Select Page
Ciberataques a centrales eléctricas… o Godzilla vs King Kong

Ciberataques a centrales eléctricas… o Godzilla vs King Kong

Recientemente, una impactante noticia sobre ciberataques a redes eléctricas recorrió portales en todo el mundo. La posibilidad de atacar centrales eléctricas, paralizando ciudades, estados y hasta países enteros, sería ya una realidad.

Ya habíamos mencionado hace poco más de un año, que los principales blancos de ciberataques a las infraestructuras críticas, eran las centrales eléctricas. Diferentes grupos en todo el mundo vienen intentando ingresar a las redes que controlan los sistemas de producción y distribución de electricidad.

Los principales blancos de ciberataques a las infraestructuras críticas, son desde hace mucho tiempo, las centrales eléctricas.

Estos grupos estuvieron tan activos, que hasta desarrollaron malware específico. Hace algunos años, investigadores de ESET descubrieron  malware como el Crashoverride (también llamado Industroyer), diseñado específicamente para atacar centrales eléctricas. El código fue descubierto dentro de una planta de distribución de energía eléctrica de Ucrania. El halllazgo se produjo luego de la interrupción del suministro eléctrico en la zona norte de la ciudad de Kiev, a varias decenas de miles de usuarios y por poco más de una hora. En ese momento la repercusión mundial fue enorme. La empresa Dragos analizó técnicamente al Crashoverride y los resultados del análisis se pueden ver en su sitio web, o en la charla que dieron en BlackHat en 2016.

 

Godzilla

Si bien esta actividad lleva años, esta semana ocurrió algo nuevo. El New York Times, publicó una serie de notas, que hacen referencia a un informe en el que se deja expuesto otro aspecto del problema. Según el informe, el gobierno de Estados Unidos, desarrolló e implantó un elaborado sistema de malware dentro de las redes del sistema de producción y distribución de energía eléctrica de Rusia. El objetivo parecería ser el de atacar la red eléctrica rusa en caso de que se produjera un conflicto importante entre Moscú y Washington.

 

King Kong

Pero del otro lado, las cosas no parecen ser muy diferentes. Ya el Wall Street Journal informaba muy detalladamente a principio de este año, sobre las actividades de hackers rusos en la infraestructura crítica de Estados Unidos. Al parecer  se fueron detectando rastros de infiltraciones en compañías eléctricas de 24 estados de la Unión. Previamente a esto, el 15 de marzo del año pasado, el gobierno de Estados Unidos, publicó un detallado informe en el que declararon la existencia de una campaña de hacking por parte de Rusia, para infiltrar la infraestructura crítica de Estados Unidos.

 

El G-20

Tanto ha escalado este conflicto silencioso en estos últimos días, que en este momento se está hablando que Putin y Trump se reunirían en privado, durante el próximo capítulo del G-20, sólo para tratar este tema. Lo que está claro es que las redes de energía eléctrica se han convertido recientemente en un campo de batalla internacional. Un nuevo campo de batalla donde, al parecer, dos monstruos decidieron enfrentarse.

 

Las redes de energía eléctrica se han convertido recientemente en un campo de batalla internacional. Un nuevo campo de batalla donde, al parecer, Rusia y Estados Unidos decidieron enfrentarse.

 

La pelea

¿Fue o no fue un ciberataque? Cuando hoy en día se produce un gigantesco apagón, dadas las circunstancias expuestas, lo primero que pensamos es que fue un ciberataque. Si bien puede ocurrir que en algunos casos no lo sea, la verdad es que la probabilidad de que sí lo sea es alta. Las herramientas de ataque están desarrolladas y disponibles. El esfuerzo por protegerse es muy alto mientras que el esfuerzo para atacar es mucho menor.

Para usar términos futbolísticos, los que estamos de este lado, sabemos que estamos perdiendo por goleada. Más o menos 10 a 1. Es 10 veces más facil atacar que defenderse. Se paga a los especialistas en ciberseguridad 10 veces más en el lado oscuro. El costo de las herramientas de ataque es 10 (¿o cien? ¿o mil?) veces más barato que las de defensa. Genera 10 veces más adrenalina atacar que defenderse. Los que estamos de este lado, perdemos en todos los partidos, aunque eso no significa que vamos a darnos por vencidos 🙂 algún día los sistemas serán lo suficientemente robustos como para que estas cosas no ocurran. De todos modos, hay un partido que ganamos, de cada 100 intentos de ataque, sólo uno llega al blanco.

 

En ciberseguridad, es 10 veces más fácil atacar que defenderse. El costo de las herramientas de ataque es 10 (¿o cien? ¿o mil?) veces más barato que las de defensa.

 

La baticueva

Mientras tanto en la baticueva… los diseñadores y programadores de todo este malware, deben probar muy bien el funcionamiento de sus desarrollos. ¿Y dónde probar…? El laboratorio es el laboratorio…, tiene grandes limitaciones. Es imposible reproducir todas las condiciones, escenarios y variables de instalaciones reales. Habrá que probar entonces de otra forma, en un escenario más verdadero, pero sin atacar a Godzilla ni a King Kong. ¿Porqué no hacerlo entonces, en algún pequeño y remoto país, con mínimas o nulas medidas de ciberprotección, y donde no haya demasiadas repercusiones por interrumpir el suministro eléctrico por algunas horas a algunos miles (¿…millones…?) de habitantes?

 

Los diseñadores y programadores de malware para centrales eléctricas, deben probar muy bien el funcionamiento de sus desarrollos.

 

Los monstruos

Cuando de chico veía las películas de Godzilla, siempre me preguntaba sobre la suerte que corrían las personas que quedaban aplastadas cuando los edificios se derrumbaban durante las peleas. Es que cuando pelean gigantes, es imposible no quedar cubiertos por toneladas de escombros como efecto colateral de tan titánica batalla.

 

 

 

Nota por Carlos Benitez

 

Carlos Benitez es un reconocido experto en seguridad de la información.

La amenaza invisible

La amenaza invisible

El fin de semana pasado, el diario Clarín publicó una nota que tituló “Delitos informáticos: Uno de cada dos argentinos conectados sufrió al menos un ciberataque en lo que va del año” en el que destaca que “El 55% de los argentinos conectados sufrió un ataque de malware, o software malicioso, en lo que va del año…”, citando como fuente, el informe de una prestigiosa empresa de ciber seguridad a nivel mundial.

Como consecuencia de esta nota, pensé en que sería interesante hacer algunas cuentas para ver si se pueden sacar algunas conclusiones.

El informe se refiere específicamente a ciber delitos, se podría analizar entonces qué pasa estadísticamente en nuestro país con los delitos convencionales y hacer algunas comparaciones. Según las estadísticas online que presenta el Ministerio de Seguridad de la Nación, teniendo en cuenta los delitos contra las personas en todo el país durante 2017; la cantidad de víctimas afectadas fue de: 344.243. Si tenemos en cuenta que según el mismo informe la población de Argentina está compuesta por 44.044.811habitantes, el total de víctimas de delitos constituye aproximadamente el 0,8% de la población.

Por otra parte, según el informe de CABASE* del segundo semestre del mismo año 2017, la cantidad de personas conectadas a Internet en nuestro país fue de 30.567.098, es decir el 69,4% de la población.

Si se combinan ambos resultados, se puede  concluir que aproximadamente en el último año y medio:

 

Total de víctimas de delitos comunes = 344.243

Total de víctimas de ciber ataques = 16.811.904

 

Si tanto el informe al que hace referencia Clarín, como las estadísticas del Ministerio de Seguridad son correctas, esto significaría que en Argentina hay 49 veces más ciber ataques que delitos comunes.

Por otro lado, si buscamos por ejemplo, la cantidad de noticias publicadas sobre ambos tipos de eventos delictivos en el mismo diario Clarín para el año 2017, encontramos los siguientes números:

 

Total de noticias sobre delitos comunes = 7.560

Total de noticias sobre ciber ataques = 544

 

Es decir que, si me conceden que el algoritmo de búsqueda que usé sobre el sitio de Clarin es válido, se publican 14 veces más noticias sobre delitos comunes que sobre ciber delitos. Evidentemente hay alguna inconsistencia que puede representarse con un número final. Si definimos el nivel de exposición de los ciber ataques respecto a los delitos comunes, llegamos a:

 

Nivel de exposición (cibre ataques/delitos comunes) = 1 / 686

 

es decir, que relacionado ciber ataques con delitos comunes, solo uno de cada 686 salen a la luz pública, por lo tanto… se puede decir que las ciber amenazas son invisibles.

Y este número coincide además con lo que uno puede percibir diariamente. Por ejemplo, cuando leemos los portales de noticias, vemos los noticieros, leemos los diarios, lo que nos inundan son las “páginas policiales” y rara vez vemos una noticia de un ciber delito. Y porqué se da esto teniendo en cuenta que son tantos más!!??

La respuesta es sencilla de responder: los ciber delitos no se ven, los ciber ataques son normalmente invisibles. Puede ser una App nueva que está instalada en mi celular (aunque me está sacando fotos sin que yo lo sepa…), alguna transacción que hicieron con mi tarjeta de crédito que simplemente la desconozco y el banco me devuelve el dinero (aunque me robaron los datos haciéndome phishing…), una base de datos de clientes o una carpeta con informes que encriptaron en mi servidor (y que para recuperarla tuve que pagar algunos cientos de dólares en bitcoins…). Cada uno de esos incidentes termina estando registrado en alguna estadística de algún antivirus o anti malware, pero rara vez se denuncie y muchísimo menos… alguna vez sean noticia.

Los ciber criminales todavía no aparecen en las primeras planas, salvo cuando se roban millones de números de tarjetas de crédito, o le roban millones de dólares a un banco a través de SWIFT. Son noticias que aparecen esporádicamente, en alguna circunstancia que hacen al hecho visible, como dijimos 1 de cada 14. Para nada proporcional al 49:1 del primer cálculo.

La virtualidad, la existencia en un mundo muy real pero invisible, hace que estas actividades digitales nos vuelvan locos a los profesionales de la ciber seguridad pero que común de la gente ni se entere de su existencia.

Uno de los principales problemas de esta invisibilidad, es que hace muy difícil hacer tomar conciencia de la necesidad de protegerse a las personas que no son profesionales de sistemas o de ciber seguridad, a quienes no entienden de tecnología de la información, pero que la usan en su vida diaria para todas sus actividades. Las cosas son así, y la tarea de mostrar esto y concientizar a la gente sobre estos peligros ese es nuestro desafío.

 

 * CABASE = Cámara Argentina de Internet cuya misión es reunir a las organizaciones proveedoras de Servicios de Acceso a Internet, telefonía, soluciones de Datacenter y contenidos Online, entre otras.

 

 

 

 

 

Nota por Carlos Benitez

Configuración > Normativas > GDPR > Activar

Configuración > Normativas > GDPR > Activar

Y llegó el día. Después de tantos anuncios, polémicas e interpretaciones, el pasado viernes 25 de mayo entró en vigencia la famosa regulación General de Protección de Datos, o GDPR, para toda la Unión Europea. No pasaron unas horas de su entrada en vigencia, y ya cuatro gigantes tecnológicos fueron acusados de quebrantar esa norma.

El grupo NOYB (None Of Your Business o “No es asunto tuyo”) acusó a Google, Facebook, Instagram y WhastApp de incumplir la norma y les reclama varios miles de millones de Euros en concepto de multas. NOYB fue fundada por el conocido activista Max Schrems, que lucha a favor de la privacidad de los datos en Internet y que se volvió conocido por haber presentado 22 denuncias por diferentes violaciones en ese sentido a Facebook.

Si bien GDPR es una ley aprobada por el Parlamento Europeo y cuyo propósito es el de proteger los datos personales de los miembros de la UE, su espectro de acción sobrepasa las fronteras de la Unión. Por este motivo intentaremos explicar brevemente los aspectos más significativos de esta ley que ya está entre nosotros:

Datos que se protegen:

Si bien la ley efectúa 26 definiciones en su Artículo 4, cabe destacar que extiende el concepto de “datos personales” respecto a legislaciones anteriores, incluyendo los siguientes parámetros:

Identificadores:

– nombre,

– número de identificación,

– datos de localización,

– identificador en línea

Uno o varios elementos propios de:

– la identidad física,

– fisiológica,

– genética,

– psíquica,

– económica,

– cultural o

– social

Pero además, va más allá aún. Dado que hoy en día, con los sistemas de inteligencia artificial, es posible analizar enormes cantidades de datos relacionados con las actividades de las personas y generar perfiles de comportamiento, la ley prevé que asimismo se deben proteger dichos perfiles relacionados particularmente con:

– rendimiento profesional,

– situación económica,

– salud,

– preferencias personales,

– intereses,

– fiabilidad,

– comportamiento,

– ubicación

– movimientos de dicha persona física

De hecho la ley genera una delgada línea entre el registro de los eventos de seguridad y la privacidad de dichos datos. En cualquier organización de cierta magnitud, se cuentan con sistemas de monitoreo que analizan y alertan en función de actividades sospechosas en sus sistemas tanto desde el exterior de la organización como en su interior. Si bien estos datos son fundamentales para prevenir ataques o incidentes de seguridad, un abuso en el manejo de dichos datos podría estar violando la GDPR. Es por esto que a los responsables actuales de ciber seguridad de las empresas les aguarda un enorme desafío en determinar la forma de tratar esos datos definiendo qué datos se almacenan, por cuánto tiempo, en qué condiciones, qué se hace con ellos luego, entre otras.

Ámbito de aplicación:

La ley se aplica a las empresas o entidades que manejen datos personales como parte de las actividades de una de sus oficinas establecidas en la Unión Europea (UE), independientemente del lugar donde sean tratados los datos, o si la empresa está establecida fuera de la UE y ofrece productos o servicios (tanto pagos como gratuitos) u observa el comportamiento de las personas en la UE.

Actores:

Existen dos actores definidos quienes son responsables de aplicar todas las medidas de protección que se definen más adelante. Estos actores son los “responsables de tratamiento” (en inglés “controller”) cuya responsabilidad es la de determinar los propósitos y medios para el tratamiento de los datos; y los “encargados de tratamiento” (en inglés: “processors”) que efectivamente efectúen el tratamiento  de los datos personales por cuenta del responsable del tratamiento. Las actividades de los responsables se encuentran reglamentadas en el Artículo 24 y las de los encargados en el Artículo 28.

En el caso de empresas que manejen datos de gran cantidad de personas, la GDPR sugiere la incorporación de un tercer actor denominado “delegado de protección de datos” (en inglés: DPO ó Data Protection Officer) cuyas responsabilidades y atribuciones se detallan en los artículos 37, 38 y 39.

Medidas:

Las empresas que trabajen con datos personales de personas residentes en la Unión Europea deberán efectuar una serie de tareas, cambios, rediseños, adaptaciones de sus sistemas de forma de cumplir con la ley y evitar las enormes multas que pueden llegar hasta los 20 millones de Euros. A continuación se efectúa una breve descripción las medidas más importantes:

1- Análisis de aplicabilidad

Inicialmente, la empresa que trabaje con datos que puedan caer dentro de la ley, debe efectuar un análisis de si los dueños de los datos y los tipos de datos son alcanzados por la norma. En el caso de que lo sea, deberán determinar su rol (responsable o encargado) y adecuar la organización de su empresa para incorporar los nuevos procesos de Tratamiento de la Información a los que los obliga la ley.

2- Evaluación de Riesgos

El Artículo 32 de la norma (Seguridad del Tratamiento) es absolutamente claro que las medidas de tratamiento deben efectuarse basado en el nivel de Riesgo. Es por esto que es fundamental efectuar una evaluación inicial del Riesgo que permita luego ser gestionado e ir aplicando las medidas de tratamiento basadas en el Riesgo obtenido.

3- Análisis de Impacto

La norma es muy estricta en su Artículo 35 respecto a que tanto responsables como encargados tienen la responsabilidad de efectuar análisis de impacto referidos a la privacidad de los datos. Estas evaluaciones son muy similares a la metodología BIA (Business Impact Analysis) pero enfocadas en la posible pérdida de privacidad de los datos. La información exigible y resultante de este análisis está perfectamente detallada en dicho artículo y la autoridad de aplicación de la ley tiene previsto publicar qué operaciones específicas deberán ser objeto de un análisis de impacto.

4- Rediseño de las medidas de protección de datos

El Artículo 25 (Protección de datos desde el diseño y por defecto) establece que el responsable del tratamiento deberá aplicar tanto las medidas técnicas como organizativas que permitan hacer foco en los datos personales que requieran de dicho tratamiento.

Por este motivo, se deberá revisar toda la infraestructura de seguridad de la empresa con el objetivo de corregir todas las medidas de tratamiento que no cumplan con la norma y efectuar una tarea de rediseño de la misma. A partir de dicho rediseño, se muestran las medidas específicas que nombra la ley en su Artículo 32 en los siguientes 3 puntos:

5- Pseudonimización y cifrado de los datos

Se deberán implementar medidas que efectúen el tratamiento de los datos personales de manera tal que ya no puedan atribuirse a un interesado sin utilizar información adicional. Por otra parte, esa información adicional debe estar separada de la anterior y sujeta a medidas de seguridad específicas. Esto podrá realizarse a través de la pseudonimización o del cifrado de datos según sea más adecuado.

6- Recuperación ante desastres

Como extensión a los proyectos de BIA, se deberán también establecer planes de Recuperación ante Desastres (DRP) de modo de contar con la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidentes tanto físicos como técnicos.

7- Evaluaciones periódicas de seguridad

Una vez tomadas las medidas técnicas de tratamiento que correspondan, se deberá verificar, evaluar y valorar periódicamente la eficiencia de dichas medidas para garantizar la seguridad en el tratamiento de los datos. Esta tarea se suele denominar en inglés como Vulnerability Assessment.

Para mejorar, asegurar y mantener las medidas de seguridad efectivas a lo largo del tiempo, las autoridades de la UE promoverán su certificación mediante mecanismos y organismos específicamente designados para dicha función como se menciona en los artículos 42 y 43.

8- Concientización

Las empresas que administran datos personales, corren dos riesgos muy grandes a la hora de cumplir con GDPR. Uno de ellos es que no tengan las medidas de seguridad suficiente y que algún atacante externo pueda robar u obtener de algún modo esos datos. El otro gran riesgo es que el propio personal que no esté suficientemente compenetrado con la norma, pueda en su tarea diaria, tratar esos datos descuidadamente y estos puedan perderse o exfiltrarse. Es por esto que en varios artículos de la ley, se insta a las autoridades a promover tareas de concientización entre los empleados de las empresas responsables y encargadas de forma de minimizar este riesgo.

9- Requisitos legales 

Las empresas que manejen el tipo de datos personales que están contemplados en la ley, deberán adecuar sus procesos internos para cumplir con una gran cantidad de requisitos sobre los datos y los usuarios. La ley especifica gran cantidad de condiciones en los primeros artículos.

Por ejemplo, en el Artículo 5, se define que los datos personales deberán ser tratados de manera lícita, leal y transparente en relación con el interesado. El Artículo 6 enuncia las condiciones en las que el tratamiento de los datos personales será lícito. Fundamentalmente se basa en el consentimiento del usuario en que sus datos sean utilizados y cuyas condiciones define en los Artículos 7 y 8. Los Artículos 9, 10 y 11 definen condiciones especiales de los datos a ser tratados.

Finalmente, en los artículos 12 al 23 se detalla cuidadosamente la información que se debe proveer al interesado en caso de que no haya sido obtenida de forma directa, los derechos de éste en eliminarla, evitar que sea utilizada, sea esta información personal específica o creada mediante los mecanismos automáticos de perfilado.

Es por esto que las empresas deberán llevar a cabo proyectos de ajuste de sus procesos o más aún, la creación misma de procesos nuevos, que permitan contemplar todos estos requisitos.

10- Comunicación

Si a pesar de todas las medidas tomadas para evitar el mal uso de la información, se llegara a producir un incidente o violación de la privacidad de la misma, los responsables tienen la obligación de comunicar tanto al interesado como a las autoridades de la situación. Las condiciones, formas, plazos, descripción y detalles de dichas comunicaciones están establecidas en los artículos 31, 33 y 34. Las empresas deberán por lo tanto, establecer los procesos formales para llevar a cabo esta tarea ajustados para cumplir con la GDPR.

Nota por Carlos Benitez

Cómo entrenar a tu dragón

Cómo entrenar a tu dragón

Y ya están entre nosotros.


A pesar de las predicciones y especulaciones de su inminencia tanto en la literatura fantástica como en el cine de ciencia ficción, le tomó unos 30 años a la Inteligencia Artificial (IA) salir de los laboratorios y llegar a nuestro mundo cotidiano. Pasó por Redes Semánticas, Procesamiento de Lenguaje Natural, Sistemas Expertos, Sistemas Cognitivos, Agentes Inteligentes y, finalmente, Inteligencia Artificial. A medida que fue creciendo, algunos logros nos asombraron como cuando a fines del siglo pasado Deep Blue
 le ganaba varias partidas a Kasparov. Aunque eso ni se compara con la forma en la que DeepMind de Google viene destrozando a varios jugadores expertos y campeones mundiales de Go en los últimos años. Estos resultados espectaculares por ahora siguen siendo de laboratorio. Aunque Siri, Google Now y Cortana no lo son.

Cada vez que consultamos a nuestros smartphones y les preguntamos cómo llegar a cierta dirección, o si nos puede dar la mejor receta de la Musaka griega o si le pedimos que cante, quien nos está respondiendo es el sistema de IA que Apple, Google y Microsoft desarrollaron para sus productos.
Al consultar el pronóstico del tiempo en el Weather Channel, ir de compras virtuales por Macey’s o hacer consultas de salud en el sitio de la American Cancer Society, veremos el logo de “With Watson” que significa que esas organizaciones están usando el sistema de IA de IBM: Watson para analizar sus datos. El mismísimo Elon Musk, a pesar de mostrar públicamente su preocupación por el desarrollo de la IA, formó la compañía OpenAI para fomentar su desarrollo.

Antes de la IA, usábamos nuestros programas, aplicaciones y sistemas para que nos agilicen nuestros procesos de negocio, aunque las decisiones intermedias las seguían tomando los expertos que interpretaban los resultados.  ¿Pero qué pasa si entrenamos a un sistema de IA para que tenga las mismas habilidades del experto? Eso es lo que están haciendo hoy los sistemas de IA. Reemplazan la intervención humana en la toma de decisiones de forma mucho más rápida, eficiente y con menor tasa de error. Y esto se logra por medio de dos claves: la primera es la elección correcta del tipo de herramienta de IA (hoy en día la más difundida por su eficiencia es la de Deep Learning); la segunda es cómo la entrenamos. En particular con Deep Learning, se deben usar millones de datos tomados de expertos, pre-procesarlos adecuadamente para alimentar al sistema para que aprenda y se entrene.

Vayamos a un ejemplo concreto en el ámbito de la ciber-seguridad. Un sistema SIEM (Administrador de Eventos e Información de Ciberseguridad) es un sistema extremadamente complejo. Su misión es la de recolectar información de sensores a través de las redes y sistemas, correlacionarlos y dar alertas ante la evidencia de un ciberataque.
Blog – Como entrenar a tu dragón

Si bien algunos fabricantes prometen que con un “Next> Next> Next>” es posible tener un SIEM activo y funcionando en minutos, la realidad es que estos sistemas son muy complejos que requieren de la intervención de un experto. Inicialmente para el diseño mismo del sistema, analizando la red, los nodos, los sistemas instalados, las comunicaciones, los activos críticos, los puntos de entrada y de salida. Y posteriormente para  analizar enormes cantidades de datos que permitan dar como resultado información realmente útil.
Si bien las herramientas SIEM actuales son bastante completas y funcionan para la mayoría de las instalaciones de forma convencional, en redes muy grandes esto es casi imposible. Por esto algunos vendors están empezando a agregar componentes de IA para reemplazar la intervención humana y hasta para generar acciones por sí mismos, como bloquear conexiones o borrar archivos potencialmente peligrosos.

Ahora bien, una herramienta es sólo una herramienta. Dependiendo de en qué manos caiga, es lo que se va a hacer con ella. Resulta que un ciberataque también es un proceso muy complejo y de varios ciclos de análisis, toma de decisiones y acciones para llegar a un objetivo. Y también es necesario un experto para llevarlo a cabo; ¿o lo era? ¿Se podrá entrenar un sistema de IA para generar ciber-ataques? La respuesta es sí. El mismísimo DARPA (Defense Advanced Research Projects Agency) está fomentando esta actividad. Pero además, las herramientas que están a disposición de la comunidad ya se están entrenando para planificar cómo causar daños en el ciberespacio.

Pero hay un problema extra. Dijimos que especialmente en Deep Learning se necesitan muchísimos datos (muy bien pre-procesados) para que los sistemas de IA aprendan correctamente. Si hacemos esto incorrectamente o a las apuradas o con datos insuficientes, podemos hacer que los sistemas de IA aprendan, pero mal. Que por ejemplo en el caso del SIEM, no sólo no detecten los ataques, sino que abran puertas a los atacantes o borren archivos válidos e importantes o bloqueen un sistema por haber errado en un análisis. Y en ese caso, ¿qué tipo de error sería? ¿Un error humano producido por una máquina?

Los sistemas de IA serán lo que hagamos de ellos. Si los entrenamos bien, podrían convertirse en nuestros aliados como tantas otras tecnologías que utilizamos a diario en nuestras vidas; pero si los entrenamos mal, por error o con malas intenciones, sin que lleguen necesariamente a convertirse en Skynet, pueden llegar a causarnos a los humanos que quedemos, serios dolores de cabeza…

 
Nota por Carlos Benitez
Vendiéndole el alma al diablo

Vendiéndole el alma al diablo

Enorme y ruidoso fue el escándalo de Facebook con Cambridge Analytica. El nudo del problema fue que Facebook “cedió” datos a la empresa de análisis estadístico para un trabajo académico y resultó que sus resultados fueron utilizados para la campaña presidencial de Donald Trump. Ahora, tratemos de desatar el nudo.

¿Qué información cedió Facebook y por qué?
La verdad es que todo lo que Facebook pudo recolectar de sus usuarios y de quienes aún no son sus usuarios pero interactúan con aplicaciones socias de Facebook, son sus datos (nombre, apellido, direcciones de email, números telefónicos) y sus metadatos (direcciones IP, ubicaciones físicas fecha y hora de una foto o video).
Entonces, ¿eso quiere decir que Facebook cuenta con datos privados de sus usuarios y también no usuarios en el mundo? La respuesta es que sí, y no.
Si considerábamos nuestro nombre, la composición de nuestra familia, el lugar donde vivimos, las cosas que hacemos en Internet o en la vida real pero que las reflejamos en Internet, como información privada, eso deja de serlo cuando aceptamos los “Términos y Condiciones” al darnos de alta en Facebook.

Nunca revisamos los Términos y Condiciones, simplemente vamos lo más rápido posible al final para encontrar el botón de “Acepto” y poder seguir adelante, sin saber que con ese clic, le vendemos el alma al diablo. Y lo más interesante de este fenómeno es que además de Facebook existen muchos más, como por ejemplo Google o Yahoo, para mencionar algunos. Y este contrato que firmamos con todos ellos al hacer clic en “Aceptar”, no tiene posibilidad de cancelación. Por más que en determinado momento, después de muchos años demos de baja nuestras cuentas, la información ya recolectada hasta ese momento, forma parte de sus bases de datos.

Si leemos con cuidado por ejemplo los Términos y Condiciones de Facebook, hay una sección denominada “Información y contenido que nos proporcionas” en la que se detalla con mucho cuidado todos los tipos de información que le regalamos a la empresa a cambio de que ella nos regale sus servicios. “Recopilamos el contenido, las comunicaciones y otros datos que proporcionas cuando usas nuestros Productos” lo que se traduce simplemente en que todo lo que escribimos, los likes, las fotos, la gente con la que nos comunicamos, no sólo forman parte de nuestro perfil sino de la gigantezca base de datos de Facebook. Y no sólo eso, “[…] las personas, las páginas, las cuentas, los hashtags y los grupos a los que estás conectado y cómo interactúas con ellos […]”, es decir: cómo nos comportamos. Y van más allá: “[…] recopilamos información de las computadoras, los teléfonos, los televisores conectados y otros dispositivos conectados a la web […]”. Y de nuestros dispositivos, ¿qué más saben? En la sección “La información que obtenemos de estos dispositivos incluye: “puede leerse que tienen información de los Sistemas Operativos, potencia de la señal, espacio de almacenamiento, identificadores únicos de los teléfonos celulares, señales bluetooth, redes WiFi a las que nos conectamos y hasta “información sobre otros dispositivos que se encuentran cerca o están en tu red”.

Todos sabemos que nadie regala nada, sin embargo, por alguna extraña razón creemos que estos servicios tan completos y útiles desarrollados por compañías que ganan miles de millones de dólares al año nos los dan gratis.

¿Y qué hacen con toda esa información? ¿Nos persiguen? ¿Tratan de saber qué hacemos? ¿Qué nos gusta? ¿Qué compramos? ¿Cuál es nuestro trabajo? ¿A quién tenemos intenciones de votar?
Exáctamente. Aunque no de cada uno de nosotros. Eso además de no tener sentido práctico, no sería útil para ellos. Pero sí lo hacen con grupos de personas, es decir con “focus groups”.

En sus inmensos sistemas de Big Data, con los motores de inteligencia artificial más avanzados, procesan todos esos datos en busca de información útil.
De esta forma poseen información de cómo se comportan las personas de determinadas edades, de determinado grupo social, en determinado lugar. Y el resultado de estos análisis les permite predecir, saber quiénes necesitan qué, cuándo y dónde. Y quien tenga esa información, sólo tiene que ir a ofrecer el producto adecuado a las personas adecuadas, con una garantía casi absoluta de su compra, en todo sentido.
Claro, para que esta actividad sea rentable, se deben tener muchísimos usuarios. Estos son algunos números de usuarios aproximados de cada servicio a fines de 2017:
  • Facebook ~ 2200 millones
  • Twitter ~ 330 millones
  • Google ~ 2000 millones
  • Yahoo Mail ~ 225 millones
  • Whatsapp ~ 1500 millones
  • Instagram ~ 500 millones

 

Es curioso el estar viviendo en un mundo Orwelliano pero con una variante muy interesante que Orwell no imaginó. No es el Partido quien nos instaló las “telepantallas” en nuestras casas en forma coercitiva, obligándonos a compartir nuestra intimidad diaria con el Gran Hermano – lo hicimos nosotros mismos en forma totalmente voluntaria. Y además como creemos ciegamente en lo que los diferentes Grandes Hermanos nos dicen, dejamos abierta la puerta para que se nos cuelen amenazas reales en nuestros sistemas que permitan ahora sí, dañarlos, espiarlos o directamente controlarlos.

Y esto, ¿se puede frenar? Mi opinión es que no. Poder preguntarle a Waze (empresa originalmente Israelí, que por cierto desde 2013 es de Google) cómo llegar todos los días al trabajo por el camino más rápido; encontrar amigos o hasta familiares perdidos mediante Facebook; Twittear noticias al instante mientras uno está delante del hecho que se está produciendo, son funcionalidades cuya conveniencia es indiscutible y a las cuales no tiene sentido renunciar. Son herramientas muy poderosas que pusieron en nuestras manos y que simplemente tenemos que saber usar.

Concientizarnos sobre los peligros a los que estamos expuestos por la información privada que brindamos, sobre la facilidad con la que pueden instalar amenazas en nuestros dispositivos y sobre cómo ciberprotegernos, es la mejor forma de minimizar los riesgos de vivir con un pie en esta no tan nueva parte del mundo: el ciberespacio.
Nota por Carlos Benitez
Un golpe de suerte, o de cómo Mark Zuckerberg creó conciencia para la implementación de GDPR

Un golpe de suerte, o de cómo Mark Zuckerberg creó conciencia para la implementación de GDPR

En una nota anterior, contamos cómo la Unión Europea está trabajando fuertemente desde hace 4 años en una nueva normativa de protección de datos personales, la hoy ya famosa GDPR o Reglamentación General de Protección de Datos de la Unión Europea. Esta iniciativa se crea dadas las enormes falencias que existen en las empresas de la Unión, en las que se fueron detectando faltas inaceptables en las capacidades de ciberprotección.
La norma será de aplicación obligatoria para todas las empresas de la UE a partir del 25 de mayo de este año. Sin embargo, el hecho de la obligatoriedad, no necesariamente implica que la curva de implementación de las contramedidas sea rápida o eficiente. La misma motivación que hace que las empresas a veces tengan áreas enteras dedicadas a analizar de qué forma pueden pagar menos impuestos, es probable que las hagan analizar de qué forma cumplir con GDPR con el menor esfuerzo e inversión posibles. 
¿Por qué se da esto? Por la misma razón por la que hoy en día sus medidas de ciberprotección son inaceptables: la falta de conciencia.
El convencimiento de que lo que uno está haciendo es importante o necesario es lo que dispara los procesos para que efectivamente se lleve a cabo. Y en este caso, muchas empresas de la UE no están convencidas ni creen que es importante – o por lo menos no lo estaban.
El vuelco que dio en la aceptación sobre la implementación de la nueva norma, se dio gracias al escándalo de Facebook y Cambridge Analytica. La comisionada por los asuntos de los consumidores de la UE, Vera Jourlova, quien se reunió con Mark Zuckerberg a raiz del escándalo, le dió a Zuckerberg las gracias públicamente por haber aceptado cumplir con GDPR ni bien esté en vigencia. Es difícil saber si la declaración del CEO de Facebookaceptando sin objeciones las nuevas contramedidas de seguridad para preservar la privacidad de los datos de los usuarios, hubiese sido la misma sin el escándalo de Cambridge Analytica. Pero la verdad es que a los promotores de la medida les vino como anillo al dedo, y justo antes de la entrada en vigencia de la medida.
Veremos el 26 de mayo cuáles habrán sido finalmente los resultados.
 
Nota por Carlos Benitez