Follow us on:
Perspectives

Articles tagged with: iTTi

Unas reflexiones sobre estrategia digital. La revolución digital de los seguros y el caso Allianz

Wednesday, 26 April 2017 Manolo Palao Posted in Corporate Governance of IT

Introducción

Ahora no se deja de hablar de las promesas (y riesgos) de la IoT —Informática de las Cosas, según sus siglas en inglés. Pero no por ello se deben perder de vista las promesas aún no materializadas de la vieja IoI —Informática de la Información, o de los Datos: la Informática de siempre—. 

La Informática de siempre (IoI) nos anunció, por ejemplo, la ‘oficina sin papel’ y la ‘sociedad sin papel’[1]. Pero hace sólo un lustro (ya en plena ‘revolución digital), el oficinista medio americano aún generaba diariamente ¡1Kg. de papel![2] 

Y al igual que la ‘oficina sin papel’ y la ‘sociedad sin papel’, quedan otros muchos beneficios por cosechar, en materia de rapidez, precisión, productividad y vivencia de los usuarios, hasta realizar el potencial conocido de las tecnologías de la información. Como también quedan por suprimir o mitigar importantes riesgos como los que afectan a la privacidad de las personas o a la seguridad de los activos de información.  

Quizá donde todavía quepa un mayor recorrido en el proceso de digitalización sea en muchos sectores tradicionales y en empresas viejas, grandes, burocratizadas y de cultura conservadora —por no hablar de las administraciones públicas—. Uno de tales sectores puede ser el de seguros.

* *

La revolución digital de los seguros de vida

McKinsey acaba de publicar un artículo[3] que es un ejercicio modélico de estrategia de mercado e identificación de nichos potenciales. 

El artículo versa sobre ‘seguros de vida’ pero parece fácilmente generalizable a otros seguros. Comienza con la evidencia de que “mientras más del 70% [de los usuarios] inician online la recogida de información [sobre seguros][4], solo menos de un tercio completa así su contratación”.  

Los autores proponen tres horizontes, a lo largo de los cuales las aseguradoras que se planteen sobrevivir “habrán de realizar:  

    (1) la modernización de todos los canales de interacción con los clientes;

    (2) la interconexión de los canales para brindar al cliente una vivencia sin solución de continuidad; y

    (3) la creación de productos personalizados”, basados en el ingente y creciente volumen de datos disponible.  

1. En el primer horizonte — la modernización de canales— sugieren: i) explotar la riquísima información que los usuarios vierten continuamente sobre eventos de sus propias vidas, para usar tales eventos como apoyo para acciones proactivas, como publicidad y ofertas; ii) simplificar y acortar drásticamente los procesos para facilitar el culminar la suscripción de una póliza1; y iii) simplificar la operativa diaria de agentes y corredores, entre otras cosas con herramientas CRM (‘gestor de relaciones con clientes’, por sus siglas en inglés). 

2. En el segundo —diferenciación, mediante mejora de la vivencia del cliente—: i) estableciendo ‘perfiles-diana’ (target personas), mediante un amplio uso de herramientas analíticas sobre big data; y ii) haciendo un seguimiento (tracking) mediante herramientas multicanal —online y offline— buscadoras e integradoras[6].  

3. Y en el último —la personalización de productos y servicios— mediante: i) un refinamiento de la cobertura del riesgo (más allá, p. ej., de los clásicos “en caso de vida” y “en caso de muerte”) sino ajustándose más a las circunstancias y apetito de riesgo del tomador; ii) apoyándose en los puntos o eventos de contacto (touchpoints) descritos en 1.); iii) una mayor personalización de todos los mensajes con el objetivo de aumentar la confianza con la entidad —considerada requisito esencial de la contratación—; y iv) finalmente, personalizar los precios a cada circunstancia. 

Abordar esa amplia estrategia puede suponer inversiones significativas. “Allianz, por ejemplo, está invirtiendo 650 M€ en el desarrollo de capacidades digitales de la siguiente generación, para prestar servicio a más de 85 millones de clientes”[7]. 

* * 

El caso Allianz 

A fines de 2016, el CEO de Allianz, Oliver Bäte, hizo unas declaraciones, en una breve entrevista (11 min.) en Financial Times[8], donde se refiere a las líneas estratégicas de la aseguradora.  

Trató, en la entrevista, la ’transformación digital’ en pie de igualdad con temas como la nueva Presidencia de los EEUU, el Brexit, la regulación / desregulación (con mención a Solvencia II), el aumento de los nacionalismos y las fronteras en Europa, o el euro. (También es verdad que los entrevistadores insistieron en preguntas sobre lo digital, con lo que este tema ocupa más del 40% de la entrevista).

Allianz, según su CEO, basa su estrategia digital —su “Agenda de Renovación”— en cinco pilares, todos los cuales, en palabras de su CEO no son meros títulos abstractos, sino que incluyen “pequeñas metas específicas”[9]. Los 5 pilares son: 

     1) Centralidad real del cliente. (A su vez, este pilar es el eje o núcleo de los otros cuatro y es por tanto el pilar clave: véase el claro gráfico en el URL de Nota 9).

      2) Digital por defecto

      3) Excelencia técnica  

      4) Motores de crecimiento

      5) Meritocracia inclusiva 

1. Centralidad real del cliente 

“Nuestro mundo está cambiando de un negocio push … a un modelo pull, en el que la gente decide cuándo y cómo consume nuestros productos” (Nota 8). Ello supone usar herramientas de los 3 horizontes propuestos en al artículo de McKinsey. 

2. Digital por defecto

Como corazón o núcleo de la compañía, no como un parche o añadido. Implica la oficina sin papel (como algo secundario, pero con un “ahorro potencial de 350 -400 M€”). 

Servicio en el móvil, para todo producto, para todo su ciclo de vida.

3. Excelencia técnica  

“… [Usando] los mejores métodos analíticos y nuestros expertos y directivos de mayor talento. Las ventajas que la digitalización ofrece se usarán para optimizar nuestro sistema de precios ajustados al riesgo [Horizonte 3.] de McKinsey] y para simplificar y agilizar el tratamiento de siniestros [Horizontes 1., 2. y 3.]”.  

4. Motores de crecimiento

“Nuestra nueva UTE con el portal chino Baidu, que alcanza al 90% de los usuarios chinos de Internet es un buen ejemplo. Nos coloca en posición prominente en uno de los mercados de seguros digitales más dinámicos, con tasas de crecimiento anuales del 40% e ingresos anuales esperados en 2020 de 100 BN€ [miles de millones (= millardos) de euros].

Con los objetivos de alcanzar economías de escala y tener una presencia global, por una parte unitaria y por otra particularizada a países y clientes. 

5. Meritocracia inclusiva

Mediante un refinamiento de la cultura corporativa que valorice tanto el desempeño cuanto la forma de lograrlo —por ejemplo, mediante equipos multifuncionales— usando como métrica el IMIX (índice de meritocracia inclusiva, por sus siglas en inglés) y ajustando a él las retribuciones.  

Lo hasta aquí descrito, según Bäte: “Son cosas fáciles de decir, pero no son cosas fáciles de hacer; y en esto es donde está el trabajo de verdad: no en el lado de la tecnología[10], sino realmente en inculcarlo en nuevos procesos y nuevos modelos de prestación y esto es lo que realmente está llevando tiempo” (Nota 8).   

Es interesante destacar que se trata de un plan estratégico con un horizonte relativamente corto (3 años), pues, lanzado a finales de 2015, establece objetivos cuantitativos ambiciosos para 2018 (ver algunos indicadores en URL de Nota 9); conscientes los autores de que “los ciclos de innovación alcanzan su madurez mucho más rápidamente”, por lo que “negocios nuevos, ganadores, emergen en cortos marcos temporales”[11].      

Nótese que ninguno de los pilares hace referencia directa a la ‘estrategia digital’ (a cómo se consigue la transformación digital), pues aunque el segundo se titule ‘Digital por defecto’ eso no es una estrategia digital, sino un objetivo de la estrategia digital; es una estrategia corporativa.  

Estrategia corporativa que sería imposible (salvo quizás parte del quinto pilar) sin un soporte digital amplísimo —¡650 M€!—, que requerirá, a su vez, una propia estrategia digital: decisiones sobre arquitectura, plataformas, legacy, outsourcing, la Nube, etc.). 

Los ejemplos de ‘horizontes’ de McKinsey presentados al principio pueden ayudar a “unir los puntos” y ver cómo dicho soporte puede establecerse para los diversos pilares.

* * *

Artículo escrito por Manolo Palao, iTTi 20170418     

Copyright © 2017 Manolo Palao e ITTi. Reservado todos los derechos.

-----------------------------------------

[1]  Por ejemplo, por su vocero el Prof. Lancaster, en 1978. https://en.wikipedia.org/wiki/Paperless_society [URL consultado el 20170418].

[2]  https://en.wikipedia.org/wiki/Paperless_office  [URL consultado el 20170418].

[3] Gandhi, P. et al. (Abril 2017). Life insurance: Ready for the digital spotlight. McKinsey&Company Financial Services. http://www.mckinsey.com/business-functions/digital-mckinsey/our-insights/life-insurance-ready-for-the-digital-spotlight?cid=other-eml-alt-mip-mck-oth-1704&hlkid=1643c91f08a648e48ec12c55e7737336&hctky=1708074&hdpid=10862995-ad38-423b-b308-0d58f5d3f929 [URL consultado el 20170419]. 

[4] “Mensualmente, más de un millón de búsquedas en Google y 7 millones de visitas a las páginas web de las 10 principales aseguradoras”. Ibíd. 

[5]  Con la sencillez y rapidez con que hoy, por ejemplo, se pueden hacer ya muchas operaciones bancarias o de compraventa. 

[6] Conviene señalar que no se trata de herramientas que se espera aparezcan alguna vez en el mercado, sino de programas ya disponibles, algunos (como los CRM del párrafo anterior) hace décadas. 

[7] Nota 3.

[8] Jenkins, P. and Ralph, O. (2016/12/11).  Allianz chief outlines digital growth strategy. FT News. http://podcast.ft.com/2016/12/11/allianz-chief-outlines-digital-growth-strategy/   [URL consultado el 20170420]. 

[9] Una descripción más formalizada de la estrategia puede encontrarse en https://www.allianz.com/en/about_us/strategy_values/strategy/ y en https://www.allianz.com/v_1489412484000/media/about_us/stragey-values/2015-investor-letter.pdf  [URLs consultados el 20170420]. 

[10] Subrayado, mío.

[11] Allianz. (2015-11-24).  Allianz Capital Markets Day Renewal Agenda –bringing skills to scale. Diapos A8 y A20. https://www.google.es/url?sa=t&rct=j&q=&esrc=s&source=web&cd=3&ved=0ahUKEwjLwfWf2LLTAhXFOxQKHfyNCkAQFgg1MAI&url=https%3A%2F%2Fwww.allianz.com%2Fv_1448453228000%2Fmedia%2Finvestor_relations%2Fen%2Fconferences%2Fcapital_markets_days%2Fdocuments%2F2015-CMD-presentation.pdf&usg=AFQjCNHklikh-rE8qS7e0LMkFOPpULPihA&sig2=_98UkIu7bnX1eAr-29DzCw&cad=rja   [URL consultado el 20170420].

 

Si puerta para qué abierta; y si abierta para qué puerta

Tuesday, 25 April 2017 Maria Jose de la Calle Posted in iTTi Views

La seguridad en general es un concepto que atañe a todas personas en mayor o menor grado. 

Todos los años cuando se acerca el verano aparecen las campañas contra el fuego recomendando ciertas normas para que no se produzcan incendios accidentales cuyas consecuencias pueden ir desde pérdidas medioambientales hasta pérdidas humanas, sin ir más lejos las de los propios bomberos[i]. 

 

Otro ejemplo son las campañas de seguridad vial de la Dirección General de Tráfico, o las medidas de seguridad que en cualquier vuelo se recuerda a todos los pasajeros del avión sin excepción -no preguntan a los pasajeros si las conocen o si ya han viajado en un avión con anterioridad-.

 

De igual modo, la seguridad de la información digitalizada, y de los dispositivos en los que reside y por donde circula es un asunto que en mayor o menor medida nos atañe a todos, tanto en actividades profesionales como privadas.

 

El que hoy en día la información fundamentalmente resida en dispositivos englobados en el término "Tecnologías de la Información" o TI, no significa que los medios para mantenerla segura sean meramente técnicos y que, por tanto, su único responsable sea también el técnico. 

 

No hay duda de que tecnologías más maduras, como el automóvil o la electricidad en el hogar, han evolucionado para ser cada vez más seguras en el plano técnico, pero por muy seguras que consideremos la instalaciones eléctricas que nos rodean a nadie se le ocurre meter los dedos en un enchufe o sumergir en agua un dispositivo conectado a la red eléctrica. Las normas básicas de seguridad de la electricidad las tenemos muy presentes. 

 

El rastro digital 

 

El uso masivo de las TI se ha producido de manera muy rápida, fundamentalmente con la llegada, primero de internet en los años 90[ii], y posteriormente, en la primera década del s. XXI con los dispositivos móviles, principalmente el smartphone[iii].

 

La aceptación de las nuevas tecnologías ha sido tan rápida que prácticamente no ha dado tiempo para la maduración de procedimientos para un uso adecuado. Cuando han empezado a saltar las alarmas los daños también se habían generalizado. 

 

Términos más bien técnicos como malware, virus -no biológicos, sino virtuales-, ataques de denegación de servicio (DDoS), phising, ransomware, etc., etc., se han hecho tristemente famosos, figurando en las primeras páginas de periódicos.

 

El uso de cualquier tecnología comporta unos riesgos de los que hay que ser conscientes y hay que saber cómo tratarlos. 

 

Desde el descubrimiento del fuego hace más de 750.000 años, hasta el uso de máquinas-herramientas o los medios de transporte, ya bastantes más modernos,  la humanidad paga un alto precio por el control y uso de la tecnología, no sólo en medios materiales sino también en vidas humanas o en desastres en el medio ambiente.   

 

Siguen produciéndose incendios con pérdidas materiales y humanas, y desastres medio-ambientales, como los incendios que Chile viene sufriendo desde julio de 2016[iv]. Siguen produciéndose accidentes en la utilización de máquinas-herramientas, como el que tuvo lugar el pasado diciembre en la localidad de Alhedín (Granada)[v] en el que murió un trabajador aplastado por un contenedor, al parecer al fallar el brazo basculante del camión que lo sostenía. 

 

En cuanto a los medios de transporte, todos los días hay accidentes de tráfico [vi] y no son infrecuentes los accidentes de trenes o los de aviones. 

 

Así, con las tecnologías de la información no podía ser menos. Pero hay una diferencia, por lo menos a primera vista. Hasta la llegada de las TI, lo que se quería "asegurar" eran entes con realidad física -bienes materiales, personas o incluso el medio ambiente-; con la llegada, de las TI, lo que se quiere asegurar -entre otras cosas- es la información digitalizada, la cual es intangible. Con el auge y abaratamiento de las comunicaciones, y su ubiquidad, hay una percepción de que la información es un ente etéreo. 

 

Aunque quizás no tanto ...  

 

Se habla de Internet o de la "nube", como si fueran conceptos incorpóreos, cuando la realidad es que están soportados en cables, conectores, dispositivos físicos como routers, switches, ordenadores y mucho silicio, objetos físicos en los que el uso de las TI deja un rastro digital por diversos motivos posibles: 

 

- la propia definición y construcción de dispositivos, sistemas operativos, protocolos de comunicaciones, aplicaciones, etc. que para hacer más rápido, efectivo y eficiente su uso guardan e intercambian información con otros dispositivos; 

- es el propio usuario el que almacena información, como contactos o documentos; o coloca en la red información para que otros la conozcan, información que permanece en servidores de empresas sin que se sea muy consciente de ello [vii]. 

 

Dicho rastro constituye un riesgo para la información, en primer lugar, almacenada en dispositivos personales, susceptibles de perderse, olvidarse o que los roben. En segundo lugar, el almacenamiento que hacen empresas dueñas de las aplicaciones que se utilizan en los dispositivos, también constituye un riesgo, no sólo por el uso que la empresa propietaria de los servidores pueda hacer de dicha información sin el conocimiento ni mucho menos el permiso de su propietario, sino porque otros se la puedan robar. Casos hay muchos, desde "Ashley Madison"[viii], las cuentas de correo de Yahoo [ix], o las cuentas de Dropbox [x], entre otros. 

 

Además, la información no sólo está en reposo en las máquinas que la albergan, también se mueve en un continuo viaje de dispositivo en dispositivo por redes de comunicaciones, o por el aire entre dispositivos y antenas, siendo relativamente fácil su interceptación. 

 

Consecuentemente con todo ello, sería necesario definir y tener en cuenta una serie de normas a cumplir por todos, tanto en la actividad de la vida privada, como en la actividad laboral, teniendo en cuenta que hay dispositivos que se utilizan indistintamente tanto en una como en la otra.  

 

Unas normas básicas, como "cuidado con las redes abiertas", "tener abiertas las comunicaciones sólo cuando sea necesario -si no se necesita wifi o bluetooth no tenerlas activadas-", "la información sensible protegerla adecuadamente -cifrarla- y si hay que comunicarla, utilizar canales seguros". "Información relacionada con la intimidad no "colgarla" en la red"; "no "pinchar" en cualesquiera enlace que llegue en un correo", etc.. 

 

Una medida de seguridad de una casa, sería colocar una puerta. El tipo de puerta -blindada o no, y sus distintos tipos- depende de lo que el propietario quiera gastarse en ella, y una vez elegida, su calidad y su colocación es un asunto técnico, no hay duda. Una vez colocada, el dejarla abierta cuando se sale o entra, es una elección de las personas que la utilizan, y, también es una elección seguir un procedimiento como "cuando entres o salgas, cierra la puerta".  

 

De poco serviría una puerta si se dejara abierta, o como reza el dicho, título de este artículo, "Si puerta, para qué abierta; y si abierta, para qué puerta". 

 

Seguridad en las organizaciones 

 

La seguridad es un sistema que abarca unas normas y procesos; personas que, por una parte, los definan y den a conocer, y, por otra, todas aquellas que en el uso diario de las tecnologías, cumplan con dichos procesos y normas; unas medidas técnicas que soporten, detecten y corrijan las debilidades -técnicas-; y un sistema de gestión que englobe todo: personas, procesos y tecnología. 

 

Tiene como fin mitigar el riesgo de ocurrencia de sucesos no deseados, y cumplir con unos objetivos de seguridad basados en 'el riesgo asumible' o 'la propensión al riesgo'. Por tanto, el sistema de seguridad depende fuertemente de la organización a la cual sirva -proteja-, y también del entorno en el cual dicha organización se desarrolle. 

 

Los perjuicios que se deriven de un daño sobre dicha información son difíciles de estimar, sobre todo monetariamente [xi], no tienen porqué ser inmediatos ni de detección inmediata [xii], y se pueden extender a un periodo de tiempo [xiii]. 

 

Si roban información digitalizada sin más puede que sólo se detecte cuando el beneficiario del robo la utilice -por ejemplo, espionaje industrial o robo de identidad-, o en el caso de las APT, cuando se hagan efectivas. 

 

Sin embargo, los daños que puede producir cualquier brecha de seguridad pueden costarle a una organización, en primer lugar, pérdidas monetarias por: i) uso por terceros no autorizados de información confidencial; ii) no disponibilidad de parte o todas las funciones de una organización; iii) manipulación no autorizada de información, pudiendo tener como consecuencia una toma de decisiones erróneas; y, en segundo lugar, pudiera suponer un daño en su imagen de marca.  

 

Dado que las organizaciones de hoy en día dependen fuertemente de los sistemas de información por su alto grado de digitalización, los riesgos derivados del uso de las TI se han convertido en riesgo del negocio, y, por ello deben formar parte de los riesgos corporativos, en la misma línea que los financieros -controlados por procesos soportados por las TI- o los de cumplimiento legal. Aquellas organizaciones que de manera explícita así lo reconocen, son las que utilizan las TI como motor del negocio.  

 

Los riesgos tecnológicos deben conducir a definir una estrategia de ciberseguridad como parte integral de la estrategia corporativa. Estrategia que definirá una política de seguridad y unas normas que deberán conocer y aplicar todos los empleados de la organización. Los miembros del Consejo de Administración y el Comité directivo son quienes las deben definir y controlar su cumplimiento. Dichas normas también deben extenderse a clientes, proveedores y terceros en general que se relacionan con la organización. 

 

De nada sirve que, por ejemplo, técnicamente no se pueda enviar información sensible de la organización por medio del correo electrónico de dicha organización, si ese documento se copia a un dispositivo desde el cual se utiliza otro correo. De nada sirve un control de acceso físico a servidores, si se deja la puerta abierta para no molestarse en usar la tarjeta de acceso. Las medidas técnicas deben ir acompañadas de procedimientos y normas de uso. 

 

Más arriba afirmaba que en el caso de las TI, lo que se quiere "asegurar" es un bien intangible -la información-, en contraposición a otras tecnologías, que son bienes tangibles. Si bien hasta hace poco era así, con la "Internet de las Cosas" (IoT), la repercusión de una modificación de datos o de software en cualquiera de estos objetos conectados puede tener una repercusión en el mundo físico. Los fallos de seguridad pueden ser muy tangibles. 

 

Una parte de la información la constituye el software, o código que maneja los objetos virtuales que se mueven por los dispositivos como ordenadores, redes de comunicación, dispositivos móviles, etc..  

 

El software, además, ha pasado a los objetos físicos, para, por una parte recoger datos, y por otro poder controlar acciones realizadas por ellos, caso de la IoT o de la robótica. 

 

Esto cobra una especial relevancia en los sistemas de control industriales, tanto para los sistemas de fabricación como  los sistemas de control de subestaciones eléctricas, distribución y control de agua o gas, etc.  

 

En el documento "Beneficios de la ciberseguridad para las empresas industriales", recientemente publicado [xiv], se afirma "En ningún otro sector como en el industrial convergen los activos lógicos y físicos tan nítidamente, dando lugar a lo “ciberfísico”, que se constituye en la más amplia superficie de riesgo para las personas, el medioambiente,...", y aquí los riesgos ligados a las TI se han colocado al mismo nivel de riesgos físicos, como otras tecnologías. 

 

De pesca

 

La importancia de la concienciación en los riesgos del uso de las TI y de seguir unos procedimientos y normas de uso adecuados, queda de manifiesto singularmente por el tipo de engaño por Internet, conocido como phising, palabra que suena igual que "fishing" palabra inglesa que significa pescar. 

 

Es una forma de conseguir información tanto privada como de organizaciones -nombres de usuarios, contraseñas, datos bancarios, etc.- a través de correos electrónicos o mensajes en redes sociales,  con enlaces a páginas falsas; o de introducir cualquier tipo de malware -por ejemplo, una APT- al pinchar en un enlace.  

 

El "spear phising" (pesca con arpón) es más selectivo: va dirigido a una persona o departamento concreto. Es especialmente peligroso porque va precedido de un estudio previo sobre dicha persona u organización, lo que se llama "ingeniería social", para que el mensaje parezca de una persona o entidad fiable, y el "cebo" sea creíble. 

 

Al parecer, como otros tantos fraudes utilizando TI, en este 2017 el phising va a seguir con fuerza. El artículo "3 ways that phishing will evolve in 2017"[xv], dice que en 2016 se produjo un incremento de 150% de esta forma de ataque a través de las redes sociales. Y, al igual que otros ataques, como ransomware o DDoS, también se vende como servicio. 

 

El riesgo es doble ya que además de afectar a los datos de la vida privada, puede afectar a la vida laboral, como le ha pasado a Mike Pence, gobernador del estado de Indiana (EEUU) a quién "hackearon" su correo personal de AOL, que estaba utilizando para asuntos del estado. ¿Por qué? Porque las cortapisas que impone el correo del trabajo no las tiene el correo personal. 

 

Entre los muchos artículos hablando sobre esto, el de WIRED[xvi] tiene un título muy significativo "La edad de oro del pirateo de correos electrónicos no ha hecho más que empezar". 

 

* * *

 

Este artículo fué publicado originalmente por @PuntoSeguridad.com/"Cuadernos de Seguridad", abril, 2017, nº 321, pg.76, Ciberseguridad – "Si puerta para qué abierta; y si abierta para qué puerta" – María José de la Calle.

 

----------------------------------------

[i] ABC (20120804)  "67 muertos en la extinción de incendios desde el año 2000". url [a 20170313] http://www.abc.es/20120804/sociedad/rc-muertos-extincion-incendios-desde-201208042243.html   

[ii] Véase la evolución del uso de internet en los hogares de los países de la UE en el informe de EUROSTAT (20161220) "Estadísticas sobre la sociedad de la información - Hogares y particulares". url [a 20170313] http://ec.europa.eu/eurostat/statistics-explained/index.php/Information_society_statistics_-_households_and_individuals/es  

[iii] Hablar de tecnología de la información hace prácticamente inevitable el uso de ciertos términos y vocablos ingleses. Por no hacer mucho más largo el artículo en sí interrumpiendo su ritmo y dificultando su lectura, no se facilita una explicación o traducción de los mismos, remitiendo al lector a una consulta en Internet de aquellos por los que muestre un especial interés. 

[iv] "El País" (20170131) "Chile recibe ayuda internacional para combatir sus peores incendios". url [a 20170313]  http://internacional.elpais.com/internacional/2017/01/30/actualidad/1485746887_102479.html  

[v] "El País" (20161224) "Un trabajador fallece aplastado por un contenedor en Alhendín". url [a 20170313]   http://ccaa.elpais.com/ccaa/2016/12/24/andalucia/1482601762_483785.html

[vi] En España en el año 2016, según la Dirección General de Tráfico, murieron 1.160 personas por esta causa. url [a 20170313] http://revista.dgt.es/es/noticias/nacional/2017/01ENERO/0103balance-accidentes-2016.shtml#.WMBhJxhDmHo   

 [vii] Véase la política de privacidad de Google con respecto a los datos que almacena cada vez que se utiliza,  y como se utilizan, para que el usuario en ciertos casos pueda decidir sobre dicho uso. url [a 20170313] https://www.google.es/intl/es/policies/privacy/?fg=1  

[viii] Blog "Un informático en el lado del mal" (20150814)  "Ashley Madison Hack: Suicidios, Mentiras y Negocios Turbios". url [a 20170313] http://www.elladodelmal.com/2015/08/ashley-madison-hack-suicidios-mentiras.html  

[ix] "El Confidencial" (20161214) " Yahoo reconoce un segundo 'hackeo' masivo: 1.000 millones de cuentas afectadas". url [a 20170313] http://www.elconfidencial.com/tecnologia/2016-12-14/yahoo-hackeo-internet-seguridad-informatica_1304213/  

[x] "Motherboard" (20160831) "Hackers Stole Account Details for Over 60 Million Dropbox Users". url [a 20170313] https://motherboard.vice.com/en_us/article/hackers-stole-over-60-million-dropbox-accounts  

[xi] Aunque el Instituto Ponemon, en el informe "2016 Ponemon Cost of Data Breach Study" nos da algunas pistas: "This year’s study found the average consolidated total cost of a data breach grew from $3.8 million to $4 million. The study also reports that the average cost incurred for each lost or stolen record containing sensitive and confidential information increased from $154 to $158." Instituto Ponemon. url [a 20170313]  http://www-03.ibm.com/security/data-breach/  

[xii] "SecurityWeek"  (20160225)  "Breach Detection Time Improves, Destructive Attacks Rise: FireEye" url [a 20170313] http://www.securityweek.com/breach-detection-time-improves-destructive-attacks-rise-fireeye  

[xiii] Por ejemplo, un software espía, o un bot perteneciendo a una botnet, que esté realizando un atarea ordenada por un tercero; o una APT -Advanced Persistent Threat- malware no detectable, que permanece sin hacer nada hasta que se desea que se ejecute bien como puerta de entrada al sistema para controlar la máquina que lo alberga. 

[xiv] En dicho documento CCI (www.CCI-es.org/mision) e iTTi (www.ittrendsinstitute.org/about-itti)  han unido sus fuerzas para llevar a cabo un ejercicio de análisis, cuyo objetivo ha sido ofrecer una visión positiva de la ciberseguridad para las empresas industriales. url [a 20170313] http://www.ittrendsinstitute.org/news/item/itti-along-with-cci-releases-benefits-of-cybersecurity-for-industrial-enterprises-spanish-ed  

[xv] "Foration Blog" (20161228) "3 ways that phishing will evolve in 2017". url [a 20170313] https://www.foration.com/blog/3-ways-phishing-will-evolve-2017

[xvi] "Wired" (20170303) "The Golden Age of Email Hacks Is Only Getting Started" url [a 20170313]  https://www.wired.com/2017/03/mike-pence-aol-email-hack/?mbid=nl_3517_p1&CNDID=  

 

  

El dinero como datos

Monday, 26 December 2016 Maria Jose de la Calle Posted in iTTi Views

La Comisión Europea, en el documento titulado "Hacia un desarrollo de la economía conducida por los datos"[i] expone los beneficios para Europa del tratamiento de los datos o del Big-Data. Los datos y su tratamiento constituyen una nueva fuente de riqueza. 

Y al contrario, también es cierto. La realidad física del dinero se está difuminando en una realidad virtual al transformarse en datos residentes en ordenadores y que viajan por las redes de comunicaciones cambiando de propietario, como pago de bienes tangibles o intangibles, realizándose transacciones con intervención humana o sin ella.   

Ejemplo de ello son las contrataciones de valores en las bolsas, que son operaciones informatizadas en base a algoritmos capaces de examinar gran cantidad de parámetros, y que van informando de los cambios o tomando decisiones en tiempo real.  

Unas operaciones las realizan los agentes ayudados por las máquinas [ii] y, otras las realizan las propias máquinas, que lanzan órdenes al mercado financiero en cuestión de milisegundos. Esto último es la "contratación -o negociación- de alta frecuencia" o high frequency trading (HFT), que se utilizan para obtener beneficio a corto plazo, es decir, mantener una posición el menor tiempo posible, que a veces son milisegundos, o segundos, o minutos incluso. Los tiempos en las HFT son tan cortos e importantes que los equipos se suelen colocar lo más cerca posible de la bolsa para reducir el tiempo de comunicación entre  la máquina del operador y la de la bolsa en la que opera.   

En un ámbito más común, los pagos con tarjeta de crédito ya tienen varias décadas, y con la llegada de internet se adaptó también para pagar en compras por este medio; a día de hoy, ya se pueden realizar pagos con el teléfono -móvil- y almacenar dinero en él como si de una tarjeta de crédito se tratase, a través de una aplicación (App). Es suficiente con acreditar que se dispone de la cantidad a abonar, en el caso de pago,  y dónde está direccionado, es decir, la cuenta bancaria. Es el sistema bancario más difundido en África. 

¿Seguirán usándose la tarjeta y la cuenta bancaria? Quizás, como afirma Bill Gates en su carta anual de 2015 [iii], "hacia el 2030, dos mil millones de personas que no tengan una cuenta bancaria guardarán dinero y realizarán pagos con su teléfono. Y por entonces, los proveedores de dinero "móvil" ofrecerán un rango completo de servicios financieros, desde cuentas de ahorro con interés para ahorro, a créditos y seguros".  

Esta digitalización o virtualización del dinero, junto con la explosión del uso de las comunicaciones móviles, ha tenido como resultado que pequeñas empresas tecnológicas -o grandes, como Apple o Google-, apoyándose en su conocimiento de la tecnología, hayan creado nuevas formas de proveer servicios financieros tradicionalmente ofrecidos por el sector bancario, desde los ya comentados pagos y transacciones, monederos digitales o créditos hasta asesoría financiera e inversiones, lo que ha obligado a la Banca más tradicional a plantearse el cambio hacia esta nueva manera de hacer. Para las tecnológicas "metidas a banqueros" se ha acuñado el término fintech, contracción de los vocablos ingleses “financial” y “technology”.  

La virtualización del dinero ha tenido su mayor exponente en la moneda nacida ya virtual, sin existencia física previa: el Bitcoin. No depende de ningún gobierno, institución o entidad financiera, como las monedas al uso, el control lo realizan los propios usuarios mediante transacciones directas entre ellos, anónimas y cifradas. Su uso es a través de aplicaciones y, como tal moneda, se puede utilizar para la compra-venta de productos y servicios allá donde la acepten. Pero el Bitcoin tiene actualmente dos aspectos negativos importantes: por una parte, tiene una alta volatilidad cambiaria; por otra, se ha convertido en la moneda refugio de las mafias, dado su anonimato. 

Sin embrago, la verdadera revolución está en el mecanismo en el que se basa el Bitcoin, el "blockchain" o "cadena de bloques", donde se va apuntando cada una de las transacciones realizadas, como de si un libro de contabilidad se tratara, un sistema criptográfico que permite la confianza entre agentes sin necesidad de una autoridad central (el banco emisor), un medio para intercambio y almacenamiento de valor. 

Están surgiendo por parte de la Banca tradicional y empresas tecnológicas otras iniciativas de nuevas monedas y servicios basados en el principio funcional del Bitcoin. Veamos algunas aparecidas recientemente:

"Santander se alía con UBS, Deutsche Bank y BNY Mellon para impulsar el uso del dinero digital"[iv], noticia del diario "Expansión", del 24 de agosto pasado, en la que informa de que dicha alianza desarrollará el sistema 'Utility Settlement Coin' (USC) basado en la tecnología blockchain, el cual "facilitará pagos y liquidaciones de forma eficiente, rápida y segura". 

"Microsoft y Bank of America se alían para desarrollar tecnología blockchain"[v], noticia de "elEconomista" del 28 de septiembre pasado, en la que informa que dichas entidades "han acordado colaborar para desarrollar la tecnología 'blockchain' con el objetivo de impulsar la transformación de las transacciones financieras".  

La Banca, como otros muchos sectores, está también embarcada en un proceso de digitalización no sólo del dinero sino de sus procesos, a juzgar por las noticias, ya habituales donde aparecen unidas la Banca y la Tecnología. Ejemplo de ello, por citar algunos, es la compra de, o la colaboración con las Fintech, el servicio de asesoramiento personalizado a las empresas a través de video-conferencia lanzado por CaixaBank, o el acuerdo de BBVA y Banco Santander con Red-Hat para desarrollar sus respectivas "nubes".

Seguridad en el sector bancario

Que los bancos utilicen ordenadores para su gestión no es una novedad. Sí lo es que la mayoría de las operaciones se realicen a través de dispositivos y software en cualquier sitio donde haya comunicación por Internet, entre entidades bancarias, entre entidades bancarias y sus clientes, y entre los clientes directamente para sus negocios o sus vidas privadas, fuera de los límites del edificio de una entidad bancaria, por cualquier persona y no por un empleado bancario.  

Por ello han aumentado los riesgos de seguridad, del dinero en particular y los activos financieros en general, que se han transformado en información en continuo movimiento por las redes de comunicaciones, con acceso desde cualquier lugar. No hay que olvidar que el sector financiero es el primer objetivo para ladrones en general y cibercriminales en particular, ya que es en estas instituciones donde realmente está el dinero, y la superficie de exposición, como ya se ha visto, ha aumentado considerablemente.

Tanto es así, que la empresa "Raytheon", en el estudio [vi] realizado en el año 2015 sobre la seguridad en el sector financiero, encontró lo siguiente:  

- Los incidentes de seguridad en entidades financieras son 300% más frecuentes que en otros tipos de industria. 

- El 33% de los intentos de ataque tienen como objetivo servicios financieros. 

- Las entidades financieras ocupan el tercer lugar en cuanto a objetivos de “typosquatting”[vii]. 

Es conocido el daño que una crisis financiera causa en la sociedad, y la interconexión y dependencia entre las distintas entidades. Todos recordamos cómo la quiebra de "Lehman Brothers" en el 2008 disparó la crisis. Por este motivo, la importancia de la seguridad en los sistemas financieros es indiscutible ya que, un gran incidente de [ciber]seguridad puede llegar a causar una crisis que afecte no sólo a dicha entidad y sus clientes, sino a otras entidades e incluso al sistema financiero de un país, o de varios países. Tan es así, que España tienen al sistema financiero como perteneciente a uno de los 12 sectores que aseguran la prestación de servicios esenciales, a los que pertenecen las consideradas "Infraestructuras Críticas". 

Seguridad del dinero = ciberseguridad

El dinero ha entrado en la corriente de los datos y de la información, y la forma de acceder a él es la misma que a los datos en general; consecuentemente la seguridad del dinero es ciber-seguridad, seguridad informática y seguridad de la información. 

La seguridad de los datos o seguridad de la información se apoya en tres principios ampliamente conocidos: confidencialidad, integridad y accesibilidad, o expresado de otra manera, los datos deben ser accesibles por personas o sistemas autorizados cuando éstos así lo requieran, y sólo por éstos, y en la forma en que en ese momento sea pertinente y lo tengan permitido. 

Un incidente de seguridad se puede definir como cualquier suceso que no forma parte de la operación normal de un servicio y que causa, o puede causar, una interrupción o una disminución de la calidad de dicho servicio, incluyendo la violación de una norma de seguridad o el fallo de una salvaguarda. 

Según esta definición, las causas de los ciberincidentes son múltiples. Un mal funcionamiento o interrupción de un sistema no tienen porqué proceder del ciber-delito. Muchas veces son incidentes producidos errores o fallos internos: un error de software, eliminación de algún dato por error, actualizaciones no llevadas a cabo adecuadamente, fallos en el mantenimiento del hardware, y errores humanos en general. 

* *

Para terminar, los nostálgicos que quieran tener dinero en efectivo, también con el móvil lo pueden tener. El banco "ING Direct" acaba de sacar un servicio que, como si de una compra se tratara, en la caja de algunos supermercados o gasolineras puedes "pagar" con el móvil y se obtiene esa misma cantidad en efectivo [viii]. 

* * *

Este artículo fué publicado originalmente por @PuntoSeguridad.com/"Cuadernos de Seguridad", noviembre, 2016, nº 316, pg.92, Ciberseguridad – "El dinero como datos" – María José de la Calle.  

---------------------------------------------------

[i]  "Towards a thriving data-driven economy", (24 de febrero, 2016). European Comission. url [a 9-10-2016] https://ec.europa.eu/digital-single-market/en/towards-thriving-data-driven-economy   

[ii] J.A.Pérez (oct, 2011) "Negociación de  Alta Frecuencia: Más Ventajas que Incovenientes" url [a 9-10-2016] http://www.bolsasymercados.es/esp/publicacion/revista/2011/12/46-50_act-rep_alta_frecuencia.pdf  

[iii] "By 2030, 2 billion people who don't have a bank account today will be storing money and making payment with their phones. And by then, mobile money providers will be offering the full range of financial services, from interest-bearing savings accounts to credit to insurance." "2015 Gates Annual Letter".  url [a 9-10-2016] https://www.gatesnotes.com/2015-annual-letter?page=0&lang=en  

[iv] "Santander se alía con UBS, Deutsche Bank y BNY Mellon para impulsar el uso del dinero digital", (24 de agosto, 2016). Expansión. url [a 9-10-2016] http://www.expansion.com/empresas/banca/2016/08/24/57bd61bce5fdea154d8b467a.html 

[v] "Microsoft y Bank of America se alían para desarrollar tecnología blockchain" (28 de septiembre, 2016) url [a 9-10-2016] http://www.eleconomista.es/tecnologia/noticias/7853084/09/16/Microsoft-y-Bank-of-America-desarrollaran-en-conjunto-la-tecnologia-blockchain.html  

[vi] "2015 Industry Drill-Down Report Financial Services" (2015). Raytheon/ Websense Lab. url [a 9-10-2016] http://www.websense.com/assets/reports/report-2015-industry-drill-down-finance-en.pdf 

[vii] "¿Qué es el "Typosquatting"?", (7 de noviembre, 2004). uni>ersia. url [a 9-10-2016] http://noticias.universia.es/ciencia-nn-tt/noticia/2004/11/07/610533/que-es-typosquatting.html 

[viii] url [a 9-10-2016] https://www.ingdirect.es/twyp/twyp-cash.html  

 

De paraguas que piden salir de casa y de fábricas robotizadas

Friday, 28 October 2016 Maria Jose de la Calle Posted in iTTi Views

Cuando los objetos físicos incluyen microchips que tienen en mayor o menor grado capacidades de un ordenador, e incluso que pueden tomar decisiones en el mundo físico, la seguridad se torna vital. En robótica, esto supone el salto a robots no dedicados a una tarea y  no asentados en un espacio, sino que pueden aprender dentro de un ámbito y se pueden mover. "Planifica para lo peor. IoT debe tener capacidades para responder a ataques, malware o cualquier incidente negativo, antes de que sea necesario"[i].

De la IoT

"Nosotros somos entes físicos, y también nuestro entorno. Todavía hoy la tecnología de la información es tan dependiente de los datos originados por las personas que nuestros ordenadores saben más de ideas que de cosas. Necesitamos capacitarlos para que con sus propios medios recojan información por ellos mismos. RFID y sensores capacitan a los ordenadores para observar, identificar y entender el mundo."[ii]

Este párrafo pertenece al artículo "That 'Internet of Things' Thing", publicado en junio de 2009, y escrito por Ashton Kevin, al cual se le atribuye el haber acuñado el término de "Internet de las Cosas" o IoT (Internet of Things), hecho que recuerda él mismo al comienzo de dicho artículo. 

La idea de Ashton, como el mismo indica, era la de que los ordenadores pudieran recoger información de objetos físicos para hacer un seguimiento y recoger medidas de sus estados, y así poder informar de cuando las cosas tuvieran que se reemplazadas, reparadas, o si habían caducado o no; todo ello sin intervención humana.

Esto parece haberse ya realizado con creces al haber insertado en casi cualquier objeto al uso pequeños dispositivos -microchips- capaces de, como mínimo, conectarse a Internet, recoger datos y ser capaces de enviarlos a otros dispositivos u ordenadores. 

La "Internet de las cosas" ha conformado una infraestructura de red global basada en protocolos de comunicación estándar e interoperables, que ha venido a sumar a los datos ya producidos e introducidos por las personas en los ordenadores, los recogidos por objetos, de ellos o del entorno, a los que se han incorporado  microchips para estos efectos -sensores y medidores-, incrementado la cantidad de datos existentes. 

Según Rob Highi[iii], vicepresidente y CTO de IBM-Watson, ya en el 2015 se generaron del orden de 2,5 exabytes (EB = 1018 bytes) cada día, de los cuales sólo vemos y utilizamos una pequeñísima parte, y para el 2020 se espera que ese número crezca hasta los 44 zettabytes (ZB = 1021 bytes).   

Pero los microchips pueden hacer otras muchas cosas, como almacenar gran cantidad de datos -memorias-o realizar operaciones lógicas y aritméticas -procesadores-, lo que se traduce en la ejecución de aplicaciones. Constituyen pequeños ordenadores dentro de los objetos, conectados entre sí - a través de Internet- y que tienen la capacidad de ejecutar código, de ver -cámaras-, oír -micrófonos- oler -procesar sustancias químicas- y, en definitiva, sentir el mundo físico que los rodea y actuar sobre él. A estos dispositivos que disponen de capacidad de computación y de conectividad se les ha llamado "dispositivos inteligentes" (smart devices). 

Los objetos han cobrado una identidad propia, por una parte virtual que los identifica como únicos en Internet, y por otra su realidad física asociada a la virtual, con lo que otros objetos y personas los pueden identificar.  

Un ejemplo reciente lo constituye el paraguas "oombrella"[iv], proyecto que empezó en el 2014 y que finalizará, previsiblemente, en otoño de este año 2016 con la salida a la venta de dicho paraguas. 

Realiza tres funciones básicas: 1) envía a un smart-phone alertas del tiempo local, por ejemplo "lloverá en 15 minutos. Llévame contigo"; 2) envía alerta a un  smart-phone si se aleja de él de 30 a 50 metros, algo como "no me dejes"; y 3) comparte datos meteorológicos con la comunidad "oombrella". 

Para llevar a cabo todo esto, dispone de una plataforma de hardware compuesta de sensores de temperatura, humedad, presión y luz, para recoger datos meteorológicos; de procesador para,  con los datos recogidos, estimar el tiempo meteorológico; y de las comunicaciones con un teléfono, y con el servicio en la nube que constituye la plataforma de software "wezoo", un servicio que funciona como una red social y que predice el estado del cielo en tiempo real en base a los datos recogidos de los paraguas de la comunidad, y que, a su vez envía alertas a sus miembros. 

A esta tecnología de red de objetos que se comunican entre sí, compartiendo datos, y que conecta el mundo físico y el mundo virtual a través de servicios en la nube, se le ha llamado IoT. 

El mundo físico se ha transformado en un enorme sistema de información el cual, junto a los algoritmos de aprendizaje de las máquinas, tiene como resultado que éstas "lo identifiquen y lo entiendan", tal y como deseaba Ashton Kevin, capacitándolas para tomar decisiones y actuar en él, sin intervención humana. 

Sin embargo, con la llegada de las "máquinas pensantes" y "actuantes" sobre aquel, se ha dado un salto cualitativo en cuanto a la seguridad de la información: desde la seguridad de objetos virtuales, a la seguridad de objetos físicos y a la de las personas, o como dirían los anglo-parlantes, del "security" al "safety". 

Algunos datos históricos acerca de la seguridad de la información

Antes de la época de los sistemas electrónicos, el guardar ante terceros ya era una preocupación. Una de las técnicas que se utilizan para mantener la confidencialidad de la información y a buen recaudo sus secretos es la criptografía, técnica cuyo uso se remonta al siglo V antes de Cristo, utilizada por el pueblo griego de Esparta, según nos cuenta el programa educativo "Criptored" de la UPM[v].

La seguridad informática es tan antigua como la existencia de los ordenadores, así como el empleo de contraseñas de acceso a las máquinas, y estos dispositivos son pequeños ordenadores. Con la seguridad informática, y siguiendo con "Criptored", "estamos centrando nuestra atención en aquellos aspectos de la seguridad que inciden directamente en los medios informáticos en los que la información se genera, se gestiona, se almacena o se destruye; siempre desde el punto de vista tecnológico de la informática y de la telemática". 

J.P.Anderson escribió en 1980 un documento titulado "Vigilancia y Monitorización de las Amenzas de Seguridad Informática", en el cual podemos encontrar la siguiente definición de "Amenaza: la posibilidad de un intento deliberado y no autorizado de a) acceder a la información; b) manipular la información; c) convertir un sistema en no-confiable o inútil"[vi].

El primer virus del que se tiene noticias que se extendió fuera de los límites de un laboratorio fue el virus "Elk Cloner"[vii] desarrollado a principios de los 80 para el "Apple II" y que se propagaba entre distintos ordenadores a través de diskettes. 

Con la llegada de internet -años 90- a empresas y hogares, la propagación de malware y la capacidad de entrar en cualquier dispositivo conectado se hizo mucho más sencilla. La seguridad del software y de las redes y dispositivos conectados empezó a cobrar su importancia. Surgieron los antivirus; se empezó a tomar en serio las contraseñas; aparecieron los firewall, primero sistemas hardware y posteriormente también software o una combinación de ambos; la criptografía y el cifrado de claves salió de ámbitos restringidos como gobiernos o bancos, para popularizarse en productos al consumo. 

Se acuñó un nuevo concepto, ciberseguridad, para agrupar los medios a emplear para minimizar los riesgos asociados al empleo de sistemas conectados para el tratamiento de datos y de la información, que se puede definir como "Protección de los activos de información por medio del tratamiento de las amenazas a la información procesada, almacenada y transportada por medio de sistemas de información interconectados"[viii]. 

El término "ciberseguridad", que se aplica hoy día a toda la seguridad de la información, supone un abuso del lenguaje, al tomar una parte -seguridad de la información en sistemas interconectados- por el todo.  

Si tan importante es la información, ¿por qué no se va aplicando lo ya conocido a las nuevas formas de tratarla y nuevos dispositivos? 

Los conceptos de confidencialidad, integridad y disponibilidad, los tres pilares en los que se apoya la seguridad de la información, no han perdido su vigencia, todo lo contrario. 

Tristemente, después de que los ordenadores personales se llenaran de virus en particular y malware en general, y de antivirus y medidas de seguridad, cual si de un sistema biológico se tratara en el que conviven el sistema inmunológico con gran cantidad de bacterias y virus, llegaron los dispositivos inteligentes, y de nuevo hubo que buscarles protección después de que hubieran penetrado en el mercado. 

Creo que no es necesario citar casos de todos conocidos ya que no hay más que buscar en Internet para encontrar abundante literatura sobre ello, desde automóviles, teléfonos, televisores, juguetes y así un largo etc., robando información, inhabilitando los dispositivos para su uso o invadiendo nuestra intimidad. 

... a la IIoT [ix]

La IoT se puede encuadrar en la interacción humana con los objetos. Los dispositivos son capaces de enviar mensajes a otros que nos sirven de interfaces cuando se producen ciertas situaciones, como que va a llover -el caso del paraguas- o si han entrado intrusos en nuestras casas. Así mismo, las personas por medio de los dispositivos tenemos la capacidad de controlar y monitorizar a distancia, desde cualquier sitio, objetos y condiciones, y la posibilidad de actuar sobre ellos.  

Esta tecnología, llevada al mundo de la industria es a lo que se ha llamado "La Internet de las cosas en la Industria" o IIoT (Industrial Internet of Things), o también Industria 4.0. 

Con esta tecnología, se ha dotado a sensores, medidores, bombas, máquinas-herramientas, motores, etc. de capacidad de comunicación e intercambio de datos entre ellos y con sistemas de control, a través de Internet, desde las áreas de producción en tiempo real, lo cual proporciona potentes herramientas de mantenimiento, ya que las máquinas pueden informar en todo momento de cuál es su estado -de cuándo hay que actualizarlas o repararlas, o cómo es su rendimiento-, incluso estos sistemas podrían alterar su comportamiento en respuesta a condiciones cambiantes. 

Los beneficios que aporta esta tecnología a la industria están, por una parte, en los servicios de almacenamiento y aplicaciones que la nube provee, y el análisis, gestión y mantenimiento de datos, que big-data proporciona, constituyendo herramientas potentes de toma de decisiones; y por otra, en la robótica. 

Según "Control design"[x], la robótica hasta ahora se basaba, al igual que los ordenadores convencionales, en realizar una operación -aquella para la que estaba programada- una y otra vez, y en un sitio determinado. Con los algoritmos de la IA -Inteligencia Artificial-, a la máquina se le indica lo que tiene que hacer, y la manera en que lo hace ella misma la va adaptando según las situaciones por las que va pasando. 

La IA amplía visión, movimiento y capacidad de actuar del robot. "El robot [colaborativo] se define por lo que está haciendo en el lugar que lo está haciendo, no por el robot en sí mismo. Los robots se diseñan para trabajar en cooperación con las personas dentro de un espacio de trabajo donde robots y humanos pueden realizar tareas simultáneamente".  

Tal es el caso de la factoría de Siemens en Amberg[xi] (Baviera) en la cual los empleados fundamentalmente se encargan de tareas de supervisión y control de lo que realizan las máquinas. Estas proporcionan información en tiempo real, entre ellas, para controlar y seguir el proceso de producción, y a un ordenador desde donde una persona puede revisarlo. El software define los procesos de fabricación y cada paso y estado de dicho proceso, desde su inicio hasta su fin, puede ser grabado. Alrededor de 50 millones de registros se generan cada día. 

Según un artículo publicado por "El Mundo"[xii] en junio de 2014, "el perfeccionamiento de la cadena de producción queda patente en los resultados: si en 1990 la misma fábrica desechaba 550 productos por millón por ser defectuosos, en 2013 esa cifra cayó un 97%, hasta los 12 componentes inválidos". Y añade que se ha hecho realidad "una fábrica como una máquina perfecta donde cada elemento es un engranaje de una auténtica cadena inteligente". 

La ciberseguridad industrial 

En los dispositivos industriales de fabricación y control a lo largo de los años se han ido incorporando tecnologías genéricas de las Tecnologías de la Información (TI), desde ordenadores personales con sistemas operativos de propósito general como Unix, Windows o Linux  hasta los protocolos e interfaces de comunicación entre los distintos dispositivos como Ethernet y TCP/IP, es decir, conectividad entre todos y a través de Internet, IoT y robótica con algoritmos de IA. 

Se está produciendo una convergencia de TI y de la Tecnología de Operaciones (TO), que desgraciadamente viene acompañada de los problemas de seguridad que siguen afectando a las TI.

Los expertos en seguridad industrial deben estar acompañados de los expertos en ciberseguridad, dado que los problemas y sus soluciones son comunes. 

Las dos partes de las tecnologías que se veían separadas en una organización industrial -informática corporativa (TI) e informática de operación (TO)- ya suponen un continuo en la Industria, y los atacantes siempre buscan el punto más débil para entrar en una instalación. La superficie de ataque ha aumentado. 

El OWASP ("Open Web Application Security Project") "proporciona una lista de superficies de ataque que deben entender los fabricantes, desarrolladores, investigadores de seguridad, y aquellos que busquen desarrollar o implementar tecnologías IoT dentro de sus organizaciones"[xiii].

La seguridad de IoT/ IIoT no sólo supone diseñar la seguridad en los propios dispositivos para que los datos que residen en él no sean manipulados o robados, también se deben diseñar sistemas de autenticación para hacerse reconocer y reconocer a otros como sistemas autorizados, así como implementar las comunicaciones seguras entre los distintos dispositivos. 

* *

Hasta ahora se está hablando de dispositivos conectados que comparten datos, pero ...

"¿Qué pasaría si los robots pudieran entender más cosas por sí mismos y compartir su conocimiento entre ellos?[xiv]. RoboBrain: el primer motor de conocimiento para robots, como Google o Bing para los humanos[xv]". MIT Technology Review. 

* * *

Este artículo fué publicado originalmente por @PuntoSeguridad.com/"Cuadernos de Seguridad", octubre, 2016, nº 315, pg.85, Ciberseguridad – "De paraguas que piden salir de casa y de fábricas robotizadas" – María José de la Calle. 

----------------------------

[i] "12. Plan for the Worst. IoT systems should have capabilities to respond to compromises, hostile participants, malware, or other adverse events. There should be features in place to re-issue credentials, exclude participants, distribute security patches and updates, and so on, before they are ever necessary."  "Principles of IoT Security". OWASP.  url [a 26-08-2016] https://www.owasp.org/index.php/Principles_of_IoT_Security  

[ii] "We're physical, and so is our environment. Yet today's information technology is so dependent on data originated by people that our computers know more about ideas than things. We need to empower computers with their own means of gathering information. RFID and sensor technology enable computers to observe, identify and understand the world". Ashton, K. (22 junio, 2009)  "That 'Internet of Things' Thing". RFID Journal. url [a 14-08-2016] http://www.rfidjournal.com/articles/view?4986  

[iii] Krazit, T. (30 de marzo, 2016) "IBM: Systems like Watson will save us from the data deluge". StructureData. url [a 16-08-2016] http://www.structuredata.com/tag/rob-high/  

[iv] "oombrella - unforgettable umbrella" url [a 31-08-2016]  https://www.indiegogo.com/projects/oombrella-unforgettable-umbrella-smart#/   

[v] "Proyecto Thoth - Píldoras formativas en seguridad de la información". Criptored. url [a 31-08-2016] http://www.criptored.upm.es/thoth/index.php#  

[vi] "The potential possibility of a deliberate unauthorized attempt to: a) access information; b) manipulate information; c) render a system unreliable or unusable". James P. Anderson Co. 26 Feb, 1980. "Computer Security Threat Monitoring and Surveillance".  url [a 31-08-2016] http://csrc.nist.gov/publications/history/ande80.pdf  

[vii] url [a 31-08-2016] https://es.wikipedia.org/wiki/Elk_Cloner . Una pequeña reseña de la historia de los virus la podemos encontrar en la "History of Viruses", 10 de marzo, 1994. csrc.ncsl.nist.   url [a 31-08-2016] http://csrc.nist.gov/publications/nistir/threats/subsubsection3_3_1_1.html  

[viii] "The protection of information assets by addressing threats to information processed, stored, and transported by internetworked information systems". ISACA. url [a 31-08-2016] http://www.isaca.org/Pages/Glossary.aspx?tid=2077&char=C  

[ix] Turbide,D. "What is the difference between IoT and IIoT?" TechTarget. url [a 31-08-2016] http://searchmanufacturingerp.techtarget.com/answer/What-is-the-difference-between-IoT-and-IIoT  

[x] Perkon,D. (4 de abril, 2016). "Is machine learning smart enough to help industry?" controldesign.  url [a 31-08-2016] http://www.controldesign.com/articles/2016/is-machine-learning-smart-enough-to-help-industry/  

[xi] url [a 31-08-2016] http://www.siemens.com/innovation/en/home/pictures-of-the-future/industry-and-automation/digital-factories-defects-a-vanishing-species.html  

[xii] Folgado,R. (16 de abril, 2014). "La fábrica más inteligente de Europa produce a base de 'big data'". El Mundo. url [a 31-08-2016] http://www.elmundo.es/economia/2014/04/16/534d662c268e3efc2d8b457c.html  

[xiii] "The IoT Attack Surface Areas Project provides a list of attack surfaces that should be understood by manufacturers, developers, security researchers, and those looking to deploy or implement IoT technologies within their organizations". "OWASP Internet of Things Project/ IoT Attack Surface Areas Project".  OWASP. url [a 31-08-2016] https://www.owasp.org/index.php/OWASP_Internet_of_Things_Project#tab=IoT_Attack_Surface_Areas  

[xiv] "What if robots could figure out more things on their own and share that knowledge among themselves?.". Schaffer, A. "Robots That Teach Each Other". MIT Technology Review. url [a 31-08-2016] https://www.technologyreview.com/s/600768/10-breakthrough-technologies-2016-robots-that-teach-each-other/  

[xv] "RoboBrain: The World's First Knowledge Engine For Robots".  MIT Technology Review, 12 de diciembre, 2014. url [a 31-08-2016] https://www.technologyreview.com/s/533471/robobrain-the-worlds-first-knowledge-engine-for-robots/  

 

¿Negocio digital o digitalización del negocio?

Monday, 24 October 2016 Maria Jose de la Calle Posted in iTTi Views

"¿Existe la industria tecnológica, o bien, como la tecnología ha impregnado las organizaciones, han de ser consideradas todas ellas industrias tecnológicas. ¿Tienen todas papeles similares en la sociedad y funcionan bajo las mismas regulaciones?"[i]

La tecnología siempre ha cambiado la forma de hacer las cosas, los comportamientos y hasta la forma de pensar, aunque todos estos cambios siempre se han producido lentamente. Primero llega la tecnología, y después, poco a poco, las personas y las sociedades se van adaptando y van redefiniendo el entorno en el que se mueven y las normas bajo las cuales actuar.

Normas nacidas como consecuencia de las llamadas Tecnologías de las Información (TI) o tecnologías del silicio son, entre otras, la "Ley Orgánica de Protección de Datos de Carácter Personal" (o LOPD), la "Ley de Infraestructuras Críticas" o el acuerdo "Privacy Shield" entre la Unión Europea y los EEUU para la transferencia de datos personales entre ambas zonas. 

Así las cosas, hace algún tiempo parece que teníamos claro que empresas como HP, Apple o IBM, las podíamos considerar como empresas pertenecientes al sector TI, ya que dichas empresas proporcionaban herramientas tanto de hardware como de software con las que apoyar otros tipos de negocio que podríamos calificar de tradicionales, desde el financiero al automovilístico, o desde un restaurante hasta la fabricación y distribución de ropa. 

Pero si bien ciertos servicios, como la venta o alquiler de un ordenador o de espacio de almacenamiento de datos, de un motor de base de datos o de una aplicación de gestión de clientes, se podían clasificar sin ninguna duda como perteneciente a TI, la aplicación "Apple-Pay" para la realización de pagos con el móvil ya tiene un componente cuyo fin no es el de procurar un software con un fin más o menos genérico, es proporcionar un servicio al usuario final que hasta ahora lo proporcionaba una entidad financiera o que se hacía a través de ella. 

Una de las primeras empresas considerada "tecnológica" pero que proporciona un servicio financiero es "Pay-Pal", pasarela de pago seguro, servicio necesario para el crecimiento del comercio electrónico. Este ejemplo es seguido actualmente por multitud de empresas, las llamadas "Fintech" -contracción de "finanzas" y "tec(h)nología"-, las cuales prestan servicios financieros a través de sus aplicaciones para móviles. Dichas empresas han propiciado una revolución en el mundo financiero, en general, y bancario en particular, con movimientos de compra de dichas empresas, e inversiones en plataformas y servicios "fintech".

Fuera del mundo financiero, un ejemplo relevante de empresa considerada "tecnológica" pero que empezó  como librería en-línea es Amazon[ii]. Su negocio no era vender "tecnología" sino libros, desde una muy buena plataforma tecnológica creada por su fundador, Jeff Bezos, que le facilitaba no sólo dicha actividad de manera más eficiente sino también un conocimiento de sus clientes, con lo que aprendía a venderles cualquier otra cosa. Al contrario que la evolución de Apple de pasar de vender productos de TI a otro tipo de productos -como música, a través de su plataforma iTunes-, Amazon empezó  por productos no tecnológicos y amplió  hace unos años a servicios web en la nube, con "Amazon Web Services".

Esta situación híbrida de llegar al usuario final desde una plataforma tecnológica para proporcionar un servicio llamémosle hasta ahora tradicional, ha levantado ampollas en algunos sectores que tradicionalmente proporcionaban tales servicios.

Un caso es el ya conocido "Uber"[iii]. Con un software que proporciona una plataforma de encuentro para compartir transporte entre particulares, ha puesto en pie de guerra a taxistas de medio mundo. Estos se ven "comido" su negocio por, en principio, casi cualquier ciudadano con un coche, pero sin la regulación a la que está sujeto el sector del taxi. Esto ha llevado a tener que revisar normativas y a adaptarlas a nuevos modelos y nuevas formas de actuar, y no sólo para Uber, sino en general para las plataformas colaborativas[iv], las cuales, apoyándose en la tecnología dan lugar a nuevos modelos de negocio, como viajes compartidos, alquiler de habitaciones o financiación por parte de muchas personas -crowfunding-.

Lo que parece estar claro es que las empresas que están obligando a que se realice el cambio son las que han nacido ya "tecnológicas". Por tanto la digitalización o transformación tecnológica de una organización es condición indispensable para su supervivencia. Esto no quiere decir que su negocio sea vender tecnología, quiere decir, que, a imagen de lo que ya hacen las nacidas "tech", tienen que cambiar sus procesos, su organización y su cultura para parecerse a ellas.

* * * 

Este artículo fué publicado originalmente por ComunicacionesHoy, nº 156, 18-10-2016. Referencia: Opinión, pg.39 – "¿Negocio digital o digitalización del negocio?" – María José de la Calle.  

--------------------------------------

[i] Anil Dash (19 de agosto, 2016). "There is no “technology industry”". Humane Tech. url [a 13-09-2016] https://medium.com/humane-tech/there-is-no-technology-industry-44774dfb3ed7#.lup3mjtft  

[ii] Aquí podemos leer una evolución de Amazón en sus primeros 20 años de vida. Erik Sherman (15 de julio, 2015). "20 years of Amazon's expansive evolution". CBS money watch. url [a 13-09-2016] http://www.cbsnews.com/news/20-years-of-amazons-expansive-evolution/  

[iii] G.Ginés (30 de marzo, 2016). "¿Qué tengo que hacer para ser conductor de Uber?" ABC. url [a 13-09-2016] http://www.abc.es/economia/abci-tengo-hacer-para-conductor-uber-201603301636_noticia.html 

[iv] Almudena Vigil (10 de marzo, 2016). "Nuevas leyes para nuevos negocios: el reto de la economía colaborativa". Expansión. url [a 13-09-2016] http://www.expansion.com/juridico/actualidad-tendencias/2016/03/10/56e17a0846163f0c1e8b4601.html 

 

¿Riesgos operacionales o estratégicos?

Sunday, 09 October 2016 Maria Jose de la Calle Posted in Corporate Governance of IT

"Estadounidenses y tecnológicas, as  son las mayores compañías por capitalización: Apple en primer lugar, Google en el segundo, Microsoft en el quinto, Amazon en el trigésimo cuarto". "Las 100 mayores empresas por capitalización bursátil en 2015". PwC.[i]

* *

La consultora Protiviti ha publicado recientemente los resultados de una encuesta global[ii], realizada por la Iniciativa de Gestión del Riesgo Empresarial de la Universidad Estatal de Nueva Carolina, dirigida a consejeros y ejecutivos, sobre el impacto que tendrían, para este año 2016, 27 cuestiones relativas al riesgo.

Dichas cuestiones estaban clasificadas en 3 categorías: macroeconómica, estratégica y operativa.

Las Ciberamenazas -operativas- (57% de las contestaciones), la gestión de identidades y de la privacidad, así como la seguridad de la información -operativas- (53%) y la ‘Pobre Digitalización’ -estratégica- (51%) resultaron estar entre los 10 principales riesgos que los encuestados consideraron como de “impacto significativo” potencial en su organización. 

Lo denominado abreviadamente ‘Pobre Digitalización’, la encuesta lo enunciaba como “la gran velocidad de innovaciones disruptivas y/o nuevas tecnologías en el sector puede superar la capacidad de nuestra organización de competir y/o gestionar el riesgo adecuadamente sin llevar a cabo cambios significativos en nuestro modelo de negocio”. Se trata, pues, del riesgo de no adaptarse  ágilmente a la revolución digital.

Relacionadas con la seguridad de las Tecnologías de la Información, había otras cuestiones:

- En la categoría estratégica, además de la ya citada 'Pobre Digitalización', se encuentra el impacto que pueden tener las redes sociales, aplicaciones móviles, y en general, aplicaciones basadas en Internet, en la marca, en las relaciones con los clientes y en cómo se hace el negocio. En realidad, esta se puede considerar como un caso concreto de la anterior, al concretar algunos  ìtems y riesgos asociados a ellos. 

- En la categoría operacional se pueden citar tres cuestiones: 

  •   Riesgo debido a la dependencia de empresas subcontratadas -outsourcing- o        acuerdos estratégicos con proveedores de tecnología.

  •   Insuficientes medios para la gestión de identidades y de la privacidad, así  como para la seguridad de la información y la protección de los sistemas.

  • Incapacidad para hacer uso del "big data" para apoyar los planes estratégicos.

Las preguntas parecen dirigidas más que a obtener una visión de los riesgos que más preocupan a consejeros y directivos de las empresas, en particular de los riesgos derivados del uso -o no uso- de las TI, a hacer salir a la luz la poca preparación de la empresa para abordar un cambio hacia una digitalización de la organización, desde las llamadas cuestiones estratágicas del riesgo, como la no adaptación a los rápidos cambios tecnológicos, pudiendo ser superados por la competencia; a los insuficientes medios para el uso de aplicaciones analíticas y explotación de datos, para el control de identidades, o para hacer frente a la amenaza de los ciberataques.

La encuesta también ofrece los diferentes puntos de vista de los consejeros y los distintos miembros del equipo directivo ("C-suite", CEO, CIO, CFO, etc.) tienen sobre el nivel de riesgo o impacto del mismo al que se enfrentan sus organizaciones.

Por una parte, según las respuestas ofrecidas por miembros de los consejos de administración, estos consideran el riesgo de "Pobre digitalización" como impacto bajo para sus organizaciones, mientras que el riesgo de ciberataques lo consideran como de "impacto significativo" potencial. ¿Será porque estos se dejan oír mucho mientras que las causas de un mal rendimiento o desaparición de una empresa no se relaciona con una pobre digitalización de la organización? ¿Será porque el ciberataque tiene una consecuencia directa en daños inmediatos y tangibles y de constatar inmediatamente, que de un fenómeno más dilatado en el tiempo o con muchas posibles causas difíciles de determinar? 

Las respuestas ofrecidas por los consejeros coinciden con las dadas por los CRO's -Chief Risk Officers-, los cuales, entre los 5 riesgos con mayor impacto, además del de las ciberamenazas incluyen los que tienen que ver con medios insuficientes para la gestión de identidades y de la privacidad, así  como para la seguridad de la información. 

Por otra parte, las respuestas dadas por CEO ́s o CIO ́s, entre los 5 riesgos con mayor impacto no se encontraban las ciberamenazas ni ningún otro riesgo operativo. En concreto, en las respuestas de los CEO's, entre los 5 primeros no hab a ningún riesgo relacionado con las TI. Entre las respuestas de los CIO's, sólo uno y es estrat gico, el ya mencionado abreviadamente como "Pobre digitalización", pero no est  ninguno relacionado con la ciberseguridad o con la seguridad de TI, en general.

¿Preocupa a los CEO's y CIO's más una falta de estrategia que una capacidad de llevar a cabo dicha estrategia? 

Del resultado de la encuesta se podría concluir que no hay una estrategia dirigida desde el órgano de gobierno de la organización para una digitalización de la misma.

Si faltan recursos para responder a los cambios tecnológicos, o para el uso de las TI como motor de la empresa, es porque falta un adecuado órgano de gobierno corporativo que entienda, en primer lugar, la digitalización como una necesidad de existencia de su organización y así  disponga los medios necesarios para llevarla a cabo; en segundo lugar, que la digitalización no es un tema tecnológico, es un asunto del negocio; y en tercer lugar, que la transformación digital lleva asociado un cambio en la manera de llevar el negocio, y por tanto, un cambio organizativo y de cultura de empresa.

Si la empresa dejara de existir, ya no habría que preocuparse de las ciberamenazas. 

Esto lo han entendido muy bien organizaciones como el Banco Santander, el cual recientemente a nombrado a Larry Summers como presidente del "Consejo Asesor Internacional" del Banco, una de cuyas misiones será la de acelerar la transformación tecnológica de la entidad. Dicho comité  contará  entre sus miembros con Majorie Scardino, consejera de Twitter y exconsejera delegada de Pearson; Franck D'Souza, consejero delegado de Cognizant y miembro del consejo de administración de General Electric; Charles Phillips, consejero delegado de Infor, exdirector general y miembro del consejo de Oracle; Mike Rhodin, director general de IBM Watson; George Kurt, consejero delegado y cofundador de CrowdStrike y James Whitehurst, director general y consejero delegado de Red Hat.[iii] 

Según el informe que encabeza el artículo, entre las 100 mayores compañías en el mundo por capitalización, las dos primeras son tecnológicas -Apple y Google- y la quinta -Microsoft- también. Las compañías tecnológicas han entrando en sectores, en principio alejados de las TI, como la automoción -Alphabet, concretamente, GoogleX, o Tesla-; o la energía solar -Tesla-; o el periodismo, -Amazon compró "The Washington Post"; o supermercados en línea -Amazón, que también ha abierto una librería física en Seattle llamada "Amazon Books"-.

Dichas compañías invaden sectores que nada tienen que ver con la tecnología, pero que aprovechan el conocimiento sobre la explotación de dicha tecnología como motor de negocio para dar ese salto.

Por tanto, el primer riesgo asociado a la tecnología es precisamente el no utilizar la tecnología como impulsor del desarrollo del negocio, que se traduce en el riesgo de desaparecer.

Teniendo clara dicha necesidad del uso de las TI, es el órgano de gobierno el que debe, por una parte, dictar las normas de como usar las TI, y por otro, supervisar que dichas normas se cumplan. Esto no es más que Gobierno Corporativo, particularizado para las TI, o GCTI.

Las ciberamenazas es claro que son una realidad como diariamente nos lo recuerdan distintos medios. Pero enfrentarse a la ciberseguridad o la seguridad de TI en general, dado que  éstas ya están -o deberían- embebidas en los procesos de la empresa, debe hacerse desde una administración de los riesgos.

Las TI suponen un elemento nuevo dentro del negocio y forman ya, explícita o implícitamente, parte indisoluble de él. Los riesgos de TI, por tanto, deben formar parte de la política general de riesgos de la empresa. Dentro de las normas que define el órgano de gobierno estaría fijar el equilibrio idóneo para la organización entre rentabilidad y seguridad. 

"El GCTI es el conjunto de mecanismos de alto nivel (estructuras y relaciones, normas y procesos de toma de decisiones) dirigidos a determinar el porqu , el para qu  y el cómo de la aplicación y uso de las TI; y a evitar oportunamente, y superar resilientemente, las consecuencias no deseadas del referido uso."

Del "Manifiesto de iTTi sobre GCTI"[iv]

Los CXO's son los que deben ejecutar la estrategia del órgano de gobierno. Concretamente, deben tomar las medidas oportunas para evitar las consecuencias no deseadas del uso de las TI, dentro del equilibrio fijado por dicho órgano entre rentabilidad y seguridad, y las normas dictadas para este fin.

Pero antes deben estar definidas dichas normas y para ello tiene que haber un adecuado GCTI. 

* * *

Este artículo fué publicado originalmente por la revista mejicana Magazcitum el 22/09/2016. Ref: Magazcitum/Opinión, año 7, nº2, 2016. "¿Riesgos operacionales o estratégicos?" - María José de la Calle.  

------------------------------------

[i] http://www.pwc.es/es/publicaciones/auditoria/assets/global-top-100-march-2015.pdf 

[ii] NC State and protiviti (2016). Executive Perspectives on Top Risks for 2016. http://www.protiviti.com/en-US/Documents/Surveys/NC-State-Protiviti-Survey-Top-Risks-2016.pdf

[iii] http://www.elconfidencial.com/empresas/2016-03-18/botin-encarga-elfuturo-digital-del-santander-a-larry-summers-mano-derecha-de-clinton_1170732/  

[iv] http://es.slideshare.net/iTTi_news/el-manifiesto-itti 

 

Cámaras digitales: ¿La seguridad insegura?

Monday, 26 September 2016 Maria Jose de la Calle Posted in iTTi Views

Para dar una idea sobre algunas prestaciones de las modernas cámaras de vigilancia, nada como acudir a los anuncios publicitarios, como los mostrados a continuación, los cuales, al mismo tiempo, van a servir de excusa para introducir el asunto de este texto, reflejado en su título: 

"Una gran variedad de lentes de rendimiento con poca luz. Esta amplia gama de lentes de alta resoluci n está especialmente dise ada para cámaras con sensor de gran tama o (de 1/1,8“, 1/2“ y 2/3“). Gracias a la alta calidad de imagen, con una resolución de hasta 4K, cada lente capta todos los detalles y ofrece imágenes nítidas incluso en condiciones de poca luz."

"Las cámaras de control de movimiento 'marca de la cámara' ofrecen un control total de lo que usted elija ver y el nivel de zoom que use para identificar objetos a grandes distancias sin importar el movimiento."

"Permita a su personal enviar vídeo en directo desde sus smartphones, dondequiera que estén permitiendo a su personal enviar vídeo en vivo desde la cámara del dispositivo directamente a su solución 'nombre', la app 'nombre' Mobile proporciona al operador en el centro de control, inmediato conocimiento de los incidentes independientemente de donde ocurran."

"Controla tu hogar/negocio desde tu smartphone".

* *

Digitalización de las cámaras

Las cámaras tanto fotográficas como de vídeo han experimentado una gran evolución, tanto de la óptica como del silicio. Las cámaras cada vez disponen de mayor resolución a menor precio, han pasado de ser analógicas a digitales, han disminuido en tamaño y, para terminar, se les ha dotado de una dirección IP.

No hay más que echar un vistazo a los anuncios con los que se abre este artículo, en los que distintos fabricantes exponen las bondades de sus productos. Mientras que el primero se centra en las propiedades o características ópticas, los dos últimos ya están haciendo una referencia clara a sus propiedades digitales y su conexión a Internet, por medio de la cual intercambiar información.

Debido a esta evolución, las cámaras están por todas partes. Vivimos rodeados de ellas, desde lo más cercano en nuestros ordenadores y otros dispositivos que llevamos encima -teléfonos o elementos para llevar puestos (wearables)-, hasta lo más lejano, como las cámaras de los satélites, pasando por las colocadas en las casas para vigilar la presencia de posibles intrusos; las que custodian -en el exterior o desde dentro- edificios públicos y empresas; las colocadas en las carreteras -cámaras de tráfico-; e, incluso, las nos observan desde un dron.

Las cámaras de vigilancia son elementos que están con nosotros desde hace ya más de una década, y es algo a lo que nos hemos acostumbrado. Pero si al principio sólo servían para vigilar el acceso a ciertos sitios (bancos, museos, hospitales, etc) ahora sería posible hacer un seguimiento de cualquiera que, en una gran ciudad, se desplazase andando o en un medio de transporte, público o privado: "Se encuentra en una zona vídeo-vigilada, por su propia seguridad", nos recuerdan en las estaciones del suburbano.

La revista "Dealer world" publicaba el pasado 14 de junio la noticia[i] de la presentación que tendría lugar, del 21 al 23 de dicho mes, en la feria IFSEC, de una solución de seguridad en la que cooperaban varias empresas: Canon, empresa de cámaras; Intelico, empresa de software que ofrece una aplicación de reconocimiento de matrículas de automóviles; Ipsotek, que aporta un software para el análisis de vídeo y reconocimiento facial; y por último, Digital Barriers que proporciona tecnología inalámbrica. Es decir, la digitalización -entendida como la aplicación de cuanto gira en torno a las Tecnologías de la Información-, ha llevado a dotar de unas funciones muy potentes a los sistemas de vigilancia.

Las cámaras, a la vista del segundo anuncio mostrado al principio del artículo, se pueden manejar a distancia para dirigirlas a un punto determinado, seguir un objetivo en movimiento, o aumentar o disminuir la zona a enfocar. Las cámaras recogen imágenes que son enviadas por medio de tecnología de comunicaciones -cableada o inalámbrica- a un ordenador, dónde son tratadas por un determinado software.

Y las cámaras no siempre están fijas. Por ejemplo las de tráfico colocadas en vehículos policiales. O las que incorporan los tel fonos móviles, que en alguna situación también pueden servir para recoger imágenes y enviarlas - siguiendo el mensaje recogido en el tercer anuncio de los mostrados arriba-.

Más novedoso, aún, resulta el caso de los drones dotados de sus propias cámara con las que sobrevuelan un área determinada. La empresa israelí, Airobotics[ii] acaba de presentar una unidad completamente autónoma que avisa cuando su cámara detecta que algo no va bien y que vuelve a la base cuando se le acaban las baterías, donde le son sustituidas, también de forma automatizada, por otras nuevas (cargadas). Sólo falta acompañar estos nuevos dispositivos y funcionalidades de la regulación correspondiente.

Los centros comerciales nos vigilan

Las imágenes digitalizadas pueden ser tratadas y utilizadas para muchos fines: controlar el acceso a áreas restringidas; investigar delitos; realizar, mediante el fotografiado del planeta, los pronósticos meteorológicos o detectar/predecir la formación de fenómenos naturales destructivos, cartografiar el planeta, como lleva haciendo la empresa Google en los últimos años, cuyos algoritmos de tratamiento de imágenes han sido actualizados recientemente [iii]; o, por qué  no, saber qué  pasos damos en un centro comercial, dónde nos paramos, y, según nuestros gustos, presentarnos ofertas personalizadas. 

Hoy, gracias a los sistemas de reconocimiento facial, es factible la utilización de cámaras de videovigilancia en los centros comerciales para seguimiento del movimiento de los clientes. Ello, unido al seguimiento de la ubicación de los dispositivos móviles que aquellos llevan, a la recogida de la información que generan sus conexiones a redes WiFi o BlueTooth, a la información sobre lo que han comprado, cuánto se han gastado y cómo suelen comprar; permite obtener perfiles bastante precisos de cada cliente.

Según señala el investigador en ciberseguridad y directivo español Chema Alonso, en un artículo[iv] de su blog "Un informático en el lado del mal", "seguir un dispositivo móvil es tan sencillo como poner puntos de acceso WiFi que vayan reconociendo las direcciones MAC[v] de las peticiones de búsqueda de redes WiFi, pero también vale con sniffers[vi] que escuchen el tráfico de red para ver dónde están siendo emitidos los paquetes." 

Continúa el artículo de Alonso explicando que la información capturada de los paquetes que componen el tráfico de una red es especialmente significativa, ya que un terminal emite dichos paquetes en busca de las redes que conoce, adjuntando a cada uno de ellos el nombre de las mismas. Así, si una persona guarda en el historial de su dispositivo una lista de varias de estas redes (la del trabajo, la de casa, la de un amigo o la de un familiar), estará enviando en esos mensajes todos esos datos, permitiendo que el centro comercial los pueda asociar a su dirección MAC, su tipo de dispositivo móvil, junto con el resto de información ya obtenida por otros medios, como su propia imagen obtenida con las cámaras de vigilancia.

¿Seguridad o inseguridad? : LOPD

Se presupone que las cámaras de vigilancia tienen por objeto la seguridad. ¿Pero, la seguridad de quién o de qué?

Como ya se ha apuntado, hoy es posible recoger información de cualquier ciudadano, mediante la captación y posterior reconocimiento de las imágenes obtenidas: información de los sitios que se han visitado, información de la actividad que se ha realizado, etc 

Á este respecto, la Agencia Española de Protección de Datos (AEPD) recoge en su "Guía de Videovigilancia"[vii] "la videovigilancia permite la captación, y en su caso la grabación, de información personal en forma de imágenes. Cuando su uso afecta a personas identificadas o identificables esta información constituye un dato de carácter personal a efectos de la aplicación de la Ley Orgánica 15/1999, de 13 de diciembre de protección de los datos de carácter personal (LOPD)." En el mismo documento puede leerse "es evidente, y así lo ha subrayado en distintas sentencias el Tribunal Constitucional, que la videovigilancia es un medio particularmente invasivo y por ello resulta necesaria tanto la concurrencia de condiciones que legitimen los tratamientos como la definición de los principios y garantías que deben aplicarse."

Consecuentemente, la manipulación inadecuada de imágenes puede atentar contra la intimidad de las personas, requiriéndose que la recogida, uso y tratamiento de aquellas deban estar sujetos a la ley.

En su artículo 6.1, la LOPD dispone que “el tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa”. Este consentimiento deberá ser, conforme a lo dispuesto en el artículo 3 h) “libre, inequívoco, específico e informado,"[viii] . 

Esto merece alguna reflexión:

1- Libre: sí, somos libres de ir a un sitio u otro; de entrar en un centro comercial o no; de ir por una calle determinada; de coger un medio de transporte u otro; etc. Sin embargo, de lo que no somos libres es de impedir que las múltiples cámaras que hay en cualquiera de esos lugares nos grabe. Por tanto el consentimiento se hace tácito al pasar por la zona de grabación de la cámara.

2- Inequívoco y específico: no puede ser "inequívoco" ni "específico" un consentimiento no solicitado, que, como ya se ha dicho en el punto 1, se supone tácito.

3- Informado: no puede ser "informado" ya que lo único de lo que se informa -si se hace- es de que vamos a ser grabados. Pero ¿para qué? ¿Cómo se van a utilizar esas imágenes? ¿Sabemos quién las va a utilizar?

La guía publicada por la AEPD ha pretendido venir a despejar estas, y otras, dudas aclarando "cuándo deben aplicarse las normas sobre protección de datos a los tratamientos de imágenes" y con el fin "de ofrecer indicaciones y criterios prácticos que permitan el adecuado cumplimiento de la legislación vigente en todos los casos". 

La inseguridad de tener IP

Hoy las cámaras están conectadas a servidores de Internet lo que les permite comunicarse con otros ordenadores, o dispositivo en general, a los que envían los datos (imágenes) recogidos y desde los que pueden recibir instrucciones. Las imágenes recibidas, a su vez, se guardan y/o se tratan.

Todo esto requiere reparar en el hecho de que personas no autorizadas puedan hacerse con los datos (imágenes) en la propia cámara, mediante los datos en tránsito, o, finalmente, en el propio ordenador, donde aquellos pueden estar albergados, según ley, por un período máximo de un mes.

El que las cámaras se puedan manipular a distancia es un hecho, que se ve favorecido por estar dotadas de una dirección IP, lo cual sirve a su vez de reclamo comercial, como señalaba el cuarto de los anuncios reproducidos al principio de este artículo. Pero se trata de un arma de doble filo: de igual modo que el propietario legítimo de la cámara, y sus imágenes, puede manejarla a distancia, incluso con su dispositivo móvil, de la misma manera personas no autorizadas podrán intentar hacerlo.

En el enlace de la novena cita[ix] mostrada al final de este artículo se muestra paso a paso -a efectos meramente educativos- cómo hackear una CCTV. Se sugiere incluso que si el administrador ha cambiado el usuario y la contraseña por defecto, se podrá utilizar herramientas alternativas para conseguir el acceso.

La finalidad de una acción de manipulación indebida de una cámara puede ser la propia cámara, con el fin de hacer que no funcione correctamente, o bien, la red de comunicaciones de la que la cámara forma parte de manera que ésta sirva de puerta de entrada a la red de la empresa. Una vez conseguido el acceso irregular a esta red, un posible atacante estaría en disposición de distribuir código dañino, robar o corromper datos albergados en algún servidor corporativo, etc.

Una situación como la descrita quedaba reflejada en el artículo[x] que el pasado 27 de junio publicaba la empresa SucuriSecurity en su blog. En el mismo se describía cómo se había producido un ataque de denegación distribuida de servicio (DDoS). Mediante una botnet formada por veinticinco mil cámaras de circuito cerrado de televisión repartidas por varios países, se inundaron las páginas web objetivo con hasta 50.000 peticiones HTTP por segundo, lo que produjo el colapso y la inutilización de dichas páginas.

La seguridad de las cámaras no es un asunto baladí.

* *

Para terminar, unas palabras del sociólogo belga Armand Mattelart en la presentación de su libro "La sociedad vigilada", que tuvo lugar el 4 de mayo del 2009 cátedra UNESCO de Comunicación de la Universidad de Málaga:

Antes, el ser fichado era un signo de la delincuencia y hoy no estar fichado es sospechoso, uno esta fichado por la salud, la educación, ... todos los sectores de la vida."[xi] 

* * * 

Este artículo fué publicado originalmente por @PuntoSeguridad.com/"Cuadernos de Seguridad", septiembre,2016, nº 314, pg.60, Ciberseguridad – "Cámaras digitales: ¿La seguridad insegura?" – María José de la Calle.

-------------------------------------------

[i] "Digital Barriers, Ipsotek, Intelico y Canon presentan soluciones verticales de seguridad", 14 Jun, 2016. Dealer World. url [a 5-07-2016] http://www.dealerworld.es/seguridad/digital-barriers-ipsotek-intelico-y-canon-presentan-soluciones-verticales-de-seguridad   

[ii] "Una fabricante israelí presenta los primeros drones 100% autónomos", 21 Jun, 2016, ElEconomista.es. url [a 5-07- 2016] http://www.eleconomista.es/tecnologia/noticias/7653034/06/16/-Una-fabricante-israeli-presenta-los-primeros-drones-100-autonomos.html 

[iii] "Keeping Earth up to date and looking great", 27 Jun, 2016. Google Maps. url [a 5-07-2016] https://maps.googleblog.com/2016/06/keeping-earth-up-to-date-and-looking.html 

[iv] Chema Alonso, 21 Sept, 2014. "Cómo te espía tu centro comercial por WiFi y BlueTooth". Blog "Un informático en el lado del mal". url [a 5-07-2016] http://www.elladodelmal.com/2014/09/como-te-espia-tu-centro-comercial-por.html 

[v] url [a 5-07-2016] https://es.wikipedia.org/wiki/Direccion_MAC  

[vi] url [a 5-07-2016] https://es.wikipedia.org/wiki/Deteccion_de_sniffer 

[vii] url [a 5-07-2016] https://www.agpd.es/portalwebAGPD/canaldocumentacion/publicaciones/common/pdfs/guia_videovigilancia.pdf 

[viii] url [a 5-07-2016] https://www.agpd.es/portalwebAGPD/canaldocumentacion/informes_juridicos/cesion_datos/common/pdfs/2009-0624_Publicaci-oo-n-en-revista-de-foto-ganadora-de-concurso-con-im-aa-genes-de-personas.-No-necesidad-de-consentimiento.pdf 

[ix] Utkarsh Wadhwa. "How to hack Private CCTV Cameras". Mighty Shouts. url [a 5-07-2016] http://www.mightyshouts.com/cctv-cameras/ 

[x] Daniel Cid, 27 Jun, 2016. "Large CCTV Botnet Leveraged in DDoS Attacks". Sucuri Blog. url [a 5-07-2016] https://blog.sucuri.net/2016/06/large-cctv-botnet-leveraged-ddos-attacks.html 

[xi] A.J.L pez, 5 May, 2009. "La Humanidad accederá a la tecnología porque hay que tenerla vigilada". Sur.es. url [a 5-07- 2016] http://www.diariosur.es/20090505/sociedad/humanidad-accedera-tecnologia-porque-20090505.html 

 

El Reglamento General de Protección de Datos y la IA

Thursday, 15 September 2016 Maria Jose de la Calle Posted in iTTi Views

"Todo interesado tendrá derecho a no ser objeto de una decisión basada  únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos en él o le afecte significativamente de modo similar". Artículo 22, párrafo 1 del Reglamento (UE) 2016/679[i].

* * 

En el pasado mes de abril el Consejo de la Unión Europea y el Parlamento Europeo sancionaron el nuevo Reglamento General sobre Protección de Datos -Reglamento (UE) 2016/679 de 27/04/2016- que entró en vigor el 24 de mayo y que será de aplicación obligatoria en todos los países de la Unión a partir del 25 de mayo de 2018[ii]. 

Según una encuesta del Eurobarómetro[iii] realizada a principios del año 2015, el 81% de los europeos -el 85% de los españoles- dicen estar preocupados por no tener un control completo sobre la información facilitada a través de Internet, y un 69% -el 64% de los españoles-, por el posible uso que las empresas puedan hacer de los datos cedidos. 

Uno de los objetivos del Reglamento es el de permitir a los ciudadanos de la UE recobrar el control de sus datos personales. 

Para ello las normas recogidas en dicho Reglamento vienen a reforzar los derechos ya establecidos en la anterior directiva de 1995, con el derecho a la portabilidad de datos (artículo 20); aclaración del "derecho al olvido" (artículo 17) o el derecho a saber si los datos en poder de organismos o empresas han sido hackeados (artículo 34); además de facilitar el acceso a los datos propios en poder de terceros y a la forma en que éstos los traten. 

Concretamente, en el artículo 15 ("Derecho de acceso del interesado"), párrafo 1, apartado h, se establece que "[e]l interesado tendrá derecho a obtener del responsable del tratamiento confirmación de si se están tratando o no datos personales que le conciernen y, en tal caso, derecho de acceso a los datos personales y a ... la existencia de decisiones automatizadas, incluida la elaboración de perfiles, a que se refiere el artículo 22, ", artículo con el arrancaban estas reflexiones. 

Además, en el artículo 4 ("Definiciones"), apartado 4, se define la "elaboración de perfiles" como "toda forma de tratamiento automatizado de datos personales consistente en utilizar datos personales para evaluar determinados aspectos personales de una persona física, en particular para analizar o predecir aspectos relativos al rendimiento profesional, situación económica, salud, preferencias personales, intereses, fiabilidad, comportamiento, ubicación o movimientos de dicha persona física;". 

Hasta ahora, un tratamiento automatizado era completamente predecible en su comportamiento. No había más que seguir el código (programa informático) escrito al efecto y los datos de entrada que lo alimentaban, para conocer cómo trataba los referidos datos y cuál sería el resultado que se obtendría. Una máquina se programa indicándole instrucción por instrucción lo que debe realizar. A partir de ahí, salvo errores de funcionamiento, ella hará, únicamente, aquello para lo que se la ha programado. Más que decirle "qué debe hacer", se le dan una serie de instrucciones sobre "cómo debe hacerlo".

Consecuentemente, informar de cómo se ha llegado a un perfil determinado a partir de ciertos datos personales, y de las consecuencias previstas para el interesado, no parecen aspectos que impliquen una excesiva complejidad. 

Sin embargo, la llegada de la Inteligencia Artificial (IA) hace que esto esto comience a no resultar tan evidente (al menos de momento)[iv].

La IA podría definirse como un conjunto de algoritmos que, en mayor o menor medida, realizan sus funciones sobre la base de un reconocimiento del mundo natural y de un aprendizaje derivado de su interacción con aquel.

Dependiendo de los datos con los que se alimente a un sistema de IA y de su entrenamiento con humanos, los cuales evalúan su forma de actuar -evaluación que recoge la máquina como otro dato de aprendizaje-, dicho sistema será capaz de conducir un automóvil o un avión; de realizar una operación financiera, o un diagnóstico médico y sugerir el pertinente tratamiento; de recomendar la contratación de una persona para realizar una actividad dentro de la empresa, etc. 

Pero a diferencia de lo que ocurre en la programación tradicional, la programación de un sistema de IA busca decir QUÉ debe hacer. El CÓMO lo haga y sus resultados dependerán, en primer lugar, del entrenamiento que se le haya proporcionado; esto es, de los datos con los que que se le haya alimentado y de los expertos que lo hayan dirigido. En segundo lugar, cuando en un momento dado se le solicite llevar a cabo una determinada acción, el cómo la realice dependerá de los datos que le lleguen. Se trata de un modo de funcionamiento no determinista.

Esto supone que el hecho de poder informar de la lógica de una elaboración de perfil, si se ha hecho con IA, no siempre resultará posible (por ahora). Ello, aparentemente, puede resultar un poco raro ya que la IA no deja de ser una herramienta hecha por humanos; aunque estos no siempre la entiendan. Todo ello supone un reto para los investigadores en Inteligencia Artificial, ya que "los algoritmos no sólo tienen que ser eficientes, tienen que ser transparentes y justos"[v]. 

"Los algoritmos pueden hacer sistemas más inteligentes, sin embargo, sin añadir un poco de sentido común a la ecuación, pueden producir algunos resultados extraños." Stephen F. DeAngelis, Presidente and CEO de Enterra Solutions.[vi]

* * *

Este artículo fué publicado originalmente por ComunicacionesHoy, nº 155, 24-08-2016. Referencia: Regulación/ Opinión, pg.13 – "El Reglamento General de Protección de Datos y la IA" – María José de la Calle.  

----------------------------------------

[i] A lo largo del texto aparecen citados distintos artículos del Reglamento General sobre Protección de Datos, que se puede consultar en url [a 16-07-2016]   http://eur-lex.europa.eu/legal-content/EN/TXT/?qid=1473958690793&uri=CELEX:32016R0679 

[ii] "Reform of EU data protection rules". European Comission/ Justice. url [a 16-07-2016] http://ec.europa.eu/justice/data-protection/reform/index_en.htm  

[iii] Eurobarómetro, Comisión Europea. Mar 2015. url [a 16-07-2016] http://ec.europa.eu/public_opinion/archives/ebs/ebs_431_fact_es_es.pdf 

[iv] Cade Metz, 11 Jul, 2016, "Artificial Intelligence Is Setting Up the Internet for a Huge Clash With Europe". Wired. url [a 16-07-2016] http://www.wired.com/2016/07/artificial-intelligence-setting-internet-huge-clash-europe/?mbid=nl_71116_p3 

[v] "algorithms are not merely efficient, but transparent and fair." Bryce Goodman, Seth Flaxman, 28 Jun, 2016. "EU regulations on algorithmic decision-making and a “right to explanation”". url [a 16-07-2016] http://arxiv.org/pdf/1606.08813v1.pdf 

[vi] "Algorithms can make systems smarter, but without adding a little common sense into the equation they can still produce some pretty bizarre results." Stephen F. Deangelis, 2014. "Artificial Intelligence: How Algorithms Make Systems Smart". Wired. url [a 16-07-2016] http://www.wired.com/insights/2014/09/artificial-intelligence-algorithms-2/ 

 

Black swans with a timer

Saturday, 03 September 2016 Manolo Palao Posted in iTTi Views

Like some bombs, some black swans[i] have a timer. 

The difference is that, in the case of bombs, the timer is meant to cause the explosion; while, in that of these black swans, the timer is only a predictive warning. Somehow, these timers are similar to the rings or other devices that bird-watchers and ornithologists attach to the animals for study or protection purposes. 

I am referring to the subset of black swans that the ‘Doomsday Clock’ of the Bulletin of the Atomic Scientists has been counting down to zero since 1947[ii]. 

The Bulletin’s black swans specifically are the “catastrophe from nuclear weapons, climate change, and new technologies emerging in other domains” (these latter, broadly specified[iii]). 

At the date these lines are written [January the 23th, 2015], the ‘Doomsday Clock’, that is revised[iv] every year, has been moved forward to 3 minutes to midnight (Doomsday)[v]. 

The Bulletin makes 5 recommendations. All of them related to the nuclear or climate issues, but the fifth and last: “Create institutions specifically assigned to explore and address potentially catastrophic misuses of new technologies”. 

I have a dream. I have a dream that all emerging technologies in a near future will come with labels equivalent to those mandatory for kids toys. 

Source: http://www.law.cornell.edu/cfr/text/16/1500.19#b_1

The ‘Doomsday Clock’ is not the only 2015 ominous clock. 

Next June the 30th [2015], atomic clocks will —to express it poetically— tick one more second, added to the 86.400 seconds of every normal day, in order to re-sync  —with that ‘leap second’— the year’s duration with the decreasing rotation speed of the Earth[vi]. 

Many experts consider that minute (excuse the pun) action very hazardous. When a similar ‘leap second’ was added in 2012, several major Web portals were affected; the extra second is known to interrupt GPS receivers, potentially affecting air navigation and other services; and concerns have been raised about the possibility that it might de-synchronize robotized manufacturing plants and many other systems (military, financial, etc.) that work in unison by independently polling Network Time Servers (NTSs)[vii].

At a quite different time-scale, you may recall that similar or doomier forecasts took place some 15 years ago, on occasion of the millennium turnover (arguably dated) on January 1st, 2000. Fortunately the announced catastrophic consequences of the Y2K bug did not take place and —what is even more fortunate— the previous pessimistic announcements triggered an important wave of information systems revamping. This proved that not all date-related fears will result in damages and losses.    

* * *

[i] Taleb, N. N. (2007). The Black Swan. Random House. https://en.wikipedia.org/wiki/The_Black_Swan_%28Taleb_book%29   Consultado el 20150123.  

[ii] http://thebulletin.org/three-minutes-and-counting 793801/19/2015 - 17:02. Retrieved 20150123.

[iii] In that issue of the Bulletin, the “new technologies” are: Ebola [sic], Hacking and Artificial Intelligence. 

[iv] “The decision to move (or to leave in place) the minute hand of the Doomsday Clock is made every year by the Bulletin's Science and Security Board in consultation with its Board of Sponsors, which includes 17 Nobel laureates”. Ibid. The Clock has been reset only 18 times. In 1991 it read 17 minutes. Source: Ansede, M. (JAN 22, 2015). “17 premios Nobel adelantan dos minutos el Reloj del Apocalipsis”. El País. http://elpais.com/elpais/2015/01/22/ciencia/1421953015_359918.html. Retrieved 20150123. 

[v] In 2014 the countdown was set at 5 minutes. 

[vi] http://www.iers.org/SharedDocs/News/EN/BulletinC.html  Retrieved 20150123. 

[vii] «A "leap second" needs to be added in 2015 to make sure the time on atomic clocks stays in sync with Earth's rotational time, but some Internet companies are dreading the day … The solution that the International Earth Rotation Service (IERS) came up with is to add a second every now and then to keep the standard atomic time in sync with Earth's time …The extra second has been known to interrupt GPS receivers, which could be a problem for pilots. …Reddit, LinkedIn, Gizmodo and FourSquare will likely remember the lesson they learned three years ago…». Kelly Dickerson, K. (January 09, 2015). “2015's 'Leap Second' Could Scramble Computers” LiveScience www.livescience.com/49370-leap-second-added-2015.html  Retrieved 20150123.  

 

Cisnes negros con temporizador

Saturday, 03 September 2016 Manolo Palao Posted in iTTi Views

Algunos cisnes negros[i], como algunas bombas tienen temporizador. La diferencia es que, en el caso de las bombas, el temporizador está para provocar la explosión; mientras que, en el de estos cisnes negros es sólo un aviso predictivo. Estos temporizadores, de alguna manera son como los anillos y otros dispositivos que los aficionados a los pájaros y los ornitólogos ponen a los animales, para el estudio o protección de éstos. 

Me refiero al subconjunto de cisnes negros cuya ‘cuenta atrás’ viene llevando, desde 1947,   el ‘Reloj del Apocalipsis’, del Bulletin of the Atomic Scientists[ii]. 

Los cisnes negros del Boletín son específicamente “la catástrofe debida a armas nucleares, el cambio climático, y las nuevas tecnologías que emergen en otros dominios” (estas últimas, ampliamente especificadas[iii]). 

Cuando escribo estas líneas [23 de enero de 2015], el ‘Reloj del Apocalipsis’, que se revisa[iv] anualmente, se ha avanzado a 3 minutos antes de la medianoche (Apocalipsis)[v].

El Boletín ofrece 5 recomendaciones, todas ellas relativas a los temas nuclear o climático, salvo la quinta y última: “Créense instituciones a las que se les asigne específicamente la exploración y abordaje de los usos inadecuados, potencialmente catastróficos, de las nuevas tecnologías”. 

He tenido un sueño. He soñado que, en un futuro próximo, las nuevas tecnologías vendrán con etiquetas equivalentes a las que son obligatorias para los juguetes de los niños.

---------------------------------------------------------------------------------------------------

ATENCIÓN: 

RIESGO DE ASFIXIA -- Los niños de menos de 8 años pueden ahogarse o asfixiarse con globos sin hinchar o rotos. Se requiere supervisión por adulto.

Mantener los globos sin inflar fuera del alcance de niños. Deshacerse de inmediato de globos rotos.  [vi]

---------------------------------------------------------------------------------------------------

El ‘Reloj del Apocalipsis’ no es el único reloj ominoso en 2015.

Los relojes atómicos, el próximo 30 de junio [de 2015] —por decirlo poéticamente— harán tictac un segundo más, añadido a los 86.400 de cada día normal, a fin de resincronizar, mediante ese ‘segundo «bisiesto[vii]»’, la duración del año con la velocidad decreciente de rotación de la Tierra[viii]. 

Muchos expertos consideran muy arriesgada esa mínima acción. Cuando en 2012 se añadió otro ‘segundo «bisiesto»’ similar, varios portales de la Red se vieron afectados; se sabe que ese segundo extra interrumpe los receptores GPS, afectando a la navegación aérea y otros servicios; y han surgido preocupaciones sobre la posibilidad de que pudiera desincronizar fábricas robotizadas y muchos otros sistemas (militares, financieros, etc.) que trabajan al unísono, consultando independientemente Servidores de Tiempo de la Red  (NTSs, por sus siglas en inglés)[ix].

Puede que Ud. recuerde que previsiones igual o más pesimistas —a una escala temporal muy distinta— se hicieron hace unos 15 años, con motivo del cambio de milenio, (fechado de forma discutible) el 1 de enero de 2000. Afortunadamente, las consecuencias catastróficas anunciadas del Y2K bug no sucedieron y —lo que es aún más afortunado— los anuncios pesimistas previos desencadenaron una ola de modernizaciones de los sistemas de información. 

Lo que probó que no todo miedo relacionado con fechas se ha de traducir en daños y pérdidas.    

* * *

[i] Taleb, N. N. (2007). The Black Swan. Random House. https://en.wikipedia.org/wiki/The_Black_Swan_%28Taleb_book%29  Consultado el 20150123.

[ii] http://thebulletin.org/three-minutes-and-counting 793801/19/2015 - 17:02. Consultado el 20150123.  Doomsday = Juicio Final / Apocalipsis. 

[iii] Las “nuevas tecnologías”, en esa edición del Boletín, son: Ébola [sic], Hacking e Inteligencia Artificial. 

[iv]  “La decisión de avanzar (o mantener) el minutero del Reloj del Apocalipsis la adopta anualmente la Junta de Ciencia y Seguridad del Boletín, que consulta a su Junta de Patrocinadores, que incluye 17 Premios Nobel”. Íbid. La hora del Rejoj solo se ha cambiado 18 veces. En 1991, marcaba 17 minutos. Fuente: Ansede, M. (22 ENE 2015). “17 premios Nobel adelantan dos minutos el Reloj del Apocalipsis”. El País.  http://elpais.com/elpais/2015/01/22/ciencia/1421953015_359918.html. Consultado el 20150123. 

[v] En 2014, la cuenta atrás se puso a 5 minutos. 

[vi] Fuente: http://www.law.cornell.edu/cfr/text/16/1500.19#b_1 

[vii] La palabra ‘bisiesto’ [‘leap’ (‘salto’), en inglés] se aplica en castellano a ‘años’ y ‘días’; yo la aplico aquí a ‘segundos’. “Año bisiesto, adjetivo que deriva del latín bis sextus dies ante calendas martii, (seis días antes del mes de marzo), que correspondía a un día extra intercalado entre el 23 y el 24 de febrero por Julio César”.    http://es.wikipedia.org/wiki/A%C3%B1o_bisiesto Consultado el 20150123.

[viii]  http://www.iers.org/SharedDocs/News/EN/BulletinC.html Consultado el 20150123.

[ix] “… la Tierra completa una rotación … en 86.400 segundos … del día. Pero, de tanto en tanto, esos 86.400 segundos pueden convertirse en 86.401 ... corrección que aplica el Servicio Internacional de Rotación y Sistemas de Referencia Terrestre (IERS) …  El próximo 30 de junio, se añadirá el segundo extra número 26 desde su implantación. Y el riesgo que se corre es que algunos ordenadores y programas den problemas. No sería la primera vez. En 2012 … este segundo extra se añadió al UTC. Inmediatamente, sistemas operativos como Linux, basados en Unix, comenzaron a fallar. Se produjeron retrasos de vuelos en Australia … [y] páginas Reddit o Mozilla sufrieron problemas técnicos”. 

Sucasas, A. L. (22 ENE 2015).  “Un segundo de más en 2015 amenaza Internet”. El País. http://elpais.com/elpais/2015/01/21/ciencia/1421834400_569791.html  Consultado el 20150123.

«A "leap second" needs to be added in 2015 to make sure the time on atomic clocks stays in sync with Earth's rotational time, but some Internet companies are dreading the day … The solution that the International Earth Rotation Service (IERS) came up with is to add a second every now and then to keep the standard atomic time in sync with Earth's time … The extra second has been known to interrupt GPS receivers, which could be a problem for pilots. …Reddit, LinkedIn, Gizmodo and FourSquare will likely remember the lesson they learned three years ago…». Kelly Dickerson, K. (January 09, 2015). “2015's 'Leap Second' Could Scramble Computers”   LiveScience  www.livescience.com/49370-leap-second-added-2015.html  Retrieved 20150123.  

 

Publícitis

To find out more about the cookies we use and how to delete them, see our privacy policy.

I accept cookies from this site.
EU Cookie Directive plugin by www.channeldigital.co.uk