Follow us on:
Perspectives

Articles tagged with: Maria Jose de la Calle

¿Riesgos operacionales o estratégicos?

Sunday, 09 October 2016 Maria Jose de la Calle Posted in Corporate Governance of IT

"Estadounidenses y tecnológicas, as  son las mayores compañías por capitalización: Apple en primer lugar, Google en el segundo, Microsoft en el quinto, Amazon en el trigésimo cuarto". "Las 100 mayores empresas por capitalización bursátil en 2015". PwC.[i]

* *

La consultora Protiviti ha publicado recientemente los resultados de una encuesta global[ii], realizada por la Iniciativa de Gestión del Riesgo Empresarial de la Universidad Estatal de Nueva Carolina, dirigida a consejeros y ejecutivos, sobre el impacto que tendrían, para este año 2016, 27 cuestiones relativas al riesgo.

Dichas cuestiones estaban clasificadas en 3 categorías: macroeconómica, estratégica y operativa.

Las Ciberamenazas -operativas- (57% de las contestaciones), la gestión de identidades y de la privacidad, así como la seguridad de la información -operativas- (53%) y la ‘Pobre Digitalización’ -estratégica- (51%) resultaron estar entre los 10 principales riesgos que los encuestados consideraron como de “impacto significativo” potencial en su organización. 

Lo denominado abreviadamente ‘Pobre Digitalización’, la encuesta lo enunciaba como “la gran velocidad de innovaciones disruptivas y/o nuevas tecnologías en el sector puede superar la capacidad de nuestra organización de competir y/o gestionar el riesgo adecuadamente sin llevar a cabo cambios significativos en nuestro modelo de negocio”. Se trata, pues, del riesgo de no adaptarse  ágilmente a la revolución digital.

Relacionadas con la seguridad de las Tecnologías de la Información, había otras cuestiones:

- En la categoría estratégica, además de la ya citada 'Pobre Digitalización', se encuentra el impacto que pueden tener las redes sociales, aplicaciones móviles, y en general, aplicaciones basadas en Internet, en la marca, en las relaciones con los clientes y en cómo se hace el negocio. En realidad, esta se puede considerar como un caso concreto de la anterior, al concretar algunos  ìtems y riesgos asociados a ellos. 

- En la categoría operacional se pueden citar tres cuestiones: 

  •   Riesgo debido a la dependencia de empresas subcontratadas -outsourcing- o        acuerdos estratégicos con proveedores de tecnología.

  •   Insuficientes medios para la gestión de identidades y de la privacidad, así  como para la seguridad de la información y la protección de los sistemas.

  • Incapacidad para hacer uso del "big data" para apoyar los planes estratégicos.

Las preguntas parecen dirigidas más que a obtener una visión de los riesgos que más preocupan a consejeros y directivos de las empresas, en particular de los riesgos derivados del uso -o no uso- de las TI, a hacer salir a la luz la poca preparación de la empresa para abordar un cambio hacia una digitalización de la organización, desde las llamadas cuestiones estratágicas del riesgo, como la no adaptación a los rápidos cambios tecnológicos, pudiendo ser superados por la competencia; a los insuficientes medios para el uso de aplicaciones analíticas y explotación de datos, para el control de identidades, o para hacer frente a la amenaza de los ciberataques.

La encuesta también ofrece los diferentes puntos de vista de los consejeros y los distintos miembros del equipo directivo ("C-suite", CEO, CIO, CFO, etc.) tienen sobre el nivel de riesgo o impacto del mismo al que se enfrentan sus organizaciones.

Por una parte, según las respuestas ofrecidas por miembros de los consejos de administración, estos consideran el riesgo de "Pobre digitalización" como impacto bajo para sus organizaciones, mientras que el riesgo de ciberataques lo consideran como de "impacto significativo" potencial. ¿Será porque estos se dejan oír mucho mientras que las causas de un mal rendimiento o desaparición de una empresa no se relaciona con una pobre digitalización de la organización? ¿Será porque el ciberataque tiene una consecuencia directa en daños inmediatos y tangibles y de constatar inmediatamente, que de un fenómeno más dilatado en el tiempo o con muchas posibles causas difíciles de determinar? 

Las respuestas ofrecidas por los consejeros coinciden con las dadas por los CRO's -Chief Risk Officers-, los cuales, entre los 5 riesgos con mayor impacto, además del de las ciberamenazas incluyen los que tienen que ver con medios insuficientes para la gestión de identidades y de la privacidad, así  como para la seguridad de la información. 

Por otra parte, las respuestas dadas por CEO ́s o CIO ́s, entre los 5 riesgos con mayor impacto no se encontraban las ciberamenazas ni ningún otro riesgo operativo. En concreto, en las respuestas de los CEO's, entre los 5 primeros no hab a ningún riesgo relacionado con las TI. Entre las respuestas de los CIO's, sólo uno y es estrat gico, el ya mencionado abreviadamente como "Pobre digitalización", pero no est  ninguno relacionado con la ciberseguridad o con la seguridad de TI, en general.

¿Preocupa a los CEO's y CIO's más una falta de estrategia que una capacidad de llevar a cabo dicha estrategia? 

Del resultado de la encuesta se podría concluir que no hay una estrategia dirigida desde el órgano de gobierno de la organización para una digitalización de la misma.

Si faltan recursos para responder a los cambios tecnológicos, o para el uso de las TI como motor de la empresa, es porque falta un adecuado órgano de gobierno corporativo que entienda, en primer lugar, la digitalización como una necesidad de existencia de su organización y así  disponga los medios necesarios para llevarla a cabo; en segundo lugar, que la digitalización no es un tema tecnológico, es un asunto del negocio; y en tercer lugar, que la transformación digital lleva asociado un cambio en la manera de llevar el negocio, y por tanto, un cambio organizativo y de cultura de empresa.

Si la empresa dejara de existir, ya no habría que preocuparse de las ciberamenazas. 

Esto lo han entendido muy bien organizaciones como el Banco Santander, el cual recientemente a nombrado a Larry Summers como presidente del "Consejo Asesor Internacional" del Banco, una de cuyas misiones será la de acelerar la transformación tecnológica de la entidad. Dicho comité  contará  entre sus miembros con Majorie Scardino, consejera de Twitter y exconsejera delegada de Pearson; Franck D'Souza, consejero delegado de Cognizant y miembro del consejo de administración de General Electric; Charles Phillips, consejero delegado de Infor, exdirector general y miembro del consejo de Oracle; Mike Rhodin, director general de IBM Watson; George Kurt, consejero delegado y cofundador de CrowdStrike y James Whitehurst, director general y consejero delegado de Red Hat.[iii] 

Según el informe que encabeza el artículo, entre las 100 mayores compañías en el mundo por capitalización, las dos primeras son tecnológicas -Apple y Google- y la quinta -Microsoft- también. Las compañías tecnológicas han entrando en sectores, en principio alejados de las TI, como la automoción -Alphabet, concretamente, GoogleX, o Tesla-; o la energía solar -Tesla-; o el periodismo, -Amazon compró "The Washington Post"; o supermercados en línea -Amazón, que también ha abierto una librería física en Seattle llamada "Amazon Books"-.

Dichas compañías invaden sectores que nada tienen que ver con la tecnología, pero que aprovechan el conocimiento sobre la explotación de dicha tecnología como motor de negocio para dar ese salto.

Por tanto, el primer riesgo asociado a la tecnología es precisamente el no utilizar la tecnología como impulsor del desarrollo del negocio, que se traduce en el riesgo de desaparecer.

Teniendo clara dicha necesidad del uso de las TI, es el órgano de gobierno el que debe, por una parte, dictar las normas de como usar las TI, y por otro, supervisar que dichas normas se cumplan. Esto no es más que Gobierno Corporativo, particularizado para las TI, o GCTI.

Las ciberamenazas es claro que son una realidad como diariamente nos lo recuerdan distintos medios. Pero enfrentarse a la ciberseguridad o la seguridad de TI en general, dado que  éstas ya están -o deberían- embebidas en los procesos de la empresa, debe hacerse desde una administración de los riesgos.

Las TI suponen un elemento nuevo dentro del negocio y forman ya, explícita o implícitamente, parte indisoluble de él. Los riesgos de TI, por tanto, deben formar parte de la política general de riesgos de la empresa. Dentro de las normas que define el órgano de gobierno estaría fijar el equilibrio idóneo para la organización entre rentabilidad y seguridad. 

"El GCTI es el conjunto de mecanismos de alto nivel (estructuras y relaciones, normas y procesos de toma de decisiones) dirigidos a determinar el porqu , el para qu  y el cómo de la aplicación y uso de las TI; y a evitar oportunamente, y superar resilientemente, las consecuencias no deseadas del referido uso."

Del "Manifiesto de iTTi sobre GCTI"[iv]

Los CXO's son los que deben ejecutar la estrategia del órgano de gobierno. Concretamente, deben tomar las medidas oportunas para evitar las consecuencias no deseadas del uso de las TI, dentro del equilibrio fijado por dicho órgano entre rentabilidad y seguridad, y las normas dictadas para este fin.

Pero antes deben estar definidas dichas normas y para ello tiene que haber un adecuado GCTI. 

* * *

Este artículo fué publicado originalmente por la revista mejicana Magazcitum el 22/09/2016. Ref: Magazcitum/Opinión, año 7, nº2, 2016. "¿Riesgos operacionales o estratégicos?" - María José de la Calle.  

------------------------------------

[i] http://www.pwc.es/es/publicaciones/auditoria/assets/global-top-100-march-2015.pdf 

[ii] NC State and protiviti (2016). Executive Perspectives on Top Risks for 2016. http://www.protiviti.com/en-US/Documents/Surveys/NC-State-Protiviti-Survey-Top-Risks-2016.pdf

[iii] http://www.elconfidencial.com/empresas/2016-03-18/botin-encarga-elfuturo-digital-del-santander-a-larry-summers-mano-derecha-de-clinton_1170732/  

[iv] http://es.slideshare.net/iTTi_news/el-manifiesto-itti 

 

Cámaras digitales: ¿La seguridad insegura?

Monday, 26 September 2016 Maria Jose de la Calle Posted in iTTi Views

Para dar una idea sobre algunas prestaciones de las modernas cámaras de vigilancia, nada como acudir a los anuncios publicitarios, como los mostrados a continuación, los cuales, al mismo tiempo, van a servir de excusa para introducir el asunto de este texto, reflejado en su título: 

"Una gran variedad de lentes de rendimiento con poca luz. Esta amplia gama de lentes de alta resoluci n está especialmente dise ada para cámaras con sensor de gran tama o (de 1/1,8“, 1/2“ y 2/3“). Gracias a la alta calidad de imagen, con una resolución de hasta 4K, cada lente capta todos los detalles y ofrece imágenes nítidas incluso en condiciones de poca luz."

"Las cámaras de control de movimiento 'marca de la cámara' ofrecen un control total de lo que usted elija ver y el nivel de zoom que use para identificar objetos a grandes distancias sin importar el movimiento."

"Permita a su personal enviar vídeo en directo desde sus smartphones, dondequiera que estén permitiendo a su personal enviar vídeo en vivo desde la cámara del dispositivo directamente a su solución 'nombre', la app 'nombre' Mobile proporciona al operador en el centro de control, inmediato conocimiento de los incidentes independientemente de donde ocurran."

"Controla tu hogar/negocio desde tu smartphone".

* *

Digitalización de las cámaras

Las cámaras tanto fotográficas como de vídeo han experimentado una gran evolución, tanto de la óptica como del silicio. Las cámaras cada vez disponen de mayor resolución a menor precio, han pasado de ser analógicas a digitales, han disminuido en tamaño y, para terminar, se les ha dotado de una dirección IP.

No hay más que echar un vistazo a los anuncios con los que se abre este artículo, en los que distintos fabricantes exponen las bondades de sus productos. Mientras que el primero se centra en las propiedades o características ópticas, los dos últimos ya están haciendo una referencia clara a sus propiedades digitales y su conexión a Internet, por medio de la cual intercambiar información.

Debido a esta evolución, las cámaras están por todas partes. Vivimos rodeados de ellas, desde lo más cercano en nuestros ordenadores y otros dispositivos que llevamos encima -teléfonos o elementos para llevar puestos (wearables)-, hasta lo más lejano, como las cámaras de los satélites, pasando por las colocadas en las casas para vigilar la presencia de posibles intrusos; las que custodian -en el exterior o desde dentro- edificios públicos y empresas; las colocadas en las carreteras -cámaras de tráfico-; e, incluso, las nos observan desde un dron.

Las cámaras de vigilancia son elementos que están con nosotros desde hace ya más de una década, y es algo a lo que nos hemos acostumbrado. Pero si al principio sólo servían para vigilar el acceso a ciertos sitios (bancos, museos, hospitales, etc) ahora sería posible hacer un seguimiento de cualquiera que, en una gran ciudad, se desplazase andando o en un medio de transporte, público o privado: "Se encuentra en una zona vídeo-vigilada, por su propia seguridad", nos recuerdan en las estaciones del suburbano.

La revista "Dealer world" publicaba el pasado 14 de junio la noticia[i] de la presentación que tendría lugar, del 21 al 23 de dicho mes, en la feria IFSEC, de una solución de seguridad en la que cooperaban varias empresas: Canon, empresa de cámaras; Intelico, empresa de software que ofrece una aplicación de reconocimiento de matrículas de automóviles; Ipsotek, que aporta un software para el análisis de vídeo y reconocimiento facial; y por último, Digital Barriers que proporciona tecnología inalámbrica. Es decir, la digitalización -entendida como la aplicación de cuanto gira en torno a las Tecnologías de la Información-, ha llevado a dotar de unas funciones muy potentes a los sistemas de vigilancia.

Las cámaras, a la vista del segundo anuncio mostrado al principio del artículo, se pueden manejar a distancia para dirigirlas a un punto determinado, seguir un objetivo en movimiento, o aumentar o disminuir la zona a enfocar. Las cámaras recogen imágenes que son enviadas por medio de tecnología de comunicaciones -cableada o inalámbrica- a un ordenador, dónde son tratadas por un determinado software.

Y las cámaras no siempre están fijas. Por ejemplo las de tráfico colocadas en vehículos policiales. O las que incorporan los tel fonos móviles, que en alguna situación también pueden servir para recoger imágenes y enviarlas - siguiendo el mensaje recogido en el tercer anuncio de los mostrados arriba-.

Más novedoso, aún, resulta el caso de los drones dotados de sus propias cámara con las que sobrevuelan un área determinada. La empresa israelí, Airobotics[ii] acaba de presentar una unidad completamente autónoma que avisa cuando su cámara detecta que algo no va bien y que vuelve a la base cuando se le acaban las baterías, donde le son sustituidas, también de forma automatizada, por otras nuevas (cargadas). Sólo falta acompañar estos nuevos dispositivos y funcionalidades de la regulación correspondiente.

Los centros comerciales nos vigilan

Las imágenes digitalizadas pueden ser tratadas y utilizadas para muchos fines: controlar el acceso a áreas restringidas; investigar delitos; realizar, mediante el fotografiado del planeta, los pronósticos meteorológicos o detectar/predecir la formación de fenómenos naturales destructivos, cartografiar el planeta, como lleva haciendo la empresa Google en los últimos años, cuyos algoritmos de tratamiento de imágenes han sido actualizados recientemente [iii]; o, por qué  no, saber qué  pasos damos en un centro comercial, dónde nos paramos, y, según nuestros gustos, presentarnos ofertas personalizadas. 

Hoy, gracias a los sistemas de reconocimiento facial, es factible la utilización de cámaras de videovigilancia en los centros comerciales para seguimiento del movimiento de los clientes. Ello, unido al seguimiento de la ubicación de los dispositivos móviles que aquellos llevan, a la recogida de la información que generan sus conexiones a redes WiFi o BlueTooth, a la información sobre lo que han comprado, cuánto se han gastado y cómo suelen comprar; permite obtener perfiles bastante precisos de cada cliente.

Según señala el investigador en ciberseguridad y directivo español Chema Alonso, en un artículo[iv] de su blog "Un informático en el lado del mal", "seguir un dispositivo móvil es tan sencillo como poner puntos de acceso WiFi que vayan reconociendo las direcciones MAC[v] de las peticiones de búsqueda de redes WiFi, pero también vale con sniffers[vi] que escuchen el tráfico de red para ver dónde están siendo emitidos los paquetes." 

Continúa el artículo de Alonso explicando que la información capturada de los paquetes que componen el tráfico de una red es especialmente significativa, ya que un terminal emite dichos paquetes en busca de las redes que conoce, adjuntando a cada uno de ellos el nombre de las mismas. Así, si una persona guarda en el historial de su dispositivo una lista de varias de estas redes (la del trabajo, la de casa, la de un amigo o la de un familiar), estará enviando en esos mensajes todos esos datos, permitiendo que el centro comercial los pueda asociar a su dirección MAC, su tipo de dispositivo móvil, junto con el resto de información ya obtenida por otros medios, como su propia imagen obtenida con las cámaras de vigilancia.

¿Seguridad o inseguridad? : LOPD

Se presupone que las cámaras de vigilancia tienen por objeto la seguridad. ¿Pero, la seguridad de quién o de qué?

Como ya se ha apuntado, hoy es posible recoger información de cualquier ciudadano, mediante la captación y posterior reconocimiento de las imágenes obtenidas: información de los sitios que se han visitado, información de la actividad que se ha realizado, etc 

Á este respecto, la Agencia Española de Protección de Datos (AEPD) recoge en su "Guía de Videovigilancia"[vii] "la videovigilancia permite la captación, y en su caso la grabación, de información personal en forma de imágenes. Cuando su uso afecta a personas identificadas o identificables esta información constituye un dato de carácter personal a efectos de la aplicación de la Ley Orgánica 15/1999, de 13 de diciembre de protección de los datos de carácter personal (LOPD)." En el mismo documento puede leerse "es evidente, y así lo ha subrayado en distintas sentencias el Tribunal Constitucional, que la videovigilancia es un medio particularmente invasivo y por ello resulta necesaria tanto la concurrencia de condiciones que legitimen los tratamientos como la definición de los principios y garantías que deben aplicarse."

Consecuentemente, la manipulación inadecuada de imágenes puede atentar contra la intimidad de las personas, requiriéndose que la recogida, uso y tratamiento de aquellas deban estar sujetos a la ley.

En su artículo 6.1, la LOPD dispone que “el tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa”. Este consentimiento deberá ser, conforme a lo dispuesto en el artículo 3 h) “libre, inequívoco, específico e informado,"[viii] . 

Esto merece alguna reflexión:

1- Libre: sí, somos libres de ir a un sitio u otro; de entrar en un centro comercial o no; de ir por una calle determinada; de coger un medio de transporte u otro; etc. Sin embargo, de lo que no somos libres es de impedir que las múltiples cámaras que hay en cualquiera de esos lugares nos grabe. Por tanto el consentimiento se hace tácito al pasar por la zona de grabación de la cámara.

2- Inequívoco y específico: no puede ser "inequívoco" ni "específico" un consentimiento no solicitado, que, como ya se ha dicho en el punto 1, se supone tácito.

3- Informado: no puede ser "informado" ya que lo único de lo que se informa -si se hace- es de que vamos a ser grabados. Pero ¿para qué? ¿Cómo se van a utilizar esas imágenes? ¿Sabemos quién las va a utilizar?

La guía publicada por la AEPD ha pretendido venir a despejar estas, y otras, dudas aclarando "cuándo deben aplicarse las normas sobre protección de datos a los tratamientos de imágenes" y con el fin "de ofrecer indicaciones y criterios prácticos que permitan el adecuado cumplimiento de la legislación vigente en todos los casos". 

La inseguridad de tener IP

Hoy las cámaras están conectadas a servidores de Internet lo que les permite comunicarse con otros ordenadores, o dispositivo en general, a los que envían los datos (imágenes) recogidos y desde los que pueden recibir instrucciones. Las imágenes recibidas, a su vez, se guardan y/o se tratan.

Todo esto requiere reparar en el hecho de que personas no autorizadas puedan hacerse con los datos (imágenes) en la propia cámara, mediante los datos en tránsito, o, finalmente, en el propio ordenador, donde aquellos pueden estar albergados, según ley, por un período máximo de un mes.

El que las cámaras se puedan manipular a distancia es un hecho, que se ve favorecido por estar dotadas de una dirección IP, lo cual sirve a su vez de reclamo comercial, como señalaba el cuarto de los anuncios reproducidos al principio de este artículo. Pero se trata de un arma de doble filo: de igual modo que el propietario legítimo de la cámara, y sus imágenes, puede manejarla a distancia, incluso con su dispositivo móvil, de la misma manera personas no autorizadas podrán intentar hacerlo.

En el enlace de la novena cita[ix] mostrada al final de este artículo se muestra paso a paso -a efectos meramente educativos- cómo hackear una CCTV. Se sugiere incluso que si el administrador ha cambiado el usuario y la contraseña por defecto, se podrá utilizar herramientas alternativas para conseguir el acceso.

La finalidad de una acción de manipulación indebida de una cámara puede ser la propia cámara, con el fin de hacer que no funcione correctamente, o bien, la red de comunicaciones de la que la cámara forma parte de manera que ésta sirva de puerta de entrada a la red de la empresa. Una vez conseguido el acceso irregular a esta red, un posible atacante estaría en disposición de distribuir código dañino, robar o corromper datos albergados en algún servidor corporativo, etc.

Una situación como la descrita quedaba reflejada en el artículo[x] que el pasado 27 de junio publicaba la empresa SucuriSecurity en su blog. En el mismo se describía cómo se había producido un ataque de denegación distribuida de servicio (DDoS). Mediante una botnet formada por veinticinco mil cámaras de circuito cerrado de televisión repartidas por varios países, se inundaron las páginas web objetivo con hasta 50.000 peticiones HTTP por segundo, lo que produjo el colapso y la inutilización de dichas páginas.

La seguridad de las cámaras no es un asunto baladí.

* *

Para terminar, unas palabras del sociólogo belga Armand Mattelart en la presentación de su libro "La sociedad vigilada", que tuvo lugar el 4 de mayo del 2009 cátedra UNESCO de Comunicación de la Universidad de Málaga:

Antes, el ser fichado era un signo de la delincuencia y hoy no estar fichado es sospechoso, uno esta fichado por la salud, la educación, ... todos los sectores de la vida."[xi] 

* * * 

Este artículo fué publicado originalmente por @PuntoSeguridad.com/"Cuadernos de Seguridad", septiembre,2016, nº 314, pg.60, Ciberseguridad – "Cámaras digitales: ¿La seguridad insegura?" – María José de la Calle.

-------------------------------------------

[i] "Digital Barriers, Ipsotek, Intelico y Canon presentan soluciones verticales de seguridad", 14 Jun, 2016. Dealer World. url [a 5-07-2016] http://www.dealerworld.es/seguridad/digital-barriers-ipsotek-intelico-y-canon-presentan-soluciones-verticales-de-seguridad   

[ii] "Una fabricante israelí presenta los primeros drones 100% autónomos", 21 Jun, 2016, ElEconomista.es. url [a 5-07- 2016] http://www.eleconomista.es/tecnologia/noticias/7653034/06/16/-Una-fabricante-israeli-presenta-los-primeros-drones-100-autonomos.html 

[iii] "Keeping Earth up to date and looking great", 27 Jun, 2016. Google Maps. url [a 5-07-2016] https://maps.googleblog.com/2016/06/keeping-earth-up-to-date-and-looking.html 

[iv] Chema Alonso, 21 Sept, 2014. "Cómo te espía tu centro comercial por WiFi y BlueTooth". Blog "Un informático en el lado del mal". url [a 5-07-2016] http://www.elladodelmal.com/2014/09/como-te-espia-tu-centro-comercial-por.html 

[v] url [a 5-07-2016] https://es.wikipedia.org/wiki/Direccion_MAC  

[vi] url [a 5-07-2016] https://es.wikipedia.org/wiki/Deteccion_de_sniffer 

[vii] url [a 5-07-2016] https://www.agpd.es/portalwebAGPD/canaldocumentacion/publicaciones/common/pdfs/guia_videovigilancia.pdf 

[viii] url [a 5-07-2016] https://www.agpd.es/portalwebAGPD/canaldocumentacion/informes_juridicos/cesion_datos/common/pdfs/2009-0624_Publicaci-oo-n-en-revista-de-foto-ganadora-de-concurso-con-im-aa-genes-de-personas.-No-necesidad-de-consentimiento.pdf 

[ix] Utkarsh Wadhwa. "How to hack Private CCTV Cameras". Mighty Shouts. url [a 5-07-2016] http://www.mightyshouts.com/cctv-cameras/ 

[x] Daniel Cid, 27 Jun, 2016. "Large CCTV Botnet Leveraged in DDoS Attacks". Sucuri Blog. url [a 5-07-2016] https://blog.sucuri.net/2016/06/large-cctv-botnet-leveraged-ddos-attacks.html 

[xi] A.J.L pez, 5 May, 2009. "La Humanidad accederá a la tecnología porque hay que tenerla vigilada". Sur.es. url [a 5-07- 2016] http://www.diariosur.es/20090505/sociedad/humanidad-accedera-tecnologia-porque-20090505.html 

 

El Reglamento General de Protección de Datos y la IA

Thursday, 15 September 2016 Maria Jose de la Calle Posted in iTTi Views

"Todo interesado tendrá derecho a no ser objeto de una decisión basada  únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos en él o le afecte significativamente de modo similar". Artículo 22, párrafo 1 del Reglamento (UE) 2016/679[i].

* * 

En el pasado mes de abril el Consejo de la Unión Europea y el Parlamento Europeo sancionaron el nuevo Reglamento General sobre Protección de Datos -Reglamento (UE) 2016/679 de 27/04/2016- que entró en vigor el 24 de mayo y que será de aplicación obligatoria en todos los países de la Unión a partir del 25 de mayo de 2018[ii]. 

Según una encuesta del Eurobarómetro[iii] realizada a principios del año 2015, el 81% de los europeos -el 85% de los españoles- dicen estar preocupados por no tener un control completo sobre la información facilitada a través de Internet, y un 69% -el 64% de los españoles-, por el posible uso que las empresas puedan hacer de los datos cedidos. 

Uno de los objetivos del Reglamento es el de permitir a los ciudadanos de la UE recobrar el control de sus datos personales. 

Para ello las normas recogidas en dicho Reglamento vienen a reforzar los derechos ya establecidos en la anterior directiva de 1995, con el derecho a la portabilidad de datos (artículo 20); aclaración del "derecho al olvido" (artículo 17) o el derecho a saber si los datos en poder de organismos o empresas han sido hackeados (artículo 34); además de facilitar el acceso a los datos propios en poder de terceros y a la forma en que éstos los traten. 

Concretamente, en el artículo 15 ("Derecho de acceso del interesado"), párrafo 1, apartado h, se establece que "[e]l interesado tendrá derecho a obtener del responsable del tratamiento confirmación de si se están tratando o no datos personales que le conciernen y, en tal caso, derecho de acceso a los datos personales y a ... la existencia de decisiones automatizadas, incluida la elaboración de perfiles, a que se refiere el artículo 22, ", artículo con el arrancaban estas reflexiones. 

Además, en el artículo 4 ("Definiciones"), apartado 4, se define la "elaboración de perfiles" como "toda forma de tratamiento automatizado de datos personales consistente en utilizar datos personales para evaluar determinados aspectos personales de una persona física, en particular para analizar o predecir aspectos relativos al rendimiento profesional, situación económica, salud, preferencias personales, intereses, fiabilidad, comportamiento, ubicación o movimientos de dicha persona física;". 

Hasta ahora, un tratamiento automatizado era completamente predecible en su comportamiento. No había más que seguir el código (programa informático) escrito al efecto y los datos de entrada que lo alimentaban, para conocer cómo trataba los referidos datos y cuál sería el resultado que se obtendría. Una máquina se programa indicándole instrucción por instrucción lo que debe realizar. A partir de ahí, salvo errores de funcionamiento, ella hará, únicamente, aquello para lo que se la ha programado. Más que decirle "qué debe hacer", se le dan una serie de instrucciones sobre "cómo debe hacerlo".

Consecuentemente, informar de cómo se ha llegado a un perfil determinado a partir de ciertos datos personales, y de las consecuencias previstas para el interesado, no parecen aspectos que impliquen una excesiva complejidad. 

Sin embargo, la llegada de la Inteligencia Artificial (IA) hace que esto esto comience a no resultar tan evidente (al menos de momento)[iv].

La IA podría definirse como un conjunto de algoritmos que, en mayor o menor medida, realizan sus funciones sobre la base de un reconocimiento del mundo natural y de un aprendizaje derivado de su interacción con aquel.

Dependiendo de los datos con los que se alimente a un sistema de IA y de su entrenamiento con humanos, los cuales evalúan su forma de actuar -evaluación que recoge la máquina como otro dato de aprendizaje-, dicho sistema será capaz de conducir un automóvil o un avión; de realizar una operación financiera, o un diagnóstico médico y sugerir el pertinente tratamiento; de recomendar la contratación de una persona para realizar una actividad dentro de la empresa, etc. 

Pero a diferencia de lo que ocurre en la programación tradicional, la programación de un sistema de IA busca decir QUÉ debe hacer. El CÓMO lo haga y sus resultados dependerán, en primer lugar, del entrenamiento que se le haya proporcionado; esto es, de los datos con los que que se le haya alimentado y de los expertos que lo hayan dirigido. En segundo lugar, cuando en un momento dado se le solicite llevar a cabo una determinada acción, el cómo la realice dependerá de los datos que le lleguen. Se trata de un modo de funcionamiento no determinista.

Esto supone que el hecho de poder informar de la lógica de una elaboración de perfil, si se ha hecho con IA, no siempre resultará posible (por ahora). Ello, aparentemente, puede resultar un poco raro ya que la IA no deja de ser una herramienta hecha por humanos; aunque estos no siempre la entiendan. Todo ello supone un reto para los investigadores en Inteligencia Artificial, ya que "los algoritmos no sólo tienen que ser eficientes, tienen que ser transparentes y justos"[v]. 

"Los algoritmos pueden hacer sistemas más inteligentes, sin embargo, sin añadir un poco de sentido común a la ecuación, pueden producir algunos resultados extraños." Stephen F. DeAngelis, Presidente and CEO de Enterra Solutions.[vi]

* * *

Este artículo fué publicado originalmente por ComunicacionesHoy, nº 155, 24-08-2016. Referencia: Regulación/ Opinión, pg.13 – "El Reglamento General de Protección de Datos y la IA" – María José de la Calle.  

----------------------------------------

[i] A lo largo del texto aparecen citados distintos artículos del Reglamento General sobre Protección de Datos, que se puede consultar en url [a 16-07-2016]   http://eur-lex.europa.eu/legal-content/EN/TXT/?qid=1473958690793&uri=CELEX:32016R0679 

[ii] "Reform of EU data protection rules". European Comission/ Justice. url [a 16-07-2016] http://ec.europa.eu/justice/data-protection/reform/index_en.htm  

[iii] Eurobarómetro, Comisión Europea. Mar 2015. url [a 16-07-2016] http://ec.europa.eu/public_opinion/archives/ebs/ebs_431_fact_es_es.pdf 

[iv] Cade Metz, 11 Jul, 2016, "Artificial Intelligence Is Setting Up the Internet for a Huge Clash With Europe". Wired. url [a 16-07-2016] http://www.wired.com/2016/07/artificial-intelligence-setting-internet-huge-clash-europe/?mbid=nl_71116_p3 

[v] "algorithms are not merely efficient, but transparent and fair." Bryce Goodman, Seth Flaxman, 28 Jun, 2016. "EU regulations on algorithmic decision-making and a “right to explanation”". url [a 16-07-2016] http://arxiv.org/pdf/1606.08813v1.pdf 

[vi] "Algorithms can make systems smarter, but without adding a little common sense into the equation they can still produce some pretty bizarre results." Stephen F. Deangelis, 2014. "Artificial Intelligence: How Algorithms Make Systems Smart". Wired. url [a 16-07-2016] http://www.wired.com/insights/2014/09/artificial-intelligence-algorithms-2/ 

 

Los medios de transporte ya tienen IP

Wednesday, 31 August 2016 Maria Jose de la Calle Posted in iTTi Views

Un tweet un poco aciago

Chris Roberts, el autor de este tweet, es un investigador en temas de seguridad quien, como tantos otros, identifica vulnerabilidades en los sistemas y avisa a las empresas para que las subsanen. En este caso, tan sólo envió  este tweet desde un avión en vuelo, bromeando sobre la posibilidad de envío de mensajes de alertade seguridad a la tripulación (EICAS - Engine Indicator Crew Alert System), por ejemplo, activar las mascarillas de oxígeno, todo esto a través del sistema de comunicaciones para los pasajeros[i]. 

Esto provocó que en el aeropuerto de destino lo estuviera esperando el FBI, acusándolo de haber entrado en los sistemas de comunicaciones del avión, y quitándole su ordenador y demás dispositivos. Al parecer, este no era su primer tweet acerca de la seguridad en los aviones, Chris llevaba ya varios años avisando de las vulnerabilidades en los aviones, como en este otro tweet[ii] suyo, simplemente fue una mala idea la manera en que quiso concienciar acerca del problema. 

La IP en los aviones

En dicho vuelo Chris no accedió a las red privada de vuelo, pero, según WIRED[iii], en otros anteriores sí se había conectado más de una docena de veces a puertos de la red situados debajo de su asiento, pudiendo rastrear el tráfico de la red y descubriendo, así, vulnerabilidades.

Resulta sorprendente que se pueda tener acceso físico a la red por medio de conectores colocados debajo de los asientos de los pasajeros. Esto contraviene una de las más básicas medidas de seguridad que esproteger el acceso físico a un sistema.

La seguridad física se entiende como la prevención de accesos no autorizados a recursos, por ejemplo el acceso a servidores, manteniendo estos "bajo llave" y controlando y monitorizando su acceso. Esto se incumple claramente con la mala práctica de colocar conectores a la red debajo de los asientos de los viajeros. ¡A quién se le va a ocurrir meter la mano debajo del asiento!

El tweet tuvo como consecuencia, aparte de la detención de Chris, una serie de artículos que, tomándolo como excusa, sirvieron para tratar, por una parte, el poco caso que algunas empresas hacen de los avisos que WhiteHat-hackers (hackers bienintencionados) realizan sobre vulnerabilidades en productos o sistemas, como, entre otros, el artículoiv "Hacker’s Tweet Reignites Ugly Battle Over Security Holes", publicado por Wired. 

Y por otra parte, sobre las ciber-amenazas en la aviación comercial, como "Did The Aviation Industry Fail Cybersecurity 101?"[v], en el que se destaca la necesidad del principio de la ciber-seguridad desde el diseño de los componentes, en vez de ir poniendo capas de seguridad, después de que los sistemas estén funcionando, y recuerda la seguridad física como una de las primeras medidas de la seguridad en los sistemas. 

El informe GAO

Pero, ¿qué es lo que ha cambiado para que se produzca tanto revuelo en cuanto a la ciber-seguridad en la aviación? Una buena pista la podemos encontrar en un informe[vi] que la "Government Accountability Office" de Estados Unidos publicó  una semana previa al incidente de Chris Roberts y su tweet, en el que dibujaba posibles escenarios de ciber-ataques en los aviones modernos y en el nuevo sistema de control del tráfico aéreo -ATC, Air Traffic Control- en EEUU conocido como "NextGen".

Hasta hace relativamente poco, los sistemas que componían el control del tráfico aéreo se comunicaban a través de redes dedicadas punto a punto y el avión tenía una comunicación terrestre con las torres de control, y su posición se conocía a través de radares. Además, el sistema de control de vuelo constituía un sistema aislado al que no se podía acceder desde el exterior, sistema cerrado a especialistas. 

Esta situación, como en casi todos los sectores de la industria, ha ido cambiando a sistemas integrados de información y distribución de la misma, comunicaciones digitales entre todos los elementos del sistema, los controladores y los pilotos, y tecnología de vigilancia y navegación por satélite, o GPS -Global Positioning System-. Todo ello hace que el sistema de control de tráfico aéreo tenga una serie de nuevos riesgos y aumenten las posibilidades de ciber-ataques. 

Por ejemplo, la conexión WI-FI a Internet para los pasajeros dentro del avión es una puerta entre el avión y el mundo exterior. Si la red Ethernet del avión es compartida tanto por los pasajeros como por los sistemas de navegación, y todo conectado al mismo router, tal y como se puede ver en la figura-4 del informe citado, el riesgo de accesos no autorizados a dichos sistemas es muy alto, a pesar del firewall que se pueda poner a la entrada de los sistemas de navegación. Esto sucede, por ejemplo en el Boeing 787 y en los Airbus A350 y A380. 

Un malware introducido en una página web visitada por un pasajero puede ser la puerta de entrada a un acceso no autorizado, o una conexión física en el asiento de un pasajero a la red del avión, caso ya explotado, con fines simplemente de investigación, por Chris Roberts. 

Tanto desde dentro del avión como desde fuera, por medio de la conexión a Internet del avión, se podría tomar control del vuelo, poner malware en los sistemas, tomar control de los sistemas de alerta de la tripulación, y, en general poner en peligro físico el avión como tal, al hacerse con el control de sus ordenadores.

De hecho, parece que algunos aviones están preparados para que se pueda tomar control desde tierra en caso de una emergencia, según la CNN en "GAO: Newer aircraft vulnerable to hacking"[vii], aunque esta tecnología parece que aún está lejos de ser segura. 

La digitalización del control del espacio aéreo en Europa

Esta modernización -o más bien digitalización- del sistema de control del espacio aéreo no es exclusiva de EEUU. En Europa hay en marcha otro proyecto denominado SESAR (Single European Sky ATM -Air Traffic Management- Research), cuyo plan de desarrollo está detallado en el documento "European ATM Master Plan"[viii]. 

Para cumplir con el objetivo de un sistema de gestión del tráfico aéreo en Europa sostenible y competitivo, el plan contempla un soporte a la automatización, con la implementación de tecnologías de virtualización así como el uso de sistemas interconectados, interoperables y estandarizados. La infraestructura del sistema evolucionará gradualmente hacia una tecnología digitalizada.

Todo esto supone unos riesgos tecnológicos que el documento recoge en el punto "5.5.4 Cybersecurity", exponiendo su preocupación tanto por el tema de la interconectividad como por el de la interoperabilidad.

La interconectividad y la integración entre distintos actores -aeropuertos, aerolíneas, etc.- supone una mayor superficie de ataque. Al estar todo conectado, entrando por una vulnerabilidad de un sistema, sería posible alcanzar cualquier otro punto de otro sistema conectado.

La interoperabilidad llevaría a un incremento en el uso de componentes estándar que daría lugar a una pérdida de diversidad e incrementaría la probabilidad de introducir vulnerabilidades ya conocidas en el sistema.

Por ello aconseja tratar el tema de la ciber-seguridad desde el diseño, en lugar de esperar a que los sistemas estén funcionando, reconociendo que la ciber-seguridad no es un tema estático, sino que evoluciona con la sofisticación de los atacantes y con los cambios en los sistemas que introducen nuevas vulnerabilidades. 

Otros medios de transporte

No sólo los sistemas de la aviación se han apuntado a la conectividad IP, ya conocemos la conectividad de los automóviles para proveer servicios al conductor y las noticias sobre vulnerabilidades en sus sistemas. Una de las últimas -The Hacker News[ix] la publicó el pasado 6 de junio- tiene que ver con el Mitsubishi Outlander. Según la noticia, un experto en seguridad ha encontrado una vulnerabilidad en su sistema WI-FI que permitiría acceder remotamente al vehículo y desconectar sus sistema de alarma para poder robarlo. En el mismo artículo hay enlaces a noticias como que "Hackers encuentran una manera para desconectar el sistema de airbags". Quien dice automóvil, dice autobuses o camiones de transporte. 

Los medios de transporte de personas y mercancías, y las redes que los soportan tienen un gran importancia. Por esto tienen un tratamiento especial y son considerados como "Infraestructuras críticas (IC)".

Según la UE, IC se considera "cualquier activo, sistema o parte de ello localizado en un estado miembro el cual es imprescindible para el mantenimiento de las funciones sociales, salud, seguridad en personas y cosas, economía o bienestar de las personas, cuya interrupción, alteración o destrucción tendría un impacto significativo en el estado miembro como resultado del fallo en el mantenimiento de tales funciones"[x]. 

La UE está trabajando en que las redes de transporte sean más eficientes y sostenibles. Para ello ha definido una serie de programas dentro de lo que llama "Sistemas de transporte inteligente o ITS -Intelligent transport systems-", que define como la aplicación de las tecnologías de la información y las comunicaciones al transporte, para mejorar sus niveles de servicio y eficiencia. Dentro de esto están incluidos todos los medios: transporte por carretera, tren, marítimo y, por supuesto, aéreo ya comentado.

¿Pero ganaremos en seguridad? ¿O lo que se gana por tener un control más exhaustivo de las redes de transporte se pierde por el tema de la inseguridad de los sistemas digitales y las redes de interconexión?

Conclusión

Considerando que poco a poco cada vez más cosas están conectadas a Internet y por tanto entre sí, desde los coches a los aviones y los trenes, las carreteras y las vías de los trenes, la ropa que llevaremos en un futuro o el medidor de nuestras constantes vitales, parece que va a haber muchas infraestructuras críticas, ya que un fallo de ciber-seguridad puede paralizar en muchas cosas alguna de las funciones consideradas críticas para una sociedad.

Sería importante considerar dotar a cualquier sistema que se vaya a conectar de todas las medidas de seguridad que se conozcan y sean pertinentes; y no poner trabas por perder el control sobre, por ejemplo los cifrados fuertes en las comunicaciones de los ciudadanos; o no permitir publicidad en nuestros sistemas porque pueden traer malware.

¿A quién o quienes les interesa este mundo cada vez más inseguro? ¿Por qué no se hace nada para que la tecnología nazca segura?

Debemos impedir que se haga realidad el título de un artículo de "El País" del pasado 29 de mayo: “En 2020 ya no podremos proteger nuestras redes frente a los ataques”[xi].

Más que nada es que los transportes no tripulados ya constituyen una realidad: aviones, es decir, drones; automóviles, los de Google y Tesla, por ejemplo; trenes, que según el artículo de El Mundo titulado "Europa quiere trenes 'sin conductor'"[xii], los trenes del metro de Madrid y Bilbao realmente ya funcionan sin conductor, el cual está presente sólo para tranquilidad del usuario; y barcos, como el Relationship de 1998, que según un artículo[xiii] de Der Spiegel reproducido por El País, dicho barco -un trimarán de 11 metros- estaba gobernado por un ordenador a bordo que manejaba las velas, el timón y trazaba su trayectoria, y desde un centro de control en Alemania vigilaban su ruta con cámaras de vídeo y satélite. 

* * *

Este artículo fué publicado originalmente por @PuntoSeguridad.com/"Cuadernos de Seguridad", julio-agosto,2016, nº 313, pg.80, Ciberseguridad – "Los medios de transporte ya tienen IP" – María José de la Calle.

-----------------------------------

[i] Una explicación detallada del significado de este tweet la podemos encontrar en la siguiente url [a 9-06-2016] https://news.ycombinator.com/item?id=9402667     

[ii] url [a 9-06-2016] https://twitter.com/Sidragon1/status/589050973504536576 

[iii] Kim Zetter, 21, Abr, 2015. "Feds Warn Airlines to Look Out for Passengers Hacking Jets". WIRED. url [a 9-06-2016] https://www.wired.com/2015/04/fbi-tsa-warn-airlines-tampering-onboard-wifi/ 

[iv] Kim Zetter, 21, Abr, 2015. "Hacker’s Tweet Reignites Ugly Battle Over Security Holes". WIRED. url [a 9-06-2016] https://www.wired.com/2015/04/twitter-plane-chris-roberts-security-reasearch-cold-war/ 

[v] Lane Thames, 23, Jun, 2015. "Did The Aviation Industry Fail Cybersecurity 101?". Tripwire/ The State of Security. url [a 9-06-2016] http://www.tripwire.com/state-of-security/security-data-protection/cyber-security/the-aviation-industry-did-they-fail-cybersecurity-101/ 

[vi] Gerald L. Dillingham, Ph.D., Gregory C. Wilshusen, Nabajyoti Barkakati Ph.D., Abr, 2015. "Air Traffic Control. FAA Needs a More Comprehensive Approach to Address Cybersecurity As Agency Transitions to NextGen". United States Government Accountability Office, GAO-15-370. url [a 9-06-2016] http://www.gao.gov/assets/670/669627.pdf 

[vii] Matthew Hoye and Rene Marsh, 15, Abr, 2015. "GAO: Newer aircraft vulnerable to hacking". CNN. url [a 9-06-2016] http://edition.cnn.com/2015/04/14/politics/gao-newer-aircraft-vulnerable-to-hacking/ 

[viii] "European ATM Master Plan. Executive View - Edition 2015". Luxembourg: Publications Office of the European Union, 2015. url [a 9-06-2016] http://ec.europa.eu/transport/modes/air/sesar/doc/eu-atm-master-plan-2015.pdf 

[ix] Swati Khandelwal, 6, Jun, 2016. "Mitsubishi Outlander Car's Theft Alarm Hacked through Wi-Fi". The Hacker News. url [a 9-06-2016]  http://thehackernews.com/2016/06/mitsubishi-car-hacking.html? 

[x] Directiva europea 2008/114/EC del Consejo, de 8 de diciembre de 2008, sobre la identificación y designación de infraestructuras críticas europeas y la evaluación de la necesidad de mejorar su protección. url [a 9-06-2016] http://eur-lex.europa.eu/legal-content/ES/TXT/?uri=uriserv%3Ajl0013 

[xi] Beatriz Guillén, 29, May, 2016. "En 2020 ya no podremos proteger nuestras redes frente a los ataques". El País. url [a 9-06-2016] http://tecnologia.elpais.com/tecnologia/2016/05/06/actualidad/1462550216_094378.html 

[xii] Eugenio Mallol, 26, Sept, 2015. "Europa quiere trenes 'sin conductor'". El Mundo. url [a 9-06-2016] http://www.elmundo.es/economia/2015/09/21/55ffdcc9268e3e8d088b4585.html 

[xiii] Der Spiegel , 7, Jun, 1998. "Un barco sin piloto hará escala en Canarias en su vuelta al mundo". El País. url [a 9-06- 2016] http://elpais.com/diario/1998/06/07/sociedad/897170405_850215.html 

 

Bots for business

Thursday, 28 July 2016 Maria Jose de la Calle Posted in iTTi Views

I - Los robots invisibles

El DRAE nos ofrece para la palabra "robot" dos acepciones: la primera, "Máquina o ingenio electrónico programable, capaz de manipular objetos y realizar operaciones antes reservadas sólo a las personas", en especial las pesadas, repetitivas o peligrosas. Este primer significado implica una existencia física y visible, que en la literatura de ciencia-ficción toma la forma de un androide cuando está dotado de unas ciertas habilidades humanas, como la conversación, desplazarse por el mismo entorno que lo hacemos los humanos o manipular objetos. 

La segunda, "Programa que explora automáticamente la red para encontrar información". Este artículo -y el siguiente de esta breve serie- se centrarán en esta segunda acepción, a la que -en la jerga técnica- se le ha acortado el nombre y se conoce como bot. En contraposición a la primera acepción, estos bots tienen una existencia prácticamente invisible, al ser una pieza de software residente en un dispositivo, que está en nuestras vidas cotidianas sin que apenas nos percatemos de ello. Tenemos a los robots entre nosotros, pero de una forma diferente a lo que nos cuenta la ciencia-ficción. 

Yendo a otras fuentes más tecnológicas que el DRAE, como Techtarget, un bot es un programa que se ejecuta sin actuación directa de una persona, y realiza acciones repetitivas bajo un plan, es decir, que actúa como un agente para una persona u otro programa, pudiendo simular alguna actividad humana. 

Según la función para la que se hayan creado, toman unos u otros nombres especializados.

En Internet hay unos bots que están por todas partes y que acceden a sitios Web visitados por usuarios, recogiendo información según criterios generales, en orden a crear entradas que serán utilizadas por motores de búsqueda. Se los conoce como spiders, si realizan un acceso en paralelo a varios sitios a la vez, o crawlers, si acceden uno a uno siguiendo los link de cada página. La información que recogen no tiene un fin determinado. Según el motor de búsqueda que los utilice puede servir, por ejemplo, para que empresas puedan ofrecernos productos o servicios que se supone nos pueden interesar en ese momento, deducido de las páginas visitadas, o para obtener estadísticas de visitas y cobrar más o menos por los anuncios insertados en dichas páginas.

Un bot cuya función es recopilar información para un usuario visitando de forma automática sitios de Internet y recogiendo aquella información que reúna ciertos criterios específicos fijados por dicho usuario, es conocido como knowbot. Un ejemplo serían los newsbots, aquellos que nos presentan un resumen de noticias o links a ellas, seleccionadas de sitios Web según criterios fijados previamente por nosotros como de nuestro interés. 

Un shopbot es un programa que "va de compras" por la Web en nuestro lugar y localiza el mejor precio de un producto que estemos buscando.

La evolución de los bots va pareja a la evolución general de la ciencia y la tecnología, es decir, a dotarlos de inteligencia gracias a la inteligencia artificial. Un ejemplo son los chatbot -chatterbot, en sus orígenes-, programas que simulan conversar como un ser humano, o lo que es lo mismo, que en mayor o menor medida, entienden el lenguaje natural. Los orígenes de este tipo de bots se remontan a los años 60 con Eliza[i], desarrollado en el MIT entre 1964 y 1966 por Joseph Weizenbaum, que simulaba ser un psicoanalista. Han evolucionado a poderles solicitar con lenguaje natural realizar ciertas actividades como marcar un nº de teléfono para iniciar una llamada, descolgar el teléfono, buscar una frase en la web, traducir una frase a otro idioma, y un largo etc. Claro que cometen muchos errores aún, pero nos estamos acostumbrando sobre todo con los smartphone, a solicitarles algo hablando en lenguaje natural, y no pulsando un icono o tecleando algo que una app preparada al efecto nos solicite. 

Las posibilidades son infinitas, sujetas únicamente a la imaginación. Por ello han surgido una gran cantidad de bots especialmente dirigidos al mundo empresarial para facilitar, por una parte la comunicación interna de la empresa, como los llamados "asistentes virtuales" y por otra, la comunicación externa, principalmente con sus clientes, tanto actuales como futuros, con, por ejemplo plataformas de servicio al cliente que responden preguntas básicas y aconsejan al cliente.

Los bots son herramientas que, según vayan mejorando, contribuirán a la digitalización de la empresa. 

* *

II - Los chatbots

Los chatbots son piezas de software que tratan de simular la conversación de un ser humano. A pesar del tiempo que ha pasado -años 60 con Eliza- desde los primeros intentos de que la comunicación entre una máquina y un ser humano fuera en lenguaje natural, lo cierto es que aún no se ha conseguido suficientemente bien.

Por ejemplo, Tay, el chatbot que Microsoft puso en Twitter el pasado mes de marzo para conversar fundamentalmente con jóvenes, tuvo que retirarlo a las pocas horas porque elaboraba mensajes de contenido ofensivo, siendo incapaz de tratar con bromas, insultos, etc.[ii].

Los ordenadores toman las palabras de forma literal, y sin embargo el lenguaje es muy ambiguo. Por esto, sólo se ha conseguido algún éxito dentro de contextos y con frases sencillas y preparadas, como Siri -Apple- o Cortana -Microsoft-, lanzados hace ya algunos años, y que obedecen a peticiones sencillas de búsqueda o a conexiones telefónicas con algún nombre del que disponga en su agenda, o Alexa, de Amazon, que responde a preguntas, ejecuta apps de música, o controla luces, termostatos, etc., con la voz.

Esto es lo que se ha llamado un asistente personal virtual, que, con los nuevos algoritmos de la Inteligencia Artificial (IA) y el BigData, están evolucionando, por una parte, para comprender mejor el lenguaje natural, y por otra, para aprender a medida que se utiliza, como Allo, de Google, aplicación de mensajería para el móvil; o M, de Facebook, que se integrará en Messenger

Muchas empresas se han lanzado a la investigación y desarrollo de estas herramientas basadas en la aplicación de IA a la comprensión y aprendizaje de las máquinas del lenguaje natural, algunas empujadas por las grandes que abren sus plataformas a desarrolladores externos. Veamos algunos ejemplos.

Facebook quiere que se chatee con bots de empresas[iii], al igual que se hace con familiares y amigos, a través de su app Messenger. A principios de abril, en la conferencia "F8" para desarrolladores, Facebook anunció que abría a los desarrolladores esta app, para que crearan chatbots como un canal de comunicación entre empresas y consumidores, de forma análoga a como charlamos con los amigos. 

Esto representa una ventaja para los consumidores, ya que, como Mark Zuckerberg dijo en dicha conferencia, "nadie quiere tener que instalar una nueva app para cada empresa o servicio con el que quiera interactuar"[iv]; también para las empresas, ya que hay más de 900 millones de personas que ya utilizan Messenger[v], constituyendo así una gran plataforma en la que ofrecer contenidos, productos y servicios, y un nuevo canal; y para ambos, su ubicuidad, realizable en cualquier sitio donde haya comunicación a Internet.

Google dispone de varias herramientas de base para dicho propósito, como SyntaxNext[vi], que puede aprender a entender el significado de palabras y frases dado su contexto, o TensorFlow[vii], framework de deep-learning, liberadas ambas para que desarrolladores de todo el mundo construyan apps y servicios con interfaz basada en lenguaje natural. 

El último producto hasta ahora hecho público, y muy relevante, es Viv, creado por el mismo equipo de Siri -que no está ya en Apple- y que el pasado 9 de mayo lo presentó[viii] uno de sus creadores, Dag Kittlaus. En la demostración Dag solicitó al asistente la reserva de una habitación, que llamara a un coche de Uber, preguntó "si la temperatura de pasado mañana a las 5 de la tarde estaría por encima de los 30º", entre otras cosas. Al parecer, Viv es capaz de seguir una conversación sin cambiar de tema o responder con evasivas.

Viv genera sus propio código "sobre la marcha"[ix], es decir, en el momento en que se está interaccionando con él, analiza sintácticamente las frases y genera inmediatamente un programa para establecer links a las páginas de Internet necesarias, de donde recoger la información, para responder a casi cualquier pregunta o realizar casi cualquier función, como información del tiempo, información del tráfico, etc. o hacer un pedido, si así se le ha requerido, como un billete de avión, o poner la calefacción en casa. Además, como sistema basado en IA, aprende de cada interacción con el mundo.

Los creadores de Viv aspiran a que esta plataforma se integre en todo tipo de dispositivos y cosas en general, y servicios, y sea la forma más sencilla de interactuar con ellos en cualquier sitio. Ya no se necesitará una interfaz para comunicarse con una máquina. 

"... you’ll access its artificial intelligence as a utility, the way you draw on electricity. Simply by speaking, you will connect to what they are calling "a global brain.”" Viv's founders - Wired, ago/2014[x]

* * * 

Este artículo fué publicado originalmente por ComunicacionesHoy en dos partes, en dos de sus números de forma consecutiva: la primera parte, "Los robots invisibles", en el nº 153, 2-06-2016. Referencia: Opinión/Bots, pg.22 – "Bots for business. I (de II): Los robots invisibles"; la segunda parte, "Los chatbots", en el nº 154, 4-07-2016. Referencia: Customer Experience / Opinión, pg. 11 - "Bots for business. II (de II): Los chatbots". María José de la Calle.

---------------------------------

[i] Weinzembaun, J. (1966). "Computational Linguistics". Communications of ACM, Volumen 9 (nº 1). Recuperado de [a 16-05-2016] http://web.stanford.edu/class/linguist238/p36-weizenabaum.pdf 

[ii]  Jiménez Cano, R. (25 de marzo de 2016). "Microsoft retira un robot que hizo comentarios racistas en Twitter". El País. Recuperado de [a 15-06-2016] http://tecnologia.elpais.com/tecnologia/2016/03/24/actualidad/1458855274_096966.html?rel=mas 

[iii] Simonite, Tom (12 de abril de 2016). "Facebook Wants You to Chat with Business Bots". MIT Technology Review. Recuperado de [a 15-06- 2016] https://www.technologyreview.com/s/601251/facebook-wants-you-to-chat-with-business-bots/#/set/id/601265/ 

[iv] "No one wants to have to install a new app for every business or service they want to interact with,". Holak, B. (15 de abril de 2016). "Facebook's chatbots pave way for centralized mobile platform". TechTarget.SearchCIO. Recuperado de [a 15-06-2016] http://searchcio.techtarget.com/news/450281451/Facebooks-chatbots-pave-way-for-centralized-mobile-platform

[v] Smith, C. (3 de junio de 2016). "By the numbers: 25 amazing Facebook Messenger statistics". DMR. Recuperado de [a 15-06-2016] http://expandedramblings.com/index.php/facebook-messenger-statistics/ 

[vi] Petrov, S. (12 de mayo de 2016). "Announcing SyntaxNet: The World’s Most Accurate Parser Goes Open Source". Google Research Blog. Recuperado de [28-07-2016] https://research.googleblog.com/2016/05/announcing-syntaxnet-worlds-most.html 

[vii] Dean, J. (9 de noviembre de 2015). "TensorFlow - Google’s latest machine learning system, open sourced for everyone". Google Research Blog. Recuperado de [28-07-2016] https://research.googleblog.com/2015/11/tensorflow-googles-latest-machine_9.html 

[viii] Ver la presentación en: Duarte, E. (10 de mayo de 2016. "Así es 'Viv', el nuevo asistente personal de los mismos creadores de Siri". Applesfera. Recuperado de [a 15-06-2016]  http://www.applesfera.com/aplicaciones-ios-1/asi-es-viv-el-nuevo-%20asistente-personal-de-los-mismos-creadores-de-siri  

[ix] "[O]n the fly" en el original. Levy, S. (12 de agosto de 2014). "Siri’s Inventors Are Building a Radical New AI That Does Anything You Ask". Wired. Recuperado de [a 15-06-2016] http://www.wired.com/2014/08/viv/  

[x] "... tendrás acceso a su (de Viv) inteligencia artificial como servicio público, de la misma manera que haces uso de la electricidad. Simplemente hablando te conectarás a lo que ellos (los creadores de Viv) llaman "un cerebro global"". Steven Levy, (nota ix). 

 

El banco: de oficina a interfaz virtual

Sunday, 12 June 2016 Maria Jose de la Calle Posted in iTTi Views

"... [L]os datos se están constituyendo en un nuevo recurso natural. Prometen ser para el siglo XXI lo que la máquina de vapor para el siglo XVIII, la electricidad para el XIX y los hidrocarburos para el XX. " IBM-2013[i]. 

* *

Las Tecnologías de la Información, -o TI- , son una de las tecnologías que están cambiando la forma en cómo se hace el negocio y en cómo relacionarse con el cliente. La estrategia de las empresas ha pasado de centrarse en sus productos y cómo venderlos, estrategia que se puede definir como hacia dentro, a una hacia el cliente o hacia fuera.

Esta transformación se ha producido obligada por la popularización del uso de las TI, en un principio los ordenadores personales y, posteriormente, los dispositivos móviles y las comunicaciones, los cuales han permitido una relación continua e inmediata del proveedor con el cliente, y a su vez de éste con otras personas cercanas de forma virtual. Esto ha provocado que opiniones, sugerencias, necesidades y estilos de vida de dichos clientes, registradas por el uso de dispositivos electrónicos, hayan pasado a centrar la atención de las empresas, que utilizando los mismos medios, intentan fidelizar al mismo cliente con mensajes más personalizados.

Por otra parte, los clientes han exigido otras maneras de relacionarse con las empresas para obtener online sus servicios y productos por medio de las TI, desde cualquier sitio y en cualquier momento.

La Banca no ha estado ajena a este proceso, pero quizás no ha sido todo lo ágil que el ciudadano demandaba. Además, en la pasada década su imagen quedó bastante dañada con los múltiples escándalos consecuencia de malas praxis. 

Esta situación ha sido aprovechada por multitud de pequeñas empresas tecnológicas -o grandes, como Apple o Google- que, apoyándose en su conocimiento de la tecnología, han creado nuevas formas de proveer servicios financieros tradicionalmente ofrecidos por el sector bancario, desde pagos y transacciones, monederos digitales o crowfunding hasta asesoría financiera e inversiones. Para ellas se ha acuñado el término Fintech, contracción de los vocablos ingleses “financial” y “technology”. Ejemplos hay muchos [ii]. 

Entre ellos podemos citar a TransferWise, una alternativa para las transferencias internacionales online mediante el denominado modelo ‘peer-to-peer' -o red de enlace entre pares- (P2P); la empresa hace de intermediario y si alguien desea transferir dinero, por ejemplo, a Estados Unidos desde Alemania, TransferWise se encarga de buscar a una o más personas que, a su vez, quieran transferir la misma cantidad de Estados Unidos a Alemania. O Robinhood, dedicada a las inversiones online que no cobra comisiones a sus clientes. O Kantox, startup española centrada en el intercambio de divisas entre empresas.

Estas pequeñas empresas cada una por separado no prestan todos los servicios de un banco, más bien se especializan en uno determinado, pero el cliente puede prescindir de la banca tradicional acudiendo a varias de ellas, dependiendo del producto o servicio que requiera en cada momento, teniendo todo centralizado desde la pantalla de su dispositivo y a golpe de click.

Las estrategias de los bancos para hacer frente a la revolución digital son diferentes [iii], desde realizar alianzas estratégicas con las Fintech -caso del BBVA con Dwolla, especialista en medios de pago-, o la compra de alguna de ellas -como la compra por BBVA de la startup finlandesa Holvi [iv]-, o a través de fondos de venture capital -como Banco Santander, con sus inversiones, entre otras, en iZettle, especializada en pagos vía móvil y Tablet; Ripple, dedicado a la tecnología Blockchain; o Kabbage, especializada en crédito directo a empresas-, o desarrollo internos -como el caso de CaixaBank o también el Banco Santander-.

Las TI no sólo han traído una nueva manera de acceder a productos y servicios desde un dispositivo electrónico, también ha supuesto el registro de todo lo que se hace por medio de ellos constituyendo una avalancha de datos de todo tipo, estructurados y no-estructurados -imágenes, vídeos, documentos-, lo que se ha denominado BigData, los cuales se pueden explotar de dos maneras. Una de ellas es mediante herramientas analíticas heredadas o emparentadas con la minería de datos; la segunda es aplicar algoritmos de inteligencia artificial, lo que se ha denominado computación cognitiva -cognitive computing, en inglés-, aunque esta clasificación encierra obvios solapes. 

Según McKinsey en el artículo "Cutting through the noise around financial technology" del pasado mes de febrero, las herramientas analíticas "prometen un potencial de transformación para predecir las 'siguientes mejores acciones', entender las necesidades del cliente, y entregar servicios financieros vía nuevos mecanismos que van desde los teléfonos móviles hasta los wearables [v]." 

En cuanto a la computación cognitiva, CaixaBank, junto con IBM, ha implantado un servicio de asesoramiento sobre comercio exterior para sus clientes [vi], basándose en IBM-Watson [vii], sistema de computación cognitiva al cual, por medio de sus algoritmos de aprendizaje, ha habido que enseñar a entender el español y entrenarlo para que pudiera responder preguntas y dudas técnicas relacionadas con el área de negocio en cuestión. (Carecemos de detalles de cuál ha sido la enseñanza más ardua: la del español o la de comercio exterior).

Con todo esto el banco está dejando de ser un lugar físico y dará igual si es un empresa o una miríada de ellas, ya que su interfaz con el usuario será virtual -una pantalla, por ejemplo- desde la cual interaccionar para solicitar y recibir productos y servicios, hacer consultas o reclamaciones, y todo ello a un asistente virtual en lenguaje natural. 

"Estás ya rodeado de robots, aunque no lo sepas"

El País, abril-2016[viii]

* * *

Este artículo fué publicado originalmente por ComunicacionesHoy, nº 152, 6-05-2016. Referencia: Especial/Banca y Seguros. Opinión, pg.28 – "El banco: de oficina a interfaz virtual" – María José de la Calle. 

-----------------------------------

[i]  "... data is becoming a new natural resource. It promises to be for the 21st century what steam power was for the 18th, electricity for the 19th and hydrocarbons for the 20th". Virginia M. Rometty, Chairman, President and Chief Executive Officer, IBM. 2013, IBM Annual Report. url [a 2016-04-17] http://www.ibm.com/annualreport/2013/bin/assets/2013_ibm_annual.pdf 

[ii] Estas son algunas ur's con listas de fintech [a 2016-04-17]: http://fintechinnovators.com , https://www.quora.com/Is-there-a-list-of-FinTech-startups , http://www.investopedia.com/articles/investing/123115/10-fintech-companies-watch-2016.asp 

[iii] Michela Romani, 2015-12-07. "Cómo se relacionan Santander, BBVA y CaixaBank con el 'fintech'". Expansión. url [a 2016-04-17] http://www.expansion.com/economiadigital/companias/2015/12/07/5665870b268e3eea0e8b45df.html 

[iv] Teppo Paavola 2016-03-07. "BBVA compra otra start up fintech". Expansión. url [a 2016-04-17] http://www.expansion.com/empresas/banca/2016/03/07/56dd65ec46163f1d7e8b4618.html 

[v] "But big data and advanced analytics offer transformative potential to predict “next best actions,” understand customer needs, and deliver financial services via new mechanisms ranging from mobile phones to wearables." Miklos Dietz, Somesh Khanna, Tunde Olanrewaju, and Kausik Rajgopal, Feb-2016. "Cutting through the noise around financial technology". McKinsey. url [a 2016-0417] http://www.mckinsey.com/industries/financial-services/our-insights/cutting-through-the-noise-around-financial-technology  

[vi] "CaixaBank e IBM potenciarán el asesoramiento a los clientes" 2016-04-11. "El Economista". url [a 2016-04-17] http://www.eleconomista.es/tecnologia/noticias/7483089/04/16/CaixaBank-e-IBM-implantan-el-primer-sistema-Watson-en-castellano.html  

[vii] "What is Watson?" IBM. url [a 2016-04-17] http://www.ibm.com/smarterplanet/us/en/ibmwatson/what-is-watson.html  

[viii] Beatriz Guillén, 2016-04-10. "Estás ya rodeado de robots, aunque no lo sepas". "El País". url [a 2016-04-17] http://tecnologia.elpais.com/tecnologia/2016/04/01/actualidad/1459507616_678873.html 

 

Miscelánea

Sunday, 22 May 2016 Maria Jose de la Calle Posted in iTTi Views

El DRAE define miscelánea como 'Obra o escrito en que se tratan muchas materias inconexas y mezcladas'. 

Esto es un poco lo que me propongo en este artículo, tratar una serie de aparentemente temas inconexos -de ciberseguridad, por supuesto-, aparecidos en distintos medios en los últimos meses, desde la guerra que han comenzado los publicistas y organizaciones que ponen contenidos gratuitos en la red a cambio de publicidad, contra los desarrolladores de app's que bloquean dicha publicidad; o las nuevas tácticas del ransomware; hasta la disputa de Apple con el FBI.

* *

Los ad-blockers

Los bloqueadores de publicidad -ad blockers, en inglés-, desde hace algunos meses vienen apareciendo en los medios más que como defensores de los usuarios de la web, que en mayor o menor medida somos todos, como enemigos tanto de las empresas de publicidad que utilizan la web como soporte de los anuncios de sus clientes, como de web's que ofrecen contenidos gratuitos financiándose con publicidad.

Los bloqueadores son app's que se añaden a los navegadores como extensiones, y que impiden la aparición molesta de anuncios mientras se visitan las páginas web. Los anuncios consumen recursos y ralentizan la navegación, constituyendo elementos invasivos, y produciendo una experiencia frustrante.

Según un estudio[i] llevado a cabo por Adobe y PageFair, se estima que unos 200 millones de personas utilizan estos bloqueadores en sus navegadores. Por otra parte, las pérdidas en los negocios relacionados con la publicidad debido a los bloqueadores supusieron unos 20.000 millones de dólares en el 2015.

Sumado a esto, en septiembre Apple anunció que iba a permitir los bloqueadores en el Safari del sistema operativo iOS9 para dispositivos móviles, a lo que se le sumó Samsung posteriormente para su propio navegador. Con esto, a los millones de personas -o más bien de ordenadores- que ya disponían de ellos, se le unía ahora la posibilidad de los dispositivos móviles.

En estos dispositivos, el coste en tiempo y dinero es importante, ya que, por una parte, funcionan con batería, con lo que es muy importante la rapidez en la obtención de lo que se busca, y por otro, el coste de la comunicación móvil se factura por cantidad de datos bajados. Muchos de los datos que se bajan pertenecen realmente a anuncios y no a lo que realmente se quiere obtener[ii].

Todo esto ha prendido la mecha en lo que el NYTimes ha dado en llamar la guerra de los bloqueadores en un artículo titulado así "The Ad Blocking Wars"[iii], entre los publicistas y los desarrolladores de las app's que bloquean la publicidad. Tanto en Europa como en EEUU hay iniciativas para parar el uso de este software, desde mostrar mensajes para que el usuario desactive el bloqueador para una página determinada, o una site, o pagar una cantidad si se quiere seguir en la página, caso de Wired o de The Washington Post; o sencillamente no permitir el acceso a los contenidos si está activado un bloqueador, caso de Le Monde o de Le Parisien

En dicho artículo, además de los problemas que causa al usuario la invasión de publicidad en las páginas, se menciona el tema de la privacidad de los datos, ya que, el software que muestra publicidad, recoge información sobre la página que se está visitando, el sistema que estamos utilizando -dispositivo y sistema operativo-, localización, etc. Todos tenemos experiencia de haber estado consultando, por ejemplo, coches o viajes, y que empiecen a inundarnos con publicidad sobre ellos y que nos llenen el correo de spam.

Para evitar esto se puede bien activar en los navegadores el llamado "Do Not Track", o añadir una extensión del mismo nombre, o con el servicio de "navegación privada", ya ofrecido por algunos.

Sin embargo, las piezas de software hechas para mostrar un anuncio no sólo pueden llevar incluido software para recoger datos del usuario que visita una página, también pueden llevar malware, tanto hecho a propósito para ello, cuanto porque cibercriminales lo hayan introducido. 

Ya Elias Manousos, CEO y co-fundador de RiskIQ, comentaba el pasado 4 de agosto de 2015[iv] en el Black Hat de Las Vegas el incremento del 60% en el número de anuncios conteniendo malware -malvertisement, en inglés- durante el primer semestre del año 2015 respecto del año anterior. Además añadía que el mayor incremento de malvertisement en los pasados 48 meses confirmaba que los anuncios digitales se habían transformado en el método preferido para distribución de malware, ya que este es difícil de detectar dentro de los anuncios, no reside en las páginas web y se entrega a través de las redes de publicidad, utilizando la capacidad de dichas redes para segmentar a los usuarios por perfiles y así dirigir diferentes mensajes a objetivos específicos de manera precisa.

Como ejemplo podemos citar el incidente que tuvo tuvo lugar el fin de semana del 11-12 de marzo de este año, cuando varias de las más grandes websites del mundo, como MSN, The New York Times, BBC, o AOL, expusieron a millones de personas a través de los anuncios en sus páginas, a software malicioso el cual cifraba datos y solicitaba un rescate a cambio de liberarlos, software tristemente famoso por la abundancia de casos, conocido como ransomware.

Tom Simonite, entre otros, se hizo eco de este hecho en su artículo "Are Ad Blockers Needed to Stay Safe Online"[v], en el que afirmaba que esto no es un problema nuevo -incluir software maliciosos en publicidad-, lo que sí es nuevo es el crecimiento alarmante de estas tácticas, tal y como afirmaba Elias Manousos citado en el párrafo anterior, y que, por tanto, sí son necesarios los bloqueadores de publicidad como medida de seguridad.

Es cierto que ciertas webs ofrecen contenidos gratuitos vendiendo espacio en su página para ser ocupado por publicidad; o apps que se ofrecen en dos modalidades, una gratuita con publicidad, y otra de pago sin publicidad. ¿Se podría eliminar la publicidad pagando por los contenidos, las apps o los servicios en general ofrecidos por internet?

En primer lugar, quizás tampoco todos estarían de acuerdo en ello, ya que la publicidad digital debe ser un gran negocio a juzgar por las cifras que se manejan en este sector, como los ya mencionados 20.000 millones de dólares de pérdidas en el 2015 debido a los bloqueadores.

En segundo lugar, si nos atenemos a medios más convencionales del cine o la televisión, las películas que vamos a ver muchas de ellas contienen publicidad, y por ver la película pagamos; en la televisión pasa lo mismo, las cadenas de pago también tienen publicidad, quizás no interrumpan un programa con ella, pero si la hay entre programas. Pagar en estos casos no nos asegura librarnos de ella.

Sin embargo, lo que hay que destacar es que hay una muy importante diferencia entre la publicidad más convencional y la publicidad digital, y esta es el tema de las [ciber]amenazas que pueden llegar a través de ella, como es el caso del ransomware distribuido a través de las redes de publicidad, expuesto anteriormente; o el intrusismo a la privacidad que se puede hacer desde ella.

Ransomware y sus nuevas tácticas

La importancia de este malware es indiscutible, por los daños que causa en organizaciones y particulares. Pero si hasta ahora el software malicioso entraba en el sistema por medio de un click de una persona sobre un fichero adjunto en un correo y en ese momento cifraba los datos de ese ordenador, la nueva táctica se centra en atacar a las organizaciones desde sus redes de ordenadores.

Dicha táctica consiste en que el ataque se realiza en varias fases, primero explotando alguna vulnerabilidad de los elementos conectados -como websites mal configuradas- para entrar, conseguir credenciales de administrador de servidores, y desde ahí extenderse por toda la red, pudiendo lanzar software para cifrar ficheros del sistema en servidores, o en estaciones de trabajo.

Este vector de ataque no es novedoso para otros tipos de malware. La cuestión es que cualquier ataque a una red se puede transformar en un ransomware, con lo que el daño se multiplica. Es posible que algunos ataques sean consecuencia de otros anteriores, aprovechados por quienes los realizaron.

Sobre este tema, Sean Gallagher explica esta nueva modalidad en el artículo "OK, panic—newly evolved ransomware is bad news for everyone"[vi] del 8 de abril, en el cual detalla un vector de ataque iniciado con una herramienta de test de penetración sobre un servidor JBOSS.

Una vez cifrado un fichero, se supone que es imposible, de momento, en un tiempo razonable descifrarlo. Este cifrado, entonces, constituye un medio para que por lo menos se pueda evitar, en el caso de que datos de una organización se roben, que sean utilizados para dañar a la organización. Y esto es una buena noticia para la seguridad, tanto de una organización como de un individuo.

Bueno, con el permiso de ciertos elementos de las fuerzas de seguridad que defienden que el cifrado fuerte no sea utilizado por los ciudadanos porque dificulta la persecución de los delincuentes, ... a los que no les importará utilizarlo. 

Apple y el FBI 

Esto nos conduce a otra noticia que lleva ya por lo menos un mes en los medios, y que parece que ha terminado con el descifrado del iPhone5C en cuestión por parte de una empresa.

La Oficina Federal de Investigaciones (FBI) de los Estados Unidos (EEUU) solicitó  ayuda a Apple con el fin de desbloquear el iPhone que usó  uno de los presuntos terroristas de San Bernardino, California. Apple se negó  a ello, aduciendo, entre otras cosas, [vii] que aquello que hiciera serviría como puerta trasera, que a la postre podría ser utilizada por cualquiera.

Apple argumenta que tendría que haber construido una herramienta para hackear sus propios teléfonos. Las investigaciones realizadas para hacer un cifrado fuerte y proteger la información se transformarían ahora en investigaciones para debilitar dicho cifrado.

Según el FBI, la técnica utilizada para desbloquear el iPhone 5C, sólo sirve para él. Así que a vuelto ha solicitar a Apple ayuda por vía judicial para desbloquear un teléfono iPhone en un caso contra un narcotraficante en una corte de Nueva York. Otra petición similar fue presentada ante un juez de Boston. Parece que el Gobierno de EEUU quiere conseguir un precedente judicial que obligue a compañías tecnológicas como Apple a colaborar con las fuerzas de seguridad cuando sea requerido por un juez. 

Pero la actitud del Gobierno de los EEUU no es única. El Gobierno Británico también apoya que las fuerzas del orden sean capaces de acceder a las comunicaciones de delincuentes y terroristas para prevenir actos criminales[viii]. Si los dispositivos no son seguros, no lo son en ningún sitio ni para nadie.

La postura de Apple es apoyada por otras empresas como Google, Facebook o Twitter, y ha abierto un debate que habrá que resolver antes o después. El Gobierno de Obama lleva buscando el apoyo de las empresas tecnológicas desde hace algún tiempo, con reuniones en Silicon Valley, al parecer sin resultados muy satisfactorios.

¿Está la privacidad reñida con la seguridad de las personas? ¿Estará cada vez menos segura la información de los ciudadanos?

Conclusión

Para cerrar, una última reflexión.

La seguridad de la información que debería ser una prioridad para todos ya que la falta de ella nos expone, tanto a ciudadanos como a organizaciones a muchos peligros, cuando se quiere implementar en cada una de sus facetas, surgen grupos -empresas de publicidad y Gobiernos, en los casos tratados- que se ponen en contra de ella, como si a las personas que forman parte de dichos grupos no les pudiera afectar la falta de seguridad.

Lo malo es que no sabemos en qué grado ni cuándo puede llegar a hacerlo. Por ello hay que seguir trabajando para encontrar una solución satisfactoria, sin menoscabar la privacidad y la libertad. Si nos quedamos sin ellas, ya no necesitaremos la seguridad.

* * * 

Este artículo fué publicado originalmente por @PuntoSeguridad.com/"Cuadernos de Seguridad", mayo-2016, nº 311, pg.66, Ciberseguridad – "Miscelánea" – María José de la Calle.    

---------------------------------

[i] "The 2015 Ad Blocking report", Ago.10, 2015. PageFair. url [a 11-04-2016]       https://blog.pagefair.com/2015/ad-blocking-report/ 

[ii] Gregor Aisch, Wilson Andrews, Josh Keller, Oct.1, 2015. "The Cost of Mobile Ads on 50 News Websites", The New York Times. url [a 11-04-2016] http://www.nytimes.com/interactive/2015/10/01/business/cost-of-mobile-ads.html?_r=1  

[iii] Kate Murphy, Feb.20, 2016. "The Ad Blocking Wars", The New York Times. url [a 11-04-2016] http://www.nytimes.com/2016/02/21/opinion/sunday/the-ad-blocking-wars.html?_r=0 

[iv] "RiskIQ Reports 260 Percent Spike in Malicious Advertisements in 2015", Ago.4,2015. RiskIQ. url [a 11-04-2016] https://www.riskiq.com/resources/press-releases/260-percent-spike-in-malicious-advertisements-2015 

[v] Tom Simonite Mar.16,2016. "Are Ad Blockers Needed to Stay Safe Online?". MIT Technology Review. url [a 11-04- 2016] https://www.technologyreview.com/s/601057/are-ad-blockers-needed-to-stay-safe-online/#/set/id/601060/ 

[vi] Sean Gallagher, Apr.8,2016. "OK, panic—newly evolved ransomware is bad news for everyone". ars technica. url [a 11-04-2016] http://arstechnica.com/security/2016/04/ok-panic-newly-evolved-ransomware-is-bad-news-for-everyone/

[vii]  Tim Cook, Feb.16,2016 "A Message to Our Customers". Apple. url [a 11-04-2016] http://www.apple.com/customer-letter/ 

[viii] Eduardo Archanco, 6, Nov. 2015. "Reino Unido también quiere obligar a Apple a espiar nuestros dispositivos". Applesfera. url [a 11-04-2016] http://www.applesfera.com/apple-1/reino-unido-tambien-quiere-obligar-a-apple-a-espiar-nuestros-dispositivos  

 

La seguridad y la salud

Tuesday, 26 April 2016 Maria Jose de la Calle Posted in iTTi Views

      "In the Future, Wearables Will Meld with Your Skin. Yes, eventually, you'll basically have an electronic tattoo" .

Brent Rose, Feb-2016[i]

La seguridad y el buen servicio [al paciente] ¿están reñidos?  

Según un informe publicado por Raytheon-Websense -ahora Forcepoint- en septiembre de 2015, y del cual da cuenta DarkReading[ii], los centros de salud tienen dos veces más probabilidades de sufrir un robo de datos que otros sectores.  

Y en el mismo artículo se puede leer que los profesionales de la salud tienen una tendencia cada vez mayor a tratar de saltarse las normas de seguridad con el fin, según ellos, de dar un mejor servicio a sus pacientes. 

Según Mike Orcutt en un artículo[ii] del 18 de febrero pasado, los hospitales están siendo [ciber]atacados más frecuentemente por varias razones.  

La primera, la creciente digitalización de estas organizaciones, y con ello, la de los datos de sus pacientes, que incluyen información personal que puede alcanzar un alto precio en el mercado negro. 

La segunda, la seguridad de los datos en estas organizaciones no se prioriza al mismo nivel que el propio cuidado de la salud. Como consecuencia, frecuentemente los sistemas están desactualizados o carecen del mantenimiento apropiado. Además, la urgencia del acceso a los datos en situaciones críticas para la salud del paciente favorece el incumplimiento de las medidas de seguridad.  

Pero la falta de seguridad ¿no irá en contra del objetivo de dar un mejor servicio al cliente o de un acceso inmediato a los datos? ¿Acaso la seguridad de la información no busca precisamente proteger los datos de miradas no autorizadas, asegurando su disponibilidad y salvaguardando su integridad? ¿No garantizaría eso un mejor servicio? 

El que no se respete estrictamente una política de seguridad, resulta, cuanto menos, llamativo, habida cuenta de la información sensible que albergan los servidores informáticos de los centros sanitarios. Información relativa al estado de salud de los pacientes, a sus tratamientos y pruebas médicas; e incluso a su ADN (enfermedades hereditarias, etc.).

Yendo a casos concretos, en julio de 2014 la empresa Community Health Systems, Inc., -que gestiona 207 hospitales en 29 estados de los EEUU-, informaba[iv] de que en abril y junio de ese año había sufrido el robo de registros de sus bases de datos, con información de carácter personal -nombre, fecha de nacimiento, número de teléfono y seguridad social- relativos a 4,5 millones de pacientes que habían pasado por los centros sanitarios del grupo en los últimos 5 años. 

Sin duda, cabe pensar que ese grave compromiso de la seguridad de la compañía -particularmente, y como mínimo en su vertiente de la confidencialidad- ha podido verse afectado seriamente.  

Un caso más reciente es el del Hollywood Presbyterian Medical Center de Los Angeles (EEUU)[v] que, a principios del pasado mes de febrero sufrió una pérdida de disponibilidad al ver cómo sus recursos de información quedaban inaccesibles como consecuencia de un ataque de ransomware

El ransomware un tipo de ataque informático mediante el cual los delincuentes "secuestran" los equipos de la víctima, cifrando la información que contienen, que de ese modo, deja de estar disponible. 

La información "secuestrada" sólo es liberada tras el pago de un rescate ("ransom", en inglés), que en el caso del centro médico mencionado ascendió a varios miles de dólares. 

Aparte de la pérdida económica directa, las consecuencias de estos actos de chantaje van más allá. En este caso se produjo un "atasco" en el funcionamiento ordinario del hospital; hubo que proceder al traslado de algunos pacientes a otros hospitales; no se pudo acceder a los historiales médicos de los usuarios del centro; el servicio de correo-e quedó igualmente inutilizado, por lo que hubieron de recurrir a medios más convencionales (y anticuados, de la era pre-internet) como el papel y los faxes.  Por otro lado, de la misma manera que los atacantes fueron capaces de infectar con un tipo de código dañino los servidores de la institución, cabe la sospecha de que podrían haber introducido otro tipo de código para hacerse con información del hospital y con claves de acceso y credenciales de los usuarios de sus sistemas. 

Según Orcutt citado anteriormente, la urgencia del acceso a los datos en situaciones críticas para la salud del paciente es tan importante que favorece el incumplimiento de las medidas de seguridad, lo que viene a ser un contrasentido ya que esta falta de seguridad puede provocar, como se ha visto, una ralentización en los servicios y una falta de disponibilidad de esa información a la que tan urgentemente se necesitaba acceder.   

Si los sistemas se bloquean y no se tiene acceso, en primer lugar se causará un gran perjuicio al no poder decidir de forma inmediata qué acción tomar para un paciente en particular; o al no disponer de su historial para realizar un adecuado diagnóstico, o no poder aconsejar un tratamiento.  

Por otra parte, si personas o procesos no autorizados pueden acceder a la información quizá puedan también modificarla, por error o de manera intencionada para producir un daño, con lo que la integridad de la información quedará comprometida. Si no se cumple el principio de integridad, los datos no son fiables, y no se puede estar seguro de la bondad de un diagnóstico o de un tratamiento a seguir.

Si no se puede asegurar la confidencialidad de la información, con el perjuicio que puede ocasionar; si la disponibilidad de la información se ve comprometida al igual que su integridad, todo ello está totalmente en contra de ofrecer un buen servicio al cliente, como en los dos casos expuestos, en los que los daños o perjuicios al paciente han sido el resultado de los fallos de seguridad. 

Los datos asociados a la salud tienen mucha importancia, ya que están intrínsecamente unidos a la persona. Esto tiene, entre otras, estas dos graves consecuencias: 

- La primera, cuando se roban datos relacionados con la salud, la persona a la que pertenecen desafortunadamente no los puede cambiar por otros, con el fin de "desactivar" la importancia de ellos y no sufrir perjuicio. Esto se puede conseguir, por ejemplo, con el robo de una contraseña, de las llaves de casa o cualquier otro cosa no intrínsecamente ligada a la persona. 

- La segunda, no se sabe, a priori, quién va a disponer de esos datos, ni la forma ni el momento en que pueden hacer uso de ellos, hasta que se  materializa; no se puede prever el daño, como con una cuenta bancaria, cuyo fin es el robo de dinero. La seguridad es fundamental ya que puede afectar muy seria y directamente a nuestra vida y para siempre.

Móviles, apps y wearables

Las cosas podrían empeorar previo a una mejora ya que cada vez más los hospitales añaden más dispositivos conectados a sus redes, lo que potencialmente crea más formas en que los hackers puedan entrar. 

Un ejemplo de esto son los cada vez más utilizados dispositivos móviles con aplicaciones tanto para los profesionales de los centros de salud, como de los ciudadanos para acceder a sus datos o solicitar servicios de estos. A esto hay que añadir aquellas que tienen como función la monitorización del estado de algunos indicadores de salud, como el pulso o el ritmo cardíaco.

Una aplicación[vi] para móvil desarrollada por una spinoff del MIT, junto con un equipo del Massachusetts General Hospital, recoge de qué humor está la persona que habla, utilizando patrones de voz para detectar emociones.  Es una forma de recoger cambios de humor para poder hacer un seguimiento de personas con depresión o con trastornos bipolares.  

Los dispositivos que se llevan puestos -wearables- y que están conectados a Internet, pueden dar información acerca de la salud de la persona que lo lleve, y estos datos pueden transmitirse a un centro de salud. Esto simplifica un seguimiento continuo de la evolución de parámetros de salud, facilitando la prevención de algún problema o enfermedad, a la par que favorece una más rápida atención médica a través de consejos sobre lo que hacer en caso de algún problema o mediante la presencia de personal, si fuera necesario. 

Parte de la cita del comienzo es el título de un artículo[vii] donde se informa de que la empresa "mc10" ha creado un producto llamado "BioStamp Research Connect". Este es una especie de tirita un poco gruesa que se ajusta perfectamente a cualquier parte del cuerpo y que lleva sensores para monitorizar  el músculo dónde se coloque y también el corazón. 

Las mediciones y datos médicos se recogen para, por una parte, monitorizar el estado de salud de una persona, como ya se ha indicado, y por otro, con grandes cantidades de datos acumulados de distintos centros y pacientes,  servir a la investigación de las enfermedades, y a la creación de sistemas de ayuda para diagnóstico y tratamiento. 

Un ejemplo es el programa lanzado por Google el pasado 24 de febrero llamado "DeepMind Health" en colaboración con hospitales como el Royal Free Hospital London, con el que Google ya ha trabajado para crear una app llamada "Streams" para el diagnóstico de daños en el riñón. Señalar que en la página web de este proyecto se hace una mención especial al compromiso de mantener la privacidad y confidencialidad de los datos de los pacientes. 

Son evidentes las ventajas que esta tecnología aporta al bienestar de las personas, pero también se incurre en riesgos de seguridad de la información recogida y transmitida. En el caso de violación de la seguridad, afectaría directamente a la vida de dichas personas, pudiendo mermar y en muchos casos anular dichas ventajas.  

El futuro: Robótica e IA 

Mirando hacia el futuro y uniendo la Robótica con la Inteligencia Artificial, se podrá disponer, entre otras cosas, de asistencia médica remota, sustituir en muchos casos la presencia de un médico por un robot, el cual tendrá acceso al historial del paciente y a una cantidad ingente de datos e información con los que poder hacer un diagnóstico y recomendar un tratamiento. Como la plataforma RP-VITA -Remote Presence Virtual + Independent Telemedicine Assistant-, una colaboración entre iRobot e InTouch Health

Como contrapunto, el 25 de abril de 2015 Gizmodo se hizo eco de que investigadores de la Universidad de Washington en Seattle acababan de 'hackear' un robot quirúrgico para intervenciones a distancia -'tele-intervenciones"-, demostrando una gran debilidad de la seguridad en máquinas, las cuales, finalmente, reemplazarán a las manos de los cirujanos en los hospitales de todo el mundo. 

* *

La seguridad de la información y de las máquinas y dispositivos que recogen, transmiten, manipulan y consultan dicha información relacionada con la salud, y que pueden actuar en base a ella, ya no es una opción, es cuestión de vida o muerte.  

* * *

Este artículo fué publicado originalmente por @PuntoSeguridad.com/"Cuadernos de Seguridad", abril-2016, nº 310, pg.46, Ciberseguridad – "La seguridad y la salud" – María José de la Calle.   

---------------------------------

[i] Rose, Brent (February, 8, 2016) "In the Future, Wearables Will Meld with Your Skin". Outside. url [a 28-02-2016] http://www.outsideonline.com/2053326/future-wearables-will-meld-your-skin 

[ii] Peters, Sara (September, 23, 2015) "Healthcare Organizations Twice As Likely To Experience Data Theft". DarkReading. url [a 28-02-2016] http://www.darkreading.com/risk/healthcare-organizations-twice-as-likely-to-experience-data-theft/d/d-id/1322312?_mc=sm_dr_editor_kellyjacksonhiggins&hootPostID=94d701cec4475551b0b4e78bdcfda408 

[iii] Ocutt, Mike (February, 18, 2016) "Hollywood Hospital’s Run-In with Ransomware Is Part of an Alarming Trend in Cybercrime". MIT Technology Review. url [a 28-02-2016]  https://www.technologyreview.com/s/600838/hollywood-hospitals-run-in-with-ransomware-is-part-of-an-alarming-trend-in-cybercrime/ 

[iv] United States Securities and Exchange Commission (August, 8, 2014). url [a 22-02-2014] http://www.sec.gov/Archives/edgar/data/1108109/000119312514312504/d776541d8k.htm  

[v] Simonite, Tom (February, 16, 2016) "Hospital Forced Back to Pre-Computer Era Shows the Power of Ransomware". MIT Technology Review. url [a 22-02-2016] https://www.technologyreview.com/s/600817/hospital-forced-back-to-pre-computer-era-shows-the-power-of-ransomware/#/set/id/600825/  

[vi] Monegain, Bernie (February 24, 2016) "Mass General Hospital teams with MIT spinoff Cogito on behavioral health analyzer". HealthcareITNews. url [a 28-02-2016]  http://www.healthcareitnews.com/news/mass-general-hospital-teams-mit-spinoff-cogito-behavioral-health-analyzer 

[vii] Ver nota [i]

 

Algoritmos como Servicio

Tuesday, 19 April 2016 Maria Jose de la Calle Posted in iTTi Views

'Algorithms are the DNA of software. They codify the macrosteps of how  computers already run large parts of the world.' Gartner, Marzo/2016[i]

El DRAE define Algoritmo como 'Conjunto ordenado y finito de operaciones que permite hallar la solución de un problema'. 

Es un concepto matemático que pasó a la informática y definió la disciplina científica conocida como Ciencias de la Computación. Dicha disciplina nace, según nos informa la Wikipedia, a principios de 1940 con la confluencia de la teoría de algoritmos, lógica matemática y la invención del programa almacenado en una computadora electrónica.

En general, no hay una manera única de ir desde unos datos de entrada a unos datos de salida, pero sí es muy importante la eficiencia de un algoritmo. Como medida de dicha eficiencia, se suelen estudiar los recursos (memoria y tiempo de proceso) que consume el algoritmo. Un buen algoritmo implica tiempo de desarrollo, no sólo para conseguir que sea eficaz, sino para que sea eficiente.

Todo programa contiene al menos un algoritmo. Hay muchos muy sencillos ('parsear' los caracteres de una palabra, calcular la media aritmética, ...); otros más complicados y clásicos (los ‘sorts’ que se enseñan a los estudiantes de Informática); otros aún más complicados (algoritmo de la mochila, ...). Muchos son públicos, algunos son muy antiguos (la criba de Eratóstenes, ...) y otros muy recientes. Hay libros y colecciones (repositorios) de algoritmos. Los hay de código abierto y otros tienen propietario. 

Los algoritmos codifican y encapsulan de una manera reutilizable propiedad intelectual de una empresa o conocimiento. Por citar algunos relevantes, los de búsqueda de Google, o de los que hace uso Amazon para recomendarnos otras compras, o los de las empresas de búsqueda de pareja, resaltando en estos momentos los de 'Aprendizaje Profundo' o 'Deep Learning' para Inteligencia Artificial, en los que que están invirtiendo mucho dinero empresas como la ya mencionada Google, IBM o Apple.

Otros ejemplos de algoritmos los tenemos, por ejemplo, en el mundo financiero. Las llamadas operaciones de alta frecuencia o HTF ('High Frequency Trading') que realizan ordenadores, lo que hacen es comprar y vender en literalmente milisegundos todo tipo de activos financieros en base a algoritmos para conseguir un beneficio en cada operación, tal y como explica el BBVA. La eficiencia y la eficacia de dichos algoritmos son vitales dado el volumen de dinero que mueven y, además, son secretos, con el fin de que nadie se adelante a los movimientos que una entidad vaya a realizar. En 2009 un ex-programador de Goldman Sachs fue detenido por el FBI, acusado de robar algoritmos; antes de irse de la entidad a Teza Technologies, empresa de HTF, se descargó  en un servidor de Alemania los códigos. 

Hay todo un debate internacional (y oposición UE–EEUU) sobre la patentabilidad de los algoritmos y formas alternativas de protegerlos.

Pese a su enorme difusión, hay una gran cantidad de muy buenos algoritmos desarrollados en las universidades y en los centros de investigación y apenas utilizados, que languidecen en las revistas donde se publican, a las que acceden, normalmente, otros académicos, pero que no llegan a la empresa.

Diego Oppenheimer y Kenny Daniel [ii] fueron muy conscientes de este hecho, el primero mientras trabajaba para Microsoft donde ayudaba a diseñar funcionalidades de análisis de datos para herramientas como Excel, y para lo que buscaba los mejores algoritmos para integrar en las aplicaciones, y el segundo, mientras realizaba su doctorado en inteligencia artificial en la 'University of Southern California', habiendo publicado para este fin muchos algoritmos muy bien aceptados por el mundo académico pero con poca oportunidad de que llegaran a las aplicaciones de empresas privadas. Para dar salida a todo esto, fundaron en el 2013 una empresa llamada "Algorithmia", una 'app store' para algoritmos. 

La idea era, por una parte, dar a los creadores una oportunidad para que sus algoritmos se utilizaran fuera del ámbito académico y ganar dinero por ello, vendiéndolos bien como código abierto para que el comprador lo integre en sus aplicaciones, o por uso como un servicio en la nube.

Por otra parte, se proponían ofrecer a las empresas unos algoritmos para sus aplicaciones y funciones de negocio, a un precio asequible, ya que no todas las empresas tienen la capacidad ni los recursos para crear algoritmos optimizados y encontrar las mejores soluciones a sus problemas, como las ya mencionadas Google o Amazon, o la misma Goldman Sachs.

Esto supone un nuevo negocio, en primer lugar para desarrolladores, que pueden ser creadores individuales no necesariamente ligados al mundo académico, y que de esta forma pueden obtener dinero de sus creaciones; y en segundo lugar, para las plataformas que sirven de punto de contacto entre los desarrolladores y los usuarios de los algoritmos.

Además, esto facilita a cualquier empresa su uso para resolver problemas de su negocio, como funciones analíticas, asistentes virtuales, o cualquier otro, contribuyendo a la digitalización de su organización.

Pero habría quizás que controlar de alguna manera la calidad del software que se pone en esas plataformas, con el fin de ofrecer la mejor calidad al cliente en cuanto a eficacia -que haga lo que dice que hace-, eficiencia, transparencia -que no haga más que lo que dice que hace y lo haga según los parámetros de eficiencia declarada-, y seguridad. Esa garantía de calidad debe probablemente basarse en código abierto, amplia y fácilmente asequible al escrutinio de la comunidad profesional; y en el recurso a normas y auditorías adecuadas.

Un mercado nuevo a tres bandas que debe regularse para que todos salgamos ganando sin que alguna de las partes domine a las otras.

*** 

Este artículo fué publicado originalmente por ComunicacionesHoy, nº 151, 5-04-2016. Referencia: Tendencias/IaaS. Opinión, pg.52 – "Algoritmos como Servicio" – María José de la Calle.

-------------------------------

[i] Bennett, Jo (March/11/2016) "Preparing for Algorithms and Autonomous Business". Smarter With Gartner. url [a 13-03-2016] http://www.gartner.com/smarterwithgartner/algorithms-autonomous-business/  

[ii] Finley, Klint (08-11-14). "Wanna Build Your Own Google? Visit The App Store For Algorithms". Wired. url [a 13-03-2016] http://www.wired.com/2014/08/algorithmia/ 

 

El «Ábrete sésamo» digital

Sunday, 27 March 2016 Maria Jose de la Calle Posted in iTTi Views

"The age of the password is over. We just haven’t realized it yet"[i].

Mat Honan - Wired, 11/2012

En el principio ... 

Diciendo las palabras entrecomilladas que forman parte del título de este artículo, se abría la puerta de la cueva donde los ladrones del cuento "Alí Babá y los 40 ladrones" guardaban su botín. Creían que esta contraseña era segura dado que sólo la conocían ellos, craso error, no pensaron que alguien los estuviera espiando y la escuchara, con lo cual, como no la cambiaban después de su uso, esa persona -Alí Babá- podía franquear la entrada cuando quisiera y apoderarse de parte del botín. 

Las contraseñas son tan viejas como la civilización y al mismo tiempo siempre ha habido personas dispuestas a hacerse con ellas o, en el caso digital, a "crakearlas". Por una parte, éstas se colocan con el fin de proteger un bien de la vista o acceso público, y así prevenir un daño que la revelación o el robo pudiera causar al bien en sí, a una organización o a las personas; y por otra, los atacantes quieren obtener algún beneficio que el acceso a ese bien les proporcione, normalmente en contra de los intereses de los atacados. 

Cuando se llegó  al mundo de los ordenadores y se quiso controlar el acceso a estos, se crearon unas pequeñas aplicaciones de acceso para capturar una identificación de usuario (UserID) que quería entrar y una contraseña asociada, la cual validaba al usuario, a diferencia del caso del cuento, en el que la contraseña era la llave de la puerta, independientemente de quién la tuviera. 

Uno de los primeros ordenadores con control de acceso fue, allá por 1961, el "Compatible Time-Sharing System" del MIT, usando un login -usuario y contraseña, que conformaban un proceso de autenticación- con el fin de repartir y controlar el tiempo de uso del mismo. Sin embargo, en 1962 un estudiante de doctorado llamado Allan Scherr quiso conseguir más tiempo del autorizado, para lo cual engañó al login con un simple ataque -hack-: localizó el fichero que contenía las contraseñas y las imprimió, con lo que consiguió tanto tiempo como deseara. 

... Y llegó internet

En el caso de la ciberseguridad, lo que se quiere proteger es la información, entendida esta tanto como el código que define lo que la máquina puede hacer como los datos que residen en ellas o que están en tránsito por redes y otros elementos que intervienen en las comunicaciones, así como la identidad de todo ello: tipo de máquina, sistema operativo y su versión, protocolo, etc. Para ello se instrumentan controles de acceso a las máquinas y redes, inspecciones de lo que circula por ellas, y, como los sistemas son vulnerables en mayor o menor grado, se cifra toda la información -o sería conveniente hacerlo-.

En su inicio las redes de ordenadores de las empresas eran privadas y sin acceso desde el exterior. Para buscar los usuarios y contraseñas de acceso, había que hacerlo desde dentro.

En los primeros años de desarrollo de la web, eran pocas las aplicaciones que estaban en la nube, una de las cuales fue el correo electrónico. Para el acceso se tenía un usuario -la propia dirección de correo- y una contraseña, usuario que serviría más adelante a otras aplicaciones, y práctica que se conserva en muchos casos, haciendo crecer la vulnerabilidad de la información: con un único usuario -y quizás la misma contraseña del correo- se accede a más sitios. 

Un ejemplo sería el uso en las redes sociales del correo corporativo, susceptible al envío de phising a los empleados a través de las mismas, indetectable por los antivirus de correo, y creando un vector de ataque para desplegar malware, tal y como contaba Yelena Osin el pasado julio de 2015 [ii] sobre el ataque sufrido por W.W.Grainger, proveedor industrial de EEUU. 

Con la generalización del uso de Internet, no sólo se tenía acceso al correo, también al banco, a la Administración del Estado, a diversas tiendas para realizar compras, a las redes sociales, y así un largo etcétera, y los tipos de dispositivos desde los cuales se podía acceder también se multiplicaron y se hicieron móviles, siendo utilizados profusamente para la vida cotidiana.

En cuanto a las empresas, en lugar de conectar sus ordenadores vía redes privadas, se conectaron vía Internet, facilitando la entrada desde el exterior de la organización. A esto hay que añadir que, al igual que en el ámbito privado, el terminal desde el cual se accedía a las aplicaciones y datos de la empresa también se hizo móvil y ya no estaba encuadrado dentro de unas paredes, pudiendo estar siempre conectados desde cualquier sitio y en cualquier momento. Los límites de la empresa dejaron de ser físicos, como eran las puertas, pudiendo ahora servir de 'puerta' cualquier dispositivo que tuviera una conexión a la empresa, no necesariamente por cable.

Con todo esto, el número de ataques a los sistemas aumentó, tanto por la facilidad de acceso como porque lo que se podía encontrar buceando por dispositivos y redes también devolvía más réditos.

Las intenciones de aquellos que entraban sin permiso cambiaron. Lo que al principio eran meros ataques con la intención de curiosear, de hacerse para uso propio con algún material para, como en el caso de Allan Scherr, obtener un beneficio personal, se transformó en delitos organizados de robos de información para terceros, robo de dinero, daños a instalaciones, y todo un glosario de delitos cuya novedad principal era -y es- la forma de llevarlos a cabo, desde cualquier sitio del planeta, sentado tranquilamente en una habitación, realizado de forma anónima en la medida de lo posible -en internet todo deja rastro-, y desde países distintos del del objetivo del ataque, dificultando con ello su persecución -Internet es global pero las leyes son locales. 

Según un informe de Symantec publicado en abril del 2014, en el año 2012 se produjeron 156 violaciones de seguridad con 93 millones de identidades divulgadas, en el año 2013 el número aument  hasta 253 -62% más- con 552 millones de identidades divulgadas -493 % más-.

Las violaciones de seguridad en las empresas en el 2014 aumentaron un 46% con respecto al 2013, según Gemalto en su "Breach Level Index 2014". Éstas ocasionan pérdidas monetarias, robo o destrucción de datos y daños a la imagen de la empresa, por citar algunas consecuencias no deseadas. Según un informe de "Kaspersky Lab" de septiembre de 2015, la media del presupuesto requerido para recobrarse de uno de estos incidentes de seguridad es de 551.000 $ para empresas grandes, y para pequeñas y medianas empresas es de 38.000 $.

Las contraseñas se fortifican: ¿y sirve de algo? 

A pesar de que el sistema de contraseñas parecía ser un poco débil, no se ha abandonado esta forma de control de acceso nacido en una época antes de Internet,  más bien se ha querido reforzar con las llamadas "contraseñas fuertes", contraseñas de al menos 8 caracteres sin significado, combinando letras, números y símbolos tipográficos, mayúsculas y minúsculas. 

Pero tanto débiles como fuertes, las maneras de obtener ilícitamente dichas contraseñas se han revelado bastantes efectivas. Entre ellas podemos citar: la fuerza bruta -ir probando contraseñas extraídas de los llamados diccionarios o listas de las mismas recopiladas a través de los años-; los programas keylogger  -recogen códigos de las teclas pulsadas-; el uso de los procesos habilitados para, en caso de olvido, poder dar de alta una contraseña sin conocer la anterior, utilizados por los atacantes, que, suplantando al propietario del "UserID", consiguen unas nuevas credenciales asociadas al usuario; o los ataques de phising. 

Es cierto que las empresas han adoptado la medida de seguridad de cifrar las contraseñas, sin embargo millones de hashes -contraseñas cifradas- más o menos crakeables, se descargan en los ataques a empresas como Linkedin, Yahoo, eHarmony o Ashley Madison y, los "buenos" las publican, los "malos" las venden, con lo que la práctica de reutilizar usuarios y contraseñas para distintos sitios de la web no es nada recomendable.  

¡Ay! Somos humanos y lo de recordar largas contraseñas que no respondan a patrones, que no signifiquen nada, que mezclen distintos tipos de caracteres en mayúsculas y minúsculas, y, además distintas para cada sitio al cual se acceda, y además tener que cambiarlas periódicamente, es una tarea poco menos que imposible. 

Para poder cargar con esta pesada carga se han creado programas de gestión de contraseñas, los cuales se supone que con una sola que conozcamos que nos permita ejecutar dicho programa para editar las demás, éstas permanecerán, cifradas, a buen recaudo. Claro, que esto tiene el peligro de que al "poner todos los huevos en la misma cesta", si se rompe la cesta nos quedamos sin nada. Esto es lo que le pasó al gestor de contraseñas "LastPass", en el que el pasado 15 de junio de 2015 la empresa que lo administra detectó una intrusión en sus servidores. Aunque parece que se consiguió mantener en secreto las contraseñas de los usuarios, se filtraron detalles importantes como direcciones de correos de usuarios y correos recordando contraseñas olvidadas. 

El sistema de contraseña, que se ha visto ineficaz, se basa en el factor de autenticación de lo que el usuario sabe. Pero hay otros factores de autenticación como "lo que se posee", un token, por ejemplo, que no hay que recordar nada pero se puede perder o se puede robar; o "lo que se es", es decir, la autenticación biométrica, aunque ésta, más que constituir una contraseña es más bien el UserID; o incluso "lo que se hace", llamado factor de comportamiento.  

La autenticación biométrica: ¿tendremos que "resetearnos"? 

Aparentemente el factor de autenticación por "lo que se es" tiene muchas ventajas ya que no hay que llevar nada adicional encima con lo que no se puede perder ni nos lo pueden robar -ya veremos-, no hay que recordar nada con lo que no se puede olvidar, y no se puede repudiar una acción que se haya realizado ya que es algo que nos define físicamente de forma única, y es muy difícil de falsificar.

Sin embargo, los sistemas biométricos no son perfectos y se caracterizan por unas tasas de falsos positivos o FAR (False Accept Rate), que indican la frecuencia de reconocimiento de un usuario cuando no debería serlo, y de falsos negativos o FRR (False Reject Rate), que indican la frecuencia de no reconocimiento del usuario, cuando debería haberlo sido.  Según la Agencia de Seguridad Nacional de EEUU, la NSA, la mayoría de los sistemas biométricos declaran un FAR que está en un rango de 1 entre 10.000 a 1 entre 1.000.000. Esto no pasa con las contraseñas habituales. 

Por otro lado, todo tiene dos caras, y las características que en principio pueden suponer una ventaja, por su propia definición también pueden suponer una desventaja. 

Pongamos como ejemplo el atributo de que nos definen "de forma única", el cual, por definición, se puede considerar como una invasión de la privacidad y crear resistencia a la cesión de dicha información, ya que las características biométricas que se vayan a utilizar de cara a una autenticación hay que digitalizarlas y almacenarlas en un servidor, lo que conduce a otra desventaja, que paso a explicar.  

Apunté anteriormente que las características biométricas no se podían robar, a lo que habría que añadir no se puede robar el objeto físico, como un dedo, en el caso de la huella dactilar o el iris del ojo; pero después de que dichas características estén digitalizadas, ya tienen la misma vulnerabilidad que cualquier otro dato virtual en una máquina, como tal susceptible de ser hackeada. No nos roban el iris del ojo pero sí sus características en forma de ceros y unos, que, para el caso, es lo mismo ya que es precisamente esto lo que interesa a la máquina que verifica la identidad del usuario. 

Llegados a este punto y volviendo al hecho de que son una característica física, suponen una clara desventaja frente a las contraseñas o los token ya estos  se pueden resetear si se roban o revelan, pero con aquellas no es posible hacer esto sin pasar por la mutilación.    

En el "Black Hat" de Amsterdam del año 2008, Matthew Lewis, un investigador de seguridad británico, realizó una demostración de un sistema -un biologger- para interceptar datos de autenticación biométricos que el scanner enviaba al servidor de procesamiento. Matthew puso de relieve la importancia de que los datos enviados deberían estar cifrados, cosa que, según él en ese momento -año 2008- la mayoría de los sistemas biométricos no cumplían.

Sin llegar a sofisticaciones ni herramientas especiales, un elemento biométrico fácil de copiar son las huellas dactilares ya que continuamente estamos tocando cosas donde se quedan las huellas como una mancha y  se pueden obtener de ahí, sin enterarse el propietario de las mismas. Al fin y al cabo eso es lo que la policía científica viene haciendo en la escena del delito, desde tiempos de Sherlock Holmes.  

Por consiguiente, se puede concluir, que la teórica seguridad de este tipo de autenticación no lo es tanto. 

El último factor : Lo que se hace, el comportamiento

Realmente lo que hacemos responde a unos patrones, patrones que aprovechan muy bien los departamentos de marketing para inundarnos con información de cosas que nos pueden gustar o amigos que podríamos hacer, o dependiendo de nuestros gustos y de dónde nos encontremos, lo que podemos hacer y visitar.

Estos patrones se podrían aprovechar para verificar nuestra identidad, para en caso de encontrar inconsistencias, solicitar algún dato más. Para ello se necesitaría un sistema que hiciera uso de lo que la nube ya tiene acerca de nosotros, qué sistema estamos utilizando, desde qué servidor, quienes somos, con quién hablamos, dónde vamos y qué hacemos ahí, de qué somos propietarios y qué nos gusta, lo que decimos, cómo lo decimos y nuestro tono de voz, y hasta cómo pensamos [iii].  

¡Uff! ¿Hasta qué punto queremos ceder nuestra privacidad -si es que no lo hemos hecho ya- para conseguir en teoría, más seguridad?  

El sistema de múltiple autenticación

Como todas por separado tienen más o menos debilidades, se están implantando nuevas formas de autenticación basadas en la combinación de al menos dos claves de distintos factores, llamado el sistema de doble autenticación. Un ejemplo de esto sería cuando después de autenticarnos con un usuario y contraseña al uso (lo que sabemos), nos envían al móvil (lo que tenemos) un código para confirmar una operación; otro ejemplo sería la propia tarjeta de crédito, que sería lo que tenemos, y el PIN, lo que sabemos. 

Especulando un poco y viendo los avances en Inteligencia Artificial, es posible que en un futuro cercano las máquinas nos reconozcan de manera análoga a como nosotros reconocemos a otras personas, simplemente con presentarnos y tendiendo una mano, con lo que somos y con lo que hacemos, confiando en que también habrán aprendido a tomar medidas de seguridad para no dejarse "hackear". 

* *

La ciberseguridad en la cumbre

De lo que hay que ser conscientes es de que la seguridad nunca está garantizada al 100%. En cada organización, alineados con la política de riesgos y la política de seguridad definidas, tendrán que existir unos umbrales de aceptación de falta de seguridad, de lo que pueda suponer de freno al negocio por lo que pueda constreñir, o de cambio de costumbres, según el activo, y establecer cuánto dinero se está dispuesto a gastar en su protección. 

Estos límites y normas relacionados con los riesgos en el uso de las TI son responsabilidad, en última instancia del órgano de gobierno de cada organización y debería formar parte de la agenda de dicho órgano de gobierno. Según la Organización Internacional de Normalización (ISO, International Organization for Standardization), el Gobierno Corporativo de las TI es “el sistema mediante el cual se dirige y controla el uso actual y futuro de las TI. [...] ... y es un subconjunto del gobierno de la organización o del gobierno corporativo.”[iv].

Del 20 al 23 de enero se ha celebrado la reunión del Foro de Davos y que, de acuerdo con Fortune y la propia página del "Word Economic Forum", este año han dominado los temas tecnológicos frente a los bancarios de otras convocatorias, concretamente el de la Industria 4.0 y el de la ciberseguridad. Con esto parece que la tecnología va a estar muy presente a partir de ahora en los consejos de administración. !Por fin¡  

* * *

Este artículo fué publicado originalmente por @PuntoSeguridad.com/"Cuadernos de Seguridad", marzo-2016, nº 309, pg.82, Ciberseguridad – "El «Ábrete sésamo» digital" – María José de la Calle.  

-------------------------

[i] "La era de la contraseña ha terminado. Solo que aún no nos hemos dado cuenta de ello". Honan, Mat (11-15-2012) "Kill the Password: A String of Characters Won’t Protect You", Ed. Wired. url [a 02-02-2016]   http://www.wired.com/2012/11/ff-mat-honan-password-hacker/ 

[ii] Osin, Yelena (07-15-2015) "The Problem With Corporate Email Addresses on Social Networks". blog SecuryScorecard. url [a 02- 02-2016] http://blog.securityscorecard.com/2015/07/17/grainger-breach-social-engineering/?utm_content=17987083&utm_medium=social&utm_source=twitter    

[iii] Honan, Mat (11-15-2012) "Kill the Password: A String of Characters Won’t Protect You", Ed. Wired.  url [a 02-02-2016]    http://www.wired.com/2012/11/ff-mat-honan-password-hacker/  

[iv] "ISO/IEC 38500:2015 applies to the governance of the organization's current and future use of IT including management processes and decisions related to the current and future use of IT. [...] ... defines the governance of IT as a subset or domain of organizational governance, or in the case of a corporation, corporate governance." url [a 02-02-2016]: http://www.iso.org/iso/home/store/catalogue_ics/catalogue_detail_ics.htm?csnumber=62816  

 

To find out more about the cookies we use and how to delete them, see our privacy policy.

I accept cookies from this site.
EU Cookie Directive plugin by www.channeldigital.co.uk