Follow us on:
Perspectives

Articles tagged with: Ciberseguridad

IA: problema y solución de la ciberseguridad

Monday, 07 August 2017 Maria Jose de la Calle Posted in iTTi Views

Sobre la IA

La llamada inteligencia artificial (IA) en general, y la computación cognitiva (CC) en particular, están llamadas a producir otra revolución en cuanto a herramientas que sirvan para impulsar campos tan diversos como la ciencia, la medicina, la gestión de las ciudades, la fabricación[i]; o proporcionar autonomía a las máquinas. En resumen, la vida de todos. 

Pensemos, por ejemplo, en RobERt[ii] (Robotic Exoplanet Recognition), para el análisis de posibles planetas que puedan tener vida; en la predicción de enfermedades[iii], como un ataque al corazón o un derrame cerebral; las llamadas "ciudades inteligentes"[iv]; o los medios de transporte autónomos, como los coches o los trenes. 

Aunque la IA y la CC pudieran parecer sinónimos, en realidad son dos conceptos, que, aunque relacionados  son un poco diferentes. Así, la Harvard Business Review (HBR) en el artículo "La IA añade una nueva capa al ciber riesgo"[v] del pasado mes de abril, proporcionaba las siguientes definiciones: 

"Mientras las dos tecnologías se refieren al mismo proceso, [...] la CC utiliza un conjunto de tecnologías diseñadas para aumentar las capacidades cognitivas de la mente humana. Un sistema cognitivo puede percibir e inferir, razonar y aprender. Definimos la IA aquí en un sentido amplio aquello que se refiere a ordenadores que pueden realizar tareas para las que se requeriría inteligencia humana".

Es decir, la CC sería una disciplina contenida en la IA. 

A los sistemas IA en general, se los puede entrenar para analizar y entender el lenguaje natural, imitar el razonamiento humano o tomar decisiones. 

Los sistemas CC se construyen con el fin de proporcionar información para tomar decisiones, y aprender por sí mismo tanto de datos recogidos o que se le provean y de su interacción con las personas. 

Para conseguir que un sistema o máquina aprenda una tarea o asimile una serie de conocimientos, hay que proporcionarle, primero una serie de algoritmos -constituidos por modelos matemáticos estadísticos- que sirvan para, y este es el segundo paso, tratar los datos o información con los que se alimenta al sistema y con los que iniciar el proceso de aprendizaje, y en tercer lugar, sesiones de entrenamiento entre expertos, que realizan preguntas y evalúan las respuestas de la máquina, cambiando los resultados según la evaluación recibida. 

Los algoritmos se van adaptando dependiendo de los datos que se le suministren y de la interacción con los humanos o con el entorno. 

La CC en particular -y por tanto la IA que la engloba- como cualquier tecnología [de la Información], por una parte, introduce nuevos elementos de inseguridad, y, por otra, puede ser utilizada para hacer más seguros los sistemas. Si una tecnología es muy potente, tanto lo es para producir beneficios como para producir daños, con lo que su control debe ser comparable.  

Nuevos riesgos que comporta la CC 

La HBR en el artículo citado[vi] anteriormente, aborda este tema centrándose en lo que es intrínseco a la CC, que es que sus algoritmos se van ajustando a medida que procesa nuevos datos e interacciona con el entorno y los humanos tanto en la etapa de establecimiento y construcción del sistema propiamente dicho como posteriormente, cuando ya esté en explotación. 

Un sistema cognitivo en principio -dando por supuesto la bondad de los algoritmos que lo soportan- es tan bueno para conseguir el propósito para el cual se ha definido y construido, como lo sean los datos de los cuales se haya alimentado y los expertos que lo hayan entrenado y le hayan proporcionado un contexto, y, posteriormente, en la bondad del entorno en el cual funcione.

Sin embargo, no hay garantía al cien por cien de los resultados, ni de que el sistema vaya a seguir con el comportamiento deseado para el que se construyó. No es un sistema que siga en su funcionamiento unos pasos definidos y conocidos hasta su resultado final, así una y otra vez, de manera determinista. Los resultados que proporciona son estadísticos, y su comportamiento no puede ser explicado, y por tanto regulado, completamente. 

El aprendizaje continuo a medida que el sistema interacciona, que en principio parecería adecuado ya que para eso se construyó, tiene sus riesgos. Por ello, hay que seguir controlando muy de cerca en base a qué sigue aprendiendo y cuáles son sus resultados. 

En el primer estadio, el de su establecimiento y aprendizaje iniciales, las personas que lo han entrenado, de manera inconsciente o intencional, pueden aportar datos confusos o erróneos, no aportar información crítica para conseguir el comportamiento deseado, o entrenar al sistema de manera inapropiada. 

El sistema ya en explotación, está cambiando continuamente en su hacer cotidiano -por definición- y, si alguien quisiera manipularlo, no tendría más que interaccionar con él de manera que pueda cambiar sus objetivos o añadir otros. 

Un ejemplo de esto fue el bot de Twitter, "Tay", diseñado para aprender a comunicarse en lenguaje natural con gente joven, y que rápidamente hubo que retirarlo. Personas mal intencionadas (trolls) utilizando las vulnerabilidades de sus algoritmos de aprendizaje, suministraron contenido racista y sexista, con un resultado de que "Tay" comenzó a responder con comentarios inapropiados a millones de seguidores.  

Al igual que la CC se emplea para un uso adecuado, se puede emplear para todo lo contrario[vii]. 

Los "chatbots" son sistemas que interactúan con las personas en lenguaje natural y se pueden utilizar en centros automatizados de atención al cliente. La exactitud en sus respuestas tiene mucha importancia, especialmente en sectores como la salud y el financiero, los que, además, tienen un gran volumen de datos confidenciales, que son recabados y tratados para dicho objetivo.

Dichos "chatbots" también pueden ser utilizados por [ciber]delincuentes para ampliar sus transacciones fraudulentas, engañar a personas haciéndose pasar por otras personas o instituciones de confianza, robar datos personales, e introducirse en los sistemas. 

Hay que conseguir ser capaz de detectar cambios en la actividad normal de redes y ordenadores, y  detectar nuevas amenazas. 

CC como herramienta de ciber-seguridad 

Para enfrentarse a una amenaza no hay más remedio que utilizar herramientas al menos tan potentes como la amenaza a afrontar.  

Parece que algo se está haciendo en ese sentido si atendemos a los resultados de un estudio que presenta la HBR[viii], en el que se concluye que la IA en lo que más se está utilizando es en actividades entre ordenadores y análisis de información producida o intercambiada entre máquinas, siendo el departamento de informática el que más  la usa,  concretamente el 44% de dicho uso empleado en la detección de intrusiones no autorizadas a los sistemas, es decir, en ciber-seguridad. 

Las técnicas de aprendizaje de las máquinas pueden aportar un conocimiento mejor del funcionamiento normal de los sistemas, y de actuaciones y patrones de código malicioso no autorizados.  

Así, haciendo uso de dichas técnicas, tareas rutinarias como el análisis de grandes volúmenes de datos sobre la actividad de los sistemas o los incidentes de seguridad, aportan una gran precisión en la identificación de comportamientos anormales así como la detección de accesos no autorizados o la identificación de código malicioso. 

Además, los [ciber]delincuentes transforman constantemente sus ataques para conseguir sus objetivos. Mucha parte del malware que circula por la red está relacionado con otro ya conocido. Los sistemas cognitivos, analizando miles de objetos de código malicioso pueden encontrar patrones de comportamiento que ayuden a identificar futuros virus mutados, e incluso entender cómo los piratas informáticos explotan nuevos enfoques. 

Así se consigue un conocimiento ajustado a la organización, ya que el sistema cognitivo está aprendiendo con la información suministrada por todos los elementos que componen sus sistemas informáticos -en sentido amplio de la informática corporativa (TI) y la informática operacional (TO)-, que proporcionan no sólo datos, sino un contexto -sector, tecnologías empleadas, arquitectura de los sistemas, etc.-. 

Lo que para una empresa una cantidad de tráfico por un segmento de red, o una cantidad de peticiones a un servidor puede suponer una amenaza, para otra pueden ser datos normales. Depende del negocio y de cómo se utilice la tecnología. 

Con este conocimiento, las alarmas se reducirán considerablemente permitiendo un análisis y actuación humana más centrados en aquellos incidentes que lo requieran, se podrán detener las amenazas antes de que penetren y se propaguen en los sistemas, y, en algunos casos, se podrán actualizar o poner un parche de manera automática donde se requiera. 

Pero los sistemas cognitivos no se tienen que reducir a analizar los datos producidos por las máquinas, almacenados en los logs, es decir, datos estructurados. La CC tiene otras herramientas de las que pueden hacer uso los sistemas para interpretar los datos no estructurados. Al utilizar el reconocimiento del lenguaje natural tanto hablado como escrito, pueden examinar informes, alertas comunicadas en redes sociales o comentarios sobre amenazas, conversaciones o seminarios, análogamente a cómo lo hacen los expertos -humanos- en seguridad para mantenerse permanentemente informados.  

Finalmente, insistir en el papel esencial que juegan los humanos en la CC. Por una parte, el aprendizaje de la máquina no solo supone la ingesta automática de datos -seleccionados o proporcionados los criterios de selección de los datos adecuados por humanos-, sino que debe acompañarse de un entrenamiento realizado por expertos. Por otra, los sistemas cognitivos ofrecen informes, que serán estudiados por las personas adecuadas con el fin de tomar decisiones. 

Que es lo que viene a decir Bloomberg en el artículo "La Inteligencia Artificial no puede sustituir el toque humano en ciber-seguridad"[ix] del pasado mes de abril, en el que proporciona el ejemplo de Mastercard Inc., que utiliza sistemas de IA para detectar transacciones anormales, para, a continuación, ocuparse los profesionales de ciber-seguridad de evaluar la gravedad de la amenaza.  

Conclusión: Wanna Cry

¿Qué hubiera pasado si una vez publicado el código de la herramienta de la NSA "EternalBlue" las máquinas hubieran leído su código y aprendido cómo funcionaba? 

Quizás se hubiera desactivado su carga, bien porque la máquina hubiera reconocido sus códigos como maliciosos, bien porque hubiera buscado un parche para la vulnerabilidad aprovechada para lanzar los ataques. 

Según The Hacker News[x], desde que "The Shadow Brokers" a principios de abril filtró la vulnerabilidad y el código, este se aprovechó en varios ataques durante ese mismo mes, y, ya en el mes de mayo, se utilizó para "Wanna Cry". 

A mitad de abril, Microsoft liberó los parches que arreglaban la vulnerabilidad de sus sistema de intercambio de ficheros (SMB - Server Message Block) para todas las versiones de los distintos sistemas operativos que la tenían, incluyendo los que ya no da soporte, como el Windows-XP. 

¿Se podría haber evitado Wanna Cry? 

* * *

Este artículo fué publicado originalmente por @PuntoSeguridad.com/"Cuadernos de Seguridad", julio-agosto 2017, nº 324, pg.95, Ciberseguridad – "IA: problema y solución de la ciber-seguridad" – María José de la Calle. 

--------------------------------------------

[i] "These factories are crunching production time with artificial intelligence" (20160709) Business Insider url [a 20170529] http://www.businessinsider.com/sc/artificial-intelligence-change-manufacturing  

[ii] Clay Dillow (20161121) "How scientists will use artificial intelligence to find aliens" Popular Science url [a 20170529] http://www.popsci.com/how-scientists-will-use-artificial-intelligence-to-find-aliens  

[iii] "Artificial intelligence can accurately predict future heart disease and strokes, study finds" (20170424) University of Nottingham url [a 20170529] https://www.nottingham.ac.uk/news/pressreleases/2017/april/artificial-intelligence-can-accurately-predict-future-heart-disease-and-strokes-study-finds.aspx  

[iv] Kevin Ebi (20170518) "How will AI transform cities? 3 experts weigh in" SmartCitiesCouncil url [20170529] http://smartcitiescouncil.com/article/how-will-ai-transform-cities-3-experts-weigh  

[v] "While both technologies refer to the same process, [...] cognitive uses a suite of many technologies that are designed to augment the cognitive capabilities of a human mind. A cognitive system can perceive and infer, reason and learn. We’re defining AI here as a broad term that loosely refers to computers that can perform tasks that once required human intelligence."  

Greg Bell, Cliff Justice, Tony Buffomante, Ken Dunbar (20170413) "AI Adds a New Layer to Cyber Risk". Harvard Business Review. url [a 20170529] https://hbr.org/2017/04/ai-adds-a-new-layer-to-cyber-risk.  

[vi] Ver nota v. 

[vii] Como nos ilustra el artículo "Artificial intelligence-powered malware is coming, and it's going to be terrifying". Rob Price (20161008) Business Insider UK url [a 20170529]  http://uk.businessinsider.com/darktrace-dave-palmer-artificial-intelligence-powered-malware-hacks-interview-2016-10  

[viii] Satya Ramaswamy (20170417) "How Companies are already using AI". Harvard Business Review. url [a 20170529] https://hbr.org/2017/04/how-companies-are-already-using-ai  

[ix] Jimmy H. Koo (20170404) "Artificial Intelligence Can’t Replace Human Touch in Cybersecurity" Bloomberg url [a 20170529] https://www.bna.com/artificial-intelligence-cant-n57982086179/  

[x] Mohit Kumar (20170519) "More Hacking Groups Found Exploiting SMB Flaw Weeks Before WannaCry". The Hacker News url [a 20170529]  http://thehackernews.com/2017/05/eternalblue-smb-exploit.html   

 

¿Sociedad de la información o sociedad inundada de información?

Monday, 24 July 2017 Maria Jose de la Calle Posted in iTTi Views

El uso de las tecnologías de la información con su capacidad de comunicación y producción de datos e información, ha conducido a una inundación de los mismos, inundación que está produciendo una incapacidad para leer, comprender, juzgar e interpretarlos, debidamente. Una consecuencia de esto, es la propagación de noticias falsas en las redes, a veces por desconocimiento, a veces con intenciones aviesas. 

El vocablo "inundar" proviene de la palabra latina inundare, que significa llenar de agua. Así lo expresa el Diccionario de la Real Academia de la Lengua Española (DRAE) en su primera acepción, es "Dicho del agua: Cubrir un lugar determinado".  A lo que se añade una tercera "Dicho especialmente de un gran número de personas o cosas: Llenar un lugar". 

Así mismo, el DRAE en la entrada de "informar", nos informa que viene del latín informāre: 'dar forma', 'describir'.

Así pues se puede afirmar que la información proporciona descripción de fenómenos, situaciones, actividades, personas, cosas, etc.  

Los datos y la información no sólo los generamos los humanos, también los generan las máquinas. El V informe de INCAPSULA[i]  del tráfico producido en la red proporciona el siguiente dato: el 51,8% es creado por máquinas, no por personas. 

La Información se vierte -o vomita- en la red en forma de texto o imágenes sobre lo que sucede a nuestro alrededor. La inmediatez con que llegan las noticias colocadas en la web por cualquier testigo presente con un dispositivo móvil, ha producido que ya no se necesite tener a un periodista presente para contarlas. De hecho no es infrecuente ver vídeos o fotos tomadas por "aficionados" en las páginas web de periódicos, o un artículo-noticia "veteado" con "tweets" recientes de testigos de la noticia.  

Unido a esto, hay aplicaciones o bots[ii] que la generan automáticamente, como el caso de los que utiliza la BBC[iii]. En Twitter, detrás de entre 9% y el 15% de las cuentas no hay personas[iv]. Son utilizadas para generar visitas a web poco visitadas -por personas-, generar spam, crear tendencias; o -por proporcionar ejemplos más positivos-, para atención al cliente o como asistentes.  

Tal abundancia se puede llevar por delante y dañar la calidad de la propia información. Cuando se habla de la seguridad de la información, se está haciendo referencia a la confidencialidad (C), integridad (I) y disponibilidad (D). Quizás a la seguridad de la información, para que ésta sirva para "dar forma" adecuada a hechos y cosas en general, habría que dotarla de otra cualidad, que es la veracidad, que a diferencia de la tríada C-I-D, no es un tema técnico, sino más bien de conocimiento de la disciplina relacionada con la propia información. 

Las inundaciones constituyen, en la mayoría de los casos, fenómenos adversos que destruyen el "lugar que llenan",  llegando a producir daños al medio ambiente, a propiedades e incluso, a las personas. Se lo llevan todo por delante, allá por donde pasan. 

De igual manera, la inundación de datos e información hace que éstos se tornen inútiles. Trae una mezcla de datos veraces y otros no tanto, de datos útiles e inútiles, de información publicada con una intención de informar o de desinformar. Hay que tener la capacidad de saber separar aquello necesario de lo que no lo es, y lo que es cierto de lo que no, de intuir el propósito que subyace a ella. Hay que saber elegir e interpretar aquello que sea útil para el propósito que se busca, en un tiempo razonable. Esto es lo que se  denomina pertinencia. 

La información no adecuada o falsa puede causar daños ya que puede confundir, dañar la imagen de una persona u organización, o manipular una toma de decisiones. 

Por ejemplo, en unas elecciones la manipulación de hechos dirigidos a la 'opinión pública', con el fin de conseguir votantes. Este fue el caso de las últimas elecciones presidenciales en EEUU, según la publicación de la Universidad de Stanford "Social Media and Fake News in the 2016 Election"[v], en que se puede leer la preocupación por los efectos que las falsas noticias que circularon por las redes sociales, la mayoría de las cuales favorecían al presidente electo, y cómo dichas noticias podían haber inclinado la balanza hacia él.

La importancia de la información y su control no es un tema nuevo. 

Así, el profesor Josep Fontana en su libro "La historia de los hombres"[vi], explica "la aparición de una 'opinión pública' a partir de mediados del s. xvii". Un fenómeno ligado al surgimiento de una auténtica 'industria de la información' que multiplicó las impresiones de cartas, folletos, gacetas y, en general, de textos breves y accesibles a un público extenso, que se ocupaban de crítica política o reproducían todo tipo de noticias del momento. Y añade "la importancia que tuvo en Italia y Francia esta revolución de la información que llevaba a los propios historiadores a decir que vivían en un tiempo "lleno de noticias" y que obligó a los gobiernos a tomar historiadores a su servicio para combatir los efectos de la crítica (Luís XIV de Francia tenía en nómina a 19 historiadores)".  

El adjetivar el tiempo en que vivían como "lleno de noticias" nos hace sonreír.  Con el apoyo de las Tecnologías de la Información, la cantidad de información que se genera y distribuye en el mundo hoy día es enorme. Para medirla, y tomando como base el byte[vii], se ha pasado desde el comienzo de estas nuevas tecnologías, de kilobytes (Kb = 103 bytes),  a megabytes (Mb 106 bytes), gigabyte (Gb = 109 bytes), terabyte (Tb = 1012 bytes), petabyte (Pb = 1015 bytes), exabyte (Eb = 1018 bytes), zettabyte (Zb = 1021 bytes).  

Un artículo[viii] de hace un año de la "Northeastern University" ya decía que al día se producían 2,5 Eb, equivalentes a 90 años de grabación de vídeo en alta definición, o a 150 billones de canciones o a 250.000 veces el contenido en digital de la biblioteca del Congreso de EEUU. 

Se habla de la sociedad de la información, de la información como la energía del siglo XXI, de la revolución de la información. Pero para que ésta constituya un bien para todos y riqueza parala sociedad, es necesario aprender a utilizarla, a producirla y a distribuirla. Hay que cuidarla y mantenerla adecuada para el consumo, al igual que el agua. La información contaminada, puede causar muchos daños. 

¿Qué es la información?

La información es el resultado de la interpretación de unos datos: primero hay que conocer la bondad de dichos datos, y segundo, fijar un contexto para interpretar dichos datos.  

Por tanto, con el fin de poder hacer uso de una información, hay que tener la capacidad para analizar ambas cosas: los datos y el contexto utilizado para interpretarlos. Así, se podrá distinguir lo verdadero de lo falso, o la intención que pueda subyacer a la información.

¿Pero hay tiempo de reflexión suficiente o criterios claros a la hora de retwittear o dar un click en a "me gusta"? ¿Hay capacidad para una adecuada selección da datos a la hora de utilizarlos? 

Desde luego nos podemos servir de herramientas que ayuden a esta tarea, pero dichas herramientas están basadas en criterios de selección, clasificación y extracción que también se deberían conocer, ya que podrían estar creados para dar unos resultados no acordes con los fines buscados. Recordemos además que todo filtro supone falsos positivos y falsos negativos. 

Para esto, la educación tiene mucho que decir. Sin ir más lejos, en la plataforma de cursos gratuitos en-línea (moocs) "edx" hay un curso "Fake News, Facts, and Alternative Facts"[ix], "para aprender a distinguir fuentes de noticias fiables e identificar los sesgos de la información para llegar a ser un consumidor crítico de la información". 

Cómo decidir si una información es falsa  

En una reciente infografía[x] de "Futurism.com" se puede leer lo siguiente: "Las noticias falsas son un serio problema en EEUU a día de hoy por varias razones: está influenciando las acciones de las personas, y éstas están teniendo dificultades para entender qué noticia es verdadera y cuál es falsa". 

La existencia de tantos datos e informaciones falsas, parece que ha empezado a preocupar. A juzgar por las noticias publicadas, lo que ha disparado dicha preocupación han sido las últimas elecciones en los EEUU -como el ya comentado documento de la Universidad de Stanford o la infografía de Futurism- en las que se ha hecho una utilización masiva de las redes sociales, y en las que se podía saber minuto a minuto todo lo que decían los candidatos y lo que se comentaba de ellos, fuera cierto o no.  

En la infografía se proponen tres soluciones: que quien edita la noticia se asegure de que es cierta -solución que ya en publicaciones de cierto rigor se viene haciendo-; que sean los usuarios/lectores quienes juzguen, marcándolas en un sentido u otro; algoritmos que las marquen, solución que ya se ha puesto en marcha en algunas redes.

Tanto la primera solución como la segunda dependen del "buen hacer" de las personas, y el proceso a veces es lento para la velocidad de comunicación en la web. En cuanto a las soluciones automatizadas, se pone en manos de unos pocos -las empresas dueñas de dichas soluciones- la importante tarea de marcar datos e información como no falsos. 

Según el artículo de "The New York Times", "Google and Facebook Take Aim at Fake News Sites"[xi], las redes sociales no se libraron de las críticas por permitir las noticias falsas. Tanto es así, que tomaron cartas en el asunto: Google prohibiría las web que difundiera noticias falsas, y Facebook no mostraría publicidad de páginas -sites- que incluyan noticias falsas.

Posteriormente, Facebook, según un artículo[xii] de Vox del pasado 27 de marzo, obligaría a dar dos clicks para poder compartir una noticia que según sus algoritmos considerara falsa, marcándola con una etiqueta "disputed" (controvertida).  

Las medidas que implementan dichas empresas en sus herramientas, están basadas en algoritmos de los que hay que fiarse sin saber muy bien cómo funcionan. 

Esto se complica más si dichos algoritmos pertenecen a la categoría de la "Inteligencia Artificial"; la cuestión de conocer cómo está funcionando un algoritmo concreto sería un tema difícil de resolver: el sistema adapta sus algoritmos dependiendo de los nuevos datos que trate. Citando un artículo[xiii] de la "MIT Technology Review", "Nadie realmente sabe cómo los más avanzados algoritmos hacen lo que hacen. Esto podría ser un problema". 

Cualquiera de de las tres soluciones parece tener sus problemas, quizás la solución no sea una u otra sino todas al unísono. 

Pero hay una última de la que no habla la infografía, que ya he apuntado antes: la educación, es decir, aprender a tratar la información, contrastarla con diferentes fuentes, aprender cómo conseguir fuentes fiables. Y tomarse el tiempo suficiente -dependiendo de las consecuencias de la acción posterior- para tomar en consideración una información u otra.  

En definitiva, aprender a vivir en la sociedad de la información. 

* * *

Este artículo fué publicado originalmente por @PuntoSeguridad.com/"Cuadernos de Seguridad", junio 2017, nº 323, pg.84, Ciberseguridad – "¿Sociedad de la información o sociedad inundada de información?" – María José de la Calle.

------------------------------------

[i] "Bot Traffic Report 2016". url [a 20170424]  https://www.incapsula.com/blog/bot-traffic-report-2016.html   

[ii] "Un bot (aféresis de robot) es un programa informático, imitando el comportamiento de un humano", según la definición que ofrece Wikipedia. url [a 20170424] https://es.wikipedia.org/wiki/Bot  

[iii] "How can we leverage bot technologies to reach new audiences on messaging platforms and social media?" url [[a 20170424] http://bbcnewslabs.co.uk/projects/bots/  

[iv] O. Varol, E. Ferrara, C. A. Davis,F. Menczer, A. Flammini (20170327)  "Online Human-Bot Interactions: Detection, Estimation, and Characterization".  url [a 20170424]  https://arxiv.org/pdf/1703.03107.pdf  

[v] H. Allcott, M. Gentzkow (201703).  "Social Media and Fake News in the 2016 Election".  url [a 20170424] https://web.stanford.edu/~gentzkow/research/fakenews.pdf  

[vi] "La historia de los hombres" Pag. 84. Josep Fontana. Ed. Crítica, 2001. 

[vii] url [a 20170424] https://es.wikipedia.org/wiki/Byte  

[viii] M. Khoso (20160513)  "How Much Data is Produced Every Day?". Northeastern University. url [a 20170424]  http://www.northeastern.edu/levelblog/2016/05/13/how-much-data-produced-every-day/  

[ix] "Learn how to distinguish between credible news sources and identify information biases to become a critical consumer of information". edx.  url [a 20170424] https://www.edx.org/course/fake-news-facts-alternative-facts-michiganx-teachout-2x  

[x] "Fake news is a serious problem in the U.S. right now, for several reasons: it is influencing the actions of real people, and people are having difficulty undestanding which news is real and which news is fake" Futurism.com. url [a 20170424] https://futurism.com/images/fighting-fake-news-can-technology-stem-the-tide/  

[xi] N. Wingfield, M. Isaac, K. Benner (20161114)  "Google and Facebook Take Aim at Fake News Sites" The New York Times. url [a 20170424]   https://www.nytimes.com/2016/11/15/technology/google-will-ban-websites-that-host-fake-news-from-using-its-ad-service.html?_r=0  

[xii] A. Romano (20170324) "Facebook is fighting fake news by making it harder — or at least more annoying — to share" Vox. url [a 20170424]  http://www.vox.com/culture/2017/3/24/15020806/facebook-fake-news-alert-fact-checking 

[xiii] "No one really knows how the most advanced algorithms do what they do. That could be a problem."  W. Knight (20170411) "The Dark Secret at the Heart of AI". MIT Technology Review. url [a 20170424]  https://www.technologyreview.com/s/604087/the-dark-secret-at-the-heart-of-ai/ 

 

Contadores inteligentes: 4 zonas de inseguridad

Thursday, 20 July 2017 Maria Jose de la Calle Posted in iTTi Views

Se han producido dos hechos que me han llevado a hacer algunas reflexiones sobre los contadores -equipos de medida del consumo eléctrico, de gas o de agua-  llamados "inteligentes". (Hoy día todo tiene que ser inteligente, ¿será que las personas ya no lo somos tanto?). 

El primero de los hechos, la recomendación de un artículo[i] en el boletín semanal del "Centro de Ciberseguridad Industrial" (CCI) del 8 de mayo pasado sobre la seguridad -o mejor dicho, inseguridad- de dichos contadores, tal y como indica su título, "Productos seguros: utilizando los contadores inteligentes como vectores (portadores) de ataque". 

El segundo, unos días después, la llegada de una carta de Iberdrola informándome de la próxima sustitución del contador actual por otro "inteligente".  

Según la carta, los nuevos equipos de medida permiten la telegestión, significando esto, y cito textualmente "la capacidad de lectura de contadores y cambio de condiciones de contrato sin personarse en el domicilio". Es decir, los nuevos equipos de medida suponen un enlace directo con la empresa suministradora.  

Entre las ventajas que se supone que aportan al usuario son localizar más rápidamente el origen de una avería, y por tanto, resolución más rápida; el acceso desde la web del propio usuario al contador para poder obtener datos de consumo, de contrato, o la reconexión del interruptor de control de potencia (ICP) tras un disparo por sobrecarga.

Dichos contadores además de informar sobre el consumo, "incluyen comunicación bidireccional a intervalos frecuentes y pueden informar de situaciones como apagones", como bien resume el artículo anteriormente citado. 

Estos equipos están comunicados -en la mayoría de los casos, por medio de la red móvil GSM- a servidores, a los que envían y desde los que reciben datos. Los datos intercambiados pueden ser de varios tipos, tal y como se informa en la carta: contractuales y personales, de estado del equipo, u  órdenes que se le pueden dar a dicho equipo -como la reconexión del ICP, por ejemplo-. 

La falta de seguridad en estos dispositivos, y sus comunicaciones, hace que bienes personales y de las empresas se encuentren amenazados, tanto los virtuales -información en general- como los físicos. Hoy día los procesos físicos están controlados por software -ataques a las subestaciones eléctricas de Ucrania, por ejemplo-. 

Algunas amenazas en el uso de los contadores inteligentes

Así, volviendo al citado artículo "Productos seguros: utilizando los contadores inteligentes como vectores (portadores) de  ataque", su título ya nos proporciona alguna pista. 

Dicho artículo se apoya en un informe[ii] de hace diez años del Sandia National Laboratories[iii] de EEUU, en el que se describen varias amenazas a tener en cuenta en el uso de dichos dispositivos, en un momento entonces incipiente. 

Tales amenazas se centraban -para la empresa- en el propio cliente que podía alterar sus consumos o el precio para así conseguir energía más barata; en la amenaza interna de la empresa -los propios empleados- para alterar el comportamiento de los dispositivos y sistemas comunicados entre sí, y en el terrorismo y la amenaza de otra nación hacia la infraestructura crítica que supone la red eléctrica, de distribución de gas o de agua. Los autores del informe suponían, por tanto, la debilidad de  los equipos de medida y de la red creada alrededor de unos servidores con los cuales se comunicaban.  

Se pueden delimitar tres zonas que pueden resultar atacadas: el propio contador, el servidor con el que se comunica y la estación de producción o distribución del bien de que se trate.  

Ahora bien, el contador está situado entre la red de suministro y el edificio al cual se le suministra energía. 

Cambiando la perspectiva de la red de suministro hacia el destino del suministro, es decir, hacia el cliente, este se puede ver amenazado por un ciber-delincuente que piratee el contador o recoja los datos que circulan a través de las redes inalámbricas o móviles con las que se conecta dicho contador con la empresa suministradora. 

Como la propia empresa suministradora indica en sus cartas, los datos son contractuales y personales (lo que puede suponer una violación de la intimidad); de estado del equipo; u órdenes que se le pueden dar a dicho equipo.

Estas órdenes, entre otras cosas, pueden dejar sin suministro al edificio o causar una sobrecarga, lo que  puede producir daño a los bienes conectados y a lo que contengan -alimentos refrigerados o congelados, por ejemplo- o daños personales, al dejar de tener el suministro adecuado de energía -piense, por ejemplo, en dispositivos eléctricos para el cuidado de la salud-. 

Con esta nueva perspectiva, aparece la cuarta zona de inseguridad, que es la relativa al cliente y sus datos personales, así como sus bienes necesitados de un correcto suministro de la energía.   

De lo expuesto, sería lógico esperar que los llamados contadores inteligentes y la red que conforman con los servidores a los que se conectan, estarían actualmente equipados con toda suerte de medidas de seguridad para evitar que los datos fuesen robados o modificados, o para servir de llave de entrada a la organización, como portador de malware.

Sin embargo, a pesar de que han pasado ya diez años desde el informe del Sandia National Laboratories, los equipos de medida no parece que hayan cambiado mucho y las amenazas parece que cada vez tienen más posibilidades de materializarse.  

Algunas debilidades de los contadores inteligentes

El periódico El Confidencial informaba[iv] en enero del último Chaos Communications Congress, celebrado en Hamburgo (Alemania) a finales de diciembre del pasado año 2016. En dicho congreso, Netanel Rubin -experto en ciberseguridad israelí- avisaba de los peligros de estos equipos. 

Hay que destacar que: "Los contadores inteligentes son poco seguros por diseño”, “no tienen una CPU -unidad central de proceso de un ordenador- con suficiente potencia ni memoria para utilizar claves de cifrado fuertes”. Estas características implican que la parte del código que controla las comunicaciones está normalmente reducido y optimizado. 

Habitualmente, la forma en que se comunican los contadores con los servidores de las compañías es mediante el protocolo GSM, el estándar de comunicaciones 2G utilizado en las redes móviles, eminentemente inseguro[v]. 

Aunque todo esto ya resulta alarmante, siguiendo con el artículo, la entrada física de un ladrón en un edificio se puede ver facilitada. 

Por una parte, dado que entre los datos del contador figura el consumo, se puede deducir cuándo el edificio o vivienda están vacíos. 

Por otra, desde el contador inteligente se podría -si no hay cortafuegos o contraseñas robustas- tener "acceso a todos los dispositivos inteligentes del edificio conectados a él, desde el aire acondicionado hasta un sistema de cierre de puertas automático”. 

Si entre los dispositivos inteligentes está la cerradura de la puerta, ya no será necesario forzarla -físicamente- para entrar. 

Además, “los contadores están situados en un punto crítico de la red eléctrica, debido a la gran cantidad de voltaje que reciben y distribuyen. Una línea de código incorrecta podría causar serios daños, un atacante que consiguiera controlar el software que rige el aparato, podría hacer que este explosione y provoque un incendio”. 

En 2015, en Sacramento[vi] (California) esto fue lo que ocurrió, la explosión de contadores, no por el  software en este caso, sino por una causa física que produjo una sobrecarga.  

¿Se puede hacer algo?

Se puede, tal como aconseja la autora del artículo, "Los riesgos se evitarían si las compañías usaran un método de cifrado robusto, si segmentaran la red para emplear claves variadas y si monitorizaran el sistema". 

Parece que en España algunas compañías eléctricas aseguran que colocan contadores cuyos datos están cifrados y tienen dos claves de seguridad; y que, además, realizan constantemente análisis de vulnerabilidades a toda la infraestructura de telegestión, incluidos los equipos de campo. 

(Espero que entre ellas esté Iberdrola porque es la que alimenta mi ordenador y mi nevera).  

* * * 

Este artículo fué publicado originalmente en la web de ComunicacionesHoy  – "Contadores inteligentes: 4 zonas de inseguridad" el día  12/06/2017 - María José de la Calle. 

---------------------------------------

[i] "Safety products: Using smart meters as a digital attack vector" (20170424) Utility Products url [a 20170606] http://www.utilityproducts.com/articles/2017/04/safety-products-using-smart-meters-as-a-digital-attack-vector.html  

[ii] Raymond C. Parks (200711) "Advanced Metering Infrastructure Security Considerations" Sandia National Laboratories url [a 20170606] https://energy.gov/sites/prod/files/oeprod/DocumentsandMedia/20-AMI_Security_Considerations.pdf  

[iii] url [a 20170606] https://es.wikipedia.org/wiki/Laboratorio_Nacional_Sandia   

[iv] Lucía Caballero (20170110) "Por qué el contador inteligente de la luz es una bomba de (ciber)relojería en tu casa" El Confidencial url [a 20170606] http://www.elconfidencial.com/tecnologia/2017-01-10/contador-inteligente-factura-luz-electricidad-ciberataques_1314050/  

[v] Daviid G. Ortiz (20140308) "Investigadores españoles demuestran que las redes 3G se pueden 'hackear' al menos de cuatro formas" eldiario.es url [a 20170606] http://www.eldiario.es/hojaderouter/seguridad/root2G-3G-ataques-David_Perez-hacking-Jose_Pico-Layakk-redesed_con-seguridad_informatica_0_275772476.html 

[vi] "Stockton Smart Meters Explode After Truck Causes Power Surge" (20150330) CBS Sacramento url [a 20170606] http://sacramento.cbslocal.com/2015/03/30/stockton-smart-meters-explode-after-truck-causes-power-surge/ 

 

¿Seguridad obligatoria?

Thursday, 08 June 2017 Maria Jose de la Calle Posted in iTTi Views

En el pasado mes de septiembre de 2016 apareció en diversos medios la noticia de la existencia de un pendrive USB que podía quemar el dispositivo al cual se conectara. Su nombre, "USB Killer"[i]. 

El motivo inicial de su fabricación no era causar daño, sino emplearlo como herramienta de verificación de aquellos dispositivos que contasen con uno, o más, puertos USB. De este modo, habría de servir para asegurar que dichos puertos se comportaban de manera segura, previniendo ataques eléctricos o robo de datos a través de los mismos. Sin embargo, la mayoría de las pruebas realizadas han dado como resultado la destrucción del dispositivo maestro, ya fuese un ordenador, un televisor o cualquier otro equipo dotado de conectores USB.   

Tal y como se dice en el blog de USBkill[ii], las empresas de hardware deben ser responsables de los fallos de seguridad de sus productos, máxime en estos momentos en que cualquier objeto de uso común puede llevar un chip con capacidad de almacenamiento, procesamiento y acceso a Internet, amén del ya mencionado puerto USB, mediante el cual se pueden intercambiar datos. 

Aunque según sus propios autores, la única empresa que parece les ha prestado cierta atención ha sido Apple, se han decidido a comercializar su creación "USB Killer". 

No es muy probable que un usuario individual lo compre para probar sus propios dispositivos, a título personal, porque lo más probable es que aquellos acaben "fritos", a riesgo, además, de que  el fabricante no le reponga, o le compense por, el equipo estropeado. ¡Aunque, sin duda, sería todo un detalle! 

Es evidente que la tecnología, normalmente, va por delante de leyes y regulaciones. Sin embargo, no es menos cierto que de la seguridad tecnológica -hoy, digital- se lleva hablando varias décadas -el primer virus informático conocido fue desarrollado a principios de los años 80 para un ordenador "Apple II"[iii]-; desde entonces, también se ha venido vendiendo software que ofrecía pocas garantías por sus vulnerabilidades, a la espera resignada de los consabidos parches.  

Como consecuencia de ello, una norma, tal vez no escrita, pero bastante extendida, de facto, en muchas instalaciones instaba a no implantar las últimas versiones de cualquier paquete software, a la espera de que se fueran subsanando los errores.

Todo ello difiere, notablemente, de las circunstancias que rodean a otros productos que ofrece el mercado. Generalmente, si estos no funcionan o no se ajustan a sus especificaciones, son retirados de la cadena de distribución. Cuando tal decisión llega tarde -el producto ya está en el mercado-, las reclamaciones de los compradores son atendidas mediante la sustitución del producto defectuoso o mediante la compensación económica pertinente (incluida la devolución del pago realizado).

Hasta hace poco, el software trataba únicamente con objetos virtuales y no actuaba sobre el mundo físico real. Sin embargo, con la inclusión en todo tipo de objetos de chips con capacidades de comunicación y tratamiento de datos, las cosas han cambiado. 

Piense, por un momento, en las omnipresentes cámaras de vigilancia. Éstas graban y transmiten dichas grabaciones a centros de control. De ese modo, se convierten en los "ojos" que todo lo ven, y que todo lo "cuentan". Sin embargo, esa captura y transmisión de información (imágenes) no siempre se realiza con garantía plena de seguridad, (¡por no citar los aspectos relacionados con la intimidad!). Cualquier dispositivo conectado en un entorno corporativo, como las cámaras, puede "caer" en manos de personal no autorizado, quien podría tener interés en obtener información de forma ilícita o, peor aún, utilizarlo -utilizar las cámaras, en el ejemplo- como puerta de entrada, como punto débil para conseguir el acceso a otros activos de la organización.  

El artículo "Design Flaws in IP Surveillance Cameras"[iv], de la revista "Hackin9", indica que las debilidades de seguridad en torno a estos dispositivos son múltiples; desde disponer de las credenciales de acceso al dispositivo, empleadas por defecto por el fabricante -credenciales fácilmente localizables en cualquier manual publicado en Internet-, hasta poder obtenerlas por encontrarse sin cifrar en la memoria de la cámara, etc.; todo lo cual favorecería su manipulación, por ejemplo, mediante la sustitución de imágenes falsas que permitieran sustituir el flujo de vídeo real. 

Esa omnipresencia mencionada más arriba, se acentúa, hoy día, con la miniaturización e incorporación de cámaras a teléfonos, tabletas, televisores[v] o frigoríficos. Este último caso forma parte de la propuesta de Samsung[vi], que invita a utilizar el frigorífico como un tablón de anuncios en el que, mediante un panel digital, cada miembro de la familia puede ir dejando sus notas para los demás, como si de un post-it se tratara. Los mensajes están sincronizados con el teléfono de cada habitante de la casa, al que se destina el mensaje. 

En el caso de los televisores, estos ahora incorporan micrófonos[vii] para aceptar órdenes de voz que sustituyan al mando a distancia. De ese modo, podrían recoger -y transmitir- todo lo que se diga en su entorno. 

Hace algún tiempo que se tiene clara la conveniencia de tapar las webcam de los ordenadores.

Es conocida la anécdota que, en este sentido, ha protagonizado recientemente el fundador de Facebook, Mark Zuckeberg, quien aparecía en una fotografía publicada para celebrar los 500 millones de usuarios en Instagram, con la cámara y el micrófono de su portátil cubiertos[viii].

El propio director del FBI[ix] ha aconsejado, dando ejemplo con su propio ordenador, que se tenga esa precaución, del mismo modo que la de cerrar la puerta de nuestro coche. Una comparación que, tal vez, no sea muy acertada: la puerta del coche es un elemento de seguridad para el pasajero, que debe estar cerrada para cumplir su función mientras el coche está funcionando; por el contrario, la cámara o el micrófono, pierden toda su funcionalidad si se tapan. Es decir, en un caso la seguridad aparece cuando el dispositivo (la puerta) se pone en funcionamiento, se cierra; en el otro, es precisamente la "desconexión" del dispositivo la que otorga una mayor seguridad.

¿Querrá ello decir que la práctica aconsejada habría de pasar por dotarse de equipos "antiguos", carentes de dicha tecnología? 

Podría concluirse que la gente acepta y convive con la inseguridad digital. Una inseguridad que lo permea todo, incluidos objetos, aparentemente inocuos que asemejan ser como los de siempre; pero que no lo son.

Durante la última edición del encuentro "Def-Con", celebrada el pasado mes de agosto, en Las Vegas (EEUU), "IoT Village"[x] presentó 47 vulnerabilidades descubiertas en 23 dispositivos de lo más variopinto: desde objetos personales como una "llave inteligente" -August Smart Lock-, que permitía dar acceso, a cualquiera, a la vivienda de su propietario; hasta a paneles solares -"Tigro Energy"-, los cuales permitían llegar a  apagar una pequeña estación de generación de energía eléctrica. 

Ello prueba cómo los fabricantes, en su carrera por llevar al mercado sus productos "smart", están obviando los posibles fallos de seguridad. 

Geoff Webb, -VP, Solution Strategy en Micro Focus- apuntaba, en una reciente entrevista para "Help Net Security"[xi] que muchos de estos objetos se fabrican por empresas que no tienen expertos en ciberseguridad, y los productos llegan al mercado con vulnerabilidades ya conocidas (y que, por tanto, deberían haber sido evitadas). 

La "Online Trust Alliance (OTA)"[xii] después de analizar una serie de vulnerabilidades detectadas en dispositivos y publicadas entre noviembre de 2015 y julio de 2016, halló que todas se podían haber evitado fácilmente. Lo cual, en última instancia, ha de verse como una buena noticia.

Paradójicamente, aquello que le da mayor potencia a la Internet de las Cosas (IoT, por sus siglas en inglés) que no es sino la conectividad y la posibilidad de poder compartir datos instantáneamente con cualquier persona o cualquier otra cosa, constituye la gran amenaza para la ciberseguridad. Cualquier producto con una vulnerabilidad puede comprometer seriamente -efecto dominó- la seguridad de los sistemas u otros dispositivos a los cuales se conecte. 

Las medidas de seguridad establecidas, hasta ahora, en componentes de producto -como las pruebas de frenos, luces, airbag, bloqueo de volante, y un largo etc. a que debe someterse un coche antes de salir de fábrica-, han de complementarse, ineludiblemente, con otras que velen por la ciberseguridad.

El ejemplo de los coches no puede venir más a cuento teniendo en cuenta las numerosas noticias sobre ataques exitosos que han sufrido, tanto los que necesitan conductor como los autónomos, ambos parcial o totalmente controlados por un ordenador.

La IoT está en la base de cualquier desarrollo tecnológico actual. Por ello, tal vez haya que llegar a un consenso entre fabricantes y reguladores, que favorezca la consecución, entre todos, de un entorno más seguro para todos. 

* *

Que la IoT no pase de ser la "Internet de las cosas" a la "Internet de las amenazas", como lo llama el fundador de la firma de ciberseguridad Eugene Kaspersky:  “Internet of Things? I Call It Internet of Threats.”[xiii]

* * *

Este artículo fué publicado originalmente por la revista mejicana Magazcitum el 19/12/2016. Ref: Magazcitum/Opinión, año 7, nº3, 2016. "¿Seguridad obligatoria?" - María José de la Calle.    

--------------------------------------

[i] url [a 25-09-2016]  https://www.usbkill.com  

[ii] "USB kill: Behind The Scenes" (30 de agosto, 2016)  url [a 25-09-2016]  https://www.usbkill.com/blog/usb-kill-behind-the-scenes-b40.html  

[iii] url [a 25-09-2016] https://es.wikipedia.org/wiki/Elk_Cloner  

[iv] Aditya K Sood, Bipin Gajbhiye (2011). "Design Flaws in IP Surveillance Cameras". Hackin9. url [a 25-09-2016] https://www.cigital.com/papers/download/design_flaws_IP_surveillance_cameras_adityaks_bipin.pdf  

[v] Eva Dallo (01 de diciembre, 2013) "¡Ojo! Su televisión puede espiarle". El Mundo. url [a 25-09-2016] http://www.elmundo.es/cronica/2013/12/01/529a24f161fd3dea548b45a0.html 

[vi] url [a 25-09-2016] http://www.samsung.com/us/explore/family-hub-refrigerator/  

[vii] Juan Antonio Pascual (8 de febrero, 2015). "¿Los Smart TV de Samsung graban y envían nuestras voces?" ComputerHoy.com url [a 25-09-2016] http://computerhoy.com/noticias/imagen-sonido/smart-tv-samsung-graban-envian-nuestras-voces-24055 

[viii] Andrew Griffin (22 de junio, 2016) "Mark Zuckerberg seen covering up his webcam in picture celebrating Instagram milestone". Independent.  url [a 25-09-2016] http://www.independent.co.uk/life-style/gadgets-and-tech/news/mark-zuckerberg-seen-covering-up-his-webcam-in-picture-celebrating-instagram-milestone-a7094896.html 

[ix] Andrew Griffin (15 de septiembre, 2016). "Everyone should cover up their laptop webcams right now, says FBI director James Comey". Independent.  url [a 25-09-2016] http://www.independent.co.uk/life-style/gadgets-and-tech/news/everyone-should-cover-up-their-laptop-webcams-right-now-says-fbi-director-james-comey-a7308646.html 

[x] Mirko Zorz (16 de septiembre, 2016). "IoT Village uncovers 47 security vulnerabilities across 23 devices". HelpNetSecurity. url [a 25-09-2016] https://www.helpnetsecurity.com/2016/09/16/iot-village-def-con/  

[xi] Véase nota x.

[xii] Help Net Security (9 de septiembre, 2016). "Are all IoT vulnerabilities easily avoidable?". HelpNetSecurity. url [a 25-09-2016] https://www.helpnetsecurity.com/2016/09/09/iot-vulnerabilities-easily-avoidable/  

[xiii] "¿Internet de las cosas? Yo lo llamo Internet de las amenazas". Eugene Kaspersky (24 de junio, 2015). NbcNews. url [a 25-09-2016] http://www.nbcnews.com/tech/security/kaspersky-smart-fridges-internet-things-i-call-it-internet-threats-n380541  

 

Si puerta para qué abierta; y si abierta para qué puerta

Tuesday, 25 April 2017 Maria Jose de la Calle Posted in iTTi Views

La seguridad en general es un concepto que atañe a todas personas en mayor o menor grado. 

Todos los años cuando se acerca el verano aparecen las campañas contra el fuego recomendando ciertas normas para que no se produzcan incendios accidentales cuyas consecuencias pueden ir desde pérdidas medioambientales hasta pérdidas humanas, sin ir más lejos las de los propios bomberos[i]. 

 

Otro ejemplo son las campañas de seguridad vial de la Dirección General de Tráfico, o las medidas de seguridad que en cualquier vuelo se recuerda a todos los pasajeros del avión sin excepción -no preguntan a los pasajeros si las conocen o si ya han viajado en un avión con anterioridad-.

 

De igual modo, la seguridad de la información digitalizada, y de los dispositivos en los que reside y por donde circula es un asunto que en mayor o menor medida nos atañe a todos, tanto en actividades profesionales como privadas.

 

El que hoy en día la información fundamentalmente resida en dispositivos englobados en el término "Tecnologías de la Información" o TI, no significa que los medios para mantenerla segura sean meramente técnicos y que, por tanto, su único responsable sea también el técnico. 

 

No hay duda de que tecnologías más maduras, como el automóvil o la electricidad en el hogar, han evolucionado para ser cada vez más seguras en el plano técnico, pero por muy seguras que consideremos la instalaciones eléctricas que nos rodean a nadie se le ocurre meter los dedos en un enchufe o sumergir en agua un dispositivo conectado a la red eléctrica. Las normas básicas de seguridad de la electricidad las tenemos muy presentes. 

 

El rastro digital 

 

El uso masivo de las TI se ha producido de manera muy rápida, fundamentalmente con la llegada, primero de internet en los años 90[ii], y posteriormente, en la primera década del s. XXI con los dispositivos móviles, principalmente el smartphone[iii].

 

La aceptación de las nuevas tecnologías ha sido tan rápida que prácticamente no ha dado tiempo para la maduración de procedimientos para un uso adecuado. Cuando han empezado a saltar las alarmas los daños también se habían generalizado. 

 

Términos más bien técnicos como malware, virus -no biológicos, sino virtuales-, ataques de denegación de servicio (DDoS), phising, ransomware, etc., etc., se han hecho tristemente famosos, figurando en las primeras páginas de periódicos.

 

El uso de cualquier tecnología comporta unos riesgos de los que hay que ser conscientes y hay que saber cómo tratarlos. 

 

Desde el descubrimiento del fuego hace más de 750.000 años, hasta el uso de máquinas-herramientas o los medios de transporte, ya bastantes más modernos,  la humanidad paga un alto precio por el control y uso de la tecnología, no sólo en medios materiales sino también en vidas humanas o en desastres en el medio ambiente.   

 

Siguen produciéndose incendios con pérdidas materiales y humanas, y desastres medio-ambientales, como los incendios que Chile viene sufriendo desde julio de 2016[iv]. Siguen produciéndose accidentes en la utilización de máquinas-herramientas, como el que tuvo lugar el pasado diciembre en la localidad de Alhedín (Granada)[v] en el que murió un trabajador aplastado por un contenedor, al parecer al fallar el brazo basculante del camión que lo sostenía. 

 

En cuanto a los medios de transporte, todos los días hay accidentes de tráfico [vi] y no son infrecuentes los accidentes de trenes o los de aviones. 

 

Así, con las tecnologías de la información no podía ser menos. Pero hay una diferencia, por lo menos a primera vista. Hasta la llegada de las TI, lo que se quería "asegurar" eran entes con realidad física -bienes materiales, personas o incluso el medio ambiente-; con la llegada, de las TI, lo que se quiere asegurar -entre otras cosas- es la información digitalizada, la cual es intangible. Con el auge y abaratamiento de las comunicaciones, y su ubiquidad, hay una percepción de que la información es un ente etéreo. 

 

Aunque quizás no tanto ...  

 

Se habla de Internet o de la "nube", como si fueran conceptos incorpóreos, cuando la realidad es que están soportados en cables, conectores, dispositivos físicos como routers, switches, ordenadores y mucho silicio, objetos físicos en los que el uso de las TI deja un rastro digital por diversos motivos posibles: 

 

- la propia definición y construcción de dispositivos, sistemas operativos, protocolos de comunicaciones, aplicaciones, etc. que para hacer más rápido, efectivo y eficiente su uso guardan e intercambian información con otros dispositivos; 

- es el propio usuario el que almacena información, como contactos o documentos; o coloca en la red información para que otros la conozcan, información que permanece en servidores de empresas sin que se sea muy consciente de ello [vii]. 

 

Dicho rastro constituye un riesgo para la información, en primer lugar, almacenada en dispositivos personales, susceptibles de perderse, olvidarse o que los roben. En segundo lugar, el almacenamiento que hacen empresas dueñas de las aplicaciones que se utilizan en los dispositivos, también constituye un riesgo, no sólo por el uso que la empresa propietaria de los servidores pueda hacer de dicha información sin el conocimiento ni mucho menos el permiso de su propietario, sino porque otros se la puedan robar. Casos hay muchos, desde "Ashley Madison"[viii], las cuentas de correo de Yahoo [ix], o las cuentas de Dropbox [x], entre otros. 

 

Además, la información no sólo está en reposo en las máquinas que la albergan, también se mueve en un continuo viaje de dispositivo en dispositivo por redes de comunicaciones, o por el aire entre dispositivos y antenas, siendo relativamente fácil su interceptación. 

 

Consecuentemente con todo ello, sería necesario definir y tener en cuenta una serie de normas a cumplir por todos, tanto en la actividad de la vida privada, como en la actividad laboral, teniendo en cuenta que hay dispositivos que se utilizan indistintamente tanto en una como en la otra.  

 

Unas normas básicas, como "cuidado con las redes abiertas", "tener abiertas las comunicaciones sólo cuando sea necesario -si no se necesita wifi o bluetooth no tenerlas activadas-", "la información sensible protegerla adecuadamente -cifrarla- y si hay que comunicarla, utilizar canales seguros". "Información relacionada con la intimidad no "colgarla" en la red"; "no "pinchar" en cualesquiera enlace que llegue en un correo", etc.. 

 

Una medida de seguridad de una casa, sería colocar una puerta. El tipo de puerta -blindada o no, y sus distintos tipos- depende de lo que el propietario quiera gastarse en ella, y una vez elegida, su calidad y su colocación es un asunto técnico, no hay duda. Una vez colocada, el dejarla abierta cuando se sale o entra, es una elección de las personas que la utilizan, y, también es una elección seguir un procedimiento como "cuando entres o salgas, cierra la puerta".  

 

De poco serviría una puerta si se dejara abierta, o como reza el dicho, título de este artículo, "Si puerta, para qué abierta; y si abierta, para qué puerta". 

 

Seguridad en las organizaciones 

 

La seguridad es un sistema que abarca unas normas y procesos; personas que, por una parte, los definan y den a conocer, y, por otra, todas aquellas que en el uso diario de las tecnologías, cumplan con dichos procesos y normas; unas medidas técnicas que soporten, detecten y corrijan las debilidades -técnicas-; y un sistema de gestión que englobe todo: personas, procesos y tecnología. 

 

Tiene como fin mitigar el riesgo de ocurrencia de sucesos no deseados, y cumplir con unos objetivos de seguridad basados en 'el riesgo asumible' o 'la propensión al riesgo'. Por tanto, el sistema de seguridad depende fuertemente de la organización a la cual sirva -proteja-, y también del entorno en el cual dicha organización se desarrolle. 

 

Los perjuicios que se deriven de un daño sobre dicha información son difíciles de estimar, sobre todo monetariamente [xi], no tienen porqué ser inmediatos ni de detección inmediata [xii], y se pueden extender a un periodo de tiempo [xiii]. 

 

Si roban información digitalizada sin más puede que sólo se detecte cuando el beneficiario del robo la utilice -por ejemplo, espionaje industrial o robo de identidad-, o en el caso de las APT, cuando se hagan efectivas. 

 

Sin embargo, los daños que puede producir cualquier brecha de seguridad pueden costarle a una organización, en primer lugar, pérdidas monetarias por: i) uso por terceros no autorizados de información confidencial; ii) no disponibilidad de parte o todas las funciones de una organización; iii) manipulación no autorizada de información, pudiendo tener como consecuencia una toma de decisiones erróneas; y, en segundo lugar, pudiera suponer un daño en su imagen de marca.  

 

Dado que las organizaciones de hoy en día dependen fuertemente de los sistemas de información por su alto grado de digitalización, los riesgos derivados del uso de las TI se han convertido en riesgo del negocio, y, por ello deben formar parte de los riesgos corporativos, en la misma línea que los financieros -controlados por procesos soportados por las TI- o los de cumplimiento legal. Aquellas organizaciones que de manera explícita así lo reconocen, son las que utilizan las TI como motor del negocio.  

 

Los riesgos tecnológicos deben conducir a definir una estrategia de ciberseguridad como parte integral de la estrategia corporativa. Estrategia que definirá una política de seguridad y unas normas que deberán conocer y aplicar todos los empleados de la organización. Los miembros del Consejo de Administración y el Comité directivo son quienes las deben definir y controlar su cumplimiento. Dichas normas también deben extenderse a clientes, proveedores y terceros en general que se relacionan con la organización. 

 

De nada sirve que, por ejemplo, técnicamente no se pueda enviar información sensible de la organización por medio del correo electrónico de dicha organización, si ese documento se copia a un dispositivo desde el cual se utiliza otro correo. De nada sirve un control de acceso físico a servidores, si se deja la puerta abierta para no molestarse en usar la tarjeta de acceso. Las medidas técnicas deben ir acompañadas de procedimientos y normas de uso. 

 

Más arriba afirmaba que en el caso de las TI, lo que se quiere "asegurar" es un bien intangible -la información-, en contraposición a otras tecnologías, que son bienes tangibles. Si bien hasta hace poco era así, con la "Internet de las Cosas" (IoT), la repercusión de una modificación de datos o de software en cualquiera de estos objetos conectados puede tener una repercusión en el mundo físico. Los fallos de seguridad pueden ser muy tangibles. 

 

Una parte de la información la constituye el software, o código que maneja los objetos virtuales que se mueven por los dispositivos como ordenadores, redes de comunicación, dispositivos móviles, etc..  

 

El software, además, ha pasado a los objetos físicos, para, por una parte recoger datos, y por otro poder controlar acciones realizadas por ellos, caso de la IoT o de la robótica. 

 

Esto cobra una especial relevancia en los sistemas de control industriales, tanto para los sistemas de fabricación como  los sistemas de control de subestaciones eléctricas, distribución y control de agua o gas, etc.  

 

En el documento "Beneficios de la ciberseguridad para las empresas industriales", recientemente publicado [xiv], se afirma "En ningún otro sector como en el industrial convergen los activos lógicos y físicos tan nítidamente, dando lugar a lo “ciberfísico”, que se constituye en la más amplia superficie de riesgo para las personas, el medioambiente,...", y aquí los riesgos ligados a las TI se han colocado al mismo nivel de riesgos físicos, como otras tecnologías. 

 

De pesca

 

La importancia de la concienciación en los riesgos del uso de las TI y de seguir unos procedimientos y normas de uso adecuados, queda de manifiesto singularmente por el tipo de engaño por Internet, conocido como phising, palabra que suena igual que "fishing" palabra inglesa que significa pescar. 

 

Es una forma de conseguir información tanto privada como de organizaciones -nombres de usuarios, contraseñas, datos bancarios, etc.- a través de correos electrónicos o mensajes en redes sociales,  con enlaces a páginas falsas; o de introducir cualquier tipo de malware -por ejemplo, una APT- al pinchar en un enlace.  

 

El "spear phising" (pesca con arpón) es más selectivo: va dirigido a una persona o departamento concreto. Es especialmente peligroso porque va precedido de un estudio previo sobre dicha persona u organización, lo que se llama "ingeniería social", para que el mensaje parezca de una persona o entidad fiable, y el "cebo" sea creíble. 

 

Al parecer, como otros tantos fraudes utilizando TI, en este 2017 el phising va a seguir con fuerza. El artículo "3 ways that phishing will evolve in 2017"[xv], dice que en 2016 se produjo un incremento de 150% de esta forma de ataque a través de las redes sociales. Y, al igual que otros ataques, como ransomware o DDoS, también se vende como servicio. 

 

El riesgo es doble ya que además de afectar a los datos de la vida privada, puede afectar a la vida laboral, como le ha pasado a Mike Pence, gobernador del estado de Indiana (EEUU) a quién "hackearon" su correo personal de AOL, que estaba utilizando para asuntos del estado. ¿Por qué? Porque las cortapisas que impone el correo del trabajo no las tiene el correo personal. 

 

Entre los muchos artículos hablando sobre esto, el de WIRED[xvi] tiene un título muy significativo "La edad de oro del pirateo de correos electrónicos no ha hecho más que empezar". 

 

* * *

 

Este artículo fué publicado originalmente por @PuntoSeguridad.com/"Cuadernos de Seguridad", abril, 2017, nº 321, pg.76, Ciberseguridad – "Si puerta para qué abierta; y si abierta para qué puerta" – María José de la Calle.

 

----------------------------------------

[i] ABC (20120804)  "67 muertos en la extinción de incendios desde el año 2000". url [a 20170313] http://www.abc.es/20120804/sociedad/rc-muertos-extincion-incendios-desde-201208042243.html   

[ii] Véase la evolución del uso de internet en los hogares de los países de la UE en el informe de EUROSTAT (20161220) "Estadísticas sobre la sociedad de la información - Hogares y particulares". url [a 20170313] http://ec.europa.eu/eurostat/statistics-explained/index.php/Information_society_statistics_-_households_and_individuals/es  

[iii] Hablar de tecnología de la información hace prácticamente inevitable el uso de ciertos términos y vocablos ingleses. Por no hacer mucho más largo el artículo en sí interrumpiendo su ritmo y dificultando su lectura, no se facilita una explicación o traducción de los mismos, remitiendo al lector a una consulta en Internet de aquellos por los que muestre un especial interés. 

[iv] "El País" (20170131) "Chile recibe ayuda internacional para combatir sus peores incendios". url [a 20170313]  http://internacional.elpais.com/internacional/2017/01/30/actualidad/1485746887_102479.html  

[v] "El País" (20161224) "Un trabajador fallece aplastado por un contenedor en Alhendín". url [a 20170313]   http://ccaa.elpais.com/ccaa/2016/12/24/andalucia/1482601762_483785.html

[vi] En España en el año 2016, según la Dirección General de Tráfico, murieron 1.160 personas por esta causa. url [a 20170313] http://revista.dgt.es/es/noticias/nacional/2017/01ENERO/0103balance-accidentes-2016.shtml#.WMBhJxhDmHo   

 [vii] Véase la política de privacidad de Google con respecto a los datos que almacena cada vez que se utiliza,  y como se utilizan, para que el usuario en ciertos casos pueda decidir sobre dicho uso. url [a 20170313] https://www.google.es/intl/es/policies/privacy/?fg=1  

[viii] Blog "Un informático en el lado del mal" (20150814)  "Ashley Madison Hack: Suicidios, Mentiras y Negocios Turbios". url [a 20170313] http://www.elladodelmal.com/2015/08/ashley-madison-hack-suicidios-mentiras.html  

[ix] "El Confidencial" (20161214) " Yahoo reconoce un segundo 'hackeo' masivo: 1.000 millones de cuentas afectadas". url [a 20170313] http://www.elconfidencial.com/tecnologia/2016-12-14/yahoo-hackeo-internet-seguridad-informatica_1304213/  

[x] "Motherboard" (20160831) "Hackers Stole Account Details for Over 60 Million Dropbox Users". url [a 20170313] https://motherboard.vice.com/en_us/article/hackers-stole-over-60-million-dropbox-accounts  

[xi] Aunque el Instituto Ponemon, en el informe "2016 Ponemon Cost of Data Breach Study" nos da algunas pistas: "This year’s study found the average consolidated total cost of a data breach grew from $3.8 million to $4 million. The study also reports that the average cost incurred for each lost or stolen record containing sensitive and confidential information increased from $154 to $158." Instituto Ponemon. url [a 20170313]  http://www-03.ibm.com/security/data-breach/  

[xii] "SecurityWeek"  (20160225)  "Breach Detection Time Improves, Destructive Attacks Rise: FireEye" url [a 20170313] http://www.securityweek.com/breach-detection-time-improves-destructive-attacks-rise-fireeye  

[xiii] Por ejemplo, un software espía, o un bot perteneciendo a una botnet, que esté realizando un atarea ordenada por un tercero; o una APT -Advanced Persistent Threat- malware no detectable, que permanece sin hacer nada hasta que se desea que se ejecute bien como puerta de entrada al sistema para controlar la máquina que lo alberga. 

[xiv] En dicho documento CCI (www.CCI-es.org/mision) e iTTi (www.ittrendsinstitute.org/about-itti)  han unido sus fuerzas para llevar a cabo un ejercicio de análisis, cuyo objetivo ha sido ofrecer una visión positiva de la ciberseguridad para las empresas industriales. url [a 20170313] http://www.ittrendsinstitute.org/news/item/itti-along-with-cci-releases-benefits-of-cybersecurity-for-industrial-enterprises-spanish-ed  

[xv] "Foration Blog" (20161228) "3 ways that phishing will evolve in 2017". url [a 20170313] https://www.foration.com/blog/3-ways-phishing-will-evolve-2017

[xvi] "Wired" (20170303) "The Golden Age of Email Hacks Is Only Getting Started" url [a 20170313]  https://www.wired.com/2017/03/mike-pence-aol-email-hack/?mbid=nl_3517_p1&CNDID=  

 

  

El dinero como datos

Monday, 26 December 2016 Maria Jose de la Calle Posted in iTTi Views

La Comisión Europea, en el documento titulado "Hacia un desarrollo de la economía conducida por los datos"[i] expone los beneficios para Europa del tratamiento de los datos o del Big-Data. Los datos y su tratamiento constituyen una nueva fuente de riqueza. 

Y al contrario, también es cierto. La realidad física del dinero se está difuminando en una realidad virtual al transformarse en datos residentes en ordenadores y que viajan por las redes de comunicaciones cambiando de propietario, como pago de bienes tangibles o intangibles, realizándose transacciones con intervención humana o sin ella.   

Ejemplo de ello son las contrataciones de valores en las bolsas, que son operaciones informatizadas en base a algoritmos capaces de examinar gran cantidad de parámetros, y que van informando de los cambios o tomando decisiones en tiempo real.  

Unas operaciones las realizan los agentes ayudados por las máquinas [ii] y, otras las realizan las propias máquinas, que lanzan órdenes al mercado financiero en cuestión de milisegundos. Esto último es la "contratación -o negociación- de alta frecuencia" o high frequency trading (HFT), que se utilizan para obtener beneficio a corto plazo, es decir, mantener una posición el menor tiempo posible, que a veces son milisegundos, o segundos, o minutos incluso. Los tiempos en las HFT son tan cortos e importantes que los equipos se suelen colocar lo más cerca posible de la bolsa para reducir el tiempo de comunicación entre  la máquina del operador y la de la bolsa en la que opera.   

En un ámbito más común, los pagos con tarjeta de crédito ya tienen varias décadas, y con la llegada de internet se adaptó también para pagar en compras por este medio; a día de hoy, ya se pueden realizar pagos con el teléfono -móvil- y almacenar dinero en él como si de una tarjeta de crédito se tratase, a través de una aplicación (App). Es suficiente con acreditar que se dispone de la cantidad a abonar, en el caso de pago,  y dónde está direccionado, es decir, la cuenta bancaria. Es el sistema bancario más difundido en África. 

¿Seguirán usándose la tarjeta y la cuenta bancaria? Quizás, como afirma Bill Gates en su carta anual de 2015 [iii], "hacia el 2030, dos mil millones de personas que no tengan una cuenta bancaria guardarán dinero y realizarán pagos con su teléfono. Y por entonces, los proveedores de dinero "móvil" ofrecerán un rango completo de servicios financieros, desde cuentas de ahorro con interés para ahorro, a créditos y seguros".  

Esta digitalización o virtualización del dinero, junto con la explosión del uso de las comunicaciones móviles, ha tenido como resultado que pequeñas empresas tecnológicas -o grandes, como Apple o Google-, apoyándose en su conocimiento de la tecnología, hayan creado nuevas formas de proveer servicios financieros tradicionalmente ofrecidos por el sector bancario, desde los ya comentados pagos y transacciones, monederos digitales o créditos hasta asesoría financiera e inversiones, lo que ha obligado a la Banca más tradicional a plantearse el cambio hacia esta nueva manera de hacer. Para las tecnológicas "metidas a banqueros" se ha acuñado el término fintech, contracción de los vocablos ingleses “financial” y “technology”.  

La virtualización del dinero ha tenido su mayor exponente en la moneda nacida ya virtual, sin existencia física previa: el Bitcoin. No depende de ningún gobierno, institución o entidad financiera, como las monedas al uso, el control lo realizan los propios usuarios mediante transacciones directas entre ellos, anónimas y cifradas. Su uso es a través de aplicaciones y, como tal moneda, se puede utilizar para la compra-venta de productos y servicios allá donde la acepten. Pero el Bitcoin tiene actualmente dos aspectos negativos importantes: por una parte, tiene una alta volatilidad cambiaria; por otra, se ha convertido en la moneda refugio de las mafias, dado su anonimato. 

Sin embrago, la verdadera revolución está en el mecanismo en el que se basa el Bitcoin, el "blockchain" o "cadena de bloques", donde se va apuntando cada una de las transacciones realizadas, como de si un libro de contabilidad se tratara, un sistema criptográfico que permite la confianza entre agentes sin necesidad de una autoridad central (el banco emisor), un medio para intercambio y almacenamiento de valor. 

Están surgiendo por parte de la Banca tradicional y empresas tecnológicas otras iniciativas de nuevas monedas y servicios basados en el principio funcional del Bitcoin. Veamos algunas aparecidas recientemente:

"Santander se alía con UBS, Deutsche Bank y BNY Mellon para impulsar el uso del dinero digital"[iv], noticia del diario "Expansión", del 24 de agosto pasado, en la que informa de que dicha alianza desarrollará el sistema 'Utility Settlement Coin' (USC) basado en la tecnología blockchain, el cual "facilitará pagos y liquidaciones de forma eficiente, rápida y segura". 

"Microsoft y Bank of America se alían para desarrollar tecnología blockchain"[v], noticia de "elEconomista" del 28 de septiembre pasado, en la que informa que dichas entidades "han acordado colaborar para desarrollar la tecnología 'blockchain' con el objetivo de impulsar la transformación de las transacciones financieras".  

La Banca, como otros muchos sectores, está también embarcada en un proceso de digitalización no sólo del dinero sino de sus procesos, a juzgar por las noticias, ya habituales donde aparecen unidas la Banca y la Tecnología. Ejemplo de ello, por citar algunos, es la compra de, o la colaboración con las Fintech, el servicio de asesoramiento personalizado a las empresas a través de video-conferencia lanzado por CaixaBank, o el acuerdo de BBVA y Banco Santander con Red-Hat para desarrollar sus respectivas "nubes".

Seguridad en el sector bancario

Que los bancos utilicen ordenadores para su gestión no es una novedad. Sí lo es que la mayoría de las operaciones se realicen a través de dispositivos y software en cualquier sitio donde haya comunicación por Internet, entre entidades bancarias, entre entidades bancarias y sus clientes, y entre los clientes directamente para sus negocios o sus vidas privadas, fuera de los límites del edificio de una entidad bancaria, por cualquier persona y no por un empleado bancario.  

Por ello han aumentado los riesgos de seguridad, del dinero en particular y los activos financieros en general, que se han transformado en información en continuo movimiento por las redes de comunicaciones, con acceso desde cualquier lugar. No hay que olvidar que el sector financiero es el primer objetivo para ladrones en general y cibercriminales en particular, ya que es en estas instituciones donde realmente está el dinero, y la superficie de exposición, como ya se ha visto, ha aumentado considerablemente.

Tanto es así, que la empresa "Raytheon", en el estudio [vi] realizado en el año 2015 sobre la seguridad en el sector financiero, encontró lo siguiente:  

- Los incidentes de seguridad en entidades financieras son 300% más frecuentes que en otros tipos de industria. 

- El 33% de los intentos de ataque tienen como objetivo servicios financieros. 

- Las entidades financieras ocupan el tercer lugar en cuanto a objetivos de “typosquatting”[vii]. 

Es conocido el daño que una crisis financiera causa en la sociedad, y la interconexión y dependencia entre las distintas entidades. Todos recordamos cómo la quiebra de "Lehman Brothers" en el 2008 disparó la crisis. Por este motivo, la importancia de la seguridad en los sistemas financieros es indiscutible ya que, un gran incidente de [ciber]seguridad puede llegar a causar una crisis que afecte no sólo a dicha entidad y sus clientes, sino a otras entidades e incluso al sistema financiero de un país, o de varios países. Tan es así, que España tienen al sistema financiero como perteneciente a uno de los 12 sectores que aseguran la prestación de servicios esenciales, a los que pertenecen las consideradas "Infraestructuras Críticas". 

Seguridad del dinero = ciberseguridad

El dinero ha entrado en la corriente de los datos y de la información, y la forma de acceder a él es la misma que a los datos en general; consecuentemente la seguridad del dinero es ciber-seguridad, seguridad informática y seguridad de la información. 

La seguridad de los datos o seguridad de la información se apoya en tres principios ampliamente conocidos: confidencialidad, integridad y accesibilidad, o expresado de otra manera, los datos deben ser accesibles por personas o sistemas autorizados cuando éstos así lo requieran, y sólo por éstos, y en la forma en que en ese momento sea pertinente y lo tengan permitido. 

Un incidente de seguridad se puede definir como cualquier suceso que no forma parte de la operación normal de un servicio y que causa, o puede causar, una interrupción o una disminución de la calidad de dicho servicio, incluyendo la violación de una norma de seguridad o el fallo de una salvaguarda. 

Según esta definición, las causas de los ciberincidentes son múltiples. Un mal funcionamiento o interrupción de un sistema no tienen porqué proceder del ciber-delito. Muchas veces son incidentes producidos errores o fallos internos: un error de software, eliminación de algún dato por error, actualizaciones no llevadas a cabo adecuadamente, fallos en el mantenimiento del hardware, y errores humanos en general. 

* *

Para terminar, los nostálgicos que quieran tener dinero en efectivo, también con el móvil lo pueden tener. El banco "ING Direct" acaba de sacar un servicio que, como si de una compra se tratara, en la caja de algunos supermercados o gasolineras puedes "pagar" con el móvil y se obtiene esa misma cantidad en efectivo [viii]. 

* * *

Este artículo fué publicado originalmente por @PuntoSeguridad.com/"Cuadernos de Seguridad", noviembre, 2016, nº 316, pg.92, Ciberseguridad – "El dinero como datos" – María José de la Calle.  

---------------------------------------------------

[i]  "Towards a thriving data-driven economy", (24 de febrero, 2016). European Comission. url [a 9-10-2016] https://ec.europa.eu/digital-single-market/en/towards-thriving-data-driven-economy   

[ii] J.A.Pérez (oct, 2011) "Negociación de  Alta Frecuencia: Más Ventajas que Incovenientes" url [a 9-10-2016] http://www.bolsasymercados.es/esp/publicacion/revista/2011/12/46-50_act-rep_alta_frecuencia.pdf  

[iii] "By 2030, 2 billion people who don't have a bank account today will be storing money and making payment with their phones. And by then, mobile money providers will be offering the full range of financial services, from interest-bearing savings accounts to credit to insurance." "2015 Gates Annual Letter".  url [a 9-10-2016] https://www.gatesnotes.com/2015-annual-letter?page=0&lang=en  

[iv] "Santander se alía con UBS, Deutsche Bank y BNY Mellon para impulsar el uso del dinero digital", (24 de agosto, 2016). Expansión. url [a 9-10-2016] http://www.expansion.com/empresas/banca/2016/08/24/57bd61bce5fdea154d8b467a.html 

[v] "Microsoft y Bank of America se alían para desarrollar tecnología blockchain" (28 de septiembre, 2016) url [a 9-10-2016] http://www.eleconomista.es/tecnologia/noticias/7853084/09/16/Microsoft-y-Bank-of-America-desarrollaran-en-conjunto-la-tecnologia-blockchain.html  

[vi] "2015 Industry Drill-Down Report Financial Services" (2015). Raytheon/ Websense Lab. url [a 9-10-2016] http://www.websense.com/assets/reports/report-2015-industry-drill-down-finance-en.pdf 

[vii] "¿Qué es el "Typosquatting"?", (7 de noviembre, 2004). uni>ersia. url [a 9-10-2016] http://noticias.universia.es/ciencia-nn-tt/noticia/2004/11/07/610533/que-es-typosquatting.html 

[viii] url [a 9-10-2016] https://www.ingdirect.es/twyp/twyp-cash.html  

 

¿Riesgos operacionales o estratégicos?

Sunday, 09 October 2016 Maria Jose de la Calle Posted in Corporate Governance of IT

"Estadounidenses y tecnológicas, as  son las mayores compañías por capitalización: Apple en primer lugar, Google en el segundo, Microsoft en el quinto, Amazon en el trigésimo cuarto". "Las 100 mayores empresas por capitalización bursátil en 2015". PwC.[i]

* *

La consultora Protiviti ha publicado recientemente los resultados de una encuesta global[ii], realizada por la Iniciativa de Gestión del Riesgo Empresarial de la Universidad Estatal de Nueva Carolina, dirigida a consejeros y ejecutivos, sobre el impacto que tendrían, para este año 2016, 27 cuestiones relativas al riesgo.

Dichas cuestiones estaban clasificadas en 3 categorías: macroeconómica, estratégica y operativa.

Las Ciberamenazas -operativas- (57% de las contestaciones), la gestión de identidades y de la privacidad, así como la seguridad de la información -operativas- (53%) y la ‘Pobre Digitalización’ -estratégica- (51%) resultaron estar entre los 10 principales riesgos que los encuestados consideraron como de “impacto significativo” potencial en su organización. 

Lo denominado abreviadamente ‘Pobre Digitalización’, la encuesta lo enunciaba como “la gran velocidad de innovaciones disruptivas y/o nuevas tecnologías en el sector puede superar la capacidad de nuestra organización de competir y/o gestionar el riesgo adecuadamente sin llevar a cabo cambios significativos en nuestro modelo de negocio”. Se trata, pues, del riesgo de no adaptarse  ágilmente a la revolución digital.

Relacionadas con la seguridad de las Tecnologías de la Información, había otras cuestiones:

- En la categoría estratégica, además de la ya citada 'Pobre Digitalización', se encuentra el impacto que pueden tener las redes sociales, aplicaciones móviles, y en general, aplicaciones basadas en Internet, en la marca, en las relaciones con los clientes y en cómo se hace el negocio. En realidad, esta se puede considerar como un caso concreto de la anterior, al concretar algunos  ìtems y riesgos asociados a ellos. 

- En la categoría operacional se pueden citar tres cuestiones: 

  •   Riesgo debido a la dependencia de empresas subcontratadas -outsourcing- o        acuerdos estratégicos con proveedores de tecnología.

  •   Insuficientes medios para la gestión de identidades y de la privacidad, así  como para la seguridad de la información y la protección de los sistemas.

  • Incapacidad para hacer uso del "big data" para apoyar los planes estratégicos.

Las preguntas parecen dirigidas más que a obtener una visión de los riesgos que más preocupan a consejeros y directivos de las empresas, en particular de los riesgos derivados del uso -o no uso- de las TI, a hacer salir a la luz la poca preparación de la empresa para abordar un cambio hacia una digitalización de la organización, desde las llamadas cuestiones estratágicas del riesgo, como la no adaptación a los rápidos cambios tecnológicos, pudiendo ser superados por la competencia; a los insuficientes medios para el uso de aplicaciones analíticas y explotación de datos, para el control de identidades, o para hacer frente a la amenaza de los ciberataques.

La encuesta también ofrece los diferentes puntos de vista de los consejeros y los distintos miembros del equipo directivo ("C-suite", CEO, CIO, CFO, etc.) tienen sobre el nivel de riesgo o impacto del mismo al que se enfrentan sus organizaciones.

Por una parte, según las respuestas ofrecidas por miembros de los consejos de administración, estos consideran el riesgo de "Pobre digitalización" como impacto bajo para sus organizaciones, mientras que el riesgo de ciberataques lo consideran como de "impacto significativo" potencial. ¿Será porque estos se dejan oír mucho mientras que las causas de un mal rendimiento o desaparición de una empresa no se relaciona con una pobre digitalización de la organización? ¿Será porque el ciberataque tiene una consecuencia directa en daños inmediatos y tangibles y de constatar inmediatamente, que de un fenómeno más dilatado en el tiempo o con muchas posibles causas difíciles de determinar? 

Las respuestas ofrecidas por los consejeros coinciden con las dadas por los CRO's -Chief Risk Officers-, los cuales, entre los 5 riesgos con mayor impacto, además del de las ciberamenazas incluyen los que tienen que ver con medios insuficientes para la gestión de identidades y de la privacidad, así  como para la seguridad de la información. 

Por otra parte, las respuestas dadas por CEO ́s o CIO ́s, entre los 5 riesgos con mayor impacto no se encontraban las ciberamenazas ni ningún otro riesgo operativo. En concreto, en las respuestas de los CEO's, entre los 5 primeros no hab a ningún riesgo relacionado con las TI. Entre las respuestas de los CIO's, sólo uno y es estrat gico, el ya mencionado abreviadamente como "Pobre digitalización", pero no est  ninguno relacionado con la ciberseguridad o con la seguridad de TI, en general.

¿Preocupa a los CEO's y CIO's más una falta de estrategia que una capacidad de llevar a cabo dicha estrategia? 

Del resultado de la encuesta se podría concluir que no hay una estrategia dirigida desde el órgano de gobierno de la organización para una digitalización de la misma.

Si faltan recursos para responder a los cambios tecnológicos, o para el uso de las TI como motor de la empresa, es porque falta un adecuado órgano de gobierno corporativo que entienda, en primer lugar, la digitalización como una necesidad de existencia de su organización y así  disponga los medios necesarios para llevarla a cabo; en segundo lugar, que la digitalización no es un tema tecnológico, es un asunto del negocio; y en tercer lugar, que la transformación digital lleva asociado un cambio en la manera de llevar el negocio, y por tanto, un cambio organizativo y de cultura de empresa.

Si la empresa dejara de existir, ya no habría que preocuparse de las ciberamenazas. 

Esto lo han entendido muy bien organizaciones como el Banco Santander, el cual recientemente a nombrado a Larry Summers como presidente del "Consejo Asesor Internacional" del Banco, una de cuyas misiones será la de acelerar la transformación tecnológica de la entidad. Dicho comité  contará  entre sus miembros con Majorie Scardino, consejera de Twitter y exconsejera delegada de Pearson; Franck D'Souza, consejero delegado de Cognizant y miembro del consejo de administración de General Electric; Charles Phillips, consejero delegado de Infor, exdirector general y miembro del consejo de Oracle; Mike Rhodin, director general de IBM Watson; George Kurt, consejero delegado y cofundador de CrowdStrike y James Whitehurst, director general y consejero delegado de Red Hat.[iii] 

Según el informe que encabeza el artículo, entre las 100 mayores compañías en el mundo por capitalización, las dos primeras son tecnológicas -Apple y Google- y la quinta -Microsoft- también. Las compañías tecnológicas han entrando en sectores, en principio alejados de las TI, como la automoción -Alphabet, concretamente, GoogleX, o Tesla-; o la energía solar -Tesla-; o el periodismo, -Amazon compró "The Washington Post"; o supermercados en línea -Amazón, que también ha abierto una librería física en Seattle llamada "Amazon Books"-.

Dichas compañías invaden sectores que nada tienen que ver con la tecnología, pero que aprovechan el conocimiento sobre la explotación de dicha tecnología como motor de negocio para dar ese salto.

Por tanto, el primer riesgo asociado a la tecnología es precisamente el no utilizar la tecnología como impulsor del desarrollo del negocio, que se traduce en el riesgo de desaparecer.

Teniendo clara dicha necesidad del uso de las TI, es el órgano de gobierno el que debe, por una parte, dictar las normas de como usar las TI, y por otro, supervisar que dichas normas se cumplan. Esto no es más que Gobierno Corporativo, particularizado para las TI, o GCTI.

Las ciberamenazas es claro que son una realidad como diariamente nos lo recuerdan distintos medios. Pero enfrentarse a la ciberseguridad o la seguridad de TI en general, dado que  éstas ya están -o deberían- embebidas en los procesos de la empresa, debe hacerse desde una administración de los riesgos.

Las TI suponen un elemento nuevo dentro del negocio y forman ya, explícita o implícitamente, parte indisoluble de él. Los riesgos de TI, por tanto, deben formar parte de la política general de riesgos de la empresa. Dentro de las normas que define el órgano de gobierno estaría fijar el equilibrio idóneo para la organización entre rentabilidad y seguridad. 

"El GCTI es el conjunto de mecanismos de alto nivel (estructuras y relaciones, normas y procesos de toma de decisiones) dirigidos a determinar el porqu , el para qu  y el cómo de la aplicación y uso de las TI; y a evitar oportunamente, y superar resilientemente, las consecuencias no deseadas del referido uso."

Del "Manifiesto de iTTi sobre GCTI"[iv]

Los CXO's son los que deben ejecutar la estrategia del órgano de gobierno. Concretamente, deben tomar las medidas oportunas para evitar las consecuencias no deseadas del uso de las TI, dentro del equilibrio fijado por dicho órgano entre rentabilidad y seguridad, y las normas dictadas para este fin.

Pero antes deben estar definidas dichas normas y para ello tiene que haber un adecuado GCTI. 

* * *

Este artículo fué publicado originalmente por la revista mejicana Magazcitum el 22/09/2016. Ref: Magazcitum/Opinión, año 7, nº2, 2016. "¿Riesgos operacionales o estratégicos?" - María José de la Calle.  

------------------------------------

[i] http://www.pwc.es/es/publicaciones/auditoria/assets/global-top-100-march-2015.pdf 

[ii] NC State and protiviti (2016). Executive Perspectives on Top Risks for 2016. http://www.protiviti.com/en-US/Documents/Surveys/NC-State-Protiviti-Survey-Top-Risks-2016.pdf

[iii] http://www.elconfidencial.com/empresas/2016-03-18/botin-encarga-elfuturo-digital-del-santander-a-larry-summers-mano-derecha-de-clinton_1170732/  

[iv] http://es.slideshare.net/iTTi_news/el-manifiesto-itti 

 

Cámaras digitales: ¿La seguridad insegura?

Monday, 26 September 2016 Maria Jose de la Calle Posted in iTTi Views

Para dar una idea sobre algunas prestaciones de las modernas cámaras de vigilancia, nada como acudir a los anuncios publicitarios, como los mostrados a continuación, los cuales, al mismo tiempo, van a servir de excusa para introducir el asunto de este texto, reflejado en su título: 

"Una gran variedad de lentes de rendimiento con poca luz. Esta amplia gama de lentes de alta resoluci n está especialmente dise ada para cámaras con sensor de gran tama o (de 1/1,8“, 1/2“ y 2/3“). Gracias a la alta calidad de imagen, con una resolución de hasta 4K, cada lente capta todos los detalles y ofrece imágenes nítidas incluso en condiciones de poca luz."

"Las cámaras de control de movimiento 'marca de la cámara' ofrecen un control total de lo que usted elija ver y el nivel de zoom que use para identificar objetos a grandes distancias sin importar el movimiento."

"Permita a su personal enviar vídeo en directo desde sus smartphones, dondequiera que estén permitiendo a su personal enviar vídeo en vivo desde la cámara del dispositivo directamente a su solución 'nombre', la app 'nombre' Mobile proporciona al operador en el centro de control, inmediato conocimiento de los incidentes independientemente de donde ocurran."

"Controla tu hogar/negocio desde tu smartphone".

* *

Digitalización de las cámaras

Las cámaras tanto fotográficas como de vídeo han experimentado una gran evolución, tanto de la óptica como del silicio. Las cámaras cada vez disponen de mayor resolución a menor precio, han pasado de ser analógicas a digitales, han disminuido en tamaño y, para terminar, se les ha dotado de una dirección IP.

No hay más que echar un vistazo a los anuncios con los que se abre este artículo, en los que distintos fabricantes exponen las bondades de sus productos. Mientras que el primero se centra en las propiedades o características ópticas, los dos últimos ya están haciendo una referencia clara a sus propiedades digitales y su conexión a Internet, por medio de la cual intercambiar información.

Debido a esta evolución, las cámaras están por todas partes. Vivimos rodeados de ellas, desde lo más cercano en nuestros ordenadores y otros dispositivos que llevamos encima -teléfonos o elementos para llevar puestos (wearables)-, hasta lo más lejano, como las cámaras de los satélites, pasando por las colocadas en las casas para vigilar la presencia de posibles intrusos; las que custodian -en el exterior o desde dentro- edificios públicos y empresas; las colocadas en las carreteras -cámaras de tráfico-; e, incluso, las nos observan desde un dron.

Las cámaras de vigilancia son elementos que están con nosotros desde hace ya más de una década, y es algo a lo que nos hemos acostumbrado. Pero si al principio sólo servían para vigilar el acceso a ciertos sitios (bancos, museos, hospitales, etc) ahora sería posible hacer un seguimiento de cualquiera que, en una gran ciudad, se desplazase andando o en un medio de transporte, público o privado: "Se encuentra en una zona vídeo-vigilada, por su propia seguridad", nos recuerdan en las estaciones del suburbano.

La revista "Dealer world" publicaba el pasado 14 de junio la noticia[i] de la presentación que tendría lugar, del 21 al 23 de dicho mes, en la feria IFSEC, de una solución de seguridad en la que cooperaban varias empresas: Canon, empresa de cámaras; Intelico, empresa de software que ofrece una aplicación de reconocimiento de matrículas de automóviles; Ipsotek, que aporta un software para el análisis de vídeo y reconocimiento facial; y por último, Digital Barriers que proporciona tecnología inalámbrica. Es decir, la digitalización -entendida como la aplicación de cuanto gira en torno a las Tecnologías de la Información-, ha llevado a dotar de unas funciones muy potentes a los sistemas de vigilancia.

Las cámaras, a la vista del segundo anuncio mostrado al principio del artículo, se pueden manejar a distancia para dirigirlas a un punto determinado, seguir un objetivo en movimiento, o aumentar o disminuir la zona a enfocar. Las cámaras recogen imágenes que son enviadas por medio de tecnología de comunicaciones -cableada o inalámbrica- a un ordenador, dónde son tratadas por un determinado software.

Y las cámaras no siempre están fijas. Por ejemplo las de tráfico colocadas en vehículos policiales. O las que incorporan los tel fonos móviles, que en alguna situación también pueden servir para recoger imágenes y enviarlas - siguiendo el mensaje recogido en el tercer anuncio de los mostrados arriba-.

Más novedoso, aún, resulta el caso de los drones dotados de sus propias cámara con las que sobrevuelan un área determinada. La empresa israelí, Airobotics[ii] acaba de presentar una unidad completamente autónoma que avisa cuando su cámara detecta que algo no va bien y que vuelve a la base cuando se le acaban las baterías, donde le son sustituidas, también de forma automatizada, por otras nuevas (cargadas). Sólo falta acompañar estos nuevos dispositivos y funcionalidades de la regulación correspondiente.

Los centros comerciales nos vigilan

Las imágenes digitalizadas pueden ser tratadas y utilizadas para muchos fines: controlar el acceso a áreas restringidas; investigar delitos; realizar, mediante el fotografiado del planeta, los pronósticos meteorológicos o detectar/predecir la formación de fenómenos naturales destructivos, cartografiar el planeta, como lleva haciendo la empresa Google en los últimos años, cuyos algoritmos de tratamiento de imágenes han sido actualizados recientemente [iii]; o, por qué  no, saber qué  pasos damos en un centro comercial, dónde nos paramos, y, según nuestros gustos, presentarnos ofertas personalizadas. 

Hoy, gracias a los sistemas de reconocimiento facial, es factible la utilización de cámaras de videovigilancia en los centros comerciales para seguimiento del movimiento de los clientes. Ello, unido al seguimiento de la ubicación de los dispositivos móviles que aquellos llevan, a la recogida de la información que generan sus conexiones a redes WiFi o BlueTooth, a la información sobre lo que han comprado, cuánto se han gastado y cómo suelen comprar; permite obtener perfiles bastante precisos de cada cliente.

Según señala el investigador en ciberseguridad y directivo español Chema Alonso, en un artículo[iv] de su blog "Un informático en el lado del mal", "seguir un dispositivo móvil es tan sencillo como poner puntos de acceso WiFi que vayan reconociendo las direcciones MAC[v] de las peticiones de búsqueda de redes WiFi, pero también vale con sniffers[vi] que escuchen el tráfico de red para ver dónde están siendo emitidos los paquetes." 

Continúa el artículo de Alonso explicando que la información capturada de los paquetes que componen el tráfico de una red es especialmente significativa, ya que un terminal emite dichos paquetes en busca de las redes que conoce, adjuntando a cada uno de ellos el nombre de las mismas. Así, si una persona guarda en el historial de su dispositivo una lista de varias de estas redes (la del trabajo, la de casa, la de un amigo o la de un familiar), estará enviando en esos mensajes todos esos datos, permitiendo que el centro comercial los pueda asociar a su dirección MAC, su tipo de dispositivo móvil, junto con el resto de información ya obtenida por otros medios, como su propia imagen obtenida con las cámaras de vigilancia.

¿Seguridad o inseguridad? : LOPD

Se presupone que las cámaras de vigilancia tienen por objeto la seguridad. ¿Pero, la seguridad de quién o de qué?

Como ya se ha apuntado, hoy es posible recoger información de cualquier ciudadano, mediante la captación y posterior reconocimiento de las imágenes obtenidas: información de los sitios que se han visitado, información de la actividad que se ha realizado, etc 

Á este respecto, la Agencia Española de Protección de Datos (AEPD) recoge en su "Guía de Videovigilancia"[vii] "la videovigilancia permite la captación, y en su caso la grabación, de información personal en forma de imágenes. Cuando su uso afecta a personas identificadas o identificables esta información constituye un dato de carácter personal a efectos de la aplicación de la Ley Orgánica 15/1999, de 13 de diciembre de protección de los datos de carácter personal (LOPD)." En el mismo documento puede leerse "es evidente, y así lo ha subrayado en distintas sentencias el Tribunal Constitucional, que la videovigilancia es un medio particularmente invasivo y por ello resulta necesaria tanto la concurrencia de condiciones que legitimen los tratamientos como la definición de los principios y garantías que deben aplicarse."

Consecuentemente, la manipulación inadecuada de imágenes puede atentar contra la intimidad de las personas, requiriéndose que la recogida, uso y tratamiento de aquellas deban estar sujetos a la ley.

En su artículo 6.1, la LOPD dispone que “el tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa”. Este consentimiento deberá ser, conforme a lo dispuesto en el artículo 3 h) “libre, inequívoco, específico e informado,"[viii] . 

Esto merece alguna reflexión:

1- Libre: sí, somos libres de ir a un sitio u otro; de entrar en un centro comercial o no; de ir por una calle determinada; de coger un medio de transporte u otro; etc. Sin embargo, de lo que no somos libres es de impedir que las múltiples cámaras que hay en cualquiera de esos lugares nos grabe. Por tanto el consentimiento se hace tácito al pasar por la zona de grabación de la cámara.

2- Inequívoco y específico: no puede ser "inequívoco" ni "específico" un consentimiento no solicitado, que, como ya se ha dicho en el punto 1, se supone tácito.

3- Informado: no puede ser "informado" ya que lo único de lo que se informa -si se hace- es de que vamos a ser grabados. Pero ¿para qué? ¿Cómo se van a utilizar esas imágenes? ¿Sabemos quién las va a utilizar?

La guía publicada por la AEPD ha pretendido venir a despejar estas, y otras, dudas aclarando "cuándo deben aplicarse las normas sobre protección de datos a los tratamientos de imágenes" y con el fin "de ofrecer indicaciones y criterios prácticos que permitan el adecuado cumplimiento de la legislación vigente en todos los casos". 

La inseguridad de tener IP

Hoy las cámaras están conectadas a servidores de Internet lo que les permite comunicarse con otros ordenadores, o dispositivo en general, a los que envían los datos (imágenes) recogidos y desde los que pueden recibir instrucciones. Las imágenes recibidas, a su vez, se guardan y/o se tratan.

Todo esto requiere reparar en el hecho de que personas no autorizadas puedan hacerse con los datos (imágenes) en la propia cámara, mediante los datos en tránsito, o, finalmente, en el propio ordenador, donde aquellos pueden estar albergados, según ley, por un período máximo de un mes.

El que las cámaras se puedan manipular a distancia es un hecho, que se ve favorecido por estar dotadas de una dirección IP, lo cual sirve a su vez de reclamo comercial, como señalaba el cuarto de los anuncios reproducidos al principio de este artículo. Pero se trata de un arma de doble filo: de igual modo que el propietario legítimo de la cámara, y sus imágenes, puede manejarla a distancia, incluso con su dispositivo móvil, de la misma manera personas no autorizadas podrán intentar hacerlo.

En el enlace de la novena cita[ix] mostrada al final de este artículo se muestra paso a paso -a efectos meramente educativos- cómo hackear una CCTV. Se sugiere incluso que si el administrador ha cambiado el usuario y la contraseña por defecto, se podrá utilizar herramientas alternativas para conseguir el acceso.

La finalidad de una acción de manipulación indebida de una cámara puede ser la propia cámara, con el fin de hacer que no funcione correctamente, o bien, la red de comunicaciones de la que la cámara forma parte de manera que ésta sirva de puerta de entrada a la red de la empresa. Una vez conseguido el acceso irregular a esta red, un posible atacante estaría en disposición de distribuir código dañino, robar o corromper datos albergados en algún servidor corporativo, etc.

Una situación como la descrita quedaba reflejada en el artículo[x] que el pasado 27 de junio publicaba la empresa SucuriSecurity en su blog. En el mismo se describía cómo se había producido un ataque de denegación distribuida de servicio (DDoS). Mediante una botnet formada por veinticinco mil cámaras de circuito cerrado de televisión repartidas por varios países, se inundaron las páginas web objetivo con hasta 50.000 peticiones HTTP por segundo, lo que produjo el colapso y la inutilización de dichas páginas.

La seguridad de las cámaras no es un asunto baladí.

* *

Para terminar, unas palabras del sociólogo belga Armand Mattelart en la presentación de su libro "La sociedad vigilada", que tuvo lugar el 4 de mayo del 2009 cátedra UNESCO de Comunicación de la Universidad de Málaga:

Antes, el ser fichado era un signo de la delincuencia y hoy no estar fichado es sospechoso, uno esta fichado por la salud, la educación, ... todos los sectores de la vida."[xi] 

* * * 

Este artículo fué publicado originalmente por @PuntoSeguridad.com/"Cuadernos de Seguridad", septiembre,2016, nº 314, pg.60, Ciberseguridad – "Cámaras digitales: ¿La seguridad insegura?" – María José de la Calle.

-------------------------------------------

[i] "Digital Barriers, Ipsotek, Intelico y Canon presentan soluciones verticales de seguridad", 14 Jun, 2016. Dealer World. url [a 5-07-2016] http://www.dealerworld.es/seguridad/digital-barriers-ipsotek-intelico-y-canon-presentan-soluciones-verticales-de-seguridad   

[ii] "Una fabricante israelí presenta los primeros drones 100% autónomos", 21 Jun, 2016, ElEconomista.es. url [a 5-07- 2016] http://www.eleconomista.es/tecnologia/noticias/7653034/06/16/-Una-fabricante-israeli-presenta-los-primeros-drones-100-autonomos.html 

[iii] "Keeping Earth up to date and looking great", 27 Jun, 2016. Google Maps. url [a 5-07-2016] https://maps.googleblog.com/2016/06/keeping-earth-up-to-date-and-looking.html 

[iv] Chema Alonso, 21 Sept, 2014. "Cómo te espía tu centro comercial por WiFi y BlueTooth". Blog "Un informático en el lado del mal". url [a 5-07-2016] http://www.elladodelmal.com/2014/09/como-te-espia-tu-centro-comercial-por.html 

[v] url [a 5-07-2016] https://es.wikipedia.org/wiki/Direccion_MAC  

[vi] url [a 5-07-2016] https://es.wikipedia.org/wiki/Deteccion_de_sniffer 

[vii] url [a 5-07-2016] https://www.agpd.es/portalwebAGPD/canaldocumentacion/publicaciones/common/pdfs/guia_videovigilancia.pdf 

[viii] url [a 5-07-2016] https://www.agpd.es/portalwebAGPD/canaldocumentacion/informes_juridicos/cesion_datos/common/pdfs/2009-0624_Publicaci-oo-n-en-revista-de-foto-ganadora-de-concurso-con-im-aa-genes-de-personas.-No-necesidad-de-consentimiento.pdf 

[ix] Utkarsh Wadhwa. "How to hack Private CCTV Cameras". Mighty Shouts. url [a 5-07-2016] http://www.mightyshouts.com/cctv-cameras/ 

[x] Daniel Cid, 27 Jun, 2016. "Large CCTV Botnet Leveraged in DDoS Attacks". Sucuri Blog. url [a 5-07-2016] https://blog.sucuri.net/2016/06/large-cctv-botnet-leveraged-ddos-attacks.html 

[xi] A.J.L pez, 5 May, 2009. "La Humanidad accederá a la tecnología porque hay que tenerla vigilada". Sur.es. url [a 5-07- 2016] http://www.diariosur.es/20090505/sociedad/humanidad-accedera-tecnologia-porque-20090505.html 

 

Los medios de transporte ya tienen IP

Wednesday, 31 August 2016 Maria Jose de la Calle Posted in iTTi Views

Un tweet un poco aciago

Chris Roberts, el autor de este tweet, es un investigador en temas de seguridad quien, como tantos otros, identifica vulnerabilidades en los sistemas y avisa a las empresas para que las subsanen. En este caso, tan sólo envió  este tweet desde un avión en vuelo, bromeando sobre la posibilidad de envío de mensajes de alertade seguridad a la tripulación (EICAS - Engine Indicator Crew Alert System), por ejemplo, activar las mascarillas de oxígeno, todo esto a través del sistema de comunicaciones para los pasajeros[i]. 

Esto provocó que en el aeropuerto de destino lo estuviera esperando el FBI, acusándolo de haber entrado en los sistemas de comunicaciones del avión, y quitándole su ordenador y demás dispositivos. Al parecer, este no era su primer tweet acerca de la seguridad en los aviones, Chris llevaba ya varios años avisando de las vulnerabilidades en los aviones, como en este otro tweet[ii] suyo, simplemente fue una mala idea la manera en que quiso concienciar acerca del problema. 

La IP en los aviones

En dicho vuelo Chris no accedió a las red privada de vuelo, pero, según WIRED[iii], en otros anteriores sí se había conectado más de una docena de veces a puertos de la red situados debajo de su asiento, pudiendo rastrear el tráfico de la red y descubriendo, así, vulnerabilidades.

Resulta sorprendente que se pueda tener acceso físico a la red por medio de conectores colocados debajo de los asientos de los pasajeros. Esto contraviene una de las más básicas medidas de seguridad que esproteger el acceso físico a un sistema.

La seguridad física se entiende como la prevención de accesos no autorizados a recursos, por ejemplo el acceso a servidores, manteniendo estos "bajo llave" y controlando y monitorizando su acceso. Esto se incumple claramente con la mala práctica de colocar conectores a la red debajo de los asientos de los viajeros. ¡A quién se le va a ocurrir meter la mano debajo del asiento!

El tweet tuvo como consecuencia, aparte de la detención de Chris, una serie de artículos que, tomándolo como excusa, sirvieron para tratar, por una parte, el poco caso que algunas empresas hacen de los avisos que WhiteHat-hackers (hackers bienintencionados) realizan sobre vulnerabilidades en productos o sistemas, como, entre otros, el artículoiv "Hacker’s Tweet Reignites Ugly Battle Over Security Holes", publicado por Wired. 

Y por otra parte, sobre las ciber-amenazas en la aviación comercial, como "Did The Aviation Industry Fail Cybersecurity 101?"[v], en el que se destaca la necesidad del principio de la ciber-seguridad desde el diseño de los componentes, en vez de ir poniendo capas de seguridad, después de que los sistemas estén funcionando, y recuerda la seguridad física como una de las primeras medidas de la seguridad en los sistemas. 

El informe GAO

Pero, ¿qué es lo que ha cambiado para que se produzca tanto revuelo en cuanto a la ciber-seguridad en la aviación? Una buena pista la podemos encontrar en un informe[vi] que la "Government Accountability Office" de Estados Unidos publicó  una semana previa al incidente de Chris Roberts y su tweet, en el que dibujaba posibles escenarios de ciber-ataques en los aviones modernos y en el nuevo sistema de control del tráfico aéreo -ATC, Air Traffic Control- en EEUU conocido como "NextGen".

Hasta hace relativamente poco, los sistemas que componían el control del tráfico aéreo se comunicaban a través de redes dedicadas punto a punto y el avión tenía una comunicación terrestre con las torres de control, y su posición se conocía a través de radares. Además, el sistema de control de vuelo constituía un sistema aislado al que no se podía acceder desde el exterior, sistema cerrado a especialistas. 

Esta situación, como en casi todos los sectores de la industria, ha ido cambiando a sistemas integrados de información y distribución de la misma, comunicaciones digitales entre todos los elementos del sistema, los controladores y los pilotos, y tecnología de vigilancia y navegación por satélite, o GPS -Global Positioning System-. Todo ello hace que el sistema de control de tráfico aéreo tenga una serie de nuevos riesgos y aumenten las posibilidades de ciber-ataques. 

Por ejemplo, la conexión WI-FI a Internet para los pasajeros dentro del avión es una puerta entre el avión y el mundo exterior. Si la red Ethernet del avión es compartida tanto por los pasajeros como por los sistemas de navegación, y todo conectado al mismo router, tal y como se puede ver en la figura-4 del informe citado, el riesgo de accesos no autorizados a dichos sistemas es muy alto, a pesar del firewall que se pueda poner a la entrada de los sistemas de navegación. Esto sucede, por ejemplo en el Boeing 787 y en los Airbus A350 y A380. 

Un malware introducido en una página web visitada por un pasajero puede ser la puerta de entrada a un acceso no autorizado, o una conexión física en el asiento de un pasajero a la red del avión, caso ya explotado, con fines simplemente de investigación, por Chris Roberts. 

Tanto desde dentro del avión como desde fuera, por medio de la conexión a Internet del avión, se podría tomar control del vuelo, poner malware en los sistemas, tomar control de los sistemas de alerta de la tripulación, y, en general poner en peligro físico el avión como tal, al hacerse con el control de sus ordenadores.

De hecho, parece que algunos aviones están preparados para que se pueda tomar control desde tierra en caso de una emergencia, según la CNN en "GAO: Newer aircraft vulnerable to hacking"[vii], aunque esta tecnología parece que aún está lejos de ser segura. 

La digitalización del control del espacio aéreo en Europa

Esta modernización -o más bien digitalización- del sistema de control del espacio aéreo no es exclusiva de EEUU. En Europa hay en marcha otro proyecto denominado SESAR (Single European Sky ATM -Air Traffic Management- Research), cuyo plan de desarrollo está detallado en el documento "European ATM Master Plan"[viii]. 

Para cumplir con el objetivo de un sistema de gestión del tráfico aéreo en Europa sostenible y competitivo, el plan contempla un soporte a la automatización, con la implementación de tecnologías de virtualización así como el uso de sistemas interconectados, interoperables y estandarizados. La infraestructura del sistema evolucionará gradualmente hacia una tecnología digitalizada.

Todo esto supone unos riesgos tecnológicos que el documento recoge en el punto "5.5.4 Cybersecurity", exponiendo su preocupación tanto por el tema de la interconectividad como por el de la interoperabilidad.

La interconectividad y la integración entre distintos actores -aeropuertos, aerolíneas, etc.- supone una mayor superficie de ataque. Al estar todo conectado, entrando por una vulnerabilidad de un sistema, sería posible alcanzar cualquier otro punto de otro sistema conectado.

La interoperabilidad llevaría a un incremento en el uso de componentes estándar que daría lugar a una pérdida de diversidad e incrementaría la probabilidad de introducir vulnerabilidades ya conocidas en el sistema.

Por ello aconseja tratar el tema de la ciber-seguridad desde el diseño, en lugar de esperar a que los sistemas estén funcionando, reconociendo que la ciber-seguridad no es un tema estático, sino que evoluciona con la sofisticación de los atacantes y con los cambios en los sistemas que introducen nuevas vulnerabilidades. 

Otros medios de transporte

No sólo los sistemas de la aviación se han apuntado a la conectividad IP, ya conocemos la conectividad de los automóviles para proveer servicios al conductor y las noticias sobre vulnerabilidades en sus sistemas. Una de las últimas -The Hacker News[ix] la publicó el pasado 6 de junio- tiene que ver con el Mitsubishi Outlander. Según la noticia, un experto en seguridad ha encontrado una vulnerabilidad en su sistema WI-FI que permitiría acceder remotamente al vehículo y desconectar sus sistema de alarma para poder robarlo. En el mismo artículo hay enlaces a noticias como que "Hackers encuentran una manera para desconectar el sistema de airbags". Quien dice automóvil, dice autobuses o camiones de transporte. 

Los medios de transporte de personas y mercancías, y las redes que los soportan tienen un gran importancia. Por esto tienen un tratamiento especial y son considerados como "Infraestructuras críticas (IC)".

Según la UE, IC se considera "cualquier activo, sistema o parte de ello localizado en un estado miembro el cual es imprescindible para el mantenimiento de las funciones sociales, salud, seguridad en personas y cosas, economía o bienestar de las personas, cuya interrupción, alteración o destrucción tendría un impacto significativo en el estado miembro como resultado del fallo en el mantenimiento de tales funciones"[x]. 

La UE está trabajando en que las redes de transporte sean más eficientes y sostenibles. Para ello ha definido una serie de programas dentro de lo que llama "Sistemas de transporte inteligente o ITS -Intelligent transport systems-", que define como la aplicación de las tecnologías de la información y las comunicaciones al transporte, para mejorar sus niveles de servicio y eficiencia. Dentro de esto están incluidos todos los medios: transporte por carretera, tren, marítimo y, por supuesto, aéreo ya comentado.

¿Pero ganaremos en seguridad? ¿O lo que se gana por tener un control más exhaustivo de las redes de transporte se pierde por el tema de la inseguridad de los sistemas digitales y las redes de interconexión?

Conclusión

Considerando que poco a poco cada vez más cosas están conectadas a Internet y por tanto entre sí, desde los coches a los aviones y los trenes, las carreteras y las vías de los trenes, la ropa que llevaremos en un futuro o el medidor de nuestras constantes vitales, parece que va a haber muchas infraestructuras críticas, ya que un fallo de ciber-seguridad puede paralizar en muchas cosas alguna de las funciones consideradas críticas para una sociedad.

Sería importante considerar dotar a cualquier sistema que se vaya a conectar de todas las medidas de seguridad que se conozcan y sean pertinentes; y no poner trabas por perder el control sobre, por ejemplo los cifrados fuertes en las comunicaciones de los ciudadanos; o no permitir publicidad en nuestros sistemas porque pueden traer malware.

¿A quién o quienes les interesa este mundo cada vez más inseguro? ¿Por qué no se hace nada para que la tecnología nazca segura?

Debemos impedir que se haga realidad el título de un artículo de "El País" del pasado 29 de mayo: “En 2020 ya no podremos proteger nuestras redes frente a los ataques”[xi].

Más que nada es que los transportes no tripulados ya constituyen una realidad: aviones, es decir, drones; automóviles, los de Google y Tesla, por ejemplo; trenes, que según el artículo de El Mundo titulado "Europa quiere trenes 'sin conductor'"[xii], los trenes del metro de Madrid y Bilbao realmente ya funcionan sin conductor, el cual está presente sólo para tranquilidad del usuario; y barcos, como el Relationship de 1998, que según un artículo[xiii] de Der Spiegel reproducido por El País, dicho barco -un trimarán de 11 metros- estaba gobernado por un ordenador a bordo que manejaba las velas, el timón y trazaba su trayectoria, y desde un centro de control en Alemania vigilaban su ruta con cámaras de vídeo y satélite. 

* * *

Este artículo fué publicado originalmente por @PuntoSeguridad.com/"Cuadernos de Seguridad", julio-agosto,2016, nº 313, pg.80, Ciberseguridad – "Los medios de transporte ya tienen IP" – María José de la Calle.

-----------------------------------

[i] Una explicación detallada del significado de este tweet la podemos encontrar en la siguiente url [a 9-06-2016] https://news.ycombinator.com/item?id=9402667     

[ii] url [a 9-06-2016] https://twitter.com/Sidragon1/status/589050973504536576 

[iii] Kim Zetter, 21, Abr, 2015. "Feds Warn Airlines to Look Out for Passengers Hacking Jets". WIRED. url [a 9-06-2016] https://www.wired.com/2015/04/fbi-tsa-warn-airlines-tampering-onboard-wifi/ 

[iv] Kim Zetter, 21, Abr, 2015. "Hacker’s Tweet Reignites Ugly Battle Over Security Holes". WIRED. url [a 9-06-2016] https://www.wired.com/2015/04/twitter-plane-chris-roberts-security-reasearch-cold-war/ 

[v] Lane Thames, 23, Jun, 2015. "Did The Aviation Industry Fail Cybersecurity 101?". Tripwire/ The State of Security. url [a 9-06-2016] http://www.tripwire.com/state-of-security/security-data-protection/cyber-security/the-aviation-industry-did-they-fail-cybersecurity-101/ 

[vi] Gerald L. Dillingham, Ph.D., Gregory C. Wilshusen, Nabajyoti Barkakati Ph.D., Abr, 2015. "Air Traffic Control. FAA Needs a More Comprehensive Approach to Address Cybersecurity As Agency Transitions to NextGen". United States Government Accountability Office, GAO-15-370. url [a 9-06-2016] http://www.gao.gov/assets/670/669627.pdf 

[vii] Matthew Hoye and Rene Marsh, 15, Abr, 2015. "GAO: Newer aircraft vulnerable to hacking". CNN. url [a 9-06-2016] http://edition.cnn.com/2015/04/14/politics/gao-newer-aircraft-vulnerable-to-hacking/ 

[viii] "European ATM Master Plan. Executive View - Edition 2015". Luxembourg: Publications Office of the European Union, 2015. url [a 9-06-2016] http://ec.europa.eu/transport/modes/air/sesar/doc/eu-atm-master-plan-2015.pdf 

[ix] Swati Khandelwal, 6, Jun, 2016. "Mitsubishi Outlander Car's Theft Alarm Hacked through Wi-Fi". The Hacker News. url [a 9-06-2016]  http://thehackernews.com/2016/06/mitsubishi-car-hacking.html? 

[x] Directiva europea 2008/114/EC del Consejo, de 8 de diciembre de 2008, sobre la identificación y designación de infraestructuras críticas europeas y la evaluación de la necesidad de mejorar su protección. url [a 9-06-2016] http://eur-lex.europa.eu/legal-content/ES/TXT/?uri=uriserv%3Ajl0013 

[xi] Beatriz Guillén, 29, May, 2016. "En 2020 ya no podremos proteger nuestras redes frente a los ataques". El País. url [a 9-06-2016] http://tecnologia.elpais.com/tecnologia/2016/05/06/actualidad/1462550216_094378.html 

[xii] Eugenio Mallol, 26, Sept, 2015. "Europa quiere trenes 'sin conductor'". El Mundo. url [a 9-06-2016] http://www.elmundo.es/economia/2015/09/21/55ffdcc9268e3e8d088b4585.html 

[xiii] Der Spiegel , 7, Jun, 1998. "Un barco sin piloto hará escala en Canarias en su vuelta al mundo". El País. url [a 9-06- 2016] http://elpais.com/diario/1998/06/07/sociedad/897170405_850215.html 

 

Seguridad digital 2025

Monday, 25 July 2016 Miguel Garcia-Menendez Posted in IT Consequences

El reto

¿Cómo será la seguridad ligada al [mal] uso de los ordenadores dentro de diez años?“. ¡Guau! Sin duda, todo un reto, que la amplitud y profundidad del asunto  -por cuanto en él cabe-  hacen, aún, más complejo. Y eso por no hablar de la suerte que, para entonces, habrá corrido el sustantivo “ordenador”  -“computadora” en otras geografías hermanas-  dada la velocidad con la que todo tipo de “cosas” computadorizadas se están incorporando a la actividad diaria de organizaciones e individuos, lo que provoca que el sentido tradicional del referido vocablo se desdibuje a cada minuto que pasa. Pero esa, afortunadamente, es otra historia.

El entrecomillado con el que se inicia el párrafo anterior reproduce el “sencillo” encargo recibido desde la Dirección de “Novática” para la redacción de este artículo. Elucubrar sobre los acontecimientos que sucedan más allá del presente no parece que haya sido nunca una ciencia exacta y, por tanto, cualquier afirmación hecha a futuro podrá ser puesta en entredicho cuando dicho futuro se alcance. 

Novática” ya tuvo este mismo atrevimiento hace quince años. Entonces, cuando la revista cumplía su vigesimoquinto año de vida acercando la realidad informática a todos los miembros de la familia ATI, reunió a un grupo de profesionales a los que encomendó la tarea de esbozar un escenario localizado veinticinco años más adelante en el tiempo: en 2025. Ahora, recientemente, ha vuelto a hacerlo con motivo del cuadragésimo aniversario de la revista, que se acaba de celebrar. 

Como le decía, el presente artículo hereda ese mismo mandato y ese mismo espíritu, en un reto que se antoja -al menos, aparentemente- menor, si se considera que la solicitud requerirá aventurarse “sólo” diez años en el futuro. De nuevo, para situarse en 2025. 

En cualquier caso, estamos a sólo una década de comprobar las capacidades predictivas de unos y otros autores, incluido un servidor. 

Seguridad, ¿qué seguridad?

Puede parecer absurdo, pero la primera duda que surge a la hora de comenzar a jugar a predecir el futuro tiene que ver con una cuestión relacionada con el lenguaje: ¿qué denominación adoptar? Los puristas defenderán con uñas y dientes los matices que diferencian los diversos calificativos que, a lo largo del tiempo, han ido recibiendo las actividades, las técnicas, etc., relacionadas con la mitigación de los peligros asociados al uso (incluido, especialmente, el mal uso) de los ordenadores por parte de organizaciones e individuos: seguridad informática, seguridad de la información, ciberseguridad, etc.

La firma de análisis de mercado Gartner ha aportado, recientemente, su granito de arena a este debate y, bajo su programa “Smarter with Gartner” (Más Inteligente con Gartner), ha abogado por un universo de múltiples “seguridades”: la física; la de las Tecnologías de Operación (TO), propias de los entornos industriales; la de las Tecnologías de la Información (TI), propias de los entornos corporativos; la de la información (a secas); la de la Internet de las Cosas (IoT, del inglés “Internet of Things”); o, simplemente, la de naturaleza cibernética. Según la consultora estadounidense, todas ellas quedan, hoy, amparadas bajo el paraguas general que conforma la seguridad digital[i]. 

Esa creciente toponimia de la seguridad hace difícil adivinar cuál será el término al uso dentro de una década. Pocos se opondrán, hoy, a identificar “cyber” (ciber) como el prefijo del momento; razón por la que se ha descartado para la cabecera de este artículo. Propuestas anteriores -el caso de “InfoSec” (InfoSeg), por ejemplo, puede servir de paradigma- han tenido también su momento de gloria que, sin embargo, parece haber pasado. Eso es lo que hace pensar que “ciber” ya no será el término de moda en 2025. Más al contrario, va camino de “quemarse” mucho antes, si no está chamuscado ya en este momento, como también comienzan a señalar otras voces[ii]. No obstante, piensen los nostálgicos  -mal de muchos, …-  que no es el único término en peligro; otros, como, “governance” (gobernanza/gobierno) o el propio “digital”, elegido, finalmente, para el título de este artículo, están amenazados del mismo uso y abuso. (El caso de “ordenador” ha quedado, ya, explicado). 

En cuanto a “digital”, si bien ocupa también, como acaba de señalarse, las portadas de todo cuanto se publica en estos días en materia tecnológica, parece que aplicado a la seguridad ha disfrutado hasta ahora sólo de un corto recorrido, lo que podría darle, aún, posibilidades de desarrollo futuro. Por eso ha sido el término elegido en esta ocasión. 

Incluso la Organización para la Cooperación y el Desarrollo Económico (OCDE) ha optado por hablar de riesgos para la “seguridad digital” en su reciente revisión[iii] de la “Recomendación del Consejo relativa a las Directrices de la OCDE para la seguridad de los sistemas y las redes de información: Hacia una cultura de la seguridad”, publicada originalmente en 2002. Reconforta saberlo, por cuanto ello parece avalar la primera apuesta futurista que se desliza en este artículo.

Pero, realmente, ¿seguridad o resiliencia?

La seguridad, con todas sus tradicionales -milenarias- connotaciones, es un término demasiado asentado como para que uno pueda temer por su desaparición (a diferencia de lo que, presumiblemente, ocurrirá, más pronto que tarde, con los ejemplos anteriormente mencionados). Pero, por encima del debate léxico, lo verdaderamente relevante es que, cada vez más, nos adentramos en una época de total desconfianza. Estamos ante un panorama desalentador en el que ya se oyen algunas voces que comienzan a plantear hasta qué punto merece la pena sumirse en la transformación digital, dadas las penalidades cibernéticas que las organizaciones sufren día tras día[iv]. 

Casos como el del fabricante de juguetes Vtech[v] que el pasado noviembre sufrió un acceso no autorizado a su tienda virtual de aplicaciones, comprometiendo datos personales, tanto de niños (nombres, fechas de nacimiento, sexo), como de sus padres (nombres, direcciones electrónicas y postales, contraseñas, etc.); o el más reciente descubrimiento de debilidades en productos de su competidor Fisher-Price[vi], susceptibles de causar similares consecuencias, son una muestra de hasta dónde [los malos] están dispuestos a llegar y de nuestra propia fragilidad, contribuyendo al consenso generalizado sobre el hecho de que nadie está libre, ya, de semejante lacra. 

Abusando del tópico, lo cual no lo hace menos cierto, la conclusión pasa por reconocer, una vez más, que la seguridad plena resulta inalcanzable. Y por pensar que, dado que la seguridad nunca será resuelta, a cambio, habrá de ser administrada. Esto se traduce en un cambio de paradigma en el que se está abandonando un enfoque para la seguridad basado en ‘la prevención y la protección’, para abrazar otro nuevo, fruto de una cierta resignación, que se apoya en ‘la detección y la corrección’ (incluidas la respuesta y la recuperación). ¡Un obligado cambio de modelo que se acentuará en los próximos años! 

Toma sentido, de este modo, el objetivo básico por el que ha de moverse toda empresa: perdurar en el tiempo  -priorizar cualquier otra meta resultaría absurdo a partir del incumplimiento de esa condición básica-. Y, en el escenario descrito, la seguridad se antoja insuficiente como garantía de esa perdurabilidad. En su lugar, el nuevo fetiche se denomina resiliencia[vii]. 

Apuestas arriesgadas

No todas lo serán y, probablemente, no todas lo serán tanto; pero traspasado el umbral de los primeros atrevimientos  -pronosticar la desaparición del prefijo “ciber”, el efecto “freno” de la inseguridad sobre la actual corriente digitalizadora o el cambio de paradigma desde “seguridad” hacia “resiliencia” (que no resulta nuevo, en todo caso)-  llega el momento de cumplir verdaderamente el encargo y enumerar algunas otras tendencias -que lo son hoy y, previsiblemente, lo serán en 2025-. 

Desafíos globales

En primer lugar, y a fin de contextualizar los grandes retos que le esperan a nuestro planeta en la próxima década, cabe mencionar al Foro Económico Mundial que en su último informe sobre riesgos globales[viii] destaca la escasez de recursos esenciales -particularmente, agua y otros alimentos-, las consecuencias del cambio climático y otros eventos meteorológicos extremos, y la inestabilidad social, entre los riesgos más preocupantes. Paralelamente, la firma McKinsey apunta, también, a factores demográficos al identificar algunas de las fuerzas globales que estarían redibujando el sistema operativo de la economía mundial[ix]: la creciente urbanización (con la consiguiente migración desde las zonas rurales a las ciudades, especialmente, en determinados países emergentes) y el envejecimiento de la población. McKinsey no olvida, sin embargo, la digitalización y la globalización favorecida por esa misma digitalización y por el desarrollo de las redes de telecomunicaciones, al enumerar las fuerzas motrices del nuevo contexto económico mundial. 

Si bien no se trata, a priori, salvo en los últimos casos, de retos directamente relacionados con ‘lo digital’, sí pueden ser motivo todos ellos de algunas otras amenazas claramente ligadas a lo tecnológico. Amenazas que vemos hoy y seguiremos viendo en los próximos años: guerras (del agua u otras, incluido el terrorismo), con su traslación al ciberespacio; aumento de la brecha digital entre colectivos de población por razón de su origen geográfico, o edad, que pueden suponer pérdida de oportunidades (incluido el empleo) para el desarrollo personal y profesional; ‘hacktivismo’ reivindicativo de carácter político o social; ciberdependencia y la consiguiente ciberdebilidad/ciberexposición (entre otras, al aumento del desempleo, de nuevo) de las sociedades más tecnificadas; etc. 

Ciberestrategias

El carácter global de gran parte de las problemáticas expuestas hasta aquí justifica, en una importante medida, la mayor preocupación que hoy existe entre los estados -frente al caso de las empresas-  por lo que podría denominarse “la problemática ‘cíber’”. Hoy, uno de cada cuatro estados dispone, o está en vías de hacerlo, de una ciberestrategia[x]. Es de esperar que para 2025 sean alguno más. 

Por el contrario, diríase sin temor a errar que el número de empresas que estarían en disposición de declarar que disponen de una estrategia tal dista mucho del 25% del censo total mundial. Por tanto, será deseable, también, que esta cifra crezca a lo largo de la década que comienza.

Asimismo, confiemos en ver algún otro país abanderando una estrategia internacional de ciberseguridad (además de los EEUU[xi]). No parece muy coherente seguir planteando estrategias nacionales en un espacio sin fronteras como es, de momento, el ciberespacio. (Por cierto, como no lo parece promover mercados únicos digitales circunscritos a un continente). 

Derecho a la intimidad

Sin abandonar el ámbito gubernamental, otro importante debate que heredará la nueva década será el de la dicotomía “seguridad - intimidad”. (Lamentablemente el auge del ya citado terrorismo -“cíber” y del otro-  contribuirá en muy poca medida a dilucidarlo).

Algún ciudadano de a pie  -realmente, lo he escuchado de una ciudadana-,  ya aboga por demandar algo así como un servicio de ‘ciberburbuja’, una especie de cápsula virtual en la que cobijar sus comunicaciones electrónicas con terceros, sus incursiones en las redes sociales, etc., de forma que tuviese garantía plena de que sólo sus allegados participasen de sus intercambios de información, en lugar de dejarlas tan expuestas, a la vista  -y a la memoria-  de casi cualquiera, como parece que están en la actualidad. Una especie de vuelta al recogimiento, tras un período de exhibicionismo desmedido.

Sin duda, una excelente propuesta  -la de las “ciberburbujas”-,  a desarrollar en esta década post-Snowden que vivimos; pero que habrá de ir acompañada, en los años por venir, de unas mayores cotas de sensibilización por parte de los propios usuarios-ciudadanos.

Y, hablando de Edward Snowden, tal vez, veamos el desenlace  -una década da para mucho-  de la aventura iniciada por el técnico estadounidense en el verano de 2013, con la polémica revelación de las, no menos polémicas, prácticas de la Administración de su país, en materia de cibervigilancia indiscriminada.

Consejos de administración

Retomando, de nuevo, el hilo de las empresas, se hace oportuno reparar en la situación de los consejos de administración y su actitud frente a la ciberseguridad.

Una valoración muy optimista de la situación vivida hasta ahora permitiría afirmar que ‘lo cíber’  -y, por extensión, ‘lo digital’-  no ha sido un tema que interesara, en demasía, a los señores consejeros. En ello pueden haber influido los antecedentes, particularmente los académicos, de estos individuos; y su edad, la cual dibuja, a su vez, un perfil académico determinado: juristas y economistas componen, mayoritariamente, el censo de consejeros actual, lo que podría contribuir a alejarlos de la responsabilidad que hoy les toca asumir en plena era digital.

En 2025 la Biología estará haciendo su trabajo y habrá comenzado a colocar en los consejos a unos nuevos sesentones -la firma Spencer Stuart sitúa la edad media del consejero español en los sesenta años[xii]-.  La diferencia con sus actuales colegas será que, para entonces, aquellos habrán desarrollado toda o gran parte de su carrera tras el debut de la Internet comercial (1995), lo que supondrá un mínimo de treinta años interactuando con el medio digital. Como consecuencia, la confianza en el efecto del salto generacional lleva a imaginar unas futuras agendas corporativas distintas a las que manejan hoy la mayoría de consejeros. 

Mientras se produce ese salto, otros parecen ser los incentivos que contribuirán a acercar el mensaje ‘cíber’ a los consejos de administración: haber sufrido en carne propia  -o en las proximidades-  algún incidente digital; el mandado de los organismos reguladores; la opinión de las agencias de calificación y las pólizas cibernéticas (presumiblemente, también, para los ciudadanos, en cuyo caso vendrán asociadas al seguro del hogar o a la factura del sistema de alarma que nos remita nuestra compañía de seguridad).

Digitalización no, “software-ización” 

Todo apunta, y todo el mundo parece defender -en este texto se ha hecho más arriba-, que estamos asistiendo a un proceso general de digitalización. Un proceso en el que los elementos E-I-T (Electrónica-Informática-Telemática) están provocando un cambio de modelo en la forma en que personas, empresas y administraciones se están comportando, relacionando y operando, individualmente y entre ellas. Sin embargo, un análisis más reposado del fenómeno permite identificar un denominador común en todo el proceso, y en la electrónica, la informática y la telemática, en particular: el software

Es de esperar que en la década que comenzamos haya nuevos avances en la forma de escribir software  -no sólo en el “cómo”, sino también en el “quién”; un “quién” hasta ahora reservado, mayoritariamente, para programadores humanos-. Es de esperar, asimismo, que ese mismo software, que cada vez más lo permea todo, siga ocupando el segundo puesto entre los eslabones más débiles de la seguridad, sólo por detrás del que ocupan los individuos que lo crean y, sobre todo, que lo usan.

Las flaquezas (vulnerabilidades) que presentan, de forma inherente, los sistemas cibernéticos lo son en gran medida por las flaquezas (vulnerabilidades) de su software. Nada, salvo el optimismo, apunta a que los esfuerzos en mejorar la calidad del software den mejores frutos que los recogidos hasta la fecha; más, si cabe, en un contexto en el que la frenética necesidad de contribuir a aumentar ese volumen de software  -“software-izar”-  en busca de nuevas funcionalidades amenaza con dejar de lado otros atributos de la calidad, como la seguridad.

Ciberincidentes

Los futuros incidentes digitales, como los de hoy, van a seguir estando provocados por atacantes o saboteadores (externos e/o internos), crecientes en número y capacidades (ejércitos de un solo hombre, delincuencia organizada, estados); errores y negligencias de los usuarios; y fallos de los propios sistemas (de nuevo, mala calidad, unida a configuraciones incorrectas u obsolescencia, entre otros factores). 

Dada esa variada casuística, que probablemente se mantendrá dentro de diez años, es evidente que no todos los incidentes merecen, ni van a merecer, el calificativo de “ciberataque”. Lo verdaderamente arriesgado aquí es apostar por la proporción, que deparará el futuro, de un tipo de incidente frente a otros. Hoy, dos de cada tres ciberincidentes están provocados por alguna causa o causante interno, tal y como declaraba hace unos meses el responsable de ciberseguridad de una conocida multinacional española del sector energético. De la misma manera, dos de cada tres ciberincidentes no son fruto de un ataque. La masiva eclosión de software que se avecina, aludida anteriormente, hace pensar que los fallos y los errores  -por este orden-  serán los reyes de la fiesta de los incidentes en el futuro. 

Nuevos ciberespacios y viejas consecuencias

Ese ámbito artificial creado por medios informáticos que William Gibson bautizó en 1981 con el nombre de “ciberespacio”, está dejando paso, hoy, a un nuevo paisaje en el que aquél comienza a perder parte de su naturaleza etérea para confundirse con el paisaje de lo real: es el “espacio ciber-físico”, un lugar en el que las actuaciones llevadas a cabo en el ámbito de lo virtual tienen consecuencias directas sobre el mundo real.

Los catalizadores que hoy conocemos para impulsar el crecimiento del nuevo espacio ciber-físico, guardan una estrecha relación con lo que se ha dado en llamar “Internet de las Cosas”, paradigma en el que prima la conectividad entre máquinas, realizada con un cierto  -elevado-  grado de autonomía. Es, por tanto, el espacio, entre otros, de los vehículos autónomos de todo tipo (terrestres, aéreos y marinos); el de los robots, industriales o militares; y, en suma, el de formas de inteligencia artificial existentes y venideras. 

Sin embargo, si en algún contexto se materializa, de forma clara, en la actualidad, el espacio ciber-físico es en el ámbito de los sistemas de control industrial (aquellos sistemas de información empleados en el control y la supervisión de procesos [físicos] productivos, propios, a priori, de los entornos fabriles). ¡Aunque dichos sistemas están también presentes en otros entornos (desde la construcción  -edificios inteligentes-,  pasando por las tecnologías de la información  -centros de proceso de datos-,  hasta la medicina  -robots expendedores de medicamentos o robots cirujanos-, etc.!

En estos ámbitos, en los que los espacios físico y cibernético están, cada vez, más entrelazados, y en los que la Internet de las Cosas y la Internet Industrial de las Cosas podrán ser objetivo y fuente, al mismo tiempo, de ciberataques, puede preverse para los próximos años un aumento de los sabotajes dirigidos a las tecnologías empotradas inteligentes, como la “infección” de equipos robóticos  -y otras formas de inteligencia artificial-  con algún tipo de software dañino que modifique su comportamiento hasta el punto de hacer que se vuelvan, incluso, contra los humanos. 

Las consecuencias de los incidentes, provocados o fortuitos, en estos nuevos espacios ciber-fisicos, lejos de resultar novedosas, son -y van a serlo cada vez más acentuadamente- similares a las viejas consecuencias para las personas, el patrimonio y el medioambiente que la acción del hombre ha causado siempre antes de la irrupción de la era digital. 

* *

Pero, para no errar solo en los pronósticos  -insisto, “mal de muchos, …”-,  permítame que dé voz, ahora, a una serie de expertos, todos amigos y profesionales internacionalmente reconocidos, cuyos testimonios, a buen seguro, aportarán el verdadero valor que pueda encerrar este artículo. 

La opinión de los expertos

Vaya por delante mi más sincero agradecimiento a las desinteresadas y, al mismo tiempo, interesantísimas contribuciones de todos ellos. 

Ignacio Paredes (@IParedes), Emiratos Árabes Unidos

Tecnólogo Jefe, Booz Allen Hamilton

Co-fundador y Coordinador Regional para Oriente Medio y Asia, CCI

En el particular ámbito de la ciberseguridad en entornos industriales, confío en poder ver en 2025 sistemas de supervisión de la seguridad capaces de capturar y correlacionar los eventos que tengan lugar a nivel de planta industrial, con los que ocurran en los dispositivos y equipos de la informática corporativa, con los registrados por los elementos de ciberseguridad y con aquellos que tengan como escenario el mundo físico (disturbios, guerras, tensiones políticas, caídas de la bolsa, …) con el fin de: por un lado, obtener una visión completa del estado de una determinada instalación industrial; y, por otro, de predecir la evolución del riesgo que afecte a la misma”.

Diego Andrés Zuluaga Urrea, Colombia

CISO, ISAGEN

Coordinador Regional para Colombia, CCI

En diez años preveo una seguridad adaptativa al entorno, en escenarios donde los dispositivos, cada vez más, estarán integrados e hiperconectados. La frontera entre vida laboral y personal cada vez se hace más difusa. El individuo es un solo ser que aporta a diferentes grupos sociales donde se desempeña de una u otra forma. De ese modo, la seguridad deberá entender la información, su clasificación y el contexto en el cual se está usando y, de acuerdo con ello, habrá de contribuir a separar los niveles y profundidad de acceso que cada circunstancia requiera, y a protegerla frente a las nuevas amenazas. Se emplearán, para ello, tecnologías de análisis de datos del entorno y de la información misma, que permitirán adaptarse a las circunstancias.

Asimismo, en mi ámbito profesional más cercano, la industria, yo esperaría que la ciberseguridad estuviese presente ‘por diseño’ en todos los sistemas de control industrial y que fuera tan natural como lo es hoy en las redes corporativas, con sistemas de gestión y mejora continua, liderados desde áreas que entiendan integralmente las necesidades conjuntas de las TO y de las TI. Cabe pensar que, para entonces, los incidentes sobre este tipo de infraestructuras serán habituales y su impacto dependerá de la preparación y resiliencia de las organizaciones que los reciban”.

Patrick C. Miller (@PatrickCMiller), EEUU

Socio-Director, Archer Energy Solutions

Presidente Emérito, EnergySec

Tal vez parezca una locura; pero creo que, en diez años, uno de los temas que marcará tendencia será la seguridad de Inteligencia Artificial (IA). Estamos acercándonos a la IoT y a la IIoT (Internet Industrial de la Cosas, del inglés ‘Industrial Internet of Things’). Cuando sean una realidad, producirán más datos y presentarán tal complejidad, que la única forma de gestionar los ‘sistemas’ y obtener el valor esperado de ellos será mediante la aplicación de inteligencia artificial. La IA se empleará para administrar y analizar datos; pero, también, para que los sistemas se gestionen a sí mismos, de forma autónoma (por ejemplo, auto-reparación, auto-optimización, etc.). Imagino que los ‘hackers’ comenzarán a explotar la funcionalidad y las debilidades de la IA, así como a utilizar la propia IA para atacar a otros sistemas. Esto dará como resultado una situación en la que tendremos IA frente a IA”. 

Robert M. Lee (@RobertMLee), EEUU

Fundador y CEO, Dragos Security

Profesional del Año en el campo de la Ciberseguridad Industrial (EEUU, 2015-16)

Con respecto a lo que hoy es tendencia y a lo que esperamos ver dentro de una década, estará centrado en el crecimiento e integración de los datos. Justo ahora existe un gran debate alrededor de la IIoT, la convergencia entre las TI y las TO, y el valor que, para las operaciones, pueden tener prácticas como la supervisión de la seguridad de las redes. A lo que creo que forzará todo esto es a un cambio en la forma en que observamos y tratamos los datos de nuestro entorno. Confío en que ello suponga que tendremos un mayor acceso a los datos  -léase, más infraestructura gestionada-,  más ojos sobre esos datos  -por ejemplo, Centros de Operaciones de Seguridad de TI/TO-  y que veamos innovación en el modo de obtener datos de forma menos invasiva  -por ejemplo, mediante Redes Industriales Definidas por Software-.  Creo que esto marcará la tendencia debido a la importancia y al valor de los datos, así como a la implicación de los diferentes interesados y al creciente número de dispositivos conectados a redes dentro del conjunto de los sistemas de control industrial”.

Claudio Caracciolo (@HoleSec), Argentina

Embajador de Seguridad, Eleven Paths/Telefónica Digital Identity & Privacy

Coordinador regional para Argentina, CCI

Claramente, los modelos de integración entre redes continuarán fusionándose, cada vez más, en la próxima década.

En la industria, los sistemas de control industrial tendrán como requisito de diseño la movilidad para su propia supervisión y control. Además, los conflictos violentos relevantes, como guerras o atentados, que afecten a este tipo de sistemas harán que sea necesario poner en marcha modelos de defensa más eficaces.

En ese sentido, los fabricantes deberán optimizar sus esfuerzos, por lo que contratarán expertos en ciberseguridad para revisar sus productos y redefinir sus procesos. De igual modo, preveo un crecimiento de la actividad consultora en materia de ciberseguridad industrial. Las empresas de servicios de seguridad tendrán mayores conocimientos y contratarán expertos del mundo de las TO y del de la seguridad corporativa para diseñar planes conjuntos de protección de infraestructuras industriales  -algunas ya lo están haciendo y, de hecho, creo que esos servicios se convertirán en un producto de uso común en un par de años-.

Finalmente, el concepto de ‘red de auto-defensa’ (del inglés, ‘self-defending network’), promovido, años atrás, por el fabricante estadounidense Cisco, deberá llegar también a los sistemas industriales. Estamos en la etapa de ‘revisión y rediseño’, luego pasaremos por la de ‘prueba/verificación periódica’ y, finalmente, creo que llegaremos al ‘modelo de auto-defensa’”.

Samuel Linares (@InfoSecManBlog), Emiratos Árabes Unidos

Tecnólogo Jefe, Booz Allen Hamilton

Co-fundador y Coordinador Regional para Oriente Medio y Asia, CCI

La seguridad ‘transparente’: ese es, para mí, uno de los grandes retos de la próxima década.

Tradicionalmente, todas las medidas de seguridad han sido, y son, muy ‘intrusivas’ desde el punto de vista del usuario. Creo que, a largo plazo, todo debería ser, y será, más ‘transparente’. Se tratará de que, aunque la seguridad esté ahí, implantada a todos los niveles, no la notemos; no tengamos que realizar ninguna acción explícitamente, en nuestra calidad de meros usuarios. (Si la cámara de mi ordenador portátil ‘ve’ que soy yo, y ‘nota’ que soy yo, yo no debería tener que hacer nada y, al mismo tiempo, debería resultar autenticado favorablemente).

Un segundo reto será la visibilidad total de las infraestructuras.

La integración, la correlación y la supervisión total de las infraestructuras corporativas, e industriales, integrando  -mediante analítica de datos, por ejemplo-  toda la información disponible sobre la operación de los procesos productivos (apoyada en sistemas SCADA), la prevención de riesgos laborales, la ciberseguridad, la seguridad física, la seguridad medioambiental, etc.”.

César Cerrudo (@CesarCer), Argentina

CTO, IOActive Labs

Promotor y Miembro de la Junta Directiva, SecuringSmartCities.org

Es difícil predecir un escenario a diez años, sobre todo cuando se trata de tecnología, ya que todo cambia y avanza muy velozmente.

Lo que si me atrevo predecir es que, en una década, casi todo tendrá software y estará conectado a Internet, o a alguna otra red; incluso, tal vez, nuestro cuerpo o partes de nuestro cuerpo. Esto hará que la ciberseguridad sea más importante que nunca.

En el caso de las ciudades, toda su infraestructura también estará conectada y todo será digital. Los servicios se adaptarán a las necesidades de los ciudadanos en tiempo real gracias a la información recolectada desde miles de sensores y fuentes diversas. La superficie de ataque digital a una ciudad será inmensa; y, seguramente, habrá organismos dedicados específicamente a lidiar con ciberataques a las ciudades y a tratar de mantenerlas seguras”.

Jeimy Cano (@ITInsecure), Colombia

Director, Revista “Sistemas” de la Asociación Colombiana de Ingenieros de Sistemas (ACIS)

Analista Asociado, iTTi

La ciberseguridad está inmersa en una dinámica internacional volátil, incierta, compleja y ambigua, lo que la hace inestable y cambiante conforme se advierten nuevas formas de convergencia en un mundo digitalmente modificado.

En este sentido, los responsables de esta materia deberán tener claras, al menos, seis habilidades clave para navegar en medio de lo desconocido, recalibrar la estrategia, ubicar el punto al cual quieren ir y mantener el equipo de trabajo en marcha para evitar la parálisis[xiii]:

1. Anticipar cambios en el entorno digitalmente modificado.

2. Retar los supuestos y el statu quo, para pensar de forma no convencional.

3. Interpretar los datos y puntos de vista, más que sólo confirmar la evidencia de sus propias creencias.

4. Decidir qué hacer tras revisar las opciones y tener la capacidad de explorar posibilidades hacia adelante.

5. Alinear los intereses e incentivos de los directivos, basados en diferentes puntos de vista.

6. Aprender de los éxitos y errores a través de laboratorios y pilotos, capitalizando las lecciones aprendidas y por aprender. 

En este escenario, la ciberseguridad deberá estar atenta a cambios inesperados y contradictorios que perturben la realidad de sus actuales estándares.

Algunas reflexiones a futuro podrían girar en torno a temas como resiliencia móvil, ecosistemas digitales emergentes o diseño ciberseguro de instalaciones; cada uno de los cuales está asistido por la tendencia de una mayor digitalización de la interacción entre personas y organizaciones; y, particularmente, la de la acelerada convergencia de lo físico y lo lógico a nivel global”.

* * 

Ahora mantenga la paciencia. En tan sólo una década podrá comprobar cuántos aciertos y cuántos errores ocultaban estas páginas. ¡Aguarde hasta entonces!

* * *

Este artículo fué publicado originalmente por la revista NOVÁTICA, nº 235, enero-marzo 2016. Referencia: Secciones técnicas. NOVÁTICA 235, pgs.62-67 – "Seguridad digital 2025" – Miguel García-Menéndez. 

---------------------------------------------

[i] Gartner, Inc. “Understanding your new role in Digital Security” (Comprender su nuevo papel en la Seguridad Digital). Obtenido vía @iTTiresearch en Twitter. URL (a 2015.11.27) :: https://twitter.com/iTTiresearch/status/608295938185170944  

[ii] Dickson, John B. “We need a new word for cyber” (Necesitamos un nuevo término para ciber). Dark Reading (DarkReading.com). 23 de noviembre de 2015. URL (a 2015.11.28) :: http://www.darkreading.com/attacks-breaches/we-need-a-new-word-for-cyber/a/d-id/1323278 

[iii] Organización para la Cooperación y el Desarrollo Económico (OCDE). “Digital Security Risk Management for Economic and Social Prosperity. OECD Recommendation and Companion Document” (Gestión, para la Prosperidad Económica y Social, del Riesgo para la Seguridad Digital. Recomendación de la OCDE y Documento de Acompañamiento). OCDE. 17 de septiembre de 2015. URL (a 2015.12.01) :: http://www.oecd-ilibrary.org/docserver/download/9315051e.pdf? 

[iv] Scott, John. “What are cyber disruptions costing businesses?” (¿Cuánto les están constando las ciberperturbaciones a las empresas?). Entrevista a Jason Healy, autor del éxito editorial de 2012 “A Fierce Domain, Cyber Conflict 1986 to 2012” (Un Dominio Feroz. Ciberconflictos 1986-2012) y fundador y miembro senior de la Iniciativa de Políticas Cibernéticas del Centro Brent Scowcroft sobre Seguridad Internacional del gabinete de análisis estratégico estadounidense The Atlantic Council. Aparecida en “Agenda” del Foro Económico Mundial. 26 de octubre de 2015. URL (a 2015.11.29) :: https://agenda.weforum.org/2015/10/what-are-cyber-disruptions-costing-businesses/ 

[v] Kleinman, Zoe. “Children's electronic toy maker Vtech hacked” (El fabricante de juguetes electrónicos para niños, Vtech, ‘hackeado’). BBC News/Technology. 27 de noviembre de 2015. URL (a 2016.04.06) :: http://www.bbc.com/news/technology-34944140 

[vi] Yadron, Danny. “Fisher-Price smart bear allowed hacking of children's biographical data” (El osito inteligente de Fisher-Price permitía el ‘hackeo’ de datos biográficos de los niños). 2 de febrero de 2016. URL (a 2016.04.06) :: https://www.theguardian.com/technology/2016/feb/02/fisher-price-mattel-smart-toy-bear-data-hack-technology 

[vii] Calder, Alan P. “Cyber security is no longer sufficient to ensure business sustainability. Cyber resilience should become the new boardroom priority” (La ciberseguridad ya no es suficiente para asegurar la sostenibilidad del negocio. La ciberresiliencia debería convertirse en la nueva prioridad del consejo de administración). Obtenido vía @info_CCI en Twitter. URL (a 2016.04.07) :: https://twitter.com/info_CCI/status/582441048112304128 

[viii] Foro Económico Mundial. “The Global Risks Report 2016” (El Informe de Riesgos Globales 2016). En su página 13, figura 1.2, señala los cinco riesgos de mayor preocupación para los próximos diez años, según la Encuesta de Percepción de Riesgos Globales realizada en 2015. 14 de enero de 2016. URL (a 2016.04.07) :: http://www3.weforum.org/docs/Media/TheGlobalRisksReport2016.pdf 

[ix] Dobbs, Richard; James Manyika, and Jonathan Woetzel. “The four global forces breaking all the trends” (Las cuatro fuerzas globales que están rompiendo todas las tendencias). McKinsey & Company (McKinsey Global Institute). Abril de 2015. URL (a 2016.04.07) :: http://www.mckinsey.com/business-functions/strategy-and-corporate-finance/our-insights/the-four-global-forces-breaking-all-the-trends 

[x] ENISA. “National Cyber Security Strategies in the World” (Estrategias Nacionales de Ciberseguridad en el Mundo). Agencia Europea para la Seguridad de las Redes y la Información (ENISA). Abril de 2015. URL (a 2016.04.07) :: https://www.enisa.europa.eu/activities/Resilience-and-CIIP/national-cyber-security-strategies-ncsss/national-cyber-security-strategies-in-the-world 

[xi] The White House. “International Strategy for Cyberspace. Prosperity, Security and Openness in a Networked World” (Estrategia Internacional para el Ciberespacio). La Casa Blanca, Washington (EEUU), mayo de 2011. URL (a 2016.04.07) :: https://www.enisa.europa.eu/activities/Resilience-and-CIIP/national-cyber-security-strategies-ncsss/international-strategy-for-cyberspace/at_download/file 

[xii] Spencer Stuart. “International comparation” (Comparativa internacional). Extracto y comparativa de la serie “Board Index 2015” (Índices de los Consejos 2015), 2015. URL (a 2016.04.07) :: https://www.enisa.europa.eu/activities/Resilience-and-CIIP/national-cyber-security-strategies-ncsss/international-strategy-for-cyberspace/at_download/file 

[xiii] Krupp, Steven and Paul J. H. Schoemaker. “Winning the long game. How strategic leaders shape the future” (Ganar en el largo plazo. ¿Cómo moldean el futuro lo líderes estratégicos?). PublicAffairs. 2 de diciembre de 2014. URL (a 2015.12.01) :: http://www.amazon.com/Winning-Long-Game-Strategic-Leaders/dp/161039447X 

 

Publícitis

To find out more about the cookies we use and how to delete them, see our privacy policy.

I accept cookies from this site.
EU Cookie Directive plugin by www.channeldigital.co.uk