El otro día, un amigo me contaba que estaba en su trabajo, tomando un café; uno de esos de la máquina que se ha convertido en el estándar de facto en la mayoría de las empresas, vamos, una Nespresso. Cuando le dio al botón, algo raro pasó y la máquina se quedó colgada —cada vez se parecen más a los ordenadores— y con luces parpadeantes. Apagó y volvió a encender (mi amigo es informático) y la cosa se arregló sola —igualito que un ordenador— y pudo satisfacer su necesidad de cafeína.

Unos minutos después, mientras disfrutaba del café y de la conversación (mi amigo es español), recibió una llamada telefónica de alguien que se identificó como personal del servicio de mantenimiento de la cafetera y que le preguntó si tenía algún problema con la máquina. ¿Con la cafetera? No… bueno, sí, pero ¿cómo lo sabe usted? ¿Que tienen la cafetera monitorizada? ¿Que les ha enviado un mensaje de avería? ¿Con qué línea de comunicación? Ah! 3G… No, no sabía. Gracias. Adiós.

Mi amigo se quedó un tanto estupefacto. Ni se le había ocurrido pensar que la cafetera tuviera línea directa con el exterior. No es que fuera mala idea. De hecho, es una idea excelente para el servicio de mantenimiento, ya que pueden detectar averías, incluso realizar mantenimiento preventivo y, claro está, analizar patrones de consumo de los usuarios: a qué hora se toman más cafés, cuánto tiempo está la máquina funcionando, si se suele quedar sin agua o el usuario la rellena antes de que se vacíe, si se calienta. Toda la información necesaria no solo para mantener la cafetera, sino para mejorar su diseño en siguientes versiones, o incluso optimizar su funcionamiento sin más que actualizar el software (firmware para ser más preciso) que controla la operación del dispositivo.

[Read more…]

Bajo este título tan gore, quería comentar un interesante artículo de MIT Technology Review: Heartbleed será irreparable en muchos dispositivos. Tom Simonite expone cómo una reciente vulnerabilidad descubierta en OpenSSL, Heartbleed, que tiene hasta logo, afecta también a muchos dispositivos en el mundo industrial o incluso doméstico. Cosas del Internet of Things (y el inglés me evita la redundancia). Les recomiendo leerlo, está traducido al español y contiene la opinión de varios expertos.

En la mía, el hecho de que haya una vulnerabilidad conocida y pública, que afecta a múltiples dispositivos que tienen interfaz web y controlan instalaciones industriales o se encuentran en los salones de nuestras casas, que los expertos (incluidos nosotros) opinen que no se va a realizar una actualización masiva de parches y que no haya un clamor popular, significa que todavía queda mucho camino por recorrer en el área de la concienciación de seguridad.

Yo no me imagino que se descubriera un posible defecto en, digamos, las fuentes de alimentación de los frigoríficos, que supusiera una cierta probabilidad de que se provocara un incendio y la ciudadanía no se pusiera a demandar responsables y soluciones.

Si no, pensemos en el caso de las vacas locas, una alerta alimentaria que supuso un riesgo relativo. En cuanto surgió el primer caso en España, en 2000, se promulgaron decretos, un Programa Integral Coordinado de Vigilancia y no hablemos de la repercusión mediática. Cierto es que hubieron casos mortales (un centenar en toda Europa, cinco en España), pero ya llevamos tiempo alertando de los peligros que la baja ciberseguridad de los sistemas de control industrial y el impacto no sólo económico que esto puede tener.

Seguiremos concienciando.

Un amigo mío tiene un amigo que es investigador experto en una de las principales instituciones de investigación francesas y le contaba, hace un par de días, que su grupo está preparando una propuesta para un proyecto de investigación junto con otros socios europeos, propuesta que debía presentarse esta semana.

Como tantos otros investigadores en Europa, este consorcio potencial utiliza una herramienta para compartir la información de su propuesta. En este caso, sharelatex.com, que, según dicen en su página, es usada por investigadores de numerosas y prestigiosas universidades de todo el mundo.

¿Cuál es la historia? Pues que sharelatex tuvo, según ellos informan, un problema de suministro eléctrico durante el fin de semana y sus servidores dejaron de estar disponibles. Posteriormente se restableció el funcionamiento de los equipos pero, aún así, la herramienta seguía sin funcionar, mensaje de disculpa incluido.

[Read more…]

La semana pasada asistimos a la High Level Conference on EU Cibersecurity Strategy (Bruselas, 28 de Febrero) Una muy interesante conferencia, a un nivel más estratégico que técnico, aunque el conocimiento de los ponentes no estaba nada mal. La aprobación de la Directiva sobre NIS (Network and Information Security) propone la coordinación a nivel europeo y reconoce la naturaleza global de la ciberseguridad. La transposición de esta legislación a las nacionales de los estados miembros sentará una política común europea en el tratamiento de las amenazas, la protección de infraestructuras críticas y, probablemente, ayude a mantener una postura común ante incidentes de “presunto” espionaje —no solo por parte de países hostiles— como los recientemente ocurridos.

En la presentación de apertura la Vicepresidenta de la Comisión y encargada de la Agenda Digital Europea, Neelie Kroes, hizo mucho hincapié en la importancia de la ciberseguridad, como condición necesaria para el desarrollo económico asociado a la economía digital.

Como política que es —en el buen sentido de la palabra—, estuvo muy pendiente de las implicaciones de la tecnología. Su argumento fue que si los ciudadanos europeos no confían en las tecnologías de información y en el manejo que se hace de sus datos, desde el punto de vista de la privacidad, el mercado no se desarrollará, lo que tendrá efectos muy negativos en la economía del futuro.

Para ello abogó por mantener, en la medida de lo posible, los datos europeos en Europa o, al menos, no tener la enorme dependencia de otros países en cuanto a aplicaciones y alojamiento de la información. Hay que proteger la privacidad, pero dejando espacio para la actividad de las empresas: “’No’ to data protectionism, but ‘yes’ to data protection”.

En sus palabras, si no somos capaces de sacar adelante una directiva fuerte, significará que la democracia no es capaz de manejar la tecnología. Hay que plantear las preguntas adecuadas. Por ejemplo, no se trata de saber por qué los estadounidenses han pinchado nuestros teléfonos, sino cómo y por qué han tenido éxito.

Un muy interesante discurso, que se puede consultar aquí.

—

Aprovechamos para dar la bienvenida a este mundillo al Cyber Security Blog del ISMS Fórum Spain, impulsado por el Instituto Español de Ciberseguridad. Aunque acaba de nacer, estamos seguros de que no tardará en hacerse un hueco y darnos información de primera mano en el ámbito de la ciberseguridad. De momento, aun lo podemos tratar como a un hermano pequeño ;)

Si los mecanismos de seguridad son complejos de usar, pierden su efectividad, ya que nadie los usará. Si se fuerza su uso, se intentarán otros canales para conseguir la misma funcionalidad.

La ciberseguridad ha sido, desde sus comienzos, una auténtica carrera armamentística. Si la entendemos como la protección de la información que una organización mantiene, tanto en su custodia como durante su transmisión, podemos incluir desde los primeros intentos de ocultar mensajes secretos a ojos de los no autorizados, cifrándolos u ocultándolos, hasta los mecanismos de los gobiernos para espiar las transmisiones de los enemigos, tanto en la guerra como en la paz.

Así, siempre que un cerebro humano ha pensado en una forma de proteger una información, otro cerebro igualmente inteligente, ha sido capaz de encontrar el medio de saltarse la protección. Al final, se trata de una cuestión de economía, como casi todo. ¿Vale la información que se puede robar el esfuerzo necesario para romper los mecanismos que la protegen? Este hecho económico básico es, a veces, intuitivamente engañoso. Muchas personas piensan que su información tiene poco valor (cosa en la que, normalmente, aciertan) y que, dado que la protección utilizada requiere un esfuerzo no trivial para romperla, están a salvo del acceso no autorizado.

Pues bien, probablemente, no valga la pena hacer el esfuerzo para romper el mecanismo que protege esa información, pero, como resulta que el mismo mecanismo (relativamente débil) es utilizado por muchas personas, el coste unitario se reduce a niveles risibles y, por poco que sea el provecho obtenido, el rendimiento obtenido es alto.

Así pues, ¿debemos usar mecanismos más complejos? Sin duda, si nos importa algo la información protegida. Ahora bien, si estos mecanismos no se hacen más fáciles de usar, pueden pasar dos cosas:

Una: que no se utilicen, con el consiguiente riesgo que, seguro, acabará materializándose y reducirá fuertemente la confianza en las transacciones en la red.

Dos: que, al ser incómodo, sólo se usen para casos muy especiales, con lo que disminuye drásticamente la funcionalidad de Internet, reduciéndolo casi a un sistema de consulta de información y compartición de información banal.

En resumen, si queremos que Internet permita un amplio conjunto de funcionalidades y transacciones, de manera segura, que realmente facilite nuestra vida, tenemos que diseñar mecanismos de protección tan usables como eficaces.

Es preciso acabar con la creencia de que la seguridad está reñida con la funcionalidad.

¿Cuál es la organización que más sabe sobre nuestra vida en la red? Sí, yo también pienso que es Google, por delante de nuestro gobierno, hacienda o nuestra propia familia. Si, además, somos usuarios de Google Apps, probablemente, la compañía del buscador tenga casi tanta información digital como nosotros mismos.

Pero la cosa no acaba ahí. Siempre es divertido elucubrar sobre la estrategia de dominación mundial de las grandes compañías multinacionales y me gustaría abrir la discusión sobre las posibles intenciones de Google, a la luz de sus últimas adquisiciones. Analicemos las tres últimas conocidas:

La primera, una empresa llamada Nest, dedicada a la fabricación de termostatos inteligentes – así se ha contado en la prensa – o, más precisamente, de dispositivos que permitan desarrollar la idea de la “casa conectada”, enchufando los sistemas de calefacción, iluminación, electrodomésticos, etc. a Internet para poder controlarlos y gestionarlos de manera más eficiente. Muy en la línea de la “Internet of Things”. En ese proceso, la compañía puede recoger mucha información acerca de los hábitos de consumo y comportamiento de los habitantes, por supuesto.

La segunda, Impermium Security, dedicada a proteger a sus clientes frente al robo y suplantación de identidades digitales, utilizando modelos estadísticos y de aprendizaje automático, para proporcionarles protección en tiempo real.

Por último, la más reciente, DeepMind Technologies, utiliza algoritmos de aprendizaje universal para aplicaciones como simulaciones, comercio electrónico y juegos. En sus propias palabras, la tecnología de DeepMind intenta conseguir que los ordenadores piensen como humanos y ha sido demostrada en demostraciones de ordenadores jugando videojuegos.

Lo curioso de este último caso es que, DeepMind, que estaba en tratos con Facebook, ha acabado decantándose por Google, incorporando una curiosa condición a su acuerdo: la creación de un comité de ética que “definirá reglas para indicar cómo Google podrá y no podrá hacer uso de esta tecnología”.

Es decir, que Google quiere tener más información sobre mi comportamiento en casa, conocer más sobre el robo y la suplantación de identidades y está interesado en técnicas de AI que hacen que las máquinas puedan pensar y comportarse como personas.

Y, además, se ve en la necesidad de establecer un comité de ética para vigilar el uso que le da a esta tecnología.

Inquietante.

El viernes pasado leí en el Mundo la noticia de que Obama ordenó personalmente un ataque cibernético contra Irán, citando al corresponsal jefe en Washington del new York Times, David Sanger.

No voy a entrar de nuevo en el asunto de la relevancia de la guerra cibernética, que empezó como una idea de ciencia ficción —bastante mal tratada en las películas, por cierto— y que ya nadie pone en duda, después de hechos como el ataque a Estonia o el mencionado a las centrales nucleares de Irán, mediante Stuxnet. La noticia del viernes solo añade la confirmación de la autoría del ataque que, de todas formas, todos sospechábamos.

Como estamos ya cerca del fin de semana (o casi), me voy a permitir el placer de ponerme conspiranoíco, que es uno de los pocos placeres inocuos que nos quedan.

[Read more…]

Esaú vendió a Jacob su primogenitura por un plato de lentejas. Cuando, de pequeño, me contaron esta historia, siempre me pareció que la había vendido barata y eso que no tenía muy claro qué cosa era una primogenitura ni por qué alguien podría querer comprarla. La justificación de Esaú es que tenía mucha hambre y poca paciencia.

Nosotros, hoy en día, estamos vendiendo nuestra privacidad por un plato de funcionalidades que nos proporcionan cocineros como Google, Apple, Dropbox, Microsoft, Sony y muchos otros. Nos tientan con posibilidades de usar nuevas aplicaciones muy atractivas, absolutamente imprescindibles — ¿Cómo no voy a proclamar a los cuatro vientos dónde me encuentro en cada momento o lo que estoy haciendo? — y a cambio de algo que apenas tiene valor — ¿Para qué querrán saber quiénes son mis amigos o a qué contactos les envío emails? — ¿o sí lo tiene?

Hoy mismo he visto una noticia en CNN, según la cual, Jeanette Horan, CIO de IBM, ha prohibido a los empleados de la multinacional el uso de Siri en sus iPhones porque “La compañía está preocupada porque las peticiones dictadas a Siri podrían almacenarse en algún sitio”. Of course, Ms. Horan, las peticiones se redirigen para su procesamiento a un centro en North Carolina y no está nada claro qué ocurre con ellas allí, en las entrañas de la bestia.

Claro que, si leemos las condiciones del acuerdo de licencia de software “When you use Siri or Dictation, the things you say will be recorded and sent to Apple in order to convert what you say into text” nos quedamos mucho más tranquilos. Porque somos todos un poco inconscientes. Y no sigo leyendo el acuerdo porque, en primer lugar, me aburro y, en segundo, nadie iba a escucharme. Bien se dice por ahí que la mentira más grande de Internet es “He leído y acepto las condiciones de uso”. Hasta tiene página en Facebook.

Y entonces, ¿qué hacemos? ¿renunciamos a las funcionalidades que a tan bajo precio nos ofrecen estas empresas tan magnánimas? La verdad es que nos ayudan mucho en nuestro trabajo y en nuestro tiempo de ocio. Nos permiten comunicarnos con mucha más facilidad y compartir nuestra vida con nuestros compañeros, familia y amigos. No seré yo quien les recomiende no usar todas estas posibilidades. Entre otras cosas, porque tengo hijos y sé cuándo un consejo es inútil.

Eso sí, recuerden que la sabiduría popular dice que “nadie da duros a cuatro pesetas” (para los nacidos en pleno euro, “nadie da euros a 80 céntimos”) y, por tanto, está claro que estas empresas van a “monetizar” la información que tan despreocupadamente les cedemos. Que eso nos perjudique o no, depende del uso que hagan y, desgraciadamente, no estamos en absoluto protegidos ante sus abusos.

En conclusión, mi consejo es que sean conscientes de cuál es la situación y asuman los riesgos con conocimiento. Ni más, ni menos. Si no los entienden, pregunten. Y si no, despreocúpense… peor sería ser ganador de un Premio Darwin.

Hace mucho tiempo que me di cuenta de que no soy bueno reconociendo a las personas por su cara. No es que sea prosopagnótico, pero tampoco soy un memorizador prodigioso de caras y me encuentro con cierta frecuencia en la situación de no recordar exactamente de qué conozco a una persona que me saluda en la calle o en algún evento. Con el tiempo, me he ido acostumbrando a manejar la situación con cierta soltura (lo que suele significar decir la verdad al principio, para evitar males mayores). Por eso, al igual que el GPS me pareció desde el principio un significativo avance en la historia de la humanidad, creo que un sistema informático personal de asistencia en el reconocimiento de caras, sería genial.

En opinión de Bruce Schneier, la tecnología necesaria para conseguir este invento está disponible y se trata de reducir el ratio de error. Así que, cualquier día de estos, me veo con una cámara integrada en las gafas y una suave voz susurrando a mi oído el nombre de las personas con las que me vaya cruzando en mi camino. Obviamente, con la opción de marcar a ciertas personas como amigos o familiares “frecuentes” que no activen el mensaje hablado.

Incluso puedo suponer que este sistema sería de gran ayuda para pacientes de enfermedades de deterioro cognitivo, ahorrándoles en parte la desagradable sensación de no reconocer a sus familiares cercanos. Seguro que ayudaría a retrasar las consecuencias de la enfermedad.

Pero claro, los primeros que se han interesado en este tipo de sistemas son las fuerzas de orden público. La policía brasileña ha anunciado que en el próximo mundial de fútbol, utilizará uno de ellos para identificar a los delincuentes a una distancia de 50m y mejorar el nivel de seguridad durante los eventos.

Si a esto añadimos que cada vez hay más cámaras de vigilancia en nuestras ciudades, no me acabo de quitar de encima esa sensación de “Big Brother is watching you” que me acompaña con frecuencia últimamente. A título de ejemplo, se calcula que el número de cámaras de vigilancia en Londres es de unas 500.000 y, en todo el Reino Unido es de 4.200.000. Es decir, una cámara por cada 14 personas.

¿Se imaginan lo fácil que sería hacer el seguimiento de una persona por toda la ciudad conectando un sistema de reconocimiento facial a la central de vigilancia de todas estas cámaras?

Según cuenta Mr. Schneier, Facebook (que tiene la colección de fotos de personas identificadas más grande del mundo aparte de los gobiernos) tiene en marcha un proyecto de marcaje de fotos usando tecnologías de reconocimiento facial, obviamente, sin haber pedido previamente autorización a los usuarios para la digitalización de sus fotos de perfil. Incluso Google (¿quién si no?) está interesado en este tipo de software y ha comprado recientemente una empresa que se dedica a ello. Aparentemente, su intención sería incorporar esta funcionalidad a Google Goggles, aunque su preocupación por la privacidad le ha hecho desistir de ello por el momento.

No debo ser el único a quien le inquietan los usos que se puede dar a estos sistemas. Si a ustedes también les pasa, siempre pueden recurrir a técnicas de camuflaje específicas para evitar el reconocimiento facial como las descritas en este artículo, aunque les advierto que, en tal caso, es posible que yo no les reconozca si nos encontramos.