Follow us on:
Perspectives

iTTi Views

Pan, Circo y Cajas Negras

Friday, 12 August 2016 Manolo Palao Posted in iTTi Views

No. Las ‘cajas negras’, en este artículo, no son el viejo Walkman, ni el iPad ni el iPhone6Plus (Fig.  1[i]); aunque me referiré a ellos más adelante. 

Las ‘cajas negras’ (CN) a que me refiero aquí son un conocido método de análisis que –si bien está documentado desde la antigüedad– sólo comenzó a ser formalizado y usado ampliamente en la primera mitad del siglo pasado, probablemente en Alemania [ii] [iii], en teoría general de sistemas y en sus aplicaciones, en física e informática, por ejemplo.

La Fig. 2[iv] muestra unos esquemas que describen brevemente el método de análisis CN. Del sistema en estudio (la ‘caja negra’ ‘A’, arriba a la izquierda) prestamos atención prioritaria a sus entradas (E) y sus salidas (S)[v].

Si queremos avanzar en el análisis de nuestro sistema, podemos ‘levantar el velo’ a nuestra CN para descubrir (‘B’) que el sistema consta de un par de subsistemas, a los que podemos seguir los flujos de E/S. Y así sucesivamente hasta llegar a un nivel de desglose –no necesariamente el mismo para todas la partes– (quizá el ‘C’) en que el comportamiento de los subsistemas y sus interrelaciones está suficientemente claro para nuestros propósitos y no merece mayor subdivisión.

El esquema de la derecha muestra la heurística del “2 – 7”, ampliamente aceptada,  para proceder al análisis progresivo. Cada vez que se ‘levanta el velo’, se procura identificar entre 2 y 7 (algunos dicen 20) subsistemas y ello por una posible razón científica de mucho peso: porque menos de dos, no tiene sentido; y ¡más de siete (o 20) son demasiados!

La expendedora de café en mi oficina es una CN que tiene una entrada (E) = monedas y una salida (S) = taza de café. Si ese nivel de conocimiento de tal sistema me basta, que es lo que me sucede cada mañana, cuando lo que necesito es sólo ‘animarme’, me planto. 

Que otro siente más curiosidad, observa –cuando el mantenedor tiene la tapa abierta– e identifica varios subsistemas o módulos componentes: un dispositivo gestor de moneda, un calentador de agua, un dosificador de café, otro de agua y otro de azúcar, etc. Si su interés se centra en el dispositivo de moneda puede ver un elemento de admisión, otro de identificación, otro de almacenaje. Y podría seguir descendiendo hasta, por ejemplo, estudiar la estructura metalográfica de uno de sus componentes de detalle.

El método es fecundo porque es progresivo y se basa en la ‘necesidad de conocer’: uno no levanta el velo de una parte hasta que lo necesita; no se distrae con lo accesorio. 

El análisis[vi] progresivo descrito desagrega, pero no es una molienda (aunque la máquina de café pueda incluirla), no es una reducción a polvo de la CN, reducción que quizá cuadraría más a métodos de adivinación del futuro –como el estudio de los posos del té (o del café)[vii], con menor base científica aún que la heurística descrita más arriba. La descomposición es progresiva y sólo cuando es necesaria.

* *

En la Roma de hace veinte siglos, el populacho era mantenido física y espiritualmente con ‘pan y circo’, como ironizó Juvenal[viii].

Tras la decadencia del Imperio Romano, en el medievo europeo, los circos, teatros y anfiteatros de muchas ciudades quedaron en ruinas o sufrieron cambios de usos, a otros con frecuencia menos festivos y espectaculares. El circo dejó de operar y de ser un ‘opio para las masas’.

Durante esos siglos, la dieta básica de los campesinos pobres y de los siervos de la gleba, en Europa, era de pan negro y cerveza[ix], de la que se consumía una media de unos 4 litros diarios per cápita[x].

Si bien esa cerveza era de menor graduación que la actual, con 4 litros diarios ya llevaban el circo puesto –si se me permite la expresión. Como ahora muchos con los móviles.

* * 

Y, con esto, vuelvo a las otras cajas negras del comienzo, los móviles y tabletas –la tecnología digital en general, la globalización y las redes–. No cabe duda de que estamos inmersos en una vertiginosa revolución, que nos ha deparado una riqueza de informaciones, conocimientos, contactos y posibilidades hasta hace poco insoñable.

Enumerar las ventajas de la ‘revolución digital’ podría llevar varios tomos. Señalo aquí brevemente sólo algunas que entiendo favorecen principalmente a los ciudadanos como tales: la ubicuidad funcional; las comunicaciones m x n, síncronas y asíncronas, con gran ancho de banda; el correo-e; el comercio-e; la administración-e; la democracia-e; la geolocalización; la redes altamente conexas; la telemedicina; las apps para múltiples servicios cotidianos; etc.  

Pero una contrapartida de esa revolución beneficiosa es que también ha generado un ruido ensordecedor –mayor que el que hubieran generado las mejores carreras de cuadrigas, ante 300.000 espectadores en el circo romano[xi].

Ruido, en sentido generalizado: correo basura; miríada de resultados, pertinentes o no, en cualquier búsqueda en Internet, con creciente esfuerzo y dificultad para separar el trigo de la paja; millones de tuits, ‘selfis’, entradas en blogs, comentarios a la prensa digital que tienen nulo interés general y escaso interés incluso para emisor, receptor o su grupo; con frecuencia mendaces o tendenciosos; a menudo zafios.  

Rumores que antes se propagaban bastante localmente –en los mentideros de las cortes y a caballo de los mensajeros de los embajadores, y ahora a los cuatro vientos –en los blogs (llamarlos ‘bitácoras’ es ignorar lo que ambas palabras significan); invasiones de la intimidad –escuchas, paparazzi; jaqueo de fotos o vídeos; difusión por canales poco seguros  de intimidades muy naturales o procaces en selfis o vídeos grabados por artistas hollywoodienses o concejalas manchegas; el impudor de las conversaciones telefónicas (que tanto costó antaño proteger jurídicamente) en los transportes y otros recintos públicos; los reality shows; la pretensión de urgencia y la comunicación en tiempo real de tantos tuits y WhatsApps … 

 [xii]

Todo ello responde a que cualquiera dispone de una tecnología potente, versátil y barata, que le permite acceder a una audiencia amplísima, mayoritariamente desconocida; y muchos, ya que tienen la herramienta, la usan pertinazmente, tengan o no tengan algo mínimamente interesante que decir. ¡El tonto del pueblo se ha hecho con un tambor! o ¡Reina por un día (minuto)!  El ansia de publicar es tal que se agota en el proceso, sin importar que la comunicación esté vacía de contenido: es sólo ruido.  El pobre McLuhan se revolvería en su tumba al ver cómo el mensaje ha quedado totalmente volatilizado por el medio.

Ya no es que cada uno llevemos puesto nuestro propio circo, es que inevitablemente llevamos el de muchos otros. 

Y, con tanto ruido y tanto circo, el árbol nos oculta el bosque, lo contrario de lo que se pretende con las CN. 

Empero, el ruido, con todo lo molesto que es, no es la peor de las muchas contrapartidas. La peor de éstas, quizás, es que –seducidos como estamos por las tecnologías y su acelerada innovación– las hemos canjeado, enajenando  el recto juicio  -el análisis selectivo y suficiente, como se haría con las CN u otros procedimientos, y muchas libertades. 

En el mundo digital, cada acción tiene -como en el mundo físico newtoniano, aunque de forma distinta, su reacción (o consecuencia).

Cada selfi, cada tuit, cada entrada en un blog supone un doble abono que hacemos a las telcos, portales, redes o servicios. 

Uno primero, dinerario, inmediato, de poco importe unitario. 

Otro, intangible (para nosotros, no para ellos, dado que en eso se basa la parte más importante de su valor bursátil) de incremento de los millones de datos (big data) útiles para ser transformados en información –datos con sentido– y en perfiles personales (o grupales), mediante análisis estadístico (la estadística como reductor de la complejidad de los datos) y mediante minería de datos  (el hallazgo de nuggets –pepitas de oro–: información tan diluida en los datos que la estadística convencional no capta).

Y esa copiosa información grupal y personal sirve para establecer las estrategias, las tarifas, los eslóganes y la dinámica de los servicios que se nos ofrecen, del espectáculo que se nos ofrece. De modo que en ese gran circo, el ‘impresario’ es las telcos, portales, redes o servicios y nosotros sólo somos los clones (payasos).

De ‘pan y circo’ a ‘soma y circo virtual’, en veinte siglos. 

* * 

¿Cómo desarrollar y mantener las ventajas de la eclosión de nuevas tecnologías y mitigar sus efectos negativos?

En primer lugar, reconociendo que el problema es más amplio que el circunscrito a las nuevas tecnologías. Es un problema social tan antiguo como la Humanidad. El mito atribuye a Caín un mal uso de la herramienta ‘quijada de burro’[xiii] y a Sansón (que era de los elegidos) un uso adecuado de la misma[xiv]. 

El mal uso de las tecnologías es inevitable. Contenerlo y limitar sus efectos negativos es cuestión de ética, educación, legislación, reglamentación, cumplimiento de éstas y sanción por el incumplimiento.

Todo ello empieza (o se reinicia) por una toma de conciencia y difusión.  

* * *

(Artículo escrito por Manolo Palao en diciembre de 2014)

-------------------------------------------

[i] Fuentes de las fotografías: http://commons.wikimedia.org/wiki/File:Sony-wm-fx421-walkman.jpg 

http://commons.wikimedia.org/wiki/File:Sony-wm-fx421-walkman.jpg#filelinks : Dominio Público; y 

http://en.wikipedia.org/wiki/IPhone_6#History, Creative Commons Attribution-ShareAlike 3.0 License. No changes made.

[ii] http://en.wikipedia.org/wiki/Black_box     

[iii] “The black box is an abstraction representing a class of concrete open systems which can be viewed solely in terms of its "stimuli inputs" and "output reactions". «The constitution and structure of the box are altogether irrelevant to approach under consideration, which is purely external or phenomenological. In other words, only the behavior of the system will be accounted for».”   Mario Bunge (1963), "A general black-box theory". Philosophy of Science. Vol. 30. No. 4, pp. 346-358. jstor/186066.   http://en.wikipedia.org/wiki/Black_box    

[iv] Fuente: P&TS, SLU. (2000). Seminario de Consultoría. Circulación restringida. Publicado con autorización. 

[v] Según la disciplina desde la que se realiza el estudio, a las E/S se les denomina así, o insumos/productos, variables independientes/dependientes, función/transformada, estímulo/respuesta, y de otras muchas formas equivalentes. También a la propia CN se la denomina –según la disciplina– proceso, operador, función, aplicación, homomorfismo, transformación, etc. 

[vi] Desatar, desagregar, desmenuzar, pormenorizar –según su etimología griega.    http://etimologias.dechile.net/?ana.lisis    http://es.thefreedictionary.com/an%C3%A1lisis  

[vii] Taseomancia, Teomancia o Taseografía, entre otras denominaciones https://www.google.es/search?newwindow=1&client=firefox-a&hs=HHQ&rls=org.mozilla%3Aes-ES%3Aofficial&channel=nts&q=%22posos+del+t%C3%A9%22+lectura&oq=%22posos+del+t%C3%A9%22+lectura&gs_l=serp.3..0i22i30.103188.115705.0.117285.10.10.0.0.0.0.154.761.7j2.9.0.cprnk%2Cekomodo%3Dtrue...0...1.1.58.serp..1.9.754.XhMuCDBvxWY   

[viii] “Panem et circenses”. http://es.wikipedia.org/wiki/D%C3%A9cimo_Junio_Juvenal  

[ix] “Brown bread and ale”. http://www.historylearningsite.co.uk/food_and_drink_in_medieval_engla.htm 

[x] “The European medieval diet was largely determined by social class. For the majority of the of the people, peasants, a large portion of their daily diet was made up of grains … ground into flour and made into bread, or malted and brewed into ale. Estimates from the late Middle Ages indicated that a gallon of ale a day was not unusual, but the actual alcohol in the drink was low”. http://people.eku.edu/resorc/Medieval_peasant_diet.htm 

[xi] Según la descripción, supongo que exagerada, en http://www.portalplanetasedna.com.ar/roma15.htm  

[xii] Fuente: http://en.wikipedia.org/wiki/Circus#mediaviewer/File:Barnum_%26_Bailey_clowns_and_geese2.jpg. Public Domain. 

[xiii] Pese a que la Biblia no especifica el instrumento.  Génesis, 4:8. http://www.vicariadepastoral.org.mx/sagrada_escritura/biblia/antiguo_testamento/01_genesis_01.htm 

[xiv] “Luego Sansón encontró la quijada de un burro recién matado. La levantó, y la usó para matar a mil filisteos”. Jueces, 15. https://www.biblegateway.com/passage/?search=Jueces+15&version=NTV  

 

Bots for business

Thursday, 28 July 2016 Maria Jose de la Calle Posted in iTTi Views

I - Los robots invisibles

El DRAE nos ofrece para la palabra "robot" dos acepciones: la primera, "Máquina o ingenio electrónico programable, capaz de manipular objetos y realizar operaciones antes reservadas sólo a las personas", en especial las pesadas, repetitivas o peligrosas. Este primer significado implica una existencia física y visible, que en la literatura de ciencia-ficción toma la forma de un androide cuando está dotado de unas ciertas habilidades humanas, como la conversación, desplazarse por el mismo entorno que lo hacemos los humanos o manipular objetos. 

La segunda, "Programa que explora automáticamente la red para encontrar información". Este artículo -y el siguiente de esta breve serie- se centrarán en esta segunda acepción, a la que -en la jerga técnica- se le ha acortado el nombre y se conoce como bot. En contraposición a la primera acepción, estos bots tienen una existencia prácticamente invisible, al ser una pieza de software residente en un dispositivo, que está en nuestras vidas cotidianas sin que apenas nos percatemos de ello. Tenemos a los robots entre nosotros, pero de una forma diferente a lo que nos cuenta la ciencia-ficción. 

Yendo a otras fuentes más tecnológicas que el DRAE, como Techtarget, un bot es un programa que se ejecuta sin actuación directa de una persona, y realiza acciones repetitivas bajo un plan, es decir, que actúa como un agente para una persona u otro programa, pudiendo simular alguna actividad humana. 

Según la función para la que se hayan creado, toman unos u otros nombres especializados.

En Internet hay unos bots que están por todas partes y que acceden a sitios Web visitados por usuarios, recogiendo información según criterios generales, en orden a crear entradas que serán utilizadas por motores de búsqueda. Se los conoce como spiders, si realizan un acceso en paralelo a varios sitios a la vez, o crawlers, si acceden uno a uno siguiendo los link de cada página. La información que recogen no tiene un fin determinado. Según el motor de búsqueda que los utilice puede servir, por ejemplo, para que empresas puedan ofrecernos productos o servicios que se supone nos pueden interesar en ese momento, deducido de las páginas visitadas, o para obtener estadísticas de visitas y cobrar más o menos por los anuncios insertados en dichas páginas.

Un bot cuya función es recopilar información para un usuario visitando de forma automática sitios de Internet y recogiendo aquella información que reúna ciertos criterios específicos fijados por dicho usuario, es conocido como knowbot. Un ejemplo serían los newsbots, aquellos que nos presentan un resumen de noticias o links a ellas, seleccionadas de sitios Web según criterios fijados previamente por nosotros como de nuestro interés. 

Un shopbot es un programa que "va de compras" por la Web en nuestro lugar y localiza el mejor precio de un producto que estemos buscando.

La evolución de los bots va pareja a la evolución general de la ciencia y la tecnología, es decir, a dotarlos de inteligencia gracias a la inteligencia artificial. Un ejemplo son los chatbot -chatterbot, en sus orígenes-, programas que simulan conversar como un ser humano, o lo que es lo mismo, que en mayor o menor medida, entienden el lenguaje natural. Los orígenes de este tipo de bots se remontan a los años 60 con Eliza[i], desarrollado en el MIT entre 1964 y 1966 por Joseph Weizenbaum, que simulaba ser un psicoanalista. Han evolucionado a poderles solicitar con lenguaje natural realizar ciertas actividades como marcar un nº de teléfono para iniciar una llamada, descolgar el teléfono, buscar una frase en la web, traducir una frase a otro idioma, y un largo etc. Claro que cometen muchos errores aún, pero nos estamos acostumbrando sobre todo con los smartphone, a solicitarles algo hablando en lenguaje natural, y no pulsando un icono o tecleando algo que una app preparada al efecto nos solicite. 

Las posibilidades son infinitas, sujetas únicamente a la imaginación. Por ello han surgido una gran cantidad de bots especialmente dirigidos al mundo empresarial para facilitar, por una parte la comunicación interna de la empresa, como los llamados "asistentes virtuales" y por otra, la comunicación externa, principalmente con sus clientes, tanto actuales como futuros, con, por ejemplo plataformas de servicio al cliente que responden preguntas básicas y aconsejan al cliente.

Los bots son herramientas que, según vayan mejorando, contribuirán a la digitalización de la empresa. 

* *

II - Los chatbots

Los chatbots son piezas de software que tratan de simular la conversación de un ser humano. A pesar del tiempo que ha pasado -años 60 con Eliza- desde los primeros intentos de que la comunicación entre una máquina y un ser humano fuera en lenguaje natural, lo cierto es que aún no se ha conseguido suficientemente bien.

Por ejemplo, Tay, el chatbot que Microsoft puso en Twitter el pasado mes de marzo para conversar fundamentalmente con jóvenes, tuvo que retirarlo a las pocas horas porque elaboraba mensajes de contenido ofensivo, siendo incapaz de tratar con bromas, insultos, etc.[ii].

Los ordenadores toman las palabras de forma literal, y sin embargo el lenguaje es muy ambiguo. Por esto, sólo se ha conseguido algún éxito dentro de contextos y con frases sencillas y preparadas, como Siri -Apple- o Cortana -Microsoft-, lanzados hace ya algunos años, y que obedecen a peticiones sencillas de búsqueda o a conexiones telefónicas con algún nombre del que disponga en su agenda, o Alexa, de Amazon, que responde a preguntas, ejecuta apps de música, o controla luces, termostatos, etc., con la voz.

Esto es lo que se ha llamado un asistente personal virtual, que, con los nuevos algoritmos de la Inteligencia Artificial (IA) y el BigData, están evolucionando, por una parte, para comprender mejor el lenguaje natural, y por otra, para aprender a medida que se utiliza, como Allo, de Google, aplicación de mensajería para el móvil; o M, de Facebook, que se integrará en Messenger

Muchas empresas se han lanzado a la investigación y desarrollo de estas herramientas basadas en la aplicación de IA a la comprensión y aprendizaje de las máquinas del lenguaje natural, algunas empujadas por las grandes que abren sus plataformas a desarrolladores externos. Veamos algunos ejemplos.

Facebook quiere que se chatee con bots de empresas[iii], al igual que se hace con familiares y amigos, a través de su app Messenger. A principios de abril, en la conferencia "F8" para desarrolladores, Facebook anunció que abría a los desarrolladores esta app, para que crearan chatbots como un canal de comunicación entre empresas y consumidores, de forma análoga a como charlamos con los amigos. 

Esto representa una ventaja para los consumidores, ya que, como Mark Zuckerberg dijo en dicha conferencia, "nadie quiere tener que instalar una nueva app para cada empresa o servicio con el que quiera interactuar"[iv]; también para las empresas, ya que hay más de 900 millones de personas que ya utilizan Messenger[v], constituyendo así una gran plataforma en la que ofrecer contenidos, productos y servicios, y un nuevo canal; y para ambos, su ubicuidad, realizable en cualquier sitio donde haya comunicación a Internet.

Google dispone de varias herramientas de base para dicho propósito, como SyntaxNext[vi], que puede aprender a entender el significado de palabras y frases dado su contexto, o TensorFlow[vii], framework de deep-learning, liberadas ambas para que desarrolladores de todo el mundo construyan apps y servicios con interfaz basada en lenguaje natural. 

El último producto hasta ahora hecho público, y muy relevante, es Viv, creado por el mismo equipo de Siri -que no está ya en Apple- y que el pasado 9 de mayo lo presentó[viii] uno de sus creadores, Dag Kittlaus. En la demostración Dag solicitó al asistente la reserva de una habitación, que llamara a un coche de Uber, preguntó "si la temperatura de pasado mañana a las 5 de la tarde estaría por encima de los 30º", entre otras cosas. Al parecer, Viv es capaz de seguir una conversación sin cambiar de tema o responder con evasivas.

Viv genera sus propio código "sobre la marcha"[ix], es decir, en el momento en que se está interaccionando con él, analiza sintácticamente las frases y genera inmediatamente un programa para establecer links a las páginas de Internet necesarias, de donde recoger la información, para responder a casi cualquier pregunta o realizar casi cualquier función, como información del tiempo, información del tráfico, etc. o hacer un pedido, si así se le ha requerido, como un billete de avión, o poner la calefacción en casa. Además, como sistema basado en IA, aprende de cada interacción con el mundo.

Los creadores de Viv aspiran a que esta plataforma se integre en todo tipo de dispositivos y cosas en general, y servicios, y sea la forma más sencilla de interactuar con ellos en cualquier sitio. Ya no se necesitará una interfaz para comunicarse con una máquina. 

"... you’ll access its artificial intelligence as a utility, the way you draw on electricity. Simply by speaking, you will connect to what they are calling "a global brain.”" Viv's founders - Wired, ago/2014[x]

* * * 

Este artículo fué publicado originalmente por ComunicacionesHoy en dos partes, en dos de sus números de forma consecutiva: la primera parte, "Los robots invisibles", en el nº 153, 2-06-2016. Referencia: Opinión/Bots, pg.22 – "Bots for business. I (de II): Los robots invisibles"; la segunda parte, "Los chatbots", en el nº 154, 4-07-2016. Referencia: Customer Experience / Opinión, pg. 11 - "Bots for business. II (de II): Los chatbots". María José de la Calle.

---------------------------------

[i] Weinzembaun, J. (1966). "Computational Linguistics". Communications of ACM, Volumen 9 (nº 1). Recuperado de [a 16-05-2016] http://web.stanford.edu/class/linguist238/p36-weizenabaum.pdf 

[ii]  Jiménez Cano, R. (25 de marzo de 2016). "Microsoft retira un robot que hizo comentarios racistas en Twitter". El País. Recuperado de [a 15-06-2016] http://tecnologia.elpais.com/tecnologia/2016/03/24/actualidad/1458855274_096966.html?rel=mas 

[iii] Simonite, Tom (12 de abril de 2016). "Facebook Wants You to Chat with Business Bots". MIT Technology Review. Recuperado de [a 15-06- 2016] https://www.technologyreview.com/s/601251/facebook-wants-you-to-chat-with-business-bots/#/set/id/601265/ 

[iv] "No one wants to have to install a new app for every business or service they want to interact with,". Holak, B. (15 de abril de 2016). "Facebook's chatbots pave way for centralized mobile platform". TechTarget.SearchCIO. Recuperado de [a 15-06-2016] http://searchcio.techtarget.com/news/450281451/Facebooks-chatbots-pave-way-for-centralized-mobile-platform

[v] Smith, C. (3 de junio de 2016). "By the numbers: 25 amazing Facebook Messenger statistics". DMR. Recuperado de [a 15-06-2016] http://expandedramblings.com/index.php/facebook-messenger-statistics/ 

[vi] Petrov, S. (12 de mayo de 2016). "Announcing SyntaxNet: The World’s Most Accurate Parser Goes Open Source". Google Research Blog. Recuperado de [28-07-2016] https://research.googleblog.com/2016/05/announcing-syntaxnet-worlds-most.html 

[vii] Dean, J. (9 de noviembre de 2015). "TensorFlow - Google’s latest machine learning system, open sourced for everyone". Google Research Blog. Recuperado de [28-07-2016] https://research.googleblog.com/2015/11/tensorflow-googles-latest-machine_9.html 

[viii] Ver la presentación en: Duarte, E. (10 de mayo de 2016. "Así es 'Viv', el nuevo asistente personal de los mismos creadores de Siri". Applesfera. Recuperado de [a 15-06-2016]  http://www.applesfera.com/aplicaciones-ios-1/asi-es-viv-el-nuevo-%20asistente-personal-de-los-mismos-creadores-de-siri  

[ix] "[O]n the fly" en el original. Levy, S. (12 de agosto de 2014). "Siri’s Inventors Are Building a Radical New AI That Does Anything You Ask". Wired. Recuperado de [a 15-06-2016] http://www.wired.com/2014/08/viv/  

[x] "... tendrás acceso a su (de Viv) inteligencia artificial como servicio público, de la misma manera que haces uso de la electricidad. Simplemente hablando te conectarás a lo que ellos (los creadores de Viv) llaman "un cerebro global"". Steven Levy, (nota ix). 

 

La digitalización del fuego

Sunday, 03 July 2016 Maria Jose de la Calle Posted in iTTi Views

Hasta hace algún tiempo había una clara frontera entre el ámbito real o mundo físico y el ámbito virtual o mundo digital. Nada de lo que ocurría en los ordenadores tenía una consecuencia directa sobre objetos físicos o personas, sólo actuaban sobre objetos virtuales, transformando unos en otros. Si se producía un error, el daño recaía directamente sobre algún producto virtual que un proceso determinado tuviera como salida. ¿Qué es lo que ha desdibujado dicha frontera? 

La automatización de las máquinas

Las máquinas herramientas se han empleado desde hace mucho tiempo, se han automatizado para realizar una tarea concreta, y han trabajado junto a otras coordinadas y controladas por personas. Los sensores y medidores y en general, los sistemas de control industrial (aquellos sistemas de información empleados en el control y la supervisión de procesos [físicos] productivos), proporcionaban medidas recogidas por personas, que decidían actuar de una manera u otra en base a dichas mediciones.

También había -hay- automatismos como puertas que se abren con una señal de infrarrojo o detectan que algo o alguien quiere pasar, o grifos que suministran agua automáticamente, o luces que se encienden al paso de las personas, o detectores de movimiento de intrusos que hacen saltar alarmas, o de incendio que envían señales a una central de alarmas y que, además pueden liberar agua.

Todos estos automatismos eran -y algunos siguen siendo- físicos, es decir, dependían del cambio de propiedades como calor produciendo una dilatación o contracción, recepción o no de señal electromagnética; o la electricidad y la electrónica aplicada a las máquinas. 

El SW: puente entre el mundo virtual y el real

Con el software (SW), se pasó a automatizar las máquinas con código, mucho más flexible y barato que el control físico, y con la posibilidad de que las máquinas pudieran comunicarse entre sí, lo que, por ejemplo, posibilitaba que mediciones de una modificara la acción de otra, o el control de varias desde de una tercera.

Este paso hizo de puente entre el mundo virtual y el físico, desapareciendo la frontera que los separaba. Los objetos virtuales en máquinas, sensores o controladores ya tenían una consecuencia en el mundo real, una acción sobre él para la cual se había programado dicha máquina.

Los fallos de SW, tanto los inconscientes como los intencionales -malware- podían causar daños físicos al producir un mal funcionamiento en las máquinas. La seguridad de los sistemas no consiste ya sólo en proteger la información como bien último y los objetos virtuales tratados por el SW, sino también evitar los daños físicos que la modificación de todo ello pudiera ocasionar en el mundo real sobre el que la máquina actúa.

La comunicación entre los distintos componentes de un sistema en un principio era por un cable que conectaba una máquina a otra. Para acceder a un sistema y controlarlo se necesitaba acceso físico.

Con Internet y el hecho de estar conectando todo a través de ella, ya es posible tener el control de cualquier máquina a distancia, desde cualquier punto del globo.

La conectividad proporcionada por puertos, antenas y protocolos, tanto por cable como sin cable, permite a las máquinas conectarse a una central de control, o con otra máquina para proporcionar o recibir datos; o con bases de datos, formando un sistema que no tiene por qué residir en un único espacio físico.

A la revolución del SW, de Internet y la conectividad, hay que añadir la miniaturización de los componentes de un ordenador, pudiendo introducir este en cualquier dispositivo, haciendo extensivo el mundo TI -sus ventajas y sus inconvenientes- a casi cualquier cosa, fuera de lo que conocemos por ordenador. Esto es lo que se conoce por "Internet de las cosas" -IoT, del inglés Internet of Things-.

Tener todo este mundo conectado tiene sus ventajas, ya que enriquece las funciones que en principio puede realizar un dispositivo, al poder intercambiar información con otros sistemas de su entorno, con centros de su fabricante, con el usuario. Por ejemplo, un automóvil puede recibir informaci n sobre el tráfico e informar al conductor sobre el mejor camino por el que dirigirse, al tiempo que está enviando información al fabricante sobre su rendimiento y estado de sus componentes, que a su vez puede entonces informar al conductor de si debe llevar el coche al taller para subsanar algún fallo o se le puede enviar una actualización que arregle algún mal funcionamiento; o puede intercambiar información con otros coches en un aparcamiento para saber si queda alguno libre, etc. Y, por supuesto, llevarnos a nuestro destino sin necesidad de dirigirlo nosotros.

Pero esto también tiene sus inconvenientes que son los relacionados con los riesgos en que se incurre por el hecho de estar siempre conectados y de estar intercambiando datos. No siempre lo que entra es legítimo y no dañino, y no siempre lo que sale llega sólo al destinatario adecuado.

Stuxnet y otros

Uno de los primeros ejemplos de virus encontrados en máquinas es Stuxnet[i], creado para hacer funcionar mal PLC's -controladores lógicos programables- de Siemens, y que entre otros sitios, se utilizaban en una planta de enriquecimiento de uranio de Irán. Stuxnet averió las centrifugadoras de la planta. Por medio de un pendrive que llevaba un SW para explotar una vulnerabilidad -exploit- de Windows no conocida en el momento de lanzamiento del virus se accedió a la central y a sus sistemas de operación y se tomó control de ellos, bajando a través de Internet el SW para los PLC's que los hacían funcionar inadecuadamente. 

El pasado 5 de mayo tuvo lugar una nueva edición del evento del CCI (Centro de Ciberseguridad Industrial) "La Voz de la Industria"[ii]. En una de las ponencias de dicho evento se realizó una demostración de cómo hackear un contador de la luz de los llamados "inteligentes" desde un PC, que, según comentaron, igual se podía haber hecho desde un smartphone. Se realizaron dos tipos de ataque, uno de denegación de servicio y otro de "Man in the middle". Estos contadores inteligentes están conectados con la empresa comercializadora informando del consumo que se realiza, y estos datos que se envían no todas las marcas de contadores los envían cifrados.

Por un lado, es fácil entrar en los contadores y, por ejemplo cortar el suministro. Como la información no está cifrada, puede hacerse, además, un ataque "Man in the middle" a los datos de consumo y obtener un patrón de las costumbres de los habitantes de la casa. Pero los contadores también pueden servir para enviar datos del contrato si se quiere modificar éste.

Siguiendo con el tema industrial, en el 2014 hackearon unos altos hornos en Alemania[iii], infligiendo graves daños, con cortes e interrupciones en los sistemas de producción. La entrada fue desde TI por medio de phising y desde aquí consiguieron acceso a los sistemas de producción.

El pasado 25 de abril, una compañía estadounidense distribuidora de agua y electricidad[iv] sufrió  un ataque de tipo ransomware que según parece sólo afectó  a sus redes corporativas y no a las de operación ni a los sistemas de control industrial. En el momento en que se detectó el incidente, se bloqueó la red corporativa. Si este ataque hubiera llegado a las redes de operación, el suministro a clientes se podría haber visto comprometido gravemente.

Peor suerte corrieron los habitantes de la región ucraniana de Ivano-Frankivsk que se quedaron sin suministro eléctrico durante varias horas debido a un ataque con un troyano[v]. Este ataque se completó con otro de denegación de servicio a las redes telefónicas para impedir la comunicación del ataque.

Patrones de funcionamiento y aprendizaje de las máquinas

Para poder detectar el malware antes de que entre en los sistemas hay varias estrategias. Una de ellas es conocer las redes y como funcionan, qué componentes hablan entre sí, qué se dicen y con qué protocolo, permitiendo solamente dichos intercambios, o al menos hacer saltar alarmas de lo que puede resultar sospechoso.

El pasado mes de abril, en Futurism se publicó  un artículo titulado "MIT Artificial Intelligence Can Predict 85% of Cyber-Attacks"[vi]. En él se describía un sistema de IA -inteligencia artificial- que era entrenado por investigadores para ayudar a las personas a identificar ciber-ataques.

Para ello, alimentaron al sistema con millones de líneas de log de una plataforma de comercio electrónico durante tres meses, para hacerlo trabajar con métodos que empleaban las personas, pero que el sistema hacía de forma más eficiente al poder revisar millones de líneas cada día.

Cuando el sistema encontraba algo sospechoso, una persona revisaba ese punto, y devolvía una respuesta al sistema, con la cual la máquina aprendía. Las amenazas evolucionan continuamente y la máquina de momento parece que ella sola puede llegar a ese 85%, pero trabajando junto a una persona este porcentaje sería mayor.

La persona no tiene ya que examinar una cantidad imposible de puntos sospechosos, ya que la máquina puede devolver del orden de 200 al día o menos, y la máquina sigue aprendiendo al tiempo que la persona los revisa y devuelve una respuesta. 

IoT y los riesgos para la vida cotidiana

Centrándonos en las cosas que utilizamos habitualmente, el riesgo a sufrir un ataque es el mismo. Por ejemplo los coches. En julio del año pasado sali  a la luz el ataque a un Jeep Cherokee, explotando una vulnerabilidad no conocida y que proporcionaba a los atacantes un control total sobre dicho coche[vii]. Fue un ataque controlado y los participantes conocían los riesgos.

Por otra parte, en "Scientific American" aparecía otro artículo titulado "Why Car Hacking Is Nearly Impossible"[viii] en el que se explica que el experimento que realizaron los hacker con el Jeep les costó un año de investigar el coche. Es decir, que no es tan fácil ... pero sí es posible en un tiempo razonable. Lo que habría que conseguir es que no lo fuera. 

Creo que nos hicieron un favor a todos descubriendo la vulnerabilidad, cosa nada rara ya que hay muchos White-hat hackers (hackers éticos) trabajando de esta manera y dando a conocer dichas vulnerabilidades para que los fabricantes las arreglen cuanto antes y no las aprovechen otros para conseguir dinero o hacer daño de alguna manera.

Por ejemplo, el 2 de mayo pasado apareció publicado en Wired un artículo titulado "Flaws in Samsung’s ‘Smart’ Home Let Hackers Unlock Doors and Set Off Fire Alarms"[ix]. En él se decía que tener un detector de humo que te enviara una alerta cuando tu casa estuviera ardiendo parece una buena idea; o que la puerta de la casa esté conectada a internet y cerrada con cerradura electrónica con una clave que se programe desde el móvil, suena bien. Pero cuando es atacado el detector y salta la alarma a las cuatro de la mañana, o es atacada la puerta y se abre a un extraño, de repente la casa inteligente nos parece bastante tonta. La comunidad investigadora -en seguridad- lleva avisando durante años de que la IoT, y en particular los aparatos domésticos conectados, introduciría una avalancha de vulnerabilidades en los objetos cotidianos.

Tanto es así que un grupo de investigadores de la Universidad de Michigan y Microsoft han publicado lo que ellos llaman el primer análisis[x] en profundidad de una plataforma de "casa inteligente" que permite controlar aparatos de uso doméstico como las bombillas o la puerta, desde un ordenador o un móvil. 

* *

Para terminar, en un artículo del año 2011 de "Scientific American"[xi] titulado "Printers Can Be Hacked to Catch Fire", se cuenta como dos investigadores de la Universidad de Columbia en Nueva York, encontraron un fallo en una impresora normal de oficina que les permitió  hacerse con el dispositivo para espiar a los usuarios, distribuir malware e incluso forzarla para que se sobrecalentara y se incendiara.

Desde que el hombre primitivo aprendió a iniciar el fuego haciendo saltar chispas con dos piedras hasta ahora, que se puede hacer mandando unos códigos a unos dispositivos remotos. Incendio a distancia y de manera digital. 

* * *

Este artículo fué publicado originalmente por @PuntoSeguridad.com/"Cuadernos de Seguridad", junio-2016, nº 312, pg.70, Ciberseguridad – "La digitalización del fuego" – María José de la Calle.    

--------------------------

[i] David Kushner, 26 Feb 2013. "The Real Story of Stuxnet". IEEE SPECTRUM. url [a 9-05-2016] http://spectrum.ieee.org/telecom/security/the-real-story-of-stuxnet 

[ii] CCI. url [ a 9-05-2016 ] https://www.cci-es.org/web/cci/detalle-evento/-/journal_content/56/10694/220300 

[iii] Kim Zetter, 08 Jan 2015. "A Cyberattack Has Caused Confirmed Physical Damage for the Second Time Ever". Wired. url [a 9-05-2016] https://www.wired.com/2015/01/german-steel-mill-hack-destruction/ 

[iv] Kevin Townsend, 3 May 2016. "Michigan Power and Water Utility Hit by Ransomware Attack", SecurityWeek. url [a 9-05-2016] http://www.securityweek.com/michigan-power-and-water-utility-hit-ransomware-attack 

[v] Mónica Valle, 22 Ene 2016. "Continúan los ciberataques contra las compañías eléctricas en Ucrania". GlobbSecurity. url [a 9-05-2016] http://globbsecurity.com/continuan-ciberataques-companias-electricas-ucrania-37575/ 

[vi] Futurism, 19 Apr 2016. "MIT Artificial Intelligence Can Predict 85% of Cyber-Attacks". url [a 09-05-2016] http://futurism.com/mit-artificial-intelligence-can-predict-85-cyber-attacks/ 

[vii] Andy Greenberg, 21 Jul 2015. "Hackers Remotely Kill a Jeep on the Highway—With Me in It". Wired. url [a 9-05-2016] https://www.wired.com/2015/07/hackers-remotely-kill-jeep-highway/ 

[viii] David Pogue, 22 Feb 2016. "Why Car Hacking Is Nearly Impossible". Scientific American. url [a 9-05-2016]  http://www.scientificamerican.com/article/why-car-hacking-is-nearly-impossible/ 

[ix] Andy Greenberg, 02 May 2016. "Flaws in Samsung’s ‘Smart’ Home Let Hackers Unlock Doors and Set Off Fire Alarms". Wired. url [a 9-05-2016] https://www.wired.com/2016/05/flaws-samsungs-smart-home-let-hackers-unlock-doors-set-off-fire-alarms/?mbid=nl_5216   

[x] "Security Analysis of Emerging Smart Home Applications". University of Michigan, 2016. url [a 2016.05.09] https://iotsecurity.eecs.umich.edu 

[xi] Paul Wagenseil, 29 Nov 2016. "Printers Can Be Hacked to Catch Fire". Scientific American. url [a 9-05-2016] http://www.scientificamerican.com/article/printers-can-be-hacked-to-catch-fire/ 

 

Ciudades inteligentes, Internet de las Cosas y Herencia

Friday, 17 June 2016 Manolo Palao Posted in iTTi Views

El que deja una herencia, deja pendencias

Del refranero popular.

Dichoso el día en que ni la fortuna ni la miseria se hereden”. 

Rafael Barrett [i]

El creciente y natural interés por las ciudades inteligentes —smart cities (SC)— y por el Internet de las Cosas (IoT, por sus siglas en inglés) viene provocando por doquier infinidad de eventos y publicaciones de muy diverso enfoque y también de muy variada calidad.

En su gran mayoría, describen ambos fenómenos —SC e IoT— como una revolución global y de gran impacto que ya ha comenzado y está acelerándose, por la rápida evolución de la tecnología, el crecimiento de la población y la aspiración y acceso crecientes a la tecnología por parte de cada vez mayores contingentes humanos. Esas descripciones, muy a menudo, anuncian —a veces con tintes evangelizadores— un futuro próximo de utopía feliz.

El objetivo de las SC es «una calidad de vida elevada, un desarrollo económico-ambiental durable y sostenible, una gobernanza participativa, una gestión prudente y reflexiva de los recursos naturales, y un buen aprovechamiento del tiempo de los ciudadanos»[ii]. Calidad de vida, sostenibilidad y eficacia serían los tres conceptos clave.

Las SC son ciudades en las que se dan «un uso intensivo de lo digital (con una dependencia globalizada de infraestructuras y servicios) y una alta concentración, diversidad, y poder de agentes y otros “interesados”»[iii]. El concepto de SC está todavía cristalizándose, como lo prueba que una búsqueda somera en Google de las ciudades “más smart” de 2015 arroja listas sin coincidencia alguna [iv]. 

Dicho ‘uso intensivo’ consiste fundamentalmente en una amplia utilización de la Internet de las Cosas, que permite una creciente regulación ‘inteligente’ (mediante sensores y algoritmos y dispositivos actuadores) de redes, como las de semáforos, abastecimientos (comunicaciones, agua, gas, electricidad, etc.) y otros servicios (hospitales, emergencias, etc.). De todo ello hay experiencias piloto y aplicaciones que ya tratan bastante satisfactoriamente sistemas muy diversos. 

Son usos de la IoT que deberían ir acompañados de un mayor y mejor uso de ‘tecnologías sociales’, «‘tecnologías de las personas’: Administración-e, sanidad-e, educación-e, voto-e, mayor democracia participativa (que no asamblearia)»[v]. 

En ambos casos (‘tecnología de las cosas’ y ‘tecnología de las personas’) se trata de usos capital-intensivos, que globalmente se desarrollarán e implantarán en el mundo diferencialmente, según los planes del capital y la capacidad de endeudamiento de las ciudades. Por ello, sería bueno también que gobiernos, universidades y pequeños emprendedores centraran además su atención en ‘tecnologías blandas’[vi] alternativas o complementarias, muchas de rápida implantación, con baja inversión. 

* *

Tanta novedad y progreso nos puede distraer de mirar adecuadamente al pasado, llevándonos a ignorar la herencia histórica de las ciudades (y de gran parte de la infraestructura de la IoT). No es que esta perspectiva histórica sea la mejor ni la única. Se trata simplemente de que no debe obviarse.

«La prospectiva conduce inevitablemente a la ciencia ficción, porque es fácil deslizarse hacia el entusiasmo tecnológico»[vii].

Como reflexión histórica, las ciudades de la segunda de las dos listas de la Nota [iv], fueron fundadas en las fechas que indica la tabla adjunta. Una gran herencia; con sistemas físicos y culturales, con siglos de antigüedad. 

Las que se estiman[viii] ser las 10 mayores megalópolis actuales albergan unos 317 M de habitantes y en general crecen a un ritmo acelerado (ley gravitatoria). Parece lógico pensar que estas grandes concentraciones humanas, de rápido crecimiento, son o serán muy pronto importantes candidatas a evolucionar hacia SC —de hecho, dos de ellas, N. York y Tokio están en la Tabla de SC—.

Herencias antiguas tienen también la mayoría de las muchas que se denominan ‘nuevas ciudades’ (new towns) o ciudades planificadas [ix] (aparte de que  el adjetivo ‘nuevo’ en el nombre de la ciudad puede inducir a errores históricos: Nueva York es de 1624, como he señalado; y Nueva Delhi de 1911).  

La paradigmática new town británica Milton Keynes (de 1967, ya con un trazado viario mallado y no radial) "tiene el compromiso de convertirse en una Smart City”[x].

Quizá puedan salvarse de la losa histórica aquéllas de las nuevas ciudades chinas ‘millennials’ (nativas digitales)[xi] que lleguen a consolidarse, porque al parecer, bastantes están desiertas o casi[xii].

Por otra parte, cabe esperar que el desarrollo de la ‘industria 4.0’ —caracterizada, entre otras cosas, por la robotización, que da lugar a una industria cada vez menos mano_de_obra-intensiva[xiii]— pueda en parte atenuar algo el crecimiento urbano (y de las nuevas ciudades), dado que éste se debió en gran parte a la creciente demanda de mano de obra concentrada surgida tras la Revolución Industrial.[xiv]

Por lo que respecta a la IoT y pese al anunciado progreso de la ‘industria 4.0’, durante mucho tiempo, una parte significativa, si no la mayor parte, de las ‘cosas’ que maneje y de su infraestructura, seguirán siendo también ‘heredadas’. La capacidad de renovación del parque empresarial es limitada y la tasa de penetración ‘generalizada’ de las innovaciones es relativamente lenta [xv].  

«Investigaciones recientes prueban que, como media, los países han adoptado tecnologías tales como las de automóviles, camiones, ordenadores / computadoras personales, teléfonos o imágenes de resonancia magnética más de cuarenta y cinco años tras su invención»[xvi].

En España, el 41% del parque de vehículos (un total de 30M) tenía –con datos hasta 2013 inclusive— más de 15 años de antigüedad [xvii]. ¿Qué porcentaje del parque total dispone de conectividad con servicios web o de asistencia al aparcamiento / parqueo? 

* *

En Informática, la palabra ‘herencia’ —legacy— es una palabra de mal agüero. La ‘herencia’, generalmente, es un problema intricado, retorcido [xviii], una “patata caliente”. Supone problemas económicos (eficacia, eficiencia), operativos (facilidad, continuidad, mantenimiento) y de seguridad. 

Un sistema heredado es «un sistema informático (equipos informáticos o aplicaciones) que ha quedado anticuado, pero continúa siendo utilizado por el usuario (típicamente una organización o empresa) y no se quiere o no se puede reemplazar o actualizar de forma sencilla»[xix].

Las herencias informáticas, por la propia historia de la tecnología, son herencias relativamente recientes y frescas: difícilmente superan, en los casos extremos, los 30 – 40 años. 

Pero imaginen ustedes, entonces, lo que esas herencias —que de por sí consideramos pesadas— pueden suponer superpuestas a las de los sistemas físicos (operativos, fabriles, urbanos) que a su vez son sistemas heredados, muchos con una enorme carga histórica. 

Estamos ante lo que el Prof. Allenby [xx] (hablando del cambio climático) denomina una ‘condición’ (en el sentido de estado o situación) a la que hay que habituarse, e intentar tratar a medio-largo plazo; pero no ante un ‘problema’, como algo que permite confiar en una solución directa, relativamente pronta. Una ‘condición’ o ‘problema retorcido’. 

* *

Quizá uno de los riesgos y retos más importantes que plantea y planteará la herencia es el de la seguridad. Los sistemas heredados son intrínsecamente inseguros, porque fueron diseñados sin que la seguridad fuese una especificación de diseño. Y en las SC y en la IoT se están implantando sistemas informáticos heredados inseguros [xxi] [xii]; y los nuevos que se implantan, con frecuencia, se están implantando sin las precauciones de seguridad adecuadas [xxiii]. 

Muchas legislaciones permiten rechazar las herencias convencionales (conjunto de bienes y obligaciones que alguien cede a su muerte). Las herencias genéticas no son (por el momento) rechazables y las tecnológicas lo son rara vez.

Hay, por ello, y habrá durante años, tanto en las SC, cuanto en la IoT, temas de preocupación y de ocupación abundantes e importantes, para los especialistas en seguridad.

* * *

Este artículo fué publicado originalmente por la revista mejicana Magazcitum el 21/04/2016. Ref: Magazcitum, año 7, nº1, 2016 pág. 26. "Ciudades Inteligentes, Internet de las Cosas y Herencia" - Manolo Palao. 

-------------------------------

[i] http://www.mundifrases.com/frase/rafael-barrett-dichoso-el-dia-en-que-ni-la-fortuna/. Consultado  20160123.  

[ii] https://es.wikipedia.org/wiki/Ciudad_inteligente. Consultado 20160123.

[iii] Palao, M. y García-Menéndez, M. (abril 2015). “Smart Cities y Gobierno Corporativo de las Tecnologías de la Información”.  REVISTA APD. Monográficos 2015,  apd Asociación para el Progreso de la Dirección. Madrid.  

[iv] Arlington County, Virginia, EEUU; Columbus, Ohio, EEUU; Ipswich, Queensland, Australia; Mitchell, South Dakota, EEUU; New Taipei City, Taiwan; Rio de Janeiro, Brasil; Surrey, British Columbia, Canada; según Forbes: World's Top 7 Smart Cities Of 2015 Are Not The Ones You'd Expect http://www.forbes.com/sites/federicoguerrini/2015/01/28/worlds-top-7-smartest-cities-of-2015-are-not-the-ones-youd-expect/#585258cb419c.  

Barcelona, Berlín, Estocolmo, Hong Kong, Londres, Nueva York, París, Tokio, Toronto, Viena; según First Point Group: TOP 10 SMART CITIES IN THE WORLD  http://www.firstpointgroup.com/top-10-smart-cities-in-the-world-2/.

[v] Ver Nota 3.

[vi] Como educación, persuasión, invéntica, heurística, investigación operativa, economía compartida, autoconsumo, consorcio, etc. Ver, p. ej., http://tecnoblanda.blogspot.com.es/ y  Varela, G. (1997), “Los patrones de vinculación Universidad-Empresa en Estados Unidos y Canadá y sus implicaciones para América Latina”, en Casas, R. y Luna, M. –Coordinadoras. (1997). Gobierno, Academia y Empresas en México. Hacia una nueva configuración de relaciones. México, D. F.: Plaza y Valdés. p 55. 

[vii] El País (Editorial). (20160124). El beneficio de la catástrofe. http://economia.elpais.com/economia/2016/01/22/actualidad/1453485315_217905.html. Consultado 20160124. 

[viii] Ciudad de México, Delhi, Guangzhou, Jakarta, Karachi, Manila, Mumbai, Nueva York, Shanghái, y Tokio. https://es.wikipedia.org/wiki/Megal%C3%B3polis#Megal.C3.B3polis_m.C3.A1s_pobladas. Consultado  20160123.

[ix] https://en.wikipedia.org/wiki/List_of_planned_cities.  Consultado 20160126.

[x] http://en.webot.org/?search=Smart_city. Consultado 20160126.

[xi] «Los principales cambios en la planificación de nuevas ciudades sucedieron en la década de 2000, cuando las ciudades chinas experimentaron una suburbanización acelerada». Traducido de Wu, F. (2015). Planning for Growth: Urban and Regional Planning in China. Nueva York: Routledge. Ch. 6. 

[xii] http://www.dailymail.co.uk/news/article-2005231/Chinas-ghost-towns-New-satellite-pictures-massive-skyscraper-cities-STILL-completely-empty.html. Consultado 20160126.

[xiii] “[E]n un horizonte comprendido entre el 2025 y el 2035, el 47% de la población ocupada de EEUU se hallará en un riego muy alto de que el trabajo que desempeña sea realizado por un elemento no humano”. Niño Becerra, S. (5 de enero 2016).  “Reedición”.  LACARTADELABOLSA.  http://lacartadelabolsa.com/leer/articulo/reedicion. Consultado 20160105. 

[xiv] El movimiento de las nuevas ciudades surgió en un intento de corregir la congestión, hacinamiento e inconvenientes de las ciudades, «subproducto de la revolución industrial, generado por el círculo vicioso por el que la industria optó por establecerse próxima a las bases de población».

https://en.wikipedia.org/wiki/New_towns_movement#The_New_Towns_Movement_around_the_world . Consultado 20160125.

[xv] “Un 2% probablemente no es una mala aproximación de cuán deprisa, como media, la Humanidad puede avanzar la frontera de la innovación, y parece nuestra mejor previsión para el próximo cuarto de siglo…

Tras la espectacular iluminación, en 1882, del bajo Manhattan por Thomas Edison, la electrificación de la mitad de las fábricas [de EEUU] aún llevó unas cuatro décadas”. Traducido de Greenspan, A. (2007). The Age of Turbulence.  The Penguin Press. pp 473-6.

[xvi] Fuente: Traducido de Allenby, B. R. (2012). The Theory and Practice of Sustainable Engineering. Nueva York: Pearson Learning Solutions.  p 156. 

[xvii] Fuente: elaboración propia, a partir de datos publicados por la Dirección General de Tráfico. http://www.dgt.es/es/seguridad-vial/estadisticas-e-indicadores/parque-vehiculos/. Consultado 20160123.

[xviii] «Un "problema retorcido" (en inglés, "wicked problem") es … un problema que es difícil o imposible de resolver dado que presenta requisitos incompletos, contradictorios y cambiantes que generalmente son difíciles de reconocer. El término "retorcido" no se utiliza en un sentido de malvado, sino antes bien como resistencia a la solución».  https://es.wikipedia.org/wiki/Problema_retorcido.  Consultado 20160126. 

[xix] https://es.wikipedia.org/wiki/Sistema_heredado. Consultado 20160123. 

[xx] Ver Nota 16.

[xxi] “Al considerar los requisitos de un sistema operativo seguro, vale la pena reconocer cuán lejos de satisfacer tales requisitos están los sistemas operativos corrientes”. Traducido de: Jaeger, T. (2008). Operating Systems Security.  San Rafael, California: Morgan & Claypool. p 39. 

[xxii] “ [P]rácticamente, todos los sistemas operativos embebidos instalados son incapaces de satisfacer de forma significativa niveles altos de certificación de seguridad. Una de las razones de la falta de seguridad de los sistemas operativos es el enfoque adoptado históricamente para lograr la seguridad. En la mayoría de los casos, la seguridad de ‘atornilla’ a toro pasado… Lamentablemente, muchos de los sistemas que se usan en el mundo para monitorizar y controlar plantas y equipos en industrias tales como abastecimientos de agua, saneamiento y gestión de basuras, energía y refino del petróleo usan esos sistemas operativos, los mismos que hay instalados en un vulgar PC”. Traducido de David Kleidermacher, D. & Kleidermacher, M. (2012).  Embedded Systems Security: Practical Methods for Safe and Secure Software and Systems Development. Elsevier. p 27. 

[xxiii] «Las nuevas tecnologías (sistemas, dispositivos, etc.) se están implantando sin realizar ninguna prueba de seguridad». Traducido de Cerrudo, C. (2015). Hacking Smart Cities. RSA Conference 2015.

https://www.rsaconference.com/events/us15/agenda/sessions/1527/hacking-smart-cities.  Consultado 20160127.

  

El banco: de oficina a interfaz virtual

Sunday, 12 June 2016 Maria Jose de la Calle Posted in iTTi Views

"... [L]os datos se están constituyendo en un nuevo recurso natural. Prometen ser para el siglo XXI lo que la máquina de vapor para el siglo XVIII, la electricidad para el XIX y los hidrocarburos para el XX. " IBM-2013[i]. 

* *

Las Tecnologías de la Información, -o TI- , son una de las tecnologías que están cambiando la forma en cómo se hace el negocio y en cómo relacionarse con el cliente. La estrategia de las empresas ha pasado de centrarse en sus productos y cómo venderlos, estrategia que se puede definir como hacia dentro, a una hacia el cliente o hacia fuera.

Esta transformación se ha producido obligada por la popularización del uso de las TI, en un principio los ordenadores personales y, posteriormente, los dispositivos móviles y las comunicaciones, los cuales han permitido una relación continua e inmediata del proveedor con el cliente, y a su vez de éste con otras personas cercanas de forma virtual. Esto ha provocado que opiniones, sugerencias, necesidades y estilos de vida de dichos clientes, registradas por el uso de dispositivos electrónicos, hayan pasado a centrar la atención de las empresas, que utilizando los mismos medios, intentan fidelizar al mismo cliente con mensajes más personalizados.

Por otra parte, los clientes han exigido otras maneras de relacionarse con las empresas para obtener online sus servicios y productos por medio de las TI, desde cualquier sitio y en cualquier momento.

La Banca no ha estado ajena a este proceso, pero quizás no ha sido todo lo ágil que el ciudadano demandaba. Además, en la pasada década su imagen quedó bastante dañada con los múltiples escándalos consecuencia de malas praxis. 

Esta situación ha sido aprovechada por multitud de pequeñas empresas tecnológicas -o grandes, como Apple o Google- que, apoyándose en su conocimiento de la tecnología, han creado nuevas formas de proveer servicios financieros tradicionalmente ofrecidos por el sector bancario, desde pagos y transacciones, monederos digitales o crowfunding hasta asesoría financiera e inversiones. Para ellas se ha acuñado el término Fintech, contracción de los vocablos ingleses “financial” y “technology”. Ejemplos hay muchos [ii]. 

Entre ellos podemos citar a TransferWise, una alternativa para las transferencias internacionales online mediante el denominado modelo ‘peer-to-peer' -o red de enlace entre pares- (P2P); la empresa hace de intermediario y si alguien desea transferir dinero, por ejemplo, a Estados Unidos desde Alemania, TransferWise se encarga de buscar a una o más personas que, a su vez, quieran transferir la misma cantidad de Estados Unidos a Alemania. O Robinhood, dedicada a las inversiones online que no cobra comisiones a sus clientes. O Kantox, startup española centrada en el intercambio de divisas entre empresas.

Estas pequeñas empresas cada una por separado no prestan todos los servicios de un banco, más bien se especializan en uno determinado, pero el cliente puede prescindir de la banca tradicional acudiendo a varias de ellas, dependiendo del producto o servicio que requiera en cada momento, teniendo todo centralizado desde la pantalla de su dispositivo y a golpe de click.

Las estrategias de los bancos para hacer frente a la revolución digital son diferentes [iii], desde realizar alianzas estratégicas con las Fintech -caso del BBVA con Dwolla, especialista en medios de pago-, o la compra de alguna de ellas -como la compra por BBVA de la startup finlandesa Holvi [iv]-, o a través de fondos de venture capital -como Banco Santander, con sus inversiones, entre otras, en iZettle, especializada en pagos vía móvil y Tablet; Ripple, dedicado a la tecnología Blockchain; o Kabbage, especializada en crédito directo a empresas-, o desarrollo internos -como el caso de CaixaBank o también el Banco Santander-.

Las TI no sólo han traído una nueva manera de acceder a productos y servicios desde un dispositivo electrónico, también ha supuesto el registro de todo lo que se hace por medio de ellos constituyendo una avalancha de datos de todo tipo, estructurados y no-estructurados -imágenes, vídeos, documentos-, lo que se ha denominado BigData, los cuales se pueden explotar de dos maneras. Una de ellas es mediante herramientas analíticas heredadas o emparentadas con la minería de datos; la segunda es aplicar algoritmos de inteligencia artificial, lo que se ha denominado computación cognitiva -cognitive computing, en inglés-, aunque esta clasificación encierra obvios solapes. 

Según McKinsey en el artículo "Cutting through the noise around financial technology" del pasado mes de febrero, las herramientas analíticas "prometen un potencial de transformación para predecir las 'siguientes mejores acciones', entender las necesidades del cliente, y entregar servicios financieros vía nuevos mecanismos que van desde los teléfonos móviles hasta los wearables [v]." 

En cuanto a la computación cognitiva, CaixaBank, junto con IBM, ha implantado un servicio de asesoramiento sobre comercio exterior para sus clientes [vi], basándose en IBM-Watson [vii], sistema de computación cognitiva al cual, por medio de sus algoritmos de aprendizaje, ha habido que enseñar a entender el español y entrenarlo para que pudiera responder preguntas y dudas técnicas relacionadas con el área de negocio en cuestión. (Carecemos de detalles de cuál ha sido la enseñanza más ardua: la del español o la de comercio exterior).

Con todo esto el banco está dejando de ser un lugar físico y dará igual si es un empresa o una miríada de ellas, ya que su interfaz con el usuario será virtual -una pantalla, por ejemplo- desde la cual interaccionar para solicitar y recibir productos y servicios, hacer consultas o reclamaciones, y todo ello a un asistente virtual en lenguaje natural. 

"Estás ya rodeado de robots, aunque no lo sepas"

El País, abril-2016[viii]

* * *

Este artículo fué publicado originalmente por ComunicacionesHoy, nº 152, 6-05-2016. Referencia: Especial/Banca y Seguros. Opinión, pg.28 – "El banco: de oficina a interfaz virtual" – María José de la Calle. 

-----------------------------------

[i]  "... data is becoming a new natural resource. It promises to be for the 21st century what steam power was for the 18th, electricity for the 19th and hydrocarbons for the 20th". Virginia M. Rometty, Chairman, President and Chief Executive Officer, IBM. 2013, IBM Annual Report. url [a 2016-04-17] http://www.ibm.com/annualreport/2013/bin/assets/2013_ibm_annual.pdf 

[ii] Estas son algunas ur's con listas de fintech [a 2016-04-17]: http://fintechinnovators.com , https://www.quora.com/Is-there-a-list-of-FinTech-startups , http://www.investopedia.com/articles/investing/123115/10-fintech-companies-watch-2016.asp 

[iii] Michela Romani, 2015-12-07. "Cómo se relacionan Santander, BBVA y CaixaBank con el 'fintech'". Expansión. url [a 2016-04-17] http://www.expansion.com/economiadigital/companias/2015/12/07/5665870b268e3eea0e8b45df.html 

[iv] Teppo Paavola 2016-03-07. "BBVA compra otra start up fintech". Expansión. url [a 2016-04-17] http://www.expansion.com/empresas/banca/2016/03/07/56dd65ec46163f1d7e8b4618.html 

[v] "But big data and advanced analytics offer transformative potential to predict “next best actions,” understand customer needs, and deliver financial services via new mechanisms ranging from mobile phones to wearables." Miklos Dietz, Somesh Khanna, Tunde Olanrewaju, and Kausik Rajgopal, Feb-2016. "Cutting through the noise around financial technology". McKinsey. url [a 2016-0417] http://www.mckinsey.com/industries/financial-services/our-insights/cutting-through-the-noise-around-financial-technology  

[vi] "CaixaBank e IBM potenciarán el asesoramiento a los clientes" 2016-04-11. "El Economista". url [a 2016-04-17] http://www.eleconomista.es/tecnologia/noticias/7483089/04/16/CaixaBank-e-IBM-implantan-el-primer-sistema-Watson-en-castellano.html  

[vii] "What is Watson?" IBM. url [a 2016-04-17] http://www.ibm.com/smarterplanet/us/en/ibmwatson/what-is-watson.html  

[viii] Beatriz Guillén, 2016-04-10. "Estás ya rodeado de robots, aunque no lo sepas". "El País". url [a 2016-04-17] http://tecnologia.elpais.com/tecnologia/2016/04/01/actualidad/1459507616_678873.html 

 

Miscelánea

Sunday, 22 May 2016 Maria Jose de la Calle Posted in iTTi Views

El DRAE define miscelánea como 'Obra o escrito en que se tratan muchas materias inconexas y mezcladas'. 

Esto es un poco lo que me propongo en este artículo, tratar una serie de aparentemente temas inconexos -de ciberseguridad, por supuesto-, aparecidos en distintos medios en los últimos meses, desde la guerra que han comenzado los publicistas y organizaciones que ponen contenidos gratuitos en la red a cambio de publicidad, contra los desarrolladores de app's que bloquean dicha publicidad; o las nuevas tácticas del ransomware; hasta la disputa de Apple con el FBI.

* *

Los ad-blockers

Los bloqueadores de publicidad -ad blockers, en inglés-, desde hace algunos meses vienen apareciendo en los medios más que como defensores de los usuarios de la web, que en mayor o menor medida somos todos, como enemigos tanto de las empresas de publicidad que utilizan la web como soporte de los anuncios de sus clientes, como de web's que ofrecen contenidos gratuitos financiándose con publicidad.

Los bloqueadores son app's que se añaden a los navegadores como extensiones, y que impiden la aparición molesta de anuncios mientras se visitan las páginas web. Los anuncios consumen recursos y ralentizan la navegación, constituyendo elementos invasivos, y produciendo una experiencia frustrante.

Según un estudio[i] llevado a cabo por Adobe y PageFair, se estima que unos 200 millones de personas utilizan estos bloqueadores en sus navegadores. Por otra parte, las pérdidas en los negocios relacionados con la publicidad debido a los bloqueadores supusieron unos 20.000 millones de dólares en el 2015.

Sumado a esto, en septiembre Apple anunció que iba a permitir los bloqueadores en el Safari del sistema operativo iOS9 para dispositivos móviles, a lo que se le sumó Samsung posteriormente para su propio navegador. Con esto, a los millones de personas -o más bien de ordenadores- que ya disponían de ellos, se le unía ahora la posibilidad de los dispositivos móviles.

En estos dispositivos, el coste en tiempo y dinero es importante, ya que, por una parte, funcionan con batería, con lo que es muy importante la rapidez en la obtención de lo que se busca, y por otro, el coste de la comunicación móvil se factura por cantidad de datos bajados. Muchos de los datos que se bajan pertenecen realmente a anuncios y no a lo que realmente se quiere obtener[ii].

Todo esto ha prendido la mecha en lo que el NYTimes ha dado en llamar la guerra de los bloqueadores en un artículo titulado así "The Ad Blocking Wars"[iii], entre los publicistas y los desarrolladores de las app's que bloquean la publicidad. Tanto en Europa como en EEUU hay iniciativas para parar el uso de este software, desde mostrar mensajes para que el usuario desactive el bloqueador para una página determinada, o una site, o pagar una cantidad si se quiere seguir en la página, caso de Wired o de The Washington Post; o sencillamente no permitir el acceso a los contenidos si está activado un bloqueador, caso de Le Monde o de Le Parisien

En dicho artículo, además de los problemas que causa al usuario la invasión de publicidad en las páginas, se menciona el tema de la privacidad de los datos, ya que, el software que muestra publicidad, recoge información sobre la página que se está visitando, el sistema que estamos utilizando -dispositivo y sistema operativo-, localización, etc. Todos tenemos experiencia de haber estado consultando, por ejemplo, coches o viajes, y que empiecen a inundarnos con publicidad sobre ellos y que nos llenen el correo de spam.

Para evitar esto se puede bien activar en los navegadores el llamado "Do Not Track", o añadir una extensión del mismo nombre, o con el servicio de "navegación privada", ya ofrecido por algunos.

Sin embargo, las piezas de software hechas para mostrar un anuncio no sólo pueden llevar incluido software para recoger datos del usuario que visita una página, también pueden llevar malware, tanto hecho a propósito para ello, cuanto porque cibercriminales lo hayan introducido. 

Ya Elias Manousos, CEO y co-fundador de RiskIQ, comentaba el pasado 4 de agosto de 2015[iv] en el Black Hat de Las Vegas el incremento del 60% en el número de anuncios conteniendo malware -malvertisement, en inglés- durante el primer semestre del año 2015 respecto del año anterior. Además añadía que el mayor incremento de malvertisement en los pasados 48 meses confirmaba que los anuncios digitales se habían transformado en el método preferido para distribución de malware, ya que este es difícil de detectar dentro de los anuncios, no reside en las páginas web y se entrega a través de las redes de publicidad, utilizando la capacidad de dichas redes para segmentar a los usuarios por perfiles y así dirigir diferentes mensajes a objetivos específicos de manera precisa.

Como ejemplo podemos citar el incidente que tuvo tuvo lugar el fin de semana del 11-12 de marzo de este año, cuando varias de las más grandes websites del mundo, como MSN, The New York Times, BBC, o AOL, expusieron a millones de personas a través de los anuncios en sus páginas, a software malicioso el cual cifraba datos y solicitaba un rescate a cambio de liberarlos, software tristemente famoso por la abundancia de casos, conocido como ransomware.

Tom Simonite, entre otros, se hizo eco de este hecho en su artículo "Are Ad Blockers Needed to Stay Safe Online"[v], en el que afirmaba que esto no es un problema nuevo -incluir software maliciosos en publicidad-, lo que sí es nuevo es el crecimiento alarmante de estas tácticas, tal y como afirmaba Elias Manousos citado en el párrafo anterior, y que, por tanto, sí son necesarios los bloqueadores de publicidad como medida de seguridad.

Es cierto que ciertas webs ofrecen contenidos gratuitos vendiendo espacio en su página para ser ocupado por publicidad; o apps que se ofrecen en dos modalidades, una gratuita con publicidad, y otra de pago sin publicidad. ¿Se podría eliminar la publicidad pagando por los contenidos, las apps o los servicios en general ofrecidos por internet?

En primer lugar, quizás tampoco todos estarían de acuerdo en ello, ya que la publicidad digital debe ser un gran negocio a juzgar por las cifras que se manejan en este sector, como los ya mencionados 20.000 millones de dólares de pérdidas en el 2015 debido a los bloqueadores.

En segundo lugar, si nos atenemos a medios más convencionales del cine o la televisión, las películas que vamos a ver muchas de ellas contienen publicidad, y por ver la película pagamos; en la televisión pasa lo mismo, las cadenas de pago también tienen publicidad, quizás no interrumpan un programa con ella, pero si la hay entre programas. Pagar en estos casos no nos asegura librarnos de ella.

Sin embargo, lo que hay que destacar es que hay una muy importante diferencia entre la publicidad más convencional y la publicidad digital, y esta es el tema de las [ciber]amenazas que pueden llegar a través de ella, como es el caso del ransomware distribuido a través de las redes de publicidad, expuesto anteriormente; o el intrusismo a la privacidad que se puede hacer desde ella.

Ransomware y sus nuevas tácticas

La importancia de este malware es indiscutible, por los daños que causa en organizaciones y particulares. Pero si hasta ahora el software malicioso entraba en el sistema por medio de un click de una persona sobre un fichero adjunto en un correo y en ese momento cifraba los datos de ese ordenador, la nueva táctica se centra en atacar a las organizaciones desde sus redes de ordenadores.

Dicha táctica consiste en que el ataque se realiza en varias fases, primero explotando alguna vulnerabilidad de los elementos conectados -como websites mal configuradas- para entrar, conseguir credenciales de administrador de servidores, y desde ahí extenderse por toda la red, pudiendo lanzar software para cifrar ficheros del sistema en servidores, o en estaciones de trabajo.

Este vector de ataque no es novedoso para otros tipos de malware. La cuestión es que cualquier ataque a una red se puede transformar en un ransomware, con lo que el daño se multiplica. Es posible que algunos ataques sean consecuencia de otros anteriores, aprovechados por quienes los realizaron.

Sobre este tema, Sean Gallagher explica esta nueva modalidad en el artículo "OK, panic—newly evolved ransomware is bad news for everyone"[vi] del 8 de abril, en el cual detalla un vector de ataque iniciado con una herramienta de test de penetración sobre un servidor JBOSS.

Una vez cifrado un fichero, se supone que es imposible, de momento, en un tiempo razonable descifrarlo. Este cifrado, entonces, constituye un medio para que por lo menos se pueda evitar, en el caso de que datos de una organización se roben, que sean utilizados para dañar a la organización. Y esto es una buena noticia para la seguridad, tanto de una organización como de un individuo.

Bueno, con el permiso de ciertos elementos de las fuerzas de seguridad que defienden que el cifrado fuerte no sea utilizado por los ciudadanos porque dificulta la persecución de los delincuentes, ... a los que no les importará utilizarlo. 

Apple y el FBI 

Esto nos conduce a otra noticia que lleva ya por lo menos un mes en los medios, y que parece que ha terminado con el descifrado del iPhone5C en cuestión por parte de una empresa.

La Oficina Federal de Investigaciones (FBI) de los Estados Unidos (EEUU) solicitó  ayuda a Apple con el fin de desbloquear el iPhone que usó  uno de los presuntos terroristas de San Bernardino, California. Apple se negó  a ello, aduciendo, entre otras cosas, [vii] que aquello que hiciera serviría como puerta trasera, que a la postre podría ser utilizada por cualquiera.

Apple argumenta que tendría que haber construido una herramienta para hackear sus propios teléfonos. Las investigaciones realizadas para hacer un cifrado fuerte y proteger la información se transformarían ahora en investigaciones para debilitar dicho cifrado.

Según el FBI, la técnica utilizada para desbloquear el iPhone 5C, sólo sirve para él. Así que a vuelto ha solicitar a Apple ayuda por vía judicial para desbloquear un teléfono iPhone en un caso contra un narcotraficante en una corte de Nueva York. Otra petición similar fue presentada ante un juez de Boston. Parece que el Gobierno de EEUU quiere conseguir un precedente judicial que obligue a compañías tecnológicas como Apple a colaborar con las fuerzas de seguridad cuando sea requerido por un juez. 

Pero la actitud del Gobierno de los EEUU no es única. El Gobierno Británico también apoya que las fuerzas del orden sean capaces de acceder a las comunicaciones de delincuentes y terroristas para prevenir actos criminales[viii]. Si los dispositivos no son seguros, no lo son en ningún sitio ni para nadie.

La postura de Apple es apoyada por otras empresas como Google, Facebook o Twitter, y ha abierto un debate que habrá que resolver antes o después. El Gobierno de Obama lleva buscando el apoyo de las empresas tecnológicas desde hace algún tiempo, con reuniones en Silicon Valley, al parecer sin resultados muy satisfactorios.

¿Está la privacidad reñida con la seguridad de las personas? ¿Estará cada vez menos segura la información de los ciudadanos?

Conclusión

Para cerrar, una última reflexión.

La seguridad de la información que debería ser una prioridad para todos ya que la falta de ella nos expone, tanto a ciudadanos como a organizaciones a muchos peligros, cuando se quiere implementar en cada una de sus facetas, surgen grupos -empresas de publicidad y Gobiernos, en los casos tratados- que se ponen en contra de ella, como si a las personas que forman parte de dichos grupos no les pudiera afectar la falta de seguridad.

Lo malo es que no sabemos en qué grado ni cuándo puede llegar a hacerlo. Por ello hay que seguir trabajando para encontrar una solución satisfactoria, sin menoscabar la privacidad y la libertad. Si nos quedamos sin ellas, ya no necesitaremos la seguridad.

* * * 

Este artículo fué publicado originalmente por @PuntoSeguridad.com/"Cuadernos de Seguridad", mayo-2016, nº 311, pg.66, Ciberseguridad – "Miscelánea" – María José de la Calle.    

---------------------------------

[i] "The 2015 Ad Blocking report", Ago.10, 2015. PageFair. url [a 11-04-2016]       https://blog.pagefair.com/2015/ad-blocking-report/ 

[ii] Gregor Aisch, Wilson Andrews, Josh Keller, Oct.1, 2015. "The Cost of Mobile Ads on 50 News Websites", The New York Times. url [a 11-04-2016] http://www.nytimes.com/interactive/2015/10/01/business/cost-of-mobile-ads.html?_r=1  

[iii] Kate Murphy, Feb.20, 2016. "The Ad Blocking Wars", The New York Times. url [a 11-04-2016] http://www.nytimes.com/2016/02/21/opinion/sunday/the-ad-blocking-wars.html?_r=0 

[iv] "RiskIQ Reports 260 Percent Spike in Malicious Advertisements in 2015", Ago.4,2015. RiskIQ. url [a 11-04-2016] https://www.riskiq.com/resources/press-releases/260-percent-spike-in-malicious-advertisements-2015 

[v] Tom Simonite Mar.16,2016. "Are Ad Blockers Needed to Stay Safe Online?". MIT Technology Review. url [a 11-04- 2016] https://www.technologyreview.com/s/601057/are-ad-blockers-needed-to-stay-safe-online/#/set/id/601060/ 

[vi] Sean Gallagher, Apr.8,2016. "OK, panic—newly evolved ransomware is bad news for everyone". ars technica. url [a 11-04-2016] http://arstechnica.com/security/2016/04/ok-panic-newly-evolved-ransomware-is-bad-news-for-everyone/

[vii]  Tim Cook, Feb.16,2016 "A Message to Our Customers". Apple. url [a 11-04-2016] http://www.apple.com/customer-letter/ 

[viii] Eduardo Archanco, 6, Nov. 2015. "Reino Unido también quiere obligar a Apple a espiar nuestros dispositivos". Applesfera. url [a 11-04-2016] http://www.applesfera.com/apple-1/reino-unido-tambien-quiere-obligar-a-apple-a-espiar-nuestros-dispositivos  

 

La seguridad y la salud

Tuesday, 26 April 2016 Maria Jose de la Calle Posted in iTTi Views

      "In the Future, Wearables Will Meld with Your Skin. Yes, eventually, you'll basically have an electronic tattoo" .

Brent Rose, Feb-2016[i]

La seguridad y el buen servicio [al paciente] ¿están reñidos?  

Según un informe publicado por Raytheon-Websense -ahora Forcepoint- en septiembre de 2015, y del cual da cuenta DarkReading[ii], los centros de salud tienen dos veces más probabilidades de sufrir un robo de datos que otros sectores.  

Y en el mismo artículo se puede leer que los profesionales de la salud tienen una tendencia cada vez mayor a tratar de saltarse las normas de seguridad con el fin, según ellos, de dar un mejor servicio a sus pacientes. 

Según Mike Orcutt en un artículo[ii] del 18 de febrero pasado, los hospitales están siendo [ciber]atacados más frecuentemente por varias razones.  

La primera, la creciente digitalización de estas organizaciones, y con ello, la de los datos de sus pacientes, que incluyen información personal que puede alcanzar un alto precio en el mercado negro. 

La segunda, la seguridad de los datos en estas organizaciones no se prioriza al mismo nivel que el propio cuidado de la salud. Como consecuencia, frecuentemente los sistemas están desactualizados o carecen del mantenimiento apropiado. Además, la urgencia del acceso a los datos en situaciones críticas para la salud del paciente favorece el incumplimiento de las medidas de seguridad.  

Pero la falta de seguridad ¿no irá en contra del objetivo de dar un mejor servicio al cliente o de un acceso inmediato a los datos? ¿Acaso la seguridad de la información no busca precisamente proteger los datos de miradas no autorizadas, asegurando su disponibilidad y salvaguardando su integridad? ¿No garantizaría eso un mejor servicio? 

El que no se respete estrictamente una política de seguridad, resulta, cuanto menos, llamativo, habida cuenta de la información sensible que albergan los servidores informáticos de los centros sanitarios. Información relativa al estado de salud de los pacientes, a sus tratamientos y pruebas médicas; e incluso a su ADN (enfermedades hereditarias, etc.).

Yendo a casos concretos, en julio de 2014 la empresa Community Health Systems, Inc., -que gestiona 207 hospitales en 29 estados de los EEUU-, informaba[iv] de que en abril y junio de ese año había sufrido el robo de registros de sus bases de datos, con información de carácter personal -nombre, fecha de nacimiento, número de teléfono y seguridad social- relativos a 4,5 millones de pacientes que habían pasado por los centros sanitarios del grupo en los últimos 5 años. 

Sin duda, cabe pensar que ese grave compromiso de la seguridad de la compañía -particularmente, y como mínimo en su vertiente de la confidencialidad- ha podido verse afectado seriamente.  

Un caso más reciente es el del Hollywood Presbyterian Medical Center de Los Angeles (EEUU)[v] que, a principios del pasado mes de febrero sufrió una pérdida de disponibilidad al ver cómo sus recursos de información quedaban inaccesibles como consecuencia de un ataque de ransomware

El ransomware un tipo de ataque informático mediante el cual los delincuentes "secuestran" los equipos de la víctima, cifrando la información que contienen, que de ese modo, deja de estar disponible. 

La información "secuestrada" sólo es liberada tras el pago de un rescate ("ransom", en inglés), que en el caso del centro médico mencionado ascendió a varios miles de dólares. 

Aparte de la pérdida económica directa, las consecuencias de estos actos de chantaje van más allá. En este caso se produjo un "atasco" en el funcionamiento ordinario del hospital; hubo que proceder al traslado de algunos pacientes a otros hospitales; no se pudo acceder a los historiales médicos de los usuarios del centro; el servicio de correo-e quedó igualmente inutilizado, por lo que hubieron de recurrir a medios más convencionales (y anticuados, de la era pre-internet) como el papel y los faxes.  Por otro lado, de la misma manera que los atacantes fueron capaces de infectar con un tipo de código dañino los servidores de la institución, cabe la sospecha de que podrían haber introducido otro tipo de código para hacerse con información del hospital y con claves de acceso y credenciales de los usuarios de sus sistemas. 

Según Orcutt citado anteriormente, la urgencia del acceso a los datos en situaciones críticas para la salud del paciente es tan importante que favorece el incumplimiento de las medidas de seguridad, lo que viene a ser un contrasentido ya que esta falta de seguridad puede provocar, como se ha visto, una ralentización en los servicios y una falta de disponibilidad de esa información a la que tan urgentemente se necesitaba acceder.   

Si los sistemas se bloquean y no se tiene acceso, en primer lugar se causará un gran perjuicio al no poder decidir de forma inmediata qué acción tomar para un paciente en particular; o al no disponer de su historial para realizar un adecuado diagnóstico, o no poder aconsejar un tratamiento.  

Por otra parte, si personas o procesos no autorizados pueden acceder a la información quizá puedan también modificarla, por error o de manera intencionada para producir un daño, con lo que la integridad de la información quedará comprometida. Si no se cumple el principio de integridad, los datos no son fiables, y no se puede estar seguro de la bondad de un diagnóstico o de un tratamiento a seguir.

Si no se puede asegurar la confidencialidad de la información, con el perjuicio que puede ocasionar; si la disponibilidad de la información se ve comprometida al igual que su integridad, todo ello está totalmente en contra de ofrecer un buen servicio al cliente, como en los dos casos expuestos, en los que los daños o perjuicios al paciente han sido el resultado de los fallos de seguridad. 

Los datos asociados a la salud tienen mucha importancia, ya que están intrínsecamente unidos a la persona. Esto tiene, entre otras, estas dos graves consecuencias: 

- La primera, cuando se roban datos relacionados con la salud, la persona a la que pertenecen desafortunadamente no los puede cambiar por otros, con el fin de "desactivar" la importancia de ellos y no sufrir perjuicio. Esto se puede conseguir, por ejemplo, con el robo de una contraseña, de las llaves de casa o cualquier otro cosa no intrínsecamente ligada a la persona. 

- La segunda, no se sabe, a priori, quién va a disponer de esos datos, ni la forma ni el momento en que pueden hacer uso de ellos, hasta que se  materializa; no se puede prever el daño, como con una cuenta bancaria, cuyo fin es el robo de dinero. La seguridad es fundamental ya que puede afectar muy seria y directamente a nuestra vida y para siempre.

Móviles, apps y wearables

Las cosas podrían empeorar previo a una mejora ya que cada vez más los hospitales añaden más dispositivos conectados a sus redes, lo que potencialmente crea más formas en que los hackers puedan entrar. 

Un ejemplo de esto son los cada vez más utilizados dispositivos móviles con aplicaciones tanto para los profesionales de los centros de salud, como de los ciudadanos para acceder a sus datos o solicitar servicios de estos. A esto hay que añadir aquellas que tienen como función la monitorización del estado de algunos indicadores de salud, como el pulso o el ritmo cardíaco.

Una aplicación[vi] para móvil desarrollada por una spinoff del MIT, junto con un equipo del Massachusetts General Hospital, recoge de qué humor está la persona que habla, utilizando patrones de voz para detectar emociones.  Es una forma de recoger cambios de humor para poder hacer un seguimiento de personas con depresión o con trastornos bipolares.  

Los dispositivos que se llevan puestos -wearables- y que están conectados a Internet, pueden dar información acerca de la salud de la persona que lo lleve, y estos datos pueden transmitirse a un centro de salud. Esto simplifica un seguimiento continuo de la evolución de parámetros de salud, facilitando la prevención de algún problema o enfermedad, a la par que favorece una más rápida atención médica a través de consejos sobre lo que hacer en caso de algún problema o mediante la presencia de personal, si fuera necesario. 

Parte de la cita del comienzo es el título de un artículo[vii] donde se informa de que la empresa "mc10" ha creado un producto llamado "BioStamp Research Connect". Este es una especie de tirita un poco gruesa que se ajusta perfectamente a cualquier parte del cuerpo y que lleva sensores para monitorizar  el músculo dónde se coloque y también el corazón. 

Las mediciones y datos médicos se recogen para, por una parte, monitorizar el estado de salud de una persona, como ya se ha indicado, y por otro, con grandes cantidades de datos acumulados de distintos centros y pacientes,  servir a la investigación de las enfermedades, y a la creación de sistemas de ayuda para diagnóstico y tratamiento. 

Un ejemplo es el programa lanzado por Google el pasado 24 de febrero llamado "DeepMind Health" en colaboración con hospitales como el Royal Free Hospital London, con el que Google ya ha trabajado para crear una app llamada "Streams" para el diagnóstico de daños en el riñón. Señalar que en la página web de este proyecto se hace una mención especial al compromiso de mantener la privacidad y confidencialidad de los datos de los pacientes. 

Son evidentes las ventajas que esta tecnología aporta al bienestar de las personas, pero también se incurre en riesgos de seguridad de la información recogida y transmitida. En el caso de violación de la seguridad, afectaría directamente a la vida de dichas personas, pudiendo mermar y en muchos casos anular dichas ventajas.  

El futuro: Robótica e IA 

Mirando hacia el futuro y uniendo la Robótica con la Inteligencia Artificial, se podrá disponer, entre otras cosas, de asistencia médica remota, sustituir en muchos casos la presencia de un médico por un robot, el cual tendrá acceso al historial del paciente y a una cantidad ingente de datos e información con los que poder hacer un diagnóstico y recomendar un tratamiento. Como la plataforma RP-VITA -Remote Presence Virtual + Independent Telemedicine Assistant-, una colaboración entre iRobot e InTouch Health

Como contrapunto, el 25 de abril de 2015 Gizmodo se hizo eco de que investigadores de la Universidad de Washington en Seattle acababan de 'hackear' un robot quirúrgico para intervenciones a distancia -'tele-intervenciones"-, demostrando una gran debilidad de la seguridad en máquinas, las cuales, finalmente, reemplazarán a las manos de los cirujanos en los hospitales de todo el mundo. 

* *

La seguridad de la información y de las máquinas y dispositivos que recogen, transmiten, manipulan y consultan dicha información relacionada con la salud, y que pueden actuar en base a ella, ya no es una opción, es cuestión de vida o muerte.  

* * *

Este artículo fué publicado originalmente por @PuntoSeguridad.com/"Cuadernos de Seguridad", abril-2016, nº 310, pg.46, Ciberseguridad – "La seguridad y la salud" – María José de la Calle.   

---------------------------------

[i] Rose, Brent (February, 8, 2016) "In the Future, Wearables Will Meld with Your Skin". Outside. url [a 28-02-2016] http://www.outsideonline.com/2053326/future-wearables-will-meld-your-skin 

[ii] Peters, Sara (September, 23, 2015) "Healthcare Organizations Twice As Likely To Experience Data Theft". DarkReading. url [a 28-02-2016] http://www.darkreading.com/risk/healthcare-organizations-twice-as-likely-to-experience-data-theft/d/d-id/1322312?_mc=sm_dr_editor_kellyjacksonhiggins&hootPostID=94d701cec4475551b0b4e78bdcfda408 

[iii] Ocutt, Mike (February, 18, 2016) "Hollywood Hospital’s Run-In with Ransomware Is Part of an Alarming Trend in Cybercrime". MIT Technology Review. url [a 28-02-2016]  https://www.technologyreview.com/s/600838/hollywood-hospitals-run-in-with-ransomware-is-part-of-an-alarming-trend-in-cybercrime/ 

[iv] United States Securities and Exchange Commission (August, 8, 2014). url [a 22-02-2014] http://www.sec.gov/Archives/edgar/data/1108109/000119312514312504/d776541d8k.htm  

[v] Simonite, Tom (February, 16, 2016) "Hospital Forced Back to Pre-Computer Era Shows the Power of Ransomware". MIT Technology Review. url [a 22-02-2016] https://www.technologyreview.com/s/600817/hospital-forced-back-to-pre-computer-era-shows-the-power-of-ransomware/#/set/id/600825/  

[vi] Monegain, Bernie (February 24, 2016) "Mass General Hospital teams with MIT spinoff Cogito on behavioral health analyzer". HealthcareITNews. url [a 28-02-2016]  http://www.healthcareitnews.com/news/mass-general-hospital-teams-mit-spinoff-cogito-behavioral-health-analyzer 

[vii] Ver nota [i]

 

Algoritmos como Servicio

Tuesday, 19 April 2016 Maria Jose de la Calle Posted in iTTi Views

'Algorithms are the DNA of software. They codify the macrosteps of how  computers already run large parts of the world.' Gartner, Marzo/2016[i]

El DRAE define Algoritmo como 'Conjunto ordenado y finito de operaciones que permite hallar la solución de un problema'. 

Es un concepto matemático que pasó a la informática y definió la disciplina científica conocida como Ciencias de la Computación. Dicha disciplina nace, según nos informa la Wikipedia, a principios de 1940 con la confluencia de la teoría de algoritmos, lógica matemática y la invención del programa almacenado en una computadora electrónica.

En general, no hay una manera única de ir desde unos datos de entrada a unos datos de salida, pero sí es muy importante la eficiencia de un algoritmo. Como medida de dicha eficiencia, se suelen estudiar los recursos (memoria y tiempo de proceso) que consume el algoritmo. Un buen algoritmo implica tiempo de desarrollo, no sólo para conseguir que sea eficaz, sino para que sea eficiente.

Todo programa contiene al menos un algoritmo. Hay muchos muy sencillos ('parsear' los caracteres de una palabra, calcular la media aritmética, ...); otros más complicados y clásicos (los ‘sorts’ que se enseñan a los estudiantes de Informática); otros aún más complicados (algoritmo de la mochila, ...). Muchos son públicos, algunos son muy antiguos (la criba de Eratóstenes, ...) y otros muy recientes. Hay libros y colecciones (repositorios) de algoritmos. Los hay de código abierto y otros tienen propietario. 

Los algoritmos codifican y encapsulan de una manera reutilizable propiedad intelectual de una empresa o conocimiento. Por citar algunos relevantes, los de búsqueda de Google, o de los que hace uso Amazon para recomendarnos otras compras, o los de las empresas de búsqueda de pareja, resaltando en estos momentos los de 'Aprendizaje Profundo' o 'Deep Learning' para Inteligencia Artificial, en los que que están invirtiendo mucho dinero empresas como la ya mencionada Google, IBM o Apple.

Otros ejemplos de algoritmos los tenemos, por ejemplo, en el mundo financiero. Las llamadas operaciones de alta frecuencia o HTF ('High Frequency Trading') que realizan ordenadores, lo que hacen es comprar y vender en literalmente milisegundos todo tipo de activos financieros en base a algoritmos para conseguir un beneficio en cada operación, tal y como explica el BBVA. La eficiencia y la eficacia de dichos algoritmos son vitales dado el volumen de dinero que mueven y, además, son secretos, con el fin de que nadie se adelante a los movimientos que una entidad vaya a realizar. En 2009 un ex-programador de Goldman Sachs fue detenido por el FBI, acusado de robar algoritmos; antes de irse de la entidad a Teza Technologies, empresa de HTF, se descargó  en un servidor de Alemania los códigos. 

Hay todo un debate internacional (y oposición UE–EEUU) sobre la patentabilidad de los algoritmos y formas alternativas de protegerlos.

Pese a su enorme difusión, hay una gran cantidad de muy buenos algoritmos desarrollados en las universidades y en los centros de investigación y apenas utilizados, que languidecen en las revistas donde se publican, a las que acceden, normalmente, otros académicos, pero que no llegan a la empresa.

Diego Oppenheimer y Kenny Daniel [ii] fueron muy conscientes de este hecho, el primero mientras trabajaba para Microsoft donde ayudaba a diseñar funcionalidades de análisis de datos para herramientas como Excel, y para lo que buscaba los mejores algoritmos para integrar en las aplicaciones, y el segundo, mientras realizaba su doctorado en inteligencia artificial en la 'University of Southern California', habiendo publicado para este fin muchos algoritmos muy bien aceptados por el mundo académico pero con poca oportunidad de que llegaran a las aplicaciones de empresas privadas. Para dar salida a todo esto, fundaron en el 2013 una empresa llamada "Algorithmia", una 'app store' para algoritmos. 

La idea era, por una parte, dar a los creadores una oportunidad para que sus algoritmos se utilizaran fuera del ámbito académico y ganar dinero por ello, vendiéndolos bien como código abierto para que el comprador lo integre en sus aplicaciones, o por uso como un servicio en la nube.

Por otra parte, se proponían ofrecer a las empresas unos algoritmos para sus aplicaciones y funciones de negocio, a un precio asequible, ya que no todas las empresas tienen la capacidad ni los recursos para crear algoritmos optimizados y encontrar las mejores soluciones a sus problemas, como las ya mencionadas Google o Amazon, o la misma Goldman Sachs.

Esto supone un nuevo negocio, en primer lugar para desarrolladores, que pueden ser creadores individuales no necesariamente ligados al mundo académico, y que de esta forma pueden obtener dinero de sus creaciones; y en segundo lugar, para las plataformas que sirven de punto de contacto entre los desarrolladores y los usuarios de los algoritmos.

Además, esto facilita a cualquier empresa su uso para resolver problemas de su negocio, como funciones analíticas, asistentes virtuales, o cualquier otro, contribuyendo a la digitalización de su organización.

Pero habría quizás que controlar de alguna manera la calidad del software que se pone en esas plataformas, con el fin de ofrecer la mejor calidad al cliente en cuanto a eficacia -que haga lo que dice que hace-, eficiencia, transparencia -que no haga más que lo que dice que hace y lo haga según los parámetros de eficiencia declarada-, y seguridad. Esa garantía de calidad debe probablemente basarse en código abierto, amplia y fácilmente asequible al escrutinio de la comunidad profesional; y en el recurso a normas y auditorías adecuadas.

Un mercado nuevo a tres bandas que debe regularse para que todos salgamos ganando sin que alguna de las partes domine a las otras.

*** 

Este artículo fué publicado originalmente por ComunicacionesHoy, nº 151, 5-04-2016. Referencia: Tendencias/IaaS. Opinión, pg.52 – "Algoritmos como Servicio" – María José de la Calle.

-------------------------------

[i] Bennett, Jo (March/11/2016) "Preparing for Algorithms and Autonomous Business". Smarter With Gartner. url [a 13-03-2016] http://www.gartner.com/smarterwithgartner/algorithms-autonomous-business/  

[ii] Finley, Klint (08-11-14). "Wanna Build Your Own Google? Visit The App Store For Algorithms". Wired. url [a 13-03-2016] http://www.wired.com/2014/08/algorithmia/ 

 

El «Ábrete sésamo» digital

Sunday, 27 March 2016 Maria Jose de la Calle Posted in iTTi Views

"The age of the password is over. We just haven’t realized it yet"[i].

Mat Honan - Wired, 11/2012

En el principio ... 

Diciendo las palabras entrecomilladas que forman parte del título de este artículo, se abría la puerta de la cueva donde los ladrones del cuento "Alí Babá y los 40 ladrones" guardaban su botín. Creían que esta contraseña era segura dado que sólo la conocían ellos, craso error, no pensaron que alguien los estuviera espiando y la escuchara, con lo cual, como no la cambiaban después de su uso, esa persona -Alí Babá- podía franquear la entrada cuando quisiera y apoderarse de parte del botín. 

Las contraseñas son tan viejas como la civilización y al mismo tiempo siempre ha habido personas dispuestas a hacerse con ellas o, en el caso digital, a "crakearlas". Por una parte, éstas se colocan con el fin de proteger un bien de la vista o acceso público, y así prevenir un daño que la revelación o el robo pudiera causar al bien en sí, a una organización o a las personas; y por otra, los atacantes quieren obtener algún beneficio que el acceso a ese bien les proporcione, normalmente en contra de los intereses de los atacados. 

Cuando se llegó  al mundo de los ordenadores y se quiso controlar el acceso a estos, se crearon unas pequeñas aplicaciones de acceso para capturar una identificación de usuario (UserID) que quería entrar y una contraseña asociada, la cual validaba al usuario, a diferencia del caso del cuento, en el que la contraseña era la llave de la puerta, independientemente de quién la tuviera. 

Uno de los primeros ordenadores con control de acceso fue, allá por 1961, el "Compatible Time-Sharing System" del MIT, usando un login -usuario y contraseña, que conformaban un proceso de autenticación- con el fin de repartir y controlar el tiempo de uso del mismo. Sin embargo, en 1962 un estudiante de doctorado llamado Allan Scherr quiso conseguir más tiempo del autorizado, para lo cual engañó al login con un simple ataque -hack-: localizó el fichero que contenía las contraseñas y las imprimió, con lo que consiguió tanto tiempo como deseara. 

... Y llegó internet

En el caso de la ciberseguridad, lo que se quiere proteger es la información, entendida esta tanto como el código que define lo que la máquina puede hacer como los datos que residen en ellas o que están en tránsito por redes y otros elementos que intervienen en las comunicaciones, así como la identidad de todo ello: tipo de máquina, sistema operativo y su versión, protocolo, etc. Para ello se instrumentan controles de acceso a las máquinas y redes, inspecciones de lo que circula por ellas, y, como los sistemas son vulnerables en mayor o menor grado, se cifra toda la información -o sería conveniente hacerlo-.

En su inicio las redes de ordenadores de las empresas eran privadas y sin acceso desde el exterior. Para buscar los usuarios y contraseñas de acceso, había que hacerlo desde dentro.

En los primeros años de desarrollo de la web, eran pocas las aplicaciones que estaban en la nube, una de las cuales fue el correo electrónico. Para el acceso se tenía un usuario -la propia dirección de correo- y una contraseña, usuario que serviría más adelante a otras aplicaciones, y práctica que se conserva en muchos casos, haciendo crecer la vulnerabilidad de la información: con un único usuario -y quizás la misma contraseña del correo- se accede a más sitios. 

Un ejemplo sería el uso en las redes sociales del correo corporativo, susceptible al envío de phising a los empleados a través de las mismas, indetectable por los antivirus de correo, y creando un vector de ataque para desplegar malware, tal y como contaba Yelena Osin el pasado julio de 2015 [ii] sobre el ataque sufrido por W.W.Grainger, proveedor industrial de EEUU. 

Con la generalización del uso de Internet, no sólo se tenía acceso al correo, también al banco, a la Administración del Estado, a diversas tiendas para realizar compras, a las redes sociales, y así un largo etcétera, y los tipos de dispositivos desde los cuales se podía acceder también se multiplicaron y se hicieron móviles, siendo utilizados profusamente para la vida cotidiana.

En cuanto a las empresas, en lugar de conectar sus ordenadores vía redes privadas, se conectaron vía Internet, facilitando la entrada desde el exterior de la organización. A esto hay que añadir que, al igual que en el ámbito privado, el terminal desde el cual se accedía a las aplicaciones y datos de la empresa también se hizo móvil y ya no estaba encuadrado dentro de unas paredes, pudiendo estar siempre conectados desde cualquier sitio y en cualquier momento. Los límites de la empresa dejaron de ser físicos, como eran las puertas, pudiendo ahora servir de 'puerta' cualquier dispositivo que tuviera una conexión a la empresa, no necesariamente por cable.

Con todo esto, el número de ataques a los sistemas aumentó, tanto por la facilidad de acceso como porque lo que se podía encontrar buceando por dispositivos y redes también devolvía más réditos.

Las intenciones de aquellos que entraban sin permiso cambiaron. Lo que al principio eran meros ataques con la intención de curiosear, de hacerse para uso propio con algún material para, como en el caso de Allan Scherr, obtener un beneficio personal, se transformó en delitos organizados de robos de información para terceros, robo de dinero, daños a instalaciones, y todo un glosario de delitos cuya novedad principal era -y es- la forma de llevarlos a cabo, desde cualquier sitio del planeta, sentado tranquilamente en una habitación, realizado de forma anónima en la medida de lo posible -en internet todo deja rastro-, y desde países distintos del del objetivo del ataque, dificultando con ello su persecución -Internet es global pero las leyes son locales. 

Según un informe de Symantec publicado en abril del 2014, en el año 2012 se produjeron 156 violaciones de seguridad con 93 millones de identidades divulgadas, en el año 2013 el número aument  hasta 253 -62% más- con 552 millones de identidades divulgadas -493 % más-.

Las violaciones de seguridad en las empresas en el 2014 aumentaron un 46% con respecto al 2013, según Gemalto en su "Breach Level Index 2014". Éstas ocasionan pérdidas monetarias, robo o destrucción de datos y daños a la imagen de la empresa, por citar algunas consecuencias no deseadas. Según un informe de "Kaspersky Lab" de septiembre de 2015, la media del presupuesto requerido para recobrarse de uno de estos incidentes de seguridad es de 551.000 $ para empresas grandes, y para pequeñas y medianas empresas es de 38.000 $.

Las contraseñas se fortifican: ¿y sirve de algo? 

A pesar de que el sistema de contraseñas parecía ser un poco débil, no se ha abandonado esta forma de control de acceso nacido en una época antes de Internet,  más bien se ha querido reforzar con las llamadas "contraseñas fuertes", contraseñas de al menos 8 caracteres sin significado, combinando letras, números y símbolos tipográficos, mayúsculas y minúsculas. 

Pero tanto débiles como fuertes, las maneras de obtener ilícitamente dichas contraseñas se han revelado bastantes efectivas. Entre ellas podemos citar: la fuerza bruta -ir probando contraseñas extraídas de los llamados diccionarios o listas de las mismas recopiladas a través de los años-; los programas keylogger  -recogen códigos de las teclas pulsadas-; el uso de los procesos habilitados para, en caso de olvido, poder dar de alta una contraseña sin conocer la anterior, utilizados por los atacantes, que, suplantando al propietario del "UserID", consiguen unas nuevas credenciales asociadas al usuario; o los ataques de phising. 

Es cierto que las empresas han adoptado la medida de seguridad de cifrar las contraseñas, sin embargo millones de hashes -contraseñas cifradas- más o menos crakeables, se descargan en los ataques a empresas como Linkedin, Yahoo, eHarmony o Ashley Madison y, los "buenos" las publican, los "malos" las venden, con lo que la práctica de reutilizar usuarios y contraseñas para distintos sitios de la web no es nada recomendable.  

¡Ay! Somos humanos y lo de recordar largas contraseñas que no respondan a patrones, que no signifiquen nada, que mezclen distintos tipos de caracteres en mayúsculas y minúsculas, y, además distintas para cada sitio al cual se acceda, y además tener que cambiarlas periódicamente, es una tarea poco menos que imposible. 

Para poder cargar con esta pesada carga se han creado programas de gestión de contraseñas, los cuales se supone que con una sola que conozcamos que nos permita ejecutar dicho programa para editar las demás, éstas permanecerán, cifradas, a buen recaudo. Claro, que esto tiene el peligro de que al "poner todos los huevos en la misma cesta", si se rompe la cesta nos quedamos sin nada. Esto es lo que le pasó al gestor de contraseñas "LastPass", en el que el pasado 15 de junio de 2015 la empresa que lo administra detectó una intrusión en sus servidores. Aunque parece que se consiguió mantener en secreto las contraseñas de los usuarios, se filtraron detalles importantes como direcciones de correos de usuarios y correos recordando contraseñas olvidadas. 

El sistema de contraseña, que se ha visto ineficaz, se basa en el factor de autenticación de lo que el usuario sabe. Pero hay otros factores de autenticación como "lo que se posee", un token, por ejemplo, que no hay que recordar nada pero se puede perder o se puede robar; o "lo que se es", es decir, la autenticación biométrica, aunque ésta, más que constituir una contraseña es más bien el UserID; o incluso "lo que se hace", llamado factor de comportamiento.  

La autenticación biométrica: ¿tendremos que "resetearnos"? 

Aparentemente el factor de autenticación por "lo que se es" tiene muchas ventajas ya que no hay que llevar nada adicional encima con lo que no se puede perder ni nos lo pueden robar -ya veremos-, no hay que recordar nada con lo que no se puede olvidar, y no se puede repudiar una acción que se haya realizado ya que es algo que nos define físicamente de forma única, y es muy difícil de falsificar.

Sin embargo, los sistemas biométricos no son perfectos y se caracterizan por unas tasas de falsos positivos o FAR (False Accept Rate), que indican la frecuencia de reconocimiento de un usuario cuando no debería serlo, y de falsos negativos o FRR (False Reject Rate), que indican la frecuencia de no reconocimiento del usuario, cuando debería haberlo sido.  Según la Agencia de Seguridad Nacional de EEUU, la NSA, la mayoría de los sistemas biométricos declaran un FAR que está en un rango de 1 entre 10.000 a 1 entre 1.000.000. Esto no pasa con las contraseñas habituales. 

Por otro lado, todo tiene dos caras, y las características que en principio pueden suponer una ventaja, por su propia definición también pueden suponer una desventaja. 

Pongamos como ejemplo el atributo de que nos definen "de forma única", el cual, por definición, se puede considerar como una invasión de la privacidad y crear resistencia a la cesión de dicha información, ya que las características biométricas que se vayan a utilizar de cara a una autenticación hay que digitalizarlas y almacenarlas en un servidor, lo que conduce a otra desventaja, que paso a explicar.  

Apunté anteriormente que las características biométricas no se podían robar, a lo que habría que añadir no se puede robar el objeto físico, como un dedo, en el caso de la huella dactilar o el iris del ojo; pero después de que dichas características estén digitalizadas, ya tienen la misma vulnerabilidad que cualquier otro dato virtual en una máquina, como tal susceptible de ser hackeada. No nos roban el iris del ojo pero sí sus características en forma de ceros y unos, que, para el caso, es lo mismo ya que es precisamente esto lo que interesa a la máquina que verifica la identidad del usuario. 

Llegados a este punto y volviendo al hecho de que son una característica física, suponen una clara desventaja frente a las contraseñas o los token ya estos  se pueden resetear si se roban o revelan, pero con aquellas no es posible hacer esto sin pasar por la mutilación.    

En el "Black Hat" de Amsterdam del año 2008, Matthew Lewis, un investigador de seguridad británico, realizó una demostración de un sistema -un biologger- para interceptar datos de autenticación biométricos que el scanner enviaba al servidor de procesamiento. Matthew puso de relieve la importancia de que los datos enviados deberían estar cifrados, cosa que, según él en ese momento -año 2008- la mayoría de los sistemas biométricos no cumplían.

Sin llegar a sofisticaciones ni herramientas especiales, un elemento biométrico fácil de copiar son las huellas dactilares ya que continuamente estamos tocando cosas donde se quedan las huellas como una mancha y  se pueden obtener de ahí, sin enterarse el propietario de las mismas. Al fin y al cabo eso es lo que la policía científica viene haciendo en la escena del delito, desde tiempos de Sherlock Holmes.  

Por consiguiente, se puede concluir, que la teórica seguridad de este tipo de autenticación no lo es tanto. 

El último factor : Lo que se hace, el comportamiento

Realmente lo que hacemos responde a unos patrones, patrones que aprovechan muy bien los departamentos de marketing para inundarnos con información de cosas que nos pueden gustar o amigos que podríamos hacer, o dependiendo de nuestros gustos y de dónde nos encontremos, lo que podemos hacer y visitar.

Estos patrones se podrían aprovechar para verificar nuestra identidad, para en caso de encontrar inconsistencias, solicitar algún dato más. Para ello se necesitaría un sistema que hiciera uso de lo que la nube ya tiene acerca de nosotros, qué sistema estamos utilizando, desde qué servidor, quienes somos, con quién hablamos, dónde vamos y qué hacemos ahí, de qué somos propietarios y qué nos gusta, lo que decimos, cómo lo decimos y nuestro tono de voz, y hasta cómo pensamos [iii].  

¡Uff! ¿Hasta qué punto queremos ceder nuestra privacidad -si es que no lo hemos hecho ya- para conseguir en teoría, más seguridad?  

El sistema de múltiple autenticación

Como todas por separado tienen más o menos debilidades, se están implantando nuevas formas de autenticación basadas en la combinación de al menos dos claves de distintos factores, llamado el sistema de doble autenticación. Un ejemplo de esto sería cuando después de autenticarnos con un usuario y contraseña al uso (lo que sabemos), nos envían al móvil (lo que tenemos) un código para confirmar una operación; otro ejemplo sería la propia tarjeta de crédito, que sería lo que tenemos, y el PIN, lo que sabemos. 

Especulando un poco y viendo los avances en Inteligencia Artificial, es posible que en un futuro cercano las máquinas nos reconozcan de manera análoga a como nosotros reconocemos a otras personas, simplemente con presentarnos y tendiendo una mano, con lo que somos y con lo que hacemos, confiando en que también habrán aprendido a tomar medidas de seguridad para no dejarse "hackear". 

* *

La ciberseguridad en la cumbre

De lo que hay que ser conscientes es de que la seguridad nunca está garantizada al 100%. En cada organización, alineados con la política de riesgos y la política de seguridad definidas, tendrán que existir unos umbrales de aceptación de falta de seguridad, de lo que pueda suponer de freno al negocio por lo que pueda constreñir, o de cambio de costumbres, según el activo, y establecer cuánto dinero se está dispuesto a gastar en su protección. 

Estos límites y normas relacionados con los riesgos en el uso de las TI son responsabilidad, en última instancia del órgano de gobierno de cada organización y debería formar parte de la agenda de dicho órgano de gobierno. Según la Organización Internacional de Normalización (ISO, International Organization for Standardization), el Gobierno Corporativo de las TI es “el sistema mediante el cual se dirige y controla el uso actual y futuro de las TI. [...] ... y es un subconjunto del gobierno de la organización o del gobierno corporativo.”[iv].

Del 20 al 23 de enero se ha celebrado la reunión del Foro de Davos y que, de acuerdo con Fortune y la propia página del "Word Economic Forum", este año han dominado los temas tecnológicos frente a los bancarios de otras convocatorias, concretamente el de la Industria 4.0 y el de la ciberseguridad. Con esto parece que la tecnología va a estar muy presente a partir de ahora en los consejos de administración. !Por fin¡  

* * *

Este artículo fué publicado originalmente por @PuntoSeguridad.com/"Cuadernos de Seguridad", marzo-2016, nº 309, pg.82, Ciberseguridad – "El «Ábrete sésamo» digital" – María José de la Calle.  

-------------------------

[i] "La era de la contraseña ha terminado. Solo que aún no nos hemos dado cuenta de ello". Honan, Mat (11-15-2012) "Kill the Password: A String of Characters Won’t Protect You", Ed. Wired. url [a 02-02-2016]   http://www.wired.com/2012/11/ff-mat-honan-password-hacker/ 

[ii] Osin, Yelena (07-15-2015) "The Problem With Corporate Email Addresses on Social Networks". blog SecuryScorecard. url [a 02- 02-2016] http://blog.securityscorecard.com/2015/07/17/grainger-breach-social-engineering/?utm_content=17987083&utm_medium=social&utm_source=twitter    

[iii] Honan, Mat (11-15-2012) "Kill the Password: A String of Characters Won’t Protect You", Ed. Wired.  url [a 02-02-2016]    http://www.wired.com/2012/11/ff-mat-honan-password-hacker/  

[iv] "ISO/IEC 38500:2015 applies to the governance of the organization's current and future use of IT including management processes and decisions related to the current and future use of IT. [...] ... defines the governance of IT as a subset or domain of organizational governance, or in the case of a corporation, corporate governance." url [a 02-02-2016]: http://www.iso.org/iso/home/store/catalogue_ics/catalogue_detail_ics.htm?csnumber=62816  

 

Centro de Datos definido por SW: hiperconvergencia

Wednesday, 16 March 2016 Maria Jose de la Calle Posted in iTTi Views

"Forget Hardware, Forget Software, Forget the Infrastructure ..."

Yevgeniy Sverdlik, dec-2015[i]

El centro de datos o Data Center (DC), se puede considerar el centro neurálgico de la empresa, ya que es el soporte de todos sus procesos y de la información generada y adquirida en el desarrollo de su actividad, y del crecimiento y evolución de la empresa, hecho que ya nadie discute.

El DC ha ido evolucionando al tiempo que la tecnología y las necesidades del negocio. Se han ido acumulando servidores y elementos de almacenamiento de varios fabricantes, de distintas épocas, en distintas localizaciones de la empresa o fuera de ella; servicios gestionados por la propia empresa o por proveedores externos; servidores replicados para seguridad; servidores dedicados a aplicaciones con cargas de trabajo intermitentes; DC alternativos para garantizar la recuperación ante desastres, etc. Sin olvidar las comunicaciones y los elementos de red, independientes de los propios servidores y de los elementos de almacenamiento ya mencionados. 

Esto ha ido creando, a lo largo del tiempo, silos de infraestructura tecnológica diversa, procedente de los distintos fabricantes, dificultando la compartición de recursos y la gestión de los mismos; y ralentizando las respuestas al negocio. Todo ello con presupuestos que han ido menguando en los últimos tiempos, mientras crecían las exigencias de eficiencia, eficacia y seguridad. 

Para paliar esta situación de desorden y complejidad, son varias las soluciones que se han ido probando, si bien, todas ellas parciales. Una de ellas ha sido la denominada "infraestructura convergente" (converged infrastructure) en la que se combinan los servidores con las unidades de almacenamiento en un sólo recurso. Ello ha permitido simplificar la gestión y ha favorecido la virtualización y la compartición de recursos. No obstante el hardware (HW) ha seguido manteniendo el protagonismo, al tiempo que el software (SW) ha actuado como mero elemento de soporte. Esta solución se ha mostrado adecuada para nuevos recursos a incorporar al DC, aunque no tanto para la integración de los elementos existentes.[ii] 

En paralelo, han surgido otras corrientes que tienen al SW como protagonista y que están permitiendo la definición, basada en SW, de elementos de infraestructura como las redes -Software-Defined Network, SDN- y los propios centros de datos -Software-Defined Data Center, SDDC-.

De la fusión de estas diferentes aproximaciones ha surgido una nueva: la hiperconvergencia, un concepto de los últimos dos años y que, análogamente a lo que ocurre con otras "novedades" del ámbito tecnológico, aún no parece gozar de una definición unánimemente aceptada. Sirva, por tanto, la definición ofrecida por TechTarget, para quién "Hiperconvergencia es un tipo de sistema de infraestructuras basado en una arquitectura de software que integra computación, almacenamiento, redes, recursos de virtualización y otras tecnologías todo ello empaquetado en una caja de hardware básico y soportado por un único fabricante"[iii].

El SW hace posible la virtualización de la infraestructura al tratar los recursos de la CPU, la memoria, el almacenamiento y las redes en un sólo dispositivo; permite centralizar el control y la gestión independientemente de dónde se encuentre la infraestructura física. El SW, además, facilita la automatización de muchas tareas aumentando con ello la eficacia, al distanciarse del HW mediante la definición de servicios. 

El hecho de que la hiperconvergencia esté soportada por el SW, proporciona la flexibilidad requerida para responder no sólo a las actuales sino a las futuras necesidades del negocio, en muchos casos sin tener que reemplazar componentes de la infraestructura, simplemente añadiendo nuevo SW o modificando/ reconfigurando el existente. 

Existe un amplio consenso en el sentido de que TI ha de cambiar la percepción que, de ella, se tiene desde el resto de áreas del negocio. Como señala el analista Thomas Bittman, de la firma Gartner, hoy TI es visto como lento, como un lastre y como un sitio donde siempre te dicen '¡No!'. Frente a ello, la nueva percepción ha de ser la de contribuir a la generación de valor, a acelerar los cambios en el negocio y a proteger la empresa.[iv] La Hiper-Convergencia puede facilitar este cambio en tanto que permite al departamento de TI descargarse de muchas de las tareas rutinarias que son automatizadas o simplificadas por ella.

* * *

Este artículo fué publicado originalmente por ComunicacionesHoy, nº 150, 3-03-2016. Referencia: Especial/Centros de Datos. Opinión, pg.40 – "Centro de Datos definido por software: hiperconvergencia" – María José de la Calle.   

--------------------------------------- 

[i] Sverdlik, Yevgeniy, dec, 8, 2015. "Forget Hardware, Forget Software, Forget the Infrastructure". "Data Center Knowledge". url [a 13-02-2016] http://www.datacenterknowledge.com/archives/2015/12/08/gartner-enterprise-it-should-forget-hardware-software-infrastructure/ 

[ii] "The products can’t always be used by existing infrastructure. In other words, you can’t use a converged infrastructure appliance’s storage from existing legacy systems. In essence, you’re forced to create a separate resource island.". Hyperconverged.org, "Why hyperconverged infraestructure is different". url [a 13-02-2016] http://www.hyperconverged.org/understanding-converged-infrastructure/ 

[iii] "Hyper-convergence (hyperconvergence) is a type of infrastructure system with a software-centric architecture that tightly integrates compute, storage, networking and virtualization resources and other technologies from scratch in a commodity hardware box supported by a single vendor." url [a 13-02-2016] http://searchvirtualstorage.techtarget.com/definition/hyper-convergence 

[iv] Ver nota [i]

 

Publícitis

To find out more about the cookies we use and how to delete them, see our privacy policy.

I accept cookies from this site.
EU Cookie Directive plugin by www.channeldigital.co.uk