Follow us on:
Perspectives

Articles tagged with: Maria Jose de la Calle

IA: problema y solución de la ciberseguridad

Monday, 07 August 2017 Maria Jose de la Calle Posted in iTTi Views

Sobre la IA

La llamada inteligencia artificial (IA) en general, y la computación cognitiva (CC) en particular, están llamadas a producir otra revolución en cuanto a herramientas que sirvan para impulsar campos tan diversos como la ciencia, la medicina, la gestión de las ciudades, la fabricación[i]; o proporcionar autonomía a las máquinas. En resumen, la vida de todos. 

Pensemos, por ejemplo, en RobERt[ii] (Robotic Exoplanet Recognition), para el análisis de posibles planetas que puedan tener vida; en la predicción de enfermedades[iii], como un ataque al corazón o un derrame cerebral; las llamadas "ciudades inteligentes"[iv]; o los medios de transporte autónomos, como los coches o los trenes. 

Aunque la IA y la CC pudieran parecer sinónimos, en realidad son dos conceptos, que, aunque relacionados  son un poco diferentes. Así, la Harvard Business Review (HBR) en el artículo "La IA añade una nueva capa al ciber riesgo"[v] del pasado mes de abril, proporcionaba las siguientes definiciones: 

"Mientras las dos tecnologías se refieren al mismo proceso, [...] la CC utiliza un conjunto de tecnologías diseñadas para aumentar las capacidades cognitivas de la mente humana. Un sistema cognitivo puede percibir e inferir, razonar y aprender. Definimos la IA aquí en un sentido amplio aquello que se refiere a ordenadores que pueden realizar tareas para las que se requeriría inteligencia humana".

Es decir, la CC sería una disciplina contenida en la IA. 

A los sistemas IA en general, se los puede entrenar para analizar y entender el lenguaje natural, imitar el razonamiento humano o tomar decisiones. 

Los sistemas CC se construyen con el fin de proporcionar información para tomar decisiones, y aprender por sí mismo tanto de datos recogidos o que se le provean y de su interacción con las personas. 

Para conseguir que un sistema o máquina aprenda una tarea o asimile una serie de conocimientos, hay que proporcionarle, primero una serie de algoritmos -constituidos por modelos matemáticos estadísticos- que sirvan para, y este es el segundo paso, tratar los datos o información con los que se alimenta al sistema y con los que iniciar el proceso de aprendizaje, y en tercer lugar, sesiones de entrenamiento entre expertos, que realizan preguntas y evalúan las respuestas de la máquina, cambiando los resultados según la evaluación recibida. 

Los algoritmos se van adaptando dependiendo de los datos que se le suministren y de la interacción con los humanos o con el entorno. 

La CC en particular -y por tanto la IA que la engloba- como cualquier tecnología [de la Información], por una parte, introduce nuevos elementos de inseguridad, y, por otra, puede ser utilizada para hacer más seguros los sistemas. Si una tecnología es muy potente, tanto lo es para producir beneficios como para producir daños, con lo que su control debe ser comparable.  

Nuevos riesgos que comporta la CC 

La HBR en el artículo citado[vi] anteriormente, aborda este tema centrándose en lo que es intrínseco a la CC, que es que sus algoritmos se van ajustando a medida que procesa nuevos datos e interacciona con el entorno y los humanos tanto en la etapa de establecimiento y construcción del sistema propiamente dicho como posteriormente, cuando ya esté en explotación. 

Un sistema cognitivo en principio -dando por supuesto la bondad de los algoritmos que lo soportan- es tan bueno para conseguir el propósito para el cual se ha definido y construido, como lo sean los datos de los cuales se haya alimentado y los expertos que lo hayan entrenado y le hayan proporcionado un contexto, y, posteriormente, en la bondad del entorno en el cual funcione.

Sin embargo, no hay garantía al cien por cien de los resultados, ni de que el sistema vaya a seguir con el comportamiento deseado para el que se construyó. No es un sistema que siga en su funcionamiento unos pasos definidos y conocidos hasta su resultado final, así una y otra vez, de manera determinista. Los resultados que proporciona son estadísticos, y su comportamiento no puede ser explicado, y por tanto regulado, completamente. 

El aprendizaje continuo a medida que el sistema interacciona, que en principio parecería adecuado ya que para eso se construyó, tiene sus riesgos. Por ello, hay que seguir controlando muy de cerca en base a qué sigue aprendiendo y cuáles son sus resultados. 

En el primer estadio, el de su establecimiento y aprendizaje iniciales, las personas que lo han entrenado, de manera inconsciente o intencional, pueden aportar datos confusos o erróneos, no aportar información crítica para conseguir el comportamiento deseado, o entrenar al sistema de manera inapropiada. 

El sistema ya en explotación, está cambiando continuamente en su hacer cotidiano -por definición- y, si alguien quisiera manipularlo, no tendría más que interaccionar con él de manera que pueda cambiar sus objetivos o añadir otros. 

Un ejemplo de esto fue el bot de Twitter, "Tay", diseñado para aprender a comunicarse en lenguaje natural con gente joven, y que rápidamente hubo que retirarlo. Personas mal intencionadas (trolls) utilizando las vulnerabilidades de sus algoritmos de aprendizaje, suministraron contenido racista y sexista, con un resultado de que "Tay" comenzó a responder con comentarios inapropiados a millones de seguidores.  

Al igual que la CC se emplea para un uso adecuado, se puede emplear para todo lo contrario[vii]. 

Los "chatbots" son sistemas que interactúan con las personas en lenguaje natural y se pueden utilizar en centros automatizados de atención al cliente. La exactitud en sus respuestas tiene mucha importancia, especialmente en sectores como la salud y el financiero, los que, además, tienen un gran volumen de datos confidenciales, que son recabados y tratados para dicho objetivo.

Dichos "chatbots" también pueden ser utilizados por [ciber]delincuentes para ampliar sus transacciones fraudulentas, engañar a personas haciéndose pasar por otras personas o instituciones de confianza, robar datos personales, e introducirse en los sistemas. 

Hay que conseguir ser capaz de detectar cambios en la actividad normal de redes y ordenadores, y  detectar nuevas amenazas. 

CC como herramienta de ciber-seguridad 

Para enfrentarse a una amenaza no hay más remedio que utilizar herramientas al menos tan potentes como la amenaza a afrontar.  

Parece que algo se está haciendo en ese sentido si atendemos a los resultados de un estudio que presenta la HBR[viii], en el que se concluye que la IA en lo que más se está utilizando es en actividades entre ordenadores y análisis de información producida o intercambiada entre máquinas, siendo el departamento de informática el que más  la usa,  concretamente el 44% de dicho uso empleado en la detección de intrusiones no autorizadas a los sistemas, es decir, en ciber-seguridad. 

Las técnicas de aprendizaje de las máquinas pueden aportar un conocimiento mejor del funcionamiento normal de los sistemas, y de actuaciones y patrones de código malicioso no autorizados.  

Así, haciendo uso de dichas técnicas, tareas rutinarias como el análisis de grandes volúmenes de datos sobre la actividad de los sistemas o los incidentes de seguridad, aportan una gran precisión en la identificación de comportamientos anormales así como la detección de accesos no autorizados o la identificación de código malicioso. 

Además, los [ciber]delincuentes transforman constantemente sus ataques para conseguir sus objetivos. Mucha parte del malware que circula por la red está relacionado con otro ya conocido. Los sistemas cognitivos, analizando miles de objetos de código malicioso pueden encontrar patrones de comportamiento que ayuden a identificar futuros virus mutados, e incluso entender cómo los piratas informáticos explotan nuevos enfoques. 

Así se consigue un conocimiento ajustado a la organización, ya que el sistema cognitivo está aprendiendo con la información suministrada por todos los elementos que componen sus sistemas informáticos -en sentido amplio de la informática corporativa (TI) y la informática operacional (TO)-, que proporcionan no sólo datos, sino un contexto -sector, tecnologías empleadas, arquitectura de los sistemas, etc.-. 

Lo que para una empresa una cantidad de tráfico por un segmento de red, o una cantidad de peticiones a un servidor puede suponer una amenaza, para otra pueden ser datos normales. Depende del negocio y de cómo se utilice la tecnología. 

Con este conocimiento, las alarmas se reducirán considerablemente permitiendo un análisis y actuación humana más centrados en aquellos incidentes que lo requieran, se podrán detener las amenazas antes de que penetren y se propaguen en los sistemas, y, en algunos casos, se podrán actualizar o poner un parche de manera automática donde se requiera. 

Pero los sistemas cognitivos no se tienen que reducir a analizar los datos producidos por las máquinas, almacenados en los logs, es decir, datos estructurados. La CC tiene otras herramientas de las que pueden hacer uso los sistemas para interpretar los datos no estructurados. Al utilizar el reconocimiento del lenguaje natural tanto hablado como escrito, pueden examinar informes, alertas comunicadas en redes sociales o comentarios sobre amenazas, conversaciones o seminarios, análogamente a cómo lo hacen los expertos -humanos- en seguridad para mantenerse permanentemente informados.  

Finalmente, insistir en el papel esencial que juegan los humanos en la CC. Por una parte, el aprendizaje de la máquina no solo supone la ingesta automática de datos -seleccionados o proporcionados los criterios de selección de los datos adecuados por humanos-, sino que debe acompañarse de un entrenamiento realizado por expertos. Por otra, los sistemas cognitivos ofrecen informes, que serán estudiados por las personas adecuadas con el fin de tomar decisiones. 

Que es lo que viene a decir Bloomberg en el artículo "La Inteligencia Artificial no puede sustituir el toque humano en ciber-seguridad"[ix] del pasado mes de abril, en el que proporciona el ejemplo de Mastercard Inc., que utiliza sistemas de IA para detectar transacciones anormales, para, a continuación, ocuparse los profesionales de ciber-seguridad de evaluar la gravedad de la amenaza.  

Conclusión: Wanna Cry

¿Qué hubiera pasado si una vez publicado el código de la herramienta de la NSA "EternalBlue" las máquinas hubieran leído su código y aprendido cómo funcionaba? 

Quizás se hubiera desactivado su carga, bien porque la máquina hubiera reconocido sus códigos como maliciosos, bien porque hubiera buscado un parche para la vulnerabilidad aprovechada para lanzar los ataques. 

Según The Hacker News[x], desde que "The Shadow Brokers" a principios de abril filtró la vulnerabilidad y el código, este se aprovechó en varios ataques durante ese mismo mes, y, ya en el mes de mayo, se utilizó para "Wanna Cry". 

A mitad de abril, Microsoft liberó los parches que arreglaban la vulnerabilidad de sus sistema de intercambio de ficheros (SMB - Server Message Block) para todas las versiones de los distintos sistemas operativos que la tenían, incluyendo los que ya no da soporte, como el Windows-XP. 

¿Se podría haber evitado Wanna Cry? 

* * *

Este artículo fué publicado originalmente por @PuntoSeguridad.com/"Cuadernos de Seguridad", julio-agosto 2017, nº 324, pg.95, Ciberseguridad – "IA: problema y solución de la ciber-seguridad" – María José de la Calle. 

--------------------------------------------

[i] "These factories are crunching production time with artificial intelligence" (20160709) Business Insider url [a 20170529] http://www.businessinsider.com/sc/artificial-intelligence-change-manufacturing  

[ii] Clay Dillow (20161121) "How scientists will use artificial intelligence to find aliens" Popular Science url [a 20170529] http://www.popsci.com/how-scientists-will-use-artificial-intelligence-to-find-aliens  

[iii] "Artificial intelligence can accurately predict future heart disease and strokes, study finds" (20170424) University of Nottingham url [a 20170529] https://www.nottingham.ac.uk/news/pressreleases/2017/april/artificial-intelligence-can-accurately-predict-future-heart-disease-and-strokes-study-finds.aspx  

[iv] Kevin Ebi (20170518) "How will AI transform cities? 3 experts weigh in" SmartCitiesCouncil url [20170529] http://smartcitiescouncil.com/article/how-will-ai-transform-cities-3-experts-weigh  

[v] "While both technologies refer to the same process, [...] cognitive uses a suite of many technologies that are designed to augment the cognitive capabilities of a human mind. A cognitive system can perceive and infer, reason and learn. We’re defining AI here as a broad term that loosely refers to computers that can perform tasks that once required human intelligence."  

Greg Bell, Cliff Justice, Tony Buffomante, Ken Dunbar (20170413) "AI Adds a New Layer to Cyber Risk". Harvard Business Review. url [a 20170529] https://hbr.org/2017/04/ai-adds-a-new-layer-to-cyber-risk.  

[vi] Ver nota v. 

[vii] Como nos ilustra el artículo "Artificial intelligence-powered malware is coming, and it's going to be terrifying". Rob Price (20161008) Business Insider UK url [a 20170529]  http://uk.businessinsider.com/darktrace-dave-palmer-artificial-intelligence-powered-malware-hacks-interview-2016-10  

[viii] Satya Ramaswamy (20170417) "How Companies are already using AI". Harvard Business Review. url [a 20170529] https://hbr.org/2017/04/how-companies-are-already-using-ai  

[ix] Jimmy H. Koo (20170404) "Artificial Intelligence Can’t Replace Human Touch in Cybersecurity" Bloomberg url [a 20170529] https://www.bna.com/artificial-intelligence-cant-n57982086179/  

[x] Mohit Kumar (20170519) "More Hacking Groups Found Exploiting SMB Flaw Weeks Before WannaCry". The Hacker News url [a 20170529]  http://thehackernews.com/2017/05/eternalblue-smb-exploit.html   

 

¿Sociedad de la información o sociedad inundada de información?

Monday, 24 July 2017 Maria Jose de la Calle Posted in iTTi Views

El uso de las tecnologías de la información con su capacidad de comunicación y producción de datos e información, ha conducido a una inundación de los mismos, inundación que está produciendo una incapacidad para leer, comprender, juzgar e interpretarlos, debidamente. Una consecuencia de esto, es la propagación de noticias falsas en las redes, a veces por desconocimiento, a veces con intenciones aviesas. 

El vocablo "inundar" proviene de la palabra latina inundare, que significa llenar de agua. Así lo expresa el Diccionario de la Real Academia de la Lengua Española (DRAE) en su primera acepción, es "Dicho del agua: Cubrir un lugar determinado".  A lo que se añade una tercera "Dicho especialmente de un gran número de personas o cosas: Llenar un lugar". 

Así mismo, el DRAE en la entrada de "informar", nos informa que viene del latín informāre: 'dar forma', 'describir'.

Así pues se puede afirmar que la información proporciona descripción de fenómenos, situaciones, actividades, personas, cosas, etc.  

Los datos y la información no sólo los generamos los humanos, también los generan las máquinas. El V informe de INCAPSULA[i]  del tráfico producido en la red proporciona el siguiente dato: el 51,8% es creado por máquinas, no por personas. 

La Información se vierte -o vomita- en la red en forma de texto o imágenes sobre lo que sucede a nuestro alrededor. La inmediatez con que llegan las noticias colocadas en la web por cualquier testigo presente con un dispositivo móvil, ha producido que ya no se necesite tener a un periodista presente para contarlas. De hecho no es infrecuente ver vídeos o fotos tomadas por "aficionados" en las páginas web de periódicos, o un artículo-noticia "veteado" con "tweets" recientes de testigos de la noticia.  

Unido a esto, hay aplicaciones o bots[ii] que la generan automáticamente, como el caso de los que utiliza la BBC[iii]. En Twitter, detrás de entre 9% y el 15% de las cuentas no hay personas[iv]. Son utilizadas para generar visitas a web poco visitadas -por personas-, generar spam, crear tendencias; o -por proporcionar ejemplos más positivos-, para atención al cliente o como asistentes.  

Tal abundancia se puede llevar por delante y dañar la calidad de la propia información. Cuando se habla de la seguridad de la información, se está haciendo referencia a la confidencialidad (C), integridad (I) y disponibilidad (D). Quizás a la seguridad de la información, para que ésta sirva para "dar forma" adecuada a hechos y cosas en general, habría que dotarla de otra cualidad, que es la veracidad, que a diferencia de la tríada C-I-D, no es un tema técnico, sino más bien de conocimiento de la disciplina relacionada con la propia información. 

Las inundaciones constituyen, en la mayoría de los casos, fenómenos adversos que destruyen el "lugar que llenan",  llegando a producir daños al medio ambiente, a propiedades e incluso, a las personas. Se lo llevan todo por delante, allá por donde pasan. 

De igual manera, la inundación de datos e información hace que éstos se tornen inútiles. Trae una mezcla de datos veraces y otros no tanto, de datos útiles e inútiles, de información publicada con una intención de informar o de desinformar. Hay que tener la capacidad de saber separar aquello necesario de lo que no lo es, y lo que es cierto de lo que no, de intuir el propósito que subyace a ella. Hay que saber elegir e interpretar aquello que sea útil para el propósito que se busca, en un tiempo razonable. Esto es lo que se  denomina pertinencia. 

La información no adecuada o falsa puede causar daños ya que puede confundir, dañar la imagen de una persona u organización, o manipular una toma de decisiones. 

Por ejemplo, en unas elecciones la manipulación de hechos dirigidos a la 'opinión pública', con el fin de conseguir votantes. Este fue el caso de las últimas elecciones presidenciales en EEUU, según la publicación de la Universidad de Stanford "Social Media and Fake News in the 2016 Election"[v], en que se puede leer la preocupación por los efectos que las falsas noticias que circularon por las redes sociales, la mayoría de las cuales favorecían al presidente electo, y cómo dichas noticias podían haber inclinado la balanza hacia él.

La importancia de la información y su control no es un tema nuevo. 

Así, el profesor Josep Fontana en su libro "La historia de los hombres"[vi], explica "la aparición de una 'opinión pública' a partir de mediados del s. xvii". Un fenómeno ligado al surgimiento de una auténtica 'industria de la información' que multiplicó las impresiones de cartas, folletos, gacetas y, en general, de textos breves y accesibles a un público extenso, que se ocupaban de crítica política o reproducían todo tipo de noticias del momento. Y añade "la importancia que tuvo en Italia y Francia esta revolución de la información que llevaba a los propios historiadores a decir que vivían en un tiempo "lleno de noticias" y que obligó a los gobiernos a tomar historiadores a su servicio para combatir los efectos de la crítica (Luís XIV de Francia tenía en nómina a 19 historiadores)".  

El adjetivar el tiempo en que vivían como "lleno de noticias" nos hace sonreír.  Con el apoyo de las Tecnologías de la Información, la cantidad de información que se genera y distribuye en el mundo hoy día es enorme. Para medirla, y tomando como base el byte[vii], se ha pasado desde el comienzo de estas nuevas tecnologías, de kilobytes (Kb = 103 bytes),  a megabytes (Mb 106 bytes), gigabyte (Gb = 109 bytes), terabyte (Tb = 1012 bytes), petabyte (Pb = 1015 bytes), exabyte (Eb = 1018 bytes), zettabyte (Zb = 1021 bytes).  

Un artículo[viii] de hace un año de la "Northeastern University" ya decía que al día se producían 2,5 Eb, equivalentes a 90 años de grabación de vídeo en alta definición, o a 150 billones de canciones o a 250.000 veces el contenido en digital de la biblioteca del Congreso de EEUU. 

Se habla de la sociedad de la información, de la información como la energía del siglo XXI, de la revolución de la información. Pero para que ésta constituya un bien para todos y riqueza parala sociedad, es necesario aprender a utilizarla, a producirla y a distribuirla. Hay que cuidarla y mantenerla adecuada para el consumo, al igual que el agua. La información contaminada, puede causar muchos daños. 

¿Qué es la información?

La información es el resultado de la interpretación de unos datos: primero hay que conocer la bondad de dichos datos, y segundo, fijar un contexto para interpretar dichos datos.  

Por tanto, con el fin de poder hacer uso de una información, hay que tener la capacidad para analizar ambas cosas: los datos y el contexto utilizado para interpretarlos. Así, se podrá distinguir lo verdadero de lo falso, o la intención que pueda subyacer a la información.

¿Pero hay tiempo de reflexión suficiente o criterios claros a la hora de retwittear o dar un click en a "me gusta"? ¿Hay capacidad para una adecuada selección da datos a la hora de utilizarlos? 

Desde luego nos podemos servir de herramientas que ayuden a esta tarea, pero dichas herramientas están basadas en criterios de selección, clasificación y extracción que también se deberían conocer, ya que podrían estar creados para dar unos resultados no acordes con los fines buscados. Recordemos además que todo filtro supone falsos positivos y falsos negativos. 

Para esto, la educación tiene mucho que decir. Sin ir más lejos, en la plataforma de cursos gratuitos en-línea (moocs) "edx" hay un curso "Fake News, Facts, and Alternative Facts"[ix], "para aprender a distinguir fuentes de noticias fiables e identificar los sesgos de la información para llegar a ser un consumidor crítico de la información". 

Cómo decidir si una información es falsa  

En una reciente infografía[x] de "Futurism.com" se puede leer lo siguiente: "Las noticias falsas son un serio problema en EEUU a día de hoy por varias razones: está influenciando las acciones de las personas, y éstas están teniendo dificultades para entender qué noticia es verdadera y cuál es falsa". 

La existencia de tantos datos e informaciones falsas, parece que ha empezado a preocupar. A juzgar por las noticias publicadas, lo que ha disparado dicha preocupación han sido las últimas elecciones en los EEUU -como el ya comentado documento de la Universidad de Stanford o la infografía de Futurism- en las que se ha hecho una utilización masiva de las redes sociales, y en las que se podía saber minuto a minuto todo lo que decían los candidatos y lo que se comentaba de ellos, fuera cierto o no.  

En la infografía se proponen tres soluciones: que quien edita la noticia se asegure de que es cierta -solución que ya en publicaciones de cierto rigor se viene haciendo-; que sean los usuarios/lectores quienes juzguen, marcándolas en un sentido u otro; algoritmos que las marquen, solución que ya se ha puesto en marcha en algunas redes.

Tanto la primera solución como la segunda dependen del "buen hacer" de las personas, y el proceso a veces es lento para la velocidad de comunicación en la web. En cuanto a las soluciones automatizadas, se pone en manos de unos pocos -las empresas dueñas de dichas soluciones- la importante tarea de marcar datos e información como no falsos. 

Según el artículo de "The New York Times", "Google and Facebook Take Aim at Fake News Sites"[xi], las redes sociales no se libraron de las críticas por permitir las noticias falsas. Tanto es así, que tomaron cartas en el asunto: Google prohibiría las web que difundiera noticias falsas, y Facebook no mostraría publicidad de páginas -sites- que incluyan noticias falsas.

Posteriormente, Facebook, según un artículo[xii] de Vox del pasado 27 de marzo, obligaría a dar dos clicks para poder compartir una noticia que según sus algoritmos considerara falsa, marcándola con una etiqueta "disputed" (controvertida).  

Las medidas que implementan dichas empresas en sus herramientas, están basadas en algoritmos de los que hay que fiarse sin saber muy bien cómo funcionan. 

Esto se complica más si dichos algoritmos pertenecen a la categoría de la "Inteligencia Artificial"; la cuestión de conocer cómo está funcionando un algoritmo concreto sería un tema difícil de resolver: el sistema adapta sus algoritmos dependiendo de los nuevos datos que trate. Citando un artículo[xiii] de la "MIT Technology Review", "Nadie realmente sabe cómo los más avanzados algoritmos hacen lo que hacen. Esto podría ser un problema". 

Cualquiera de de las tres soluciones parece tener sus problemas, quizás la solución no sea una u otra sino todas al unísono. 

Pero hay una última de la que no habla la infografía, que ya he apuntado antes: la educación, es decir, aprender a tratar la información, contrastarla con diferentes fuentes, aprender cómo conseguir fuentes fiables. Y tomarse el tiempo suficiente -dependiendo de las consecuencias de la acción posterior- para tomar en consideración una información u otra.  

En definitiva, aprender a vivir en la sociedad de la información. 

* * *

Este artículo fué publicado originalmente por @PuntoSeguridad.com/"Cuadernos de Seguridad", junio 2017, nº 323, pg.84, Ciberseguridad – "¿Sociedad de la información o sociedad inundada de información?" – María José de la Calle.

------------------------------------

[i] "Bot Traffic Report 2016". url [a 20170424]  https://www.incapsula.com/blog/bot-traffic-report-2016.html   

[ii] "Un bot (aféresis de robot) es un programa informático, imitando el comportamiento de un humano", según la definición que ofrece Wikipedia. url [a 20170424] https://es.wikipedia.org/wiki/Bot  

[iii] "How can we leverage bot technologies to reach new audiences on messaging platforms and social media?" url [[a 20170424] http://bbcnewslabs.co.uk/projects/bots/  

[iv] O. Varol, E. Ferrara, C. A. Davis,F. Menczer, A. Flammini (20170327)  "Online Human-Bot Interactions: Detection, Estimation, and Characterization".  url [a 20170424]  https://arxiv.org/pdf/1703.03107.pdf  

[v] H. Allcott, M. Gentzkow (201703).  "Social Media and Fake News in the 2016 Election".  url [a 20170424] https://web.stanford.edu/~gentzkow/research/fakenews.pdf  

[vi] "La historia de los hombres" Pag. 84. Josep Fontana. Ed. Crítica, 2001. 

[vii] url [a 20170424] https://es.wikipedia.org/wiki/Byte  

[viii] M. Khoso (20160513)  "How Much Data is Produced Every Day?". Northeastern University. url [a 20170424]  http://www.northeastern.edu/levelblog/2016/05/13/how-much-data-produced-every-day/  

[ix] "Learn how to distinguish between credible news sources and identify information biases to become a critical consumer of information". edx.  url [a 20170424] https://www.edx.org/course/fake-news-facts-alternative-facts-michiganx-teachout-2x  

[x] "Fake news is a serious problem in the U.S. right now, for several reasons: it is influencing the actions of real people, and people are having difficulty undestanding which news is real and which news is fake" Futurism.com. url [a 20170424] https://futurism.com/images/fighting-fake-news-can-technology-stem-the-tide/  

[xi] N. Wingfield, M. Isaac, K. Benner (20161114)  "Google and Facebook Take Aim at Fake News Sites" The New York Times. url [a 20170424]   https://www.nytimes.com/2016/11/15/technology/google-will-ban-websites-that-host-fake-news-from-using-its-ad-service.html?_r=0  

[xii] A. Romano (20170324) "Facebook is fighting fake news by making it harder — or at least more annoying — to share" Vox. url [a 20170424]  http://www.vox.com/culture/2017/3/24/15020806/facebook-fake-news-alert-fact-checking 

[xiii] "No one really knows how the most advanced algorithms do what they do. That could be a problem."  W. Knight (20170411) "The Dark Secret at the Heart of AI". MIT Technology Review. url [a 20170424]  https://www.technologyreview.com/s/604087/the-dark-secret-at-the-heart-of-ai/ 

 

Contadores inteligentes: 4 zonas de inseguridad

Thursday, 20 July 2017 Maria Jose de la Calle Posted in iTTi Views

Se han producido dos hechos que me han llevado a hacer algunas reflexiones sobre los contadores -equipos de medida del consumo eléctrico, de gas o de agua-  llamados "inteligentes". (Hoy día todo tiene que ser inteligente, ¿será que las personas ya no lo somos tanto?). 

El primero de los hechos, la recomendación de un artículo[i] en el boletín semanal del "Centro de Ciberseguridad Industrial" (CCI) del 8 de mayo pasado sobre la seguridad -o mejor dicho, inseguridad- de dichos contadores, tal y como indica su título, "Productos seguros: utilizando los contadores inteligentes como vectores (portadores) de ataque". 

El segundo, unos días después, la llegada de una carta de Iberdrola informándome de la próxima sustitución del contador actual por otro "inteligente".  

Según la carta, los nuevos equipos de medida permiten la telegestión, significando esto, y cito textualmente "la capacidad de lectura de contadores y cambio de condiciones de contrato sin personarse en el domicilio". Es decir, los nuevos equipos de medida suponen un enlace directo con la empresa suministradora.  

Entre las ventajas que se supone que aportan al usuario son localizar más rápidamente el origen de una avería, y por tanto, resolución más rápida; el acceso desde la web del propio usuario al contador para poder obtener datos de consumo, de contrato, o la reconexión del interruptor de control de potencia (ICP) tras un disparo por sobrecarga.

Dichos contadores además de informar sobre el consumo, "incluyen comunicación bidireccional a intervalos frecuentes y pueden informar de situaciones como apagones", como bien resume el artículo anteriormente citado. 

Estos equipos están comunicados -en la mayoría de los casos, por medio de la red móvil GSM- a servidores, a los que envían y desde los que reciben datos. Los datos intercambiados pueden ser de varios tipos, tal y como se informa en la carta: contractuales y personales, de estado del equipo, u  órdenes que se le pueden dar a dicho equipo -como la reconexión del ICP, por ejemplo-. 

La falta de seguridad en estos dispositivos, y sus comunicaciones, hace que bienes personales y de las empresas se encuentren amenazados, tanto los virtuales -información en general- como los físicos. Hoy día los procesos físicos están controlados por software -ataques a las subestaciones eléctricas de Ucrania, por ejemplo-. 

Algunas amenazas en el uso de los contadores inteligentes

Así, volviendo al citado artículo "Productos seguros: utilizando los contadores inteligentes como vectores (portadores) de  ataque", su título ya nos proporciona alguna pista. 

Dicho artículo se apoya en un informe[ii] de hace diez años del Sandia National Laboratories[iii] de EEUU, en el que se describen varias amenazas a tener en cuenta en el uso de dichos dispositivos, en un momento entonces incipiente. 

Tales amenazas se centraban -para la empresa- en el propio cliente que podía alterar sus consumos o el precio para así conseguir energía más barata; en la amenaza interna de la empresa -los propios empleados- para alterar el comportamiento de los dispositivos y sistemas comunicados entre sí, y en el terrorismo y la amenaza de otra nación hacia la infraestructura crítica que supone la red eléctrica, de distribución de gas o de agua. Los autores del informe suponían, por tanto, la debilidad de  los equipos de medida y de la red creada alrededor de unos servidores con los cuales se comunicaban.  

Se pueden delimitar tres zonas que pueden resultar atacadas: el propio contador, el servidor con el que se comunica y la estación de producción o distribución del bien de que se trate.  

Ahora bien, el contador está situado entre la red de suministro y el edificio al cual se le suministra energía. 

Cambiando la perspectiva de la red de suministro hacia el destino del suministro, es decir, hacia el cliente, este se puede ver amenazado por un ciber-delincuente que piratee el contador o recoja los datos que circulan a través de las redes inalámbricas o móviles con las que se conecta dicho contador con la empresa suministradora. 

Como la propia empresa suministradora indica en sus cartas, los datos son contractuales y personales (lo que puede suponer una violación de la intimidad); de estado del equipo; u órdenes que se le pueden dar a dicho equipo.

Estas órdenes, entre otras cosas, pueden dejar sin suministro al edificio o causar una sobrecarga, lo que  puede producir daño a los bienes conectados y a lo que contengan -alimentos refrigerados o congelados, por ejemplo- o daños personales, al dejar de tener el suministro adecuado de energía -piense, por ejemplo, en dispositivos eléctricos para el cuidado de la salud-. 

Con esta nueva perspectiva, aparece la cuarta zona de inseguridad, que es la relativa al cliente y sus datos personales, así como sus bienes necesitados de un correcto suministro de la energía.   

De lo expuesto, sería lógico esperar que los llamados contadores inteligentes y la red que conforman con los servidores a los que se conectan, estarían actualmente equipados con toda suerte de medidas de seguridad para evitar que los datos fuesen robados o modificados, o para servir de llave de entrada a la organización, como portador de malware.

Sin embargo, a pesar de que han pasado ya diez años desde el informe del Sandia National Laboratories, los equipos de medida no parece que hayan cambiado mucho y las amenazas parece que cada vez tienen más posibilidades de materializarse.  

Algunas debilidades de los contadores inteligentes

El periódico El Confidencial informaba[iv] en enero del último Chaos Communications Congress, celebrado en Hamburgo (Alemania) a finales de diciembre del pasado año 2016. En dicho congreso, Netanel Rubin -experto en ciberseguridad israelí- avisaba de los peligros de estos equipos. 

Hay que destacar que: "Los contadores inteligentes son poco seguros por diseño”, “no tienen una CPU -unidad central de proceso de un ordenador- con suficiente potencia ni memoria para utilizar claves de cifrado fuertes”. Estas características implican que la parte del código que controla las comunicaciones está normalmente reducido y optimizado. 

Habitualmente, la forma en que se comunican los contadores con los servidores de las compañías es mediante el protocolo GSM, el estándar de comunicaciones 2G utilizado en las redes móviles, eminentemente inseguro[v]. 

Aunque todo esto ya resulta alarmante, siguiendo con el artículo, la entrada física de un ladrón en un edificio se puede ver facilitada. 

Por una parte, dado que entre los datos del contador figura el consumo, se puede deducir cuándo el edificio o vivienda están vacíos. 

Por otra, desde el contador inteligente se podría -si no hay cortafuegos o contraseñas robustas- tener "acceso a todos los dispositivos inteligentes del edificio conectados a él, desde el aire acondicionado hasta un sistema de cierre de puertas automático”. 

Si entre los dispositivos inteligentes está la cerradura de la puerta, ya no será necesario forzarla -físicamente- para entrar. 

Además, “los contadores están situados en un punto crítico de la red eléctrica, debido a la gran cantidad de voltaje que reciben y distribuyen. Una línea de código incorrecta podría causar serios daños, un atacante que consiguiera controlar el software que rige el aparato, podría hacer que este explosione y provoque un incendio”. 

En 2015, en Sacramento[vi] (California) esto fue lo que ocurrió, la explosión de contadores, no por el  software en este caso, sino por una causa física que produjo una sobrecarga.  

¿Se puede hacer algo?

Se puede, tal como aconseja la autora del artículo, "Los riesgos se evitarían si las compañías usaran un método de cifrado robusto, si segmentaran la red para emplear claves variadas y si monitorizaran el sistema". 

Parece que en España algunas compañías eléctricas aseguran que colocan contadores cuyos datos están cifrados y tienen dos claves de seguridad; y que, además, realizan constantemente análisis de vulnerabilidades a toda la infraestructura de telegestión, incluidos los equipos de campo. 

(Espero que entre ellas esté Iberdrola porque es la que alimenta mi ordenador y mi nevera).  

* * * 

Este artículo fué publicado originalmente en la web de ComunicacionesHoy  – "Contadores inteligentes: 4 zonas de inseguridad" el día  12/06/2017 - María José de la Calle. 

---------------------------------------

[i] "Safety products: Using smart meters as a digital attack vector" (20170424) Utility Products url [a 20170606] http://www.utilityproducts.com/articles/2017/04/safety-products-using-smart-meters-as-a-digital-attack-vector.html  

[ii] Raymond C. Parks (200711) "Advanced Metering Infrastructure Security Considerations" Sandia National Laboratories url [a 20170606] https://energy.gov/sites/prod/files/oeprod/DocumentsandMedia/20-AMI_Security_Considerations.pdf  

[iii] url [a 20170606] https://es.wikipedia.org/wiki/Laboratorio_Nacional_Sandia   

[iv] Lucía Caballero (20170110) "Por qué el contador inteligente de la luz es una bomba de (ciber)relojería en tu casa" El Confidencial url [a 20170606] http://www.elconfidencial.com/tecnologia/2017-01-10/contador-inteligente-factura-luz-electricidad-ciberataques_1314050/  

[v] Daviid G. Ortiz (20140308) "Investigadores españoles demuestran que las redes 3G se pueden 'hackear' al menos de cuatro formas" eldiario.es url [a 20170606] http://www.eldiario.es/hojaderouter/seguridad/root2G-3G-ataques-David_Perez-hacking-Jose_Pico-Layakk-redesed_con-seguridad_informatica_0_275772476.html 

[vi] "Stockton Smart Meters Explode After Truck Causes Power Surge" (20150330) CBS Sacramento url [a 20170606] http://sacramento.cbslocal.com/2015/03/30/stockton-smart-meters-explode-after-truck-causes-power-surge/ 

 

¿Pueden pensar las máquinas?

Thursday, 13 July 2017 Maria Jose de la Calle Posted in iTTi Views

El título de esta artículo es en realidad parte de la frase con la que comienza el artículo de Alan Turing titulado "Computing Machinery and Intelligence"[1], publicado en 1950. La frase completa era "Propongo considerar la pregunta, ¿pueden pensar las máquinas?" colocada debajo del epígrafe "1.El juego de imitación", que, como ya habrá adivinado el lector, conduce al conocido "Test de Turing", importante precursor de la disciplina conocida como "Inteligencia Artificial" (IA).

Hoy día se están popularizando términos como computación cognitiva, redes neuronales y aprendizaje profundo -deep learning-, todos ellos conceptos relacionados con la IA, de los que cuales se lleva hablando ya desde mediados del pasado siglo XX.  

Pero no es hasta mediados de la primera década de este siglo XXI cuando se produce un despegue del llamado "aprendizaje de las máquinas" con unos resultados y unas posibilidades que en estos momentos no llegamos a ver. 

Han empezado a proliferar aplicaciones y herramientas basadas en estos modelos de computación, que son los del aprendizaje de las máquinas o "aprendizaje profundo", o herramientas de simulación para hacer predicciones con multitud de datos recogidos de situaciones parecidas, con los que las máquinas aprenden. 

Tanto es así, que los productos que empiezan a salir al mercado, parece que deben llevar alguna etiqueta haciendo referencia a la IA, como "reconocimiento del lenguaje natural", "computación cognitiva",  "aprendizaje de la máquina", etc.  

Empresas como Google, Facebook, Apple, IBM, Salesforce, CISCO, etc. están inmersas en investigación de herramientas y plataformas que utilicen algoritmos de "aprendizaje de las máquinas". En ciberseguridad se está considerando como una potente ayuda a la cantidad de ciberamenazas a que se enfrentan las organizaciones.  

En palabras de Jense Huang -CEO de Nvidia- "El software se está comiendo el mundo, pero la IA va a comerse el software"[2]. 

De la misma manera, las empresas consumidoras demandan, también, dichos productos como solución a sus problemas. 

¿Pero es necesario utilizar para cualquier tarea este tipo de herramientas? ¿O quizás habría que pararse a pensar qué herramienta es necesaria para la tarea concreta independientemente de que lleve la etiqueta de IA o no?  

En diciembre del pasado año 2016, el CISR de la MITSloan en uno de sus "Research Briefing" titulado "Cinco cosas que debes conocer de la computación Cognitiva"[3] publicó datos de un estudio sobre este tema en base a entrevistas realizadas a líderes del negocio y de tecnología de treinta y tres empresas. 

Del estudio se desprende que, por una parte, no hay soluciones inmediatas a las incertidumbres de hoy, y por otra, las soluciones no son universales, ni para todos los problemas y tareas, ni para todas las empresas. Antes de implementar soluciones IA, se deben conocer muy bien las reglas del negocio. 

Las Tecnologías de la Información (TI) son herramientas, muy potentes sin duda, y que han cambiado y siguen cambiando el mundo, pero herramientas al fin y al cabo, que hay que saber dónde, para qué y cómo utilizar. 

Pero empecemos con ... 

Un poco de historia 

El famoso "Test de inteligencia" propuesto por  Alan Turing en 1950, ya mencionado, consistía  en que un humano evaluara conversaciones en lenguaje natural entre otro humano y una máquina diseñada para generar respuestas similares a las de un humano. Se podría calificar de "inteligente" a la máquina si el humano que evaluaba a ambos participantes no supiera distinguirlos.

Unos años después, en 1955, John McCarthy (Dartmouth College), Marvin Minsky (Harvard University), Nathan Rochester (I.B.M. Corporation) y Claude Shannon (Bell Telephone Laboratories) convocaron a un grupo de investigadores para una reunión en el Dartmouth College. 

En la propuesta[4] de temas a tratar que hicieron para la cumbre, aparecieron términos como procesamiento del lenguaje natural, redes neuronales (Neural Nets o NN), aprendizaje y "auto-mejora" (self-improvement) de las máquinas, entre otros.  

El aprendizaje de las máquinas se describía[5] como un mecanismo con canales de entrada y salida, así como de un medio -algoritmos matemáticos- para dar una variedad de respuestas de tal manera que la máquina pudiera ser entrenada por un proceso de "prueba y error" para escoger una de entre una variedad de funciones de "entrada-salida".  

En esencia, esto es lo que hacen las redes neuronales, "que consisten de muchos procesadores sencillos conectados, llamados neuronas, cada uno produciendo una secuencia de activaciones de valores reales. Las neuronas "input" se activan a través de sensores que perciben el entorno, otras neuronas se activan a través de conexiones ponderadas (dando pesos a los distintos datos, de forma análoga a la importancia que se da a los distintos factores cuando se toman decisiones) procedentes de neuronas ya activas"[6]. Son algoritmos y modelos estadísticos. 

La reunión de Dartmouth, efectivamente, tendría lugar en el verano del año siguiente,1956, y entre la veintena de participantes, incluidos los firmantes de la convocatoria, se reunieron tres premios Nobel y cuatro premios Turing[7].

Fue en esta "Conferencia de Dartmouth"[8] ("The Dartmouth Summer Research Project on Artificial Intelligence") donde quedaría acuñado oficialmente el término "Inteligencia Artificial" ("Artificial Intelligence"). 

El nuevo concepto[9] se definió como "la ciencia y la ingeniería para hacer máquinas inteligentes, particularmente programas de ordenadores inteligentes"; entendida dicha inteligencia como "la parte computacional de la capacidad para conseguir objetivos en el mundo". 

Los algoritmos y modelos matemáticos relacionados con las NN han evolucionado desde los años 40 del pasado siglo, de unas cuantas etapas de computación en respuesta a unas cuantas capas de NN (Shallow NN), a algoritmos desarrollados entre los años 60 a 80 para los modelos lógicos de NN complejas de miles de "neuronas" simuladas, organizadas en docenas o centenas de capas interconectadas. 

Las neuronas de la primera capa reciben un dato de entrada o señal -como la intensidad de un pixel en una imagen- y realizan cálculos para entregar como resultado una nueva señal a las neuronas de la siguiente capa, y así hasta obtener un resultado final[10]. 

La profundidad (deep = profundo) del "deep learning" -aprendizaje profundo-, se refiere a la arquitectura de las máquinas en las capas ya mencionadas, análogas a la profundidad de las capas de neuronas interconectadas del cerebro. 

Pese a lo que ya dura la investigación en IA, solo en este siglo XXI[11], y concretamente a partir del año 2006, parece haberse dado el pistoletazo de salida a una carrera en pos de producir herramientas tanto para uso de cualquier ciudadano como para uso industrial -robótica- y empresarial. 

Ha sido en este siglo cuando, por una parte, se ha dispuesto de la cantidad de datos suficiente como para poder alimentar el "aprendizaje" de una máquina; y, por otra, se ha alcanzado una eficiencia y potencia de cálculo en las máquinas notablemente superior a las coetáneas de los principales algoritmos y modelos de la IA del pasado siglo. 

Así las cosas, en el año 2006 Geoffrey Hinton y Ruslan Salakhutdinov -miembros, ambos, en ese momento del departamento de "computer science" de la Universidad  de Toronto- publicaron[12] cómo acelerar el proceso de "deep learning", popularizando este concepto, e impulsando la IA. 

Desde entonces se ha progresado mucho. El reconocimiento de fotografías - por ejemplo las de los gatos, (Google, 2012) o las de personas (Facebook, 2015)-, los llamados "asistentes virtuales" con reconocimiento del lenguaje natural -Siri, Cortana o Alexa-, o las aplicaciones de búsqueda, análisis y clasificación de todo tipo de datos -como ofrece la plataforma "Watson" de IBM-, son todos ejemplos de dicho progreso.  

Es precisamente a IBM, y concretamente a su plataforma "Watson" de IA, a quien se le asocian los términos "computación cognitiva" y "sistemas cognitivos". El Dr. John E. Kelly III, Vicepresidente de "IBM Research", en un documento del 2015, define estos términos como "referidos a sistemas que aprenden a escala, razonan con un propósito e interactúan con humanos de manera natural. En vez de ser explícitamente programados, aprenden y razonan desde su interacción con nosotros y desde sus experiencias con el entorno"[13]. 

Una propuesta muy similar a la recogida en la convocatoria del año 1955 para la Conferencia de Dartmouth, ya citada. 

* *

Sobre la computación cognitiva en las organizaciones

Volviendo a la investigación llevada a cabo por el equipo del CISR[14], en el artículo se declara como objetivo de dicha investigación responder a una serie de preguntas: ¿Cómo de disruptiva es la computación cognitiva (CC)? ¿Cambiará radicalmente la CC los negocios y los trabajos? ¿Qué deben hacer los líderes del negocio para sacar provecho de las posibilidades que le ofrecen? ¿Cómo evitar los riesgos desconocidos? A mi juicio, unas incógnitas perfectamente planteables en el ámbito de la adopción y uso, por parte de las organizaciones, de las tecnologías de la información.  

El documento define la CC "como un sistema que adapta sus algoritmos o procesamiento subyacentes dependiendo de la exposición a nuevos datos"[15].  De esto se puede deducir que, a la hora de desarrollar dicho sistema se necesitan en primer lugar, muchos datos, y, en segundo lugar, tiempo para  estabilizar los algoritmos y conseguir los resultados buscados. 

Los usos que los negocios puedan hacer de la CC serán útiles si los productos que la incorporen son consistentes, precisos y fiables. Dichos usos tienen el potencial de hacer más eficientes los procesos operativos y de toma de decisiones; pero, para ello, dichos procesos se deben entender muy bien, han de estar muy bien diseñados y ya deben estar digitalizados, como condiciones previas a su automatización empleando CC.  

Los autores declaran que en la investigación inicial "aprendieron cinco lecciones": 

1ª Lección: la CC debe aplicarse a tareas definidas muy concretas. Como ya se ha visto anteriormente, los dos hechos relevantes que han permitido el desarrollo de la IA han sido la disponibilidad de potencia de procesamiento, y por otro, el fácil acceso a gran cantidad de datos electrónicos. Estos dos hechos han permitido innumerables y rápidas iteraciones de aplicaciones que podían probar hipótesis, obtener patrones y optimizar modelos.  

Como resultado, los negocios pueden obtener éxito al aplicar herramientas de aprendizaje de las máquinas sólo a los procesos que 1) tengan un resultado establecido; 2) sean muy repetitivos, y 3) dependan de datos electrónicos accesibles e interpretables.  

Por ejemplo: la evaluación de un crédito bancario a un cliente potencial. 

2ª Lección:  Muchos problemas de negocio no son adecuados para la CC. La CC no puede conformar decisiones sobre entornos de alta incertidumbre o rápido cambio, por ejemplo, porque no existen aún herramientas de base, porque los datos relevantes puede que no se conozcan o no estén disponibles, y la frecuencia de un tipo de decisión sea baja. A esto se puede añadir que algunas decisiones dependen más de un instinto creativo que de un argumento de patrones establecidos. 

3ª Lección: Las máquinas aprenden sólo si los humanos las entrenan mucho. Por ejemplo, la preparación de Watson para ganar el concurso Jeopardy llevó seis años de esfuerzo. 

El uso de CC en diagnóstico médico requiere alimentar a la máquina con una gran cantidad de investigaciones médicas así como de historiales de pacientes. 

Algunas aplicaciones requieren un gran esfuerzo de enseñanza antes de que los algoritmos se estabilicen: el procesamiento del lenguaje natural sigue reglas gramaticales, pero el vocabulario puede ser muy variable en su significado, dependiendo de muchos factores, entre ellos, el contexto. 

En entornos cambiantes, el proceso de enseñanza ha de continuar ya que los motores de recomendaciones han de ser re-entrenados para adaptarse a los cambios en productos y servicios. 

4ª Lección: En muchos casos son los comerciales los mejor posicionados para recuperar las inversiones en CC. El rendimiento de la CC llega solo después de que un sistema tenga una sólida base de conocimiento, para lo cual, como ya se ha dicho, se necesita tiempo y esfuerzo. 

Para muchas aplicaciones de negocio, es posible que una sola compañía no pueda justificar la inversión requerida para, recoger, diseñar y almacenar los datos, y los modelos iniciales para comenzar el aprendizaje de la máquina. 

Los comerciales pueden recuperar las inversiones vendiendo los sistemas a otras compañías. Por otra parte, para muchas aplicaciones de la CC, las empresas harían bien en esperar productos que  ofrecieran una base de conocimiento y el modelo inicial para poder comenzar su proyecto CC.   

5ª Lección: Las compañías deben proceder de manera gradual para implementar aplicaciones de CC. El éxito de la aplicación al negocio de la CC va de la mano del crecimiento de los individuos en su comprensión del negocio. Un conocimiento vago en las reglas del negocio, limita las posibilidades de éxito en la adopción y uso de la CC. Si el resultado deseado no está claro o los datos que se requieren no están disponibles, una tarea no será adecuada para la CC. 

Una estrategia gradual de valor añadido para la CC sería la siguiente: 

   1) las empresas establecen buenas reglas de negocio mediante las personas, quienes al ejecutar una tarea aprenden las relaciones entre distintos datos de entrada y sus resultados; 

   2) con el tiempo, los resultados se entienden lo suficientemente bien como para que se puedan automatizar las tareas repetitivas; 

   3) la automatización permite probar las reglas de negocio en diferentes contextos, analizar las relaciones entre datos de entrada y resultados y elaborar o ajustar las reglas; 

   4) en sistemas cerrados, las relaciones entre datos de entrada y resultados podría ser lo suficientemente clara como para permitir herramientas de análisis predictivo; y, 

   5) para problemas complejos, la CC podría ser una opción si el sistema pudiera tener acceso a suficientes datos útiles de tal manera que la máquina tuviera una base para adaptar sus propios algoritmos. 

 * *

Conclusiones

Los autores del artículo concluyen que, al contrario que lo que se dice de ella, la CC no será probablemente tan disruptiva para la mayoría de las empresas. Algunas de éstas conseguirán beneficios desarrollando productos de negocio o de consumo que incorporen capacidades de CC.

Sin embargo, la mayoría de los líderes empresariales encontrarán el mejor camino para impulsar las oportunidades y gestionar los riesgos de la CC, invirtiendo en la mejora gradual de sus procesos. Con el tiempo, la mejora de los procesos producirán un aumento en la automatización y, quizás, conduzcan a procesos de CC.  

"No preguntes si las máquinas pueden pensar, pregunta cómo las máquinas se integran en los mecanismos que diseñamos"  

Peter Norvig. Director of Research, Google Inc, 2015. [16]

* * *

Este artículo fué publicado originalmente en la web de ComunicacionesHoy  – "¿Pueden pensar las máquinas?" el día 18/05/2017 – María José de la Calle.    

----------------------------------------------

[1] A.M.Turing (1950)  "Computing Machinery and Intelligence. Mind 49: 433-460". "1."The Imitation Game" / "I propose to consider the question, "Can machines think?"" url [a 20170515] https://www.csee.umbc.edu/courses/471/papers/turing.pdf  

[2] Tom Simonite (20170512) "Nvidia CEO: Software Is Eating the World, but AI Is Going to Eat Software" MIT Technoly Review. url [a 20170513]   https://www.technologyreview.com/s/607831/nvidia-ceo-software-is-eating-the-world-but-ai-is-going-to-eat-software/?set=607859 

[3] Jeanne W. Ross, Cynthia M. Beath, Monideepa Tarafdar (201612) "Five Things You Should Know About Cognitive Computing". Reseach Briefing, Vol. xvi, Nº 12. MIT CISR url [a 20170514]  https://cisr.mit.edu/blog/documents/2016/12/15/2016_1201_cognitivecomputing_rossbeathtarafdar.pdf/ 

[4] "A Proposal for the Dartmouth Summer Research Project on Artificial Intelligence" url [a 20170511] 

http://www-formal.stanford.edu/jmc/history/dartmouth/dartmouth.html 

[5] "The machine is provided with input and output channels and an internal means of providing varied output responses to inputs in such a way that the machine may be ``trained'' by a ``trial and error'' process to acquire one of a range of input-output functions." Ver referencia nota iv.  

[6] Jürgen Schmidhuber, (20141013) "Deep learning in neural networks: An overview" Neural Networks Volume 61, January 2015, Pages 85–117. url [a 20170511] http://www.sciencedirect.com/science/article/pii/S0893608014002135 

[7] La lista de participantes proporcionada por la  Wikipedia  (los premios no figuran): 1) Ray Solomonoff, 2) Marvin Minsky - Premio Turing, 3) John McCarthy  - Premio Turing, 4) Claude Shannon - Premio Nobel, 5) Trenchard More, 6) Nat Rochester, 7)Oliver Selfridge, 8) Julian Bigelow, 9) W. Ross Ashby, 10) W.S. McCulloch, 11) Abraham Robinson, 12) Tom Ette, 13)John Nash - Premio Nobel, 14) David Sayre, 15) Arthur Samuel, 16) Shoulders, 17) Shoulders' friend, 18) Alex Bernstein, 19) Herbert Simon - Premio Nobel - Premio Turing, 20) Allen Newell - Premio Turing.  url [a 20170516] https://en.wikipedia.org/wiki/Dartmouth_workshop 

[8] Ver nota [7].

[9] " It is the science and engineering of making intelligent machines, especially intelligent computer programs" entendida la inteligencia como "Intelligence is the computational part of the ability to achieve goals in the world". J.McCarthy (20071211) "What is Artificial Intelligence". Stanford.edu  url [a 20170511] http://www.formal.stanford.edu/jmc/whatisai/node1.html 

[10] Will Knight (20170411) "The Dark Secret at the Heart of AI". MIT Technology Review. url [a 20170511] https://www.technologyreview.com/s/604087/the-dark-secret-at-the-heart-of-ai/  

[11] "A Short History Of Deep Learning -- Everyone Should Read"  Forbes. https://www.forbes.com/sites/bernardmarr/2016/03/22/a-short-history-of-deep-learning-everyone-should-read/2/#a34cb06710c4  

[12] G. E. Hinton, R. R. Salakhutdinov. "Reducing the Dimensionality of Data with Neural Networks"  "28 July 2006 VOL 313 SCIENCE" https://www.cs.toronto.edu/~hinton/science.pdf 

[13] "Cognitive computing refers to systems that learn at scale, reason with purpose and interact with humans naturally. Rather than being explicitly programmed, they learn and reason from their interactions with us and from their experiences with their environment."  John E. Kelly III (oct, 2015)  "Computing, cognition and the future of knowing" IBM. url [a 20170514] http://www.research.ibm.com/software/IBMResearch/multimedia/Computing_Cognition_WhitePaper.pdf  

[14] Ver nota [3]

[15] "We define cognitive computing as a system that adapts its underlying algorithms or processing based on exposure to new data". Ver referencia en nota [3]. 

[16] Peter Norvig (2015)  "Ask Not Can Machines Think, Ask How Machines Fit Into The Mechanisms We Design". Edge.org url [a 20150515] https://www.edge.org/response-detail/26055 

 

¿Seguridad obligatoria?

Thursday, 08 June 2017 Maria Jose de la Calle Posted in iTTi Views

En el pasado mes de septiembre de 2016 apareció en diversos medios la noticia de la existencia de un pendrive USB que podía quemar el dispositivo al cual se conectara. Su nombre, "USB Killer"[i]. 

El motivo inicial de su fabricación no era causar daño, sino emplearlo como herramienta de verificación de aquellos dispositivos que contasen con uno, o más, puertos USB. De este modo, habría de servir para asegurar que dichos puertos se comportaban de manera segura, previniendo ataques eléctricos o robo de datos a través de los mismos. Sin embargo, la mayoría de las pruebas realizadas han dado como resultado la destrucción del dispositivo maestro, ya fuese un ordenador, un televisor o cualquier otro equipo dotado de conectores USB.   

Tal y como se dice en el blog de USBkill[ii], las empresas de hardware deben ser responsables de los fallos de seguridad de sus productos, máxime en estos momentos en que cualquier objeto de uso común puede llevar un chip con capacidad de almacenamiento, procesamiento y acceso a Internet, amén del ya mencionado puerto USB, mediante el cual se pueden intercambiar datos. 

Aunque según sus propios autores, la única empresa que parece les ha prestado cierta atención ha sido Apple, se han decidido a comercializar su creación "USB Killer". 

No es muy probable que un usuario individual lo compre para probar sus propios dispositivos, a título personal, porque lo más probable es que aquellos acaben "fritos", a riesgo, además, de que  el fabricante no le reponga, o le compense por, el equipo estropeado. ¡Aunque, sin duda, sería todo un detalle! 

Es evidente que la tecnología, normalmente, va por delante de leyes y regulaciones. Sin embargo, no es menos cierto que de la seguridad tecnológica -hoy, digital- se lleva hablando varias décadas -el primer virus informático conocido fue desarrollado a principios de los años 80 para un ordenador "Apple II"[iii]-; desde entonces, también se ha venido vendiendo software que ofrecía pocas garantías por sus vulnerabilidades, a la espera resignada de los consabidos parches.  

Como consecuencia de ello, una norma, tal vez no escrita, pero bastante extendida, de facto, en muchas instalaciones instaba a no implantar las últimas versiones de cualquier paquete software, a la espera de que se fueran subsanando los errores.

Todo ello difiere, notablemente, de las circunstancias que rodean a otros productos que ofrece el mercado. Generalmente, si estos no funcionan o no se ajustan a sus especificaciones, son retirados de la cadena de distribución. Cuando tal decisión llega tarde -el producto ya está en el mercado-, las reclamaciones de los compradores son atendidas mediante la sustitución del producto defectuoso o mediante la compensación económica pertinente (incluida la devolución del pago realizado).

Hasta hace poco, el software trataba únicamente con objetos virtuales y no actuaba sobre el mundo físico real. Sin embargo, con la inclusión en todo tipo de objetos de chips con capacidades de comunicación y tratamiento de datos, las cosas han cambiado. 

Piense, por un momento, en las omnipresentes cámaras de vigilancia. Éstas graban y transmiten dichas grabaciones a centros de control. De ese modo, se convierten en los "ojos" que todo lo ven, y que todo lo "cuentan". Sin embargo, esa captura y transmisión de información (imágenes) no siempre se realiza con garantía plena de seguridad, (¡por no citar los aspectos relacionados con la intimidad!). Cualquier dispositivo conectado en un entorno corporativo, como las cámaras, puede "caer" en manos de personal no autorizado, quien podría tener interés en obtener información de forma ilícita o, peor aún, utilizarlo -utilizar las cámaras, en el ejemplo- como puerta de entrada, como punto débil para conseguir el acceso a otros activos de la organización.  

El artículo "Design Flaws in IP Surveillance Cameras"[iv], de la revista "Hackin9", indica que las debilidades de seguridad en torno a estos dispositivos son múltiples; desde disponer de las credenciales de acceso al dispositivo, empleadas por defecto por el fabricante -credenciales fácilmente localizables en cualquier manual publicado en Internet-, hasta poder obtenerlas por encontrarse sin cifrar en la memoria de la cámara, etc.; todo lo cual favorecería su manipulación, por ejemplo, mediante la sustitución de imágenes falsas que permitieran sustituir el flujo de vídeo real. 

Esa omnipresencia mencionada más arriba, se acentúa, hoy día, con la miniaturización e incorporación de cámaras a teléfonos, tabletas, televisores[v] o frigoríficos. Este último caso forma parte de la propuesta de Samsung[vi], que invita a utilizar el frigorífico como un tablón de anuncios en el que, mediante un panel digital, cada miembro de la familia puede ir dejando sus notas para los demás, como si de un post-it se tratara. Los mensajes están sincronizados con el teléfono de cada habitante de la casa, al que se destina el mensaje. 

En el caso de los televisores, estos ahora incorporan micrófonos[vii] para aceptar órdenes de voz que sustituyan al mando a distancia. De ese modo, podrían recoger -y transmitir- todo lo que se diga en su entorno. 

Hace algún tiempo que se tiene clara la conveniencia de tapar las webcam de los ordenadores.

Es conocida la anécdota que, en este sentido, ha protagonizado recientemente el fundador de Facebook, Mark Zuckeberg, quien aparecía en una fotografía publicada para celebrar los 500 millones de usuarios en Instagram, con la cámara y el micrófono de su portátil cubiertos[viii].

El propio director del FBI[ix] ha aconsejado, dando ejemplo con su propio ordenador, que se tenga esa precaución, del mismo modo que la de cerrar la puerta de nuestro coche. Una comparación que, tal vez, no sea muy acertada: la puerta del coche es un elemento de seguridad para el pasajero, que debe estar cerrada para cumplir su función mientras el coche está funcionando; por el contrario, la cámara o el micrófono, pierden toda su funcionalidad si se tapan. Es decir, en un caso la seguridad aparece cuando el dispositivo (la puerta) se pone en funcionamiento, se cierra; en el otro, es precisamente la "desconexión" del dispositivo la que otorga una mayor seguridad.

¿Querrá ello decir que la práctica aconsejada habría de pasar por dotarse de equipos "antiguos", carentes de dicha tecnología? 

Podría concluirse que la gente acepta y convive con la inseguridad digital. Una inseguridad que lo permea todo, incluidos objetos, aparentemente inocuos que asemejan ser como los de siempre; pero que no lo son.

Durante la última edición del encuentro "Def-Con", celebrada el pasado mes de agosto, en Las Vegas (EEUU), "IoT Village"[x] presentó 47 vulnerabilidades descubiertas en 23 dispositivos de lo más variopinto: desde objetos personales como una "llave inteligente" -August Smart Lock-, que permitía dar acceso, a cualquiera, a la vivienda de su propietario; hasta a paneles solares -"Tigro Energy"-, los cuales permitían llegar a  apagar una pequeña estación de generación de energía eléctrica. 

Ello prueba cómo los fabricantes, en su carrera por llevar al mercado sus productos "smart", están obviando los posibles fallos de seguridad. 

Geoff Webb, -VP, Solution Strategy en Micro Focus- apuntaba, en una reciente entrevista para "Help Net Security"[xi] que muchos de estos objetos se fabrican por empresas que no tienen expertos en ciberseguridad, y los productos llegan al mercado con vulnerabilidades ya conocidas (y que, por tanto, deberían haber sido evitadas). 

La "Online Trust Alliance (OTA)"[xii] después de analizar una serie de vulnerabilidades detectadas en dispositivos y publicadas entre noviembre de 2015 y julio de 2016, halló que todas se podían haber evitado fácilmente. Lo cual, en última instancia, ha de verse como una buena noticia.

Paradójicamente, aquello que le da mayor potencia a la Internet de las Cosas (IoT, por sus siglas en inglés) que no es sino la conectividad y la posibilidad de poder compartir datos instantáneamente con cualquier persona o cualquier otra cosa, constituye la gran amenaza para la ciberseguridad. Cualquier producto con una vulnerabilidad puede comprometer seriamente -efecto dominó- la seguridad de los sistemas u otros dispositivos a los cuales se conecte. 

Las medidas de seguridad establecidas, hasta ahora, en componentes de producto -como las pruebas de frenos, luces, airbag, bloqueo de volante, y un largo etc. a que debe someterse un coche antes de salir de fábrica-, han de complementarse, ineludiblemente, con otras que velen por la ciberseguridad.

El ejemplo de los coches no puede venir más a cuento teniendo en cuenta las numerosas noticias sobre ataques exitosos que han sufrido, tanto los que necesitan conductor como los autónomos, ambos parcial o totalmente controlados por un ordenador.

La IoT está en la base de cualquier desarrollo tecnológico actual. Por ello, tal vez haya que llegar a un consenso entre fabricantes y reguladores, que favorezca la consecución, entre todos, de un entorno más seguro para todos. 

* *

Que la IoT no pase de ser la "Internet de las cosas" a la "Internet de las amenazas", como lo llama el fundador de la firma de ciberseguridad Eugene Kaspersky:  “Internet of Things? I Call It Internet of Threats.”[xiii]

* * *

Este artículo fué publicado originalmente por la revista mejicana Magazcitum el 19/12/2016. Ref: Magazcitum/Opinión, año 7, nº3, 2016. "¿Seguridad obligatoria?" - María José de la Calle.    

--------------------------------------

[i] url [a 25-09-2016]  https://www.usbkill.com  

[ii] "USB kill: Behind The Scenes" (30 de agosto, 2016)  url [a 25-09-2016]  https://www.usbkill.com/blog/usb-kill-behind-the-scenes-b40.html  

[iii] url [a 25-09-2016] https://es.wikipedia.org/wiki/Elk_Cloner  

[iv] Aditya K Sood, Bipin Gajbhiye (2011). "Design Flaws in IP Surveillance Cameras". Hackin9. url [a 25-09-2016] https://www.cigital.com/papers/download/design_flaws_IP_surveillance_cameras_adityaks_bipin.pdf  

[v] Eva Dallo (01 de diciembre, 2013) "¡Ojo! Su televisión puede espiarle". El Mundo. url [a 25-09-2016] http://www.elmundo.es/cronica/2013/12/01/529a24f161fd3dea548b45a0.html 

[vi] url [a 25-09-2016] http://www.samsung.com/us/explore/family-hub-refrigerator/  

[vii] Juan Antonio Pascual (8 de febrero, 2015). "¿Los Smart TV de Samsung graban y envían nuestras voces?" ComputerHoy.com url [a 25-09-2016] http://computerhoy.com/noticias/imagen-sonido/smart-tv-samsung-graban-envian-nuestras-voces-24055 

[viii] Andrew Griffin (22 de junio, 2016) "Mark Zuckerberg seen covering up his webcam in picture celebrating Instagram milestone". Independent.  url [a 25-09-2016] http://www.independent.co.uk/life-style/gadgets-and-tech/news/mark-zuckerberg-seen-covering-up-his-webcam-in-picture-celebrating-instagram-milestone-a7094896.html 

[ix] Andrew Griffin (15 de septiembre, 2016). "Everyone should cover up their laptop webcams right now, says FBI director James Comey". Independent.  url [a 25-09-2016] http://www.independent.co.uk/life-style/gadgets-and-tech/news/everyone-should-cover-up-their-laptop-webcams-right-now-says-fbi-director-james-comey-a7308646.html 

[x] Mirko Zorz (16 de septiembre, 2016). "IoT Village uncovers 47 security vulnerabilities across 23 devices". HelpNetSecurity. url [a 25-09-2016] https://www.helpnetsecurity.com/2016/09/16/iot-village-def-con/  

[xi] Véase nota x.

[xii] Help Net Security (9 de septiembre, 2016). "Are all IoT vulnerabilities easily avoidable?". HelpNetSecurity. url [a 25-09-2016] https://www.helpnetsecurity.com/2016/09/09/iot-vulnerabilities-easily-avoidable/  

[xiii] "¿Internet de las cosas? Yo lo llamo Internet de las amenazas". Eugene Kaspersky (24 de junio, 2015). NbcNews. url [a 25-09-2016] http://www.nbcnews.com/tech/security/kaspersky-smart-fridges-internet-things-i-call-it-internet-threats-n380541  

 

La adicción a la máquina

Wednesday, 17 May 2017 Maria Jose de la Calle Posted in iTTi Views

Nuestro "adicción a la máquina" no pretende hacer referencia a la dependencia de todo tipo de dispositivos personales que actualmente padecemos, sino a la necesidad que sentimos de confiar en las máquinas para extraer conclusiones, dada su mayor rapidez para alcanzarlas. Una celeridad que nos ofrece respuestas de manera casi inmediata; pero que no obstante, se antoja insatisfactoria, a la vista de nuestro permanente deseo de dotar a las máquinas de una mayor velocidad. 

La evolución de las máquinas ha traído muchos beneficios a la Humanidad, pero también algunos perjuicios cuando se han utilizado de manera inapropiada.  

El tiempo transcurrido desde que se inventa una máquina hasta que la Sociedad adopta su uso de forma generalizada, se hace más corto cada vez. De tal modo que no da tiempo ni a conocer los riesgos de dicho uso ni a adoptar las medidas para mitigarlos. Medidas tales como fabricar la máquina de forma correcta, o producir, ordenadamente, el cambio de costumbres que, presumiblemente, requiera el referido uso. 

Cuanto más utilizamos las máquinas, más les pedimos que hagan para nosotros, entrando en un bucle sin fin y carente de la oportuna reflexión. 

El Diccionario de la Real Academia Española de la Lengua (DRAE) define "máquina"[i] como "artificio para aprovechar, dirigir o regular la acción de una fuerza", como primera acepción. 

Hoy, que tanto se habla de las [r]evoluciones tecnológicas (industriales), cabe segmentar, también en etapas la evolución de las propias máquinas. 

Las primeras máquinas construidas por el Hombre constituían una suerte de continuación de su propio cuerpo que permitían multiplicar, regular o dirigir la fuerza de sus músculos. Estas máquinas estaban "unidas" físicamente a la persona que las manejaba. 

Posteriormente, a estas mismas máquinas se las dotó de cierto grado de autonomía, al incorporarles motores, y en lugar de transformar y multiplicar la energía de los músculos, ejercían su propia fuerza transformando otros tipos de energía, como la generada por el vapor, la eléctrica o la derivada de los combustibles fósiles. 

Con la aparición de la Informática, las nuevas máquinas -los ordenadores y todo tipo de dispositivos computarizados- tuvieron la habilidad de procesar datos, datos "a lo grande", lo que, volviendo a la definición del DRAE, suponía nuevamente amplificar la "fuerza", o la capacidad, de otro órgano humano: el cerebro.  

Esas nuevas máquinas pueden servir como calculadora -hace ya mucho que no se necesita calcular de memoria o hacer una cuenta en un papel-, como repositorio de información -las enciclopedias están digitalizadas-, como agenda de contactos y recordatorios -ya no se necesita acudir a la memoria para acordarse de una cita apuntada no se sabe dónde-, y así un largo etcétera. 

Asimismo, con los ordenadores, se ha multiplicado la información generada y almacenada. A su vez, los propios ordenadores han aumentado su capacidad para tratar dicha información, pero no a la misma velocidad que la producen. Recuerde que los datos, por sí solos, no significan nada; hay que darles un contexto en el cual cobren significado. 

De hecho, hoy hay tantos datos que es humanamente imposible, en muchos casos, poder clasificarlos y extraer de ellos información significativa para un determinado fin. En principio, una misión atribuible a nuestro propio cerebro; pero que resulta muy lento para la cantidad de datos a los que ha de enfrentarse. Si malo es no tener suficientes datos, una gran cantidad de ellos lleva al mismo destino: la imposibilidad de obtener una información útil en un tiempo razonable. Tal vez por eso a las máquinas se les pide cada vez más. 

El tratamiento por parte de aquellas de la inmensa cantidad de datos que actualmente producen las personas y los objetos (otra máquinas), sirve, entre otras cosas, para calcular patrones y correlaciones estadísticas, que pueden ayudar a establecer comportamientos futuros y contribuir a la toma de decisiones. En suma, como se apuntaba al principio, a "extraer conclusiones".  

Hay dos caminos por los cuales se busca mejorar la capacidad de tratamiento de datos y entrega de información y conocimiento. Siguiendo la senda de una mayor eficacia se encuentra la Computación Cognitiva. Por el lado de la mayor eficiencia, aparece la Computación Cuántica y sus anunciados ordenadores cuánticos; obviamente sin olvidar la búsqueda de mayores capacidades de cálculo de los procesadores actuales, tradicionales. 

La Computación Cognitiva -permítame dejar la Cuántica para otro día- persigue "simular el pensamiento humano en un modelo computarizado"[ii]. Implica sistemas de auto-aprendizaje y reconocimiento de lenguaje natural. 

Con ella las máquinas proporcionan una capacidad de análisis de datos mucho más veloz que la de los humanos. Vienen a actuar como un super-cerebro con capacidad de acceder a información en cualquier parte del mundo, de procesar gran cantidad de datos, muchos de los cuales no son cifras o datos estructurados, sino que son fotografías, vídeos, mensajes, documentos, situaciones u otros datos no estructurados.  

De este modo, los resultados proporcionados por las máquinas son correlaciones, patrones o conclusiones servidos en forma de números, gráficos y, por qué no, consejos varios en lenguaje natural sobre qué hacer ante distintas situaciones. 

A las máquinas se les ha proporcionado autonomía de pensamiento, análogamente a lo indicado anteriormente sobre la autonomía mecánica proporcionada mediante la incorporación de motores. 

IBM acaba de presentar -el pasado mes de marzo- su nueva plataforma Watson Data Platform[iii], de computación cognitiva. Según su página web, es capaz de aunar la información de una organización, aprender con cada dato que le llegue, y con sus capacidades analíticas, dar rápidamente nuevas respuestas al negocio, y todo esto "como servicio" en la nube.   

Citando a Guy Creese[iv], vicepresidente de Gartner, "quizás el mayor estímulo que la Inteligencia Artificial puede proporcionar es mantener a las personas centradas en lo que es más importante. La mayoría de las personas necesitan la Inteligencia Artificial para tratar con contextos cambiantes". 

De los dos últimos párrafos habría que destacar, en primer lugar, "dar rápidamente respuestas", en segundo, "en lo que es más importante [...] tratar con contextos cambiantes". Las máquinas pueden resolver el problema de dar respuesta a los cambios y de manera suficientemente rápida. Además, alguna de ellas pueden aprender por sí mismas. 

Por el contrario, como ya se ha indicado, el cerebro -humano- es lento y además no responde bien a situaciones cambiantes[v], por lo que no vamos a poder seguir a las máquinas. Consecuentemente, como se apuntaba al principio, no parece que haya más salida que materializar nuestra "adicción a las máquinas" depositando nuestra confianza en ellas. 

Sin embargo, esto plantea una serie de intrigantes preguntas: ¿Cómo vamos a saber si las respuestas que nos ofrecen las máquinas son las correctas, si tenemos carencias, al menos en capacidad, a la hora de evaluarlas nosotros mismos?; ¿qué otras posibles opciones nos habrán "ocultado"?; y, lo que puede ser más relevante,  ¿estamos siendo capaces de formular las preguntas adecuadas?  

Según el artículo "This Is Your Brain on GPS Navigation" publicado por MIT Tecnology Review[vi], las partes del cerebro que se utilizan para buscar rutas y planificarlas no se activan cuando las direcciones nos las proporcionan, por ejemplo por medio del teléfono o la tableta. En ese sentido, el cerebro es como un músculo, y lo que no se utiliza, se atrofia. Por tanto, cabe plantearse una pregunta adicional: ¿perderemos los humanos ciertas capacidades cedidas a las máquinas?

Volviendo a la cita de Guy Crees, "centrarnos en lo que es más importante", se nos puede olvidar por qué algo es más importante y los criterios para saber que eso es más importante. ¡Como nos lo dice la máquina! 

* * *

Este artículo fué publicado originalmente por ComunicacionesHoy, nº 160,  abril-2017. Referencia: Opinión, pg.10 – "La adicción a la máqina" – María José de la Calle.   

-------------------------------------

[i] url [a 20170327] http://dle.rae.es/?id=OKvTasd 

[ii] "Cognitive computing is the simulation of human thought processes in a computerized model. Cognitive computing involves self-learning systems that use data mining, pattern recognition and natural language processing to mimic the way the human brain works.". "Cognitive computing is used in numerous artificial intelligence (AI) applications, including expert systems, natural language programming, neural networks, robotics and virtual reality. "  Whatis.com url [a 20170327] http://whatis.techtarget.com/definition/cognitive-computing  

[iii] Watson es la plataforma de IBM de Computación Cognitiva. url [a 20170327] https://www.ibm.com/analytics/us/en/watson-data-platform/platform.html  

[iv] "But perhaps the biggest boost AI can provide is keeping people focused on what's most important. Most people need AI to deal with "context switching," "The Latest Battle in Software Is All About Artificial Intelligence" (20161025). Fortune|Tech. url [a 20170327] http://fortune.com/2016/10/25/artificial-intelligence-software/  

[v] Literatura sobre cómo los humanos reaccionamos a los cambios hay mucha. Aquí dejamos dos ejemplos.  url [a 20170327] http://neurocienciaempresaymarketinglucia.blogspot.com.es/2012/09/resistencia-al-cambio-y-neuromanagement.html , http://www.cronista.com/management/-El-cerebro-es-reticente-al-cambio-20131226-0013.html  

[vi] "Parts of the brain that are used to navigate and plan routes aren’t active when directions are fed to us." "This Is Your Brain on GPS Navigation" (20170322).  MIT Technology Review url [a 20170327] 

https://www.technologyreview.com/s/603951/this-is-your-brain-on-gps-navigation/?goal=0_997ed6f472-93e326545f153813777&mc_cid=93e326545f&mc_eid=f684c51e62  

 

Si puerta para qué abierta; y si abierta para qué puerta

Tuesday, 25 April 2017 Maria Jose de la Calle Posted in iTTi Views

La seguridad en general es un concepto que atañe a todas personas en mayor o menor grado. 

Todos los años cuando se acerca el verano aparecen las campañas contra el fuego recomendando ciertas normas para que no se produzcan incendios accidentales cuyas consecuencias pueden ir desde pérdidas medioambientales hasta pérdidas humanas, sin ir más lejos las de los propios bomberos[i]. 

 

Otro ejemplo son las campañas de seguridad vial de la Dirección General de Tráfico, o las medidas de seguridad que en cualquier vuelo se recuerda a todos los pasajeros del avión sin excepción -no preguntan a los pasajeros si las conocen o si ya han viajado en un avión con anterioridad-.

 

De igual modo, la seguridad de la información digitalizada, y de los dispositivos en los que reside y por donde circula es un asunto que en mayor o menor medida nos atañe a todos, tanto en actividades profesionales como privadas.

 

El que hoy en día la información fundamentalmente resida en dispositivos englobados en el término "Tecnologías de la Información" o TI, no significa que los medios para mantenerla segura sean meramente técnicos y que, por tanto, su único responsable sea también el técnico. 

 

No hay duda de que tecnologías más maduras, como el automóvil o la electricidad en el hogar, han evolucionado para ser cada vez más seguras en el plano técnico, pero por muy seguras que consideremos la instalaciones eléctricas que nos rodean a nadie se le ocurre meter los dedos en un enchufe o sumergir en agua un dispositivo conectado a la red eléctrica. Las normas básicas de seguridad de la electricidad las tenemos muy presentes. 

 

El rastro digital 

 

El uso masivo de las TI se ha producido de manera muy rápida, fundamentalmente con la llegada, primero de internet en los años 90[ii], y posteriormente, en la primera década del s. XXI con los dispositivos móviles, principalmente el smartphone[iii].

 

La aceptación de las nuevas tecnologías ha sido tan rápida que prácticamente no ha dado tiempo para la maduración de procedimientos para un uso adecuado. Cuando han empezado a saltar las alarmas los daños también se habían generalizado. 

 

Términos más bien técnicos como malware, virus -no biológicos, sino virtuales-, ataques de denegación de servicio (DDoS), phising, ransomware, etc., etc., se han hecho tristemente famosos, figurando en las primeras páginas de periódicos.

 

El uso de cualquier tecnología comporta unos riesgos de los que hay que ser conscientes y hay que saber cómo tratarlos. 

 

Desde el descubrimiento del fuego hace más de 750.000 años, hasta el uso de máquinas-herramientas o los medios de transporte, ya bastantes más modernos,  la humanidad paga un alto precio por el control y uso de la tecnología, no sólo en medios materiales sino también en vidas humanas o en desastres en el medio ambiente.   

 

Siguen produciéndose incendios con pérdidas materiales y humanas, y desastres medio-ambientales, como los incendios que Chile viene sufriendo desde julio de 2016[iv]. Siguen produciéndose accidentes en la utilización de máquinas-herramientas, como el que tuvo lugar el pasado diciembre en la localidad de Alhedín (Granada)[v] en el que murió un trabajador aplastado por un contenedor, al parecer al fallar el brazo basculante del camión que lo sostenía. 

 

En cuanto a los medios de transporte, todos los días hay accidentes de tráfico [vi] y no son infrecuentes los accidentes de trenes o los de aviones. 

 

Así, con las tecnologías de la información no podía ser menos. Pero hay una diferencia, por lo menos a primera vista. Hasta la llegada de las TI, lo que se quería "asegurar" eran entes con realidad física -bienes materiales, personas o incluso el medio ambiente-; con la llegada, de las TI, lo que se quiere asegurar -entre otras cosas- es la información digitalizada, la cual es intangible. Con el auge y abaratamiento de las comunicaciones, y su ubiquidad, hay una percepción de que la información es un ente etéreo. 

 

Aunque quizás no tanto ...  

 

Se habla de Internet o de la "nube", como si fueran conceptos incorpóreos, cuando la realidad es que están soportados en cables, conectores, dispositivos físicos como routers, switches, ordenadores y mucho silicio, objetos físicos en los que el uso de las TI deja un rastro digital por diversos motivos posibles: 

 

- la propia definición y construcción de dispositivos, sistemas operativos, protocolos de comunicaciones, aplicaciones, etc. que para hacer más rápido, efectivo y eficiente su uso guardan e intercambian información con otros dispositivos; 

- es el propio usuario el que almacena información, como contactos o documentos; o coloca en la red información para que otros la conozcan, información que permanece en servidores de empresas sin que se sea muy consciente de ello [vii]. 

 

Dicho rastro constituye un riesgo para la información, en primer lugar, almacenada en dispositivos personales, susceptibles de perderse, olvidarse o que los roben. En segundo lugar, el almacenamiento que hacen empresas dueñas de las aplicaciones que se utilizan en los dispositivos, también constituye un riesgo, no sólo por el uso que la empresa propietaria de los servidores pueda hacer de dicha información sin el conocimiento ni mucho menos el permiso de su propietario, sino porque otros se la puedan robar. Casos hay muchos, desde "Ashley Madison"[viii], las cuentas de correo de Yahoo [ix], o las cuentas de Dropbox [x], entre otros. 

 

Además, la información no sólo está en reposo en las máquinas que la albergan, también se mueve en un continuo viaje de dispositivo en dispositivo por redes de comunicaciones, o por el aire entre dispositivos y antenas, siendo relativamente fácil su interceptación. 

 

Consecuentemente con todo ello, sería necesario definir y tener en cuenta una serie de normas a cumplir por todos, tanto en la actividad de la vida privada, como en la actividad laboral, teniendo en cuenta que hay dispositivos que se utilizan indistintamente tanto en una como en la otra.  

 

Unas normas básicas, como "cuidado con las redes abiertas", "tener abiertas las comunicaciones sólo cuando sea necesario -si no se necesita wifi o bluetooth no tenerlas activadas-", "la información sensible protegerla adecuadamente -cifrarla- y si hay que comunicarla, utilizar canales seguros". "Información relacionada con la intimidad no "colgarla" en la red"; "no "pinchar" en cualesquiera enlace que llegue en un correo", etc.. 

 

Una medida de seguridad de una casa, sería colocar una puerta. El tipo de puerta -blindada o no, y sus distintos tipos- depende de lo que el propietario quiera gastarse en ella, y una vez elegida, su calidad y su colocación es un asunto técnico, no hay duda. Una vez colocada, el dejarla abierta cuando se sale o entra, es una elección de las personas que la utilizan, y, también es una elección seguir un procedimiento como "cuando entres o salgas, cierra la puerta".  

 

De poco serviría una puerta si se dejara abierta, o como reza el dicho, título de este artículo, "Si puerta, para qué abierta; y si abierta, para qué puerta". 

 

Seguridad en las organizaciones 

 

La seguridad es un sistema que abarca unas normas y procesos; personas que, por una parte, los definan y den a conocer, y, por otra, todas aquellas que en el uso diario de las tecnologías, cumplan con dichos procesos y normas; unas medidas técnicas que soporten, detecten y corrijan las debilidades -técnicas-; y un sistema de gestión que englobe todo: personas, procesos y tecnología. 

 

Tiene como fin mitigar el riesgo de ocurrencia de sucesos no deseados, y cumplir con unos objetivos de seguridad basados en 'el riesgo asumible' o 'la propensión al riesgo'. Por tanto, el sistema de seguridad depende fuertemente de la organización a la cual sirva -proteja-, y también del entorno en el cual dicha organización se desarrolle. 

 

Los perjuicios que se deriven de un daño sobre dicha información son difíciles de estimar, sobre todo monetariamente [xi], no tienen porqué ser inmediatos ni de detección inmediata [xii], y se pueden extender a un periodo de tiempo [xiii]. 

 

Si roban información digitalizada sin más puede que sólo se detecte cuando el beneficiario del robo la utilice -por ejemplo, espionaje industrial o robo de identidad-, o en el caso de las APT, cuando se hagan efectivas. 

 

Sin embargo, los daños que puede producir cualquier brecha de seguridad pueden costarle a una organización, en primer lugar, pérdidas monetarias por: i) uso por terceros no autorizados de información confidencial; ii) no disponibilidad de parte o todas las funciones de una organización; iii) manipulación no autorizada de información, pudiendo tener como consecuencia una toma de decisiones erróneas; y, en segundo lugar, pudiera suponer un daño en su imagen de marca.  

 

Dado que las organizaciones de hoy en día dependen fuertemente de los sistemas de información por su alto grado de digitalización, los riesgos derivados del uso de las TI se han convertido en riesgo del negocio, y, por ello deben formar parte de los riesgos corporativos, en la misma línea que los financieros -controlados por procesos soportados por las TI- o los de cumplimiento legal. Aquellas organizaciones que de manera explícita así lo reconocen, son las que utilizan las TI como motor del negocio.  

 

Los riesgos tecnológicos deben conducir a definir una estrategia de ciberseguridad como parte integral de la estrategia corporativa. Estrategia que definirá una política de seguridad y unas normas que deberán conocer y aplicar todos los empleados de la organización. Los miembros del Consejo de Administración y el Comité directivo son quienes las deben definir y controlar su cumplimiento. Dichas normas también deben extenderse a clientes, proveedores y terceros en general que se relacionan con la organización. 

 

De nada sirve que, por ejemplo, técnicamente no se pueda enviar información sensible de la organización por medio del correo electrónico de dicha organización, si ese documento se copia a un dispositivo desde el cual se utiliza otro correo. De nada sirve un control de acceso físico a servidores, si se deja la puerta abierta para no molestarse en usar la tarjeta de acceso. Las medidas técnicas deben ir acompañadas de procedimientos y normas de uso. 

 

Más arriba afirmaba que en el caso de las TI, lo que se quiere "asegurar" es un bien intangible -la información-, en contraposición a otras tecnologías, que son bienes tangibles. Si bien hasta hace poco era así, con la "Internet de las Cosas" (IoT), la repercusión de una modificación de datos o de software en cualquiera de estos objetos conectados puede tener una repercusión en el mundo físico. Los fallos de seguridad pueden ser muy tangibles. 

 

Una parte de la información la constituye el software, o código que maneja los objetos virtuales que se mueven por los dispositivos como ordenadores, redes de comunicación, dispositivos móviles, etc..  

 

El software, además, ha pasado a los objetos físicos, para, por una parte recoger datos, y por otro poder controlar acciones realizadas por ellos, caso de la IoT o de la robótica. 

 

Esto cobra una especial relevancia en los sistemas de control industriales, tanto para los sistemas de fabricación como  los sistemas de control de subestaciones eléctricas, distribución y control de agua o gas, etc.  

 

En el documento "Beneficios de la ciberseguridad para las empresas industriales", recientemente publicado [xiv], se afirma "En ningún otro sector como en el industrial convergen los activos lógicos y físicos tan nítidamente, dando lugar a lo “ciberfísico”, que se constituye en la más amplia superficie de riesgo para las personas, el medioambiente,...", y aquí los riesgos ligados a las TI se han colocado al mismo nivel de riesgos físicos, como otras tecnologías. 

 

De pesca

 

La importancia de la concienciación en los riesgos del uso de las TI y de seguir unos procedimientos y normas de uso adecuados, queda de manifiesto singularmente por el tipo de engaño por Internet, conocido como phising, palabra que suena igual que "fishing" palabra inglesa que significa pescar. 

 

Es una forma de conseguir información tanto privada como de organizaciones -nombres de usuarios, contraseñas, datos bancarios, etc.- a través de correos electrónicos o mensajes en redes sociales,  con enlaces a páginas falsas; o de introducir cualquier tipo de malware -por ejemplo, una APT- al pinchar en un enlace.  

 

El "spear phising" (pesca con arpón) es más selectivo: va dirigido a una persona o departamento concreto. Es especialmente peligroso porque va precedido de un estudio previo sobre dicha persona u organización, lo que se llama "ingeniería social", para que el mensaje parezca de una persona o entidad fiable, y el "cebo" sea creíble. 

 

Al parecer, como otros tantos fraudes utilizando TI, en este 2017 el phising va a seguir con fuerza. El artículo "3 ways that phishing will evolve in 2017"[xv], dice que en 2016 se produjo un incremento de 150% de esta forma de ataque a través de las redes sociales. Y, al igual que otros ataques, como ransomware o DDoS, también se vende como servicio. 

 

El riesgo es doble ya que además de afectar a los datos de la vida privada, puede afectar a la vida laboral, como le ha pasado a Mike Pence, gobernador del estado de Indiana (EEUU) a quién "hackearon" su correo personal de AOL, que estaba utilizando para asuntos del estado. ¿Por qué? Porque las cortapisas que impone el correo del trabajo no las tiene el correo personal. 

 

Entre los muchos artículos hablando sobre esto, el de WIRED[xvi] tiene un título muy significativo "La edad de oro del pirateo de correos electrónicos no ha hecho más que empezar". 

 

* * *

 

Este artículo fué publicado originalmente por @PuntoSeguridad.com/"Cuadernos de Seguridad", abril, 2017, nº 321, pg.76, Ciberseguridad – "Si puerta para qué abierta; y si abierta para qué puerta" – María José de la Calle.

 

----------------------------------------

[i] ABC (20120804)  "67 muertos en la extinción de incendios desde el año 2000". url [a 20170313] http://www.abc.es/20120804/sociedad/rc-muertos-extincion-incendios-desde-201208042243.html   

[ii] Véase la evolución del uso de internet en los hogares de los países de la UE en el informe de EUROSTAT (20161220) "Estadísticas sobre la sociedad de la información - Hogares y particulares". url [a 20170313] http://ec.europa.eu/eurostat/statistics-explained/index.php/Information_society_statistics_-_households_and_individuals/es  

[iii] Hablar de tecnología de la información hace prácticamente inevitable el uso de ciertos términos y vocablos ingleses. Por no hacer mucho más largo el artículo en sí interrumpiendo su ritmo y dificultando su lectura, no se facilita una explicación o traducción de los mismos, remitiendo al lector a una consulta en Internet de aquellos por los que muestre un especial interés. 

[iv] "El País" (20170131) "Chile recibe ayuda internacional para combatir sus peores incendios". url [a 20170313]  http://internacional.elpais.com/internacional/2017/01/30/actualidad/1485746887_102479.html  

[v] "El País" (20161224) "Un trabajador fallece aplastado por un contenedor en Alhendín". url [a 20170313]   http://ccaa.elpais.com/ccaa/2016/12/24/andalucia/1482601762_483785.html

[vi] En España en el año 2016, según la Dirección General de Tráfico, murieron 1.160 personas por esta causa. url [a 20170313] http://revista.dgt.es/es/noticias/nacional/2017/01ENERO/0103balance-accidentes-2016.shtml#.WMBhJxhDmHo   

 [vii] Véase la política de privacidad de Google con respecto a los datos que almacena cada vez que se utiliza,  y como se utilizan, para que el usuario en ciertos casos pueda decidir sobre dicho uso. url [a 20170313] https://www.google.es/intl/es/policies/privacy/?fg=1  

[viii] Blog "Un informático en el lado del mal" (20150814)  "Ashley Madison Hack: Suicidios, Mentiras y Negocios Turbios". url [a 20170313] http://www.elladodelmal.com/2015/08/ashley-madison-hack-suicidios-mentiras.html  

[ix] "El Confidencial" (20161214) " Yahoo reconoce un segundo 'hackeo' masivo: 1.000 millones de cuentas afectadas". url [a 20170313] http://www.elconfidencial.com/tecnologia/2016-12-14/yahoo-hackeo-internet-seguridad-informatica_1304213/  

[x] "Motherboard" (20160831) "Hackers Stole Account Details for Over 60 Million Dropbox Users". url [a 20170313] https://motherboard.vice.com/en_us/article/hackers-stole-over-60-million-dropbox-accounts  

[xi] Aunque el Instituto Ponemon, en el informe "2016 Ponemon Cost of Data Breach Study" nos da algunas pistas: "This year’s study found the average consolidated total cost of a data breach grew from $3.8 million to $4 million. The study also reports that the average cost incurred for each lost or stolen record containing sensitive and confidential information increased from $154 to $158." Instituto Ponemon. url [a 20170313]  http://www-03.ibm.com/security/data-breach/  

[xii] "SecurityWeek"  (20160225)  "Breach Detection Time Improves, Destructive Attacks Rise: FireEye" url [a 20170313] http://www.securityweek.com/breach-detection-time-improves-destructive-attacks-rise-fireeye  

[xiii] Por ejemplo, un software espía, o un bot perteneciendo a una botnet, que esté realizando un atarea ordenada por un tercero; o una APT -Advanced Persistent Threat- malware no detectable, que permanece sin hacer nada hasta que se desea que se ejecute bien como puerta de entrada al sistema para controlar la máquina que lo alberga. 

[xiv] En dicho documento CCI (www.CCI-es.org/mision) e iTTi (www.ittrendsinstitute.org/about-itti)  han unido sus fuerzas para llevar a cabo un ejercicio de análisis, cuyo objetivo ha sido ofrecer una visión positiva de la ciberseguridad para las empresas industriales. url [a 20170313] http://www.ittrendsinstitute.org/news/item/itti-along-with-cci-releases-benefits-of-cybersecurity-for-industrial-enterprises-spanish-ed  

[xv] "Foration Blog" (20161228) "3 ways that phishing will evolve in 2017". url [a 20170313] https://www.foration.com/blog/3-ways-phishing-will-evolve-2017

[xvi] "Wired" (20170303) "The Golden Age of Email Hacks Is Only Getting Started" url [a 20170313]  https://www.wired.com/2017/03/mike-pence-aol-email-hack/?mbid=nl_3517_p1&CNDID=  

 

  

El dinero como datos

Monday, 26 December 2016 Maria Jose de la Calle Posted in iTTi Views

La Comisión Europea, en el documento titulado "Hacia un desarrollo de la economía conducida por los datos"[i] expone los beneficios para Europa del tratamiento de los datos o del Big-Data. Los datos y su tratamiento constituyen una nueva fuente de riqueza. 

Y al contrario, también es cierto. La realidad física del dinero se está difuminando en una realidad virtual al transformarse en datos residentes en ordenadores y que viajan por las redes de comunicaciones cambiando de propietario, como pago de bienes tangibles o intangibles, realizándose transacciones con intervención humana o sin ella.   

Ejemplo de ello son las contrataciones de valores en las bolsas, que son operaciones informatizadas en base a algoritmos capaces de examinar gran cantidad de parámetros, y que van informando de los cambios o tomando decisiones en tiempo real.  

Unas operaciones las realizan los agentes ayudados por las máquinas [ii] y, otras las realizan las propias máquinas, que lanzan órdenes al mercado financiero en cuestión de milisegundos. Esto último es la "contratación -o negociación- de alta frecuencia" o high frequency trading (HFT), que se utilizan para obtener beneficio a corto plazo, es decir, mantener una posición el menor tiempo posible, que a veces son milisegundos, o segundos, o minutos incluso. Los tiempos en las HFT son tan cortos e importantes que los equipos se suelen colocar lo más cerca posible de la bolsa para reducir el tiempo de comunicación entre  la máquina del operador y la de la bolsa en la que opera.   

En un ámbito más común, los pagos con tarjeta de crédito ya tienen varias décadas, y con la llegada de internet se adaptó también para pagar en compras por este medio; a día de hoy, ya se pueden realizar pagos con el teléfono -móvil- y almacenar dinero en él como si de una tarjeta de crédito se tratase, a través de una aplicación (App). Es suficiente con acreditar que se dispone de la cantidad a abonar, en el caso de pago,  y dónde está direccionado, es decir, la cuenta bancaria. Es el sistema bancario más difundido en África. 

¿Seguirán usándose la tarjeta y la cuenta bancaria? Quizás, como afirma Bill Gates en su carta anual de 2015 [iii], "hacia el 2030, dos mil millones de personas que no tengan una cuenta bancaria guardarán dinero y realizarán pagos con su teléfono. Y por entonces, los proveedores de dinero "móvil" ofrecerán un rango completo de servicios financieros, desde cuentas de ahorro con interés para ahorro, a créditos y seguros".  

Esta digitalización o virtualización del dinero, junto con la explosión del uso de las comunicaciones móviles, ha tenido como resultado que pequeñas empresas tecnológicas -o grandes, como Apple o Google-, apoyándose en su conocimiento de la tecnología, hayan creado nuevas formas de proveer servicios financieros tradicionalmente ofrecidos por el sector bancario, desde los ya comentados pagos y transacciones, monederos digitales o créditos hasta asesoría financiera e inversiones, lo que ha obligado a la Banca más tradicional a plantearse el cambio hacia esta nueva manera de hacer. Para las tecnológicas "metidas a banqueros" se ha acuñado el término fintech, contracción de los vocablos ingleses “financial” y “technology”.  

La virtualización del dinero ha tenido su mayor exponente en la moneda nacida ya virtual, sin existencia física previa: el Bitcoin. No depende de ningún gobierno, institución o entidad financiera, como las monedas al uso, el control lo realizan los propios usuarios mediante transacciones directas entre ellos, anónimas y cifradas. Su uso es a través de aplicaciones y, como tal moneda, se puede utilizar para la compra-venta de productos y servicios allá donde la acepten. Pero el Bitcoin tiene actualmente dos aspectos negativos importantes: por una parte, tiene una alta volatilidad cambiaria; por otra, se ha convertido en la moneda refugio de las mafias, dado su anonimato. 

Sin embrago, la verdadera revolución está en el mecanismo en el que se basa el Bitcoin, el "blockchain" o "cadena de bloques", donde se va apuntando cada una de las transacciones realizadas, como de si un libro de contabilidad se tratara, un sistema criptográfico que permite la confianza entre agentes sin necesidad de una autoridad central (el banco emisor), un medio para intercambio y almacenamiento de valor. 

Están surgiendo por parte de la Banca tradicional y empresas tecnológicas otras iniciativas de nuevas monedas y servicios basados en el principio funcional del Bitcoin. Veamos algunas aparecidas recientemente:

"Santander se alía con UBS, Deutsche Bank y BNY Mellon para impulsar el uso del dinero digital"[iv], noticia del diario "Expansión", del 24 de agosto pasado, en la que informa de que dicha alianza desarrollará el sistema 'Utility Settlement Coin' (USC) basado en la tecnología blockchain, el cual "facilitará pagos y liquidaciones de forma eficiente, rápida y segura". 

"Microsoft y Bank of America se alían para desarrollar tecnología blockchain"[v], noticia de "elEconomista" del 28 de septiembre pasado, en la que informa que dichas entidades "han acordado colaborar para desarrollar la tecnología 'blockchain' con el objetivo de impulsar la transformación de las transacciones financieras".  

La Banca, como otros muchos sectores, está también embarcada en un proceso de digitalización no sólo del dinero sino de sus procesos, a juzgar por las noticias, ya habituales donde aparecen unidas la Banca y la Tecnología. Ejemplo de ello, por citar algunos, es la compra de, o la colaboración con las Fintech, el servicio de asesoramiento personalizado a las empresas a través de video-conferencia lanzado por CaixaBank, o el acuerdo de BBVA y Banco Santander con Red-Hat para desarrollar sus respectivas "nubes".

Seguridad en el sector bancario

Que los bancos utilicen ordenadores para su gestión no es una novedad. Sí lo es que la mayoría de las operaciones se realicen a través de dispositivos y software en cualquier sitio donde haya comunicación por Internet, entre entidades bancarias, entre entidades bancarias y sus clientes, y entre los clientes directamente para sus negocios o sus vidas privadas, fuera de los límites del edificio de una entidad bancaria, por cualquier persona y no por un empleado bancario.  

Por ello han aumentado los riesgos de seguridad, del dinero en particular y los activos financieros en general, que se han transformado en información en continuo movimiento por las redes de comunicaciones, con acceso desde cualquier lugar. No hay que olvidar que el sector financiero es el primer objetivo para ladrones en general y cibercriminales en particular, ya que es en estas instituciones donde realmente está el dinero, y la superficie de exposición, como ya se ha visto, ha aumentado considerablemente.

Tanto es así, que la empresa "Raytheon", en el estudio [vi] realizado en el año 2015 sobre la seguridad en el sector financiero, encontró lo siguiente:  

- Los incidentes de seguridad en entidades financieras son 300% más frecuentes que en otros tipos de industria. 

- El 33% de los intentos de ataque tienen como objetivo servicios financieros. 

- Las entidades financieras ocupan el tercer lugar en cuanto a objetivos de “typosquatting”[vii]. 

Es conocido el daño que una crisis financiera causa en la sociedad, y la interconexión y dependencia entre las distintas entidades. Todos recordamos cómo la quiebra de "Lehman Brothers" en el 2008 disparó la crisis. Por este motivo, la importancia de la seguridad en los sistemas financieros es indiscutible ya que, un gran incidente de [ciber]seguridad puede llegar a causar una crisis que afecte no sólo a dicha entidad y sus clientes, sino a otras entidades e incluso al sistema financiero de un país, o de varios países. Tan es así, que España tienen al sistema financiero como perteneciente a uno de los 12 sectores que aseguran la prestación de servicios esenciales, a los que pertenecen las consideradas "Infraestructuras Críticas". 

Seguridad del dinero = ciberseguridad

El dinero ha entrado en la corriente de los datos y de la información, y la forma de acceder a él es la misma que a los datos en general; consecuentemente la seguridad del dinero es ciber-seguridad, seguridad informática y seguridad de la información. 

La seguridad de los datos o seguridad de la información se apoya en tres principios ampliamente conocidos: confidencialidad, integridad y accesibilidad, o expresado de otra manera, los datos deben ser accesibles por personas o sistemas autorizados cuando éstos así lo requieran, y sólo por éstos, y en la forma en que en ese momento sea pertinente y lo tengan permitido. 

Un incidente de seguridad se puede definir como cualquier suceso que no forma parte de la operación normal de un servicio y que causa, o puede causar, una interrupción o una disminución de la calidad de dicho servicio, incluyendo la violación de una norma de seguridad o el fallo de una salvaguarda. 

Según esta definición, las causas de los ciberincidentes son múltiples. Un mal funcionamiento o interrupción de un sistema no tienen porqué proceder del ciber-delito. Muchas veces son incidentes producidos errores o fallos internos: un error de software, eliminación de algún dato por error, actualizaciones no llevadas a cabo adecuadamente, fallos en el mantenimiento del hardware, y errores humanos en general. 

* *

Para terminar, los nostálgicos que quieran tener dinero en efectivo, también con el móvil lo pueden tener. El banco "ING Direct" acaba de sacar un servicio que, como si de una compra se tratara, en la caja de algunos supermercados o gasolineras puedes "pagar" con el móvil y se obtiene esa misma cantidad en efectivo [viii]. 

* * *

Este artículo fué publicado originalmente por @PuntoSeguridad.com/"Cuadernos de Seguridad", noviembre, 2016, nº 316, pg.92, Ciberseguridad – "El dinero como datos" – María José de la Calle.  

---------------------------------------------------

[i]  "Towards a thriving data-driven economy", (24 de febrero, 2016). European Comission. url [a 9-10-2016] https://ec.europa.eu/digital-single-market/en/towards-thriving-data-driven-economy   

[ii] J.A.Pérez (oct, 2011) "Negociación de  Alta Frecuencia: Más Ventajas que Incovenientes" url [a 9-10-2016] http://www.bolsasymercados.es/esp/publicacion/revista/2011/12/46-50_act-rep_alta_frecuencia.pdf  

[iii] "By 2030, 2 billion people who don't have a bank account today will be storing money and making payment with their phones. And by then, mobile money providers will be offering the full range of financial services, from interest-bearing savings accounts to credit to insurance." "2015 Gates Annual Letter".  url [a 9-10-2016] https://www.gatesnotes.com/2015-annual-letter?page=0&lang=en  

[iv] "Santander se alía con UBS, Deutsche Bank y BNY Mellon para impulsar el uso del dinero digital", (24 de agosto, 2016). Expansión. url [a 9-10-2016] http://www.expansion.com/empresas/banca/2016/08/24/57bd61bce5fdea154d8b467a.html 

[v] "Microsoft y Bank of America se alían para desarrollar tecnología blockchain" (28 de septiembre, 2016) url [a 9-10-2016] http://www.eleconomista.es/tecnologia/noticias/7853084/09/16/Microsoft-y-Bank-of-America-desarrollaran-en-conjunto-la-tecnologia-blockchain.html  

[vi] "2015 Industry Drill-Down Report Financial Services" (2015). Raytheon/ Websense Lab. url [a 9-10-2016] http://www.websense.com/assets/reports/report-2015-industry-drill-down-finance-en.pdf 

[vii] "¿Qué es el "Typosquatting"?", (7 de noviembre, 2004). uni>ersia. url [a 9-10-2016] http://noticias.universia.es/ciencia-nn-tt/noticia/2004/11/07/610533/que-es-typosquatting.html 

[viii] url [a 9-10-2016] https://www.ingdirect.es/twyp/twyp-cash.html  

 

De paraguas que piden salir de casa y de fábricas robotizadas

Friday, 28 October 2016 Maria Jose de la Calle Posted in iTTi Views

Cuando los objetos físicos incluyen microchips que tienen en mayor o menor grado capacidades de un ordenador, e incluso que pueden tomar decisiones en el mundo físico, la seguridad se torna vital. En robótica, esto supone el salto a robots no dedicados a una tarea y  no asentados en un espacio, sino que pueden aprender dentro de un ámbito y se pueden mover. "Planifica para lo peor. IoT debe tener capacidades para responder a ataques, malware o cualquier incidente negativo, antes de que sea necesario"[i].

De la IoT

"Nosotros somos entes físicos, y también nuestro entorno. Todavía hoy la tecnología de la información es tan dependiente de los datos originados por las personas que nuestros ordenadores saben más de ideas que de cosas. Necesitamos capacitarlos para que con sus propios medios recojan información por ellos mismos. RFID y sensores capacitan a los ordenadores para observar, identificar y entender el mundo."[ii]

Este párrafo pertenece al artículo "That 'Internet of Things' Thing", publicado en junio de 2009, y escrito por Ashton Kevin, al cual se le atribuye el haber acuñado el término de "Internet de las Cosas" o IoT (Internet of Things), hecho que recuerda él mismo al comienzo de dicho artículo. 

La idea de Ashton, como el mismo indica, era la de que los ordenadores pudieran recoger información de objetos físicos para hacer un seguimiento y recoger medidas de sus estados, y así poder informar de cuando las cosas tuvieran que se reemplazadas, reparadas, o si habían caducado o no; todo ello sin intervención humana.

Esto parece haberse ya realizado con creces al haber insertado en casi cualquier objeto al uso pequeños dispositivos -microchips- capaces de, como mínimo, conectarse a Internet, recoger datos y ser capaces de enviarlos a otros dispositivos u ordenadores. 

La "Internet de las cosas" ha conformado una infraestructura de red global basada en protocolos de comunicación estándar e interoperables, que ha venido a sumar a los datos ya producidos e introducidos por las personas en los ordenadores, los recogidos por objetos, de ellos o del entorno, a los que se han incorporado  microchips para estos efectos -sensores y medidores-, incrementado la cantidad de datos existentes. 

Según Rob Highi[iii], vicepresidente y CTO de IBM-Watson, ya en el 2015 se generaron del orden de 2,5 exabytes (EB = 1018 bytes) cada día, de los cuales sólo vemos y utilizamos una pequeñísima parte, y para el 2020 se espera que ese número crezca hasta los 44 zettabytes (ZB = 1021 bytes).   

Pero los microchips pueden hacer otras muchas cosas, como almacenar gran cantidad de datos -memorias-o realizar operaciones lógicas y aritméticas -procesadores-, lo que se traduce en la ejecución de aplicaciones. Constituyen pequeños ordenadores dentro de los objetos, conectados entre sí - a través de Internet- y que tienen la capacidad de ejecutar código, de ver -cámaras-, oír -micrófonos- oler -procesar sustancias químicas- y, en definitiva, sentir el mundo físico que los rodea y actuar sobre él. A estos dispositivos que disponen de capacidad de computación y de conectividad se les ha llamado "dispositivos inteligentes" (smart devices). 

Los objetos han cobrado una identidad propia, por una parte virtual que los identifica como únicos en Internet, y por otra su realidad física asociada a la virtual, con lo que otros objetos y personas los pueden identificar.  

Un ejemplo reciente lo constituye el paraguas "oombrella"[iv], proyecto que empezó en el 2014 y que finalizará, previsiblemente, en otoño de este año 2016 con la salida a la venta de dicho paraguas. 

Realiza tres funciones básicas: 1) envía a un smart-phone alertas del tiempo local, por ejemplo "lloverá en 15 minutos. Llévame contigo"; 2) envía alerta a un  smart-phone si se aleja de él de 30 a 50 metros, algo como "no me dejes"; y 3) comparte datos meteorológicos con la comunidad "oombrella". 

Para llevar a cabo todo esto, dispone de una plataforma de hardware compuesta de sensores de temperatura, humedad, presión y luz, para recoger datos meteorológicos; de procesador para,  con los datos recogidos, estimar el tiempo meteorológico; y de las comunicaciones con un teléfono, y con el servicio en la nube que constituye la plataforma de software "wezoo", un servicio que funciona como una red social y que predice el estado del cielo en tiempo real en base a los datos recogidos de los paraguas de la comunidad, y que, a su vez envía alertas a sus miembros. 

A esta tecnología de red de objetos que se comunican entre sí, compartiendo datos, y que conecta el mundo físico y el mundo virtual a través de servicios en la nube, se le ha llamado IoT. 

El mundo físico se ha transformado en un enorme sistema de información el cual, junto a los algoritmos de aprendizaje de las máquinas, tiene como resultado que éstas "lo identifiquen y lo entiendan", tal y como deseaba Ashton Kevin, capacitándolas para tomar decisiones y actuar en él, sin intervención humana. 

Sin embargo, con la llegada de las "máquinas pensantes" y "actuantes" sobre aquel, se ha dado un salto cualitativo en cuanto a la seguridad de la información: desde la seguridad de objetos virtuales, a la seguridad de objetos físicos y a la de las personas, o como dirían los anglo-parlantes, del "security" al "safety". 

Algunos datos históricos acerca de la seguridad de la información

Antes de la época de los sistemas electrónicos, el guardar ante terceros ya era una preocupación. Una de las técnicas que se utilizan para mantener la confidencialidad de la información y a buen recaudo sus secretos es la criptografía, técnica cuyo uso se remonta al siglo V antes de Cristo, utilizada por el pueblo griego de Esparta, según nos cuenta el programa educativo "Criptored" de la UPM[v].

La seguridad informática es tan antigua como la existencia de los ordenadores, así como el empleo de contraseñas de acceso a las máquinas, y estos dispositivos son pequeños ordenadores. Con la seguridad informática, y siguiendo con "Criptored", "estamos centrando nuestra atención en aquellos aspectos de la seguridad que inciden directamente en los medios informáticos en los que la información se genera, se gestiona, se almacena o se destruye; siempre desde el punto de vista tecnológico de la informática y de la telemática". 

J.P.Anderson escribió en 1980 un documento titulado "Vigilancia y Monitorización de las Amenzas de Seguridad Informática", en el cual podemos encontrar la siguiente definición de "Amenaza: la posibilidad de un intento deliberado y no autorizado de a) acceder a la información; b) manipular la información; c) convertir un sistema en no-confiable o inútil"[vi].

El primer virus del que se tiene noticias que se extendió fuera de los límites de un laboratorio fue el virus "Elk Cloner"[vii] desarrollado a principios de los 80 para el "Apple II" y que se propagaba entre distintos ordenadores a través de diskettes. 

Con la llegada de internet -años 90- a empresas y hogares, la propagación de malware y la capacidad de entrar en cualquier dispositivo conectado se hizo mucho más sencilla. La seguridad del software y de las redes y dispositivos conectados empezó a cobrar su importancia. Surgieron los antivirus; se empezó a tomar en serio las contraseñas; aparecieron los firewall, primero sistemas hardware y posteriormente también software o una combinación de ambos; la criptografía y el cifrado de claves salió de ámbitos restringidos como gobiernos o bancos, para popularizarse en productos al consumo. 

Se acuñó un nuevo concepto, ciberseguridad, para agrupar los medios a emplear para minimizar los riesgos asociados al empleo de sistemas conectados para el tratamiento de datos y de la información, que se puede definir como "Protección de los activos de información por medio del tratamiento de las amenazas a la información procesada, almacenada y transportada por medio de sistemas de información interconectados"[viii]. 

El término "ciberseguridad", que se aplica hoy día a toda la seguridad de la información, supone un abuso del lenguaje, al tomar una parte -seguridad de la información en sistemas interconectados- por el todo.  

Si tan importante es la información, ¿por qué no se va aplicando lo ya conocido a las nuevas formas de tratarla y nuevos dispositivos? 

Los conceptos de confidencialidad, integridad y disponibilidad, los tres pilares en los que se apoya la seguridad de la información, no han perdido su vigencia, todo lo contrario. 

Tristemente, después de que los ordenadores personales se llenaran de virus en particular y malware en general, y de antivirus y medidas de seguridad, cual si de un sistema biológico se tratara en el que conviven el sistema inmunológico con gran cantidad de bacterias y virus, llegaron los dispositivos inteligentes, y de nuevo hubo que buscarles protección después de que hubieran penetrado en el mercado. 

Creo que no es necesario citar casos de todos conocidos ya que no hay más que buscar en Internet para encontrar abundante literatura sobre ello, desde automóviles, teléfonos, televisores, juguetes y así un largo etc., robando información, inhabilitando los dispositivos para su uso o invadiendo nuestra intimidad. 

... a la IIoT [ix]

La IoT se puede encuadrar en la interacción humana con los objetos. Los dispositivos son capaces de enviar mensajes a otros que nos sirven de interfaces cuando se producen ciertas situaciones, como que va a llover -el caso del paraguas- o si han entrado intrusos en nuestras casas. Así mismo, las personas por medio de los dispositivos tenemos la capacidad de controlar y monitorizar a distancia, desde cualquier sitio, objetos y condiciones, y la posibilidad de actuar sobre ellos.  

Esta tecnología, llevada al mundo de la industria es a lo que se ha llamado "La Internet de las cosas en la Industria" o IIoT (Industrial Internet of Things), o también Industria 4.0. 

Con esta tecnología, se ha dotado a sensores, medidores, bombas, máquinas-herramientas, motores, etc. de capacidad de comunicación e intercambio de datos entre ellos y con sistemas de control, a través de Internet, desde las áreas de producción en tiempo real, lo cual proporciona potentes herramientas de mantenimiento, ya que las máquinas pueden informar en todo momento de cuál es su estado -de cuándo hay que actualizarlas o repararlas, o cómo es su rendimiento-, incluso estos sistemas podrían alterar su comportamiento en respuesta a condiciones cambiantes. 

Los beneficios que aporta esta tecnología a la industria están, por una parte, en los servicios de almacenamiento y aplicaciones que la nube provee, y el análisis, gestión y mantenimiento de datos, que big-data proporciona, constituyendo herramientas potentes de toma de decisiones; y por otra, en la robótica. 

Según "Control design"[x], la robótica hasta ahora se basaba, al igual que los ordenadores convencionales, en realizar una operación -aquella para la que estaba programada- una y otra vez, y en un sitio determinado. Con los algoritmos de la IA -Inteligencia Artificial-, a la máquina se le indica lo que tiene que hacer, y la manera en que lo hace ella misma la va adaptando según las situaciones por las que va pasando. 

La IA amplía visión, movimiento y capacidad de actuar del robot. "El robot [colaborativo] se define por lo que está haciendo en el lugar que lo está haciendo, no por el robot en sí mismo. Los robots se diseñan para trabajar en cooperación con las personas dentro de un espacio de trabajo donde robots y humanos pueden realizar tareas simultáneamente".  

Tal es el caso de la factoría de Siemens en Amberg[xi] (Baviera) en la cual los empleados fundamentalmente se encargan de tareas de supervisión y control de lo que realizan las máquinas. Estas proporcionan información en tiempo real, entre ellas, para controlar y seguir el proceso de producción, y a un ordenador desde donde una persona puede revisarlo. El software define los procesos de fabricación y cada paso y estado de dicho proceso, desde su inicio hasta su fin, puede ser grabado. Alrededor de 50 millones de registros se generan cada día. 

Según un artículo publicado por "El Mundo"[xii] en junio de 2014, "el perfeccionamiento de la cadena de producción queda patente en los resultados: si en 1990 la misma fábrica desechaba 550 productos por millón por ser defectuosos, en 2013 esa cifra cayó un 97%, hasta los 12 componentes inválidos". Y añade que se ha hecho realidad "una fábrica como una máquina perfecta donde cada elemento es un engranaje de una auténtica cadena inteligente". 

La ciberseguridad industrial 

En los dispositivos industriales de fabricación y control a lo largo de los años se han ido incorporando tecnologías genéricas de las Tecnologías de la Información (TI), desde ordenadores personales con sistemas operativos de propósito general como Unix, Windows o Linux  hasta los protocolos e interfaces de comunicación entre los distintos dispositivos como Ethernet y TCP/IP, es decir, conectividad entre todos y a través de Internet, IoT y robótica con algoritmos de IA. 

Se está produciendo una convergencia de TI y de la Tecnología de Operaciones (TO), que desgraciadamente viene acompañada de los problemas de seguridad que siguen afectando a las TI.

Los expertos en seguridad industrial deben estar acompañados de los expertos en ciberseguridad, dado que los problemas y sus soluciones son comunes. 

Las dos partes de las tecnologías que se veían separadas en una organización industrial -informática corporativa (TI) e informática de operación (TO)- ya suponen un continuo en la Industria, y los atacantes siempre buscan el punto más débil para entrar en una instalación. La superficie de ataque ha aumentado. 

El OWASP ("Open Web Application Security Project") "proporciona una lista de superficies de ataque que deben entender los fabricantes, desarrolladores, investigadores de seguridad, y aquellos que busquen desarrollar o implementar tecnologías IoT dentro de sus organizaciones"[xiii].

La seguridad de IoT/ IIoT no sólo supone diseñar la seguridad en los propios dispositivos para que los datos que residen en él no sean manipulados o robados, también se deben diseñar sistemas de autenticación para hacerse reconocer y reconocer a otros como sistemas autorizados, así como implementar las comunicaciones seguras entre los distintos dispositivos. 

* *

Hasta ahora se está hablando de dispositivos conectados que comparten datos, pero ...

"¿Qué pasaría si los robots pudieran entender más cosas por sí mismos y compartir su conocimiento entre ellos?[xiv]. RoboBrain: el primer motor de conocimiento para robots, como Google o Bing para los humanos[xv]". MIT Technology Review. 

* * *

Este artículo fué publicado originalmente por @PuntoSeguridad.com/"Cuadernos de Seguridad", octubre, 2016, nº 315, pg.85, Ciberseguridad – "De paraguas que piden salir de casa y de fábricas robotizadas" – María José de la Calle. 

----------------------------

[i] "12. Plan for the Worst. IoT systems should have capabilities to respond to compromises, hostile participants, malware, or other adverse events. There should be features in place to re-issue credentials, exclude participants, distribute security patches and updates, and so on, before they are ever necessary."  "Principles of IoT Security". OWASP.  url [a 26-08-2016] https://www.owasp.org/index.php/Principles_of_IoT_Security  

[ii] "We're physical, and so is our environment. Yet today's information technology is so dependent on data originated by people that our computers know more about ideas than things. We need to empower computers with their own means of gathering information. RFID and sensor technology enable computers to observe, identify and understand the world". Ashton, K. (22 junio, 2009)  "That 'Internet of Things' Thing". RFID Journal. url [a 14-08-2016] http://www.rfidjournal.com/articles/view?4986  

[iii] Krazit, T. (30 de marzo, 2016) "IBM: Systems like Watson will save us from the data deluge". StructureData. url [a 16-08-2016] http://www.structuredata.com/tag/rob-high/  

[iv] "oombrella - unforgettable umbrella" url [a 31-08-2016]  https://www.indiegogo.com/projects/oombrella-unforgettable-umbrella-smart#/   

[v] "Proyecto Thoth - Píldoras formativas en seguridad de la información". Criptored. url [a 31-08-2016] http://www.criptored.upm.es/thoth/index.php#  

[vi] "The potential possibility of a deliberate unauthorized attempt to: a) access information; b) manipulate information; c) render a system unreliable or unusable". James P. Anderson Co. 26 Feb, 1980. "Computer Security Threat Monitoring and Surveillance".  url [a 31-08-2016] http://csrc.nist.gov/publications/history/ande80.pdf  

[vii] url [a 31-08-2016] https://es.wikipedia.org/wiki/Elk_Cloner . Una pequeña reseña de la historia de los virus la podemos encontrar en la "History of Viruses", 10 de marzo, 1994. csrc.ncsl.nist.   url [a 31-08-2016] http://csrc.nist.gov/publications/nistir/threats/subsubsection3_3_1_1.html  

[viii] "The protection of information assets by addressing threats to information processed, stored, and transported by internetworked information systems". ISACA. url [a 31-08-2016] http://www.isaca.org/Pages/Glossary.aspx?tid=2077&char=C  

[ix] Turbide,D. "What is the difference between IoT and IIoT?" TechTarget. url [a 31-08-2016] http://searchmanufacturingerp.techtarget.com/answer/What-is-the-difference-between-IoT-and-IIoT  

[x] Perkon,D. (4 de abril, 2016). "Is machine learning smart enough to help industry?" controldesign.  url [a 31-08-2016] http://www.controldesign.com/articles/2016/is-machine-learning-smart-enough-to-help-industry/  

[xi] url [a 31-08-2016] http://www.siemens.com/innovation/en/home/pictures-of-the-future/industry-and-automation/digital-factories-defects-a-vanishing-species.html  

[xii] Folgado,R. (16 de abril, 2014). "La fábrica más inteligente de Europa produce a base de 'big data'". El Mundo. url [a 31-08-2016] http://www.elmundo.es/economia/2014/04/16/534d662c268e3efc2d8b457c.html  

[xiii] "The IoT Attack Surface Areas Project provides a list of attack surfaces that should be understood by manufacturers, developers, security researchers, and those looking to deploy or implement IoT technologies within their organizations". "OWASP Internet of Things Project/ IoT Attack Surface Areas Project".  OWASP. url [a 31-08-2016] https://www.owasp.org/index.php/OWASP_Internet_of_Things_Project#tab=IoT_Attack_Surface_Areas  

[xiv] "What if robots could figure out more things on their own and share that knowledge among themselves?.". Schaffer, A. "Robots That Teach Each Other". MIT Technology Review. url [a 31-08-2016] https://www.technologyreview.com/s/600768/10-breakthrough-technologies-2016-robots-that-teach-each-other/  

[xv] "RoboBrain: The World's First Knowledge Engine For Robots".  MIT Technology Review, 12 de diciembre, 2014. url [a 31-08-2016] https://www.technologyreview.com/s/533471/robobrain-the-worlds-first-knowledge-engine-for-robots/  

 

¿Negocio digital o digitalización del negocio?

Monday, 24 October 2016 Maria Jose de la Calle Posted in iTTi Views

"¿Existe la industria tecnológica, o bien, como la tecnología ha impregnado las organizaciones, han de ser consideradas todas ellas industrias tecnológicas. ¿Tienen todas papeles similares en la sociedad y funcionan bajo las mismas regulaciones?"[i]

La tecnología siempre ha cambiado la forma de hacer las cosas, los comportamientos y hasta la forma de pensar, aunque todos estos cambios siempre se han producido lentamente. Primero llega la tecnología, y después, poco a poco, las personas y las sociedades se van adaptando y van redefiniendo el entorno en el que se mueven y las normas bajo las cuales actuar.

Normas nacidas como consecuencia de las llamadas Tecnologías de las Información (TI) o tecnologías del silicio son, entre otras, la "Ley Orgánica de Protección de Datos de Carácter Personal" (o LOPD), la "Ley de Infraestructuras Críticas" o el acuerdo "Privacy Shield" entre la Unión Europea y los EEUU para la transferencia de datos personales entre ambas zonas. 

Así las cosas, hace algún tiempo parece que teníamos claro que empresas como HP, Apple o IBM, las podíamos considerar como empresas pertenecientes al sector TI, ya que dichas empresas proporcionaban herramientas tanto de hardware como de software con las que apoyar otros tipos de negocio que podríamos calificar de tradicionales, desde el financiero al automovilístico, o desde un restaurante hasta la fabricación y distribución de ropa. 

Pero si bien ciertos servicios, como la venta o alquiler de un ordenador o de espacio de almacenamiento de datos, de un motor de base de datos o de una aplicación de gestión de clientes, se podían clasificar sin ninguna duda como perteneciente a TI, la aplicación "Apple-Pay" para la realización de pagos con el móvil ya tiene un componente cuyo fin no es el de procurar un software con un fin más o menos genérico, es proporcionar un servicio al usuario final que hasta ahora lo proporcionaba una entidad financiera o que se hacía a través de ella. 

Una de las primeras empresas considerada "tecnológica" pero que proporciona un servicio financiero es "Pay-Pal", pasarela de pago seguro, servicio necesario para el crecimiento del comercio electrónico. Este ejemplo es seguido actualmente por multitud de empresas, las llamadas "Fintech" -contracción de "finanzas" y "tec(h)nología"-, las cuales prestan servicios financieros a través de sus aplicaciones para móviles. Dichas empresas han propiciado una revolución en el mundo financiero, en general, y bancario en particular, con movimientos de compra de dichas empresas, e inversiones en plataformas y servicios "fintech".

Fuera del mundo financiero, un ejemplo relevante de empresa considerada "tecnológica" pero que empezó  como librería en-línea es Amazon[ii]. Su negocio no era vender "tecnología" sino libros, desde una muy buena plataforma tecnológica creada por su fundador, Jeff Bezos, que le facilitaba no sólo dicha actividad de manera más eficiente sino también un conocimiento de sus clientes, con lo que aprendía a venderles cualquier otra cosa. Al contrario que la evolución de Apple de pasar de vender productos de TI a otro tipo de productos -como música, a través de su plataforma iTunes-, Amazon empezó  por productos no tecnológicos y amplió  hace unos años a servicios web en la nube, con "Amazon Web Services".

Esta situación híbrida de llegar al usuario final desde una plataforma tecnológica para proporcionar un servicio llamémosle hasta ahora tradicional, ha levantado ampollas en algunos sectores que tradicionalmente proporcionaban tales servicios.

Un caso es el ya conocido "Uber"[iii]. Con un software que proporciona una plataforma de encuentro para compartir transporte entre particulares, ha puesto en pie de guerra a taxistas de medio mundo. Estos se ven "comido" su negocio por, en principio, casi cualquier ciudadano con un coche, pero sin la regulación a la que está sujeto el sector del taxi. Esto ha llevado a tener que revisar normativas y a adaptarlas a nuevos modelos y nuevas formas de actuar, y no sólo para Uber, sino en general para las plataformas colaborativas[iv], las cuales, apoyándose en la tecnología dan lugar a nuevos modelos de negocio, como viajes compartidos, alquiler de habitaciones o financiación por parte de muchas personas -crowfunding-.

Lo que parece estar claro es que las empresas que están obligando a que se realice el cambio son las que han nacido ya "tecnológicas". Por tanto la digitalización o transformación tecnológica de una organización es condición indispensable para su supervivencia. Esto no quiere decir que su negocio sea vender tecnología, quiere decir, que, a imagen de lo que ya hacen las nacidas "tech", tienen que cambiar sus procesos, su organización y su cultura para parecerse a ellas.

* * * 

Este artículo fué publicado originalmente por ComunicacionesHoy, nº 156, 18-10-2016. Referencia: Opinión, pg.39 – "¿Negocio digital o digitalización del negocio?" – María José de la Calle.  

--------------------------------------

[i] Anil Dash (19 de agosto, 2016). "There is no “technology industry”". Humane Tech. url [a 13-09-2016] https://medium.com/humane-tech/there-is-no-technology-industry-44774dfb3ed7#.lup3mjtft  

[ii] Aquí podemos leer una evolución de Amazón en sus primeros 20 años de vida. Erik Sherman (15 de julio, 2015). "20 years of Amazon's expansive evolution". CBS money watch. url [a 13-09-2016] http://www.cbsnews.com/news/20-years-of-amazons-expansive-evolution/  

[iii] G.Ginés (30 de marzo, 2016). "¿Qué tengo que hacer para ser conductor de Uber?" ABC. url [a 13-09-2016] http://www.abc.es/economia/abci-tengo-hacer-para-conductor-uber-201603301636_noticia.html 

[iv] Almudena Vigil (10 de marzo, 2016). "Nuevas leyes para nuevos negocios: el reto de la economía colaborativa". Expansión. url [a 13-09-2016] http://www.expansion.com/juridico/actualidad-tendencias/2016/03/10/56e17a0846163f0c1e8b4601.html 

 

Publícitis

To find out more about the cookies we use and how to delete them, see our privacy policy.

I accept cookies from this site.
EU Cookie Directive plugin by www.channeldigital.co.uk