Follow us on:
Perspectives

iTTi Views

La ‘Matriz Digital’ de Venkatraman

Posted in iTTi Views

 

La Matriz Digital es un libro excelente y actual que propone un interesante modelo de mercado digital, basado en cruzar —de forma matricial (como una tabla de doble entrada)– 3 tipos de actores y 3 tipos de estrategias (o fases) digitales. Presenta muchas ‘subestrategias’ y numerosos ejemplos.

 

Lo ético de los algoritmos

Friday, 22 September 2017 Manolo Palao Posted in iTTi Views

La ética o filosofía moral es propia del hombre en su entorno, en sociedad, por cuanto remite a lo ‘otro’ o al ‘otro’, «un interés por algo o alguien ajeno a nosotros, más allá de nuestros propios deseos e interés egoísta»[1] [2].

---------------------------------------------------------------------------------------------------

Sobre ética y ley

La ética pertenece al campo de lo privado, de lo no codificado por la ley. Es la "Parte de la filosofía que trata del bien y del fundamento de sus valores"; "Conjunto de normas morales que rigen la conducta de la persona en cualquier ámbito de la vida. Ética profesional, cívica, deportiva." [DLE]. No hay una ‘ética universal’: es local, subjetiva, cultural. 

La legalidad, el derecho[1] ‘codifican’ (formalizan / regulan) parte de los principios éticos. Tampoco hay un ‘derecho universal’: es — sobre todo— nacional y nacionalista.

Hace unos 39 siglos se esculpió el ‘Código de Hammurabi’ (conservado en el Louvre), que es considerado como la primera codificación conocida de derechos y obligaciones humanos. Como referencia, quizá más familiar, Moisés bajó del Sinaí, con las Tablas de la Ley, 5 ó 6 siglos después. 

La Revolución Francesa produjo en 1789 la Declaración de Derechos del Hombre y la ONU en 1948 La Declaración Universal de Derechos Humanos

Hace unos 75 años, Isaac Asimov acuñó las ‘Tres Leyes de la Robótica’ —luego evolucionadas a la Roboética— codificando derechos y obligaciones de robots, demonios y otro software de Inteligencia Artificial. 

En 2002 Rodney Brooks, a la sazón director del MIT Artificial Intelligence Laboratory pronosticaba que —igual que históricamente se han ido reconociendo ciertos derechos (p. ej. a un trato digno) a muchos animales y, sobre todo a las mascotas) —, es plausible que surjan corrientes de reconocimiento de derechos a algunas de esas máquinas, sobre todo a las más antropomorfas y a las que ‘convivan’ en nuestros hogares —robots domésticos, más humanoides que las nuevas aspiradoras.

[1] [Una versión previa de este material fue publicado anteriormente en Palao, M. (2010). “Presunción de inocencia”. Novática 206, verano del 2010].

http://www.ati.es/novatica/2010/206/Nv206‐Referencias.pdf 

[URL a 20170613]. 

---------------------------------------------------------------------------------------------------

Sobre ética llevan las mejores plumas de la Humanidad debatiendo 40 siglos, por lo que intentar aquí definirla sería pretencioso y cuestionable. Admítase —para poder proseguir con el artículo— que consiste en “saber lo que se debe hacer, y hacerlo”.

La ética es una actividad meramente humana. El adjetivo ‘ético’ se aplica a personas, a sus ideas, actos —y omisiones— y productos. Y normalmente reside, consensuada, en las diversas instituciones sociales que cada colectividad comparte.

Los objetos, los artefactos, los vegetales y animales no son en sí éticos o no éticos: la ética es humana.

Es el uso (o el no uso) de objetos, seres, productos o tecnologías —silvicultura, trato a los animales, prostitución, armamento, medicamentos, noticias, informática— el que se puede calificar de ético o no ético.

Aunque hay excepciones a la afirmación de que los objetos, artefactos, vegetales y animales no sean éticos o no éticos. 

--------------------------------------------------------------------------------------------------- 

Aplicaciones aparentemente inocuas

Pueden ser ‘relevantes’ aunque ningún afectado sufra una pérdida sensible. Esta es una estrategia de elección para muchos defraudadores que tienen acceso a grandes volúmenes de usuarios. Una técnica clásica es la conocida como del ‘salami’ (una especie de salchichón italiano), del que robando rodajas finas, casi ‘imperceptibles’ se puede sacar una gran tajada, si se hace a mu‐ chas personas, por ejemplo por manipulación de los redondeos en los abonos o en las vueltas de dinero.

O los números de teléfono de tarifa muy alta a los que se conduce al usuario con engaño o insuficiente información; o los protocolos de atención telefónica que demoran la respuesta para inflar la tarifa, mientras te deleitan con una melodía.

Suelen ser mermas individuales tan pequeñas que nadie las denuncia e incluso si lo pretendiese encontraría que no hay cauces legales adecuados. 

---------------------------------------------------------------------------------------------------

Serían no éticos aquéllos artefactos en los que en su creación se hubieran deslizado, de forma voluntaria o involuntaria, características que pudieran dar lugar a comportamientos o resultados generalmente no deseados. Comportamientos o resultados generalmente no deseados, por ejemplo nocivos para la integridad de las personas o las cosas; contrarios al derecho o a otros principios generalmente aceptados y compartidos en la sociedad (equidad, por ejemplo). 

No sólo serían no éticos los artefactos en los que esos vicios se hubieran deslizado en su concepción o ejecución, sino también cuando los vicios se hubieran revelado solo después (el caso del DDT sería paradigmático)[3]. 

En el mundo digitalizado y en proceso acelerado de digitalización en que vivimos, hay una infinidad de sistemas, procedimientos y algoritmos; muchos en aplicaciones que se pueden considerar inocuas; otros en aplicaciones que anticipan dilemas morales.

Piénsese también en tipos de decisiones que pueden plantear dilemas morales, como las que, de seguro, tendrán que enfrentar los vehículos autónomos, por ejemplo, en una emergencia en la que el vehículo deba optar inevitablemente entre siniestros alternativos, a primera vista equiparables. “¿Atropello a la viejecita o al joven CISO que están en mi camino inevitable?”. Son cuestiones conocidas como ‘el dilema del tranvía’[4] [5].

Como productos humanos que tales algoritmos son, están sujetos a errores y también a manipulaciones y vicios intencionados; aparte de la existencia de tantos y tantos productos software sin vulnerabilidades intencionadas o identificadas por sus autores, pero con vulnerabilidades identificadas por terceros y sujetas a exploits (software ad‐hoc para explotar la vulnerabilidad). 

* *

AlgorithWatch (AW) [6] [7] es una iniciativa alemana, sin ánimo de lucro, con la misión de analizar y arrojar luz sobre los procesos de toma de decisiones algorítmicas (ADMAlgorithm Decision Making) que tengan relevancia social.

AW entiende por ADM el proceso que: i) diseña procedimientos de captura de datos; ii) captura los datos; iii) diseña algoritmos para analizar los datos; iv) analiza los datos; v) interpreta los resultados de dicho análisis según un modelo de interpretación definido por personas; y vi) actúa automáticamente según un modelo de actuación definido por personas [8].

Si bien a AW le interesan los procesos ADM con relevancia social —y más abajo daré algunos ejemplos de los que AW considera relevantes—, creo que muchos procesos tan ‘triviales’ como calcular la nómina de un empleado y transferir su importe a un banco, calcular un banco los intereses positivos y negativos de una cuenta y abonarlos / cargarlos automáticamente en la misma, o desviar llamadas de un teléfono a otro, todos ellos son fruto de un proceso ADM.

Su relevancia social, caso de que la hubiera, dependería probablemente de la gravedad de cada perjuicio individual (o del perjuicio medio) y del número de afectados, como he apuntado más arriba.

AW tiene publicado un Manifiesto — The ADM Manifesto (ver Nota 8)— bastante parco, pero potente. Creo que merece la pena transcribirlo:

"La toma de decisiones algorítmica (ADM) [ver más arriba la definición por AW] es un hecho hoy en día; y lo será mucho más mañana. Encierra enormes peligros; y también una enorme promesa. El hecho de que la mayoría de los procedimientos ADM sean cajas negras para las personas a las que afectan no es una ley de la naturaleza. Ha de acabar.

1. ADM nunca es neutral.

2. El creador de ADM es responsable de sus resultados. ADM es creada no solo por su diseñador.

3. ADM ha de ser inteligible para que pueda responder (be held accountable) al control democrático.

4. Las sociedades democráticas tienen el derecho a alcanzar la inteligibilidad (comprensión) de ADM mediante una combinación de tecnologías, regulación, e instituciones de supervisión adecuadas.

5. Hemos de decidir cuánta de nuestra libertad permitiremos asumir a ADM."

En un reciente artículo en la MIT Technology Review[9], el co‐fundador y director ejecutivo de AW, Matthias Spielkamp expone el caso del software COMPAS, usado en EEUU para predecir la probabilidad de reincidencia de criminales.

Según Spielkamp, la ONG ProPublica (ganadora de un premio Pulitzer) estudió 10.000 casos de uso de COMPAS, resultando que tenía una tasa de aciertos similar para blancos y negros, pero en los falsos positivos (predicción de reincidencia equivocada) había una gran asimetría: doble de negros que de blancos.

En el mismo artículo se presentan otros casos de ADM que merecerían ser vigilados, y yo añado algún otro: sistemas de crédito al consumo, selección de personal, concesión de becas, asignación de beneficios sociales (vivienda, ayuda alimentaria o sanitaria), etc. 

Probablemente los ADM son imprescindibles en nuestra sociedad y —como Spielkamp nos recuerda— pueden ser deseables en muchas circunstancias en las que se ha comprobado que los juicios humanos son frecuentemente incorrectos (esto es particularmente cierto cuando se sopesan probabilidades)[10].

La estadística y la investigación operativa (diseño y análisis de experimentos, entre otras técnicas) tienen mucho que ofrecer es este campo. Por ejemplo todo el cuerpo de conocimientos y técnicas ya maduro en ensayos farmacéuticos y en epidemiología.

Cathy O'Neil ha publicado recientemente en The Guardian un excelente artículo, muy documentado, centrado en el Big Data, sobre “cómo lograr que los algoritmos dejen de mentir”[11].

Para la Sra. O’Neil, los ‘malos algoritmos’ caen en una de cuatro categorías de maldad:

1. Los no intencionados, que reflejan sesgos culturales. Por ejemplo, una búsqueda en Google Images de “peinado no profesional” retornaba casi exclusivamente mujeres de color.

2. Los malos por negligencia. Algoritmos que seleccionan candidatos por su CV antes de que una persona haya podido emitir un juicio sobre el CV.

3. Los algoritmos ruines aunque no necesariamente ilegales. Alguna (o mucha) publicidad online.

4. Finalmente, los intencionalmente perversos y/o directamente ilegales. El de Volkswagen defraudando con las pruebas de emisión en millones de vehículos.

* * 

Las soluciones, si las hay, no son fáciles; y menos, inmediatas.

«Ben Shneiderman ... de la Universidad de Maryland, propuso el concepto de una Junta Nacional de Seguridad de Algoritmos».

Quizás cabría pensar también en una certificación de aplicaciones como ‘libres de sesgos’: otro posible frente de actividad para auditores de sistemas de información (CISA). 

* * *

Artículo escrito por Manolo Palao, iTTi 20170613  

Copyright © 2017 Manolo Palao e ITTi. Reservado todos los derechos.  

--------------------------------------

[1] BBC. (2014). Ethics: a general introduction. http://www.bbc.co.uk/ethics/introduction/intro_1.shtml  [URL a 2010613]. 

[2] Un excelente curso, de reputación internacional, tipo mooc (masivo, abierto, online), gratuito introductorio a la filosofía moral y política, es ‘Justice’ (HarvardX ER22.1x ) del Prof. Michael J. Sandel. https://www.edx.org/course/justice‐harvardx‐er22‐1x‐1  [URL a 20170613]. 

[3] Un tratamiento más detallado puede encontrarse en O’Neil. Ver Nota 11. 

[4] Fuente: https://es.wikipedia.org/wiki/Dilema_del_tranv%C3%ADa  [URL a 20170613]. 

[5] Este mismo ejemplo de dilema del tranvía lo he usado recientemente en un artículo, aún sin publicar, titulado “In medio stat virtus”, que novática me ha honrado solicitándomelo. 

[6]  https://algorithmwatch.org/en/  [URL a 20170613].

[7] “AlgorithmWatch is a non‐profit initiative to evaluate and shed light on algorithmic decision making processes that have a social rele‐ vance, meaning they are used either to predict or prescribe human action or to make decisions automatically”. https://algorithmwatch.org/en/algorithm‐watch‐mission‐statement/  [URL a 20170613]. 

[8]  https://algorithmwatch.org/en/the‐adm‐manifesto/  [URL a 20170614].

[9] Spielkamp, M. (12 de junio 2017). “Inspecting Algorithms for Bias”. MIT Technology Review. https://www.technologyreview.com/s/607955/inspecting‐algorit...  [URL a 20170613]. 

[10] Una excelente introducción puede encontrarse en Gilovich, T. (1991). How we know what isn't so. Nueva York. The Free Press. 

[11] O'Neil, C. (16 July 2017). “How can we stop algorithms telling lies?”. theguardian. https://www.theguardian.com/technology/2017/jul/16/how‐can‐we‐stop‐algorithms‐telling‐lies?CMP=share_btn_tw  (URL a 20170922). 

 

IA: problema y solución de la ciberseguridad

Monday, 07 August 2017 Maria Jose de la Calle Posted in iTTi Views

Sobre la IA

La llamada inteligencia artificial (IA) en general, y la computación cognitiva (CC) en particular, están llamadas a producir otra revolución en cuanto a herramientas que sirvan para impulsar campos tan diversos como la ciencia, la medicina, la gestión de las ciudades, la fabricación[i]; o proporcionar autonomía a las máquinas. En resumen, la vida de todos. 

Pensemos, por ejemplo, en RobERt[ii] (Robotic Exoplanet Recognition), para el análisis de posibles planetas que puedan tener vida; en la predicción de enfermedades[iii], como un ataque al corazón o un derrame cerebral; las llamadas "ciudades inteligentes"[iv]; o los medios de transporte autónomos, como los coches o los trenes. 

Aunque la IA y la CC pudieran parecer sinónimos, en realidad son dos conceptos, que, aunque relacionados  son un poco diferentes. Así, la Harvard Business Review (HBR) en el artículo "La IA añade una nueva capa al ciber riesgo"[v] del pasado mes de abril, proporcionaba las siguientes definiciones: 

"Mientras las dos tecnologías se refieren al mismo proceso, [...] la CC utiliza un conjunto de tecnologías diseñadas para aumentar las capacidades cognitivas de la mente humana. Un sistema cognitivo puede percibir e inferir, razonar y aprender. Definimos la IA aquí en un sentido amplio aquello que se refiere a ordenadores que pueden realizar tareas para las que se requeriría inteligencia humana".

Es decir, la CC sería una disciplina contenida en la IA. 

A los sistemas IA en general, se los puede entrenar para analizar y entender el lenguaje natural, imitar el razonamiento humano o tomar decisiones. 

Los sistemas CC se construyen con el fin de proporcionar información para tomar decisiones, y aprender por sí mismo tanto de datos recogidos o que se le provean y de su interacción con las personas. 

Para conseguir que un sistema o máquina aprenda una tarea o asimile una serie de conocimientos, hay que proporcionarle, primero una serie de algoritmos -constituidos por modelos matemáticos estadísticos- que sirvan para, y este es el segundo paso, tratar los datos o información con los que se alimenta al sistema y con los que iniciar el proceso de aprendizaje, y en tercer lugar, sesiones de entrenamiento entre expertos, que realizan preguntas y evalúan las respuestas de la máquina, cambiando los resultados según la evaluación recibida. 

Los algoritmos se van adaptando dependiendo de los datos que se le suministren y de la interacción con los humanos o con el entorno. 

La CC en particular -y por tanto la IA que la engloba- como cualquier tecnología [de la Información], por una parte, introduce nuevos elementos de inseguridad, y, por otra, puede ser utilizada para hacer más seguros los sistemas. Si una tecnología es muy potente, tanto lo es para producir beneficios como para producir daños, con lo que su control debe ser comparable.  

Nuevos riesgos que comporta la CC 

La HBR en el artículo citado[vi] anteriormente, aborda este tema centrándose en lo que es intrínseco a la CC, que es que sus algoritmos se van ajustando a medida que procesa nuevos datos e interacciona con el entorno y los humanos tanto en la etapa de establecimiento y construcción del sistema propiamente dicho como posteriormente, cuando ya esté en explotación. 

Un sistema cognitivo en principio -dando por supuesto la bondad de los algoritmos que lo soportan- es tan bueno para conseguir el propósito para el cual se ha definido y construido, como lo sean los datos de los cuales se haya alimentado y los expertos que lo hayan entrenado y le hayan proporcionado un contexto, y, posteriormente, en la bondad del entorno en el cual funcione.

Sin embargo, no hay garantía al cien por cien de los resultados, ni de que el sistema vaya a seguir con el comportamiento deseado para el que se construyó. No es un sistema que siga en su funcionamiento unos pasos definidos y conocidos hasta su resultado final, así una y otra vez, de manera determinista. Los resultados que proporciona son estadísticos, y su comportamiento no puede ser explicado, y por tanto regulado, completamente. 

El aprendizaje continuo a medida que el sistema interacciona, que en principio parecería adecuado ya que para eso se construyó, tiene sus riesgos. Por ello, hay que seguir controlando muy de cerca en base a qué sigue aprendiendo y cuáles son sus resultados. 

En el primer estadio, el de su establecimiento y aprendizaje iniciales, las personas que lo han entrenado, de manera inconsciente o intencional, pueden aportar datos confusos o erróneos, no aportar información crítica para conseguir el comportamiento deseado, o entrenar al sistema de manera inapropiada. 

El sistema ya en explotación, está cambiando continuamente en su hacer cotidiano -por definición- y, si alguien quisiera manipularlo, no tendría más que interaccionar con él de manera que pueda cambiar sus objetivos o añadir otros. 

Un ejemplo de esto fue el bot de Twitter, "Tay", diseñado para aprender a comunicarse en lenguaje natural con gente joven, y que rápidamente hubo que retirarlo. Personas mal intencionadas (trolls) utilizando las vulnerabilidades de sus algoritmos de aprendizaje, suministraron contenido racista y sexista, con un resultado de que "Tay" comenzó a responder con comentarios inapropiados a millones de seguidores.  

Al igual que la CC se emplea para un uso adecuado, se puede emplear para todo lo contrario[vii]. 

Los "chatbots" son sistemas que interactúan con las personas en lenguaje natural y se pueden utilizar en centros automatizados de atención al cliente. La exactitud en sus respuestas tiene mucha importancia, especialmente en sectores como la salud y el financiero, los que, además, tienen un gran volumen de datos confidenciales, que son recabados y tratados para dicho objetivo.

Dichos "chatbots" también pueden ser utilizados por [ciber]delincuentes para ampliar sus transacciones fraudulentas, engañar a personas haciéndose pasar por otras personas o instituciones de confianza, robar datos personales, e introducirse en los sistemas. 

Hay que conseguir ser capaz de detectar cambios en la actividad normal de redes y ordenadores, y  detectar nuevas amenazas. 

CC como herramienta de ciber-seguridad 

Para enfrentarse a una amenaza no hay más remedio que utilizar herramientas al menos tan potentes como la amenaza a afrontar.  

Parece que algo se está haciendo en ese sentido si atendemos a los resultados de un estudio que presenta la HBR[viii], en el que se concluye que la IA en lo que más se está utilizando es en actividades entre ordenadores y análisis de información producida o intercambiada entre máquinas, siendo el departamento de informática el que más  la usa,  concretamente el 44% de dicho uso empleado en la detección de intrusiones no autorizadas a los sistemas, es decir, en ciber-seguridad. 

Las técnicas de aprendizaje de las máquinas pueden aportar un conocimiento mejor del funcionamiento normal de los sistemas, y de actuaciones y patrones de código malicioso no autorizados.  

Así, haciendo uso de dichas técnicas, tareas rutinarias como el análisis de grandes volúmenes de datos sobre la actividad de los sistemas o los incidentes de seguridad, aportan una gran precisión en la identificación de comportamientos anormales así como la detección de accesos no autorizados o la identificación de código malicioso. 

Además, los [ciber]delincuentes transforman constantemente sus ataques para conseguir sus objetivos. Mucha parte del malware que circula por la red está relacionado con otro ya conocido. Los sistemas cognitivos, analizando miles de objetos de código malicioso pueden encontrar patrones de comportamiento que ayuden a identificar futuros virus mutados, e incluso entender cómo los piratas informáticos explotan nuevos enfoques. 

Así se consigue un conocimiento ajustado a la organización, ya que el sistema cognitivo está aprendiendo con la información suministrada por todos los elementos que componen sus sistemas informáticos -en sentido amplio de la informática corporativa (TI) y la informática operacional (TO)-, que proporcionan no sólo datos, sino un contexto -sector, tecnologías empleadas, arquitectura de los sistemas, etc.-. 

Lo que para una empresa una cantidad de tráfico por un segmento de red, o una cantidad de peticiones a un servidor puede suponer una amenaza, para otra pueden ser datos normales. Depende del negocio y de cómo se utilice la tecnología. 

Con este conocimiento, las alarmas se reducirán considerablemente permitiendo un análisis y actuación humana más centrados en aquellos incidentes que lo requieran, se podrán detener las amenazas antes de que penetren y se propaguen en los sistemas, y, en algunos casos, se podrán actualizar o poner un parche de manera automática donde se requiera. 

Pero los sistemas cognitivos no se tienen que reducir a analizar los datos producidos por las máquinas, almacenados en los logs, es decir, datos estructurados. La CC tiene otras herramientas de las que pueden hacer uso los sistemas para interpretar los datos no estructurados. Al utilizar el reconocimiento del lenguaje natural tanto hablado como escrito, pueden examinar informes, alertas comunicadas en redes sociales o comentarios sobre amenazas, conversaciones o seminarios, análogamente a cómo lo hacen los expertos -humanos- en seguridad para mantenerse permanentemente informados.  

Finalmente, insistir en el papel esencial que juegan los humanos en la CC. Por una parte, el aprendizaje de la máquina no solo supone la ingesta automática de datos -seleccionados o proporcionados los criterios de selección de los datos adecuados por humanos-, sino que debe acompañarse de un entrenamiento realizado por expertos. Por otra, los sistemas cognitivos ofrecen informes, que serán estudiados por las personas adecuadas con el fin de tomar decisiones. 

Que es lo que viene a decir Bloomberg en el artículo "La Inteligencia Artificial no puede sustituir el toque humano en ciber-seguridad"[ix] del pasado mes de abril, en el que proporciona el ejemplo de Mastercard Inc., que utiliza sistemas de IA para detectar transacciones anormales, para, a continuación, ocuparse los profesionales de ciber-seguridad de evaluar la gravedad de la amenaza.  

Conclusión: Wanna Cry

¿Qué hubiera pasado si una vez publicado el código de la herramienta de la NSA "EternalBlue" las máquinas hubieran leído su código y aprendido cómo funcionaba? 

Quizás se hubiera desactivado su carga, bien porque la máquina hubiera reconocido sus códigos como maliciosos, bien porque hubiera buscado un parche para la vulnerabilidad aprovechada para lanzar los ataques. 

Según The Hacker News[x], desde que "The Shadow Brokers" a principios de abril filtró la vulnerabilidad y el código, este se aprovechó en varios ataques durante ese mismo mes, y, ya en el mes de mayo, se utilizó para "Wanna Cry". 

A mitad de abril, Microsoft liberó los parches que arreglaban la vulnerabilidad de sus sistema de intercambio de ficheros (SMB - Server Message Block) para todas las versiones de los distintos sistemas operativos que la tenían, incluyendo los que ya no da soporte, como el Windows-XP. 

¿Se podría haber evitado Wanna Cry? 

* * *

Este artículo fué publicado originalmente por @PuntoSeguridad.com/"Cuadernos de Seguridad", julio-agosto 2017, nº 324, pg.95, Ciberseguridad – "IA: problema y solución de la ciber-seguridad" – María José de la Calle. 

--------------------------------------------

[i] "These factories are crunching production time with artificial intelligence" (20160709) Business Insider url [a 20170529] http://www.businessinsider.com/sc/artificial-intelligence-change-manufacturing  

[ii] Clay Dillow (20161121) "How scientists will use artificial intelligence to find aliens" Popular Science url [a 20170529] http://www.popsci.com/how-scientists-will-use-artificial-intelligence-to-find-aliens  

[iii] "Artificial intelligence can accurately predict future heart disease and strokes, study finds" (20170424) University of Nottingham url [a 20170529] https://www.nottingham.ac.uk/news/pressreleases/2017/april/artificial-intelligence-can-accurately-predict-future-heart-disease-and-strokes-study-finds.aspx  

[iv] Kevin Ebi (20170518) "How will AI transform cities? 3 experts weigh in" SmartCitiesCouncil url [20170529] http://smartcitiescouncil.com/article/how-will-ai-transform-cities-3-experts-weigh  

[v] "While both technologies refer to the same process, [...] cognitive uses a suite of many technologies that are designed to augment the cognitive capabilities of a human mind. A cognitive system can perceive and infer, reason and learn. We’re defining AI here as a broad term that loosely refers to computers that can perform tasks that once required human intelligence."  

Greg Bell, Cliff Justice, Tony Buffomante, Ken Dunbar (20170413) "AI Adds a New Layer to Cyber Risk". Harvard Business Review. url [a 20170529] https://hbr.org/2017/04/ai-adds-a-new-layer-to-cyber-risk.  

[vi] Ver nota v. 

[vii] Como nos ilustra el artículo "Artificial intelligence-powered malware is coming, and it's going to be terrifying". Rob Price (20161008) Business Insider UK url [a 20170529]  http://uk.businessinsider.com/darktrace-dave-palmer-artificial-intelligence-powered-malware-hacks-interview-2016-10  

[viii] Satya Ramaswamy (20170417) "How Companies are already using AI". Harvard Business Review. url [a 20170529] https://hbr.org/2017/04/how-companies-are-already-using-ai  

[ix] Jimmy H. Koo (20170404) "Artificial Intelligence Can’t Replace Human Touch in Cybersecurity" Bloomberg url [a 20170529] https://www.bna.com/artificial-intelligence-cant-n57982086179/  

[x] Mohit Kumar (20170519) "More Hacking Groups Found Exploiting SMB Flaw Weeks Before WannaCry". The Hacker News url [a 20170529]  http://thehackernews.com/2017/05/eternalblue-smb-exploit.html   

 

¿Sociedad de la información o sociedad inundada de información?

Monday, 24 July 2017 Maria Jose de la Calle Posted in iTTi Views

El uso de las tecnologías de la información con su capacidad de comunicación y producción de datos e información, ha conducido a una inundación de los mismos, inundación que está produciendo una incapacidad para leer, comprender, juzgar e interpretarlos, debidamente. Una consecuencia de esto, es la propagación de noticias falsas en las redes, a veces por desconocimiento, a veces con intenciones aviesas. 

El vocablo "inundar" proviene de la palabra latina inundare, que significa llenar de agua. Así lo expresa el Diccionario de la Real Academia de la Lengua Española (DRAE) en su primera acepción, es "Dicho del agua: Cubrir un lugar determinado".  A lo que se añade una tercera "Dicho especialmente de un gran número de personas o cosas: Llenar un lugar". 

Así mismo, el DRAE en la entrada de "informar", nos informa que viene del latín informāre: 'dar forma', 'describir'.

Así pues se puede afirmar que la información proporciona descripción de fenómenos, situaciones, actividades, personas, cosas, etc.  

Los datos y la información no sólo los generamos los humanos, también los generan las máquinas. El V informe de INCAPSULA[i]  del tráfico producido en la red proporciona el siguiente dato: el 51,8% es creado por máquinas, no por personas. 

La Información se vierte -o vomita- en la red en forma de texto o imágenes sobre lo que sucede a nuestro alrededor. La inmediatez con que llegan las noticias colocadas en la web por cualquier testigo presente con un dispositivo móvil, ha producido que ya no se necesite tener a un periodista presente para contarlas. De hecho no es infrecuente ver vídeos o fotos tomadas por "aficionados" en las páginas web de periódicos, o un artículo-noticia "veteado" con "tweets" recientes de testigos de la noticia.  

Unido a esto, hay aplicaciones o bots[ii] que la generan automáticamente, como el caso de los que utiliza la BBC[iii]. En Twitter, detrás de entre 9% y el 15% de las cuentas no hay personas[iv]. Son utilizadas para generar visitas a web poco visitadas -por personas-, generar spam, crear tendencias; o -por proporcionar ejemplos más positivos-, para atención al cliente o como asistentes.  

Tal abundancia se puede llevar por delante y dañar la calidad de la propia información. Cuando se habla de la seguridad de la información, se está haciendo referencia a la confidencialidad (C), integridad (I) y disponibilidad (D). Quizás a la seguridad de la información, para que ésta sirva para "dar forma" adecuada a hechos y cosas en general, habría que dotarla de otra cualidad, que es la veracidad, que a diferencia de la tríada C-I-D, no es un tema técnico, sino más bien de conocimiento de la disciplina relacionada con la propia información. 

Las inundaciones constituyen, en la mayoría de los casos, fenómenos adversos que destruyen el "lugar que llenan",  llegando a producir daños al medio ambiente, a propiedades e incluso, a las personas. Se lo llevan todo por delante, allá por donde pasan. 

De igual manera, la inundación de datos e información hace que éstos se tornen inútiles. Trae una mezcla de datos veraces y otros no tanto, de datos útiles e inútiles, de información publicada con una intención de informar o de desinformar. Hay que tener la capacidad de saber separar aquello necesario de lo que no lo es, y lo que es cierto de lo que no, de intuir el propósito que subyace a ella. Hay que saber elegir e interpretar aquello que sea útil para el propósito que se busca, en un tiempo razonable. Esto es lo que se  denomina pertinencia. 

La información no adecuada o falsa puede causar daños ya que puede confundir, dañar la imagen de una persona u organización, o manipular una toma de decisiones. 

Por ejemplo, en unas elecciones la manipulación de hechos dirigidos a la 'opinión pública', con el fin de conseguir votantes. Este fue el caso de las últimas elecciones presidenciales en EEUU, según la publicación de la Universidad de Stanford "Social Media and Fake News in the 2016 Election"[v], en que se puede leer la preocupación por los efectos que las falsas noticias que circularon por las redes sociales, la mayoría de las cuales favorecían al presidente electo, y cómo dichas noticias podían haber inclinado la balanza hacia él.

La importancia de la información y su control no es un tema nuevo. 

Así, el profesor Josep Fontana en su libro "La historia de los hombres"[vi], explica "la aparición de una 'opinión pública' a partir de mediados del s. xvii". Un fenómeno ligado al surgimiento de una auténtica 'industria de la información' que multiplicó las impresiones de cartas, folletos, gacetas y, en general, de textos breves y accesibles a un público extenso, que se ocupaban de crítica política o reproducían todo tipo de noticias del momento. Y añade "la importancia que tuvo en Italia y Francia esta revolución de la información que llevaba a los propios historiadores a decir que vivían en un tiempo "lleno de noticias" y que obligó a los gobiernos a tomar historiadores a su servicio para combatir los efectos de la crítica (Luís XIV de Francia tenía en nómina a 19 historiadores)".  

El adjetivar el tiempo en que vivían como "lleno de noticias" nos hace sonreír.  Con el apoyo de las Tecnologías de la Información, la cantidad de información que se genera y distribuye en el mundo hoy día es enorme. Para medirla, y tomando como base el byte[vii], se ha pasado desde el comienzo de estas nuevas tecnologías, de kilobytes (Kb = 103 bytes),  a megabytes (Mb 106 bytes), gigabyte (Gb = 109 bytes), terabyte (Tb = 1012 bytes), petabyte (Pb = 1015 bytes), exabyte (Eb = 1018 bytes), zettabyte (Zb = 1021 bytes).  

Un artículo[viii] de hace un año de la "Northeastern University" ya decía que al día se producían 2,5 Eb, equivalentes a 90 años de grabación de vídeo en alta definición, o a 150 billones de canciones o a 250.000 veces el contenido en digital de la biblioteca del Congreso de EEUU. 

Se habla de la sociedad de la información, de la información como la energía del siglo XXI, de la revolución de la información. Pero para que ésta constituya un bien para todos y riqueza parala sociedad, es necesario aprender a utilizarla, a producirla y a distribuirla. Hay que cuidarla y mantenerla adecuada para el consumo, al igual que el agua. La información contaminada, puede causar muchos daños. 

¿Qué es la información?

La información es el resultado de la interpretación de unos datos: primero hay que conocer la bondad de dichos datos, y segundo, fijar un contexto para interpretar dichos datos.  

Por tanto, con el fin de poder hacer uso de una información, hay que tener la capacidad para analizar ambas cosas: los datos y el contexto utilizado para interpretarlos. Así, se podrá distinguir lo verdadero de lo falso, o la intención que pueda subyacer a la información.

¿Pero hay tiempo de reflexión suficiente o criterios claros a la hora de retwittear o dar un click en a "me gusta"? ¿Hay capacidad para una adecuada selección da datos a la hora de utilizarlos? 

Desde luego nos podemos servir de herramientas que ayuden a esta tarea, pero dichas herramientas están basadas en criterios de selección, clasificación y extracción que también se deberían conocer, ya que podrían estar creados para dar unos resultados no acordes con los fines buscados. Recordemos además que todo filtro supone falsos positivos y falsos negativos. 

Para esto, la educación tiene mucho que decir. Sin ir más lejos, en la plataforma de cursos gratuitos en-línea (moocs) "edx" hay un curso "Fake News, Facts, and Alternative Facts"[ix], "para aprender a distinguir fuentes de noticias fiables e identificar los sesgos de la información para llegar a ser un consumidor crítico de la información". 

Cómo decidir si una información es falsa  

En una reciente infografía[x] de "Futurism.com" se puede leer lo siguiente: "Las noticias falsas son un serio problema en EEUU a día de hoy por varias razones: está influenciando las acciones de las personas, y éstas están teniendo dificultades para entender qué noticia es verdadera y cuál es falsa". 

La existencia de tantos datos e informaciones falsas, parece que ha empezado a preocupar. A juzgar por las noticias publicadas, lo que ha disparado dicha preocupación han sido las últimas elecciones en los EEUU -como el ya comentado documento de la Universidad de Stanford o la infografía de Futurism- en las que se ha hecho una utilización masiva de las redes sociales, y en las que se podía saber minuto a minuto todo lo que decían los candidatos y lo que se comentaba de ellos, fuera cierto o no.  

En la infografía se proponen tres soluciones: que quien edita la noticia se asegure de que es cierta -solución que ya en publicaciones de cierto rigor se viene haciendo-; que sean los usuarios/lectores quienes juzguen, marcándolas en un sentido u otro; algoritmos que las marquen, solución que ya se ha puesto en marcha en algunas redes.

Tanto la primera solución como la segunda dependen del "buen hacer" de las personas, y el proceso a veces es lento para la velocidad de comunicación en la web. En cuanto a las soluciones automatizadas, se pone en manos de unos pocos -las empresas dueñas de dichas soluciones- la importante tarea de marcar datos e información como no falsos. 

Según el artículo de "The New York Times", "Google and Facebook Take Aim at Fake News Sites"[xi], las redes sociales no se libraron de las críticas por permitir las noticias falsas. Tanto es así, que tomaron cartas en el asunto: Google prohibiría las web que difundiera noticias falsas, y Facebook no mostraría publicidad de páginas -sites- que incluyan noticias falsas.

Posteriormente, Facebook, según un artículo[xii] de Vox del pasado 27 de marzo, obligaría a dar dos clicks para poder compartir una noticia que según sus algoritmos considerara falsa, marcándola con una etiqueta "disputed" (controvertida).  

Las medidas que implementan dichas empresas en sus herramientas, están basadas en algoritmos de los que hay que fiarse sin saber muy bien cómo funcionan. 

Esto se complica más si dichos algoritmos pertenecen a la categoría de la "Inteligencia Artificial"; la cuestión de conocer cómo está funcionando un algoritmo concreto sería un tema difícil de resolver: el sistema adapta sus algoritmos dependiendo de los nuevos datos que trate. Citando un artículo[xiii] de la "MIT Technology Review", "Nadie realmente sabe cómo los más avanzados algoritmos hacen lo que hacen. Esto podría ser un problema". 

Cualquiera de de las tres soluciones parece tener sus problemas, quizás la solución no sea una u otra sino todas al unísono. 

Pero hay una última de la que no habla la infografía, que ya he apuntado antes: la educación, es decir, aprender a tratar la información, contrastarla con diferentes fuentes, aprender cómo conseguir fuentes fiables. Y tomarse el tiempo suficiente -dependiendo de las consecuencias de la acción posterior- para tomar en consideración una información u otra.  

En definitiva, aprender a vivir en la sociedad de la información. 

* * *

Este artículo fué publicado originalmente por @PuntoSeguridad.com/"Cuadernos de Seguridad", junio 2017, nº 323, pg.84, Ciberseguridad – "¿Sociedad de la información o sociedad inundada de información?" – María José de la Calle.

------------------------------------

[i] "Bot Traffic Report 2016". url [a 20170424]  https://www.incapsula.com/blog/bot-traffic-report-2016.html   

[ii] "Un bot (aféresis de robot) es un programa informático, imitando el comportamiento de un humano", según la definición que ofrece Wikipedia. url [a 20170424] https://es.wikipedia.org/wiki/Bot  

[iii] "How can we leverage bot technologies to reach new audiences on messaging platforms and social media?" url [[a 20170424] http://bbcnewslabs.co.uk/projects/bots/  

[iv] O. Varol, E. Ferrara, C. A. Davis,F. Menczer, A. Flammini (20170327)  "Online Human-Bot Interactions: Detection, Estimation, and Characterization".  url [a 20170424]  https://arxiv.org/pdf/1703.03107.pdf  

[v] H. Allcott, M. Gentzkow (201703).  "Social Media and Fake News in the 2016 Election".  url [a 20170424] https://web.stanford.edu/~gentzkow/research/fakenews.pdf  

[vi] "La historia de los hombres" Pag. 84. Josep Fontana. Ed. Crítica, 2001. 

[vii] url [a 20170424] https://es.wikipedia.org/wiki/Byte  

[viii] M. Khoso (20160513)  "How Much Data is Produced Every Day?". Northeastern University. url [a 20170424]  http://www.northeastern.edu/levelblog/2016/05/13/how-much-data-produced-every-day/  

[ix] "Learn how to distinguish between credible news sources and identify information biases to become a critical consumer of information". edx.  url [a 20170424] https://www.edx.org/course/fake-news-facts-alternative-facts-michiganx-teachout-2x  

[x] "Fake news is a serious problem in the U.S. right now, for several reasons: it is influencing the actions of real people, and people are having difficulty undestanding which news is real and which news is fake" Futurism.com. url [a 20170424] https://futurism.com/images/fighting-fake-news-can-technology-stem-the-tide/  

[xi] N. Wingfield, M. Isaac, K. Benner (20161114)  "Google and Facebook Take Aim at Fake News Sites" The New York Times. url [a 20170424]   https://www.nytimes.com/2016/11/15/technology/google-will-ban-websites-that-host-fake-news-from-using-its-ad-service.html?_r=0  

[xii] A. Romano (20170324) "Facebook is fighting fake news by making it harder — or at least more annoying — to share" Vox. url [a 20170424]  http://www.vox.com/culture/2017/3/24/15020806/facebook-fake-news-alert-fact-checking 

[xiii] "No one really knows how the most advanced algorithms do what they do. That could be a problem."  W. Knight (20170411) "The Dark Secret at the Heart of AI". MIT Technology Review. url [a 20170424]  https://www.technologyreview.com/s/604087/the-dark-secret-at-the-heart-of-ai/ 

 

Contadores inteligentes: 4 zonas de inseguridad

Thursday, 20 July 2017 Maria Jose de la Calle Posted in iTTi Views

Se han producido dos hechos que me han llevado a hacer algunas reflexiones sobre los contadores -equipos de medida del consumo eléctrico, de gas o de agua-  llamados "inteligentes". (Hoy día todo tiene que ser inteligente, ¿será que las personas ya no lo somos tanto?). 

El primero de los hechos, la recomendación de un artículo[i] en el boletín semanal del "Centro de Ciberseguridad Industrial" (CCI) del 8 de mayo pasado sobre la seguridad -o mejor dicho, inseguridad- de dichos contadores, tal y como indica su título, "Productos seguros: utilizando los contadores inteligentes como vectores (portadores) de ataque". 

El segundo, unos días después, la llegada de una carta de Iberdrola informándome de la próxima sustitución del contador actual por otro "inteligente".  

Según la carta, los nuevos equipos de medida permiten la telegestión, significando esto, y cito textualmente "la capacidad de lectura de contadores y cambio de condiciones de contrato sin personarse en el domicilio". Es decir, los nuevos equipos de medida suponen un enlace directo con la empresa suministradora.  

Entre las ventajas que se supone que aportan al usuario son localizar más rápidamente el origen de una avería, y por tanto, resolución más rápida; el acceso desde la web del propio usuario al contador para poder obtener datos de consumo, de contrato, o la reconexión del interruptor de control de potencia (ICP) tras un disparo por sobrecarga.

Dichos contadores además de informar sobre el consumo, "incluyen comunicación bidireccional a intervalos frecuentes y pueden informar de situaciones como apagones", como bien resume el artículo anteriormente citado. 

Estos equipos están comunicados -en la mayoría de los casos, por medio de la red móvil GSM- a servidores, a los que envían y desde los que reciben datos. Los datos intercambiados pueden ser de varios tipos, tal y como se informa en la carta: contractuales y personales, de estado del equipo, u  órdenes que se le pueden dar a dicho equipo -como la reconexión del ICP, por ejemplo-. 

La falta de seguridad en estos dispositivos, y sus comunicaciones, hace que bienes personales y de las empresas se encuentren amenazados, tanto los virtuales -información en general- como los físicos. Hoy día los procesos físicos están controlados por software -ataques a las subestaciones eléctricas de Ucrania, por ejemplo-. 

Algunas amenazas en el uso de los contadores inteligentes

Así, volviendo al citado artículo "Productos seguros: utilizando los contadores inteligentes como vectores (portadores) de  ataque", su título ya nos proporciona alguna pista. 

Dicho artículo se apoya en un informe[ii] de hace diez años del Sandia National Laboratories[iii] de EEUU, en el que se describen varias amenazas a tener en cuenta en el uso de dichos dispositivos, en un momento entonces incipiente. 

Tales amenazas se centraban -para la empresa- en el propio cliente que podía alterar sus consumos o el precio para así conseguir energía más barata; en la amenaza interna de la empresa -los propios empleados- para alterar el comportamiento de los dispositivos y sistemas comunicados entre sí, y en el terrorismo y la amenaza de otra nación hacia la infraestructura crítica que supone la red eléctrica, de distribución de gas o de agua. Los autores del informe suponían, por tanto, la debilidad de  los equipos de medida y de la red creada alrededor de unos servidores con los cuales se comunicaban.  

Se pueden delimitar tres zonas que pueden resultar atacadas: el propio contador, el servidor con el que se comunica y la estación de producción o distribución del bien de que se trate.  

Ahora bien, el contador está situado entre la red de suministro y el edificio al cual se le suministra energía. 

Cambiando la perspectiva de la red de suministro hacia el destino del suministro, es decir, hacia el cliente, este se puede ver amenazado por un ciber-delincuente que piratee el contador o recoja los datos que circulan a través de las redes inalámbricas o móviles con las que se conecta dicho contador con la empresa suministradora. 

Como la propia empresa suministradora indica en sus cartas, los datos son contractuales y personales (lo que puede suponer una violación de la intimidad); de estado del equipo; u órdenes que se le pueden dar a dicho equipo.

Estas órdenes, entre otras cosas, pueden dejar sin suministro al edificio o causar una sobrecarga, lo que  puede producir daño a los bienes conectados y a lo que contengan -alimentos refrigerados o congelados, por ejemplo- o daños personales, al dejar de tener el suministro adecuado de energía -piense, por ejemplo, en dispositivos eléctricos para el cuidado de la salud-. 

Con esta nueva perspectiva, aparece la cuarta zona de inseguridad, que es la relativa al cliente y sus datos personales, así como sus bienes necesitados de un correcto suministro de la energía.   

De lo expuesto, sería lógico esperar que los llamados contadores inteligentes y la red que conforman con los servidores a los que se conectan, estarían actualmente equipados con toda suerte de medidas de seguridad para evitar que los datos fuesen robados o modificados, o para servir de llave de entrada a la organización, como portador de malware.

Sin embargo, a pesar de que han pasado ya diez años desde el informe del Sandia National Laboratories, los equipos de medida no parece que hayan cambiado mucho y las amenazas parece que cada vez tienen más posibilidades de materializarse.  

Algunas debilidades de los contadores inteligentes

El periódico El Confidencial informaba[iv] en enero del último Chaos Communications Congress, celebrado en Hamburgo (Alemania) a finales de diciembre del pasado año 2016. En dicho congreso, Netanel Rubin -experto en ciberseguridad israelí- avisaba de los peligros de estos equipos. 

Hay que destacar que: "Los contadores inteligentes son poco seguros por diseño”, “no tienen una CPU -unidad central de proceso de un ordenador- con suficiente potencia ni memoria para utilizar claves de cifrado fuertes”. Estas características implican que la parte del código que controla las comunicaciones está normalmente reducido y optimizado. 

Habitualmente, la forma en que se comunican los contadores con los servidores de las compañías es mediante el protocolo GSM, el estándar de comunicaciones 2G utilizado en las redes móviles, eminentemente inseguro[v]. 

Aunque todo esto ya resulta alarmante, siguiendo con el artículo, la entrada física de un ladrón en un edificio se puede ver facilitada. 

Por una parte, dado que entre los datos del contador figura el consumo, se puede deducir cuándo el edificio o vivienda están vacíos. 

Por otra, desde el contador inteligente se podría -si no hay cortafuegos o contraseñas robustas- tener "acceso a todos los dispositivos inteligentes del edificio conectados a él, desde el aire acondicionado hasta un sistema de cierre de puertas automático”. 

Si entre los dispositivos inteligentes está la cerradura de la puerta, ya no será necesario forzarla -físicamente- para entrar. 

Además, “los contadores están situados en un punto crítico de la red eléctrica, debido a la gran cantidad de voltaje que reciben y distribuyen. Una línea de código incorrecta podría causar serios daños, un atacante que consiguiera controlar el software que rige el aparato, podría hacer que este explosione y provoque un incendio”. 

En 2015, en Sacramento[vi] (California) esto fue lo que ocurrió, la explosión de contadores, no por el  software en este caso, sino por una causa física que produjo una sobrecarga.  

¿Se puede hacer algo?

Se puede, tal como aconseja la autora del artículo, "Los riesgos se evitarían si las compañías usaran un método de cifrado robusto, si segmentaran la red para emplear claves variadas y si monitorizaran el sistema". 

Parece que en España algunas compañías eléctricas aseguran que colocan contadores cuyos datos están cifrados y tienen dos claves de seguridad; y que, además, realizan constantemente análisis de vulnerabilidades a toda la infraestructura de telegestión, incluidos los equipos de campo. 

(Espero que entre ellas esté Iberdrola porque es la que alimenta mi ordenador y mi nevera).  

* * * 

Este artículo fué publicado originalmente en la web de ComunicacionesHoy  – "Contadores inteligentes: 4 zonas de inseguridad" el día  12/06/2017 - María José de la Calle. 

---------------------------------------

[i] "Safety products: Using smart meters as a digital attack vector" (20170424) Utility Products url [a 20170606] http://www.utilityproducts.com/articles/2017/04/safety-products-using-smart-meters-as-a-digital-attack-vector.html  

[ii] Raymond C. Parks (200711) "Advanced Metering Infrastructure Security Considerations" Sandia National Laboratories url [a 20170606] https://energy.gov/sites/prod/files/oeprod/DocumentsandMedia/20-AMI_Security_Considerations.pdf  

[iii] url [a 20170606] https://es.wikipedia.org/wiki/Laboratorio_Nacional_Sandia   

[iv] Lucía Caballero (20170110) "Por qué el contador inteligente de la luz es una bomba de (ciber)relojería en tu casa" El Confidencial url [a 20170606] http://www.elconfidencial.com/tecnologia/2017-01-10/contador-inteligente-factura-luz-electricidad-ciberataques_1314050/  

[v] Daviid G. Ortiz (20140308) "Investigadores españoles demuestran que las redes 3G se pueden 'hackear' al menos de cuatro formas" eldiario.es url [a 20170606] http://www.eldiario.es/hojaderouter/seguridad/root2G-3G-ataques-David_Perez-hacking-Jose_Pico-Layakk-redesed_con-seguridad_informatica_0_275772476.html 

[vi] "Stockton Smart Meters Explode After Truck Causes Power Surge" (20150330) CBS Sacramento url [a 20170606] http://sacramento.cbslocal.com/2015/03/30/stockton-smart-meters-explode-after-truck-causes-power-surge/ 

 

¿Pueden pensar las máquinas?

Thursday, 13 July 2017 Maria Jose de la Calle Posted in iTTi Views

El título de esta artículo es en realidad parte de la frase con la que comienza el artículo de Alan Turing titulado "Computing Machinery and Intelligence"[1], publicado en 1950. La frase completa era "Propongo considerar la pregunta, ¿pueden pensar las máquinas?" colocada debajo del epígrafe "1.El juego de imitación", que, como ya habrá adivinado el lector, conduce al conocido "Test de Turing", importante precursor de la disciplina conocida como "Inteligencia Artificial" (IA).

Hoy día se están popularizando términos como computación cognitiva, redes neuronales y aprendizaje profundo -deep learning-, todos ellos conceptos relacionados con la IA, de los que cuales se lleva hablando ya desde mediados del pasado siglo XX.  

Pero no es hasta mediados de la primera década de este siglo XXI cuando se produce un despegue del llamado "aprendizaje de las máquinas" con unos resultados y unas posibilidades que en estos momentos no llegamos a ver. 

Han empezado a proliferar aplicaciones y herramientas basadas en estos modelos de computación, que son los del aprendizaje de las máquinas o "aprendizaje profundo", o herramientas de simulación para hacer predicciones con multitud de datos recogidos de situaciones parecidas, con los que las máquinas aprenden. 

Tanto es así, que los productos que empiezan a salir al mercado, parece que deben llevar alguna etiqueta haciendo referencia a la IA, como "reconocimiento del lenguaje natural", "computación cognitiva",  "aprendizaje de la máquina", etc.  

Empresas como Google, Facebook, Apple, IBM, Salesforce, CISCO, etc. están inmersas en investigación de herramientas y plataformas que utilicen algoritmos de "aprendizaje de las máquinas". En ciberseguridad se está considerando como una potente ayuda a la cantidad de ciberamenazas a que se enfrentan las organizaciones.  

En palabras de Jense Huang -CEO de Nvidia- "El software se está comiendo el mundo, pero la IA va a comerse el software"[2]. 

De la misma manera, las empresas consumidoras demandan, también, dichos productos como solución a sus problemas. 

¿Pero es necesario utilizar para cualquier tarea este tipo de herramientas? ¿O quizás habría que pararse a pensar qué herramienta es necesaria para la tarea concreta independientemente de que lleve la etiqueta de IA o no?  

En diciembre del pasado año 2016, el CISR de la MITSloan en uno de sus "Research Briefing" titulado "Cinco cosas que debes conocer de la computación Cognitiva"[3] publicó datos de un estudio sobre este tema en base a entrevistas realizadas a líderes del negocio y de tecnología de treinta y tres empresas. 

Del estudio se desprende que, por una parte, no hay soluciones inmediatas a las incertidumbres de hoy, y por otra, las soluciones no son universales, ni para todos los problemas y tareas, ni para todas las empresas. Antes de implementar soluciones IA, se deben conocer muy bien las reglas del negocio. 

Las Tecnologías de la Información (TI) son herramientas, muy potentes sin duda, y que han cambiado y siguen cambiando el mundo, pero herramientas al fin y al cabo, que hay que saber dónde, para qué y cómo utilizar. 

Pero empecemos con ... 

Un poco de historia 

El famoso "Test de inteligencia" propuesto por  Alan Turing en 1950, ya mencionado, consistía  en que un humano evaluara conversaciones en lenguaje natural entre otro humano y una máquina diseñada para generar respuestas similares a las de un humano. Se podría calificar de "inteligente" a la máquina si el humano que evaluaba a ambos participantes no supiera distinguirlos.

Unos años después, en 1955, John McCarthy (Dartmouth College), Marvin Minsky (Harvard University), Nathan Rochester (I.B.M. Corporation) y Claude Shannon (Bell Telephone Laboratories) convocaron a un grupo de investigadores para una reunión en el Dartmouth College. 

En la propuesta[4] de temas a tratar que hicieron para la cumbre, aparecieron términos como procesamiento del lenguaje natural, redes neuronales (Neural Nets o NN), aprendizaje y "auto-mejora" (self-improvement) de las máquinas, entre otros.  

El aprendizaje de las máquinas se describía[5] como un mecanismo con canales de entrada y salida, así como de un medio -algoritmos matemáticos- para dar una variedad de respuestas de tal manera que la máquina pudiera ser entrenada por un proceso de "prueba y error" para escoger una de entre una variedad de funciones de "entrada-salida".  

En esencia, esto es lo que hacen las redes neuronales, "que consisten de muchos procesadores sencillos conectados, llamados neuronas, cada uno produciendo una secuencia de activaciones de valores reales. Las neuronas "input" se activan a través de sensores que perciben el entorno, otras neuronas se activan a través de conexiones ponderadas (dando pesos a los distintos datos, de forma análoga a la importancia que se da a los distintos factores cuando se toman decisiones) procedentes de neuronas ya activas"[6]. Son algoritmos y modelos estadísticos. 

La reunión de Dartmouth, efectivamente, tendría lugar en el verano del año siguiente,1956, y entre la veintena de participantes, incluidos los firmantes de la convocatoria, se reunieron tres premios Nobel y cuatro premios Turing[7].

Fue en esta "Conferencia de Dartmouth"[8] ("The Dartmouth Summer Research Project on Artificial Intelligence") donde quedaría acuñado oficialmente el término "Inteligencia Artificial" ("Artificial Intelligence"). 

El nuevo concepto[9] se definió como "la ciencia y la ingeniería para hacer máquinas inteligentes, particularmente programas de ordenadores inteligentes"; entendida dicha inteligencia como "la parte computacional de la capacidad para conseguir objetivos en el mundo". 

Los algoritmos y modelos matemáticos relacionados con las NN han evolucionado desde los años 40 del pasado siglo, de unas cuantas etapas de computación en respuesta a unas cuantas capas de NN (Shallow NN), a algoritmos desarrollados entre los años 60 a 80 para los modelos lógicos de NN complejas de miles de "neuronas" simuladas, organizadas en docenas o centenas de capas interconectadas. 

Las neuronas de la primera capa reciben un dato de entrada o señal -como la intensidad de un pixel en una imagen- y realizan cálculos para entregar como resultado una nueva señal a las neuronas de la siguiente capa, y así hasta obtener un resultado final[10]. 

La profundidad (deep = profundo) del "deep learning" -aprendizaje profundo-, se refiere a la arquitectura de las máquinas en las capas ya mencionadas, análogas a la profundidad de las capas de neuronas interconectadas del cerebro. 

Pese a lo que ya dura la investigación en IA, solo en este siglo XXI[11], y concretamente a partir del año 2006, parece haberse dado el pistoletazo de salida a una carrera en pos de producir herramientas tanto para uso de cualquier ciudadano como para uso industrial -robótica- y empresarial. 

Ha sido en este siglo cuando, por una parte, se ha dispuesto de la cantidad de datos suficiente como para poder alimentar el "aprendizaje" de una máquina; y, por otra, se ha alcanzado una eficiencia y potencia de cálculo en las máquinas notablemente superior a las coetáneas de los principales algoritmos y modelos de la IA del pasado siglo. 

Así las cosas, en el año 2006 Geoffrey Hinton y Ruslan Salakhutdinov -miembros, ambos, en ese momento del departamento de "computer science" de la Universidad  de Toronto- publicaron[12] cómo acelerar el proceso de "deep learning", popularizando este concepto, e impulsando la IA. 

Desde entonces se ha progresado mucho. El reconocimiento de fotografías - por ejemplo las de los gatos, (Google, 2012) o las de personas (Facebook, 2015)-, los llamados "asistentes virtuales" con reconocimiento del lenguaje natural -Siri, Cortana o Alexa-, o las aplicaciones de búsqueda, análisis y clasificación de todo tipo de datos -como ofrece la plataforma "Watson" de IBM-, son todos ejemplos de dicho progreso.  

Es precisamente a IBM, y concretamente a su plataforma "Watson" de IA, a quien se le asocian los términos "computación cognitiva" y "sistemas cognitivos". El Dr. John E. Kelly III, Vicepresidente de "IBM Research", en un documento del 2015, define estos términos como "referidos a sistemas que aprenden a escala, razonan con un propósito e interactúan con humanos de manera natural. En vez de ser explícitamente programados, aprenden y razonan desde su interacción con nosotros y desde sus experiencias con el entorno"[13]. 

Una propuesta muy similar a la recogida en la convocatoria del año 1955 para la Conferencia de Dartmouth, ya citada. 

* *

Sobre la computación cognitiva en las organizaciones

Volviendo a la investigación llevada a cabo por el equipo del CISR[14], en el artículo se declara como objetivo de dicha investigación responder a una serie de preguntas: ¿Cómo de disruptiva es la computación cognitiva (CC)? ¿Cambiará radicalmente la CC los negocios y los trabajos? ¿Qué deben hacer los líderes del negocio para sacar provecho de las posibilidades que le ofrecen? ¿Cómo evitar los riesgos desconocidos? A mi juicio, unas incógnitas perfectamente planteables en el ámbito de la adopción y uso, por parte de las organizaciones, de las tecnologías de la información.  

El documento define la CC "como un sistema que adapta sus algoritmos o procesamiento subyacentes dependiendo de la exposición a nuevos datos"[15].  De esto se puede deducir que, a la hora de desarrollar dicho sistema se necesitan en primer lugar, muchos datos, y, en segundo lugar, tiempo para  estabilizar los algoritmos y conseguir los resultados buscados. 

Los usos que los negocios puedan hacer de la CC serán útiles si los productos que la incorporen son consistentes, precisos y fiables. Dichos usos tienen el potencial de hacer más eficientes los procesos operativos y de toma de decisiones; pero, para ello, dichos procesos se deben entender muy bien, han de estar muy bien diseñados y ya deben estar digitalizados, como condiciones previas a su automatización empleando CC.  

Los autores declaran que en la investigación inicial "aprendieron cinco lecciones": 

1ª Lección: la CC debe aplicarse a tareas definidas muy concretas. Como ya se ha visto anteriormente, los dos hechos relevantes que han permitido el desarrollo de la IA han sido la disponibilidad de potencia de procesamiento, y por otro, el fácil acceso a gran cantidad de datos electrónicos. Estos dos hechos han permitido innumerables y rápidas iteraciones de aplicaciones que podían probar hipótesis, obtener patrones y optimizar modelos.  

Como resultado, los negocios pueden obtener éxito al aplicar herramientas de aprendizaje de las máquinas sólo a los procesos que 1) tengan un resultado establecido; 2) sean muy repetitivos, y 3) dependan de datos electrónicos accesibles e interpretables.  

Por ejemplo: la evaluación de un crédito bancario a un cliente potencial. 

2ª Lección:  Muchos problemas de negocio no son adecuados para la CC. La CC no puede conformar decisiones sobre entornos de alta incertidumbre o rápido cambio, por ejemplo, porque no existen aún herramientas de base, porque los datos relevantes puede que no se conozcan o no estén disponibles, y la frecuencia de un tipo de decisión sea baja. A esto se puede añadir que algunas decisiones dependen más de un instinto creativo que de un argumento de patrones establecidos. 

3ª Lección: Las máquinas aprenden sólo si los humanos las entrenan mucho. Por ejemplo, la preparación de Watson para ganar el concurso Jeopardy llevó seis años de esfuerzo. 

El uso de CC en diagnóstico médico requiere alimentar a la máquina con una gran cantidad de investigaciones médicas así como de historiales de pacientes. 

Algunas aplicaciones requieren un gran esfuerzo de enseñanza antes de que los algoritmos se estabilicen: el procesamiento del lenguaje natural sigue reglas gramaticales, pero el vocabulario puede ser muy variable en su significado, dependiendo de muchos factores, entre ellos, el contexto. 

En entornos cambiantes, el proceso de enseñanza ha de continuar ya que los motores de recomendaciones han de ser re-entrenados para adaptarse a los cambios en productos y servicios. 

4ª Lección: En muchos casos son los comerciales los mejor posicionados para recuperar las inversiones en CC. El rendimiento de la CC llega solo después de que un sistema tenga una sólida base de conocimiento, para lo cual, como ya se ha dicho, se necesita tiempo y esfuerzo. 

Para muchas aplicaciones de negocio, es posible que una sola compañía no pueda justificar la inversión requerida para, recoger, diseñar y almacenar los datos, y los modelos iniciales para comenzar el aprendizaje de la máquina. 

Los comerciales pueden recuperar las inversiones vendiendo los sistemas a otras compañías. Por otra parte, para muchas aplicaciones de la CC, las empresas harían bien en esperar productos que  ofrecieran una base de conocimiento y el modelo inicial para poder comenzar su proyecto CC.   

5ª Lección: Las compañías deben proceder de manera gradual para implementar aplicaciones de CC. El éxito de la aplicación al negocio de la CC va de la mano del crecimiento de los individuos en su comprensión del negocio. Un conocimiento vago en las reglas del negocio, limita las posibilidades de éxito en la adopción y uso de la CC. Si el resultado deseado no está claro o los datos que se requieren no están disponibles, una tarea no será adecuada para la CC. 

Una estrategia gradual de valor añadido para la CC sería la siguiente: 

   1) las empresas establecen buenas reglas de negocio mediante las personas, quienes al ejecutar una tarea aprenden las relaciones entre distintos datos de entrada y sus resultados; 

   2) con el tiempo, los resultados se entienden lo suficientemente bien como para que se puedan automatizar las tareas repetitivas; 

   3) la automatización permite probar las reglas de negocio en diferentes contextos, analizar las relaciones entre datos de entrada y resultados y elaborar o ajustar las reglas; 

   4) en sistemas cerrados, las relaciones entre datos de entrada y resultados podría ser lo suficientemente clara como para permitir herramientas de análisis predictivo; y, 

   5) para problemas complejos, la CC podría ser una opción si el sistema pudiera tener acceso a suficientes datos útiles de tal manera que la máquina tuviera una base para adaptar sus propios algoritmos. 

 * *

Conclusiones

Los autores del artículo concluyen que, al contrario que lo que se dice de ella, la CC no será probablemente tan disruptiva para la mayoría de las empresas. Algunas de éstas conseguirán beneficios desarrollando productos de negocio o de consumo que incorporen capacidades de CC.

Sin embargo, la mayoría de los líderes empresariales encontrarán el mejor camino para impulsar las oportunidades y gestionar los riesgos de la CC, invirtiendo en la mejora gradual de sus procesos. Con el tiempo, la mejora de los procesos producirán un aumento en la automatización y, quizás, conduzcan a procesos de CC.  

"No preguntes si las máquinas pueden pensar, pregunta cómo las máquinas se integran en los mecanismos que diseñamos"  

Peter Norvig. Director of Research, Google Inc, 2015. [16]

* * *

Este artículo fué publicado originalmente en la web de ComunicacionesHoy  – "¿Pueden pensar las máquinas?" el día 18/05/2017 – María José de la Calle.    

----------------------------------------------

[1] A.M.Turing (1950)  "Computing Machinery and Intelligence. Mind 49: 433-460". "1."The Imitation Game" / "I propose to consider the question, "Can machines think?"" url [a 20170515] https://www.csee.umbc.edu/courses/471/papers/turing.pdf  

[2] Tom Simonite (20170512) "Nvidia CEO: Software Is Eating the World, but AI Is Going to Eat Software" MIT Technoly Review. url [a 20170513]   https://www.technologyreview.com/s/607831/nvidia-ceo-software-is-eating-the-world-but-ai-is-going-to-eat-software/?set=607859 

[3] Jeanne W. Ross, Cynthia M. Beath, Monideepa Tarafdar (201612) "Five Things You Should Know About Cognitive Computing". Reseach Briefing, Vol. xvi, Nº 12. MIT CISR url [a 20170514]  https://cisr.mit.edu/blog/documents/2016/12/15/2016_1201_cognitivecomputing_rossbeathtarafdar.pdf/ 

[4] "A Proposal for the Dartmouth Summer Research Project on Artificial Intelligence" url [a 20170511] 

http://www-formal.stanford.edu/jmc/history/dartmouth/dartmouth.html 

[5] "The machine is provided with input and output channels and an internal means of providing varied output responses to inputs in such a way that the machine may be ``trained'' by a ``trial and error'' process to acquire one of a range of input-output functions." Ver referencia nota iv.  

[6] Jürgen Schmidhuber, (20141013) "Deep learning in neural networks: An overview" Neural Networks Volume 61, January 2015, Pages 85–117. url [a 20170511] http://www.sciencedirect.com/science/article/pii/S0893608014002135 

[7] La lista de participantes proporcionada por la  Wikipedia  (los premios no figuran): 1) Ray Solomonoff, 2) Marvin Minsky - Premio Turing, 3) John McCarthy  - Premio Turing, 4) Claude Shannon - Premio Nobel, 5) Trenchard More, 6) Nat Rochester, 7)Oliver Selfridge, 8) Julian Bigelow, 9) W. Ross Ashby, 10) W.S. McCulloch, 11) Abraham Robinson, 12) Tom Ette, 13)John Nash - Premio Nobel, 14) David Sayre, 15) Arthur Samuel, 16) Shoulders, 17) Shoulders' friend, 18) Alex Bernstein, 19) Herbert Simon - Premio Nobel - Premio Turing, 20) Allen Newell - Premio Turing.  url [a 20170516] https://en.wikipedia.org/wiki/Dartmouth_workshop 

[8] Ver nota [7].

[9] " It is the science and engineering of making intelligent machines, especially intelligent computer programs" entendida la inteligencia como "Intelligence is the computational part of the ability to achieve goals in the world". J.McCarthy (20071211) "What is Artificial Intelligence". Stanford.edu  url [a 20170511] http://www.formal.stanford.edu/jmc/whatisai/node1.html 

[10] Will Knight (20170411) "The Dark Secret at the Heart of AI". MIT Technology Review. url [a 20170511] https://www.technologyreview.com/s/604087/the-dark-secret-at-the-heart-of-ai/  

[11] "A Short History Of Deep Learning -- Everyone Should Read"  Forbes. https://www.forbes.com/sites/bernardmarr/2016/03/22/a-short-history-of-deep-learning-everyone-should-read/2/#a34cb06710c4  

[12] G. E. Hinton, R. R. Salakhutdinov. "Reducing the Dimensionality of Data with Neural Networks"  "28 July 2006 VOL 313 SCIENCE" https://www.cs.toronto.edu/~hinton/science.pdf 

[13] "Cognitive computing refers to systems that learn at scale, reason with purpose and interact with humans naturally. Rather than being explicitly programmed, they learn and reason from their interactions with us and from their experiences with their environment."  John E. Kelly III (oct, 2015)  "Computing, cognition and the future of knowing" IBM. url [a 20170514] http://www.research.ibm.com/software/IBMResearch/multimedia/Computing_Cognition_WhitePaper.pdf  

[14] Ver nota [3]

[15] "We define cognitive computing as a system that adapts its underlying algorithms or processing based on exposure to new data". Ver referencia en nota [3]. 

[16] Peter Norvig (2015)  "Ask Not Can Machines Think, Ask How Machines Fit Into The Mechanisms We Design". Edge.org url [a 20150515] https://www.edge.org/response-detail/26055 

 

¿Seguridad obligatoria?

Thursday, 08 June 2017 Maria Jose de la Calle Posted in iTTi Views

En el pasado mes de septiembre de 2016 apareció en diversos medios la noticia de la existencia de un pendrive USB que podía quemar el dispositivo al cual se conectara. Su nombre, "USB Killer"[i]. 

El motivo inicial de su fabricación no era causar daño, sino emplearlo como herramienta de verificación de aquellos dispositivos que contasen con uno, o más, puertos USB. De este modo, habría de servir para asegurar que dichos puertos se comportaban de manera segura, previniendo ataques eléctricos o robo de datos a través de los mismos. Sin embargo, la mayoría de las pruebas realizadas han dado como resultado la destrucción del dispositivo maestro, ya fuese un ordenador, un televisor o cualquier otro equipo dotado de conectores USB.   

Tal y como se dice en el blog de USBkill[ii], las empresas de hardware deben ser responsables de los fallos de seguridad de sus productos, máxime en estos momentos en que cualquier objeto de uso común puede llevar un chip con capacidad de almacenamiento, procesamiento y acceso a Internet, amén del ya mencionado puerto USB, mediante el cual se pueden intercambiar datos. 

Aunque según sus propios autores, la única empresa que parece les ha prestado cierta atención ha sido Apple, se han decidido a comercializar su creación "USB Killer". 

No es muy probable que un usuario individual lo compre para probar sus propios dispositivos, a título personal, porque lo más probable es que aquellos acaben "fritos", a riesgo, además, de que  el fabricante no le reponga, o le compense por, el equipo estropeado. ¡Aunque, sin duda, sería todo un detalle! 

Es evidente que la tecnología, normalmente, va por delante de leyes y regulaciones. Sin embargo, no es menos cierto que de la seguridad tecnológica -hoy, digital- se lleva hablando varias décadas -el primer virus informático conocido fue desarrollado a principios de los años 80 para un ordenador "Apple II"[iii]-; desde entonces, también se ha venido vendiendo software que ofrecía pocas garantías por sus vulnerabilidades, a la espera resignada de los consabidos parches.  

Como consecuencia de ello, una norma, tal vez no escrita, pero bastante extendida, de facto, en muchas instalaciones instaba a no implantar las últimas versiones de cualquier paquete software, a la espera de que se fueran subsanando los errores.

Todo ello difiere, notablemente, de las circunstancias que rodean a otros productos que ofrece el mercado. Generalmente, si estos no funcionan o no se ajustan a sus especificaciones, son retirados de la cadena de distribución. Cuando tal decisión llega tarde -el producto ya está en el mercado-, las reclamaciones de los compradores son atendidas mediante la sustitución del producto defectuoso o mediante la compensación económica pertinente (incluida la devolución del pago realizado).

Hasta hace poco, el software trataba únicamente con objetos virtuales y no actuaba sobre el mundo físico real. Sin embargo, con la inclusión en todo tipo de objetos de chips con capacidades de comunicación y tratamiento de datos, las cosas han cambiado. 

Piense, por un momento, en las omnipresentes cámaras de vigilancia. Éstas graban y transmiten dichas grabaciones a centros de control. De ese modo, se convierten en los "ojos" que todo lo ven, y que todo lo "cuentan". Sin embargo, esa captura y transmisión de información (imágenes) no siempre se realiza con garantía plena de seguridad, (¡por no citar los aspectos relacionados con la intimidad!). Cualquier dispositivo conectado en un entorno corporativo, como las cámaras, puede "caer" en manos de personal no autorizado, quien podría tener interés en obtener información de forma ilícita o, peor aún, utilizarlo -utilizar las cámaras, en el ejemplo- como puerta de entrada, como punto débil para conseguir el acceso a otros activos de la organización.  

El artículo "Design Flaws in IP Surveillance Cameras"[iv], de la revista "Hackin9", indica que las debilidades de seguridad en torno a estos dispositivos son múltiples; desde disponer de las credenciales de acceso al dispositivo, empleadas por defecto por el fabricante -credenciales fácilmente localizables en cualquier manual publicado en Internet-, hasta poder obtenerlas por encontrarse sin cifrar en la memoria de la cámara, etc.; todo lo cual favorecería su manipulación, por ejemplo, mediante la sustitución de imágenes falsas que permitieran sustituir el flujo de vídeo real. 

Esa omnipresencia mencionada más arriba, se acentúa, hoy día, con la miniaturización e incorporación de cámaras a teléfonos, tabletas, televisores[v] o frigoríficos. Este último caso forma parte de la propuesta de Samsung[vi], que invita a utilizar el frigorífico como un tablón de anuncios en el que, mediante un panel digital, cada miembro de la familia puede ir dejando sus notas para los demás, como si de un post-it se tratara. Los mensajes están sincronizados con el teléfono de cada habitante de la casa, al que se destina el mensaje. 

En el caso de los televisores, estos ahora incorporan micrófonos[vii] para aceptar órdenes de voz que sustituyan al mando a distancia. De ese modo, podrían recoger -y transmitir- todo lo que se diga en su entorno. 

Hace algún tiempo que se tiene clara la conveniencia de tapar las webcam de los ordenadores.

Es conocida la anécdota que, en este sentido, ha protagonizado recientemente el fundador de Facebook, Mark Zuckeberg, quien aparecía en una fotografía publicada para celebrar los 500 millones de usuarios en Instagram, con la cámara y el micrófono de su portátil cubiertos[viii].

El propio director del FBI[ix] ha aconsejado, dando ejemplo con su propio ordenador, que se tenga esa precaución, del mismo modo que la de cerrar la puerta de nuestro coche. Una comparación que, tal vez, no sea muy acertada: la puerta del coche es un elemento de seguridad para el pasajero, que debe estar cerrada para cumplir su función mientras el coche está funcionando; por el contrario, la cámara o el micrófono, pierden toda su funcionalidad si se tapan. Es decir, en un caso la seguridad aparece cuando el dispositivo (la puerta) se pone en funcionamiento, se cierra; en el otro, es precisamente la "desconexión" del dispositivo la que otorga una mayor seguridad.

¿Querrá ello decir que la práctica aconsejada habría de pasar por dotarse de equipos "antiguos", carentes de dicha tecnología? 

Podría concluirse que la gente acepta y convive con la inseguridad digital. Una inseguridad que lo permea todo, incluidos objetos, aparentemente inocuos que asemejan ser como los de siempre; pero que no lo son.

Durante la última edición del encuentro "Def-Con", celebrada el pasado mes de agosto, en Las Vegas (EEUU), "IoT Village"[x] presentó 47 vulnerabilidades descubiertas en 23 dispositivos de lo más variopinto: desde objetos personales como una "llave inteligente" -August Smart Lock-, que permitía dar acceso, a cualquiera, a la vivienda de su propietario; hasta a paneles solares -"Tigro Energy"-, los cuales permitían llegar a  apagar una pequeña estación de generación de energía eléctrica. 

Ello prueba cómo los fabricantes, en su carrera por llevar al mercado sus productos "smart", están obviando los posibles fallos de seguridad. 

Geoff Webb, -VP, Solution Strategy en Micro Focus- apuntaba, en una reciente entrevista para "Help Net Security"[xi] que muchos de estos objetos se fabrican por empresas que no tienen expertos en ciberseguridad, y los productos llegan al mercado con vulnerabilidades ya conocidas (y que, por tanto, deberían haber sido evitadas). 

La "Online Trust Alliance (OTA)"[xii] después de analizar una serie de vulnerabilidades detectadas en dispositivos y publicadas entre noviembre de 2015 y julio de 2016, halló que todas se podían haber evitado fácilmente. Lo cual, en última instancia, ha de verse como una buena noticia.

Paradójicamente, aquello que le da mayor potencia a la Internet de las Cosas (IoT, por sus siglas en inglés) que no es sino la conectividad y la posibilidad de poder compartir datos instantáneamente con cualquier persona o cualquier otra cosa, constituye la gran amenaza para la ciberseguridad. Cualquier producto con una vulnerabilidad puede comprometer seriamente -efecto dominó- la seguridad de los sistemas u otros dispositivos a los cuales se conecte. 

Las medidas de seguridad establecidas, hasta ahora, en componentes de producto -como las pruebas de frenos, luces, airbag, bloqueo de volante, y un largo etc. a que debe someterse un coche antes de salir de fábrica-, han de complementarse, ineludiblemente, con otras que velen por la ciberseguridad.

El ejemplo de los coches no puede venir más a cuento teniendo en cuenta las numerosas noticias sobre ataques exitosos que han sufrido, tanto los que necesitan conductor como los autónomos, ambos parcial o totalmente controlados por un ordenador.

La IoT está en la base de cualquier desarrollo tecnológico actual. Por ello, tal vez haya que llegar a un consenso entre fabricantes y reguladores, que favorezca la consecución, entre todos, de un entorno más seguro para todos. 

* *

Que la IoT no pase de ser la "Internet de las cosas" a la "Internet de las amenazas", como lo llama el fundador de la firma de ciberseguridad Eugene Kaspersky:  “Internet of Things? I Call It Internet of Threats.”[xiii]

* * *

Este artículo fué publicado originalmente por la revista mejicana Magazcitum el 19/12/2016. Ref: Magazcitum/Opinión, año 7, nº3, 2016. "¿Seguridad obligatoria?" - María José de la Calle.    

--------------------------------------

[i] url [a 25-09-2016]  https://www.usbkill.com  

[ii] "USB kill: Behind The Scenes" (30 de agosto, 2016)  url [a 25-09-2016]  https://www.usbkill.com/blog/usb-kill-behind-the-scenes-b40.html  

[iii] url [a 25-09-2016] https://es.wikipedia.org/wiki/Elk_Cloner  

[iv] Aditya K Sood, Bipin Gajbhiye (2011). "Design Flaws in IP Surveillance Cameras". Hackin9. url [a 25-09-2016] https://www.cigital.com/papers/download/design_flaws_IP_surveillance_cameras_adityaks_bipin.pdf  

[v] Eva Dallo (01 de diciembre, 2013) "¡Ojo! Su televisión puede espiarle". El Mundo. url [a 25-09-2016] http://www.elmundo.es/cronica/2013/12/01/529a24f161fd3dea548b45a0.html 

[vi] url [a 25-09-2016] http://www.samsung.com/us/explore/family-hub-refrigerator/  

[vii] Juan Antonio Pascual (8 de febrero, 2015). "¿Los Smart TV de Samsung graban y envían nuestras voces?" ComputerHoy.com url [a 25-09-2016] http://computerhoy.com/noticias/imagen-sonido/smart-tv-samsung-graban-envian-nuestras-voces-24055 

[viii] Andrew Griffin (22 de junio, 2016) "Mark Zuckerberg seen covering up his webcam in picture celebrating Instagram milestone". Independent.  url [a 25-09-2016] http://www.independent.co.uk/life-style/gadgets-and-tech/news/mark-zuckerberg-seen-covering-up-his-webcam-in-picture-celebrating-instagram-milestone-a7094896.html 

[ix] Andrew Griffin (15 de septiembre, 2016). "Everyone should cover up their laptop webcams right now, says FBI director James Comey". Independent.  url [a 25-09-2016] http://www.independent.co.uk/life-style/gadgets-and-tech/news/everyone-should-cover-up-their-laptop-webcams-right-now-says-fbi-director-james-comey-a7308646.html 

[x] Mirko Zorz (16 de septiembre, 2016). "IoT Village uncovers 47 security vulnerabilities across 23 devices". HelpNetSecurity. url [a 25-09-2016] https://www.helpnetsecurity.com/2016/09/16/iot-village-def-con/  

[xi] Véase nota x.

[xii] Help Net Security (9 de septiembre, 2016). "Are all IoT vulnerabilities easily avoidable?". HelpNetSecurity. url [a 25-09-2016] https://www.helpnetsecurity.com/2016/09/09/iot-vulnerabilities-easily-avoidable/  

[xiii] "¿Internet de las cosas? Yo lo llamo Internet de las amenazas". Eugene Kaspersky (24 de junio, 2015). NbcNews. url [a 25-09-2016] http://www.nbcnews.com/tech/security/kaspersky-smart-fridges-internet-things-i-call-it-internet-threats-n380541  

 

La adicción a la máquina

Wednesday, 17 May 2017 Maria Jose de la Calle Posted in iTTi Views

Nuestro "adicción a la máquina" no pretende hacer referencia a la dependencia de todo tipo de dispositivos personales que actualmente padecemos, sino a la necesidad que sentimos de confiar en las máquinas para extraer conclusiones, dada su mayor rapidez para alcanzarlas. Una celeridad que nos ofrece respuestas de manera casi inmediata; pero que no obstante, se antoja insatisfactoria, a la vista de nuestro permanente deseo de dotar a las máquinas de una mayor velocidad. 

La evolución de las máquinas ha traído muchos beneficios a la Humanidad, pero también algunos perjuicios cuando se han utilizado de manera inapropiada.  

El tiempo transcurrido desde que se inventa una máquina hasta que la Sociedad adopta su uso de forma generalizada, se hace más corto cada vez. De tal modo que no da tiempo ni a conocer los riesgos de dicho uso ni a adoptar las medidas para mitigarlos. Medidas tales como fabricar la máquina de forma correcta, o producir, ordenadamente, el cambio de costumbres que, presumiblemente, requiera el referido uso. 

Cuanto más utilizamos las máquinas, más les pedimos que hagan para nosotros, entrando en un bucle sin fin y carente de la oportuna reflexión. 

El Diccionario de la Real Academia Española de la Lengua (DRAE) define "máquina"[i] como "artificio para aprovechar, dirigir o regular la acción de una fuerza", como primera acepción. 

Hoy, que tanto se habla de las [r]evoluciones tecnológicas (industriales), cabe segmentar, también en etapas la evolución de las propias máquinas. 

Las primeras máquinas construidas por el Hombre constituían una suerte de continuación de su propio cuerpo que permitían multiplicar, regular o dirigir la fuerza de sus músculos. Estas máquinas estaban "unidas" físicamente a la persona que las manejaba. 

Posteriormente, a estas mismas máquinas se las dotó de cierto grado de autonomía, al incorporarles motores, y en lugar de transformar y multiplicar la energía de los músculos, ejercían su propia fuerza transformando otros tipos de energía, como la generada por el vapor, la eléctrica o la derivada de los combustibles fósiles. 

Con la aparición de la Informática, las nuevas máquinas -los ordenadores y todo tipo de dispositivos computarizados- tuvieron la habilidad de procesar datos, datos "a lo grande", lo que, volviendo a la definición del DRAE, suponía nuevamente amplificar la "fuerza", o la capacidad, de otro órgano humano: el cerebro.  

Esas nuevas máquinas pueden servir como calculadora -hace ya mucho que no se necesita calcular de memoria o hacer una cuenta en un papel-, como repositorio de información -las enciclopedias están digitalizadas-, como agenda de contactos y recordatorios -ya no se necesita acudir a la memoria para acordarse de una cita apuntada no se sabe dónde-, y así un largo etcétera. 

Asimismo, con los ordenadores, se ha multiplicado la información generada y almacenada. A su vez, los propios ordenadores han aumentado su capacidad para tratar dicha información, pero no a la misma velocidad que la producen. Recuerde que los datos, por sí solos, no significan nada; hay que darles un contexto en el cual cobren significado. 

De hecho, hoy hay tantos datos que es humanamente imposible, en muchos casos, poder clasificarlos y extraer de ellos información significativa para un determinado fin. En principio, una misión atribuible a nuestro propio cerebro; pero que resulta muy lento para la cantidad de datos a los que ha de enfrentarse. Si malo es no tener suficientes datos, una gran cantidad de ellos lleva al mismo destino: la imposibilidad de obtener una información útil en un tiempo razonable. Tal vez por eso a las máquinas se les pide cada vez más. 

El tratamiento por parte de aquellas de la inmensa cantidad de datos que actualmente producen las personas y los objetos (otra máquinas), sirve, entre otras cosas, para calcular patrones y correlaciones estadísticas, que pueden ayudar a establecer comportamientos futuros y contribuir a la toma de decisiones. En suma, como se apuntaba al principio, a "extraer conclusiones".  

Hay dos caminos por los cuales se busca mejorar la capacidad de tratamiento de datos y entrega de información y conocimiento. Siguiendo la senda de una mayor eficacia se encuentra la Computación Cognitiva. Por el lado de la mayor eficiencia, aparece la Computación Cuántica y sus anunciados ordenadores cuánticos; obviamente sin olvidar la búsqueda de mayores capacidades de cálculo de los procesadores actuales, tradicionales. 

La Computación Cognitiva -permítame dejar la Cuántica para otro día- persigue "simular el pensamiento humano en un modelo computarizado"[ii]. Implica sistemas de auto-aprendizaje y reconocimiento de lenguaje natural. 

Con ella las máquinas proporcionan una capacidad de análisis de datos mucho más veloz que la de los humanos. Vienen a actuar como un super-cerebro con capacidad de acceder a información en cualquier parte del mundo, de procesar gran cantidad de datos, muchos de los cuales no son cifras o datos estructurados, sino que son fotografías, vídeos, mensajes, documentos, situaciones u otros datos no estructurados.  

De este modo, los resultados proporcionados por las máquinas son correlaciones, patrones o conclusiones servidos en forma de números, gráficos y, por qué no, consejos varios en lenguaje natural sobre qué hacer ante distintas situaciones. 

A las máquinas se les ha proporcionado autonomía de pensamiento, análogamente a lo indicado anteriormente sobre la autonomía mecánica proporcionada mediante la incorporación de motores. 

IBM acaba de presentar -el pasado mes de marzo- su nueva plataforma Watson Data Platform[iii], de computación cognitiva. Según su página web, es capaz de aunar la información de una organización, aprender con cada dato que le llegue, y con sus capacidades analíticas, dar rápidamente nuevas respuestas al negocio, y todo esto "como servicio" en la nube.   

Citando a Guy Creese[iv], vicepresidente de Gartner, "quizás el mayor estímulo que la Inteligencia Artificial puede proporcionar es mantener a las personas centradas en lo que es más importante. La mayoría de las personas necesitan la Inteligencia Artificial para tratar con contextos cambiantes". 

De los dos últimos párrafos habría que destacar, en primer lugar, "dar rápidamente respuestas", en segundo, "en lo que es más importante [...] tratar con contextos cambiantes". Las máquinas pueden resolver el problema de dar respuesta a los cambios y de manera suficientemente rápida. Además, alguna de ellas pueden aprender por sí mismas. 

Por el contrario, como ya se ha indicado, el cerebro -humano- es lento y además no responde bien a situaciones cambiantes[v], por lo que no vamos a poder seguir a las máquinas. Consecuentemente, como se apuntaba al principio, no parece que haya más salida que materializar nuestra "adicción a las máquinas" depositando nuestra confianza en ellas. 

Sin embargo, esto plantea una serie de intrigantes preguntas: ¿Cómo vamos a saber si las respuestas que nos ofrecen las máquinas son las correctas, si tenemos carencias, al menos en capacidad, a la hora de evaluarlas nosotros mismos?; ¿qué otras posibles opciones nos habrán "ocultado"?; y, lo que puede ser más relevante,  ¿estamos siendo capaces de formular las preguntas adecuadas?  

Según el artículo "This Is Your Brain on GPS Navigation" publicado por MIT Tecnology Review[vi], las partes del cerebro que se utilizan para buscar rutas y planificarlas no se activan cuando las direcciones nos las proporcionan, por ejemplo por medio del teléfono o la tableta. En ese sentido, el cerebro es como un músculo, y lo que no se utiliza, se atrofia. Por tanto, cabe plantearse una pregunta adicional: ¿perderemos los humanos ciertas capacidades cedidas a las máquinas?

Volviendo a la cita de Guy Crees, "centrarnos en lo que es más importante", se nos puede olvidar por qué algo es más importante y los criterios para saber que eso es más importante. ¡Como nos lo dice la máquina! 

* * *

Este artículo fué publicado originalmente por ComunicacionesHoy, nº 160,  abril-2017. Referencia: Opinión, pg.10 – "La adicción a la máqina" – María José de la Calle.   

-------------------------------------

[i] url [a 20170327] http://dle.rae.es/?id=OKvTasd 

[ii] "Cognitive computing is the simulation of human thought processes in a computerized model. Cognitive computing involves self-learning systems that use data mining, pattern recognition and natural language processing to mimic the way the human brain works.". "Cognitive computing is used in numerous artificial intelligence (AI) applications, including expert systems, natural language programming, neural networks, robotics and virtual reality. "  Whatis.com url [a 20170327] http://whatis.techtarget.com/definition/cognitive-computing  

[iii] Watson es la plataforma de IBM de Computación Cognitiva. url [a 20170327] https://www.ibm.com/analytics/us/en/watson-data-platform/platform.html  

[iv] "But perhaps the biggest boost AI can provide is keeping people focused on what's most important. Most people need AI to deal with "context switching," "The Latest Battle in Software Is All About Artificial Intelligence" (20161025). Fortune|Tech. url [a 20170327] http://fortune.com/2016/10/25/artificial-intelligence-software/  

[v] Literatura sobre cómo los humanos reaccionamos a los cambios hay mucha. Aquí dejamos dos ejemplos.  url [a 20170327] http://neurocienciaempresaymarketinglucia.blogspot.com.es/2012/09/resistencia-al-cambio-y-neuromanagement.html , http://www.cronista.com/management/-El-cerebro-es-reticente-al-cambio-20131226-0013.html  

[vi] "Parts of the brain that are used to navigate and plan routes aren’t active when directions are fed to us." "This Is Your Brain on GPS Navigation" (20170322).  MIT Technology Review url [a 20170327] 

https://www.technologyreview.com/s/603951/this-is-your-brain-on-gps-navigation/?goal=0_997ed6f472-93e326545f153813777&mc_cid=93e326545f&mc_eid=f684c51e62  

 

El caso General Electric

Friday, 05 May 2017 Manolo Palao Posted in iTTi Views

Introducción

El propósito de este artículo es analizar la ‘estrategia digital’ de General Electric (GE) basándome fundamentalmente en el estudio de dos artículos recientes [GE-CEO] y [GE-CIO][1],  relacionados con la estrategia digital de la empresa.

El primero es un reportaje sobre el CEO de GE y el segundo, publicado con una semana después, una entrevista al CIO.  

Antecedentes 

GE es una gran multinacional americana, muy diversificada y con una importante actividad en finanzas-seguros, al extremo que “podría decirse que es una empresa financiera con una división de fabricación” [GE][2]. 

GE tuvo su origen a fines del s. XIX, con la constitución por  Edison de la Edison General Electric Company (que realizó la primera iluminación —con corriente  continua— de la parte baja de Manhattan). Tras varias fusiones y el cambio a corriente continua (patrocinado por Tesla y Westinghouse) fue creciendo y diversificándose. Entró en el índice económico Dow Jones cuando este se creó, en 1896, y es la única empresa que siempre se ha mantenido en él desde entonces. 

Actualmente, GE opera en más de 100 países, con más de 300.000 empleados [GE]; y en 2016 fue la 26 mayor empresa del mundo en ingresos[3]. Opera en una gran diversidad de sectores; además de banca y seguros y electricidad (ya citados), tiene una actividad importante en salud (diagnóstico por imagen); energía nuclear y energías alternativas; turbinas eléctricas y de aviación; tratamiento del agua; radio (RCA) y televisión (NBCUniversal); y control de maquinaria y procesos con software (SW), usando su plataforma Predix [GE]. Predix es un  Asset Performance Management System (APMS)[4] —sistema de gestión de la performancia[5]  de activos, por sus siglas en inglés— y es el buque insignia de su actual estrategia digital.  

Estrategia para la transformación digital 

Por toda su historia y gran diversificación sectorial, sorprendió a los analistas mundiales cuando, en noviembre del año pasado (2016), su CEO Jeff Immelt[6] declaró que “la política establecida de GE es convertirse, para 2020, en una de las 10 principales empresas de software” [GE-CEO].  ¡De líder financiero-industrial a líder informático!    

¿Transformación digital?  ¡A tope! No solo transformación digital —como tantas empresas están abordando, y más lo harán o deberían hacerlo—, sino ‘transformación digital en empresa digital’. Esta es la razón por la que me interesa particularmente este caso.  

La estrategia para implementar la política de digitalización de GE se basa tanto en un crecimiento orgánico cuanto en uno inorgánico.  

En el crecimiento inorgánico, GE lleva realizadas adquisiciones por más de 2 000 MUSD en AI (inteligencia artificial); APMS; ‘servicios de campo’; y un ‘programa de socios’, para potenciar Predix [GE-CEO].  

En cuanto al orgánico, está menos claro en la información recogida, pero al menos pasa por:  

1) “una profunda innovación y transformación interna del negocio, antes de que fuerzas externas perturben el negocio de GE” [GE-CIO];

2) la creación de GE Digital, “el brazo SW de la empresa” (dirigida por Bill Ruh, Chief Digital Officer [CDO] de GE) [GE-CEO], posteriormente, al parecer, reabsorbida por la estructura TI tradicional, bajo el CIO Fowler [GE-CIO];

3) revertir la externalización (outsourcing)[7]

4) un plan de retirada de la mayoría de las 9.000 aplicaciones ‘heredadas’ (legacy) que no son nucleares (core) [GE-CIO];

5) diseñar sistemas que funcionen transversalmente en GE, y que también puedan funcionar en un cliente [GE-CIO][8];

6) poder mostrar a los colegas en los negocios el coste de operación de cada aplicación [GE-CIO];

7) aplicar internamente Predix, para optimizar procesos del grupo GE: por ejemplo, para optimizar la gestión (normalización, diseño, adquisiciones, uso) de ‘elementos de sujeción’ (tormillos, tuercas, arandelas), lo que actualmente supone en todo el grupo 250 MUSD. Esto es solo un ejemplo del potencial de este enfoque [GE-CIO];

8)  hacer que todo ese desarrollo de aplicaciones se conciba y utilice no solo para su uso inicial interno sino para ser vendido, como producto o servicio [9]. Esta filosofía de comercializar las herramientas desarrolladas para uso interno ha sido llamada ‘hilo digital’ (digital thread)  [GE-CIO].  

El concepto estratégicamente revolucionario de GE es hacer que Predix sea “un mundo industrial-industrial, una red para compartir ideas para el futuro. Es una transformación, un cambio que lo abarca todo. Nuestra tarea es crear más productividad mediante una combinación de analítica y física”, llegando a crear un ecosistema[10] que sea un éxito en el “mundo emergente de máquinas conectadas”. Se trata de “cómo coger un activo y hacerlo más eficiente… … es sobre productividad en tu negocio y diferenciar tus productos de un modo que tus competidores no puedan” [GE-CEO]. De este modo, GE se posiciona no solo en la IT sino en la IoT. 

Lo que Predix hace –se propone hacer–  es “predecir fallos de las máquinas antes de que ocurran” [GE-CEO].  

GE ha diseñado el concepto de «gemelo digital» que emula un activo industrial real (como una central generadora o una turbina) y lo hace combinando AI y estadísticas con modelización basada en Física; GE actualmente usa más de medio millón de gemelos digitales. Enfoque distinto al de IBM, por ejemplo, que aplica aprendizaje profundo (deep learning, una técnica de AI) a los datos procedentes de tales activos [GE-CEO]. 

En el ecosistema de GE ya están participando HPE, Dell y las mayores consultoras. BP viene usando una instanciación de Predix llamada  GE Plant Operations Advisor,  que muestra, a los operadores de plataformas petrolíferas, problemas potenciales que pudieran llevar a una parada o a una pérdida de eficiencia de la plataforma [GE-CEO].  

GE tiene que competir, por ejemplo, con Watson de IBM, que está siendo considerada por SNCF (ferrocarriles franceses) para predecir necesidades de mantenimiento de trenes y vías; y por Amadeus (reservas) para minimizar o evitar el tiempo no disponible (downtime) [GE-CEO].  

Fowler explica que, cuando se incorporó a GE, 16 años antes, “el foco de TI estaba en los costes… La misión del CIO era simplemente que TI funcionara lo más barato posible”. El CIO moderno “tiene que subirse al carro de las cosas que importan, como la facturación, la productividad con costes variables, la generación de caja y la rotación del inventario; y no hablar de obsolescencia o performancia y disponibilidad”. Fowler afirma que obsolescencia, performancia o disponibilidad son ‘datos’, que ”todo CIO debiera ser capaz de gestionar como parte de su trabajo”. “Tengo que estar en la mesa [del Comité de Dirección, se entiende] ayudando a mis compañeros del negocio a entender cómo perturbar (disrupt)” [GE- CIO]. 

La información contenida en los dos documentos de base [GE-CEO] y [GE-CIO] hace difícil analizar los roles reales detallados de los distintos cargos en este  proceso de transformación digital.  

Los documentos hacen referencia a:

1) CEO - Jeff Immelt

2) CIO – Jim Fowler

3) CDO - Bill Ruh, CEO de GE Digital, aparentemente después subsumida en IT  

4) los ‘compañeros del negocio’: los directivos de las unidades de negocio 

Está claro que el liderazgo de la revolución digital corre a cargo del CEO. No podría ser de otra forma, cuando la política corporativa es convertirse en una empresa de software

Además, “En muchos aspectos, Immelt [CEO] es el CDO. «Nuestro papel aquí es ayudar» dice Fowler [CIO]” [GE- CIO].  

El papel del CDO formal queda desdibujado (quizá porque lo estaba el de la filial GE Digital). 

El CIO se declara (hace 2 párrafos) ‘ayudante’ del CEO. Más arriba, ha declarado que “tiene que ocuparse de las cosas que importan [al negocio]”, y también, naturalmente, de la operación de TI (p. ej.: “obsolescencia, performancia o disponibilidad”). Además está en el Comité de Dirección, ayudando a los compañeros del negocio en la revolución digital (“cómo perturbar (disrupt)”).  

* * *

Artículo escrito por Manolo Palao, iTTi 20170429     

Copyright © 2017 Manolo Palao e ITTi. Reservado todos los derechos. 

-----------------------------------------

[1] [GE-CEO].  Saran, C. (16 Nov 2016). “GE pushes ahead into the software market”. ComputerWeekly. www.computerweekly.com/news/450402999/GE-pushes-ahead-into-the-software-market [URL consultado el 20170429]. 

[GE-CIO]. Saran, C. (24 Nov 2016). “CIO Interview: Jim Fowler, GE”. ComputerWeekly. http://www.computerweekly.com/news/450403338/CIO-Interview-Jim-Fowler-GE [URL consultado el 20170429]. 

[2] [GE]. https://es.wikipedia.org/wiki/General_Electric [URL consultado el 20170429]. 

[3] https://en.wikipedia.org/wiki/List_of_largest_companies_by_revenue [URL consultado el 20170429]. 

[4]  https://www.ge.com/digital/ [URL consultado el 20170429]. 

[5] El palabro ‘performancia’ pretende reunir las principales acepciones de performance (funcionamiento, rendimiento, desempeño) en los ámbitos técnico y económico. 

[6] Immelt no es un tecnólogo, lleva 17 años de CEO de GE y antes lo fue de la filial de Salud. Pero tiene mucha inteligencia práctica de la tecnología (very tech savvy).  “Jeff es uno de los hombres más inteligentes que haya encontrado nunca” ha dicho el CIO de GE Jim Fowler [GE-CIO]. 

[7] Cuando Fowler fue nombrado CIO, 18 meses antes, el 75% de la TI de GE  estaba externalizada. Y “habíamos abandonado el conocimiento fundamental de cómo funciona nuestro negocio y desvelado dicho conocimiento capital”. GE decidió un insourcing (revertir la externalización) para recuperar dicho conocimiento. [GE- CIO]. 

[8] “…[L]a TI interna de GE no debiera diferenciarse de una empresa de software”, según Fowler [GE- CIO]. 

[9] Una estrategia similar (hacer que todo ese desarrollo de aplicaciones se conciba y utilice no solo para su uso inicial interno sino para ser vendido, como producto o servicio) ya lo han hecho Amazon, con su plataforma “AWS”; y Google con sus servicios.   

[10] Un ‘ecosistema digital’, según Gartner, es “un grupo interdependiente de empresas, personas o cosas que comparten plataformas digitales normalizadas con un propósito de beneficio mutuo  (como ganancia económica, innovación o interés común). Los ecosistemas digitales le permiten a uno interactuar con clientes, socios, industrias adyacentes e incluso competidores”. “Los ecosistemas son el futuro de lo digital”.  

http://www.gartner.com/technology/topics/digital-ecosystems.jsp [URL consultado el 20170430].  

Mark Raskino, fellow  de Gartner afirmó en el Gartner Symposium de Barcelona que “Toda industria será remasterizada digitalmente. Toda empresa competirá como parte de un ecosistema de negocio” [GE-CEO]. 

 

Si puerta para qué abierta; y si abierta para qué puerta

Tuesday, 25 April 2017 Maria Jose de la Calle Posted in iTTi Views

La seguridad en general es un concepto que atañe a todas personas en mayor o menor grado. 

Todos los años cuando se acerca el verano aparecen las campañas contra el fuego recomendando ciertas normas para que no se produzcan incendios accidentales cuyas consecuencias pueden ir desde pérdidas medioambientales hasta pérdidas humanas, sin ir más lejos las de los propios bomberos[i]. 

 

Otro ejemplo son las campañas de seguridad vial de la Dirección General de Tráfico, o las medidas de seguridad que en cualquier vuelo se recuerda a todos los pasajeros del avión sin excepción -no preguntan a los pasajeros si las conocen o si ya han viajado en un avión con anterioridad-.

 

De igual modo, la seguridad de la información digitalizada, y de los dispositivos en los que reside y por donde circula es un asunto que en mayor o menor medida nos atañe a todos, tanto en actividades profesionales como privadas.

 

El que hoy en día la información fundamentalmente resida en dispositivos englobados en el término "Tecnologías de la Información" o TI, no significa que los medios para mantenerla segura sean meramente técnicos y que, por tanto, su único responsable sea también el técnico. 

 

No hay duda de que tecnologías más maduras, como el automóvil o la electricidad en el hogar, han evolucionado para ser cada vez más seguras en el plano técnico, pero por muy seguras que consideremos la instalaciones eléctricas que nos rodean a nadie se le ocurre meter los dedos en un enchufe o sumergir en agua un dispositivo conectado a la red eléctrica. Las normas básicas de seguridad de la electricidad las tenemos muy presentes. 

 

El rastro digital 

 

El uso masivo de las TI se ha producido de manera muy rápida, fundamentalmente con la llegada, primero de internet en los años 90[ii], y posteriormente, en la primera década del s. XXI con los dispositivos móviles, principalmente el smartphone[iii].

 

La aceptación de las nuevas tecnologías ha sido tan rápida que prácticamente no ha dado tiempo para la maduración de procedimientos para un uso adecuado. Cuando han empezado a saltar las alarmas los daños también se habían generalizado. 

 

Términos más bien técnicos como malware, virus -no biológicos, sino virtuales-, ataques de denegación de servicio (DDoS), phising, ransomware, etc., etc., se han hecho tristemente famosos, figurando en las primeras páginas de periódicos.

 

El uso de cualquier tecnología comporta unos riesgos de los que hay que ser conscientes y hay que saber cómo tratarlos. 

 

Desde el descubrimiento del fuego hace más de 750.000 años, hasta el uso de máquinas-herramientas o los medios de transporte, ya bastantes más modernos,  la humanidad paga un alto precio por el control y uso de la tecnología, no sólo en medios materiales sino también en vidas humanas o en desastres en el medio ambiente.   

 

Siguen produciéndose incendios con pérdidas materiales y humanas, y desastres medio-ambientales, como los incendios que Chile viene sufriendo desde julio de 2016[iv]. Siguen produciéndose accidentes en la utilización de máquinas-herramientas, como el que tuvo lugar el pasado diciembre en la localidad de Alhedín (Granada)[v] en el que murió un trabajador aplastado por un contenedor, al parecer al fallar el brazo basculante del camión que lo sostenía. 

 

En cuanto a los medios de transporte, todos los días hay accidentes de tráfico [vi] y no son infrecuentes los accidentes de trenes o los de aviones. 

 

Así, con las tecnologías de la información no podía ser menos. Pero hay una diferencia, por lo menos a primera vista. Hasta la llegada de las TI, lo que se quería "asegurar" eran entes con realidad física -bienes materiales, personas o incluso el medio ambiente-; con la llegada, de las TI, lo que se quiere asegurar -entre otras cosas- es la información digitalizada, la cual es intangible. Con el auge y abaratamiento de las comunicaciones, y su ubiquidad, hay una percepción de que la información es un ente etéreo. 

 

Aunque quizás no tanto ...  

 

Se habla de Internet o de la "nube", como si fueran conceptos incorpóreos, cuando la realidad es que están soportados en cables, conectores, dispositivos físicos como routers, switches, ordenadores y mucho silicio, objetos físicos en los que el uso de las TI deja un rastro digital por diversos motivos posibles: 

 

- la propia definición y construcción de dispositivos, sistemas operativos, protocolos de comunicaciones, aplicaciones, etc. que para hacer más rápido, efectivo y eficiente su uso guardan e intercambian información con otros dispositivos; 

- es el propio usuario el que almacena información, como contactos o documentos; o coloca en la red información para que otros la conozcan, información que permanece en servidores de empresas sin que se sea muy consciente de ello [vii]. 

 

Dicho rastro constituye un riesgo para la información, en primer lugar, almacenada en dispositivos personales, susceptibles de perderse, olvidarse o que los roben. En segundo lugar, el almacenamiento que hacen empresas dueñas de las aplicaciones que se utilizan en los dispositivos, también constituye un riesgo, no sólo por el uso que la empresa propietaria de los servidores pueda hacer de dicha información sin el conocimiento ni mucho menos el permiso de su propietario, sino porque otros se la puedan robar. Casos hay muchos, desde "Ashley Madison"[viii], las cuentas de correo de Yahoo [ix], o las cuentas de Dropbox [x], entre otros. 

 

Además, la información no sólo está en reposo en las máquinas que la albergan, también se mueve en un continuo viaje de dispositivo en dispositivo por redes de comunicaciones, o por el aire entre dispositivos y antenas, siendo relativamente fácil su interceptación. 

 

Consecuentemente con todo ello, sería necesario definir y tener en cuenta una serie de normas a cumplir por todos, tanto en la actividad de la vida privada, como en la actividad laboral, teniendo en cuenta que hay dispositivos que se utilizan indistintamente tanto en una como en la otra.  

 

Unas normas básicas, como "cuidado con las redes abiertas", "tener abiertas las comunicaciones sólo cuando sea necesario -si no se necesita wifi o bluetooth no tenerlas activadas-", "la información sensible protegerla adecuadamente -cifrarla- y si hay que comunicarla, utilizar canales seguros". "Información relacionada con la intimidad no "colgarla" en la red"; "no "pinchar" en cualesquiera enlace que llegue en un correo", etc.. 

 

Una medida de seguridad de una casa, sería colocar una puerta. El tipo de puerta -blindada o no, y sus distintos tipos- depende de lo que el propietario quiera gastarse en ella, y una vez elegida, su calidad y su colocación es un asunto técnico, no hay duda. Una vez colocada, el dejarla abierta cuando se sale o entra, es una elección de las personas que la utilizan, y, también es una elección seguir un procedimiento como "cuando entres o salgas, cierra la puerta".  

 

De poco serviría una puerta si se dejara abierta, o como reza el dicho, título de este artículo, "Si puerta, para qué abierta; y si abierta, para qué puerta". 

 

Seguridad en las organizaciones 

 

La seguridad es un sistema que abarca unas normas y procesos; personas que, por una parte, los definan y den a conocer, y, por otra, todas aquellas que en el uso diario de las tecnologías, cumplan con dichos procesos y normas; unas medidas técnicas que soporten, detecten y corrijan las debilidades -técnicas-; y un sistema de gestión que englobe todo: personas, procesos y tecnología. 

 

Tiene como fin mitigar el riesgo de ocurrencia de sucesos no deseados, y cumplir con unos objetivos de seguridad basados en 'el riesgo asumible' o 'la propensión al riesgo'. Por tanto, el sistema de seguridad depende fuertemente de la organización a la cual sirva -proteja-, y también del entorno en el cual dicha organización se desarrolle. 

 

Los perjuicios que se deriven de un daño sobre dicha información son difíciles de estimar, sobre todo monetariamente [xi], no tienen porqué ser inmediatos ni de detección inmediata [xii], y se pueden extender a un periodo de tiempo [xiii]. 

 

Si roban información digitalizada sin más puede que sólo se detecte cuando el beneficiario del robo la utilice -por ejemplo, espionaje industrial o robo de identidad-, o en el caso de las APT, cuando se hagan efectivas. 

 

Sin embargo, los daños que puede producir cualquier brecha de seguridad pueden costarle a una organización, en primer lugar, pérdidas monetarias por: i) uso por terceros no autorizados de información confidencial; ii) no disponibilidad de parte o todas las funciones de una organización; iii) manipulación no autorizada de información, pudiendo tener como consecuencia una toma de decisiones erróneas; y, en segundo lugar, pudiera suponer un daño en su imagen de marca.  

 

Dado que las organizaciones de hoy en día dependen fuertemente de los sistemas de información por su alto grado de digitalización, los riesgos derivados del uso de las TI se han convertido en riesgo del negocio, y, por ello deben formar parte de los riesgos corporativos, en la misma línea que los financieros -controlados por procesos soportados por las TI- o los de cumplimiento legal. Aquellas organizaciones que de manera explícita así lo reconocen, son las que utilizan las TI como motor del negocio.  

 

Los riesgos tecnológicos deben conducir a definir una estrategia de ciberseguridad como parte integral de la estrategia corporativa. Estrategia que definirá una política de seguridad y unas normas que deberán conocer y aplicar todos los empleados de la organización. Los miembros del Consejo de Administración y el Comité directivo son quienes las deben definir y controlar su cumplimiento. Dichas normas también deben extenderse a clientes, proveedores y terceros en general que se relacionan con la organización. 

 

De nada sirve que, por ejemplo, técnicamente no se pueda enviar información sensible de la organización por medio del correo electrónico de dicha organización, si ese documento se copia a un dispositivo desde el cual se utiliza otro correo. De nada sirve un control de acceso físico a servidores, si se deja la puerta abierta para no molestarse en usar la tarjeta de acceso. Las medidas técnicas deben ir acompañadas de procedimientos y normas de uso. 

 

Más arriba afirmaba que en el caso de las TI, lo que se quiere "asegurar" es un bien intangible -la información-, en contraposición a otras tecnologías, que son bienes tangibles. Si bien hasta hace poco era así, con la "Internet de las Cosas" (IoT), la repercusión de una modificación de datos o de software en cualquiera de estos objetos conectados puede tener una repercusión en el mundo físico. Los fallos de seguridad pueden ser muy tangibles. 

 

Una parte de la información la constituye el software, o código que maneja los objetos virtuales que se mueven por los dispositivos como ordenadores, redes de comunicación, dispositivos móviles, etc..  

 

El software, además, ha pasado a los objetos físicos, para, por una parte recoger datos, y por otro poder controlar acciones realizadas por ellos, caso de la IoT o de la robótica. 

 

Esto cobra una especial relevancia en los sistemas de control industriales, tanto para los sistemas de fabricación como  los sistemas de control de subestaciones eléctricas, distribución y control de agua o gas, etc.  

 

En el documento "Beneficios de la ciberseguridad para las empresas industriales", recientemente publicado [xiv], se afirma "En ningún otro sector como en el industrial convergen los activos lógicos y físicos tan nítidamente, dando lugar a lo “ciberfísico”, que se constituye en la más amplia superficie de riesgo para las personas, el medioambiente,...", y aquí los riesgos ligados a las TI se han colocado al mismo nivel de riesgos físicos, como otras tecnologías. 

 

De pesca

 

La importancia de la concienciación en los riesgos del uso de las TI y de seguir unos procedimientos y normas de uso adecuados, queda de manifiesto singularmente por el tipo de engaño por Internet, conocido como phising, palabra que suena igual que "fishing" palabra inglesa que significa pescar. 

 

Es una forma de conseguir información tanto privada como de organizaciones -nombres de usuarios, contraseñas, datos bancarios, etc.- a través de correos electrónicos o mensajes en redes sociales,  con enlaces a páginas falsas; o de introducir cualquier tipo de malware -por ejemplo, una APT- al pinchar en un enlace.  

 

El "spear phising" (pesca con arpón) es más selectivo: va dirigido a una persona o departamento concreto. Es especialmente peligroso porque va precedido de un estudio previo sobre dicha persona u organización, lo que se llama "ingeniería social", para que el mensaje parezca de una persona o entidad fiable, y el "cebo" sea creíble. 

 

Al parecer, como otros tantos fraudes utilizando TI, en este 2017 el phising va a seguir con fuerza. El artículo "3 ways that phishing will evolve in 2017"[xv], dice que en 2016 se produjo un incremento de 150% de esta forma de ataque a través de las redes sociales. Y, al igual que otros ataques, como ransomware o DDoS, también se vende como servicio. 

 

El riesgo es doble ya que además de afectar a los datos de la vida privada, puede afectar a la vida laboral, como le ha pasado a Mike Pence, gobernador del estado de Indiana (EEUU) a quién "hackearon" su correo personal de AOL, que estaba utilizando para asuntos del estado. ¿Por qué? Porque las cortapisas que impone el correo del trabajo no las tiene el correo personal. 

 

Entre los muchos artículos hablando sobre esto, el de WIRED[xvi] tiene un título muy significativo "La edad de oro del pirateo de correos electrónicos no ha hecho más que empezar". 

 

* * *

 

Este artículo fué publicado originalmente por @PuntoSeguridad.com/"Cuadernos de Seguridad", abril, 2017, nº 321, pg.76, Ciberseguridad – "Si puerta para qué abierta; y si abierta para qué puerta" – María José de la Calle.

 

----------------------------------------

[i] ABC (20120804)  "67 muertos en la extinción de incendios desde el año 2000". url [a 20170313] http://www.abc.es/20120804/sociedad/rc-muertos-extincion-incendios-desde-201208042243.html   

[ii] Véase la evolución del uso de internet en los hogares de los países de la UE en el informe de EUROSTAT (20161220) "Estadísticas sobre la sociedad de la información - Hogares y particulares". url [a 20170313] http://ec.europa.eu/eurostat/statistics-explained/index.php/Information_society_statistics_-_households_and_individuals/es  

[iii] Hablar de tecnología de la información hace prácticamente inevitable el uso de ciertos términos y vocablos ingleses. Por no hacer mucho más largo el artículo en sí interrumpiendo su ritmo y dificultando su lectura, no se facilita una explicación o traducción de los mismos, remitiendo al lector a una consulta en Internet de aquellos por los que muestre un especial interés. 

[iv] "El País" (20170131) "Chile recibe ayuda internacional para combatir sus peores incendios". url [a 20170313]  http://internacional.elpais.com/internacional/2017/01/30/actualidad/1485746887_102479.html  

[v] "El País" (20161224) "Un trabajador fallece aplastado por un contenedor en Alhendín". url [a 20170313]   http://ccaa.elpais.com/ccaa/2016/12/24/andalucia/1482601762_483785.html

[vi] En España en el año 2016, según la Dirección General de Tráfico, murieron 1.160 personas por esta causa. url [a 20170313] http://revista.dgt.es/es/noticias/nacional/2017/01ENERO/0103balance-accidentes-2016.shtml#.WMBhJxhDmHo   

 [vii] Véase la política de privacidad de Google con respecto a los datos que almacena cada vez que se utiliza,  y como se utilizan, para que el usuario en ciertos casos pueda decidir sobre dicho uso. url [a 20170313] https://www.google.es/intl/es/policies/privacy/?fg=1  

[viii] Blog "Un informático en el lado del mal" (20150814)  "Ashley Madison Hack: Suicidios, Mentiras y Negocios Turbios". url [a 20170313] http://www.elladodelmal.com/2015/08/ashley-madison-hack-suicidios-mentiras.html  

[ix] "El Confidencial" (20161214) " Yahoo reconoce un segundo 'hackeo' masivo: 1.000 millones de cuentas afectadas". url [a 20170313] http://www.elconfidencial.com/tecnologia/2016-12-14/yahoo-hackeo-internet-seguridad-informatica_1304213/  

[x] "Motherboard" (20160831) "Hackers Stole Account Details for Over 60 Million Dropbox Users". url [a 20170313] https://motherboard.vice.com/en_us/article/hackers-stole-over-60-million-dropbox-accounts  

[xi] Aunque el Instituto Ponemon, en el informe "2016 Ponemon Cost of Data Breach Study" nos da algunas pistas: "This year’s study found the average consolidated total cost of a data breach grew from $3.8 million to $4 million. The study also reports that the average cost incurred for each lost or stolen record containing sensitive and confidential information increased from $154 to $158." Instituto Ponemon. url [a 20170313]  http://www-03.ibm.com/security/data-breach/  

[xii] "SecurityWeek"  (20160225)  "Breach Detection Time Improves, Destructive Attacks Rise: FireEye" url [a 20170313] http://www.securityweek.com/breach-detection-time-improves-destructive-attacks-rise-fireeye  

[xiii] Por ejemplo, un software espía, o un bot perteneciendo a una botnet, que esté realizando un atarea ordenada por un tercero; o una APT -Advanced Persistent Threat- malware no detectable, que permanece sin hacer nada hasta que se desea que se ejecute bien como puerta de entrada al sistema para controlar la máquina que lo alberga. 

[xiv] En dicho documento CCI (www.CCI-es.org/mision) e iTTi (www.ittrendsinstitute.org/about-itti)  han unido sus fuerzas para llevar a cabo un ejercicio de análisis, cuyo objetivo ha sido ofrecer una visión positiva de la ciberseguridad para las empresas industriales. url [a 20170313] http://www.ittrendsinstitute.org/news/item/itti-along-with-cci-releases-benefits-of-cybersecurity-for-industrial-enterprises-spanish-ed  

[xv] "Foration Blog" (20161228) "3 ways that phishing will evolve in 2017". url [a 20170313] https://www.foration.com/blog/3-ways-phishing-will-evolve-2017

[xvi] "Wired" (20170303) "The Golden Age of Email Hacks Is Only Getting Started" url [a 20170313]  https://www.wired.com/2017/03/mike-pence-aol-email-hack/?mbid=nl_3517_p1&CNDID=  

 

  

Publícitis

To find out more about the cookies we use and how to delete them, see our privacy policy.

I accept cookies from this site.
EU Cookie Directive plugin by www.channeldigital.co.uk