao Posted in iTTi Views

Like some bombs, some black swans[i] have a timer. 

The difference is that, in the case of bombs, the timer is meant to cause the explosion; while, in that of these black swans, the timer is only a predictive warning. Somehow, these timers are similar to the rings or other devices that bird-watchers and ornithologists attach to the animals for study or protection purposes. 

I am referring to the subset of black swans that the ‘Doomsday Clock’ of the Bulletin of the Atomic Scientists has been counting down to zero since 1947[ii]. 

The Bulletin’s black swans specifically are the “catastrophe from nuclear weapons, climate change, and new technologies emerging in other domains” (these latter, broadly specified[iii]). 

At the date these lines are written [January the 23th, 2015], the ‘Doomsday Clock’, that is revised[iv] every year, has been moved forward to 3 minutes to midnight (Doomsday)[v]. 

The Bulletin makes 5 recommendations. All of them related to the nuclear or climate issues, but the fifth and last: “Create institutions specifically assigned to explore and address potentially catastrophic misuses of new technologies”. 

I have a dream. I have a dream that all emerging technologies in a near future will come with labels equivalent to those mandatory for kids toys. 

Source: http://www.law.cornell.edu/cfr/text/16/1500.19#b_1

The ‘Doomsday Clock’ is not the only 2015 ominous clock. 

Next June the 30th [2015], atomic clocks will —to express it poetically— tick one more second, added to the 86.400 seconds of every normal day, in order to re-sync  —with that ‘leap second’— the year’s duration with the decreasing rotation speed of the Earth[vi]. 

Many experts consider that minute (excuse the pun) action very hazardous. When a similar ‘leap second’ was added in 2012, several major Web portals were affected; the extra second is known to interrupt GPS receivers, potentially affecting air navigation and other services; and concerns have been raised about the possibility that it might de-synchronize robotized manufacturing plants and many other systems (military, financial, etc.) that work in unison by independently polling Network Time Servers (NTSs)[vii].

At a quite different time-scale, you may recall that similar or doomier forecasts took place some 15 years ago, on occasion of the millennium turnover (arguably dated) on January 1st, 2000. Fortunately the announced catastrophic consequences of the Y2K bug did not take place and —what is even more fortunate— the previous pessimistic announcements triggered an important wave of information systems revamping. This proved that not all date-related fears will result in damages and losses.    

* * *

[i] Taleb, N. N. (2007). The Black Swan. Random House. https://en.wikipedia.org/wiki/The_Black_Swan_%28Taleb_book%29   Consultado el 20150123.  

[ii] http://thebulletin.org/three-minutes-and-counting 793801/19/2015 - 17:02. Retrieved 20150123.

[iii] In that issue of the Bulletin, the “new technologies” are: Ebola [sic], Hacking and Artificial Intelligence. 

[iv] “The decision to move (or to leave in place) the minute hand of the Doomsday Clock is made every year by the Bulletin's Science and Security Board in consultation with its Board of Sponsors, which includes 17 Nobel laureates”. Ibid. The Clock has been reset only 18 times. In 1991 it read 17 minutes. Source: Ansede, M. (JAN 22, 2015). “17 premios Nobel adelantan dos minutos el Reloj del Apocalipsis”. El País. http://elpais.com/elpais/2015/01/22/ciencia/1421953015_359918.html. Retrieved 20150123. 

[v] In 2014 the countdown was set at 5 minutes. 

[vi] http://www.iers.org/SharedDocs/News/EN/BulletinC.html  Retrieved 20150123. 

[vii] «A "leap second" needs to be added in 2015 to make sure the time on atomic clocks stays in sync with Earth's rotational time, but some Internet companies are dreading the day … The solution that the International Earth Rotation Service (IERS) came up with is to add a second every now and then to keep the standard atomic time in sync with Earth's time …The extra second has been known to interrupt GPS receivers, which could be a problem for pilots. …Reddit, LinkedIn, Gizmodo and FourSquare will likely remember the lesson they learned three years ago…». Kelly Dickerson, K. (January 09, 2015). “2015's 'Leap Second' Could Scramble Computers” LiveScience www.livescience.com/49370-leap-second-added-2015.html  Retrieved 20150123.  

 

Cisnes negros con temporizador

Saturday, 03 September 2016 Manolo Palao Posted in iTTi Views

Algunos cisnes negros[i], como algunas bombas tienen temporizador. La diferencia es que, en el caso de las bombas, el temporizador está para provocar la explosión; mientras que, en el de estos cisnes negros es sólo un aviso predictivo. Estos temporizadores, de alguna manera son como los anillos y otros dispositivos que los aficionados a los pájaros y los ornitólogos ponen a los animales, para el estudio o protección de éstos. 

Me refiero al subconjunto de cisnes negros cuya ‘cuenta atrás’ viene llevando, desde 1947,   el ‘Reloj del Apocalipsis’, del Bulletin of the Atomic Scientists[ii]. 

Los cisnes negros del Boletín son específicamente “la catástrofe debida a armas nucleares, el cambio climático, y las nuevas tecnologías que emergen en otros dominios” (estas últimas, ampliamente especificadas[iii]). 

Cuando escribo estas líneas [23 de enero de 2015], el ‘Reloj del Apocalipsis’, que se revisa[iv] anualmente, se ha avanzado a 3 minutos antes de la medianoche (Apocalipsis)[v].

El Boletín ofrece 5 recomendaciones, todas ellas relativas a los temas nuclear o climático, salvo la quinta y última: “Créense instituciones a las que se les asigne específicamente la exploración y abordaje de los usos inadecuados, potencialmente catastróficos, de las nuevas tecnologías”. 

He tenido un sueño. He soñado que, en un futuro próximo, las nuevas tecnologías vendrán con etiquetas equivalentes a las que son obligatorias para los juguetes de los niños.

---------------------------------------------------------------------------------------------------

ATENCIÓN: 

RIESGO DE ASFIXIA -- Los niños de menos de 8 años pueden ahogarse o asfixiarse con globos sin hinchar o rotos. Se requiere supervisión por adulto.

Mantener los globos sin inflar fuera del alcance de niños. Deshacerse de inmediato de globos rotos.  [vi]

---------------------------------------------------------------------------------------------------

El ‘Reloj del Apocalipsis’ no es el único reloj ominoso en 2015.

Los relojes atómicos, el próximo 30 de junio [de 2015] —por decirlo poéticamente— harán tictac un segundo más, añadido a los 86.400 de cada día normal, a fin de resincronizar, mediante ese ‘segundo «bisiesto[vii]»’, la duración del año con la velocidad decreciente de rotación de la Tierra[viii]. 

Muchos expertos consideran muy arriesgada esa mínima acción. Cuando en 2012 se añadió otro ‘segundo «bisiesto»’ similar, varios portales de la Red se vieron afectados; se sabe que ese segundo extra interrumpe los receptores GPS, afectando a la navegación aérea y otros servicios; y han surgido preocupaciones sobre la posibilidad de que pudiera desincronizar fábricas robotizadas y muchos otros sistemas (militares, financieros, etc.) que trabajan al unísono, consultando independientemente Servidores de Tiempo de la Red  (NTSs, por sus siglas en inglés)[ix].

Puede que Ud. recuerde que previsiones igual o más pesimistas —a una escala temporal muy distinta— se hicieron hace unos 15 años, con motivo del cambio de milenio, (fechado de forma discutible) el 1 de enero de 2000. Afortunadamente, las consecuencias catastróficas anunciadas del Y2K bug no sucedieron y —lo que es aún más afortunado— los anuncios pesimistas previos desencadenaron una ola de modernizaciones de los sistemas de información. 

Lo que probó que no todo miedo relacionado con fechas se ha de traducir en daños y pérdidas.    

* * *

[i] Taleb, N. N. (2007). The Black Swan. Random House. https://en.wikipedia.org/wiki/The_Black_Swan_%28Taleb_book%29  Consultado el 20150123.

[ii] http://thebulletin.org/three-minutes-and-counting 793801/19/2015 - 17:02. Consultado el 20150123.  Doomsday = Juicio Final / Apocalipsis. 

[iii] Las “nuevas tecnologías”, en esa edición del Boletín, son: Ébola [sic], Hacking e Inteligencia Artificial. 

[iv]  “La decisión de avanzar (o mantener) el minutero del Reloj del Apocalipsis la adopta anualmente la Junta de Ciencia y Seguridad del Boletín, que consulta a su Junta de Patrocinadores, que incluye 17 Premios Nobel”. Íbid. La hora del Rejoj solo se ha cambiado 18 veces. En 1991, marcaba 17 minutos. Fuente: Ansede, M. (22 ENE 2015). “17 premios Nobel adelantan dos minutos el Reloj del Apocalipsis”. El País.  http://elpais.com/elpais/2015/01/22/ciencia/1421953015_359918.html. Consultado el 20150123. 

[v] En 2014, la cuenta atrás se puso a 5 minutos. 

[vi] Fuente: http://www.law.cornell.edu/cfr/text/16/1500.19#b_1 

[vii] La palabra ‘bisiesto’ [‘leap’ (‘salto’), en inglés] se aplica en castellano a ‘años’ y ‘días’; yo la aplico aquí a ‘segundos’. “Año bisiesto, adjetivo que deriva del latín bis sextus dies ante calendas martii, (seis días antes del mes de marzo), que correspondía a un día extra intercalado entre el 23 y el 24 de febrero por Julio César”.    http://es.wikipedia.org/wiki/A%C3%B1o_bisiesto Consultado el 20150123.

[viii]  http://www.iers.org/SharedDocs/News/EN/BulletinC.html Consultado el 20150123.

[ix] “… la Tierra completa una rotación … en 86.400 segundos … del día. Pero, de tanto en tanto, esos 86.400 segundos pueden convertirse en 86.401 ... corrección que aplica el Servicio Internacional de Rotación y Sistemas de Referencia Terrestre (IERS) …  El próximo 30 de junio, se añadirá el segundo extra número 26 desde su implantación. Y el riesgo que se corre es que algunos ordenadores y programas den problemas. No sería la primera vez. En 2012 … este segundo extra se añadió al UTC. Inmediatamente, sistemas operativos como Linux, basados en Unix, comenzaron a fallar. Se produjeron retrasos de vuelos en Australia … [y] páginas Reddit o Mozilla sufrieron problemas técnicos”. 

Sucasas, A. L. (22 ENE 2015).  “Un segundo de más en 2015 amenaza Internet”. El País. http://elpais.com/elpais/2015/01/21/ciencia/1421834400_569791.html  Consultado el 20150123.

«A "leap second" needs to be added in 2015 to make sure the time on atomic clocks stays in sync with Earth's rotational time, but some Internet companies are dreading the day … The solution that the International Earth Rotation Service (IERS) came up with is to add a second every now and then to keep the standard atomic time in sync with Earth's time … The extra second has been known to interrupt GPS receivers, which could be a problem for pilots. …Reddit, LinkedIn, Gizmodo and FourSquare will likely remember the lesson they learned three years ago…». Kelly Dickerson, K. (January 09, 2015). “2015's 'Leap Second' Could Scramble Computers”   LiveScience  www.livescience.com/49370-leap-second-added-2015.html  Retrieved 20150123.  

 

Los medios de transporte ya tienen IP

Wednesday, 31 August 2016 Maria Jose de la Calle Posted in iTTi Views

Un tweet un poco aciago

Chris Roberts, el autor de este tweet, es un investigador en temas de seguridad quien, como tantos otros, identifica vulnerabilidades en los sistemas y avisa a las empresas para que las subsanen. En este caso, tan sólo envió  este tweet desde un avión en vuelo, bromeando sobre la posibilidad de envío de mensajes de alertade seguridad a la tripulación (EICAS - Engine Indicator Crew Alert System), por ejemplo, activar las mascarillas de oxígeno, todo esto a través del sistema de comunicaciones para los pasajeros[i]. 

Esto provocó que en el aeropuerto de destino lo estuviera esperando el FBI, acusándolo de haber entrado en los sistemas de comunicaciones del avión, y quitándole su ordenador y demás dispositivos. Al parecer, este no era su primer tweet acerca de la seguridad en los aviones, Chris llevaba ya varios años avisando de las vulnerabilidades en los aviones, como en este otro tweet[ii] suyo, simplemente fue una mala idea la manera en que quiso concienciar acerca del problema. 

La IP en los aviones

En dicho vuelo Chris no accedió a las red privada de vuelo, pero, según WIRED[iii], en otros anteriores sí se había conectado más de una docena de veces a puertos de la red situados debajo de su asiento, pudiendo rastrear el tráfico de la red y descubriendo, así, vulnerabilidades.

Resulta sorprendente que se pueda tener acceso físico a la red por medio de conectores colocados debajo de los asientos de los pasajeros. Esto contraviene una de las más básicas medidas de seguridad que esproteger el acceso físico a un sistema.

La seguridad física se entiende como la prevención de accesos no autorizados a recursos, por ejemplo el acceso a servidores, manteniendo estos "bajo llave" y controlando y monitorizando su acceso. Esto se incumple claramente con la mala práctica de colocar conectores a la red debajo de los asientos de los viajeros. ¡A quién se le va a ocurrir meter la mano debajo del asiento!

El tweet tuvo como consecuencia, aparte de la detención de Chris, una serie de artículos que, tomándolo como excusa, sirvieron para tratar, por una parte, el poco caso que algunas empresas hacen de los avisos que WhiteHat-hackers (hackers bienintencionados) realizan sobre vulnerabilidades en productos o sistemas, como, entre otros, el artículoiv "Hacker’s Tweet Reignites Ugly Battle Over Security Holes", publicado por Wired. 

Y por otra parte, sobre las ciber-amenazas en la aviación comercial, como "Did The Aviation Industry Fail Cybersecurity 101?"[v], en el que se destaca la necesidad del principio de la ciber-seguridad desde el diseño de los componentes, en vez de ir poniendo capas de seguridad, después de que los sistemas estén funcionando, y recuerda la seguridad física como una de las primeras medidas de la seguridad en los sistemas. 

El informe GAO

Pero, ¿qué es lo que ha cambiado para que se produzca tanto revuelo en cuanto a la ciber-seguridad en la aviación? Una buena pista la podemos encontrar en un informe[vi] que la "Government Accountability Office" de Estados Unidos publicó  una semana previa al incidente de Chris Roberts y su tweet, en el que dibujaba posibles escenarios de ciber-ataques en los aviones modernos y en el nuevo sistema de control del tráfico aéreo -ATC, Air Traffic Control- en EEUU conocido como "NextGen".

Hasta hace relativamente poco, los sistemas que componían el control del tráfico aéreo se comunicaban a través de redes dedicadas punto a punto y el avión tenía una comunicación terrestre con las torres de control, y su posición se conocía a través de radares. Además, el sistema de control de vuelo constituía un sistema aislado al que no se podía acceder desde el exterior, sistema cerrado a especialistas. 

Esta situación, como en casi todos los sectores de la industria, ha ido cambiando a sistemas integrados de información y distribución de la misma, comunicaciones digitales entre todos los elementos del sistema, los controladores y los pilotos, y tecnología de vigilancia y navegación por satélite, o GPS -Global Positioning System-. Todo ello hace que el sistema de control de tráfico aéreo tenga una serie de nuevos riesgos y aumenten las posibilidades de ciber-ataques. 

Por ejemplo, la conexión WI-FI a Internet para los pasajeros dentro del avión es una puerta entre el avión y el mundo exterior. Si la red Ethernet del avión es compartida tanto por los pasajeros como por los sistemas de navegación, y todo conectado al mismo router, tal y como se puede ver en la figura-4 del informe citado, el riesgo de accesos no autorizados a dichos sistemas es muy alto, a pesar del firewall que se pueda poner a la entrada de los sistemas de navegación. Esto sucede, por ejemplo en el Boeing 787 y en los Airbus A350 y A380. 

Un malware introducido en una página web visitada por un pasajero puede ser la puerta de entrada a un acceso no autorizado, o una conexión física en el asiento de un pasajero a la red del avión, caso ya explotado, con fines simplemente de investigación, por Chris Roberts. 

Tanto desde dentro del avión como desde fuera, por medio de la conexión a Internet del avión, se podría tomar control del vuelo, poner malware en los sistemas, tomar control de los sistemas de alerta de la tripulación, y, en general poner en peligro físico el avión como tal, al hacerse con el control de sus ordenadores.

De hecho, parece que algunos aviones están preparados para que se pueda tomar control desde tierra en caso de una emergencia, según la CNN en "GAO: Newer aircraft vulnerable to hacking"[vii], aunque esta tecnología parece que aún está lejos de ser segura. 

La digitalización del control del espacio aéreo en Europa

Esta modernización -o más bien digitalización- del sistema de control del espacio aéreo no es exclusiva de EEUU. En Europa hay en marcha otro proyecto denominado SESAR (Single European Sky ATM -Air Traffic Management- Research), cuyo plan de desarrollo está detallado en el documento "European ATM Master Plan"[viii]. 

Para cumplir con el objetivo de un sistema de gestión del tráfico aéreo en Europa sostenible y competitivo, el plan contempla un soporte a la automatización, con la implementación de tecnologías de virtualización así como el uso de sistemas interconectados, interoperables y estandarizados. La infraestructura del sistema evolucionará gradualmente hacia una tecnología digitalizada.

Todo esto supone unos riesgos tecnológicos que el documento recoge en el punto "5.5.4 Cybersecurity", exponiendo su preocupación tanto por el tema de la interconectividad como por el de la interoperabilidad.

La interconectividad y la integración entre distintos actores -aeropuertos, aerolíneas, etc.- supone una mayor superficie de ataque. Al estar todo conectado, entrando por una vulnerabilidad de un sistema, sería posible alcanzar cualquier otro punto de otro sistema conectado.

La interoperabilidad llevaría a un incremento en el uso de componentes estándar que daría lugar a una pérdida de diversidad e incrementaría la probabilidad de introducir vulnerabilidades ya conocidas en el sistema.

Por ello aconseja tratar el tema de la ciber-seguridad desde el diseño, en lugar de esperar a que los sistemas estén funcionando, reconociendo que la ciber-seguridad no es un tema estático, sino que evoluciona con la sofisticación de los atacantes y con los cambios en los sistemas que introducen nuevas vulnerabilidades. 

Otros medios de transporte

No sólo los sistemas de la aviación se han apuntado a la conectividad IP, ya conocemos la conectividad de los automóviles para proveer servicios al conductor y las noticias sobre vulnerabilidades en sus sistemas. Una de las últimas -The Hacker News[ix] la publicó el pasado 6 de junio- tiene que ver con el Mitsubishi Outlander. Según la noticia, un experto en seguridad ha encontrado una vulnerabilidad en su sistema WI-FI que permitiría acceder remotamente al vehículo y desconectar sus sistema de alarma para poder robarlo. En el mismo artículo hay enlaces a noticias como que "Hackers encuentran una manera para desconectar el sistema de airbags". Quien dice automóvil, dice autobuses o camiones de transporte. 

Los medios de transporte de personas y mercancías, y las redes que los soportan tienen un gran importancia. Por esto tienen un tratamiento especial y son considerados como "Infraestructuras críticas (IC)".

Según la UE, IC se considera "cualquier activo, sistema o parte de ello localizado en un estado miembro el cual es imprescindible para el mantenimiento de las funciones sociales, salud, seguridad en personas y cosas, economía o bienestar de las personas, cuya interrupción, alteración o destrucción tendría un impacto significativo en el estado miembro como resultado del fallo en el mantenimiento de tales funciones"[x]. 

La UE está trabajando en que las redes de transporte sean más eficientes y sostenibles. Para ello ha definido una serie de programas dentro de lo que llama "Sistemas de transporte inteligente o ITS -Intelligent transport systems-", que define como la aplicación de las tecnologías de la información y las comunicaciones al transporte, para mejorar sus niveles de servicio y eficiencia. Dentro de esto están incluidos todos los medios: transporte por carretera, tren, marítimo y, por supuesto, aéreo ya comentado.

¿Pero ganaremos en seguridad? ¿O lo que se gana por tener un control más exhaustivo de las redes de transporte se pierde por el tema de la inseguridad de los sistemas digitales y las redes de interconexión?

Conclusión

Considerando que poco a poco cada vez más cosas están conectadas a Internet y por tanto entre sí, desde los coches a los aviones y los trenes, las carreteras y las vías de los trenes, la ropa que llevaremos en un futuro o el medidor de nuestras constantes vitales, parece que va a haber muchas infraestructuras críticas, ya que un fallo de ciber-seguridad puede paralizar en muchas cosas alguna de las funciones consideradas críticas para una sociedad.

Sería importante considerar dotar a cualquier sistema que se vaya a conectar de todas las medidas de seguridad que se conozcan y sean pertinentes; y no poner trabas por perder el control sobre, por ejemplo los cifrados fuertes en las comunicaciones de los ciudadanos; o no permitir publicidad en nuestros sistemas porque pueden traer malware.

¿A quién o quienes les interesa este mundo cada vez más inseguro? ¿Por qué no se hace nada para que la tecnología nazca segura?

Debemos impedir que se haga realidad el título de un artículo de "El País" del pasado 29 de mayo: “En 2020 ya no podremos proteger nuestras redes frente a los ataques”[xi].

Más que nada es que los transportes no tripulados ya constituyen una realidad: aviones, es decir, drones; automóviles, los de Google y Tesla, por ejemplo; trenes, que según el artículo de El Mundo titulado "Europa quiere trenes 'sin conductor'"[xii], los trenes del metro de Madrid y Bilbao realmente ya funcionan sin conductor, el cual está presente sólo para tranquilidad del usuario; y barcos, como el Relationship de 1998, que según un artículo[xiii] de Der Spiegel reproducido por El País, dicho barco -un trimarán de 11 metros- estaba gobernado por un ordenador a bordo que manejaba las velas, el timón y trazaba su trayectoria, y desde un centro de control en Alemania vigilaban su ruta con cámaras de vídeo y satélite. 

* * *

Este artículo fué publicado originalmente por @PuntoSeguridad.com/"Cuadernos de Seguridad", julio-agosto,2016, nº 313, pg.80, Ciberseguridad – "Los medios de transporte ya tienen IP" – María José de la Calle.

-----------------------------------

[i] Una explicación detallada del significado de este tweet la podemos encontrar en la siguiente url [a 9-06-2016] https://news.ycombinator.com/item?id=9402667     

[ii] url [a 9-06-2016] https://twitter.com/Sidragon1/status/589050973504536576 

[iii] Kim Zetter, 21, Abr, 2015. "Feds Warn Airlines to Look Out for Passengers Hacking Jets". WIRED. url [a 9-06-2016] https://www.wired.com/2015/04/fbi-tsa-warn-airlines-tampering-onboard-wifi/ 

[iv] Kim Zetter, 21, Abr, 2015. "Hacker’s Tweet Reignites Ugly Battle Over Security Holes". WIRED. url [a 9-06-2016] https://www.wired.com/2015/04/twitter-plane-chris-roberts-security-reasearch-cold-war/ 

[v] Lane Thames, 23, Jun, 2015. "Did The Aviation Industry Fail Cybersecurity 101?". Tripwire/ The State of Security. url [a 9-06-2016] http://www.tripwire.com/state-of-security/security-data-protection/cyber-security/the-aviation-industry-did-they-fail-cybersecurity-101/ 

[vi] Gerald L. Dillingham, Ph.D., Gregory C. Wilshusen, Nabajyoti Barkakati Ph.D., Abr, 2015. "Air Traffic Control. FAA Needs a More Comprehensive Approach to Address Cybersecurity As Agency Transitions to NextGen". United States Government Accountability Office, GAO-15-370. url [a 9-06-2016] http://www.gao.gov/assets/670/669627.pdf 

[vii] Matthew Hoye and Rene Marsh, 15, Abr, 2015. "GAO: Newer aircraft vulnerable to hacking". CNN. url [a 9-06-2016] http://edition.cnn.com/2015/04/14/politics/gao-newer-aircraft-vulnerable-to-hacking/ 

[viii] "European ATM Master Plan. Executive View - Edition 2015". Luxembourg: Publications Office of the European Union, 2015. url [a 9-06-2016] http://ec.europa.eu/transport/modes/air/sesar/doc/eu-atm-master-plan-2015.pdf 

[ix] Swati Khandelwal, 6, Jun, 2016. "Mitsubishi Outlander Car's Theft Alarm Hacked through Wi-Fi". The Hacker News. url [a 9-06-2016]  http://thehackernews.com/2016/06/mitsubishi-car-hacking.html? 

[x] Directiva europea 2008/114/EC del Consejo, de 8 de diciembre de 2008, sobre la identificación y designación de infraestructuras críticas europeas y la evaluación de la necesidad de mejorar su protección. url [a 9-06-2016] http://eur-lex.europa.eu/legal-content/ES/TXT/?uri=uriserv%3Ajl0013 

[xi] Beatriz Guillén, 29, May, 2016. "En 2020 ya no podremos proteger nuestras redes frente a los ataques". El País. url [a 9-06-2016] http://tecnologia.elpais.com/tecnologia/2016/05/06/actualidad/1462550216_094378.html 

[xii] Eugenio Mallol, 26, Sept, 2015. "Europa quiere trenes 'sin conductor'". El Mundo. url [a 9-06-2016] http://www.elmundo.es/economia/2015/09/21/55ffdcc9268e3e8d088b4585.html 

[xiii] Der Spiegel , 7, Jun, 1998. "Un barco sin piloto hará escala en Canarias en su vuelta al mundo". El País. url [a 9-06- 2016] http://elpais.com/diario/1998/06/07/sociedad/897170405_850215.html 

 

Pan, Circo y Cajas Negras

Friday, 12 August 2016 Manolo Palao Posted in iTTi Views

No. Las ‘cajas negras’, en este artículo, no son el viejo Walkman, ni el iPad ni el iPhone6Plus (Fig.  1[i]); aunque me referiré a ellos más adelante. 

Las ‘cajas negras’ (CN) a que me refiero aquí son un conocido método de análisis que –si bien está documentado desde la antigüedad– sólo comenzó a ser formalizado y usado ampliamente en la primera mitad del siglo pasado, probablemente en Alemania [ii] [iii], en teoría general de sistemas y en sus aplicaciones, en física e informática, por ejemplo.

La Fig. 2[iv] muestra unos esquemas que describen brevemente el método de análisis CN. Del sistema en estudio (la ‘caja negra’ ‘A’, arriba a la izquierda) prestamos atención prioritaria a sus entradas (E) y sus salidas (S)[v].

Si queremos avanzar en el análisis de nuestro sistema, podemos ‘levantar el velo’ a nuestra CN para descubrir (‘B’) que el sistema consta de un par de subsistemas, a los que podemos seguir los flujos de E/S. Y así sucesivamente hasta llegar a un nivel de desglose –no necesariamente el mismo para todas la partes– (quizá el ‘C’) en que el comportamiento de los subsistemas y sus interrelaciones está suficientemente claro para nuestros propósitos y no merece mayor subdivisión.

El esquema de la derecha muestra la heurística del “2 – 7”, ampliamente aceptada,  para proceder al análisis progresivo. Cada vez que se ‘levanta el velo’, se procura identificar entre 2 y 7 (algunos dicen 20) subsistemas y ello por una posible razón científica de mucho peso: porque menos de dos, no tiene sentido; y ¡más de siete (o 20) son demasiados!

La expendedora de café en mi oficina es una CN que tiene una entrada (E) = monedas y una salida (S) = taza de café. Si ese nivel de conocimiento de tal sistema me basta, que es lo que me sucede cada mañana, cuando lo que necesito es sólo ‘animarme’, me planto. 

Que otro siente más curiosidad, observa –cuando el mantenedor tiene la tapa abierta– e identifica varios subsistemas o módulos componentes: un dispositivo gestor de moneda, un calentador de agua, un dosificador de café, otro de agua y otro de azúcar, etc. Si su interés se centra en el dispositivo de moneda puede ver un elemento de admisión, otro de identificación, otro de almacenaje. Y podría seguir descendiendo hasta, por ejemplo, estudiar la estructura metalográfica de uno de sus componentes de detalle.

El método es fecundo porque es progresivo y se basa en la ‘necesidad de conocer’: uno no levanta el velo de una parte hasta que lo necesita; no se distrae con lo accesorio. 

El análisis[vi] progresivo descrito desagrega, pero no es una molienda (aunque la máquina de café pueda incluirla), no es una reducción a polvo de la CN, reducción que quizá cuadraría más a métodos de adivinación del futuro –como el estudio de los posos del té (o del café)[vii], con menor base científica aún que la heurística descrita más arriba. La descomposición es progresiva y sólo cuando es necesaria.

* *

En la Roma de hace veinte siglos, el populacho era mantenido física y espiritualmente con ‘pan y circo’, como ironizó Juvenal[viii].

Tras la decadencia del Imperio Romano, en el medievo europeo, los circos, teatros y anfiteatros de muchas ciudades quedaron en ruinas o sufrieron cambios de usos, a otros con frecuencia menos festivos y espectaculares. El circo dejó de operar y de ser un ‘opio para las masas’.

Durante esos siglos, la dieta básica de los campesinos pobres y de los siervos de la gleba, en Europa, era de pan negro y cerveza[ix], de la que se consumía una media de unos 4 litros diarios per cápita[x].

Si bien esa cerveza era de menor graduación que la actual, con 4 litros diarios ya llevaban el circo puesto –si se me permite la expresión. Como ahora muchos con los móviles.

* * 

Y, con esto, vuelvo a las otras cajas negras del comienzo, los móviles y tabletas –la tecnología digital en general, la globalización y las redes–. No cabe duda de que estamos inmersos en una vertiginosa revolución, que nos ha deparado una riqueza de informaciones, conocimientos, contactos y posibilidades hasta hace poco insoñable.

Enumerar las ventajas de la ‘revolución digital’ podría llevar varios tomos. Señalo aquí brevemente sólo algunas que entiendo favorecen principalmente a los ciudadanos como tales: la ubicuidad funcional; las comunicaciones m x n, síncronas y asíncronas, con gran ancho de banda; el correo-e; el comercio-e; la administración-e; la democracia-e; la geolocalización; la redes altamente conexas; la telemedicina; las apps para múltiples servicios cotidianos; etc.  

Pero una contrapartida de esa revolución beneficiosa es que también ha generado un ruido ensordecedor –mayor que el que hubieran generado las mejores carreras de cuadrigas, ante 300.000 espectadores en el circo romano[xi].

Ruido, en sentido generalizado: correo basura; miríada de resultados, pertinentes o no, en cualquier búsqueda en Internet, con creciente esfuerzo y dificultad para separar el trigo de la paja; millones de tuits, ‘selfis’, entradas en blogs, comentarios a la prensa digital que tienen nulo interés general y escaso interés incluso para emisor, receptor o su grupo; con frecuencia mendaces o tendenciosos; a menudo zafios.  

Rumores que antes se propagaban bastante localmente –en los mentideros de las cortes y a caballo de los mensajeros de los embajadores, y ahora a los cuatro vientos –en los blogs (llamarlos ‘bitácoras’ es ignorar lo que ambas palabras significan); invasiones de la intimidad –escuchas, paparazzi; jaqueo de fotos o vídeos; difusión por canales poco seguros  de intimidades muy naturales o procaces en selfis o vídeos grabados por artistas hollywoodienses o concejalas manchegas; el impudor de las conversaciones telefónicas (que tanto costó antaño proteger jurídicamente) en los transportes y otros recintos públicos; los reality shows; la pretensión de urgencia y la comunicación en tiempo real de tantos tuits y WhatsApps … 

 [xii]

Todo ello responde a que cualquiera dispone de una tecnología potente, versátil y barata, que le permite acceder a una audiencia amplísima, mayoritariamente desconocida; y muchos, ya que tienen la herramienta, la usan pertinazmente, tengan o no tengan algo mínimamente interesante que decir. ¡El tonto del pueblo se ha hecho con un tambor! o ¡Reina por un día (minuto)!  El ansia de publicar es tal que se agota en el proceso, sin importar que la comunicación esté vacía de contenido: es sólo ruido.  El pobre McLuhan se revolvería en su tumba al ver cómo el mensaje ha quedado totalmente volatilizado por el medio.

Ya no es que cada uno llevemos puesto nuestro propio circo, es que inevitablemente llevamos el de muchos otros. 

Y, con tanto ruido y tanto circo, el árbol nos oculta el bosque, lo contrario de lo que se pretende con las CN. 

Empero, el ruido, con todo lo molesto que es, no es la peor de las muchas contrapartidas. La peor de éstas, quizás, es que –seducidos como estamos por las tecnologías y su acelerada innovación– las hemos canjeado, enajenando  el recto juicio  -el análisis selectivo y suficiente, como se haría con las CN u otros procedimientos, y muchas libertades. 

En el mundo digital, cada acción tiene -como en el mundo físico newtoniano, aunque de forma distinta, su reacción (o consecuencia).

Cada selfi, cada tuit, cada entrada en un blog supone un doble abono que hacemos a las telcos, portales, redes o servicios. 

Uno primero, dinerario, inmediato, de poco importe unitario. 

Otro, intangible (para nosotros, no para ellos, dado que en eso se basa la parte más importante de su valor bursátil) de incremento de los millones de datos (big data) útiles para ser transformados en información –datos con sentido– y en perfiles personales (o grupales), mediante análisis estadístico (la estadística como reductor de la complejidad de los datos) y mediante minería de datos  (el hallazgo de nuggets –pepitas de oro–: información tan diluida en los datos que la estadística convencional no capta).

Y esa copiosa información grupal y personal sirve para establecer las estrategias, las tarifas, los eslóganes y la dinámica de los servicios que se nos ofrecen, del espectáculo que se nos ofrece. De modo que en ese gran circo, el ‘impresario’ es las telcos, portales, redes o servicios y nosotros sólo somos los clones (payasos).

De ‘pan y circo’ a ‘soma y circo virtual’, en veinte siglos. 

* * 

¿Cómo desarrollar y mantener las ventajas de la eclosión de nuevas tecnologías y mitigar sus efectos negativos?

En primer lugar, reconociendo que el problema es más amplio que el circunscrito a las nuevas tecnologías. Es un problema social tan antiguo como la Humanidad. El mito atribuye a Caín un mal uso de la herramienta ‘quijada de burro’[xiii] y a Sansón (que era de los elegidos) un uso adecuado de la misma[xiv]. 

El mal uso de las tecnologías es inevitable. Contenerlo y limitar sus efectos negativos es cuestión de ética, educación, legislación, reglamentación, cumplimiento de éstas y sanción por el incumplimiento.

Todo ello empieza (o se reinicia) por una toma de conciencia y difusión.  

* * *

(Artículo escrito por Manolo Palao en diciembre de 2014)

-------------------------------------------

[i] Fuentes de las fotografías: http://commons.wikimedia.org/wiki/File:Sony-wm-fx421-walkman.jpg 

http://commons.wikimedia.org/wiki/File:Sony-wm-fx421-walkman.jpg#filelinks : Dominio Público; y 

http://en.wikipedia.org/wiki/IPhone_6#History, Creative Commons Attribution-ShareAlike 3.0 License. No changes made.

[ii] http://en.wikipedia.org/wiki/Black_box     

[iii] “The black box is an abstraction representing a class of concrete open systems which can be viewed solely in terms of its "stimuli inputs" and "output reactions". «The constitution and structure of the box are altogether irrelevant to approach under consideration, which is purely external or phenomenological. In other words, only the behavior of the system will be accounted for».”   Mario Bunge (1963), "A general black-box theory". Philosophy of Science. Vol. 30. No. 4, pp. 346-358. jstor/186066.   http://en.wikipedia.org/wiki/Black_box    

[iv] Fuente: P&TS, SLU. (2000). Seminario de Consultoría. Circulación restringida. Publicado con autorización. 

[v] Según la disciplina desde la que se realiza el estudio, a las E/S se les denomina así, o insumos/productos, variables independientes/dependientes, función/transformada, estímulo/respuesta, y de otras muchas formas equivalentes. También a la propia CN se la denomina –según la disciplina– proceso, operador, función, aplicación, homomorfismo, transformación, etc. 

[vi] Desatar, desagregar, desmenuzar, pormenorizar –según su etimología griega.    http://etimologias.dechile.net/?ana.lisis    http://es.thefreedictionary.com/an%C3%A1lisis  

[vii] Taseomancia, Teomancia o Taseografía, entre otras denominaciones https://www.google.es/search?newwindow=1&client=firefox-a&hs=HHQ&rls=org.mozilla%3Aes-ES%3Aofficial&channel=nts&q=%22posos+del+t%C3%A9%22+lectura&oq=%22posos+del+t%C3%A9%22+lectura&gs_l=serp.3..0i22i30.103188.115705.0.117285.10.10.0.0.0.0.154.761.7j2.9.0.cprnk%2Cekomodo%3Dtrue...0...1.1.58.serp..1.9.754.XhMuCDBvxWY   

[viii] “Panem et circenses”. http://es.wikipedia.org/wiki/D%C3%A9cimo_Junio_Juvenal  

[ix] “Brown bread and ale”. http://www.historylearningsite.co.uk/food_and_drink_in_medieval_engla.htm 

[x] “The European medieval diet was largely determined by social class. For the majority of the of the people, peasants, a large portion of their daily diet was made up of grains … ground into flour and made into bread, or malted and brewed into ale. Estimates from the late Middle Ages indicated that a gallon of ale a day was not unusual, but the actual alcohol in the drink was low”. http://people.eku.edu/resorc/Medieval_peasant_diet.htm 

[xi] Según la descripción, supongo que exagerada, en http://www.portalplanetasedna.com.ar/roma15.htm  

[xii] Fuente: http://en.wikipedia.org/wiki/Circus#mediaviewer/File:Barnum_%26_Bailey_clowns_and_geese2.jpg. Public Domain. 

[xiii] Pese a que la Biblia no especifica el instrumento.  Génesis, 4:8. http://www.vicariadepastoral.org.mx/sagrada_escritura/biblia/antiguo_testamento/01_genesis_01.htm 

[xiv] “Luego Sansón encontró la quijada de un burro recién matado. La levantó, y la usó para matar a mil filisteos”. Jueces, 15. https://www.biblegateway.com/passage/?search=Jueces+15&version=NTV  

 

Bots for business

Thursday, 28 July 2016 Maria Jose de la Calle Posted in iTTi Views

I - Los robots invisibles

El DRAE nos ofrece para la palabra "robot" dos acepciones: la primera, "Máquina o ingenio electrónico programable, capaz de manipular objetos y realizar operaciones antes reservadas sólo a las personas", en especial las pesadas, repetitivas o peligrosas. Este primer significado implica una existencia física y visible, que en la literatura de ciencia-ficción toma la forma de un androide cuando está dotado de unas ciertas habilidades humanas, como la conversación, desplazarse por el mismo entorno que lo hacemos los humanos o manipular objetos. 

La segunda, "Programa que explora automáticamente la red para encontrar información". Este artículo -y el siguiente de esta breve serie- se centrarán en esta segunda acepción, a la que -en la jerga técnica- se le ha acortado el nombre y se conoce como bot. En contraposición a la primera acepción, estos bots tienen una existencia prácticamente invisible, al ser una pieza de software residente en un dispositivo, que está en nuestras vidas cotidianas sin que apenas nos percatemos de ello. Tenemos a los robots entre nosotros, pero de una forma diferente a lo que nos cuenta la ciencia-ficción. 

Yendo a otras fuentes más tecnológicas que el DRAE, como Techtarget, un bot es un programa que se ejecuta sin actuación directa de una persona, y realiza acciones repetitivas bajo un plan, es decir, que actúa como un agente para una persona u otro programa, pudiendo simular alguna actividad humana. 

Según la función para la que se hayan creado, toman unos u otros nombres especializados.

En Internet hay unos bots que están por todas partes y que acceden a sitios Web visitados por usuarios, recogiendo información según criterios generales, en orden a crear entradas que serán utilizadas por motores de búsqueda. Se los conoce como spiders, si realizan un acceso en paralelo a varios sitios a la vez, o crawlers, si acceden uno a uno siguiendo los link de cada página. La información que recogen no tiene un fin determinado. Según el motor de búsqueda que los utilice puede servir, por ejemplo, para que empresas puedan ofrecernos productos o servicios que se supone nos pueden interesar en ese momento, deducido de las páginas visitadas, o para obtener estadísticas de visitas y cobrar más o menos por los anuncios insertados en dichas páginas.

Un bot cuya función es recopilar información para un usuario visitando de forma automática sitios de Internet y recogiendo aquella información que reúna ciertos criterios específicos fijados por dicho usuario, es conocido como knowbot. Un ejemplo serían los newsbots, aquellos que nos presentan un resumen de noticias o links a ellas, seleccionadas de sitios Web según criterios fijados previamente por nosotros como de nuestro interés. 

Un shopbot es un programa que "va de compras" por la Web en nuestro lugar y localiza el mejor precio de un producto que estemos buscando.

La evolución de los bots va pareja a la evolución general de la ciencia y la tecnología, es decir, a dotarlos de inteligencia gracias a la inteligencia artificial. Un ejemplo son los chatbot -chatterbot, en sus orígenes-, programas que simulan conversar como un ser humano, o lo que es lo mismo, que en mayor o menor medida, entienden el lenguaje natural. Los orígenes de este tipo de bots se remontan a los años 60 con Eliza[i], desarrollado en el MIT entre 1964 y 1966 por Joseph Weizenbaum, que simulaba ser un psicoanalista. Han evolucionado a poderles solicitar con lenguaje natural realizar ciertas actividades como marcar un nº de teléfono para iniciar una llamada, descolgar el teléfono, buscar una frase en la web, traducir una frase a otro idioma, y un largo etc. Claro que cometen muchos errores aún, pero nos estamos acostumbrando sobre todo con los smartphone, a solicitarles algo hablando en lenguaje natural, y no pulsando un icono o tecleando algo que una app preparada al efecto nos solicite. 

Las posibilidades son infinitas, sujetas únicamente a la imaginación. Por ello han surgido una gran cantidad de bots especialmente dirigidos al mundo empresarial para facilitar, por una parte la comunicación interna de la empresa, como los llamados "asistentes virtuales" y por otra, la comunicación externa, principalmente con sus clientes, tanto actuales como futuros, con, por ejemplo plataformas de servicio al cliente que responden preguntas básicas y aconsejan al cliente.

Los bots son herramientas que, según vayan mejorando, contribuirán a la digitalización de la empresa. 

* *

II - Los chatbots

Los chatbots son piezas de software que tratan de simular la conversación de un ser humano. A pesar del tiempo que ha pasado -años 60 con Eliza- desde los primeros intentos de que la comunicación entre una máquina y un ser humano fuera en lenguaje natural, lo cierto es que aún no se ha conseguido suficientemente bien.

Por ejemplo, Tay, el chatbot que Microsoft puso en Twitter el pasado mes de marzo para conversar fundamentalmente con jóvenes, tuvo que retirarlo a las pocas horas porque elaboraba mensajes de contenido ofensivo, siendo incapaz de tratar con bromas, insultos, etc.[ii].

Los ordenadores toman las palabras de forma literal, y sin embargo el lenguaje es muy ambiguo. Por esto, sólo se ha conseguido algún éxito dentro de contextos y con frases sencillas y preparadas, como Siri -Apple- o Cortana -Microsoft-, lanzados hace ya algunos años, y que obedecen a peticiones sencillas de búsqueda o a conexiones telefónicas con algún nombre del que disponga en su agenda, o Alexa, de Amazon, que responde a preguntas, ejecuta apps de música, o controla luces, termostatos, etc., con la voz.

Esto es lo que se ha llamado un asistente personal virtual, que, con los nuevos algoritmos de la Inteligencia Artificial (IA) y el BigData, están evolucionando, por una parte, para comprender mejor el lenguaje natural, y por otra, para aprender a medida que se utiliza, como Allo, de Google, aplicación de mensajería para el móvil; o M, de Facebook, que se integrará en Messenger

Muchas empresas se han lanzado a la investigación y desarrollo de estas herramientas basadas en la aplicación de IA a la comprensión y aprendizaje de las máquinas del lenguaje natural, algunas empujadas por las grandes que abren sus plataformas a desarrolladores externos. Veamos algunos ejemplos.

Facebook quiere que se chatee con bots de empresas[iii], al igual que se hace con familiares y amigos, a través de su app Messenger. A principios de abril, en la conferencia "F8" para desarrolladores, Facebook anunció que abría a los desarrolladores esta app, para que crearan chatbots como un canal de comunicación entre empresas y consumidores, de forma análoga a como charlamos con los amigos. 

Esto representa una ventaja para los consumidores, ya que, como Mark Zuckerberg dijo en dicha conferencia, "nadie quiere tener que instalar una nueva app para cada empresa o servicio con el que quiera interactuar"[iv]; también para las empresas, ya que hay más de 900 millones de personas que ya utilizan Messenger[v], constituyendo así una gran plataforma en la que ofrecer contenidos, productos y servicios, y un nuevo canal; y para ambos, su ubicuidad, realizable en cualquier sitio donde haya comunicación a Internet.

Google dispone de varias herramientas de base para dicho propósito, como SyntaxNext[vi], que puede aprender a entender el significado de palabras y frases dado su contexto, o TensorFlow[vii], framework de deep-learning, liberadas ambas para que desarrolladores de todo el mundo construyan apps y servicios con interfaz basada en lenguaje natural. 

El último producto hasta ahora hecho público, y muy relevante, es Viv, creado por el mismo equipo de Siri -que no está ya en Apple- y que el pasado 9 de mayo lo presentó[viii] uno de sus creadores, Dag Kittlaus. En la demostración Dag solicitó al asistente la reserva de una habitación, que llamara a un coche de Uber, preguntó "si la temperatura de pasado mañana a las 5 de la tarde estaría por encima de los 30º", entre otras cosas. Al parecer, Viv es capaz de seguir una conversación sin cambiar de tema o responder con evasivas.

Viv genera sus propio código "sobre la marcha"[ix], es decir, en el momento en que se está interaccionando con él, analiza sintácticamente las frases y genera inmediatamente un programa para establecer links a las páginas de Internet necesarias, de donde recoger la información, para responder a casi cualquier pregunta o realizar casi cualquier función, como información del tiempo, información del tráfico, etc. o hacer un pedido, si así se le ha requerido, como un billete de avión, o poner la calefacción en casa. Además, como sistema basado en IA, aprende de cada interacción con el mundo.

Los creadores de Viv aspiran a que esta plataforma se integre en todo tipo de dispositivos y cosas en general, y servicios, y sea la forma más sencilla de interactuar con ellos en cualquier sitio. Ya no se necesitará una interfaz para comunicarse con una máquina. 

"... you’ll access its artificial intelligence as a utility, the way you draw on electricity. Simply by speaking, you will connect to what they are calling "a global brain.”" Viv's founders - Wired, ago/2014[x]

* * * 

Este artículo fué publicado originalmente por ComunicacionesHoy en dos partes, en dos de sus números de forma consecutiva: la primera parte, "Los robots invisibles", en el nº 153, 2-06-2016. Referencia: Opinión/Bots, pg.22 – "Bots for business. I (de II): Los robots invisibles"; la segunda parte, "Los chatbots", en el nº 154, 4-07-2016. Referencia: Customer Experience / Opinión, pg. 11 - "Bots for business. II (de II): Los chatbots". María José de la Calle.

---------------------------------

[i] Weinzembaun, J. (1966). "Computational Linguistics". Communications of ACM, Volumen 9 (nº 1). Recuperado de [a 16-05-2016] http://web.stanford.edu/class/linguist238/p36-weizenabaum.pdf 

[ii]  Jiménez Cano, R. (25 de marzo de 2016). "Microsoft retira un robot que hizo comentarios racistas en Twitter". El País. Recuperado de [a 15-06-2016] http://tecnologia.elpais.com/tecnologia/2016/03/24/actualidad/1458855274_096966.html?rel=mas 

[iii] Simonite, Tom (12 de abril de 2016). "Facebook Wants You to Chat with Business Bots". MIT Technology Review. Recuperado de [a 15-06- 2016] https://www.technologyreview.com/s/601251/facebook-wants-you-to-chat-with-business-bots/#/set/id/601265/ 

[iv] "No one wants to have to install a new app for every business or service they want to interact with,". Holak, B. (15 de abril de 2016). "Facebook's chatbots pave way for centralized mobile platform". TechTarget.SearchCIO. Recuperado de [a 15-06-2016] http://searchcio.techtarget.com/news/450281451/Facebooks-chatbots-pave-way-for-centralized-mobile-platform

[v] Smith, C. (3 de junio de 2016). "By the numbers: 25 amazing Facebook Messenger statistics". DMR. Recuperado de [a 15-06-2016] http://expandedramblings.com/index.php/facebook-messenger-statistics/ 

[vi] Petrov, S. (12 de mayo de 2016). "Announcing SyntaxNet: The World’s Most Accurate Parser Goes Open Source". Google Research Blog. Recuperado de [28-07-2016] https://research.googleblog.com/2016/05/announcing-syntaxnet-worlds-most.html 

[vii] Dean, J. (9 de noviembre de 2015). "TensorFlow - Google’s latest machine learning system, open sourced for everyone". Google Research Blog. Recuperado de [28-07-2016] https://research.googleblog.com/2015/11/tensorflow-googles-latest-machine_9.html 

[viii] Ver la presentación en: Duarte, E. (10 de mayo de 2016. "Así es 'Viv', el nuevo asistente personal de los mismos creadores de Siri". Applesfera. Recuperado de [a 15-06-2016]  http://www.applesfera.com/aplicaciones-ios-1/asi-es-viv-el-nuevo-%20asistente-personal-de-los-mismos-creadores-de-siri  

[ix] "[O]n the fly" en el original. Levy, S. (12 de agosto de 2014). "Siri’s Inventors Are Building a Radical New AI That Does Anything You Ask". Wired. Recuperado de [a 15-06-2016] http://www.wired.com/2014/08/viv/  

[x] "... tendrás acceso a su (de Viv) inteligencia artificial como servicio público, de la misma manera que haces uso de la electricidad. Simplemente hablando te conectarás a lo que ellos (los creadores de Viv) llaman "un cerebro global"". Steven Levy, (nota ix). 

 

Seguridad digital 2025

Monday, 25 July 2016 Miguel Garcia-Menendez Posted in IT Consequences

El reto

¿Cómo será la seguridad ligada al [mal] uso de los ordenadores dentro de diez años?“. ¡Guau! Sin duda, todo un reto, que la amplitud y profundidad del asunto  -por cuanto en él cabe-  hacen, aún, más complejo. Y eso por no hablar de la suerte que, para entonces, habrá corrido el sustantivo “ordenador”  -“computadora” en otras geografías hermanas-  dada la velocidad con la que todo tipo de “cosas” computadorizadas se están incorporando a la actividad diaria de organizaciones e individuos, lo que provoca que el sentido tradicional del referido vocablo se desdibuje a cada minuto que pasa. Pero esa, afortunadamente, es otra historia.

El entrecomillado con el que se inicia el párrafo anterior reproduce el “sencillo” encargo recibido desde la Dirección de “Novática” para la redacción de este artículo. Elucubrar sobre los acontecimientos que sucedan más allá del presente no parece que haya sido nunca una ciencia exacta y, por tanto, cualquier afirmación hecha a futuro podrá ser puesta en entredicho cuando dicho futuro se alcance. 

Novática” ya tuvo este mismo atrevimiento hace quince años. Entonces, cuando la revista cumplía su vigesimoquinto año de vida acercando la realidad informática a todos los miembros de la familia ATI, reunió a un grupo de profesionales a los que encomendó la tarea de esbozar un escenario localizado veinticinco años más adelante en el tiempo: en 2025. Ahora, recientemente, ha vuelto a hacerlo con motivo del cuadragésimo aniversario de la revista, que se acaba de celebrar. 

Como le decía, el presente artículo hereda ese mismo mandato y ese mismo espíritu, en un reto que se antoja -al menos, aparentemente- menor, si se considera que la solicitud requerirá aventurarse “sólo” diez años en el futuro. De nuevo, para situarse en 2025. 

En cualquier caso, estamos a sólo una década de comprobar las capacidades predictivas de unos y otros autores, incluido un servidor. 

Seguridad, ¿qué seguridad?

Puede parecer absurdo, pero la primera duda que surge a la hora de comenzar a jugar a predecir el futuro tiene que ver con una cuestión relacionada con el lenguaje: ¿qué denominación adoptar? Los puristas defenderán con uñas y dientes los matices que diferencian los diversos calificativos que, a lo largo del tiempo, han ido recibiendo las actividades, las técnicas, etc., relacionadas con la mitigación de los peligros asociados al uso (incluido, especialmente, el mal uso) de los ordenadores por parte de organizaciones e individuos: seguridad informática, seguridad de la información, ciberseguridad, etc.

La firma de análisis de mercado Gartner ha aportado, recientemente, su granito de arena a este debate y, bajo su programa “Smarter with Gartner” (Más Inteligente con Gartner), ha abogado por un universo de múltiples “seguridades”: la física; la de las Tecnologías de Operación (TO), propias de los entornos industriales; la de las Tecnologías de la Información (TI), propias de los entornos corporativos; la de la información (a secas); la de la Internet de las Cosas (IoT, del inglés “Internet of Things”); o, simplemente, la de naturaleza cibernética. Según la consultora estadounidense, todas ellas quedan, hoy, amparadas bajo el paraguas general que conforma la seguridad digital[i]. 

Esa creciente toponimia de la seguridad hace difícil adivinar cuál será el término al uso dentro de una década. Pocos se opondrán, hoy, a identificar “cyber” (ciber) como el prefijo del momento; razón por la que se ha descartado para la cabecera de este artículo. Propuestas anteriores -el caso de “InfoSec” (InfoSeg), por ejemplo, puede servir de paradigma- han tenido también su momento de gloria que, sin embargo, parece haber pasado. Eso es lo que hace pensar que “ciber” ya no será el término de moda en 2025. Más al contrario, va camino de “quemarse” mucho antes, si no está chamuscado ya en este momento, como también comienzan a señalar otras voces[ii]. No obstante, piensen los nostálgicos  -mal de muchos, …-  que no es el único término en peligro; otros, como, “governance” (gobernanza/gobierno) o el propio “digital”, elegido, finalmente, para el título de este artículo, están amenazados del mismo uso y abuso. (El caso de “ordenador” ha quedado, ya, explicado). 

En cuanto a “digital”, si bien ocupa también, como acaba de señalarse, las portadas de todo cuanto se publica en estos días en materia tecnológica, parece que aplicado a la seguridad ha disfrutado hasta ahora sólo de un corto recorrido, lo que podría darle, aún, posibilidades de desarrollo futuro. Por eso ha sido el término elegido en esta ocasión. 

Incluso la Organización para la Cooperación y el Desarrollo Económico (OCDE) ha optado por hablar de riesgos para la “seguridad digital” en su reciente revisión[iii] de la “Recomendación del Consejo relativa a las Directrices de la OCDE para la seguridad de los sistemas y las redes de información: Hacia una cultura de la seguridad”, publicada originalmente en 2002. Reconforta saberlo, por cuanto ello parece avalar la primera apuesta futurista que se desliza en este artículo.

Pero, realmente, ¿seguridad o resiliencia?

La seguridad, con todas sus tradicionales -milenarias- connotaciones, es un término demasiado asentado como para que uno pueda temer por su desaparición (a diferencia de lo que, presumiblemente, ocurrirá, más pronto que tarde, con los ejemplos anteriormente mencionados). Pero, por encima del debate léxico, lo verdaderamente relevante es que, cada vez más, nos adentramos en una época de total desconfianza. Estamos ante un panorama desalentador en el que ya se oyen algunas voces que comienzan a plantear hasta qué punto merece la pena sumirse en la transformación digital, dadas las penalidades cibernéticas que las organizaciones sufren día tras día[iv]. 

Casos como el del fabricante de juguetes Vtech[v] que el pasado noviembre sufrió un acceso no autorizado a su tienda virtual de aplicaciones, comprometiendo datos personales, tanto de niños (nombres, fechas de nacimiento, sexo), como de sus padres (nombres, direcciones electrónicas y postales, contraseñas, etc.); o el más reciente descubrimiento de debilidades en productos de su competidor Fisher-Price[vi], susceptibles de causar similares consecuencias, son una muestra de hasta dónde [los malos] están dispuestos a llegar y de nuestra propia fragilidad, contribuyendo al consenso generalizado sobre el hecho de que nadie está libre, ya, de semejante lacra. 

Abusando del tópico, lo cual no lo hace menos cierto, la conclusión pasa por reconocer, una vez más, que la seguridad plena resulta inalcanzable. Y por pensar que, dado que la seguridad nunca será resuelta, a cambio, habrá de ser administrada. Esto se traduce en un cambio de paradigma en el que se está abandonando un enfoque para la seguridad basado en ‘la prevención y la protección’, para abrazar otro nuevo, fruto de una cierta resignación, que se apoya en ‘la detección y la corrección’ (incluidas la respuesta y la recuperación). ¡Un obligado cambio de modelo que se acentuará en los próximos años! 

Toma sentido, de este modo, el objetivo básico por el que ha de moverse toda empresa: perdurar en el tiempo  -priorizar cualquier otra meta resultaría absurdo a partir del incumplimiento de esa condición básica-. Y, en el escenario descrito, la seguridad se antoja insuficiente como garantía de esa perdurabilidad. En su lugar, el nuevo fetiche se denomina resiliencia[vii]. 

Apuestas arriesgadas

No todas lo serán y, probablemente, no todas lo serán tanto; pero traspasado el umbral de los primeros atrevimientos  -pronosticar la desaparición del prefijo “ciber”, el efecto “freno” de la inseguridad sobre la actual corriente digitalizadora o el cambio de paradigma desde “seguridad” hacia “resiliencia” (que no resulta nuevo, en todo caso)-  llega el momento de cumplir verdaderamente el encargo y enumerar algunas otras tendencias -que lo son hoy y, previsiblemente, lo serán en 2025-. 

Desafíos globales

En primer lugar, y a fin de contextualizar los grandes retos que le esperan a nuestro planeta en la próxima década, cabe mencionar al Foro Económico Mundial que en su último informe sobre riesgos globales[viii] destaca la escasez de recursos esenciales -particularmente, agua y otros alimentos-, las consecuencias del cambio climático y otros eventos meteorológicos extremos, y la inestabilidad social, entre los riesgos más preocupantes. Paralelamente, la firma McKinsey apunta, también, a factores demográficos al identificar algunas de las fuerzas globales que estarían redibujando el sistema operativo de la economía mundial[ix]: la creciente urbanización (con la consiguiente migración desde las zonas rurales a las ciudades, especialmente, en determinados países emergentes) y el envejecimiento de la población. McKinsey no olvida, sin embargo, la digitalización y la globalización favorecida por esa misma digitalización y por el desarrollo de las redes de telecomunicaciones, al enumerar las fuerzas motrices del nuevo contexto económico mundial. 

Si bien no se trata, a priori, salvo en los últimos casos, de retos directamente relacionados con ‘lo digital’, sí pueden ser motivo todos ellos de algunas otras amenazas claramente ligadas a lo tecnológico. Amenazas que vemos hoy y seguiremos viendo en los próximos años: guerras (del agua u otras, incluido el terrorismo), con su traslación al ciberespacio; aumento de la brecha digital entre colectivos de población por razón de su origen geográfico, o edad, que pueden suponer pérdida de oportunidades (incluido el empleo) para el desarrollo personal y profesional; ‘hacktivismo’ reivindicativo de carácter político o social; ciberdependencia y la consiguiente ciberdebilidad/ciberexposición (entre otras, al aumento del desempleo, de nuevo) de las sociedades más tecnificadas; etc. 

Ciberestrategias

El carácter global de gran parte de las problemáticas expuestas hasta aquí justifica, en una importante medida, la mayor preocupación que hoy existe entre los estados -frente al caso de las empresas-  por lo que podría denominarse “la problemática ‘cíber’”. Hoy, uno de cada cuatro estados dispone, o está en vías de hacerlo, de una ciberestrategia[x]. Es de esperar que para 2025 sean alguno más. 

Por el contrario, diríase sin temor a errar que el número de empresas que estarían en disposición de declarar que disponen de una estrategia tal dista mucho del 25% del censo total mundial. Por tanto, será deseable, también, que esta cifra crezca a lo largo de la década que comienza.

Asimismo, confiemos en ver algún otro país abanderando una estrategia internacional de ciberseguridad (además de los EEUU[xi]). No parece muy coherente seguir planteando estrategias nacionales en un espacio sin fronteras como es, de momento, el ciberespacio. (Por cierto, como no lo parece promover mercados únicos digitales circunscritos a un continente). 

Derecho a la intimidad

Sin abandonar el ámbito gubernamental, otro importante debate que heredará la nueva década será el de la dicotomía “seguridad - intimidad”. (Lamentablemente el auge del ya citado terrorismo -“cíber” y del otro-  contribuirá en muy poca medida a dilucidarlo).

Algún ciudadano de a pie  -realmente, lo he escuchado de una ciudadana-,  ya aboga por demandar algo así como un servicio de ‘ciberburbuja’, una especie de cápsula virtual en la que cobijar sus comunicaciones electrónicas con terceros, sus incursiones en las redes sociales, etc., de forma que tuviese garantía plena de que sólo sus allegados participasen de sus intercambios de información, en lugar de dejarlas tan expuestas, a la vista  -y a la memoria-  de casi cualquiera, como parece que están en la actualidad. Una especie de vuelta al recogimiento, tras un período de exhibicionismo desmedido.

Sin duda, una excelente propuesta  -la de las “ciberburbujas”-,  a desarrollar en esta década post-Snowden que vivimos; pero que habrá de ir acompañada, en los años por venir, de unas mayores cotas de sensibilización por parte de los propios usuarios-ciudadanos.

Y, hablando de Edward Snowden, tal vez, veamos el desenlace  -una década da para mucho-  de la aventura iniciada por el técnico estadounidense en el verano de 2013, con la polémica revelación de las, no menos polémicas, prácticas de la Administración de su país, en materia de cibervigilancia indiscriminada.

Consejos de administración

Retomando, de nuevo, el hilo de las empresas, se hace oportuno reparar en la situación de los consejos de administración y su actitud frente a la ciberseguridad.

Una valoración muy optimista de la situación vivida hasta ahora permitiría afirmar que ‘lo cíber’  -y, por extensión, ‘lo digital’-  no ha sido un tema que interesara, en demasía, a los señores consejeros. En ello pueden haber influido los antecedentes, particularmente los académicos, de estos individuos; y su edad, la cual dibuja, a su vez, un perfil académico determinado: juristas y economistas componen, mayoritariamente, el censo de consejeros actual, lo que podría contribuir a alejarlos de la responsabilidad que hoy les toca asumir en plena era digital.

En 2025 la Biología estará haciendo su trabajo y habrá comenzado a colocar en los consejos a unos nuevos sesentones -la firma Spencer Stuart sitúa la edad media del consejero español en los sesenta años[xii]-.  La diferencia con sus actuales colegas será que, para entonces, aquellos habrán desarrollado toda o gran parte de su carrera tras el debut de la Internet comercial (1995), lo que supondrá un mínimo de treinta años interactuando con el medio digital. Como consecuencia, la confianza en el efecto del salto generacional lleva a imaginar unas futuras agendas corporativas distintas a las que manejan hoy la mayoría de consejeros. 

Mientras se produce ese salto, otros parecen ser los incentivos que contribuirán a acercar el mensaje ‘cíber’ a los consejos de administración: haber sufrido en carne propia  -o en las proximidades-  algún incidente digital; el mandado de los organismos reguladores; la opinión de las agencias de calificación y las pólizas cibernéticas (presumiblemente, también, para los ciudadanos, en cuyo caso vendrán asociadas al seguro del hogar o a la factura del sistema de alarma que nos remita nuestra compañía de seguridad).

Digitalización no, “software-ización” 

Todo apunta, y todo el mundo parece defender -en este texto se ha hecho más arriba-, que estamos asistiendo a un proceso general de digitalización. Un proceso en el que los elementos E-I-T (Electrónica-Informática-Telemática) están provocando un cambio de modelo en la forma en que personas, empresas y administraciones se están comportando, relacionando y operando, individualmente y entre ellas. Sin embargo, un análisis más reposado del fenómeno permite identificar un denominador común en todo el proceso, y en la electrónica, la informática y la telemática, en particular: el software

Es de esperar que en la década que comenzamos haya nuevos avances en la forma de escribir software  -no sólo en el “cómo”, sino también en el “quién”; un “quién” hasta ahora reservado, mayoritariamente, para programadores humanos-. Es de esperar, asimismo, que ese mismo software, que cada vez más lo permea todo, siga ocupando el segundo puesto entre los eslabones más débiles de la seguridad, sólo por detrás del que ocupan los individuos que lo crean y, sobre todo, que lo usan.

Las flaquezas (vulnerabilidades) que presentan, de forma inherente, los sistemas cibernéticos lo son en gran medida por las flaquezas (vulnerabilidades) de su software. Nada, salvo el optimismo, apunta a que los esfuerzos en mejorar la calidad del software den mejores frutos que los recogidos hasta la fecha; más, si cabe, en un contexto en el que la frenética necesidad de contribuir a aumentar ese volumen de software  -“software-izar”-  en busca de nuevas funcionalidades amenaza con dejar de lado otros atributos de la calidad, como la seguridad.

Ciberincidentes

Los futuros incidentes digitales, como los de hoy, van a seguir estando provocados por atacantes o saboteadores (externos e/o internos), crecientes en número y capacidades (ejércitos de un solo hombre, delincuencia organizada, estados); errores y negligencias de los usuarios; y fallos de los propios sistemas (de nuevo, mala calidad, unida a configuraciones incorrectas u obsolescencia, entre otros factores). 

Dada esa variada casuística, que probablemente se mantendrá dentro de diez años, es evidente que no todos los incidentes merecen, ni van a merecer, el calificativo de “ciberataque”. Lo verdaderamente arriesgado aquí es apostar por la proporción, que deparará el futuro, de un tipo de incidente frente a otros. Hoy, dos de cada tres ciberincidentes están provocados por alguna causa o causante interno, tal y como declaraba hace unos meses el responsable de ciberseguridad de una conocida multinacional española del sector energético. De la misma manera, dos de cada tres ciberincidentes no son fruto de un ataque. La masiva eclosión de software que se avecina, aludida anteriormente, hace pensar que los fallos y los errores  -por este orden-  serán los reyes de la fiesta de los incidentes en el futuro. 

Nuevos ciberespacios y viejas consecuencias

Ese ámbito artificial creado por medios informáticos que William Gibson bautizó en 1981 con el nombre de “ciberespacio”, está dejando paso, hoy, a un nuevo paisaje en el que aquél comienza a perder parte de su naturaleza etérea para confundirse con el paisaje de lo real: es el “espacio ciber-físico”, un lugar en el que las actuaciones llevadas a cabo en el ámbito de lo virtual tienen consecuencias directas sobre el mundo real.

Los catalizadores que hoy conocemos para impulsar el crecimiento del nuevo espacio ciber-físico, guardan una estrecha relación con lo que se ha dado en llamar “Internet de las Cosas”, paradigma en el que prima la conectividad entre máquinas, realizada con un cierto  -elevado-  grado de autonomía. Es, por tanto, el espacio, entre otros, de los vehículos autónomos de todo tipo (terrestres, aéreos y marinos); el de los robots, industriales o militares; y, en suma, el de formas de inteligencia artificial existentes y venideras. 

Sin embargo, si en algún contexto se materializa, de forma clara, en la actualidad, el espacio ciber-físico es en el ámbito de los sistemas de control industrial (aquellos sistemas de información empleados en el control y la supervisión de procesos [físicos] productivos, propios, a priori, de los entornos fabriles). ¡Aunque dichos sistemas están también presentes en otros entornos (desde la construcción  -edificios inteligentes-,  pasando por las tecnologías de la información  -centros de proceso de datos-,  hasta la medicina  -robots expendedores de medicamentos o robots cirujanos-, etc.!

En estos ámbitos, en los que los espacios físico y cibernético están, cada vez, más entrelazados, y en los que la Internet de las Cosas y la Internet Industrial de las Cosas podrán ser objetivo y fuente, al mismo tiempo, de ciberataques, puede preverse para los próximos años un aumento de los sabotajes dirigidos a las tecnologías empotradas inteligentes, como la “infección” de equipos robóticos  -y otras formas de inteligencia artificial-  con algún tipo de software dañino que modifique su comportamiento hasta el punto de hacer que se vuelvan, incluso, contra los humanos. 

Las consecuencias de los incidentes, provocados o fortuitos, en estos nuevos espacios ciber-fisicos, lejos de resultar novedosas, son -y van a serlo cada vez más acentuadamente- similares a las viejas consecuencias para las personas, el patrimonio y el medioambiente que la acción del hombre ha causado siempre antes de la irrupción de la era digital. 

* *

Pero, para no errar solo en los pronósticos  -insisto, “mal de muchos, …”-,  permítame que dé voz, ahora, a una serie de expertos, todos amigos y profesionales internacionalmente reconocidos, cuyos testimonios, a buen seguro, aportarán el verdadero valor que pueda encerrar este artículo. 

La opinión de los expertos

Vaya por delante mi más sincero agradecimiento a las desinteresadas y, al mismo tiempo, interesantísimas contribuciones de todos ellos. 

Ignacio Paredes (@IParedes), Emiratos Árabes Unidos

Tecnólogo Jefe, Booz Allen Hamilton

Co-fundador y Coordinador Regional para Oriente Medio y Asia, CCI

En el particular ámbito de la ciberseguridad en entornos industriales, confío en poder ver en 2025 sistemas de supervisión de la seguridad capaces de capturar y correlacionar los eventos que tengan lugar a nivel de planta industrial, con los que ocurran en los dispositivos y equipos de la informática corporativa, con los registrados por los elementos de ciberseguridad y con aquellos que tengan como escenario el mundo físico (disturbios, guerras, tensiones políticas, caídas de la bolsa, …) con el fin de: por un lado, obtener una visión completa del estado de una determinada instalación industrial; y, por otro, de predecir la evolución del riesgo que afecte a la misma”.

Diego Andrés Zuluaga Urrea, Colombia

CISO, ISAGEN

Coordinador Regional para Colombia, CCI

En diez años preveo una seguridad adaptativa al entorno, en escenarios donde los dispositivos, cada vez más, estarán integrados e hiperconectados. La frontera entre vida laboral y personal cada vez se hace más difusa. El individuo es un solo ser que aporta a diferentes grupos sociales donde se desempeña de una u otra forma. De ese modo, la seguridad deberá entender la información, su clasificación y el contexto en el cual se está usando y, de acuerdo con ello, habrá de contribuir a separar los niveles y profundidad de acceso que cada circunstancia requiera, y a protegerla frente a las nuevas amenazas. Se emplearán, para ello, tecnologías de análisis de datos del entorno y de la información misma, que permitirán adaptarse a las circunstancias.

Asimismo, en mi ámbito profesional más cercano, la industria, yo esperaría que la ciberseguridad estuviese presente ‘por diseño’ en todos los sistemas de control industrial y que fuera tan natural como lo es hoy en las redes corporativas, con sistemas de gestión y mejora continua, liderados desde áreas que entiendan integralmente las necesidades conjuntas de las TO y de las TI. Cabe pensar que, para entonces, los incidentes sobre este tipo de infraestructuras serán habituales y su impacto dependerá de la preparación y resiliencia de las organizaciones que los reciban”.

Patrick C. Miller (@PatrickCMiller), EEUU

Socio-Director, Archer Energy Solutions

Presidente Emérito, EnergySec

Tal vez parezca una locura; pero creo que, en diez años, uno de los temas que marcará tendencia será la seguridad de Inteligencia Artificial (IA). Estamos acercándonos a la IoT y a la IIoT (Internet Industrial de la Cosas, del inglés ‘Industrial Internet of Things’). Cuando sean una realidad, producirán más datos y presentarán tal complejidad, que la única forma de gestionar los ‘sistemas’ y obtener el valor esperado de ellos será mediante la aplicación de inteligencia artificial. La IA se empleará para administrar y analizar datos; pero, también, para que los sistemas se gestionen a sí mismos, de forma autónoma (por ejemplo, auto-reparación, auto-optimización, etc.). Imagino que los ‘hackers’ comenzarán a explotar la funcionalidad y las debilidades de la IA, así como a utilizar la propia IA para atacar a otros sistemas. Esto dará como resultado una situación en la que tendremos IA frente a IA”. 

Robert M. Lee (@RobertMLee), EEUU

Fundador y CEO, Dragos Security

Profesional del Año en el campo de la Ciberseguridad Industrial (EEUU, 2015-16)

Con respecto a lo que hoy es tendencia y a lo que esperamos ver dentro de una década, estará centrado en el crecimiento e integración de los datos. Justo ahora existe un gran debate alrededor de la IIoT, la convergencia entre las TI y las TO, y el valor que, para las operaciones, pueden tener prácticas como la supervisión de la seguridad de las redes. A lo que creo que forzará todo esto es a un cambio en la forma en que observamos y tratamos los datos de nuestro entorno. Confío en que ello suponga que tendremos un mayor acceso a los datos  -léase, más infraestructura gestionada-,  más ojos sobre esos datos  -por ejemplo, Centros de Operaciones de Seguridad de TI/TO-  y que veamos innovación en el modo de obtener datos de forma menos invasiva  -por ejemplo, mediante Redes Industriales Definidas por Software-.  Creo que esto marcará la tendencia debido a la importancia y al valor de los datos, así como a la implicación de los diferentes interesados y al creciente número de dispositivos conectados a redes dentro del conjunto de los sistemas de control industrial”.

Claudio Caracciolo (@HoleSec), Argentina

Embajador de Seguridad, Eleven Paths/Telefónica Digital Identity & Privacy

Coordinador regional para Argentina, CCI

Claramente, los modelos de integración entre redes continuarán fusionándose, cada vez más, en la próxima década.

En la industria, los sistemas de control industrial tendrán como requisito de diseño la movilidad para su propia supervisión y control. Además, los conflictos violentos relevantes, como guerras o atentados, que afecten a este tipo de sistemas harán que sea necesario poner en marcha modelos de defensa más eficaces.

En ese sentido, los fabricantes deberán optimizar sus esfuerzos, por lo que contratarán expertos en ciberseguridad para revisar sus productos y redefinir sus procesos. De igual modo, preveo un crecimiento de la actividad consultora en materia de ciberseguridad industrial. Las empresas de servicios de seguridad tendrán mayores conocimientos y contratarán expertos del mundo de las TO y del de la seguridad corporativa para diseñar planes conjuntos de protección de infraestructuras industriales  -algunas ya lo están haciendo y, de hecho, creo que esos servicios se convertirán en un producto de uso común en un par de años-.

Finalmente, el concepto de ‘red de auto-defensa’ (del inglés, ‘self-defending network’), promovido, años atrás, por el fabricante estadounidense Cisco, deberá llegar también a los sistemas industriales. Estamos en la etapa de ‘revisión y rediseño’, luego pasaremos por la de ‘prueba/verificación periódica’ y, finalmente, creo que llegaremos al ‘modelo de auto-defensa’”.

Samuel Linares (@InfoSecManBlog), Emiratos Árabes Unidos

Tecnólogo Jefe, Booz Allen Hamilton

Co-fundador y Coordinador Regional para Oriente Medio y Asia, CCI

La seguridad ‘transparente’: ese es, para mí, uno de los grandes retos de la próxima década.

Tradicionalmente, todas las medidas de seguridad han sido, y son, muy ‘intrusivas’ desde el punto de vista del usuario. Creo que, a largo plazo, todo debería ser, y será, más ‘transparente’. Se tratará de que, aunque la seguridad esté ahí, implantada a todos los niveles, no la notemos; no tengamos que realizar ninguna acción explícitamente, en nuestra calidad de meros usuarios. (Si la cámara de mi ordenador portátil ‘ve’ que soy yo, y ‘nota’ que soy yo, yo no debería tener que hacer nada y, al mismo tiempo, debería resultar autenticado favorablemente).

Un segundo reto será la visibilidad total de las infraestructuras.

La integración, la correlación y la supervisión total de las infraestructuras corporativas, e industriales, integrando  -mediante analítica de datos, por ejemplo-  toda la información disponible sobre la operación de los procesos productivos (apoyada en sistemas SCADA), la prevención de riesgos laborales, la ciberseguridad, la seguridad física, la seguridad medioambiental, etc.”.

César Cerrudo (@CesarCer), Argentina

CTO, IOActive Labs

Promotor y Miembro de la Junta Directiva, SecuringSmartCities.org

Es difícil predecir un escenario a diez años, sobre todo cuando se trata de tecnología, ya que todo cambia y avanza muy velozmente.

Lo que si me atrevo predecir es que, en una década, casi todo tendrá software y estará conectado a Internet, o a alguna otra red; incluso, tal vez, nuestro cuerpo o partes de nuestro cuerpo. Esto hará que la ciberseguridad sea más importante que nunca.

En el caso de las ciudades, toda su infraestructura también estará conectada y todo será digital. Los servicios se adaptarán a las necesidades de los ciudadanos en tiempo real gracias a la información recolectada desde miles de sensores y fuentes diversas. La superficie de ataque digital a una ciudad será inmensa; y, seguramente, habrá organismos dedicados específicamente a lidiar con ciberataques a las ciudades y a tratar de mantenerlas seguras”.

Jeimy Cano (@ITInsecure), Colombia

Director, Revista “Sistemas” de la Asociación Colombiana de Ingenieros de Sistemas (ACIS)

Analista Asociado, iTTi

La ciberseguridad está inmersa en una dinámica internacional volátil, incierta, compleja y ambigua, lo que la hace inestable y cambiante conforme se advierten nuevas formas de convergencia en un mundo digitalmente modificado.

En este sentido, los responsables de esta materia deberán tener claras, al menos, seis habilidades clave para navegar en medio de lo desconocido, recalibrar la estrategia, ubicar el punto al cual quieren ir y mantener el equipo de trabajo en marcha para evitar la parálisis[xiii]:

1. Anticipar cambios en el entorno digitalmente modificado.

2. Retar los supuestos y el statu quo, para pensar de forma no convencional.

3. Interpretar los datos y puntos de vista, más que sólo confirmar la evidencia de sus propias creencias.

4. Decidir qué hacer tras revisar las opciones y tener la capacidad de explorar posibilidades hacia adelante.

5. Alinear los intereses e incentivos de los directivos, basados en diferentes puntos de vista.

6. Aprender de los éxitos y errores a través de laboratorios y pilotos, capitalizando las lecciones aprendidas y por aprender. 

En este escenario, la ciberseguridad deberá estar atenta a cambios inesperados y contradictorios que perturben la realidad de sus actuales estándares.

Algunas reflexiones a futuro podrían girar en torno a temas como resiliencia móvil, ecosistemas digitales emergentes o diseño ciberseguro de instalaciones; cada uno de los cuales está asistido por la tendencia de una mayor digitalización de la interacción entre personas y organizaciones; y, particularmente, la de la acelerada convergencia de lo físico y lo lógico a nivel global”.

* * 

Ahora mantenga la paciencia. En tan sólo una década podrá comprobar cuántos aciertos y cuántos errores ocultaban estas páginas. ¡Aguarde hasta entonces!

* * *

Este artículo fué publicado originalmente por la revista NOVÁTICA, nº 235, enero-marzo 2016. Referencia: Secciones técnicas. NOVÁTICA 235, pgs.62-67 – "Seguridad digital 2025" – Miguel García-Menéndez. 

---------------------------------------------

[i] Gartner, Inc. “Understanding your new role in Digital Security” (Comprender su nuevo papel en la Seguridad Digital). Obtenido vía @iTTiresearch en Twitter. URL (a 2015.11.27) :: https://twitter.com/iTTiresearch/status/608295938185170944  

[ii] Dickson, John B. “We need a new word for cyber” (Necesitamos un nuevo término para ciber). Dark Reading (DarkReading.com). 23 de noviembre de 2015. URL (a 2015.11.28) :: http://www.darkreading.com/attacks-breaches/we-need-a-new-word-for-cyber/a/d-id/1323278 

[iii] Organización para la Cooperación y el Desarrollo Económico (OCDE). “Digital Security Risk Management for Economic and Social Prosperity. OECD Recommendation and Companion Document” (Gestión, para la Prosperidad Económica y Social, del Riesgo para la Seguridad Digital. Recomendación de la OCDE y Documento de Acompañamiento). OCDE. 17 de septiembre de 2015. URL (a 2015.12.01) :: http://www.oecd-ilibrary.org/docserver/download/9315051e.pdf? 

[iv] Scott, John. “What are cyber disruptions costing businesses?” (¿Cuánto les están constando las ciberperturbaciones a las empresas?). Entrevista a Jason Healy, autor del éxito editorial de 2012 “A Fierce Domain, Cyber Conflict 1986 to 2012” (Un Dominio Feroz. Ciberconflictos 1986-2012) y fundador y miembro senior de la Iniciativa de Políticas Cibernéticas del Centro Brent Scowcroft sobre Seguridad Internacional del gabinete de análisis estratégico estadounidense The Atlantic Council. Aparecida en “Agenda” del Foro Económico Mundial. 26 de octubre de 2015. URL (a 2015.11.29) :: https://agenda.weforum.org/2015/10/what-are-cyber-disruptions-costing-businesses/ 

[v] Kleinman, Zoe. “Children's electronic toy maker Vtech hacked” (El fabricante de juguetes electrónicos para niños, Vtech, ‘hackeado’). BBC News/Technology. 27 de noviembre de 2015. URL (a 2016.04.06) :: http://www.bbc.com/news/technology-34944140 

[vi] Yadron, Danny. “Fisher-Price smart bear allowed hacking of children's biographical data” (El osito inteligente de Fisher-Price permitía el ‘hackeo’ de datos biográficos de los niños). 2 de febrero de 2016. URL (a 2016.04.06) :: https://www.theguardian.com/technology/2016/feb/02/fisher-price-mattel-smart-toy-bear-data-hack-technology 

[vii] Calder, Alan P. “Cyber security is no longer sufficient to ensure business sustainability. Cyber resilience should become the new boardroom priority” (La ciberseguridad ya no es suficiente para asegurar la sostenibilidad del negocio. La ciberresiliencia debería convertirse en la nueva prioridad del consejo de administración). Obtenido vía @info_CCI en Twitter. URL (a 2016.04.07) :: https://twitter.com/info_CCI/status/582441048112304128 

[viii] Foro Económico Mundial. “The Global Risks Report 2016” (El Informe de Riesgos Globales 2016). En su página 13, figura 1.2, señala los cinco riesgos de mayor preocupación para los próximos diez años, según la Encuesta de Percepción de Riesgos Globales realizada en 2015. 14 de enero de 2016. URL (a 2016.04.07) :: http://www3.weforum.org/docs/Media/TheGlobalRisksReport2016.pdf 

[ix] Dobbs, Richard; James Manyika, and Jonathan Woetzel. “The four global forces breaking all the trends” (Las cuatro fuerzas globales que están rompiendo todas las tendencias). McKinsey & Company (McKinsey Global Institute). Abril de 2015. URL (a 2016.04.07) :: http://www.mckinsey.com/business-functions/strategy-and-corporate-finance/our-insights/the-four-global-forces-breaking-all-the-trends 

[x] ENISA. “National Cyber Security Strategies in the World” (Estrategias Nacionales de Ciberseguridad en el Mundo). Agencia Europea para la Seguridad de las Redes y la Información (ENISA). Abril de 2015. URL (a 2016.04.07) :: https://www.enisa.europa.eu/activities/Resilience-and-CIIP/national-cyber-security-strategies-ncsss/national-cyber-security-strategies-in-the-world 

[xi] The White House. “International Strategy for Cyberspace. Prosperity, Security and Openness in a Networked World” (Estrategia Internacional para el Ciberespacio). La Casa Blanca, Washington (EEUU), mayo de 2011. URL (a 2016.04.07) :: https://www.enisa.europa.eu/activities/Resilience-and-CIIP/national-cyber-security-strategies-ncsss/international-strategy-for-cyberspace/at_download/file 

[xii] Spencer Stuart. “International comparation” (Comparativa internacional). Extracto y comparativa de la serie “Board Index 2015” (Índices de los Consejos 2015), 2015. URL (a 2016.04.07) :: https://www.enisa.europa.eu/activities/Resilience-and-CIIP/national-cyber-security-strategies-ncsss/international-strategy-for-cyberspace/at_download/file 

[xiii] Krupp, Steven and Paul J. H. Schoemaker. “Winning the long game. How strategic leaders shape the future” (Ganar en el largo plazo. ¿Cómo moldean el futuro lo líderes estratégicos?). PublicAffairs. 2 de diciembre de 2014. URL (a 2015.12.01) :: http://www.amazon.com/Winning-Long-Game-Strategic-Leaders/dp/161039447X 

 

Diversidad digital

Thursday, 07 July 2016 iTTi, Innovation & Technology Trends Institute Posted in Corporate Governance of IT

Los asuntos relacionados con la composición de los consejos de administración son un clásico como temas de estudio y análisis dentro de la disciplina del gobierno corporativo. La participación, o no, de ejecutivos de la empresa en el consejo; su presencia equilibrada, en número (con respecto al resto de consejeros); la separación, o no, entre la figura del presidente del consejo de administración y la del consejero delegado; etc., son ejemplos del habitual debate en esa materia.

A ellos se ha sumado en los últimos años uno particularmente polémico -al menos, en algunos ámbitos-: el de la menor -escasa- presencia de mujeres en dichos consejos.

* *

Una búsqueda en Google de la cadena “Women on Boards” (Mujeres en los Consejos) puede arrojar, fácilmente, un resultado de millones de entradas [239.000.000, en la consulta que hemos lanzado al tiempo que escribíamos estas líneas], que, en todo caso, se traducen en la multitud de páginas y portales de Internet desde los que, bajo esa consigna, se aboga por elevar el porcentaje de participación femenina en los consejos de administración (WomenOnBoards.net, WomenOnBoards.org.mv, WomenOnBoardsKenya.co.ke, WomenOnBoard.be, CatalystWomenOnBoard.org, Get-Women-On-Board.eu, WOB.org.nz, 2020WOB.com, European.EWOB-network.eu, WomenCorporateDirectors.com, OnBoardNow.org, son sólo algunos ejemplos). 

* *

A pesar de las corrientes legislativas -y de otra naturaleza (códigos de autorregulación, recomendaciones varias, etc.)- que, en fechas recientes, se han venido viendo en los países del hemisferio occidental a favor de la diversidad de género en los consejos de administración y otros órganos de gobierno -algunos consejos de ministros han hecho bandera de esta noble causa-, las cifras de participación de mujeres en las estructuras corporativas aún se revelan alejadas de la paridad [i].

* *

Sin embargo, este agitado panorama que parece envolver la discusión sobre la composición de los consejos de administración no quedaría, hoy, completo sin incluir otro nuevo elemento de debate: la necesidad de dotarlos, también, de una cierta diversidad digital.

“Lo digital” ha impregnado la Sociedad, por completo, en todos sus ámbitos; y continuará haciéndolo[ii]. De ahí que el momento actual no ofrezca cabida a consejos “monocolor”, al sentido clásico; esto es, consejos en los que haya homogeneidad en la carencia de competencias digitales entre sus miembros. Consecuentemente, la incorporación de sabiduría digital se hace incuestionable y urgente. 

* *

Como en el caso de la diversidad de género, elevar la cuota de participación de consejeros con antecedentes tecnológicos -cuota que, en el caso de muchas empresas, permanece a cero- no hará sino enriquecer a la organización. Así lo defiende el Prof. Peter Weill, Presidente del Centro para la Investigación de los Sistemas de Información (CISR, por sus siglas en inglés) de la Escuela de Dirección Sloan, del Instituto de Tecnología de Massachusetts, cuando declara que “la diversidad digital enriquece y favorece a las organizaciones por la complejidad actual, en plena oleada de la digitalización y de cambios en los modelos de negocio” [iii]. Y así lo están entendiendo un número cada vez mayor de compañías de sectores tradiciones que han comenzado a incorporar a sus consejos de administración a profesionales con bagaje tecnológico o en el sector tecnológico. Wal-Mart Stores Inc., con las incorporaciones de Marissa Mayer, primero, y Kevin Systrom, después, a su consejo; o The Walt Disney Company, con la de Jack Dorsey al suyo, han sido ejemplos pioneros.

Sin embargo -siempre ha de haber algún contrapeso; dejaría de llamarse debate, en otro caso-, desde el bufete neoyorquino Skadden, Arps, Slate, Meagher & Flom y Asociados, el socio Marc S. Gerber advierte de que “los consejos de administración necesitan permanecer sensibles ante el hecho de tener miembros con el conocimiento suficiente para formular las preguntas adecuadas y comprender las implicaciones de las respuestas, sin convertirse en un consejo ‘balcanizado’, constituido por numerosos expertos, que lo sean sólo en temas específicos” [iv]. Gerber añade, además, que “un consejo de administración de alto rendimiento [siempre] puede recurrir a cuantos consultores expertos y asesores necesite”. 

* *

¡Tal vez, una vez más, en el punto medio se encuentre el equilibrio!

En su caso particular, olvídese de cuotas y de si uno, dos, o más, consejeros “digitalizados” son suficientes; y trate de dotar a su órgano de gobierno de las competencias digitales necesarias, independientemente de que éstas provengan de la incorporación de savia nueva al consejo de administración o, simplemente, de una mayor interacción de los miembros de aquel con colectivos de jóvenes profesionales procedentes de las diferentes partes de la empresa, idea que compartimos y que también parece contarse entre las recomendaciones del citado Prof. Weill.

* * *

Este artículo fué publicado originalmente por la revista NOVÁTICA, nº 235, enero-marzo 2016. Referencia: Ref. Autoriz. NOVÁTICA 235, pg. 78 – "Diversidad digital" – Miguel García-Menéndez, Manuel Palao.  

--------------------------------------

[i] Foro Económico Mundial. “It’s official: companies with women on the board perform better”. 8 de diciembre de 2015. URL (a 2016-03-30):: https://www.weforum.org/agenda/2015/12/its-official-women-on-boards-boost-business/ 

[ii] iTTi. “El Manifiesto iTTi sobre el Gobierno Corporativo de las Tecnologías de la Información”. 30 de mayo de 2015. URL (a 2016-03-30):: http://es.slideshare.net/iTTi_news/el-manifiesto-itti 

[iii] Weill, Peter y Jennifer W. Christensen. “Resposibilities of the Board in a Digital Economy”. Seminario. 22 de octubre de 2015. URL (a 2016-03-30):: http://cisr.mit.edu/publications-and-tools/publication-search/boards-digital-disruption/ 

[iv] Gerber, Marc S. “US Corporate Governance: Have We Crossed the Rubicon?”. Skadden's 2016 Insights – Governance. Enero de 2016. URL (a 2016-03-30):: http://cisr.mit.edu/publications-and-tools/publication-search/boards-digital-disruption/ 

 

La digitalización del fuego

Sunday, 03 July 2016 Maria Jose de la Calle Posted in iTTi Views

Hasta hace algún tiempo había una clara frontera entre el ámbito real o mundo físico y el ámbito virtual o mundo digital. Nada de lo que ocurría en los ordenadores tenía una consecuencia directa sobre objetos físicos o personas, sólo actuaban sobre objetos virtuales, transformando unos en otros. Si se producía un error, el daño recaía directamente sobre algún producto virtual que un proceso determinado tuviera como salida. ¿Qué es lo que ha desdibujado dicha frontera? 

La automatización de las máquinas

Las máquinas herramientas se han empleado desde hace mucho tiempo, se han automatizado para realizar una tarea concreta, y han trabajado junto a otras coordinadas y controladas por personas. Los sensores y medidores y en general, los sistemas de control industrial (aquellos sistemas de información empleados en el control y la supervisión de procesos [físicos] productivos), proporcionaban medidas recogidas por personas, que decidían actuar de una manera u otra en base a dichas mediciones.

También había -hay- automatismos como puertas que se abren con una señal de infrarrojo o detectan que algo o alguien quiere pasar, o grifos que suministran agua automáticamente, o luces que se encienden al paso de las personas, o detectores de movimiento de intrusos que hacen saltar alarmas, o de incendio que envían señales a una central de alarmas y que, además pueden liberar agua.

Todos estos automatismos eran -y algunos siguen siendo- físicos, es decir, dependían del cambio de propiedades como calor produciendo una dilatación o contracción, recepción o no de señal electromagnética; o la electricidad y la electrónica aplicada a las máquinas. 

El SW: puente entre el mundo virtual y el real

Con el software (SW), se pasó a automatizar las máquinas con código, mucho más flexible y barato que el control físico, y con la posibilidad de que las máquinas pudieran comunicarse entre sí, lo que, por ejemplo, posibilitaba que mediciones de una modificara la acción de otra, o el control de varias desde de una tercera.

Este paso hizo de puente entre el mundo virtual y el físico, desapareciendo la frontera que los separaba. Los objetos virtuales en máquinas, sensores o controladores ya tenían una consecuencia en el mundo real, una acción sobre él para la cual se había programado dicha máquina.

Los fallos de SW, tanto los inconscientes como los intencionales -malware- podían causar daños físicos al producir un mal funcionamiento en las máquinas. La seguridad de los sistemas no consiste ya sólo en proteger la información como bien último y los objetos virtuales tratados por el SW, sino también evitar los daños físicos que la modificación de todo ello pudiera ocasionar en el mundo real sobre el que la máquina actúa.

La comunicación entre los distintos componentes de un sistema en un principio era por un cable que conectaba una máquina a otra. Para acceder a un sistema y controlarlo se necesitaba acceso físico.

Con Internet y el hecho de estar conectando todo a través de ella, ya es posible tener el control de cualquier máquina a distancia, desde cualquier punto del globo.

La conectividad proporcionada por puertos, antenas y protocolos, tanto por cable como sin cable, permite a las máquinas conectarse a una central de control, o con otra máquina para proporcionar o recibir datos; o con bases de datos, formando un sistema que no tiene por qué residir en un único espacio físico.

A la revolución del SW, de Internet y la conectividad, hay que añadir la miniaturización de los componentes de un ordenador, pudiendo introducir este en cualquier dispositivo, haciendo extensivo el mundo TI -sus ventajas y sus inconvenientes- a casi cualquier cosa, fuera de lo que conocemos por ordenador. Esto es lo que se conoce por "Internet de las cosas" -IoT, del inglés Internet of Things-.

Tener todo este mundo conectado tiene sus ventajas, ya que enriquece las funciones que en principio puede realizar un dispositivo, al poder intercambiar información con otros sistemas de su entorno, con centros de su fabricante, con el usuario. Por ejemplo, un automóvil puede recibir informaci n sobre el tráfico e informar al conductor sobre el mejor camino por el que dirigirse, al tiempo que está enviando información al fabricante sobre su rendimiento y estado de sus componentes, que a su vez puede entonces informar al conductor de si debe llevar el coche al taller para subsanar algún fallo o se le puede enviar una actualización que arregle algún mal funcionamiento; o puede intercambiar información con otros coches en un aparcamiento para saber si queda alguno libre, etc. Y, por supuesto, llevarnos a nuestro destino sin necesidad de dirigirlo nosotros.

Pero esto también tiene sus inconvenientes que son los relacionados con los riesgos en que se incurre por el hecho de estar siempre conectados y de estar intercambiando datos. No siempre lo que entra es legítimo y no dañino, y no siempre lo que sale llega sólo al destinatario adecuado.

Stuxnet y otros

Uno de los primeros ejemplos de virus encontrados en máquinas es Stuxnet[i], creado para hacer funcionar mal PLC's -controladores lógicos programables- de Siemens, y que entre otros sitios, se utilizaban en una planta de enriquecimiento de uranio de Irán. Stuxnet averió las centrifugadoras de la planta. Por medio de un pendrive que llevaba un SW para explotar una vulnerabilidad -exploit- de Windows no conocida en el momento de lanzamiento del virus se accedió a la central y a sus sistemas de operación y se tomó control de ellos, bajando a través de Internet el SW para los PLC's que los hacían funcionar inadecuadamente. 

El pasado 5 de mayo tuvo lugar una nueva edición del evento del CCI (Centro de Ciberseguridad Industrial) "La Voz de la Industria"[ii]. En una de las ponencias de dicho evento se realizó una demostración de cómo hackear un contador de la luz de los llamados "inteligentes" desde un PC, que, según comentaron, igual se podía haber hecho desde un smartphone. Se realizaron dos tipos de ataque, uno de denegación de servicio y otro de "Man in the middle". Estos contadores inteligentes están conectados con la empresa comercializadora informando del consumo que se realiza, y estos datos que se envían no todas las marcas de contadores los envían cifrados.

Por un lado, es fácil entrar en los contadores y, por ejemplo cortar el suministro. Como la información no está cifrada, puede hacerse, además, un ataque "Man in the middle" a los datos de consumo y obtener un patrón de las costumbres de los habitantes de la casa. Pero los contadores también pueden servir para enviar datos del contrato si se quiere modificar éste.

Siguiendo con el tema industrial, en el 2014 hackearon unos altos hornos en Alemania[iii], infligiendo graves daños, con cortes e interrupciones en los sistemas de producción. La entrada fue desde TI por medio de phising y desde aquí consiguieron acceso a los sistemas de producción.

El pasado 25 de abril, una compañía estadounidense distribuidora de agua y electricidad[iv] sufrió  un ataque de tipo ransomware que según parece sólo afectó  a sus redes corporativas y no a las de operación ni a los sistemas de control industrial. En el momento en que se detectó el incidente, se bloqueó la red corporativa. Si este ataque hubiera llegado a las redes de operación, el suministro a clientes se podría haber visto comprometido gravemente.

Peor suerte corrieron los habitantes de la región ucraniana de Ivano-Frankivsk que se quedaron sin suministro eléctrico durante varias horas debido a un ataque con un troyano[v]. Este ataque se completó con otro de denegación de servicio a las redes telefónicas para impedir la comunicación del ataque.

Patrones de funcionamiento y aprendizaje de las máquinas

Para poder detectar el malware antes de que entre en los sistemas hay varias estrategias. Una de ellas es conocer las redes y como funcionan, qué componentes hablan entre sí, qué se dicen y con qué protocolo, permitiendo solamente dichos intercambios, o al menos hacer saltar alarmas de lo que puede resultar sospechoso.

El pasado mes de abril, en Futurism se publicó  un artículo titulado "MIT Artificial Intelligence Can Predict 85% of Cyber-Attacks"[vi]. En él se describía un sistema de IA -inteligencia artificial- que era entrenado por investigadores para ayudar a las personas a identificar ciber-ataques.

Para ello, alimentaron al sistema con millones de líneas de log de una plataforma de comercio electrónico durante tres meses, para hacerlo trabajar con métodos que empleaban las personas, pero que el sistema hacía de forma más eficiente al poder revisar millones de líneas cada día.

Cuando el sistema encontraba algo sospechoso, una persona revisaba ese punto, y devolvía una respuesta al sistema, con la cual la máquina aprendía. Las amenazas evolucionan continuamente y la máquina de momento parece que ella sola puede llegar a ese 85%, pero trabajando junto a una persona este porcentaje sería mayor.

La persona no tiene ya que examinar una cantidad imposible de puntos sospechosos, ya que la máquina puede devolver del orden de 200 al día o menos, y la máquina sigue aprendiendo al tiempo que la persona los revisa y devuelve una respuesta. 

IoT y los riesgos para la vida cotidiana

Centrándonos en las cosas que utilizamos habitualmente, el riesgo a sufrir un ataque es el mismo. Por ejemplo los coches. En julio del año pasado sali  a la luz el ataque a un Jeep Cherokee, explotando una vulnerabilidad no conocida y que proporcionaba a los atacantes un control total sobre dicho coche[vii]. Fue un ataque controlado y los participantes conocían los riesgos.

Por otra parte, en "Scientific American" aparecía otro artículo titulado "Why Car Hacking Is Nearly Impossible"[viii] en el que se explica que el experimento que realizaron los hacker con el Jeep les costó un año de investigar el coche. Es decir, que no es tan fácil ... pero sí es posible en un tiempo razonable. Lo que habría que conseguir es que no lo fuera. 

Creo que nos hicieron un favor a todos descubriendo la vulnerabilidad, cosa nada rara ya que hay muchos White-hat hackers (hackers éticos) trabajando de esta manera y dando a conocer dichas vulnerabilidades para que los fabricantes las arreglen cuanto antes y no las aprovechen otros para conseguir dinero o hacer daño de alguna manera.

Por ejemplo, el 2 de mayo pasado apareció publicado en Wired un artículo titulado "Flaws in Samsung’s ‘Smart’ Home Let Hackers Unlock Doors and Set Off Fire Alarms"[ix]. En él se decía que tener un detector de humo que te enviara una alerta cuando tu casa estuviera ardiendo parece una buena idea; o que la puerta de la casa esté conectada a internet y cerrada con cerradura electrónica con una clave que se programe desde el móvil, suena bien. Pero cuando es atacado el detector y salta la alarma a las cuatro de la mañana, o es atacada la puerta y se abre a un extraño, de repente la casa inteligente nos parece bastante tonta. La comunidad investigadora -en seguridad- lleva avisando durante años de que la IoT, y en particular los aparatos domésticos conectados, introduciría una avalancha de vulnerabilidades en los objetos cotidianos.

Tanto es así que un grupo de investigadores de la Universidad de Michigan y Microsoft han publicado lo que ellos llaman el primer análisis[x] en profundidad de una plataforma de "casa inteligente" que permite controlar aparatos de uso doméstico como las bombillas o la puerta, desde un ordenador o un móvil. 

* *

Para terminar, en un artículo del año 2011 de "Scientific American"[xi] titulado "Printers Can Be Hacked to Catch Fire", se cuenta como dos investigadores de la Universidad de Columbia en Nueva York, encontraron un fallo en una impresora normal de oficina que les permitió  hacerse con el dispositivo para espiar a los usuarios, distribuir malware e incluso forzarla para que se sobrecalentara y se incendiara.

Desde que el hombre primitivo aprendió a iniciar el fuego haciendo saltar chispas con dos piedras hasta ahora, que se puede hacer mandando unos códigos a unos dispositivos remotos. Incendio a distancia y de manera digital. 

* * *

Este artículo fué publicado originalmente por @PuntoSeguridad.com/"Cuadernos de Seguridad", junio-2016, nº 312, pg.70, Ciberseguridad – "La digitalización del fuego" – María José de la Calle.    

--------------------------

[i] David Kushner, 26 Feb 2013. "The Real Story of Stuxnet". IEEE SPECTRUM. url [a 9-05-2016] http://spectrum.ieee.org/telecom/security/the-real-story-of-stuxnet 

[ii] CCI. url [ a 9-05-2016 ] https://www.cci-es.org/web/cci/detalle-evento/-/journal_content/56/10694/220300 

[iii] Kim Zetter, 08 Jan 2015. "A Cyberattack Has Caused Confirmed Physical Damage for the Second Time Ever". Wired. url [a 9-05-2016] https://www.wired.com/2015/01/german-steel-mill-hack-destruction/ 

[iv] Kevin Townsend, 3 May 2016. "Michigan Power and Water Utility Hit by Ransomware Attack", SecurityWeek. url [a 9-05-2016] http://www.securityweek.com/michigan-power-and-water-utility-hit-ransomware-attack 

[v] Mónica Valle, 22 Ene 2016. "Continúan los ciberataques contra las compañías eléctricas en Ucrania". GlobbSecurity. url [a 9-05-2016] http://globbsecurity.com/continuan-ciberataques-companias-electricas-ucrania-37575/ 

[vi] Futurism, 19 Apr 2016. "MIT Artificial Intelligence Can Predict 85% of Cyber-Attacks". url [a 09-05-2016] http://futurism.com/mit-artificial-intelligence-can-predict-85-cyber-attacks/ 

[vii] Andy Greenberg, 21 Jul 2015. "Hackers Remotely Kill a Jeep on the Highway—With Me in It". Wired. url [a 9-05-2016] https://www.wired.com/2015/07/hackers-remotely-kill-jeep-highway/ 

[viii] David Pogue, 22 Feb 2016. "Why Car Hacking Is Nearly Impossible". Scientific American. url [a 9-05-2016]  http://www.scientificamerican.com/article/why-car-hacking-is-nearly-impossible/ 

[ix] Andy Greenberg, 02 May 2016. "Flaws in Samsung’s ‘Smart’ Home Let Hackers Unlock Doors and Set Off Fire Alarms". Wired. url [a 9-05-2016] https://www.wired.com/2016/05/flaws-samsungs-smart-home-let-hackers-unlock-doors-set-off-fire-alarms/?mbid=nl_5216   

[x] "Security Analysis of Emerging Smart Home Applications". University of Michigan, 2016. url [a 2016.05.09] https://iotsecurity.eecs.umich.edu 

[xi] Paul Wagenseil, 29 Nov 2016. "Printers Can Be Hacked to Catch Fire". Scientific American. url [a 9-05-2016] http://www.scientificamerican.com/article/printers-can-be-hacked-to-catch-fire/ 

 

Cierre de ejercicio: Nombres propios

Thursday, 23 June 2016 iTTi, Innovation & Technology Trends Institute Posted in Corporate Governance of IT

Fieles a nuestra cita trimestral con Uds. y en respuesta a la amable invitación-petición realizada por los responsables de “Novática”, procedemos, a continuación, a realizar el “cierre del ejercicio” 2014 de ésta, [n|v]uestra Sección Técnica. 

Hace un año, en idénticas circunstancias, abogábamos  -seguimos haciéndolo-  por la consideración como “hechos relevantes”[i] de aquellos eventos relativos al uso que las organizaciones hacen de la Informática y sus disciplinas afines, susceptibles de influir, en mayor o menor medida, sobre las decisiones de inversión en las referidas organizaciones, que pudiesen estar barajando los diferentes interesados. Hoy hemos de confesar  -no sin lamentarlo-  que la incorporación de tales “hechos” a un registro específico o, incluso, al registro general custodiado por la CNMV[ii] no ha pasado de ser, simplemente, nuestro deseo. 

No obstante, adoptando una perspectiva más optimista, el ejercicio que ahora concluimos podría calificarse como aquel en el que ha comenzado a vislumbrarse una cierta conciencia tecnológica entre los líderes corporativos de nuestro entorno. Varios han sido los nombres propios que han alzado la voz este año mostrando, y reivindicando, una preocupación  -y, en casi todos los casos, ocupación-  por las Tecnologías de la Información y su contribución (o, en su caso, consecuencias) para el progreso de sus respectivas organizaciones.

* *

Francisco González, Presidente del consejo de administración del banco español BBVA[iii], presentaba en Madrid, el pasado 29 de abril, el libro “C@mbio [Ch@nge]. 19 ensayos fundamentales sobre cómo Internet está cambiando nuestras vidas”[iv], reconociendo en Internet “el mayor agente de cambio de nuestra época”. 

En palabras de González “la sociedad ha cambiado: las personas [conectadas] están mejor informadas y son más exigentes, sus hábitos de consumo, sus preferencias, sus criterios de decisión son diferentes” y, por ello, “los bancos tienen que desarrollar un modelo de negocio adaptado al mundo digital y basado en el conocimiento […] para ofrecer a los clientes lo que quieren, cuando y como lo quieren”.

Asimismo, González aprovechaba la ocasión para acuñar una nuevo calificativo para el sector bancario: en su opinión “la industria financiera convencional se está convirtiendo en lo que yo llamo la industria BIT ([b]anca, [i]nformación y [t]ecnología)”, ajustándose, de ese modo, a la concepción de “la tecnología como una ventaja competitiva clave”, según reza en su presentación corporativa. Sobre dicha conversión hablaba José Olalla, CIO de Banca Digital de BBVA, durante su charla, ofrecida el pasado 25 de noviembre en las dependencias del Instituto de Empresa de Madrid, la segunda de una serie de conferencias dedicadas a presentar la “Transformación Digital en BBVA”. 

* *

Javier Monzón, Presidente del consejo de administración de la firma tecnológica española INDRA[v], optaba por la vía de las advertencias sobre las consecuencias [negativas] de las Tecnologías de la Información. Y lo hacía en el marco del desayuno de trabajo organizado por la Confederación Española de Directivos y Ejecutivos (CEDE)[vi] el 23 de septiembre pasado, bajo el título “Los retos de la sociedad digital: Ciberseguridad”[vii].

Durante su intervención, Monzón recordaba que “vivimos en un mundo de amenazas crecientes, cada vez más avanzadas, sofisticadas y complejas, y con un mayor impacto y frecuencia”. A pesar de ello, el Presidente de INDRA no evitaba referirse a las oportunidades que la transformación digital, y la propia ciberseguridad, ofrecen para la reindustrialización del país. 

* *

Julio Linares, Vicepresidente del consejo de administración de Telefónica[viii], protagonizaba, el 21 de octubre, el acto de presentación del Cuaderno de la Fundación CEDE “Revolución digital. Impacto de las nuevas tecnologías en el directivo”[ix]. 

Con la sesión se pretendía informar de las oportunidades, retos y, nuevamente, amenazas que las Tecnologías de la Información suponen para el desempeño de la función directiva y para las empresas. 

* *

Sin duda, los tres ejemplos expuestos merecen nuestro aplauso (aunque pudiera pensarse que en los dos últimos casos  -INDRA y Telefónica-  se deba a intereses por “explotar” lo digital). Lo merecen, muy especialmente, las iniciativas de CEDE. Iniciativas que bien podrían servir de ejemplo para otras entidades similares, como el IC-A[x], al que ya nos hemos venido refiriendo en estas páginas, por cuanto constituirían una excelente palanca para elevar este discurso de la contribución (y consecuencias) de las Tecnologías de la Información, acercándolo a los consejos de administración de las empresas de nuestro país.

Por otro lado, y en relación a esos mismos consejos, habría que señalar que las tres empresas citadas, BBVA, INDRA y Telefónica, pertenecen al índice IBEX-35 de las principales compañías cotizadas en España. Sin embargo, sólo una de las firmas que componen dicho índice  -nos referimos al Grupo Santander-  sigue marcando la diferencia al haber dotado a su consejo de administración, ya en tiempos del desaparecido Emilio Botín, de una comisión específica de Tecnología, Productividad y Calidad. Tal vez el resto aún no lo haya hecho porque no vean necesaria esa distinción entre los temas TI y los no TI, como defendió nuestro buen amigo Daniel Hernández Arroyo, Vicepresidente para Europa de Gobierno Corporativo y Control Interno de Barclays, durante la sesión de presentación de la última monografía de “Novática” dedicada al “Gobierno Corporativo de las TI”, que tuvo lugar en el Instituto de Empresa, en Madrid, el pasado 3 de noviembre. 

Confiemos en que, con una comisión específica dentro del consejo, o sin ella, la conciencia sobre la imparable ola digital se incremente entre nuestros consejeros. Permaneceremos atentos a la evolución de los acontecimientos durante el ejercicio que viene.

* *

Permítannos finalizar felicitando a “Novática” por su cuadragésimo aniversario, que celebra en estos días, y desearles a todos Uds. un exitoso año 2015, en lo profesional y, particularmente, en lo personal. 

¡Felicidades!

* * *

Este artículo fué publicado originalmente por la revista NOVÁTICA, nº 230, octubre-diciembre 2014. Referencia: Ref. Autoriz. NOVÁTICA 230, pg. 91 – "Cierre de ejercicio: Nombres propios" – Miguel García-Menéndez, Manuel Palao.  

---------------------------------

[i] Palao García-Suelto, Manolo; Miguel García Menéndez, “Hechos relevantes [2013]”. Novática, 225, pág. 70. ATI. URL [a 20141208]: http://www.ati.es/novatica/2013/225/Nv225-Digital-Reducido.pdf

También en http://www.ittrendsinstitute.org/perspectives/item/hechos-relevantes-2013 

[ii] Comisión Nacional del Mercado de Valores (CNMV) de España. URL [a 20141208]: http://www.cnmv.es

[iii] Grupo BBVA. URL [a 20141208]: http://www.grupobbva.com

[iv] Sala de Prensa de BBVA. “Se presenta ‘C@mbio. Cómo Internet está cambiando nuestras vidas’”. 29 de abril de 2014. URL [a 20141208]: http://prensa.bbva.com/actualidad/notas-de-prensa/francisco-gonzalez-los-bancos-tienen-que-desarrollar-un-modelo-de-negocio-adaptado-al-mundo-digital-y-basado-en-el-conocimiento__9882-22-c-108018__.html 

[v] INDRA. URL [a 20141208]: http://www.indracompany.com

[vi] CEDE, Confederación Española de Directivos y Ejecutivos. URL [a 20141208]: http://www.directivoscede.com

[vii] CEDE. “Nuevo Desayuno CEDE con Javier Monzón”. Desayunos de Trabajo. 23 de septiembre de 2014. URL [a 2014/09/26]:: http://www.directivoscede.com/es/actividades/desayunos-trabajo/nuevo-desayuno-cede-javier-monzon

[viii] Telefónica. URL [a 20141208]: http://www.telefonica.com

[ix] CEDE. “La Fundación CEDE presenta un nuevo Cuaderno sobre la Revolución Digital”. 21 de octubre de 2014. URL [a 20141208]:: http://www.directivoscede.com/es/noticias/cede/fundacion-cede-presenta-un-nuevo-cuaderno-sobre-revolucion-digital

[x] IC-A, Instituto de Consejeros-Administradores. URL [a 20141208]:: http://www.iconsejeros.com

 

Publícitis

To find out more about the cookies we use and how to delete them, see our privacy policy.

I accept cookies from this site.
EU Cookie Directive plugin by www.channeldigital.co.uk