La inseguridad de los objetos conectados

El título del artículo es un remedo de otro cuyo título es "Cómo los modernos dispositivos desvelan nuestras vidas"[i], centrado en la falta de [ciber]seguridad de dispositivos de uso cotidiano a los que hoy día se ha dotado de funciones propias de un ordenador y de conectividad a Internet. Dispositivos como frigoríficos, termostatos, "vigilabebés", televisores, cámaras de vigilancia, cerraduras "inteligentes",etc., los cuales, por medio de un chip, pueden recoger, procesar, enviar y recibir datos, y actuar con y sin intervención humana. 

Se ha demostrado que dichos objetos conectados son muy vulnerables, no sólo por los resultados de las investigaciones que expone el artículo mencionado, sino por otras anteriores o por ataques  ya acaecidos. No hay más que escribir en un buscador, por ejemplo, "vulnerabilidades IoT" para encontrar gran cantidad de información, como el estudio realizado por HP en 2014 sobre el tema. 

Según el blog "Segu-Info"[ii], que comentaba dicho estudio, se encontró una media de 25 vulnerabilidades en cada dispositivo examinado -cámaras web, termostatos, tomas de alimentación remota, alarmas, cerraduras, etc.- lo que los hace estar expuestos a ataques. El fácil acceso a cualquiera de ellos, manipulables a distancia, no sólo podría servir para modificar datos o comportamientos del propio dispositivo sino para hacer de puerta de  acceso a otros dispositivos teóricamente más protegidos con los que estuvieran conectados, como ordenadores o teléfonos.

Botnets, Mirai y Dyn

La falta de protección de estos objetos hace que sea fácil introducir en ellos malware por personas no autorizadas con el fin de tomar control sobre ellos y ordenar acciones cuando quieran. De esta manera los atacantes forman una red de dispositivos a sus órdenes. Esta red es lo que se conoce como "botnet", red de dispositivos comprometidos. 

Hasta ahora, las botnet estaban fundamentalmente formadas por ordenadores personales, a los que se han ido uniendo teléfonos, tabletas, y en el momento actual cualquier objeto más simple conectado, mucho más sencillo de controlar que los anteriores. Estos objetos vienen con una configuración de fábrica, incluidas las contraseñas, las cuales, en muchos casos, como el de los routers, están publicadas en Internet por fabricante y modelo; en otros, están recopiladas en diccionarios utilizados para perpetrar ataques con herramientas de forma automática. 

Incluso hay dispositivos para los cuales entre las recomendaciones del fabricante está la de no cambiar la contraseña, ya que podría dejar de funcionar correctamente, o también que esta acción sea realmente difícil para llevarla a cabo por los propios usuarios [iii]. 

El pasado 21 de octubre se produjo un ataque de denegación de servicio distribuido o DDoS (Distributed Denial of Service) contra la empresa Dyn, utilizando para ello un malware -"Mirai"- para comprometer miles de dispositivos de la IoT. Dyn es un proveedor de DNS's. El DNS -Domain Name System- es una tabla que relaciona la dirección digital -dirección IP, una serie de ceros y unos- dónde reside una página, con su nombre o URL (Uniform Resource Locator)  -ej. www.twitter.com-, que es la forma acostumbrada al navegar o buscar una página. 

Ese ataque, citando el blog de "Kaspersky Lab"[iv] se produjo por medio de una botnet de miles de dispositivos conectados (IoT) lanzando tantas peticiones a la vez a los servidores de la empresa -1,2 terabits/sg- que los colapsaron. 

La consecuencia fue que no se pudo acceder durante unas horas a las web correspondientes a las URL's de empresas (muchas muy grandes) registradas en servidores de Dyn. Más de 80 grandes websites y servicios en-línea quedaron inaccesibles, como si se hubiera ejecutado un ataque sobre todas ellas a la vez, y no estuvieran accesibles. ¡Y no lo estaban! No se podía encontrar la dirección IP de las url's correspondientes ya que el servidor de DNS no podía responder.  

Entre las páginas afectadas figuraban Netflix, PayPal, Sony PlayStation, y, tampoco se podía tweetear, porque también Twitter era un cliente de Dyn.    

Siguiendo con el mismo post del blog de "Kaspersky Lab" citado, "Mirai" ya se utilizó en el mes de septiembre de este año para lanzar un ataque sobre el blog [v] del periodista de seguridad Brian Krebs, colapsando el servidor con peticiones de 665 gigabits/sg procedentes  de 380.000 dispositivos zombis.

Poco después del ataque, se publicó el código fuente de "Mirai", provocando que el número de bots aumentara. El ataque a Dyn ocurrió menos de un mes después. 

El pasado 14 de octubre y unos días antes del ataque a Dyn, el "Department of Homeland Security" de los EEUU publicó una alerta [vi] sobre "Mirai" y sobre los peligros de los ataques DDoS por botnets de dispositivos de la IoT. La alerta también preveía posibles ataques futuros. Concretamente "Mirai" se apoya en dispositivos de la IoT, tal como routers de los hogares, cámaras con IP y aparatos de vídeo.  

El éxito de los ataques DDoS sólo dependen de lanzar solicitudes suficientes para colapsar la capacidad de los servidores atacados, es decir, el ancho de banda. Cuanto más ancho de banda más peticiones a la vez se necesitan, o lo que es lo mismo, más dispositivos. Pero su número no parece que vaya a ser un problema con la IoT, con la que se puede contar con billones de dispositivos conectados para hacer una botnet, o unir varias de las ya existentes. 

La "casa inteligente" 

Se puede definir como un edificio en el cual hay una red domótica que abarca comunicaciones, seguridad, iluminación, climatización, aparatos de música, televisión, puertas, y cualquier objeto al que se le haya dotado de un chip y pueda proporcionar alguna función en el hogar.  

Estos objetos, conectados a Internet, pueden ser manejados a distancia por otros dispositivos y/o por un ordenador, teléfono o tableta, con o sin intervención humana, pueden enviar alertas, e incluso, pueden hablar, caso de "Echo"[vi]i de Amazon. Este dispositivo con su interfaz de voz "Alexa", responde preguntas como si de una "Wikipedia" parlante se tratara, proporciona información sobre la previsión meteorológica u horarios de eventos locales; además, es un reproductor de música, y puede controlar niveles de luz o termostatos. 

"Echo" siempre está escuchando las conversaciones por si se dice "Alexa", en cuyo caso tiene que responder. En la casa hay otros aparatos que también están a la escucha, como el televisor cuyo mando se ha sustituido por la voz. 

Para la seguridad en la casa hay cámaras, que estarán conectadas o desconectadas según los requerimientos de los habitantes de la casa. 

Las puertas de la calle o del garaje se abrirán cuando detecten a alguien o algo, como el coche, que tenga permiso para entrar, bien por alguna señal enviada por algún otro dispositivo, por reconocimiento facial o por la voz. 

Todas estas funciones se apoyan, como ya se ha dicho, en chips que constituyen pequeños ordenadores con sus mismas necesidades de seguridad pero sin las medidas que sus homólogos más tradicionales, los ordenadores o los teléfonos, ya tienen. Y todos estos aparatos están en el hogar.  

Ya se ha apuntado que cualquiera puede fácilmente acceder a los "objetos inteligentes" que conforman el "hogar inteligente", con lo cual la confidencialidad y la integridad de los datos que recogen, procesan y comunican están en entredicho. Son datos que se pueden robar, divulgar o vender; y el software se puede manipular. 

Un escenario podría ser el siguiente: se podría modificar el software de la cerradura para dejar pasar a un intruso. La cerradura conectada con las cámaras de vigilancia, las indica que todo es correcto y no se activa la alarma. El intruso previamente ha recogido datos de las costumbres de los habitantes de la casa gracias a los objetos de escucha y a las cámaras. 

La ingeniería social [viii], técnicas psico-sociológicas para obtener ilegítimamente información de terceros,   nunca fue tan sencilla. El intruso puede anticipar que no haya nadie en casa o que quien esté no le vaya a suponer un problema. 

Según "Help Net Security" en un artículo [ix] del 19 de septiembre pasado, parece que hay un alarmante incremento de "ransomware" (extorsión basada en la amenaza del cese de un servicio tecnológico), en televisores inteligentes y en cámaras conectadas, ataques de inyección de código y amenazas de "día-cero", así como muchas vulnerabilidades en protocolos de comunicación para el "hogar inteligente".  

Esta falta de seguridad que puede servir para recoger datos sobre todo lo que ocurre en el hogar, espacio que es considerado eminentemente privado, es lo que constituye una preocupación especial en la seguridad de la información en general.  

Teniendo en cuenta que los objetos "escuchan" y "ven", la información disponible no son sólo datos acerca de la temperatura de la casa o del nivel de iluminación deseada, es información sobre lo que dicen y hacen las personas que la habitan, sus costumbres y sus gustos, información personal e íntima que expone la vida de sus habitantes a ojos y oídos no deseados. 

Conclusión

La importancia de la seguridad de la IoT en general, y de los dispositivos inteligentes para los hogares en particular se torna vital. Por una parte, la inseguridad de estos dispositivos los hace muy apetecibles para ser utilizados para actividades no deseadas. Y teniendo en cuenta su gran número, su potencia de ataque es extraordinaria, pudiendo inhabilitar parte de Internet actuando sólo sobre unos cuantos servidores -ataque a Dyn-. Por otra, puede hacer de nuestros hogares un lugar inseguro y vigilado. 

¿Tienen los ciudadanos que ser expertos en ciberseguridad para tener su casa segura? 

El número 315 de "Cuadernos de Seguridad", del pasado mes de octubre, contiene una entrevista a Miguel Ángel Abad, Jefe del Servicio de Seguridad del Centro Nacional para la Protección de Infraestructuras Críticas o CNPIC. En ella Abad opinaba lo siguiente: 

"... pongo en duda que los usuarios deban convertirse en expertos en ciberseguridad. A nivel personal opino que la ciberseguridad debe evolucionar hacia sistemas transparentes para el usuario final," 

A los ciudadanos no se les debería convencer de que son ellos responsables de que sus dispositivos sean seguros. Son los fabricantes los que deben proporcionar dispositivos seguros, e instalarlos en los hogares de forma segura, haciéndose responsables de los posibles fallos que puedan tener, análogamente a otros cualesquiera fallos físicos de funcionamiento.  

Pero corresponde a la sociedad civil, a los ciudadanos, las asociaciones, los partidos políticos, los colegios profesionales crear un estado de opinión que fuerce a los políticos a un necesario esfuerzo regulador. Y mientras tanto, no estaría de más mantenerse informado sobre lo que puede traernos un empacho de tecnología, dejándonos embaucar por lo atractivo de lo que nos aporta, sin considerar que podemos estar (y estamos) metiendo el caballo de troya en el dormitorio de nuestros bebés, en el coche automático o en la 'termomix'.

* * *

Este artículo fué publicado originalmente por @PuntoSeguridad.com/"Cuadernos de Seguridad", diciembre, 2016, nº 317, pg.64, Ciberseguridad – "Cómo la «casa inteligente» desvela nuestras vidas" – María José de la Calle.  

---------------------------------

[i] Mirko Zorz (9 de mayo, 2016). "Internet of Fail: How modern devices expose our lives". HelpnetSecurity.  url [a 30-10-2016] https://www.helpnetsecurity.com/2016/05/09/internet-of-fail/ 

[ii] "Segu-Info" (5 de agosto, 2014) "Internet of Things: un promedio de 25 vulnerabilidades por dispositivo". url [a 30-10-2016] http://blog.seguinfo.com.ar/2014/08/internet-of-things-un-promedio-de-25.html  

[iii] Brian Krebs (16 de octubre, 2016) "Who Makes the IoT Things Under Attack?" KrebsOnSecurity. url [a 30-10-2016] https://krebsonsecurity.com/2016/10/who-makes-the-iot-things-under-attack/ 

[iv] Kate Kochetkova (26 de octubre, 2016) "How to not break the Internet". Kaspersky-lab. url [a 30-10-2016] https://blog.kaspersky.com/attack-on-dyn-explained/13325/ 

[v] Brian Krebs (16 de septiembre, 2016) "KrebsOnSecurity Hit With Record DDoS". KrebsOnSecurity. url [a 30-10-2016]  https://krebsonsecurity.com/2016/09/krebsonsecurity-hit-with-record-ddos/ 

[vi] "Heightened DDoS Threat Posed by Mirai and Other Botnets" (14 de octubre, 2016). DHS. url [a 30-10-2016] https://www.us-cert.gov/ncas/alerts/TA16-288A  

[vii] url [a 30-10-2016] https://www.amazon.com/Amazon-Echo-Bluetooth-Speaker-with-WiFi-Alexa/dp/

[viii] url [a 30-10-2016]  https://es.wikipedia.org/wiki/Ingenier%C3%ADa_social_%28seguridad_informática%29 

[ix] "Connected devices riddled with badly-coded APIs, poor encryption" (9 de septiembre, 2016) "Help Net Security" url [a 30-10-2016] https://www.helpnetsecurity.com/2016/09/19/connected-devices-insecurity/ 

"... lo digital se debe ver menos como una cosa y más como una forma de hacer las cosas."

McKinsey, jul-2015 [i]

Los dispositivos y las comunicaciones han cambiado las formas y maneras en las que personas y cosas interactúan. Estas nuevas formas han penetrado en la Sociedad, primero, e impactado, desde ella, a las empresas. 

Sirva como ejemplo, la irrupción, hace unos años, de los dispositivos móviles en el mundo corporativo. Dicha irrupción dio lugar a una corriente conocida como "Traiga Su Propio Dispositivo" (del inglés "Bring You Own Device", BYOD). Corriente que, si bien supuso inicialmente algún problema de seguridad, hoy, aparentemente superado, acercó a las organizaciones nuevas prácticas y nuevos usos.

Algo parecido ha ocurrido con el fenómeno SMAC, siglas en inglés de "Social" (Redes sociales), "Mobile" (Móvil), "Analytics" (analítica), "Cloud" (nube). A lo largo de la última década las empresas han ido incorporando una serie de conceptos tecnológicos en su intento por mejorar e innovar. Tecnologías como las redes sociales, las comunicaciones móviles, el análisis de  datos "a lo grande" ("Big Data", en su expresión inglesa) o la computación en la nube, han pasado a formar parte del discurso habitual en cualquier organización, a lo que, recientemente se le ha sumado la Internet de las Cosas (del inglés "Internet of Things", IoT). 

Estos y otros ejemplos demuestran que la adopción y la penetración de la tecnología en empresas y organizaciones han tenido como consecuencia un cambio en la forma de entender y hacer los negocios. Y ello independientemente del origen de tal adopción. A veces debida a sus propios empleados, mediante el uso, inicialmente personal, que hacen de dispositivos y aplicaciones móviles, o de las redes sociales, para relacionarse entre sí, con sus clientes y con sus proveedores. Otras veces derivada de la conveniencia para la empresa de garantizar la disponibilidad de informes o datos corporativos en cualquier momento o lugar. En el caso de la analítica de datos, por sus ventajas en diferentes vertientes, desde el marketing, como caso particular, hasta la toma de decisiones corporativas, en general. 

Paralelamente, la rapidez con la que van apareciendo las distintas tecnologías, parece impeler una urgencia en dar respuesta a dicho cambio, urgencia que no hace sino dificultar su asimilación e incorporación a la cultura corporativa. Máxime cuando tal tarea, por lo general, requiere bastante más tiempo que el que marca el ritmo de cambio tecnológico. 

No es suficiente, por tanto, iniciativas aisladas -bien de empleados, bien de departamentos- en el uso de este tipo de herramientas para que la empresa extraiga, realmente todo el potencial que la tecnología le ofrece. Su crecimiento, competitividad, cuota de mercado y el logro de una mayor satisfacción entre sus clientes, requieren de otro enfoque.

Se hace necesaria una integración ordenada de todas estas tecnologías -amén de otras que surjan- en los procesos de negocio de la organización. Han de definirse normas y directrices, y crearse herramientas para automatizar dichos procesos, en la medida de lo posible. Y todo ello ha de ser asumido e interiorizado tanto por quienes forman parte de la empresa, cuanto por aquellos otros individuos con los que ésta interactúa (clientes, proveedores, etc.). Ese cambio de hábitos les afectará a todos. 

Las nuevas soluciones tecnológicas abren un abanico de posibilidades de transformación del negocio, bien con la mejora de los producto y/o servicios que componen la actual oferta, bien generando otros nuevos. Pero sean cuales sean los cambios que se produzcan, la evolución digital requerirá estar en sintonía con el cliente, seguir sus comportamientos y atender sus expectativas. Sólo de este modo se garantizará la creación de valor, tanto para aquel, como, por extensión, para la propia empresa.

La cita que encabeza este artículo deja claro que lo digital transciende las tecnologías, debiendo verse más como una [nueva] forma de hacer las cosas, como una novedosa estrategia para el negocio. Una estrategia digital que se verá impulsada, eso sí, por las potentes capacidades tecnológicas actuales y venideras; y, al mismo tiempo, por la propia habilidad de la organización para adaptarse a las cambiantes condiciones del mercado.

Ello requerirá de unos firmes cimientos que soporten el modelado de nuevas estructuras organizativas, la definición de nuevos modelos y procesos de negocio y la promoción de una nueva cultura corporativa. 

Retos a los que no podrán ser ajenos los individuos al frente de la organización, comenzando por aquellos que ocupen un asiento en su órgano de gobierno, quienes, inexcusablemente habrán de incluir lo digital en su agenda de Gobierno Corporativo. 

* * *

Este artículo fué publicado originalmente por ComunicacionesHoy, nº 157, 8-11-2016. Referencia: Opinión, pg.14 – "La estrategia de lo digital" – María José de la Calle.  

----------------------------------

[i] "... digital should be seen less as a thing and more a way of doing things." Karel Dörner and David Edelman (Jul, 2015). "What ‘digital’ really means". McKinsey. url [a 15-10-2016]  http://www.mckinsey.com/industries/high-tech/our-insights/what-digital-really-means   

La Comisión Europea, en el documento titulado "Hacia un desarrollo de la economía conducida por los datos"[i] expone los beneficios para Europa del tratamiento de los datos o del Big-Data. Los datos y su tratamiento constituyen una nueva fuente de riqueza. 

Y al contrario, también es cierto. La realidad física del dinero se está difuminando en una realidad virtual al transformarse en datos residentes en ordenadores y que viajan por las redes de comunicaciones cambiando de propietario, como pago de bienes tangibles o intangibles, realizándose transacciones con intervención humana o sin ella.   

Ejemplo de ello son las contrataciones de valores en las bolsas, que son operaciones informatizadas en base a algoritmos capaces de examinar gran cantidad de parámetros, y que van informando de los cambios o tomando decisiones en tiempo real.  

Unas operaciones las realizan los agentes ayudados por las máquinas [ii] y, otras las realizan las propias máquinas, que lanzan órdenes al mercado financiero en cuestión de milisegundos. Esto último es la "contratación -o negociación- de alta frecuencia" o high frequency trading (HFT), que se utilizan para obtener beneficio a corto plazo, es decir, mantener una posición el menor tiempo posible, que a veces son milisegundos, o segundos, o minutos incluso. Los tiempos en las HFT son tan cortos e importantes que los equipos se suelen colocar lo más cerca posible de la bolsa para reducir el tiempo de comunicación entre  la máquina del operador y la de la bolsa en la que opera.   

En un ámbito más común, los pagos con tarjeta de crédito ya tienen varias décadas, y con la llegada de internet se adaptó también para pagar en compras por este medio; a día de hoy, ya se pueden realizar pagos con el teléfono -móvil- y almacenar dinero en él como si de una tarjeta de crédito se tratase, a través de una aplicación (App). Es suficiente con acreditar que se dispone de la cantidad a abonar, en el caso de pago,  y dónde está direccionado, es decir, la cuenta bancaria. Es el sistema bancario más difundido en África. 

¿Seguirán usándose la tarjeta y la cuenta bancaria? Quizás, como afirma Bill Gates en su carta anual de 2015 [iii], "hacia el 2030, dos mil millones de personas que no tengan una cuenta bancaria guardarán dinero y realizarán pagos con su teléfono. Y por entonces, los proveedores de dinero "móvil" ofrecerán un rango completo de servicios financieros, desde cuentas de ahorro con interés para ahorro, a créditos y seguros".  

Esta digitalización o virtualización del dinero, junto con la explosión del uso de las comunicaciones móviles, ha tenido como resultado que pequeñas empresas tecnológicas -o grandes, como Apple o Google-, apoyándose en su conocimiento de la tecnología, hayan creado nuevas formas de proveer servicios financieros tradicionalmente ofrecidos por el sector bancario, desde los ya comentados pagos y transacciones, monederos digitales o créditos hasta asesoría financiera e inversiones, lo que ha obligado a la Banca más tradicional a plantearse el cambio hacia esta nueva manera de hacer. Para las tecnológicas "metidas a banqueros" se ha acuñado el término fintech, contracción de los vocablos ingleses “financial” y “technology”.  

La virtualización del dinero ha tenido su mayor exponente en la moneda nacida ya virtual, sin existencia física previa: el Bitcoin. No depende de ningún gobierno, institución o entidad financiera, como las monedas al uso, el control lo realizan los propios usuarios mediante transacciones directas entre ellos, anónimas y cifradas. Su uso es a través de aplicaciones y, como tal moneda, se puede utilizar para la compra-venta de productos y servicios allá donde la acepten. Pero el Bitcoin tiene actualmente dos aspectos negativos importantes: por una parte, tiene una alta volatilidad cambiaria; por otra, se ha convertido en la moneda refugio de las mafias, dado su anonimato. 

Sin embrago, la verdadera revolución está en el mecanismo en el que se basa el Bitcoin, el "blockchain" o "cadena de bloques", donde se va apuntando cada una de las transacciones realizadas, como de si un libro de contabilidad se tratara, un sistema criptográfico que permite la confianza entre agentes sin necesidad de una autoridad central (el banco emisor), un medio para intercambio y almacenamiento de valor. 

Están surgiendo por parte de la Banca tradicional y empresas tecnológicas otras iniciativas de nuevas monedas y servicios basados en el principio funcional del Bitcoin. Veamos algunas aparecidas recientemente:

"Santander se alía con UBS, Deutsche Bank y BNY Mellon para impulsar el uso del dinero digital"[iv], noticia del diario "Expansión", del 24 de agosto pasado, en la que informa de que dicha alianza desarrollará el sistema 'Utility Settlement Coin' (USC) basado en la tecnología blockchain, el cual "facilitará pagos y liquidaciones de forma eficiente, rápida y segura". 

"Microsoft y Bank of America se alían para desarrollar tecnología blockchain"[v], noticia de "elEconomista" del 28 de septiembre pasado, en la que informa que dichas entidades "han acordado colaborar para desarrollar la tecnología 'blockchain' con el objetivo de impulsar la transformación de las transacciones financieras".  

La Banca, como otros muchos sectores, está también embarcada en un proceso de digitalización no sólo del dinero sino de sus procesos, a juzgar por las noticias, ya habituales donde aparecen unidas la Banca y la Tecnología. Ejemplo de ello, por citar algunos, es la compra de, o la colaboración con las Fintech, el servicio de asesoramiento personalizado a las empresas a través de video-conferencia lanzado por CaixaBank, o el acuerdo de BBVA y Banco Santander con Red-Hat para desarrollar sus respectivas "nubes".

Seguridad en el sector bancario

Que los bancos utilicen ordenadores para su gestión no es una novedad. Sí lo es que la mayoría de las operaciones se realicen a través de dispositivos y software en cualquier sitio donde haya comunicación por Internet, entre entidades bancarias, entre entidades bancarias y sus clientes, y entre los clientes directamente para sus negocios o sus vidas privadas, fuera de los límites del edificio de una entidad bancaria, por cualquier persona y no por un empleado bancario.  

Por ello han aumentado los riesgos de seguridad, del dinero en particular y los activos financieros en general, que se han transformado en información en continuo movimiento por las redes de comunicaciones, con acceso desde cualquier lugar. No hay que olvidar que el sector financiero es el primer objetivo para ladrones en general y cibercriminales en particular, ya que es en estas instituciones donde realmente está el dinero, y la superficie de exposición, como ya se ha visto, ha aumentado considerablemente.

Tanto es así, que la empresa "Raytheon", en el estudio [vi] realizado en el año 2015 sobre la seguridad en el sector financiero, encontró lo siguiente:  

- Los incidentes de seguridad en entidades financieras son 300% más frecuentes que en otros tipos de industria. 

- El 33% de los intentos de ataque tienen como objetivo servicios financieros. 

- Las entidades financieras ocupan el tercer lugar en cuanto a objetivos de “typosquatting”[vii]. 

Es conocido el daño que una crisis financiera causa en la sociedad, y la interconexión y dependencia entre las distintas entidades. Todos recordamos cómo la quiebra de "Lehman Brothers" en el 2008 disparó la crisis. Por este motivo, la importancia de la seguridad en los sistemas financieros es indiscutible ya que, un gran incidente de [ciber]seguridad puede llegar a causar una crisis que afecte no sólo a dicha entidad y sus clientes, sino a otras entidades e incluso al sistema financiero de un país, o de varios países. Tan es así, que España tienen al sistema financiero como perteneciente a uno de los 12 sectores que aseguran la prestación de servicios esenciales, a los que pertenecen las consideradas "Infraestructuras Críticas". 

Seguridad del dinero = ciberseguridad

El dinero ha entrado en la corriente de los datos y de la información, y la forma de acceder a él es la misma que a los datos en general; consecuentemente la seguridad del dinero es ciber-seguridad, seguridad informática y seguridad de la información. 

La seguridad de los datos o seguridad de la información se apoya en tres principios ampliamente conocidos: confidencialidad, integridad y accesibilidad, o expresado de otra manera, los datos deben ser accesibles por personas o sistemas autorizados cuando éstos así lo requieran, y sólo por éstos, y en la forma en que en ese momento sea pertinente y lo tengan permitido. 

Un incidente de seguridad se puede definir como cualquier suceso que no forma parte de la operación normal de un servicio y que causa, o puede causar, una interrupción o una disminución de la calidad de dicho servicio, incluyendo la violación de una norma de seguridad o el fallo de una salvaguarda. 

Según esta definición, las causas de los ciberincidentes son múltiples. Un mal funcionamiento o interrupción de un sistema no tienen porqué proceder del ciber-delito. Muchas veces son incidentes producidos errores o fallos internos: un error de software, eliminación de algún dato por error, actualizaciones no llevadas a cabo adecuadamente, fallos en el mantenimiento del hardware, y errores humanos en general. 

* *

Para terminar, los nostálgicos que quieran tener dinero en efectivo, también con el móvil lo pueden tener. El banco "ING Direct" acaba de sacar un servicio que, como si de una compra se tratara, en la caja de algunos supermercados o gasolineras puedes "pagar" con el móvil y se obtiene esa misma cantidad en efectivo [viii]. 

* * *

Este artículo fué publicado originalmente por @PuntoSeguridad.com/"Cuadernos de Seguridad", noviembre, 2016, nº 316, pg.92, Ciberseguridad – "El dinero como datos" – María José de la Calle.  

---------------------------------------------------

[i]  "Towards a thriving data-driven economy", (24 de febrero, 2016). European Comission. url [a 9-10-2016] https://ec.europa.eu/digital-single-market/en/towards-thriving-data-driven-economy   

[ii] J.A.Pérez (oct, 2011) "Negociación de  Alta Frecuencia: Más Ventajas que Incovenientes" url [a 9-10-2016] http://www.bolsasymercados.es/esp/publicacion/revista/2011/12/46-50_act-rep_alta_frecuencia.pdf  

[iii] "By 2030, 2 billion people who don't have a bank account today will be storing money and making payment with their phones. And by then, mobile money providers will be offering the full range of financial services, from interest-bearing savings accounts to credit to insurance." "2015 Gates Annual Letter".  url [a 9-10-2016] https://www.gatesnotes.com/2015-annual-letter?page=0&lang=en  

[iv] "Santander se alía con UBS, Deutsche Bank y BNY Mellon para impulsar el uso del dinero digital", (24 de agosto, 2016). Expansión. url [a 9-10-2016] http://www.expansion.com/empresas/banca/2016/08/24/57bd61bce5fdea154d8b467a.html 

[v] "Microsoft y Bank of America se alían para desarrollar tecnología blockchain" (28 de septiembre, 2016) url [a 9-10-2016] http://www.eleconomista.es/tecnologia/noticias/7853084/09/16/Microsoft-y-Bank-of-America-desarrollaran-en-conjunto-la-tecnologia-blockchain.html  

[vi] "2015 Industry Drill-Down Report Financial Services" (2015). Raytheon/ Websense Lab. url [a 9-10-2016] http://www.websense.com/assets/reports/report-2015-industry-drill-down-finance-en.pdf 

[vii] "¿Qué es el "Typosquatting"?", (7 de noviembre, 2004). uni>ersia. url [a 9-10-2016] http://noticias.universia.es/ciencia-nn-tt/noticia/2004/11/07/610533/que-es-typosquatting.html 

[viii] url [a 9-10-2016] https://www.ingdirect.es/twyp/twyp-cash.html  

Cuando los objetos físicos incluyen microchips que tienen en mayor o menor grado capacidades de un ordenador, e incluso que pueden tomar decisiones en el mundo físico, la seguridad se torna vital. En robótica, esto supone el salto a robots no dedicados a una tarea y  no asentados en un espacio, sino que pueden aprender dentro de un ámbito y se pueden mover. "Planifica para lo peor. IoT debe tener capacidades para responder a ataques, malware o cualquier incidente negativo, antes de que sea necesario"[i].

De la IoT

"Nosotros somos entes físicos, y también nuestro entorno. Todavía hoy la tecnología de la información es tan dependiente de los datos originados por las personas que nuestros ordenadores saben más de ideas que de cosas. Necesitamos capacitarlos para que con sus propios medios recojan información por ellos mismos. RFID y sensores capacitan a los ordenadores para observar, identificar y entender el mundo."[ii]

Este párrafo pertenece al artículo "That 'Internet of Things' Thing", publicado en junio de 2009, y escrito por Ashton Kevin, al cual se le atribuye el haber acuñado el término de "Internet de las Cosas" o IoT (Internet of Things), hecho que recuerda él mismo al comienzo de dicho artículo. 

La idea de Ashton, como el mismo indica, era la de que los ordenadores pudieran recoger información de objetos físicos para hacer un seguimiento y recoger medidas de sus estados, y así poder informar de cuando las cosas tuvieran que se reemplazadas, reparadas, o si habían caducado o no; todo ello sin intervención humana.

Esto parece haberse ya realizado con creces al haber insertado en casi cualquier objeto al uso pequeños dispositivos -microchips- capaces de, como mínimo, conectarse a Internet, recoger datos y ser capaces de enviarlos a otros dispositivos u ordenadores. 

La "Internet de las cosas" ha conformado una infraestructura de red global basada en protocolos de comunicación estándar e interoperables, que ha venido a sumar a los datos ya producidos e introducidos por las personas en los ordenadores, los recogidos por objetos, de ellos o del entorno, a los que se han incorporado  microchips para estos efectos -sensores y medidores-, incrementado la cantidad de datos existentes. 

Según Rob Highi[iii], vicepresidente y CTO de IBM-Watson, ya en el 2015 se generaron del orden de 2,5 exabytes (EB = 1018 bytes) cada día, de los cuales sólo vemos y utilizamos una pequeñísima parte, y para el 2020 se espera que ese número crezca hasta los 44 zettabytes (ZB = 1021 bytes).   

Pero los microchips pueden hacer otras muchas cosas, como almacenar gran cantidad de datos -memorias-o realizar operaciones lógicas y aritméticas -procesadores-, lo que se traduce en la ejecución de aplicaciones. Constituyen pequeños ordenadores dentro de los objetos, conectados entre sí - a través de Internet- y que tienen la capacidad de ejecutar código, de ver -cámaras-, oír -micrófonos- oler -procesar sustancias químicas- y, en definitiva, sentir el mundo físico que los rodea y actuar sobre él. A estos dispositivos que disponen de capacidad de computación y de conectividad se les ha llamado "dispositivos inteligentes" (smart devices). 

Los objetos han cobrado una identidad propia, por una parte virtual que los identifica como únicos en Internet, y por otra su realidad física asociada a la virtual, con lo que otros objetos y personas los pueden identificar.  

Un ejemplo reciente lo constituye el paraguas "oombrella"[iv], proyecto que empezó en el 2014 y que finalizará, previsiblemente, en otoño de este año 2016 con la salida a la venta de dicho paraguas. 

Realiza tres funciones básicas: 1) envía a un smart-phone alertas del tiempo local, por ejemplo "lloverá en 15 minutos. Llévame contigo"; 2) envía alerta a un  smart-phone si se aleja de él de 30 a 50 metros, algo como "no me dejes"; y 3) comparte datos meteorológicos con la comunidad "oombrella". 

Para llevar a cabo todo esto, dispone de una plataforma de hardware compuesta de sensores de temperatura, humedad, presión y luz, para recoger datos meteorológicos; de procesador para,  con los datos recogidos, estimar el tiempo meteorológico; y de las comunicaciones con un teléfono, y con el servicio en la nube que constituye la plataforma de software "wezoo", un servicio que funciona como una red social y que predice el estado del cielo en tiempo real en base a los datos recogidos de los paraguas de la comunidad, y que, a su vez envía alertas a sus miembros. 

A esta tecnología de red de objetos que se comunican entre sí, compartiendo datos, y que conecta el mundo físico y el mundo virtual a través de servicios en la nube, se le ha llamado IoT. 

El mundo físico se ha transformado en un enorme sistema de información el cual, junto a los algoritmos de aprendizaje de las máquinas, tiene como resultado que éstas "lo identifiquen y lo entiendan", tal y como deseaba Ashton Kevin, capacitándolas para tomar decisiones y actuar en él, sin intervención humana. 

Sin embargo, con la llegada de las "máquinas pensantes" y "actuantes" sobre aquel, se ha dado un salto cualitativo en cuanto a la seguridad de la información: desde la seguridad de objetos virtuales, a la seguridad de objetos físicos y a la de las personas, o como dirían los anglo-parlantes, del "security" al "safety". 

Algunos datos históricos acerca de la seguridad de la información

Antes de la época de los sistemas electrónicos, el guardar ante terceros ya era una preocupación. Una de las técnicas que se utilizan para mantener la confidencialidad de la información y a buen recaudo sus secretos es la criptografía, técnica cuyo uso se remonta al siglo V antes de Cristo, utilizada por el pueblo griego de Esparta, según nos cuenta el programa educativo "Criptored" de la UPM[v].

La seguridad informática es tan antigua como la existencia de los ordenadores, así como el empleo de contraseñas de acceso a las máquinas, y estos dispositivos son pequeños ordenadores. Con la seguridad informática, y siguiendo con "Criptored", "estamos centrando nuestra atención en aquellos aspectos de la seguridad que inciden directamente en los medios informáticos en los que la información se genera, se gestiona, se almacena o se destruye; siempre desde el punto de vista tecnológico de la informática y de la telemática". 

J.P.Anderson escribió en 1980 un documento titulado "Vigilancia y Monitorización de las Amenzas de Seguridad Informática", en el cual podemos encontrar la siguiente definición de "Amenaza: la posibilidad de un intento deliberado y no autorizado de a) acceder a la información; b) manipular la información; c) convertir un sistema en no-confiable o inútil"[vi].

El primer virus del que se tiene noticias que se extendió fuera de los límites de un laboratorio fue el virus "Elk Cloner"[vii] desarrollado a principios de los 80 para el "Apple II" y que se propagaba entre distintos ordenadores a través de diskettes. 

Con la llegada de internet -años 90- a empresas y hogares, la propagación de malware y la capacidad de entrar en cualquier dispositivo conectado se hizo mucho más sencilla. La seguridad del software y de las redes y dispositivos conectados empezó a cobrar su importancia. Surgieron los antivirus; se empezó a tomar en serio las contraseñas; aparecieron los firewall, primero sistemas hardware y posteriormente también software o una combinación de ambos; la criptografía y el cifrado de claves salió de ámbitos restringidos como gobiernos o bancos, para popularizarse en productos al consumo. 

Se acuñó un nuevo concepto, ciberseguridad, para agrupar los medios a emplear para minimizar los riesgos asociados al empleo de sistemas conectados para el tratamiento de datos y de la información, que se puede definir como "Protección de los activos de información por medio del tratamiento de las amenazas a la información procesada, almacenada y transportada por medio de sistemas de información interconectados"[viii]. 

El término "ciberseguridad", que se aplica hoy día a toda la seguridad de la información, supone un abuso del lenguaje, al tomar una parte -seguridad de la información en sistemas interconectados- por el todo.  

Si tan importante es la información, ¿por qué no se va aplicando lo ya conocido a las nuevas formas de tratarla y nuevos dispositivos? 

Los conceptos de confidencialidad, integridad y disponibilidad, los tres pilares en los que se apoya la seguridad de la información, no han perdido su vigencia, todo lo contrario. 

Tristemente, después de que los ordenadores personales se llenaran de virus en particular y malware en general, y de antivirus y medidas de seguridad, cual si de un sistema biológico se tratara en el que conviven el sistema inmunológico con gran cantidad de bacterias y virus, llegaron los dispositivos inteligentes, y de nuevo hubo que buscarles protección después de que hubieran penetrado en el mercado. 

Creo que no es necesario citar casos de todos conocidos ya que no hay más que buscar en Internet para encontrar abundante literatura sobre ello, desde automóviles, teléfonos, televisores, juguetes y así un largo etc., robando información, inhabilitando los dispositivos para su uso o invadiendo nuestra intimidad. 

... a la IIoT [ix]

La IoT se puede encuadrar en la interacción humana con los objetos. Los dispositivos son capaces de enviar mensajes a otros que nos sirven de interfaces cuando se producen ciertas situaciones, como que va a llover -el caso del paraguas- o si han entrado intrusos en nuestras casas. Así mismo, las personas por medio de los dispositivos tenemos la capacidad de controlar y monitorizar a distancia, desde cualquier sitio, objetos y condiciones, y la posibilidad de actuar sobre ellos.  

Esta tecnología, llevada al mundo de la industria es a lo que se ha llamado "La Internet de las cosas en la Industria" o IIoT (Industrial Internet of Things), o también Industria 4.0. 

Con esta tecnología, se ha dotado a sensores, medidores, bombas, máquinas-herramientas, motores, etc. de capacidad de comunicación e intercambio de datos entre ellos y con sistemas de control, a través de Internet, desde las áreas de producción en tiempo real, lo cual proporciona potentes herramientas de mantenimiento, ya que las máquinas pueden informar en todo momento de cuál es su estado -de cuándo hay que actualizarlas o repararlas, o cómo es su rendimiento-, incluso estos sistemas podrían alterar su comportamiento en respuesta a condiciones cambiantes. 

Los beneficios que aporta esta tecnología a la industria están, por una parte, en los servicios de almacenamiento y aplicaciones que la nube provee, y el análisis, gestión y mantenimiento de datos, que big-data proporciona, constituyendo herramientas potentes de toma de decisiones; y por otra, en la robótica. 

Según "Control design"[x], la robótica hasta ahora se basaba, al igual que los ordenadores convencionales, en realizar una operación -aquella para la que estaba programada- una y otra vez, y en un sitio determinado. Con los algoritmos de la IA -Inteligencia Artificial-, a la máquina se le indica lo que tiene que hacer, y la manera en que lo hace ella misma la va adaptando según las situaciones por las que va pasando. 

La IA amplía visión, movimiento y capacidad de actuar del robot. "El robot [colaborativo] se define por lo que está haciendo en el lugar que lo está haciendo, no por el robot en sí mismo. Los robots se diseñan para trabajar en cooperación con las personas dentro de un espacio de trabajo donde robots y humanos pueden realizar tareas simultáneamente".  

Tal es el caso de la factoría de Siemens en Amberg[xi] (Baviera) en la cual los empleados fundamentalmente se encargan de tareas de supervisión y control de lo que realizan las máquinas. Estas proporcionan información en tiempo real, entre ellas, para controlar y seguir el proceso de producción, y a un ordenador desde donde una persona puede revisarlo. El software define los procesos de fabricación y cada paso y estado de dicho proceso, desde su inicio hasta su fin, puede ser grabado. Alrededor de 50 millones de registros se generan cada día. 

Según un artículo publicado por "El Mundo"[xii] en junio de 2014, "el perfeccionamiento de la cadena de producción queda patente en los resultados: si en 1990 la misma fábrica desechaba 550 productos por millón por ser defectuosos, en 2013 esa cifra cayó un 97%, hasta los 12 componentes inválidos". Y añade que se ha hecho realidad "una fábrica como una máquina perfecta donde cada elemento es un engranaje de una auténtica cadena inteligente". 

La ciberseguridad industrial 

En los dispositivos industriales de fabricación y control a lo largo de los años se han ido incorporando tecnologías genéricas de las Tecnologías de la Información (TI), desde ordenadores personales con sistemas operativos de propósito general como Unix, Windows o Linux  hasta los protocolos e interfaces de comunicación entre los distintos dispositivos como Ethernet y TCP/IP, es decir, conectividad entre todos y a través de Internet, IoT y robótica con algoritmos de IA. 

Se está produciendo una convergencia de TI y de la Tecnología de Operaciones (TO), que desgraciadamente viene acompañada de los problemas de seguridad que siguen afectando a las TI.

Los expertos en seguridad industrial deben estar acompañados de los expertos en ciberseguridad, dado que los problemas y sus soluciones son comunes. 

Las dos partes de las tecnologías que se veían separadas en una organización industrial -informática corporativa (TI) e informática de operación (TO)- ya suponen un continuo en la Industria, y los atacantes siempre buscan el punto más débil para entrar en una instalación. La superficie de ataque ha aumentado. 

El OWASP ("Open Web Application Security Project") "proporciona una lista de superficies de ataque que deben entender los fabricantes, desarrolladores, investigadores de seguridad, y aquellos que busquen desarrollar o implementar tecnologías IoT dentro de sus organizaciones"[xiii].

La seguridad de IoT/ IIoT no sólo supone diseñar la seguridad en los propios dispositivos para que los datos que residen en él no sean manipulados o robados, también se deben diseñar sistemas de autenticación para hacerse reconocer y reconocer a otros como sistemas autorizados, así como implementar las comunicaciones seguras entre los distintos dispositivos. 

* *

Hasta ahora se está hablando de dispositivos conectados que comparten datos, pero ...

"¿Qué pasaría si los robots pudieran entender más cosas por sí mismos y compartir su conocimiento entre ellos?[xiv]. RoboBrain: el primer motor de conocimiento para robots, como Google o Bing para los humanos[xv]". MIT Technology Review. 

* * *

Este artículo fué publicado originalmente por @PuntoSeguridad.com/"Cuadernos de Seguridad", octubre, 2016, nº 315, pg.85, Ciberseguridad – "De paraguas que piden salir de casa y de fábricas robotizadas" – María José de la Calle. 

----------------------------

[i] "12. Plan for the Worst. IoT systems should have capabilities to respond to compromises, hostile participants, malware, or other adverse events. There should be features in place to re-issue credentials, exclude participants, distribute security patches and updates, and so on, before they are ever necessary."  "Principles of IoT Security". OWASP.  url [a 26-08-2016] https://www.owasp.org/index.php/Principles_of_IoT_Security  

[ii] "We're physical, and so is our environment. Yet today's information technology is so dependent on data originated by people that our computers know more about ideas than things. We need to empower computers with their own means of gathering information. RFID and sensor technology enable computers to observe, identify and understand the world". Ashton, K. (22 junio, 2009)  "That 'Internet of Things' Thing". RFID Journal. url [a 14-08-2016] http://www.rfidjournal.com/articles/view?4986  

[iii] Krazit, T. (30 de marzo, 2016) "IBM: Systems like Watson will save us from the data deluge". StructureData. url [a 16-08-2016] http://www.structuredata.com/tag/rob-high/  

[iv] "oombrella - unforgettable umbrella" url [a 31-08-2016]  https://www.indiegogo.com/projects/oombrella-unforgettable-umbrella-smart#/   

[v] "Proyecto Thoth - Píldoras formativas en seguridad de la información". Criptored. url [a 31-08-2016] http://www.criptored.upm.es/thoth/index.php#  

[vi] "The potential possibility of a deliberate unauthorized attempt to: a) access information; b) manipulate information; c) render a system unreliable or unusable". James P. Anderson Co. 26 Feb, 1980. "Computer Security Threat Monitoring and Surveillance".  url [a 31-08-2016] http://csrc.nist.gov/publications/history/ande80.pdf  

[vii] url [a 31-08-2016] https://es.wikipedia.org/wiki/Elk_Cloner . Una pequeña reseña de la historia de los virus la podemos encontrar en la "History of Viruses", 10 de marzo, 1994. csrc.ncsl.nist.   url [a 31-08-2016] http://csrc.nist.gov/publications/nistir/threats/subsubsection3_3_1_1.html  

[viii] "The protection of information assets by addressing threats to information processed, stored, and transported by internetworked information systems". ISACA. url [a 31-08-2016] http://www.isaca.org/Pages/Glossary.aspx?tid=2077&char=C  

[ix] Turbide,D. "What is the difference between IoT and IIoT?" TechTarget. url [a 31-08-2016] http://searchmanufacturingerp.techtarget.com/answer/What-is-the-difference-between-IoT-and-IIoT  

[x] Perkon,D. (4 de abril, 2016). "Is machine learning smart enough to help industry?" controldesign.  url [a 31-08-2016] http://www.controldesign.com/articles/2016/is-machine-learning-smart-enough-to-help-industry/  

[xi] url [a 31-08-2016] http://www.siemens.com/innovation/en/home/pictures-of-the-future/industry-and-automation/digital-factories-defects-a-vanishing-species.html  

[xii] Folgado,R. (16 de abril, 2014). "La fábrica más inteligente de Europa produce a base de 'big data'". El Mundo. url [a 31-08-2016] http://www.elmundo.es/economia/2014/04/16/534d662c268e3efc2d8b457c.html  

[xiii] "The IoT Attack Surface Areas Project provides a list of attack surfaces that should be understood by manufacturers, developers, security researchers, and those looking to deploy or implement IoT technologies within their organizations". "OWASP Internet of Things Project/ IoT Attack Surface Areas Project".  OWASP. url [a 31-08-2016] https://www.owasp.org/index.php/OWASP_Internet_of_Things_Project#tab=IoT_Attack_Surface_Areas  

[xiv] "What if robots could figure out more things on their own and share that knowledge among themselves?.". Schaffer, A. "Robots That Teach Each Other". MIT Technology Review. url [a 31-08-2016] https://www.technologyreview.com/s/600768/10-breakthrough-technologies-2016-robots-that-teach-each-other/  

[xv] "RoboBrain: The World's First Knowledge Engine For Robots".  MIT Technology Review, 12 de diciembre, 2014. url [a 31-08-2016] https://www.technologyreview.com/s/533471/robobrain-the-worlds-first-knowledge-engine-for-robots/  

"¿Existe la industria tecnológica, o bien, como la tecnología ha impregnado las organizaciones, han de ser consideradas todas ellas industrias tecnológicas. ¿Tienen todas papeles similares en la sociedad y funcionan bajo las mismas regulaciones?"[i]

La tecnología siempre ha cambiado la forma de hacer las cosas, los comportamientos y hasta la forma de pensar, aunque todos estos cambios siempre se han producido lentamente. Primero llega la tecnología, y después, poco a poco, las personas y las sociedades se van adaptando y van redefiniendo el entorno en el que se mueven y las normas bajo las cuales actuar.

Normas nacidas como consecuencia de las llamadas Tecnologías de las Información (TI) o tecnologías del silicio son, entre otras, la "Ley Orgánica de Protección de Datos de Carácter Personal" (o LOPD), la "Ley de Infraestructuras Críticas" o el acuerdo "Privacy Shield" entre la Unión Europea y los EEUU para la transferencia de datos personales entre ambas zonas. 

Así las cosas, hace algún tiempo parece que teníamos claro que empresas como HP, Apple o IBM, las podíamos considerar como empresas pertenecientes al sector TI, ya que dichas empresas proporcionaban herramientas tanto de hardware como de software con las que apoyar otros tipos de negocio que podríamos calificar de tradicionales, desde el financiero al automovilístico, o desde un restaurante hasta la fabricación y distribución de ropa. 

Pero si bien ciertos servicios, como la venta o alquiler de un ordenador o de espacio de almacenamiento de datos, de un motor de base de datos o de una aplicación de gestión de clientes, se podían clasificar sin ninguna duda como perteneciente a TI, la aplicación "Apple-Pay" para la realización de pagos con el móvil ya tiene un componente cuyo fin no es el de procurar un software con un fin más o menos genérico, es proporcionar un servicio al usuario final que hasta ahora lo proporcionaba una entidad financiera o que se hacía a través de ella. 

Una de las primeras empresas considerada "tecnológica" pero que proporciona un servicio financiero es "Pay-Pal", pasarela de pago seguro, servicio necesario para el crecimiento del comercio electrónico. Este ejemplo es seguido actualmente por multitud de empresas, las llamadas "Fintech" -contracción de "finanzas" y "tec(h)nología"-, las cuales prestan servicios financieros a través de sus aplicaciones para móviles. Dichas empresas han propiciado una revolución en el mundo financiero, en general, y bancario en particular, con movimientos de compra de dichas empresas, e inversiones en plataformas y servicios "fintech".

Fuera del mundo financiero, un ejemplo relevante de empresa considerada "tecnológica" pero que empezó  como librería en-línea es Amazon[ii]. Su negocio no era vender "tecnología" sino libros, desde una muy buena plataforma tecnológica creada por su fundador, Jeff Bezos, que le facilitaba no sólo dicha actividad de manera más eficiente sino también un conocimiento de sus clientes, con lo que aprendía a venderles cualquier otra cosa. Al contrario que la evolución de Apple de pasar de vender productos de TI a otro tipo de productos -como música, a través de su plataforma iTunes-, Amazon empezó  por productos no tecnológicos y amplió  hace unos años a servicios web en la nube, con "Amazon Web Services".

Esta situación híbrida de llegar al usuario final desde una plataforma tecnológica para proporcionar un servicio llamémosle hasta ahora tradicional, ha levantado ampollas en algunos sectores que tradicionalmente proporcionaban tales servicios.

Un caso es el ya conocido "Uber"[iii]. Con un software que proporciona una plataforma de encuentro para compartir transporte entre particulares, ha puesto en pie de guerra a taxistas de medio mundo. Estos se ven "comido" su negocio por, en principio, casi cualquier ciudadano con un coche, pero sin la regulación a la que está sujeto el sector del taxi. Esto ha llevado a tener que revisar normativas y a adaptarlas a nuevos modelos y nuevas formas de actuar, y no sólo para Uber, sino en general para las plataformas colaborativas[iv], las cuales, apoyándose en la tecnología dan lugar a nuevos modelos de negocio, como viajes compartidos, alquiler de habitaciones o financiación por parte de muchas personas -crowfunding-.

Lo que parece estar claro es que las empresas que están obligando a que se realice el cambio son las que han nacido ya "tecnológicas". Por tanto la digitalización o transformación tecnológica de una organización es condición indispensable para su supervivencia. Esto no quiere decir que su negocio sea vender tecnología, quiere decir, que, a imagen de lo que ya hacen las nacidas "tech", tienen que cambiar sus procesos, su organización y su cultura para parecerse a ellas.

* * * 

Este artículo fué publicado originalmente por ComunicacionesHoy, nº 156, 18-10-2016. Referencia: Opinión, pg.39 – "¿Negocio digital o digitalización del negocio?" – María José de la Calle.  

--------------------------------------

[i] Anil Dash (19 de agosto, 2016). "There is no “technology industry”". Humane Tech. url [a 13-09-2016] https://medium.com/humane-tech/there-is-no-technology-industry-44774dfb3ed7#.lup3mjtft  

[ii] Aquí podemos leer una evolución de Amazón en sus primeros 20 años de vida. Erik Sherman (15 de julio, 2015). "20 years of Amazon's expansive evolution". CBS money watch. url [a 13-09-2016] http://www.cbsnews.com/news/20-years-of-amazons-expansive-evolution/  

[iii] G.Ginés (30 de marzo, 2016). "¿Qué tengo que hacer para ser conductor de Uber?" ABC. url [a 13-09-2016] http://www.abc.es/economia/abci-tengo-hacer-para-conductor-uber-201603301636_noticia.html 

[iv] Almudena Vigil (10 de marzo, 2016). "Nuevas leyes para nuevos negocios: el reto de la economía colaborativa". Expansión. url [a 13-09-2016] http://www.expansion.com/juridico/actualidad-tendencias/2016/03/10/56e17a0846163f0c1e8b4601.html 

Para dar una idea sobre algunas prestaciones de las modernas cámaras de vigilancia, nada como acudir a los anuncios publicitarios, como los mostrados a continuación, los cuales, al mismo tiempo, van a servir de excusa para introducir el asunto de este texto, reflejado en su título: 

"Una gran variedad de lentes de rendimiento con poca luz. Esta amplia gama de lentes de alta resoluci n está especialmente dise ada para cámaras con sensor de gran tama o (de 1/1,8“, 1/2“ y 2/3“). Gracias a la alta calidad de imagen, con una resolución de hasta 4K, cada lente capta todos los detalles y ofrece imágenes nítidas incluso en condiciones de poca luz."

"Las cámaras de control de movimiento 'marca de la cámara' ofrecen un control total de lo que usted elija ver y el nivel de zoom que use para identificar objetos a grandes distancias sin importar el movimiento."

"Permita a su personal enviar vídeo en directo desde sus smartphones, dondequiera que estén permitiendo a su personal enviar vídeo en vivo desde la cámara del dispositivo directamente a su solución 'nombre', la app 'nombre' Mobile proporciona al operador en el centro de control, inmediato conocimiento de los incidentes independientemente de donde ocurran."

"Controla tu hogar/negocio desde tu smartphone".

* *

Digitalización de las cámaras

Las cámaras tanto fotográficas como de vídeo han experimentado una gran evolución, tanto de la óptica como del silicio. Las cámaras cada vez disponen de mayor resolución a menor precio, han pasado de ser analógicas a digitales, han disminuido en tamaño y, para terminar, se les ha dotado de una dirección IP.

No hay más que echar un vistazo a los anuncios con los que se abre este artículo, en los que distintos fabricantes exponen las bondades de sus productos. Mientras que el primero se centra en las propiedades o características ópticas, los dos últimos ya están haciendo una referencia clara a sus propiedades digitales y su conexión a Internet, por medio de la cual intercambiar información.

Debido a esta evolución, las cámaras están por todas partes. Vivimos rodeados de ellas, desde lo más cercano en nuestros ordenadores y otros dispositivos que llevamos encima -teléfonos o elementos para llevar puestos (wearables)-, hasta lo más lejano, como las cámaras de los satélites, pasando por las colocadas en las casas para vigilar la presencia de posibles intrusos; las que custodian -en el exterior o desde dentro- edificios públicos y empresas; las colocadas en las carreteras -cámaras de tráfico-; e, incluso, las nos observan desde un dron.

Las cámaras de vigilancia son elementos que están con nosotros desde hace ya más de una década, y es algo a lo que nos hemos acostumbrado. Pero si al principio sólo servían para vigilar el acceso a ciertos sitios (bancos, museos, hospitales, etc) ahora sería posible hacer un seguimiento de cualquiera que, en una gran ciudad, se desplazase andando o en un medio de transporte, público o privado: "Se encuentra en una zona vídeo-vigilada, por su propia seguridad", nos recuerdan en las estaciones del suburbano.

La revista "Dealer world" publicaba el pasado 14 de junio la noticia[i] de la presentación que tendría lugar, del 21 al 23 de dicho mes, en la feria IFSEC, de una solución de seguridad en la que cooperaban varias empresas: Canon, empresa de cámaras; Intelico, empresa de software que ofrece una aplicación de reconocimiento de matrículas de automóviles; Ipsotek, que aporta un software para el análisis de vídeo y reconocimiento facial; y por último, Digital Barriers que proporciona tecnología inalámbrica. Es decir, la digitalización -entendida como la aplicación de cuanto gira en torno a las Tecnologías de la Información-, ha llevado a dotar de unas funciones muy potentes a los sistemas de vigilancia.

Las cámaras, a la vista del segundo anuncio mostrado al principio del artículo, se pueden manejar a distancia para dirigirlas a un punto determinado, seguir un objetivo en movimiento, o aumentar o disminuir la zona a enfocar. Las cámaras recogen imágenes que son enviadas por medio de tecnología de comunicaciones -cableada o inalámbrica- a un ordenador, dónde son tratadas por un determinado software.

Y las cámaras no siempre están fijas. Por ejemplo las de tráfico colocadas en vehículos policiales. O las que incorporan los tel fonos móviles, que en alguna situación también pueden servir para recoger imágenes y enviarlas - siguiendo el mensaje recogido en el tercer anuncio de los mostrados arriba-.

Más novedoso, aún, resulta el caso de los drones dotados de sus propias cámara con las que sobrevuelan un área determinada. La empresa israelí, Airobotics[ii] acaba de presentar una unidad completamente autónoma que avisa cuando su cámara detecta que algo no va bien y que vuelve a la base cuando se le acaban las baterías, donde le son sustituidas, también de forma automatizada, por otras nuevas (cargadas). Sólo falta acompañar estos nuevos dispositivos y funcionalidades de la regulación correspondiente.

Los centros comerciales nos vigilan

Las imágenes digitalizadas pueden ser tratadas y utilizadas para muchos fines: controlar el acceso a áreas restringidas; investigar delitos; realizar, mediante el fotografiado del planeta, los pronósticos meteorológicos o detectar/predecir la formación de fenómenos naturales destructivos, cartografiar el planeta, como lleva haciendo la empresa Google en los últimos años, cuyos algoritmos de tratamiento de imágenes han sido actualizados recientemente [iii]; o, por qué  no, saber qué  pasos damos en un centro comercial, dónde nos paramos, y, según nuestros gustos, presentarnos ofertas personalizadas. 

Hoy, gracias a los sistemas de reconocimiento facial, es factible la utilización de cámaras de videovigilancia en los centros comerciales para seguimiento del movimiento de los clientes. Ello, unido al seguimiento de la ubicación de los dispositivos móviles que aquellos llevan, a la recogida de la información que generan sus conexiones a redes WiFi o BlueTooth, a la información sobre lo que han comprado, cuánto se han gastado y cómo suelen comprar; permite obtener perfiles bastante precisos de cada cliente.

Según señala el investigador en ciberseguridad y directivo español Chema Alonso, en un artículo[iv] de su blog "Un informático en el lado del mal", "seguir un dispositivo móvil es tan sencillo como poner puntos de acceso WiFi que vayan reconociendo las direcciones MAC[v] de las peticiones de búsqueda de redes WiFi, pero también vale con sniffers[vi] que escuchen el tráfico de red para ver dónde están siendo emitidos los paquetes." 

Continúa el artículo de Alonso explicando que la información capturada de los paquetes que componen el tráfico de una red es especialmente significativa, ya que un terminal emite dichos paquetes en busca de las redes que conoce, adjuntando a cada uno de ellos el nombre de las mismas. Así, si una persona guarda en el historial de su dispositivo una lista de varias de estas redes (la del trabajo, la de casa, la de un amigo o la de un familiar), estará enviando en esos mensajes todos esos datos, permitiendo que el centro comercial los pueda asociar a su dirección MAC, su tipo de dispositivo móvil, junto con el resto de información ya obtenida por otros medios, como su propia imagen obtenida con las cámaras de vigilancia.

¿Seguridad o inseguridad? : LOPD

Se presupone que las cámaras de vigilancia tienen por objeto la seguridad. ¿Pero, la seguridad de quién o de qué?

Como ya se ha apuntado, hoy es posible recoger información de cualquier ciudadano, mediante la captación y posterior reconocimiento de las imágenes obtenidas: información de los sitios que se han visitado, información de la actividad que se ha realizado, etc 

Á este respecto, la Agencia Española de Protección de Datos (AEPD) recoge en su "Guía de Videovigilancia"[vii] "la videovigilancia permite la captación, y en su caso la grabación, de información personal en forma de imágenes. Cuando su uso afecta a personas identificadas o identificables esta información constituye un dato de carácter personal a efectos de la aplicación de la Ley Orgánica 15/1999, de 13 de diciembre de protección de los datos de carácter personal (LOPD)." En el mismo documento puede leerse "es evidente, y así lo ha subrayado en distintas sentencias el Tribunal Constitucional, que la videovigilancia es un medio particularmente invasivo y por ello resulta necesaria tanto la concurrencia de condiciones que legitimen los tratamientos como la definición de los principios y garantías que deben aplicarse."

Consecuentemente, la manipulación inadecuada de imágenes puede atentar contra la intimidad de las personas, requiriéndose que la recogida, uso y tratamiento de aquellas deban estar sujetos a la ley.

En su artículo 6.1, la LOPD dispone que “el tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa”. Este consentimiento deberá ser, conforme a lo dispuesto en el artículo 3 h) “libre, inequívoco, específico e informado,"[viii] . 

Esto merece alguna reflexión:

1- Libre: sí, somos libres de ir a un sitio u otro; de entrar en un centro comercial o no; de ir por una calle determinada; de coger un medio de transporte u otro; etc. Sin embargo, de lo que no somos libres es de impedir que las múltiples cámaras que hay en cualquiera de esos lugares nos grabe. Por tanto el consentimiento se hace tácito al pasar por la zona de grabación de la cámara.

2- Inequívoco y específico: no puede ser "inequívoco" ni "específico" un consentimiento no solicitado, que, como ya se ha dicho en el punto 1, se supone tácito.

3- Informado: no puede ser "informado" ya que lo único de lo que se informa -si se hace- es de que vamos a ser grabados. Pero ¿para qué? ¿Cómo se van a utilizar esas imágenes? ¿Sabemos quién las va a utilizar?

La guía publicada por la AEPD ha pretendido venir a despejar estas, y otras, dudas aclarando "cuándo deben aplicarse las normas sobre protección de datos a los tratamientos de imágenes" y con el fin "de ofrecer indicaciones y criterios prácticos que permitan el adecuado cumplimiento de la legislación vigente en todos los casos". 

La inseguridad de tener IP

Hoy las cámaras están conectadas a servidores de Internet lo que les permite comunicarse con otros ordenadores, o dispositivo en general, a los que envían los datos (imágenes) recogidos y desde los que pueden recibir instrucciones. Las imágenes recibidas, a su vez, se guardan y/o se tratan.

Todo esto requiere reparar en el hecho de que personas no autorizadas puedan hacerse con los datos (imágenes) en la propia cámara, mediante los datos en tránsito, o, finalmente, en el propio ordenador, donde aquellos pueden estar albergados, según ley, por un período máximo de un mes.

El que las cámaras se puedan manipular a distancia es un hecho, que se ve favorecido por estar dotadas de una dirección IP, lo cual sirve a su vez de reclamo comercial, como señalaba el cuarto de los anuncios reproducidos al principio de este artículo. Pero se trata de un arma de doble filo: de igual modo que el propietario legítimo de la cámara, y sus imágenes, puede manejarla a distancia, incluso con su dispositivo móvil, de la misma manera personas no autorizadas podrán intentar hacerlo.

En el enlace de la novena cita[ix] mostrada al final de este artículo se muestra paso a paso -a efectos meramente educativos- cómo hackear una CCTV. Se sugiere incluso que si el administrador ha cambiado el usuario y la contraseña por defecto, se podrá utilizar herramientas alternativas para conseguir el acceso.

La finalidad de una acción de manipulación indebida de una cámara puede ser la propia cámara, con el fin de hacer que no funcione correctamente, o bien, la red de comunicaciones de la que la cámara forma parte de manera que ésta sirva de puerta de entrada a la red de la empresa. Una vez conseguido el acceso irregular a esta red, un posible atacante estaría en disposición de distribuir código dañino, robar o corromper datos albergados en algún servidor corporativo, etc.

Una situación como la descrita quedaba reflejada en el artículo[x] que el pasado 27 de junio publicaba la empresa SucuriSecurity en su blog. En el mismo se describía cómo se había producido un ataque de denegación distribuida de servicio (DDoS). Mediante una botnet formada por veinticinco mil cámaras de circuito cerrado de televisión repartidas por varios países, se inundaron las páginas web objetivo con hasta 50.000 peticiones HTTP por segundo, lo que produjo el colapso y la inutilización de dichas páginas.

La seguridad de las cámaras no es un asunto baladí.

* *

Para terminar, unas palabras del sociólogo belga Armand Mattelart en la presentación de su libro "La sociedad vigilada", que tuvo lugar el 4 de mayo del 2009 cátedra UNESCO de Comunicación de la Universidad de Málaga:

“Antes, el ser fichado era un signo de la delincuencia y hoy no estar fichado es sospechoso, uno esta fichado por la salud, la educación, ... todos los sectores de la vida."[xi] 

* * * 

Este artículo fué publicado originalmente por @PuntoSeguridad.com/"Cuadernos de Seguridad", septiembre,2016, nº 314, pg.60, Ciberseguridad – "Cámaras digitales: ¿La seguridad insegura?" – María José de la Calle.

-------------------------------------------

[i] "Digital Barriers, Ipsotek, Intelico y Canon presentan soluciones verticales de seguridad", 14 Jun, 2016. Dealer World. url [a 5-07-2016] http://www.dealerworld.es/seguridad/digital-barriers-ipsotek-intelico-y-canon-presentan-soluciones-verticales-de-seguridad   

[ii] "Una fabricante israelí presenta los primeros drones 100% autónomos", 21 Jun, 2016, ElEconomista.es. url [a 5-07- 2016] http://www.eleconomista.es/tecnologia/noticias/7653034/06/16/-Una-fabricante-israeli-presenta-los-primeros-drones-100-autonomos.html 

[iii] "Keeping Earth up to date and looking great", 27 Jun, 2016. Google Maps. url [a 5-07-2016] https://maps.googleblog.com/2016/06/keeping-earth-up-to-date-and-looking.html 

[iv] Chema Alonso, 21 Sept, 2014. "Cómo te espía tu centro comercial por WiFi y BlueTooth". Blog "Un informático en el lado del mal". url [a 5-07-2016] http://www.elladodelmal.com/2014/09/como-te-espia-tu-centro-comercial-por.html 

[v] url [a 5-07-2016] https://es.wikipedia.org/wiki/Direccion_MAC  

[vi] url [a 5-07-2016] https://es.wikipedia.org/wiki/Deteccion_de_sniffer 

[vii] url [a 5-07-2016] https://www.agpd.es/portalwebAGPD/canaldocumentacion/publicaciones/common/pdfs/guia_videovigilancia.pdf 

[viii] url [a 5-07-2016] https://www.agpd.es/portalwebAGPD/canaldocumentacion/informes_juridicos/cesion_datos/common/pdfs/2009-0624_Publicaci-oo-n-en-revista-de-foto-ganadora-de-concurso-con-im-aa-genes-de-personas.-No-necesidad-de-consentimiento.pdf 

[ix] Utkarsh Wadhwa. "How to hack Private CCTV Cameras". Mighty Shouts. url [a 5-07-2016] http://www.mightyshouts.com/cctv-cameras/ 

[x] Daniel Cid, 27 Jun, 2016. "Large CCTV Botnet Leveraged in DDoS Attacks". Sucuri Blog. url [a 5-07-2016] https://blog.sucuri.net/2016/06/large-cctv-botnet-leveraged-ddos-attacks.html 

[xi] A.J.L pez, 5 May, 2009. "La Humanidad accederá a la tecnología porque hay que tenerla vigilada". Sur.es. url [a 5-07- 2016] http://www.diariosur.es/20090505/sociedad/humanidad-accedera-tecnologia-porque-20090505.html 

"Todo interesado tendrá derecho a no ser objeto de una decisión basada  únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos en él o le afecte significativamente de modo similar". Artículo 22, párrafo 1 del Reglamento (UE) 2016/679[i].

* * 

En el pasado mes de abril el Consejo de la Unión Europea y el Parlamento Europeo sancionaron el nuevo Reglamento General sobre Protección de Datos -Reglamento (UE) 2016/679 de 27/04/2016- que entró en vigor el 24 de mayo y que será de aplicación obligatoria en todos los países de la Unión a partir del 25 de mayo de 2018[ii]. 

Según una encuesta del Eurobarómetro[iii] realizada a principios del año 2015, el 81% de los europeos -el 85% de los españoles- dicen estar preocupados por no tener un control completo sobre la información facilitada a través de Internet, y un 69% -el 64% de los españoles-, por el posible uso que las empresas puedan hacer de los datos cedidos. 

Uno de los objetivos del Reglamento es el de permitir a los ciudadanos de la UE recobrar el control de sus datos personales. 

Para ello las normas recogidas en dicho Reglamento vienen a reforzar los derechos ya establecidos en la anterior directiva de 1995, con el derecho a la portabilidad de datos (artículo 20); aclaración del "derecho al olvido" (artículo 17) o el derecho a saber si los datos en poder de organismos o empresas han sido hackeados (artículo 34); además de facilitar el acceso a los datos propios en poder de terceros y a la forma en que éstos los traten. 

Concretamente, en el artículo 15 ("Derecho de acceso del interesado"), párrafo 1, apartado h, se establece que "[e]l interesado tendrá derecho a obtener del responsable del tratamiento confirmación de si se están tratando o no datos personales que le conciernen y, en tal caso, derecho de acceso a los datos personales y a ... la existencia de decisiones automatizadas, incluida la elaboración de perfiles, a que se refiere el artículo 22, ", artículo con el arrancaban estas reflexiones. 

Además, en el artículo 4 ("Definiciones"), apartado 4, se define la "elaboración de perfiles" como "toda forma de tratamiento automatizado de datos personales consistente en utilizar datos personales para evaluar determinados aspectos personales de una persona física, en particular para analizar o predecir aspectos relativos al rendimiento profesional, situación económica, salud, preferencias personales, intereses, fiabilidad, comportamiento, ubicación o movimientos de dicha persona física;". 

Hasta ahora, un tratamiento automatizado era completamente predecible en su comportamiento. No había más que seguir el código (programa informático) escrito al efecto y los datos de entrada que lo alimentaban, para conocer cómo trataba los referidos datos y cuál sería el resultado que se obtendría. Una máquina se programa indicándole instrucción por instrucción lo que debe realizar. A partir de ahí, salvo errores de funcionamiento, ella hará, únicamente, aquello para lo que se la ha programado. Más que decirle "qué debe hacer", se le dan una serie de instrucciones sobre "cómo debe hacerlo".

Consecuentemente, informar de cómo se ha llegado a un perfil determinado a partir de ciertos datos personales, y de las consecuencias previstas para el interesado, no parecen aspectos que impliquen una excesiva complejidad. 

Sin embargo, la llegada de la Inteligencia Artificial (IA) hace que esto esto comience a no resultar tan evidente (al menos de momento)[iv].

La IA podría definirse como un conjunto de algoritmos que, en mayor o menor medida, realizan sus funciones sobre la base de un reconocimiento del mundo natural y de un aprendizaje derivado de su interacción con aquel.

Dependiendo de los datos con los que se alimente a un sistema de IA y de su entrenamiento con humanos, los cuales evalúan su forma de actuar -evaluación que recoge la máquina como otro dato de aprendizaje-, dicho sistema será capaz de conducir un automóvil o un avión; de realizar una operación financiera, o un diagnóstico médico y sugerir el pertinente tratamiento; de recomendar la contratación de una persona para realizar una actividad dentro de la empresa, etc. 

Pero a diferencia de lo que ocurre en la programación tradicional, la programación de un sistema de IA busca decir QUÉ debe hacer. El CÓMO lo haga y sus resultados dependerán, en primer lugar, del entrenamiento que se le haya proporcionado; esto es, de los datos con los que que se le haya alimentado y de los expertos que lo hayan dirigido. En segundo lugar, cuando en un momento dado se le solicite llevar a cabo una determinada acción, el cómo la realice dependerá de los datos que le lleguen. Se trata de un modo de funcionamiento no determinista.

Esto supone que el hecho de poder informar de la lógica de una elaboración de perfil, si se ha hecho con IA, no siempre resultará posible (por ahora). Ello, aparentemente, puede resultar un poco raro ya que la IA no deja de ser una herramienta hecha por humanos; aunque estos no siempre la entiendan. Todo ello supone un reto para los investigadores en Inteligencia Artificial, ya que "los algoritmos no sólo tienen que ser eficientes, tienen que ser transparentes y justos"[v]. 

"Los algoritmos pueden hacer sistemas más inteligentes, sin embargo, sin añadir un poco de sentido común a la ecuación, pueden producir algunos resultados extraños." Stephen F. DeAngelis, Presidente and CEO de Enterra Solutions.[vi]

* * *

Este artículo fué publicado originalmente por ComunicacionesHoy, nº 155, 24-08-2016. Referencia: Regulación/ Opinión, pg.13 – "El Reglamento General de Protección de Datos y la IA" – María José de la Calle.  

----------------------------------------

[i] A lo largo del texto aparecen citados distintos artículos del Reglamento General sobre Protección de Datos, que se puede consultar en url [a 16-07-2016]   http://eur-lex.europa.eu/legal-content/EN/TXT/?qid=1473958690793&uri=CELEX:32016R0679 

[ii] "Reform of EU data protection rules". European Comission/ Justice. url [a 16-07-2016] http://ec.europa.eu/justice/data-protection/reform/index_en.htm  

[iii] Eurobarómetro, Comisión Europea. Mar 2015. url [a 16-07-2016] http://ec.europa.eu/public_opinion/archives/ebs/ebs_431_fact_es_es.pdf 

[iv] Cade Metz, 11 Jul, 2016, "Artificial Intelligence Is Setting Up the Internet for a Huge Clash With Europe". Wired. url [a 16-07-2016] http://www.wired.com/2016/07/artificial-intelligence-setting-internet-huge-clash-europe/?mbid=nl_71116_p3 

[v] "algorithms are not merely efficient, but transparent and fair." Bryce Goodman, Seth Flaxman, 28 Jun, 2016. "EU regulations on algorithmic decision-making and a “right to explanation”". url [a 16-07-2016] http://arxiv.org/pdf/1606.08813v1.pdf 

[vi] "Algorithms can make systems smarter, but without adding a little common sense into the equation they can still produce some pretty bizarre results." Stephen F. Deangelis, 2014. "Artificial Intelligence: How Algorithms Make Systems Smart". Wired. url [a 16-07-2016] http://www.wired.com/insights/2014/09/artificial-intelligence-algorithms-2/ 

Like some bombs, some black swans[i] have a timer. 

The difference is that, in the case of bombs, the timer is meant to cause the explosion; while, in that of these black swans, the timer is only a predictive warning. Somehow, these timers are similar to the rings or other devices that bird-watchers and ornithologists attach to the animals for study or protection purposes. 

I am referring to the subset of black swans that the ‘Doomsday Clock’ of the Bulletin of the Atomic Scientists has been counting down to zero since 1947[ii]. 

The Bulletin’s black swans specifically are the “catastrophe from nuclear weapons, climate change, and new technologies emerging in other domains” (these latter, broadly specified[iii]). 

At the date these lines are written [January the 23th, 2015], the ‘Doomsday Clock’, that is revised[iv] every year, has been moved forward to 3 minutes to midnight (Doomsday)[v]. 

The Bulletin makes 5 recommendations. All of them related to the nuclear or climate issues, but the fifth and last: “Create institutions specifically assigned to explore and address potentially catastrophic misuses of new technologies”. 

I have a dream. I have a dream that all emerging technologies in a near future will come with labels equivalent to those mandatory for kids toys. 

Source: http://www.law.cornell.edu/cfr/text/16/1500.19#b_1

The ‘Doomsday Clock’ is not the only 2015 ominous clock. 

Next June the 30th [2015], atomic clocks will —to express it poetically— tick one more second, added to the 86.400 seconds of every normal day, in order to re-sync  —with that ‘leap second’— the year’s duration with the decreasing rotation speed of the Earth[vi]. 

Many experts consider that minute (excuse the pun) action very hazardous. When a similar ‘leap second’ was added in 2012, several major Web portals were affected; the extra second is known to interrupt GPS receivers, potentially affecting air navigation and other services; and concerns have been raised about the possibility that it might de-synchronize robotized manufacturing plants and many other systems (military, financial, etc.) that work in unison by independently polling Network Time Servers (NTSs)[vii].

At a quite different time-scale, you may recall that similar or doomier forecasts took place some 15 years ago, on occasion of the millennium turnover (arguably dated) on January 1st, 2000. Fortunately the announced catastrophic consequences of the Y2K bug did not take place and —what is even more fortunate— the previous pessimistic announcements triggered an important wave of information systems revamping. This proved that not all date-related fears will result in damages and losses.    

* * *

[i] Taleb, N. N. (2007). The Black Swan. Random House. https://en.wikipedia.org/wiki/The_Black_Swan_%28Taleb_book%29   Consultado el 20150123.  

[ii] http://thebulletin.org/three-minutes-and-counting 793801/19/2015 - 17:02. Retrieved 20150123.

[iii] In that issue of the Bulletin, the “new technologies” are: Ebola [sic], Hacking and Artificial Intelligence. 

[iv] “The decision to move (or to leave in place) the minute hand of the Doomsday Clock is made every year by the Bulletin's Science and Security Board in consultation with its Board of Sponsors, which includes 17 Nobel laureates”. Ibid. The Clock has been reset only 18 times. In 1991 it read 17 minutes. Source: Ansede, M. (JAN 22, 2015). “17 premios Nobel adelantan dos minutos el Reloj del Apocalipsis”. El País. http://elpais.com/elpais/2015/01/22/ciencia/1421953015_359918.html. Retrieved 20150123. 

[v] In 2014 the countdown was set at 5 minutes. 

[vi] http://www.iers.org/SharedDocs/News/EN/BulletinC.html  Retrieved 20150123. 

[vii] «A "leap second" needs to be added in 2015 to make sure the time on atomic clocks stays in sync with Earth's rotational time, but some Internet companies are dreading the day … The solution that the International Earth Rotation Service (IERS) came up with is to add a second every now and then to keep the standard atomic time in sync with Earth's time …The extra second has been known to interrupt GPS receivers, which could be a problem for pilots. …Reddit, LinkedIn, Gizmodo and FourSquare will likely remember the lesson they learned three years ago…». Kelly Dickerson, K. (January 09, 2015). “2015's 'Leap Second' Could Scramble Computers” LiveScience www.livescience.com/49370-leap-second-added-2015.html  Retrieved 20150123.  

Algunos cisnes negros[i], como algunas bombas tienen temporizador. La diferencia es que, en el caso de las bombas, el temporizador está para provocar la explosión; mientras que, en el de estos cisnes negros es sólo un aviso predictivo. Estos temporizadores, de alguna manera son como los anillos y otros dispositivos que los aficionados a los pájaros y los ornitólogos ponen a los animales, para el estudio o protección de éstos. 

Me refiero al subconjunto de cisnes negros cuya ‘cuenta atrás’ viene llevando, desde 1947,   el ‘Reloj del Apocalipsis’, del Bulletin of the Atomic Scientists[ii]. 

Los cisnes negros del Boletín son específicamente “la catástrofe debida a armas nucleares, el cambio climático, y las nuevas tecnologías que emergen en otros dominios” (estas últimas, ampliamente especificadas[iii]). 

Cuando escribo estas líneas [23 de enero de 2015], el ‘Reloj del Apocalipsis’, que se revisa[iv] anualmente, se ha avanzado a 3 minutos antes de la medianoche (Apocalipsis)[v].

El Boletín ofrece 5 recomendaciones, todas ellas relativas a los temas nuclear o climático, salvo la quinta y última: “Créense instituciones a las que se les asigne específicamente la exploración y abordaje de los usos inadecuados, potencialmente catastróficos, de las nuevas tecnologías”. 

He tenido un sueño. He soñado que, en un futuro próximo, las nuevas tecnologías vendrán con etiquetas equivalentes a las que son obligatorias para los juguetes de los niños.

---------------------------------------------------------------------------------------------------

ATENCIÓN: 

RIESGO DE ASFIXIA -- Los niños de menos de 8 años pueden ahogarse o asfixiarse con globos sin hinchar o rotos. Se requiere supervisión por adulto.

Mantener los globos sin inflar fuera del alcance de niños. Deshacerse de inmediato de globos rotos.  [vi]

---------------------------------------------------------------------------------------------------

El ‘Reloj del Apocalipsis’ no es el único reloj ominoso en 2015.

Los relojes atómicos, el próximo 30 de junio [de 2015] —por decirlo poéticamente— harán tictac un segundo más, añadido a los 86.400 de cada día normal, a fin de resincronizar, mediante ese ‘segundo «bisiesto[vii]»’, la duración del año con la velocidad decreciente de rotación de la Tierra[viii]. 

Muchos expertos consideran muy arriesgada esa mínima acción. Cuando en 2012 se añadió otro ‘segundo «bisiesto»’ similar, varios portales de la Red se vieron afectados; se sabe que ese segundo extra interrumpe los receptores GPS, afectando a la navegación aérea y otros servicios; y han surgido preocupaciones sobre la posibilidad de que pudiera desincronizar fábricas robotizadas y muchos otros sistemas (militares, financieros, etc.) que trabajan al unísono, consultando independientemente Servidores de Tiempo de la Red  (NTSs, por sus siglas en inglés)[ix].

Puede que Ud. recuerde que previsiones igual o más pesimistas —a una escala temporal muy distinta— se hicieron hace unos 15 años, con motivo del cambio de milenio, (fechado de forma discutible) el 1 de enero de 2000. Afortunadamente, las consecuencias catastróficas anunciadas del Y2K bug no sucedieron y —lo que es aún más afortunado— los anuncios pesimistas previos desencadenaron una ola de modernizaciones de los sistemas de información. 

Lo que probó que no todo miedo relacionado con fechas se ha de traducir en daños y pérdidas.    

* * *

[i] Taleb, N. N. (2007). The Black Swan. Random House. https://en.wikipedia.org/wiki/The_Black_Swan_%28Taleb_book%29  Consultado el 20150123.

[ii] http://thebulletin.org/three-minutes-and-counting 793801/19/2015 - 17:02. Consultado el 20150123.  Doomsday = Juicio Final / Apocalipsis. 

[iii] Las “nuevas tecnologías”, en esa edición del Boletín, son: Ébola [sic], Hacking e Inteligencia Artificial. 

[iv]  “La decisión de avanzar (o mantener) el minutero del Reloj del Apocalipsis la adopta anualmente la Junta de Ciencia y Seguridad del Boletín, que consulta a su Junta de Patrocinadores, que incluye 17 Premios Nobel”. Íbid. La hora del Rejoj solo se ha cambiado 18 veces. En 1991, marcaba 17 minutos. Fuente: Ansede, M. (22 ENE 2015). “17 premios Nobel adelantan dos minutos el Reloj del Apocalipsis”. El País.  http://elpais.com/elpais/2015/01/22/ciencia/1421953015_359918.html. Consultado el 20150123. 

[v] En 2014, la cuenta atrás se puso a 5 minutos. 

[vi] Fuente: http://www.law.cornell.edu/cfr/text/16/1500.19#b_1 

[vii] La palabra ‘bisiesto’ [‘leap’ (‘salto’), en inglés] se aplica en castellano a ‘años’ y ‘días’; yo la aplico aquí a ‘segundos’. “Año bisiesto, adjetivo que deriva del latín bis sextus dies ante calendas martii, (seis días antes del mes de marzo), que correspondía a un día extra intercalado entre el 23 y el 24 de febrero por Julio César”.    http://es.wikipedia.org/wiki/A%C3%B1o_bisiesto Consultado el 20150123.

[viii]  http://www.iers.org/SharedDocs/News/EN/BulletinC.html Consultado el 20150123.

[ix] “… la Tierra completa una rotación … en 86.400 segundos … del día. Pero, de tanto en tanto, esos 86.400 segundos pueden convertirse en 86.401 ... corrección que aplica el Servicio Internacional de Rotación y Sistemas de Referencia Terrestre (IERS) …  El próximo 30 de junio, se añadirá el segundo extra número 26 desde su implantación. Y el riesgo que se corre es que algunos ordenadores y programas den problemas. No sería la primera vez. En 2012 … este segundo extra se añadió al UTC. Inmediatamente, sistemas operativos como Linux, basados en Unix, comenzaron a fallar. Se produjeron retrasos de vuelos en Australia … [y] páginas Reddit o Mozilla sufrieron problemas técnicos”. 

Sucasas, A. L. (22 ENE 2015).  “Un segundo de más en 2015 amenaza Internet”. El País. http://elpais.com/elpais/2015/01/21/ciencia/1421834400_569791.html  Consultado el 20150123.

«A "leap second" needs to be added in 2015 to make sure the time on atomic clocks stays in sync with Earth's rotational time, but some Internet companies are dreading the day … The solution that the International Earth Rotation Service (IERS) came up with is to add a second every now and then to keep the standard atomic time in sync with Earth's time … The extra second has been known to interrupt GPS receivers, which could be a problem for pilots. …Reddit, LinkedIn, Gizmodo and FourSquare will likely remember the lesson they learned three years ago…». Kelly Dickerson, K. (January 09, 2015). “2015's 'Leap Second' Could Scramble Computers”   LiveScience  www.livescience.com/49370-leap-second-added-2015.html  Retrieved 20150123.  

Un tweet un poco aciago

Chris Roberts, el autor de este tweet, es un investigador en temas de seguridad quien, como tantos otros, identifica vulnerabilidades en los sistemas y avisa a las empresas para que las subsanen. En este caso, tan sólo envió  este tweet desde un avión en vuelo, bromeando sobre la posibilidad de envío de mensajes de alertade seguridad a la tripulación (EICAS - Engine Indicator Crew Alert System), por ejemplo, activar las mascarillas de oxígeno, todo esto a través del sistema de comunicaciones para los pasajeros[i]. 

Esto provocó que en el aeropuerto de destino lo estuviera esperando el FBI, acusándolo de haber entrado en los sistemas de comunicaciones del avión, y quitándole su ordenador y demás dispositivos. Al parecer, este no era su primer tweet acerca de la seguridad en los aviones, Chris llevaba ya varios años avisando de las vulnerabilidades en los aviones, como en este otro tweet[ii] suyo, simplemente fue una mala idea la manera en que quiso concienciar acerca del problema. 

La IP en los aviones

En dicho vuelo Chris no accedió a las red privada de vuelo, pero, según WIRED[iii], en otros anteriores sí se había conectado más de una docena de veces a puertos de la red situados debajo de su asiento, pudiendo rastrear el tráfico de la red y descubriendo, así, vulnerabilidades.

Resulta sorprendente que se pueda tener acceso físico a la red por medio de conectores colocados debajo de los asientos de los pasajeros. Esto contraviene una de las más básicas medidas de seguridad que esproteger el acceso físico a un sistema.

La seguridad física se entiende como la prevención de accesos no autorizados a recursos, por ejemplo el acceso a servidores, manteniendo estos "bajo llave" y controlando y monitorizando su acceso. Esto se incumple claramente con la mala práctica de colocar conectores a la red debajo de los asientos de los viajeros. ¡A quién se le va a ocurrir meter la mano debajo del asiento!

El tweet tuvo como consecuencia, aparte de la detención de Chris, una serie de artículos que, tomándolo como excusa, sirvieron para tratar, por una parte, el poco caso que algunas empresas hacen de los avisos que WhiteHat-hackers (hackers bienintencionados) realizan sobre vulnerabilidades en productos o sistemas, como, entre otros, el artículoiv "Hacker’s Tweet Reignites Ugly Battle Over Security Holes", publicado por Wired. 

Y por otra parte, sobre las ciber-amenazas en la aviación comercial, como "Did The Aviation Industry Fail Cybersecurity 101?"[v], en el que se destaca la necesidad del principio de la ciber-seguridad desde el diseño de los componentes, en vez de ir poniendo capas de seguridad, después de que los sistemas estén funcionando, y recuerda la seguridad física como una de las primeras medidas de la seguridad en los sistemas. 

El informe GAO

Pero, ¿qué es lo que ha cambiado para que se produzca tanto revuelo en cuanto a la ciber-seguridad en la aviación? Una buena pista la podemos encontrar en un informe[vi] que la "Government Accountability Office" de Estados Unidos publicó  una semana previa al incidente de Chris Roberts y su tweet, en el que dibujaba posibles escenarios de ciber-ataques en los aviones modernos y en el nuevo sistema de control del tráfico aéreo -ATC, Air Traffic Control- en EEUU conocido como "NextGen".

Hasta hace relativamente poco, los sistemas que componían el control del tráfico aéreo se comunicaban a través de redes dedicadas punto a punto y el avión tenía una comunicación terrestre con las torres de control, y su posición se conocía a través de radares. Además, el sistema de control de vuelo constituía un sistema aislado al que no se podía acceder desde el exterior, sistema cerrado a especialistas. 

Esta situación, como en casi todos los sectores de la industria, ha ido cambiando a sistemas integrados de información y distribución de la misma, comunicaciones digitales entre todos los elementos del sistema, los controladores y los pilotos, y tecnología de vigilancia y navegación por satélite, o GPS -Global Positioning System-. Todo ello hace que el sistema de control de tráfico aéreo tenga una serie de nuevos riesgos y aumenten las posibilidades de ciber-ataques. 

Por ejemplo, la conexión WI-FI a Internet para los pasajeros dentro del avión es una puerta entre el avión y el mundo exterior. Si la red Ethernet del avión es compartida tanto por los pasajeros como por los sistemas de navegación, y todo conectado al mismo router, tal y como se puede ver en la figura-4 del informe citado, el riesgo de accesos no autorizados a dichos sistemas es muy alto, a pesar del firewall que se pueda poner a la entrada de los sistemas de navegación. Esto sucede, por ejemplo en el Boeing 787 y en los Airbus A350 y A380. 

Un malware introducido en una página web visitada por un pasajero puede ser la puerta de entrada a un acceso no autorizado, o una conexión física en el asiento de un pasajero a la red del avión, caso ya explotado, con fines simplemente de investigación, por Chris Roberts. 

Tanto desde dentro del avión como desde fuera, por medio de la conexión a Internet del avión, se podría tomar control del vuelo, poner malware en los sistemas, tomar control de los sistemas de alerta de la tripulación, y, en general poner en peligro físico el avión como tal, al hacerse con el control de sus ordenadores.

De hecho, parece que algunos aviones están preparados para que se pueda tomar control desde tierra en caso de una emergencia, según la CNN en "GAO: Newer aircraft vulnerable to hacking"[vii], aunque esta tecnología parece que aún está lejos de ser segura. 

La digitalización del control del espacio aéreo en Europa

Esta modernización -o más bien digitalización- del sistema de control del espacio aéreo no es exclusiva de EEUU. En Europa hay en marcha otro proyecto denominado SESAR (Single European Sky ATM -Air Traffic Management- Research), cuyo plan de desarrollo está detallado en el documento "European ATM Master Plan"[viii]. 

Para cumplir con el objetivo de un sistema de gestión del tráfico aéreo en Europa sostenible y competitivo, el plan contempla un soporte a la automatización, con la implementación de tecnologías de virtualización así como el uso de sistemas interconectados, interoperables y estandarizados. La infraestructura del sistema evolucionará gradualmente hacia una tecnología digitalizada.

Todo esto supone unos riesgos tecnológicos que el documento recoge en el punto "5.5.4 Cybersecurity", exponiendo su preocupación tanto por el tema de la interconectividad como por el de la interoperabilidad.

La interconectividad y la integración entre distintos actores -aeropuertos, aerolíneas, etc.- supone una mayor superficie de ataque. Al estar todo conectado, entrando por una vulnerabilidad de un sistema, sería posible alcanzar cualquier otro punto de otro sistema conectado.

La interoperabilidad llevaría a un incremento en el uso de componentes estándar que daría lugar a una pérdida de diversidad e incrementaría la probabilidad de introducir vulnerabilidades ya conocidas en el sistema.

Por ello aconseja tratar el tema de la ciber-seguridad desde el diseño, en lugar de esperar a que los sistemas estén funcionando, reconociendo que la ciber-seguridad no es un tema estático, sino que evoluciona con la sofisticación de los atacantes y con los cambios en los sistemas que introducen nuevas vulnerabilidades. 

Otros medios de transporte

No sólo los sistemas de la aviación se han apuntado a la conectividad IP, ya conocemos la conectividad de los automóviles para proveer servicios al conductor y las noticias sobre vulnerabilidades en sus sistemas. Una de las últimas -The Hacker News[ix] la publicó el pasado 6 de junio- tiene que ver con el Mitsubishi Outlander. Según la noticia, un experto en seguridad ha encontrado una vulnerabilidad en su sistema WI-FI que permitiría acceder remotamente al vehículo y desconectar sus sistema de alarma para poder robarlo. En el mismo artículo hay enlaces a noticias como que "Hackers encuentran una manera para desconectar el sistema de airbags". Quien dice automóvil, dice autobuses o camiones de transporte. 

Los medios de transporte de personas y mercancías, y las redes que los soportan tienen un gran importancia. Por esto tienen un tratamiento especial y son considerados como "Infraestructuras críticas (IC)".

Según la UE, IC se considera "cualquier activo, sistema o parte de ello localizado en un estado miembro el cual es imprescindible para el mantenimiento de las funciones sociales, salud, seguridad en personas y cosas, economía o bienestar de las personas, cuya interrupción, alteración o destrucción tendría un impacto significativo en el estado miembro como resultado del fallo en el mantenimiento de tales funciones"[x]. 

La UE está trabajando en que las redes de transporte sean más eficientes y sostenibles. Para ello ha definido una serie de programas dentro de lo que llama "Sistemas de transporte inteligente o ITS -Intelligent transport systems-", que define como la aplicación de las tecnologías de la información y las comunicaciones al transporte, para mejorar sus niveles de servicio y eficiencia. Dentro de esto están incluidos todos los medios: transporte por carretera, tren, marítimo y, por supuesto, aéreo ya comentado.

¿Pero ganaremos en seguridad? ¿O lo que se gana por tener un control más exhaustivo de las redes de transporte se pierde por el tema de la inseguridad de los sistemas digitales y las redes de interconexión?

Conclusión

Considerando que poco a poco cada vez más cosas están conectadas a Internet y por tanto entre sí, desde los coches a los aviones y los trenes, las carreteras y las vías de los trenes, la ropa que llevaremos en un futuro o el medidor de nuestras constantes vitales, parece que va a haber muchas infraestructuras críticas, ya que un fallo de ciber-seguridad puede paralizar en muchas cosas alguna de las funciones consideradas críticas para una sociedad.

Sería importante considerar dotar a cualquier sistema que se vaya a conectar de todas las medidas de seguridad que se conozcan y sean pertinentes; y no poner trabas por perder el control sobre, por ejemplo los cifrados fuertes en las comunicaciones de los ciudadanos; o no permitir publicidad en nuestros sistemas porque pueden traer malware.

¿A quién o quienes les interesa este mundo cada vez más inseguro? ¿Por qué no se hace nada para que la tecnología nazca segura?

Debemos impedir que se haga realidad el título de un artículo de "El País" del pasado 29 de mayo: “En 2020 ya no podremos proteger nuestras redes frente a los ataques”[xi].

Más que nada es que los transportes no tripulados ya constituyen una realidad: aviones, es decir, drones; automóviles, los de Google y Tesla, por ejemplo; trenes, que según el artículo de El Mundo titulado "Europa quiere trenes 'sin conductor'"[xii], los trenes del metro de Madrid y Bilbao realmente ya funcionan sin conductor, el cual está presente sólo para tranquilidad del usuario; y barcos, como el Relationship de 1998, que según un artículo[xiii] de Der Spiegel reproducido por El País, dicho barco -un trimarán de 11 metros- estaba gobernado por un ordenador a bordo que manejaba las velas, el timón y trazaba su trayectoria, y desde un centro de control en Alemania vigilaban su ruta con cámaras de vídeo y satélite. 

* * *

Este artículo fué publicado originalmente por @PuntoSeguridad.com/"Cuadernos de Seguridad", julio-agosto,2016, nº 313, pg.80, Ciberseguridad – "Los medios de transporte ya tienen IP" – María José de la Calle.

-----------------------------------

[i] Una explicación detallada del significado de este tweet la podemos encontrar en la siguiente url [a 9-06-2016] https://news.ycombinator.com/item?id=9402667     

[ii] url [a 9-06-2016] https://twitter.com/Sidragon1/status/589050973504536576 

[iii] Kim Zetter, 21, Abr, 2015. "Feds Warn Airlines to Look Out for Passengers Hacking Jets". WIRED. url [a 9-06-2016] https://www.wired.com/2015/04/fbi-tsa-warn-airlines-tampering-onboard-wifi/ 

[iv] Kim Zetter, 21, Abr, 2015. "Hacker’s Tweet Reignites Ugly Battle Over Security Holes". WIRED. url [a 9-06-2016] https://www.wired.com/2015/04/twitter-plane-chris-roberts-security-reasearch-cold-war/ 

[v] Lane Thames, 23, Jun, 2015. "Did The Aviation Industry Fail Cybersecurity 101?". Tripwire/ The State of Security. url [a 9-06-2016] http://www.tripwire.com/state-of-security/security-data-protection/cyber-security/the-aviation-industry-did-they-fail-cybersecurity-101/ 

[vi] Gerald L. Dillingham, Ph.D., Gregory C. Wilshusen, Nabajyoti Barkakati Ph.D., Abr, 2015. "Air Traffic Control. FAA Needs a More Comprehensive Approach to Address Cybersecurity As Agency Transitions to NextGen". United States Government Accountability Office, GAO-15-370. url [a 9-06-2016] http://www.gao.gov/assets/670/669627.pdf 

[vii] Matthew Hoye and Rene Marsh, 15, Abr, 2015. "GAO: Newer aircraft vulnerable to hacking". CNN. url [a 9-06-2016] http://edition.cnn.com/2015/04/14/politics/gao-newer-aircraft-vulnerable-to-hacking/ 

[viii] "European ATM Master Plan. Executive View - Edition 2015". Luxembourg: Publications Office of the European Union, 2015. url [a 9-06-2016] http://ec.europa.eu/transport/modes/air/sesar/doc/eu-atm-master-plan-2015.pdf 

[ix] Swati Khandelwal, 6, Jun, 2016. "Mitsubishi Outlander Car's Theft Alarm Hacked through Wi-Fi". The Hacker News. url [a 9-06-2016]  http://thehackernews.com/2016/06/mitsubishi-car-hacking.html? 

[x] Directiva europea 2008/114/EC del Consejo, de 8 de diciembre de 2008, sobre la identificación y designación de infraestructuras críticas europeas y la evaluación de la necesidad de mejorar su protección. url [a 9-06-2016] http://eur-lex.europa.eu/legal-content/ES/TXT/?uri=uriserv%3Ajl0013 

[xi] Beatriz Guillén, 29, May, 2016. "En 2020 ya no podremos proteger nuestras redes frente a los ataques". El País. url [a 9-06-2016] http://tecnologia.elpais.com/tecnologia/2016/05/06/actualidad/1462550216_094378.html 

[xii] Eugenio Mallol, 26, Sept, 2015. "Europa quiere trenes 'sin conductor'". El Mundo. url [a 9-06-2016] http://www.elmundo.es/economia/2015/09/21/55ffdcc9268e3e8d088b4585.html 

[xiii] Der Spiegel , 7, Jun, 1998. "Un barco sin piloto hará escala en Canarias en su vuelta al mundo". El País. url [a 9-06- 2016] http://elpais.com/diario/1998/06/07/sociedad/897170405_850215.html