Voy a proponerles un sencillo ejercicio. Levántense de su silla (aprovechen para estirar las piernas) y diríjanse a la máquina expendedora de refrescos y snacks de su empresa. Busquen el display que muestra la selección de producto etc. (suele estar a la derecha). Lean la temperatura a la que, supuestamente, se almacenan los productos allí expuestos. ¿Qué valor encuentran? ¿Diez, quince grados? Ahora busquen los dos o tres sándwiches que, seguramente, están a la venta. Si fuerzan un poco la vista, verán que en el frontal de cada envase hay un letrero (en el caso que me ocupa, sobre fondo amarillo o rojo, para hacerlo más ilegible) que dice lo siguiente: “Conservar entre 0 y 5 grados”.
Abril en París (o la Naturaleza al contraataque)
Los días 11 al 15 del pasado mes de abril se celebró en París el IEEE Symposium Series on Computational Intelligence, SSCI 2011. Se trata de un evento bienal que comprende más de treinta simposios que contemplan aspectos teóricos y aplicaciones de la inteligencia computacional.
¿Qué es la inteligencia computacional? Una definición de andar por casa podría ser ésta: la IC consiste en hacer que un sistema (generalmente informático) se comporte de forma tal que, si se tratara de un ser vivo, diríamos que es inteligente. Si nos quisiéramos poner un poco más técnicos, diríamos que la Inteligencia Computacional (también denominada Soft Computing) es una rama de la Inteligencia Artificial que consiste en el estudio de mecanismos adaptativos para permitir o facilitar el comportamiento inteligente en sistemas complejos y cambiantes.
Algún escéptico pensará “ya me vendieron la moto de la inteligencia artificial y aún no tengo un robot haciéndome la faena de la casa, ¿qué pretenderán ahora con esto?” Bien, no se trata de vender ninguna panacea, sino de utilizar diversas heurísticas y computación para resolver problemas; en nuestro caso, problemas de seguridad.
¿En qué mejora la IC a la IA? Tomemos como ejemplo los sistemas expertos, que son una de las áreas clave en IA. Éstos se basan en la existencia de una serie de expertos humanos que deducen reglas de comportamiento para un sistema; esas reglas las implementamos en un lenguaje específico y voilà, a correr. Esto es lo que se denomina un enfoque “de arriba a abajo” (top down para los anglófilos), en el que la estructura de las soluciones está impuesta desde arriba.
El problema viene cuando no hay expertos a quienes preguntar, bien porque el sistema es nuevo o porque el experto está de baja o se ha jubilado; también puede ser que el experto se equivoque o incluso mienta ¿Y qué pasa si hay expertos, pero no se ponen de acuerdo?
Por el contrario, en IC el enfoque es “de abajo a arriba” (o bottom up, que también es la expresión utilizada en el pub para instar a los compañeros a que terminen su cerveza, aunque cualquier relación es pura casualidad), donde las soluciones emergen desde un estado inicial sin estructurar. Dicho de otra forma, no le decimos a la solución cómo tiene que ser, sino que surge ella sola (bonito ¿no?). Los cinco principales paradigmas en IC son las redes neuronales artificiales, la computación evolutiva, la inteligencia de enjambres (swarm intelligence), los sistemas difusos (fuzzy) y los sistemas inmunitarios artificiales. La mayoría de estas técnicas están inspiradas en procesos que se dan en la naturaleza: la evolución y la genética, el comportamiento del cerebro humano o de los animales sociales etc., lo cual no es sorprendente, ya que la Naturaleza (con mayúscula) es una “experta” en encontrar soluciones ingeniosas a problemas de todo tipo.
Dicho todo esto, volvamos a París y al SSCI. ¿Cuál era nuestro interés en este evento? Éste venía dado por dos simposios en concreto: el simposio sobre IC en ciberseguridad (CICS) y el simposio sobre IC en aplicaciones en seguridad y defensa (CISDA). Nuestros lectores asiduos ya son conscientes de que los malos cada vez son más numerosos y más malos, mientras que los que deberían protegernos a los buenos en muchas ocasiones se están dedicando a pulir sistemas de dudosa efectividad (no lo digo yo, lo dice el informe Gartner sobre Endpoint Protection) porque esto es más sencillo que coger el toro por los cuernos. Son necesarios sistemas de ciberdefensa flexibles, adaptables y robustos, que puedan tomar decisiones casi en tiempo real y capaces de detectar una gran variedad de amenazas y ataques, tanto activos como pasivos, conocidos y desconocidos, ataques externos y mal uso interno, virus y spam etc. Y es aquí donde la IC ha revelado su capacidad de respuesta: ya que no tengo suficientes expertos para predecir por dónde van a venir los tiros, voy a intentar conseguir que mis defensas surjan solas.
En Paris hemos visto ponencias sobre análisis de tráfico de red, detección de anomalías, protección de infraestructuras, prevención de ataques DDoS… o sea, los temas de siempre y algunos nuevos, pero abordados desde el enfoque de la IC. Hemos escuchado también reflexiones interesantes, como la que hacía el director del MIT Geospatial Datacenter, John R. Williams, de que el dinero que financia a los cibercriminales proviene en gran parte de las falsificaciones. No sólo de los Rolex a tres euros, sino otras mucho más serias, como las que afectan a productos farmacéuticos y ponen en peligro nuestra salud.
Una reflexión personal, quizás no tan interesante, es ésta: los investigadores en inteligencia computacional en ciberseguridad y defensa provienen en su inmensa mayoría de EEUU y Canadá. Dicho de otra forma ¿de qué tendrán miedo los canadienses?
De serpientes y reputación
En la mitología griega, había varios símbolos relacionados con la serpiente. Uno es el caduceo, la vara alada de Hermes (el heraldo de los dioses) con dos serpientes entrelazadas, otro es la vara de Asclepio (Esculapio para los romanos), sin alas y con una única serpiente; por último, la copa de Higia, diosa de la salud, también tiene una serpiente enroscada a su alrededor. Sin embargo, en la simbología judaica, la serpiente tenía mala reputación, siendo utilizada como símbolo del mal; concretamente, el demonio que tienta a Eva en el paraíso tenía forma de serpiente (seguramente, si en lugar de tentar a Eva hubiera tentado a Adán, en lugar de la sabiduría le habría ofrecido un iPad, pero esto ya formaría parte de otro post…).
Esta idea que por una parte relaciona la serpiente con la salud y la curación y por otra con la mala reputación, nos viene muy bien para introducir el proyecto SERP de S2 Grupo, que recientemente ha obtenido financiación parcial del IMPIVA (para aquellos cuyo fuerte no sean los idiomas, “serp” significa serpiente en valenciano, catalán, mallorquín… También es el acrónimo de Search Engine Results Page, pero eso tiene poca relación con la mitología…).
El objetivo del proyecto SERP (acrónimo de Semantic Engine for online Reputation Protection) es desarrollar un sistema de monitorización de contenidos que puedan afectar a la reputación online de personas o entidades, y que al mismo tiempo sea capaz de realizar acciones de mitigación y reparación de los contenidos desfavorables.
Tsunami en la cadena logística
El 17 de marzo de 2000 (hoy hace 11 años) un incendio causado por un rayo en una planta de fabricación de semiconductores de Royal Philips Electronics en Albuquerque, Nuevo México, provocó, según The Wall Street Journal, “una crisis corporativa que cambió el equilibrio de poder entre dos de los mayores fabricantes de productos electrónicos de Europa” (The Wall Street Journal, 29 de enero de 2001), Nokia y Ericsson. Aunque el incendio sólo duró 10 minutos, la contaminación que produjo en la “sala limpia” (donde se fabrican los semiconductores) motivó el cierre de la planta durante semanas. En aquella época, tanto Nokia como Ericsson utilizaban microchips producidos en esa planta. Sin embargo, mientras Nokia fue capaz de trasladar su suministro a otras plantas de Phillips, así como a otros suministradores americanos y japoneses, Ericsson quedó atrapada por su dependencia exclusiva de la planta de Albuquerque. Las pérdidas que sufrieron en ventas y la caída en su cuota de mercado en los meses siguientes motivaron que Ericsson se retirara del mercado de los teléfonos móviles en 2001.
Lo que hemos visto en Japón la semana pasada y cuyas consecuencias devastadoras aún estamos empezando a percibir, supera al pequeño incidente de hace ahora 11 años tanto como un tsunami a una onda en un estanque. Ya se están empezando a notar las subidas en el coste de los microchips (esos que tenemos en nuestros móviles, cámaras y en todas partes) y se va anotar aún más en la maltrecha industria de la automoción, con gran número de fabricantes (al parecer todos excepto dos, Hyundai y BMW) dependiendo en alguna forma de los suministros japoneses. En este río revuelto, ni siquiera parece que vaya a haber la “ganancia de pescadores” que experimentó Nokia en 2000, a costa de su competidora Ericsson: incluso aquellos fabricantes que teóricamente se beneficiarían de la desgracia de sus competidores (véase General Motors) verán también su cadena de suministro afectada por esta crisis de alcance global.
Aunque parezca algo cruel hablar de futuras pérdidas económicas cuando se han producido miles de pérdidas humanas en el presente, no deja de ser una buena ocasión para recordar la importancia de la monitorización de riesgos en la cadena de suministro y la necesidad de contar con planes de contingencia para abordarlos. Al fin y al cabo, el futuro de los supervivientes también depende de cómo se lleven a cabo esos planes de contingencia. No está de más recordar el lema de los boy scouts: “Be prepared!”.
Un último pensamiento para los “50 héroes de Fukushima”, los trabajadores de la planta nuclear de Fukushima Daiichi que arriesgan su vida y su salud para intentar evitar una catástrofe nuclear aún mayor. Mucha suerte para ellos, y para el resto de sus compatriotas.
—
Véase también Strategic Risk from Supply Chain Disruptions, W. J. Hopp, S.M.R. Iravani y Z. Liu.
El eslabón más débil
Cuando mis antiguas compañeras de colegio decidieron organizar una reunión (tantos años sin verse hacen olvidar las viejas rencillas) les propuse montar un grupo de Google. Así lo hicimos y llevamos casi dos años con él, conmigo de administradora. En ese tiempo he podido descubrir cuan cándidas son estas mujeres, que, aunque con honrosas excepciones, dan crédito a todo tipo de ofertas y anuncios de soluciones milagrosas, premios inesperados y recompensas sin mayor esfuerzo que el de reenviar un correo a un número determinado de destinatarios. A lo mejor no picarán en el timo de Nigeria, pero sí en bulos como el de Mercadona ofreciendo un vale de 100 euros, o Microsoft un ordenador gratis, o el feng shui diciendo que el mes pasado tenía 5 lunes y por tanto vamos a ser todos más ricos… siempre que reenviemos el correo (dado que el feng shui tiene sus orígenes en la China imperial, no sé yo qué relación tendrá con el correo electrónico, pero en fin… si lo dice la internet)
Claro, estas señoras ya peinan canas y no son ni mucho menos lo que ahora se ha dado en llamar “nativas digitales”, pero hay dos cosas que me parecen aterradoras en todo esto. Por una parte, el pensar que en su mayor parte estas personas tienen hijos, ¿estarán educándolos en la misma credulidad? Por otra, da igual que uno transite por los callejones de la vida o los del ciberespacio, hay ciertas leyes que son universales, como por ejemplo que nadie da los duros a cuatro pesetas (¿o los euros a 20 céntimos?) y esto ellas lo deberían saber.
Sin embargo, lo verdaderamente aterrador es cuando estos ataques de credulidad aparecen en personas de las que, por su formación o profesión, uno esperaba otra cosa. Hace poco leí en el IEEE Spectrum (una revista nada sospechosa de marujeo) una columna escrita por uno de sus articulistas más veteranos, Robert Lucky, en la que confesaba abiertamente haber sido víctima de phishing. Lo sorprendente no es que timos de este tipo, u otros como el timo de Nigeria lleven circulando desde los años noventa, sino que la gente siga picando. Y que lo haga gente de este nivel me deja sin palabras. Que lo hagan los periodistas ya no me sorprende tanto: hace poco leímos un artículo en varios periódicos digitales “serios” que se hacía eco de un estudio supuestamente científico, según el cual mirar un par de tetas durante 10 minutos al día alarga en 5 años la vida de los hombres… De ilusión también se vive, supongo, porque el bulo lleva años circulando. Otros bulos no son tan inocuos, como el que casi le arruina la carrera a Mariah Carey.
Quisiera concluir diciendo que no se puede abdicar del uso de las facultades mentales en ninguna circunstancia. Tampoco cuando algo viene en un correo electrónico, o de internet. Da igual las medidas de protección que pongamos, el eslabón más débil siempre seremos nosotros mismos.
Si no puedes vencerlos… haz que trabajen para ti
Los fans del dibujante Quino quizás recordaréis una tira de Mafalda en la que está ella mirando un documental en la tele donde una voz en off dice “Desde el arco y la flecha hasta los cohetes teledirigidos, es sorprendente lo mucho que ha evolucionado la técnica”, a lo que Mafalda replica “Y deprimente lo poco que han cambiado las intenciones”.
¿Qué intenciones tiene un hacker? Llevamos meses hablando del gusano Stuxnet, sin que se sepa realmente cuales eran las de sus creadores (hay incluso quien propone que se les conceda el Nobel de la Paz). En cualquier caso, a pesar de que todo indica que la mayor parte de piratas informáticos se mueven actualmente por motivos económicos, delictivos o como les queramos llamar, aún parece existir un importante grupo de hackers (a veces llamados free spirits) para los cuales las intenciones han variado poco en 25 años de historia del hackeo: éstas suelen consistir en colgarse una medalla virtual. Los motivos económicos no parecen formar parte de este particular negocio, más allá de oscuras teorías conspirativas.
Pues bien, esto último puede estar a punto de cambiar, si los señores del DARPA (la agencia de I+D del Departamento de Defensa estadounidense) se salen con la suya. Estas mentes pensantes (que también las hay en Defensa, ¿quién dijo que no?) se han dado cuenta del potencial de tanto hacker como hay suelto y se han propuesto sacarlos del “lado oscuro”. La idea es atraerlos hacia la noble misión de encontrar los errores en su software, antes de que lo hagan los verdaderamente “malos”. Evidentemente, como ser bueno no es tan cool como ser malo, les proponen una compensación económica. Y la intención de toda la vida, la medalla virtual, no sólo permanece intacta, sino que puede verse potenciada, dado que en este caso los hackers no tendrían que esconderse de la Justicia y podrían alardear de sus acciones sin necesidad de seudónimos (esto sí se puede poner en el curriculum).
El programa, denominado Cyber Fast Track, está orientado a organizaciones pequeñas con presupuestos bajos y que proporcionen resultados rápidos. Todas estas características suponen un verdadero reto para el propio Departamento de Defensa, acostumbrados como están a proyectos multimillonarios y de duración prolongada. Quién sabe si nuestro ministerio tomará buena nota y se decidirá a hacer algo parecido dentro de nuestras fronteras (no, yo tampoco lo creo…)
Hay quien objeta que iniciativas de este tipo serían equivalentes a pagar a pirómanos para controlar los incendios forestales. Aunque la analogía es un poco forzada y yo personalmente no la comparto, no hay que negarle algo de razón. Pero eso será tema para otro post…