Martiniano Mallavibarrena

Los múltiples aspectos de la ciberseguridad (ataques, investigaciones, defensa, empleados desleales, negligencia, etc.) llevan años siendo parte del argumento de infinidad de películas y series de TV. En la sociedad actual, con una parte de la población nacida con teléfonos móviles en las manos y wifi universal, hablar de “hackers”, “malware” o “ciber ataques” es totalmente común y a nadie sorprende. Tanto unos (los villanos malvados o aquellos que les ayudan), como otros (las víctimas, no siempre pasivas) se suelen ver en medio de una lucha ciber-épica del bien contra el mal en forma de agencias de investigación, cuerpos policiales de élite y demás grupos de “bienhechores” que nos salvan de todo mal (o lo intentan con toda su energía). Como sucede con otras tecnologías (en particular, la robótica y la inteligencia artificial), la maquinaria de producción de cine/TV no va a arriesgar un gran éxito de público por ser excesivamente puristas en los detalles mas técnicos. Por ello, vemos constantemente interpretaciones de lo más creativas sobre las posibilidades de la tecnología y de las habilidades de unos y otros en la gran pantalla. 10 ejemplos Ciberseguridad en el cine, televisión y streaming Vamos a utilizar 10 películas o series de televisión o streaming para ilustrar cómo la realidad y la ficción, cuando de ciberseguridad se trata, pueden estar separadas por distancias abismales. El fin justifica los medios, ya se sabe. 1. No todos son script kiddies: "Juegos de guerra" (1983) Desde que conectarse a Internet era cuestión de conocer el número de teléfono adecuado y tener un modem configurado, se ha comenzado a cultivar el arquetipo del joven solitario, aficionado a la tecnología que consume conocimiento de forma compulsiva y se desafía a si mismo probando nuevas técnicas de intrusión y compromiso, muchas veces por el mero placer de conseguirlo. Si bien este perfil de actor malicioso existe y es común en la sociedad actual (¿quién no ha buscado en Youtube un tutorial de algo?) no es representativo a la hora de trazar un mapa de actores realmente peligrosos donde tendremos como líderes a los profesionales de la delincuencia organizada, agencias de inteligencia, mercenarios digitales, etc. 🔵 Estas personas que vimos nacer como icono en el clásico Juegos de guerra (1983) son una constante en nuestros entornos cercanos, pero más allá de gamberradas (algunos intentan cambiar sus notas de clase como en la famosa película) y hacktivismo, no suelen pasar de intentos de fraude, pequeños timos en Internet, etc. Luego no son realmente representativos del sector del cibercrimen. 2. Lobos solitarios y otros rasgos del perfil: "Sneakers" (1992) De cara a incrementar el dramatismo del guion, todos estaremos de acuerdo que “los lobos solitarios” (al margen de su edad y género) son personajes de lo mas convenientes. Antiguos miembros de agencias de inteligencia, hackers de élite con deseos de venganza y un largo etcétera, conforman un conjunto enorme de candidatos para ser el hacker perfecto en nuestro guion cinematográfico. Al igual que en el primer punto, es obvio decir que, existiendo ambos perfiles en el equipo de los actores maliciosos, la mayoría de la delincuencia organizada actual dedicada a la ciberdelincuencia está compuesta por miles de mercenarios de todas las edades y tipologías cuyo único objetivo es ganar dinero y prosperar en la organización. Los lobos solitarios (por venganza o con una misión) existen, pero desde luego no representan a este colectivo. 🔵 La película Sneakers (en España, Los fisgones, 1992) es un ejemplo simpático de como se conforman en la “realidad”, estos equipos de expertos (en este caso, un encantador equipo de hackers éticos) lo que igual aplica a las unidades policiales y otros grupos: profesionales con mas experiencia combinada con gente más joven (y en algún caso, ciberdelincuentes redimidos), todos unidos con un objetivo común: atacar o defender (la célebre metáfora de los equipos rojo y azul). AI of Things Inteligencia Artificial en la ficción: The Bestiary Chronicles, de Steve Coulson 10 de enero de 2023 3. Teclea rápido, teclea mejor: "Matrix" (1999) Uno de los efectos mas cómicos, quizás, en el cine actual y en lo que a ciberseguridad se refiere, es que todas las personas expertas en la materia tienen que teclear a toda velocidad, encadenando comandos muy largos, con instrucciones complejas, etc. Sin respiro ni error. Da igual que lleves guantes, estés herido, sea el teclado de un cajero o el mundo se derrumbe a tu alrededor. 🔵 De los mil y un ejemplos de esta agilidad circense, podemos recordar algunas escenas de la saga Matrix donde varios de sus protagonistas teclean (en algún caso utilizando herramientas reales como nmap con guantes de cuero y bajo presión extrema) a una velocidad de vértigo, obteniendo resultados perfectos. 4. Inmediatez en accesos: "Jason Bourne" (2016) Es fácil recordar escenas en producciones recientes donde el protagonista tiene que entrar en un sistema remoto (o en un ordenador personal que tiene delante) que no conoce ni del que tiene ningún conocimiento previo (el guion ya nos ha dado esa información para elevar la complejidad) y lo consigue sin titubear y en unos instantes. Siendo cierto que, en muchos casos, para una persona entrenada y preparada (ambas condiciones son necesarias) puede ser relativamente sencillo realizar una intrusión, parece poco probable que de forma general lo haga en pocos segundos, sin errores, sin descargar (casi nunca sucede) ninguna herramienta de apoyo, sin comprobar vulnerabilidades existentes, etc. Esa especie de contraseña universal mágica (sin doble factor de autenticación o bloqueo por dirección) es muchas veces fruto de un cierto trabajo previo (por ejemplo, enviar un malware por mail que incluya una herramienta de captura de contraseñas) o de al menos, comprobaciones de vulnerabilidades conocidas o un par de intentos de contraseñas triviales. 🔵 La última entrega de la saga Jason Bourne está plagada de este tipo de escenas donde el espectador debe asumir que la CIA se salta todo tipo de retrasos legales y dilemas éticos en la persecución implacable de su objetivo mientras uno tras otro, todos los sistemas son accedidos con envidiable comodidad. 5. Conocimiento previo de todo tipo de sistemas y plataformas: "La jungla 4.0" (2007) Otro asunto recurrente en el cine es del conocimiento universal por parte del atacante de todo tipo de sistemas y plataformas que las víctimas utilizan de forma habitual y la obvia sencillez en su uso: sistemas de control industrial, control aéreo, armamento nuclear, alumbrado eléctrico o coches autónomos. Por muy profesionales que nos podamos creer que son los atacantes (casi siempre hackers de élite, agencias de tres letras, etc.) no parece muy creíble que sea el sistema que sea, el actor se mueva con total agilidad (siempre parece que se conectan por primera vez) por la consola (obviando que estos sistemas tienen múltiples medidas de seguridad de acceso que desaparecen y que el actor tendría instalado en su ordenador el software necesario) y que incluso superando la barrera del idioma (mandarín, árabe, ruso, etc.) el atacante no duda en elegir la opción perfecta para (sin mayor comprobación) apagar la energía eléctrica de medio estado de California. 🔵 La simpática cuarta entrega de la saga La jungla de cristal llamada La jungla 4.0 en España está plagada de todo tipo de licencias poéticas en cuanto a control industrial (iluminación en el túnel, la central eléctrica, la reserva federal, etc.) AI of Things La Inteligencia Artificial en las películas de ciencia ficción: un patrón recurrente de fascinación y terror 12 de mayo de 2022 6. Información conectada entre unos sistemas y otros: "Navy, investigación criminal" (2003–) Otra gran realidad en los sistemas de información actuales es que el formato en el que se trata la información no es estándar más allá de lo obvio siendo el caso mas claro el de las matrículas de coche, los números de teléfono o los números de identificación (tipo DNI). Por todo ello sorprende que cuando nuestro equipo de élite (del equipo de “los buenos”) consigue una primera pieza de información (una matrícula de coche borrosa en un peaje), se consiga en pocos segundos, la posición del coche, la del teléfono móvil, las notas del instituto del sujeto y su expediente militar (pues, casi siempre, fueron miembros de las fuerzas especiales antes de ser asesinos en serie o mercenarios). Considerando la población actual de USA y que una combinación nombre y un solo apellido, dará casi siempre miles de resultados, parece curioso que el primer rostro que aparece en pantalla al teclear el nombre “John X. Smith” sea exactamente el del villano de la película (la foto será reciente, claro). 🔵 Series en las que constantemente se localiza a individuos, suelen abusar de estos recursos como en el caso de la serie NCIS (en España Navy: Investigación criminal), siendo sorprendente que nunca tengamos problemas con el formato de los datos, los prefijos telefónicos, los códigos postales, las iniciales en los nombres propios, etc. 7. Con sus manos desnudas: "MacGyver" (1985–1992) Aquellos que vimos en los 80 la serie de TV McGyver, tuvimos remake hace pocos años, para las nuevas generaciones) sonreímos cada vez que una persona experta en ciberseguridad se pone manos a la obra en nuestra producción cinematográfica favorita, sin disponer de ningún recurso inicial. En las escenas que vemos en la pantalla, nuestro protagonista dispondrá únicamente de una consola portátil de videojuegos (suponemos que conexión inalámbrica, claro), un teléfono móvil antiguo o el PC antiguo de una biblioteca en algún pueblo de Dakota del norte. Sin embargo, en pocos minutos, habrá obtenido acceso a la reserva federal o al centro de control aéreo del aeropuerto de Washington (Dulles). 🔵 Algunas escenas de películas como The Net (en España, La red, 1995) se pueden enmarcar en este caso, cuando los malos o la protagonista hacen todo tipo de equilibrios cibernéticos en ordenadores utilizados al azar en cualquier sitio. 8. Información colateral ubicua: "Enemigo público" (1998) Cualquier escena “cíber” del cine actual, normalmente involucra la infiltración en algún sistema remoto (banco, entorno militar, control industrial, etc.) para realizar una acción necesaria (robar dinero o criptomonedas, quizás al equipo de los malos) con un fin específico (lanzar los misiles sin control humano). Para llevar a cabo estas acciones, nuestro héroe o heroína (o equipo diverso de personas con múltiples habilidades, todas complementarias entre sí) nos dejará claro sus amplios conocimientos de tecnología y utilizará técnicas avanzadas de penetración (que no siempre se muestran, pero siempre se intuyen) hasta conseguir su objetivo y exclamar sonriente el clásico atemporal “¡Estamos dentro!”. Camino al éxito en la conexión y en las acciones posteriores, de forma sorprendente, podremos ver en pantalla infinidad de planos de piezas, esquemas de arquitectura de edificios, planos de alcantarillado, tendido eléctrico, sistemas de seguridad privada, módulos de una fábrica o central energética, etc. Sin importar lo antiguo que sea el edificio o entorno y lo privada y protegida que sea la información que aparece en pantalla, los planos nos irán mostrando todas esas piezas de información de forma acelerada para hacernos comprender que pese a las habilidades del “hacker”, la información colateral mostrada cubre la parte mas “milagrosa” de la hazaña. 🔵 En la interesante Enemy of the state (en España, Enemigo público, 1998), el equipo de los malos (la NSA mal dirigida por un directivo sin escrúpulos ni supervisión) hace uso, una y otra vez, de estos recursos milagrosos para tratar de destrozar la vida del pobre protagonista. 9. Tenemos nuestro sistema perfectamente preparado: "Blackhat, amenaza en la red" (2015) Otra de las grandes licencias poéticas de las producciones es la del “actor” perfectamente preparado. Da igual que el protagonista esté en mitad del desierto armado solo una navaja suiza (ver mito número 7) o si está en su “guarida” con su super portátil (no olvidemos las pegatinas, la luz baja y la capucha) moviéndose con total agilidad de un sistema a otro, de una tecnología a otro, mientras sus dedos bailan sobre un teclado geek lleno de luces LED o adhesivos con emoticonos. Lógicamente, todo perdería magia, si el actor tuviera que cambiar muchas veces de herramienta, descargar una nueva utilidad, buscar en Github algún software de interés, etc. 🔵 En algunos blockbusters como Blackhat: amenaza en la red podemos ver este tipo de acciones compulsivas donde da lo mismo el entorno donde nos movamos, el atacante siempre tiene todo preparado, el software instalado, etc. Todo funciona a la perfección, luego podemos ver a nuestra estrella tecleando a toda velocidad mientras las cosas van sucediendo de forma súbita (sin errores intermedios, desde luego). 10. Violación constante de los requisitos legales: "Mentes criminales" (2005–) Aunque todos podemos entender que algunas operaciones policiales en el ciberespacio son especialmente críticas y urgentes (quizás intenten evitar en el último momento un atentado terrorista), todas las agencias de inteligencia, unidades policiales, etc., tienen que seguir de forma estricta la regulación que aplique en esa región y escenario (amén de un código ético básico) y por ello se deben pedir ordenes judiciales, permisos a los usuarios, empresas proveedoras de servicios, colectivos, etc. Desde luego, no suele ser conveniente para la agilidad del guion que se tenga que “detener la acción” cada pocos pasos, esperando al “papeleo” y a la presunta lentitud del sistema judicial correspondiente. 🔵 La inmensa mayoría de casos en series como Mentes criminales o FBI donde el analista salta de las reservas de vuelos a los pagos con tarjeta de crédito después de ver lo que habían cenado en el restaurante cercano, parecen poco creíbles (desde la perspectiva legal) si consideramos la secuencia de pasos necesarios en la mayoría de países que protegen los derechos civiles y la privacidad de la ciudadanía. Conclusión La próxima vez que veamos una serie de streaming o gran estreno en cine y salga un tipo tecleando rápido a oscuras, ocultando su rostro con una capucha mientras el mundo sucumbe… ya sabes lo que tienes que hacer: disfrutar del espectáculo (que siempre debe continuar) y olvidar el nivel de realismo empleado. Por cierto, utilizar el término hacker siempre para el caso que todos ponemos imaginar es tan poco preciso como injusto, pero este tema mejor lo vemos en otro post 😊 Foto principal: Felipe Bustillo / Unsplash

El fenómeno ransomware Si hay un término que se ha ganado a pulso los primeros puestos en los titulares en medios de comunicación durante los dos últimos años, ransomware es sin duda, el claro ganador. Es rara la semana en la que los medios no nos hablan de un incidente utilizando este tipo de aproximación y es raro el sector que se ha librado de esta especie de maldición bíblica de última generación. Se entienda realmente el trasfondo o no, la ciudadanía traduce siempre este término como sinónimo de graves ataques informáticos y un nivel de daño importante para las empresas. Normalmente, la narrativa de los medios es algo confusa pues se habla del impacto (la página web que no está operativa o la fábrica que no puede abrir) y no tanto del incidente en sí mismo, que suele haber ocurrido tiempo atrás y que suele tener otras historias que contar. Esta publicación inicia una serie de cuatro artículos donde vamos a tratar de compartir nuestra visión cercana al fenómeno, narrando como se vive la dinámica de este tipo de incidentes de ciberseguridad cuando son una realidad en nuestra organización. Respuesta a incidentes Ransomware de un vistazo En un incidente de este tipo, un actor habrá conseguido acceso a la infraestructura del cliente y habrá comenzado una secuencia de pasos fácilmente previsibles donde se descargará herramientas (para analizar su entorno, detectar máquinas y direcciones IP, para enumerar sistemas y usuarios, etc.) para luego intentar ir realizando distintos movimientos laterales hacia un escalado progresivo de privilegios que optimicen culminar su actividad eliminando la resistencia propia del entorno. Las conexiones con su C2 (centro de operaciones del atacante, conocido como Command & Control) serán frecuentes en estos movimientos. Los plazos de tiempo necesarios para realizar las múltiples fases solían necesitar de varias semanas para producirse, aunque en las últimas experiencias durante 2021, hemos podido confirmar plazos más cortos (alrededor de una semana en total, en muchos casos) lo que hace, si cabe, más necesarias y urgente las plataformas de detección y respuesta (EDR, XDR, etc.). Una vez el actor tiene el nivel de conocimiento y acceso deseados, se producirá realmente el ataque, bien porque se exfiltran y cifran gran cantidad de datos, bien por filtrarse únicamente (no todos los actores que siguen esta pauta exfiltrando los datos). Sea como sea, en un plazo muy corto, una cantidad importante de carpetas y ficheros de nuestro cliente habrán sido comprometidos y cifrados, apareciendo ahora las célebres “notas de rescate” (análogas a las tradicionales cuando se trata de secuestros de personas) donde se nos suele informar del ataque, sobre sus autores (que se identificarán por algún nombre de guerra, de organización, etc.) y sobre las condiciones del “rescate”. La recuperación de los archivos cifrados en el ataque suele ser muy compleja (los mecanismos de cifrado son muy robustos) y por ello, el actor nos invitará a visitar alguna página en TOR (Darkweb) donde podremos comprobar cuanto tiempo tenemos para realizar el pago (cuenta atrás) y la forma esperada de hacerlo (normalmente, con criptomonedas, para dificultar su rastreo). Es importante resaltar el hecho de que, en los últimos meses, el enfoque RaaS (Ransomware as a service, utilizando la nomenclatura de los servicios en la nube) se han utilizado de forma muy intensa. En estos casos, un primer actor desarrolla un software para realizar ataques con Ransomware y es compartido con otro actor distinto que en base a distintos modelos (compartición de beneficios, pago mensual, etc.) realizará finalmente los ataques. En este modelo, el primer actor proporcionará soporte técnico al segundo por lo que el actor que realmente ataca no debe tener grandes conocimientos de tecnología ofensiva. Una vez la organización es víctima de un ataque con Ransomware, un número importante de equipos (suelen ser siempre servidores y colateralmente, estaciones de trabajo) serán cifrados y su funcionamiento comenzará a degradarse (los atacantes no cifran los sistemas de forma completa para permitir que se muestre la nota de rescate) o a pararse por completo. En muchos casos, los servicios de IT/Seguridad del propio cliente detectarán el ataque o al menos algunos aspectos. Quizás puedan con suerte, contener parte del ataque. En cualquier caso, la situación será obvia en cuestión de minutos el impacto en servicios será absoluto. Cuando una organización sufre un incidente de seguridad basado en Ransomware, iniciará un proceso de respuesta al incidente (IR) que normalmente sigue diversas mejores prácticas de entidades internacionales como el NIST (USA) o ENISA (Europa). Durante este proceso se intentará esencialmente cubrir tres etapas: La contención (evitar que se extienda el daño y la amenaza crezca) La erradicación (eliminar la presencia del actor/malware de forma que no se reactive en el futuro) La recuperación (de sistemas y servicios, de forma segura). Es poco frecuente que la compañía/organización tenga suficientes recursos o activados (empresas de servicios ya activas) como para afrontar este proceso de IR con solo recursos propios y es por ello que la oferta de servicios DFIR (Digital Forensics, Incident Response) de Telefónica Tech suelen ser requeridos. Como llevamos a cabo un proceso de IR-Ransomware El equipo de respuesta a incidentes de Telefónica Tech tiene recursos en varios países y ofrece diversos servicios de tipo IR a nivel global, habiendo realizado trabajos para clientes en Europa, USA y LATAM. El servicio de IR se entrega tanto en castellano como en inglés. El elemento principal sobre el que orbita todo el trabajo es una plataforma de tipo EDR (Endpoint Detection & Response). En caso de que el cliente no disponga de un sistema de este tipo ya desplegado, el equipo activa en la nube y despliega en cuestión de minutos alguna de las soluciones de nuestros aliados tecnológicos. La primera reunión con el cliente es fundamental para poder dar unas primeras pautas de orientación y para dar soporte a la toma de decisiones del cliente: cortar o minimizar las comunicaciones externas, desplegar o reutilizar alguna plataforma EDR, apagado preventivo de otros sistemas y comunicaciones, comunicación a medios, usuarios, clientes etc. Así como la correspondiente comunicación con la agencia de protección de datos que aplique en el caso concreto. Una vez el cliente toma las primeras decisiones, se conforma un equipo de trabajo mixto en el que participan distintos roles técnicos tanto de Telefónica Tech como del cliente (o terceros relacionados como fabricantes o proveedores de servicios) y que iniciarán una rutina de trabajos y puntos de control regulares en modo 24x7 (el tiempo de reacción es fundamental). Tras un periodo que no suele bajar de 15 días, la situación es relativamente estable, se habrá contenido y erradicado la amenaza y el nivel de recuperación suele ser elevado o total (quizás con algunas pérdidas de datos por impacto del ataque). Es habitual mantener sesiones paralelas para dar soporte al cliente en aspectos paralegales, regulatorios, denuncias a cuerpos policiales o sobre el proceso de comunicación. En los siguientes artículos de esta serie veremos con más detalle la operativa concreta de los tres grupos principales que desde Telefónica Tech trabajan en estos procesos de IR-ransomware: El DFIR (coordinación general, trabajo forense diverso, análisis de malware, etc.) El conocido como Threat Hunting (que investigará y apoyará de formas diversas el proceso utilizando la consola del EDR como centro focal) El grupo de inteligencia cuyos informes y sugerencias específicas permitirán enfocar de forma óptima todo el trabajo de contención y la investigación forense. Una vez el proceso de IR llega a su fin, el equipo de Telefónica Tech completará la entrega de documentación relacionada, incluyendo siempre un informe final de investigación y diversos informes colaterales de inteligencia. En la reunión final se revisará el informe, se resolverán dudas del equipo cliente y se revisarán las recomendaciones de seguridad mas importantes. 🔵 Descarga nuestra guía, publicada en colaboración con nuestro socio Palo Alto, para ayudar a las empresas a preparar, planificar, y responder ante ataques de ransomware.

En estas fechas en las que encadenamos Black Friday, Navidad y Reyes, nunca está de más pararse un momento para hacer un repaso mental de algunos aspectos y buenas prácticas para comprar por internet de forma segura. Tener en cuenta estas recomendaciones y consideraciones antes de iniciar un proceso online de compra nos puede evitar disgustos, de estafas o robos de datos personales a cargos imprevistos e incluso accesos indeseados a nuestra cuenta bancaria. Primer nivel: comprar en páginas adecuadas La mayoría de las personas realizan sus compras online en portales reconocidos y en los que no debería haber mayor problema para operar (si se tienen en cuenta los siguientes niveles). Sin embargo, muchas otras personas buscan mejores precios (concepto “chollo”) o buscan opciones al borde de la legalidad (imitaciones, segunda mano de dudosa seriedad, intercambio entre particulares portales poco conocidos, etc.). En esos otros casos, el problema es que básicamente los usuarios se aproximarán a dos escenarios: Páginas fraudulentas: donde con apariencia de comercio online legítimo les robarán las credenciales, datos de medios de pago, etc. Sin entregar nada a cambio o entregando mercancía inservible. Páginas legítimas de imitaciones: En estos casos, el portal funciona de forma normal, a veces imitan el portal auténtico de marcas conocidas (RayBan, Nike, Adidas, etc.) pero el producto entregado es una imitación de baja calidad o directamente algo parecido. Estos casos bordean la legalidad, aunque claramente infringen los aspectos de marca registrada y demás. El resto de los portales “conocidos” que podamos utilizar y de uso común, no deben presentar mayor problema al realizar transacciones online siempre y cuando tengamos en cuenta los dos siguientes niveles. Seamos precavidos y comprobemos siempre (en foros o a través de amigos, por ejemplo) que valoración tenemos de esos “otros portales”. CYBER SECURITY Cómo proteger tus cuentas en las redes sociales 11 de octubre de 2022 Segundo nivel: algunas buenas prácticas (durante el proceso de compra) En este nivel, llegará un momento (el célebre “Check out”) de “pasar por caja” y abonar la compra. En este nivel, hay desde luego algunos puntos a intentar tener en mente: El famoso signo del “candado” indica que estamos utilizando el protocolo HTTPS (HTTP Seguro) y es la condición mas básica para realizar transacciones electrónicas seguras en la red. Amén de cifrar los datos que enviamos, autentifica de extremo-a-extremo los dos entornos (el portal y el usuario). Comprar online sin este enfoque es muy peligroso. No hay garantías mínimas de seguridad. Si utilizamos el portal por primera vez (ojo con el nivel 3, debajo) demos los datos básicos necesarios y nada mas allá de lo necesario (muchos datos son para marketing y para poder perfilarnos como vimos en otro post) Puede ser una buena práctica tener una dirección de email personal exclusiva para comercio electrónico (persona.online@gmail.com) y gestionar con mas cuidado este tipo de actividad. El medio de pago es importante. Si utilizamos servicios de terceros tipo PayPal, está perfecto siempre y cuando condivmos las opciones de validación de forma razonable (autenticación, seguridad de aprobación de pagos, cantidades máximas, etc.) Si utilizamos tarjetas de crédito/débito seamos cautos con dejar los datos ya guardados, seamos sensibles a facilidades que nos de el navegador o el sistema operativo para guardar los datos de todas las tarjetas que tengamos activas. El dato mas peligroso es el código de seguridad de la tarjeta (el llamado CVV o CVV) que debemos intentar no dejar almacenado y siempre teniendo en cuenta el nivel 3 (debajo). Seamos serios con la aceptación de la transacción con nuestra entidad bancaria para que todas las veces (si fuera posible) nos pida autenticación específica con un código generado en el momento (hay muchas variantes según la entidad) y así podemos validar una-a-una cada transacción. Impuestos y divisas. Seamos conscientes de qué cambio se nos aplicará al utilizar divisa extranjera, el tipo de cambio se nos aplica y si nos van a cargar impuestos en casos de ciertos países (caso de UK ahora fuera de la UE por el Brexit). Con el punto anterior, antes de aceptar la transacción en la entidad bancaria, tengamos en mente este tema (divisas e impuestos). Si algo no cuadra, es mejor no aceptar y revisar todo. Evitemos la compra compulsiva. Guardemos siempre la información completa (y si existe oficial, con firma digital) del “recibo” de la compra donde se identifica de forma completa toda la ruta de la compra (para posibles reclamaciones o posibles fraudes). CYBER SECURITY La importancia del factor humano en ciberseguridad 28 de septiembre de 2022 Tercer nivel: escoger el mejor escenario para comprar online Es obvio que a veces tenemos que hacer una compra online de urgencia (un viaje por una emergencia familiar) pero debemos intentar evitar algunos escenarios básicos de mayor riesgo: Utilizar nuestro propio dispositivo “seguro” y evitar ordenadores de hoteles, ciber-cafés, amigos, etc. Utilizar la conexión del hogar o en oficina, la red 4G/5G o redes Wifi de total confianza y evitar redes de cafeterías, hoteles, ayuntamientos, etc. Sobre todo, si son “abiertas” o que no hemos utilizado nunca. Si alguna amistad nos envía un SMS, email, Whatsapp, etc. Con una dirección de un portal con unos precios escandalosos (ver nivel 1) evitemos pulsar el enlace directamente y lo buscamos antes en internet o nos aseguremos de ser un portal de confianza. Siempre se ha dicho, y sigue siendo cierto, que el eslabón más débil en la cadena de la ciberseguridad es el ser humano. Cuando compramos online a título personal, estamos tomando microdecisiones en los tres niveles anteriores. Antes de pasar a hacer otra cosa, por favor, piensa un momento a ver si estás comprando (o no) de forma “segura”.

Hace años que venimos escuchando de forma habitual hablar de “fugas de datos” tanto en los medios de comunicación como en nuestro entorno profesional o incluso personal. El concepto realmente cubre varios escenarios distintos, pero, en términos generales, podemos decir que las consecuencias son similares y que las grandes lecciones aprendidas son comunes. En este artículo vamos a explicar qué tipo de situaciones pueden provocar estas fugas, su impacto multidimensional y algunas mejores prácticas que nos pueden ayudar a evitar estas crisis. Al margen de la doctrina y de definiciones teóricas, en este sector solemos utilizar de la misma forma las expresiones “data leak” o “data breach” para referirnos a determinadas situaciones donde, por diversos motivos, una cantidad importante de datos (pueden ser cientos de gigabytes o incluso terabytes) pertenecientes a una organización terminan fuera de su control en tanto a privacidad como a ubicación (los datos son accesibles bien de forma directa en Internet, bien por producirse una subasta, bien por estar expuestos en sitios de Internet de acceso restringido pero sin ninguna relación con la organización original). Este tipo de situaciones se suelen denominar, de forma simplificada como “fugas de datos”. Como ejemplo, el organismo INCIBE define esta situación como: “la pérdida de la confidencialidad, de forma que información privilegiada sea accedida por personal no autorizado.” Veamos primero las tres grandes tipologías de escenarios donde se producen fugas de datos y luego comentaremos las consecuencias que en todos los casos se producen en este tipo de situaciones. El primer escenario: Negligencia Desde hace años, el uso generalizado de servicios de almacenamiento de datos en la nube para organizaciones ha producido una concentración inmensa de información de forma de millones de ficheros clasificados en miles y miles de carpetas en proveedores internacionales de servicios de este tipo (los famosos “OneDrive” o carpetas en “Sharepoint” o “Teams” son ya parte de la rutina de muchas personas). Este tipo de servicios combinados con aplicaciones ofimáticas de última generación optimizan de forma clara y sencilla el tratamiento y compartición dentro de los grupos de trabajo, pero a la vez generan (involuntariamente) una sensación de seguridad global que siendo cierta en términos generales no incluye la clasificación de la información (etiquetado digital de su documento contiene información pública, interna, clasificada o secreta). En algunos entornos, esta clasificación se puede producir de forma automática (por ejemplo, si el sistema detecta datos de cuentas bancarias o números de tarjetas de crédito, se clasifica el documento como confidencial sin pedir confirmación) pero no es el escenario más habitual. Un ejemplo habitual en muchas empresas es el de sistemas herméticos que contienen información muy sensible tanto financiera como de recursos humanos y a los que “nadie no debido” puede acceder y por otra parte decenas de ficheros (casi siempre hojas de cálculo) con resúmenes de esa información especialmente preparada para reuniones internas y toma de decisión que, lamentablemente, no se suele clasificar ni tratar de forma específica más allá de guardarlos en carpetas compartidas de uso restringido. No siendo éste el único caso desde luego es el más representativo cuando por error compartimos una carpeta con un cliente, auditor o proveedor utilizando servicios de almacenamiento en línea, pero las medidas de control no son las adecuadas y/o la información no está correctamente clasificada. En ese caso, los ficheros (quizás decenas o cientos, quizás miles) quedarán expuestos en Internet y la probabilidad que terminen en venta en la Dark web o compartidos en bloque en cualquier lugar son altas. En estos casos y más allá de las consecuencias generales que veremos al final del artículo, en estos casos concretos, la organización suele terminar siendo consciente del problema, no siendo extraño que se tomen medidas disciplinarias contra personas concretas, la mayoría de las acciones suelen ir más orientadas a desplegar o reforzar el uso de plataformas específicas como las denominadas DLP (Data Loss Prevention) o de forma más amplia, SASE (Secure Access Service Edge). La ausencia de la debida clasificación de información en este tipo de situaciones (tu responsable te pide revisar las subidas salariales de tu equipo utilizando una hoja de cálculo que se comparte por email) inhibe que otras medidas automáticas de protección (como las funciones tipo DLP) tengan que utilizar técnicas diversas (como búsqueda de patrones en ficheros utilizando técnicas de machine learning) para intentar mantener su nivel de eficacia. El segundo escenario: Actor interno (insider) Otro caso menos probable a nivel estadístico, pero más letal a nivel de impacto es el relacionado con empleados (o personal interno cualquiera) que de forma deliberada actúan en contra de los intereses de la empresa. En el argot se suele emplear la expresión “insider”. Empleados desleales, extorsionados por terceros o personas con conflictos laborales pueden seguir este perfil de comportamiento y generar daños muy importantes a las organizaciones cuando, de forma calculada, exponen o roban (y comparten/venden después) datos al exterior (buscando siempre maximizar el daño reputacional o por propiedad intelectual, entre otros) provocando de nuevo una fuga de datos. En este caso aplican la mayoría de los comentarios del escenario anterior, tanto por la posible poca eficacia de plataformas tipo DLP/SASE, como de la ausencia de control estricto de la clasificación de información. Caso de poder atribuirse la acción a personas concretas, en este caso, las consecuencias suelen ser de tipo penal pues pueden aplicar algunos tipos como el artículo 197 del código penal en España. Caso de no ser empleados directos de la organización pueden aplicar penalizaciones, cancelación de contratos de servicios, etc. Este tipo de fugas no siempre son conocidas por el público e incluso por la propia organización, aunque en ocasiones se han dado de casos de extorsión a cambio de no publicar o vender los datos (caso de información financiera sensible de recursos humanos o propiedad intelectual, por ejemplo). Cyber Security 'Insiders' en Ciberseguridad: “Atrápame si puedes” 25 de abril de 2022 El tercer escenario: Incidentes de seguridad Es el escenario más conocido y el más habitual, sobre todo en los casos de incidentes apoyados en el uso de ransomware (donde se cifran datos del cliente y se exige un rescate a cambio de un mecanismo de cifrado), el actor compromete la infraestructura de la organización, accede a ciertos volúmenes de datos (no siempre sensibles, la mayoría de las veces buscan volumen en ataques que duran pocos días) y antes de cifrarlos, los exfiltran fuera del perímetro de la organización. No siendo esta práctica común a todos los actores, si es habitual en muchos de ellos, ofreciendo un segundo factor de presión para el pago del rescate. Una vez, el actor malicioso ha exfiltrado un cierto volumen de datos (las técnicas para hacerlo son diversas y caen fuera del objetivo de este artículo) normalmente pasarán unos días (quizás semanas) antes de que vuelva a tener noticias de ellos. Las formas de hacer estos datos públicos obedecen casi siempre a alguno de estos casos: Publicación previa en algún tipo de “blog” (hay varios “Happy blog” famosos por parte de estos actores) de la futura compartición de ficheros. Busca elevar la presión a la víctima, buscando de nuevo el pago del rescate. Si lo anuncian antes, suelen cumplirlo y pasado un tiempo se suelen compartir (en otra página, normalmente en TOR para evitar la acción policial o judicial) los datos robados, una muestra o la totalidad, pero en entregas sucesivas. — Si en algún caso, el actor publica los datos en páginas web de la “Internet superficial”, la organización víctima o el cuerpo policial encargado del caso suelen tener posibilidades de realizar un “takedown” del contenido contactando con los propietarios legítimos del portal web correspondiente. En otros casos, con o sin preaviso en algún blog, los datos exfiltrados aparecen en alguna página de TOR bien en modo “subasta” (acceso restringido pero la víctima puede ver el objeto subastado como tercera medida de presión), bien en modo acceso público (antes comentado). En todos estos casos, datos de nuestra organización (de cualquier tipo) pueden terminar fuera de control en Internet. CYBER SECURITY El papel del “Threat Hunting” como acelerante en la respuesta a incidentes ransomware 8 de febrero de 2023 Impacto general de las fugas de información Pensando en los casos más generales, se deben tener en cuentan algunas consecuencias directas de fugas de datos en organizaciones. Consecuencias legales (la más popular pero no necesariamente la más sancionadora es la línea de GDPR/LOPD). Aplican a los casos donde se tenga certeza o alta probabilidad de que en esos ficheros existan datos personales de ciudadanos de la UE. — En otras regiones, pueden ser de aplicación regulaciones similares a GDPR pero de uso local o regional (en lo concerniente a sus ciudadanos) — En todos estos casos existe un régimen sancionador que puede ser de aplicación (incluyendo sanciones económicas y la inhabilitación para ejercer función pública en casos donde aplique). Suelen ser necesarias herramientas automáticas para analizar cientos de Gigabytes o incluso Terabytes de una fuga, tratando de caracterizar el tipo de datos que tenemos en su interior (lo que centrará el argumentario de la agencia de protección de datos para decidir sobre la sanción, según se ha comentado en el punto anterior). Problemas contractuales o relativos a NDA: En muchos casos, estas fugas de datos contienen información confidencial sobre compañías privadas, auditorías o propiedad intelectual sensible. Este tipo de situaciones suele estar asociado a contratos confidenciales cubiertos por un acuerdo de tipo NDA (Non disclosure agreement) que caso no ser respetados puede conllevar sanciones económicas importantes, cancelación de contratos, etc. Daño reputacional: En el entorno de las fugas de datos, es obvio que muchas personas visitan TOR (o lo monitorizan con herramientas automáticas) y obtienen beneficios de estas situaciones: bien comentándolo en redes sociales (se posicionan como expertos), bien avisando a terceros (a comisión, casi siempre), descargando los datos y comerciando con ellos, etc. En todos esos casos, la situación acabará en los medios y depende del caso quizás en prensa y TV (con un deterioro de imagen de marca muy importante). Por ello: Algunas organizaciones se han visto tentadas de pagar el rescate de un incidente ransomware (o por extorsión de un actor interno “insider”), por ejemplo, solo por evitar esta situación aun teniendo un buen plan de recuperación: el daño reputacional severo y la revelación de secretos, pérdida de confianza de sus principales clientes, etc., puede ser suficiente motivación. Mas allá de la información sensible que una fuga de datos pueda contener, mucha otra información (incluso ficheros personales de los propios usuarios en cualquier nivel de la organización) puede terminar descargada en cualquier lugar y por cualquier particular o colectivo lo que debe ser tenido en cuenta de nuevo, quizás, para tomar medidas en comunicación, interponer acciones judiciales con terceros, tomar acciones disciplinarias con empleados claramente incompetentes, etc. — En algunos casos anecdóticos ha sido mas “popular” el contenido de los ficheros personales de los usuarios que la propia fuga de datos. Un caso mixto que sucede en ocasiones es aquel en el que la fuga de datos incluye datos de terceras organizaciones luego la fuga relativa a una empresa A impacta negativamente en otras (B, C, D, etc.) lo que de nuevo nos lleva a problemas serios de los dos tipos anteriores. Conclusión El resumen del artículo es bien claro: ninguna organización está libre de riesgos de estas situaciones y por tanto cualquiera de ellas puede verse frente a una fuga de datos importante y con eco en prensa y TV. Es frecuente que no se tenga certeza total del contenido de la filtración hasta que el actor la comparte y puede ser descargada para ser analizada. En función del caso, los problemas reputacionales o los legales serán los más preocupantes. Una situación muy compleja en cualquier caso y un riesgo importante que todos debemos mitigar. No lo olvidemos.

Si a cualquiera de nosotros nos preguntaran sobre el hipotético aspecto y perfil de los responsables de un incidente grave de ciberseguridad en una gran empresa, creo que todos pensaríamos automáticamente en el arquetipo que el cine nos presenta de forma constante: adolescentes con capuchas, trabajando con ordenadores portátiles llenos de pegatinas en una casa comunitaria donde la música suena demasiado alta y el ambiente es de los más “delictivo”. Lo curioso del asunto es que hay un espacio importante de oportunidad para incidentes de seguridad y ciberseguridad en el ámbito interno de las organizaciones: empleados, personal temporal, empresas de servicios, contratistas, etc. Tipologías de ‘insiders’ Vamos a ver las distintas tipologías de “insiders” que es el nombre común que se suele utilizar en este campo para denominar, de forma genérica, a todas las tipologías que producen el mismo efecto: incidentes de seguridad cuyo autor está dentro del “perímetro” de la organización (como concepto, las murallas del castillo medieval donde vive la población a proteger): Empleados descontentos o resentidos Con mucha frecuencia, las organizaciones tienen empleados con bajo rendimiento o con situaciones difíciles que suelen generar situaciones de tensiones, sanciones, estancamiento en las carreras, amenaza de despido, etc. Estas personas asumen o saben que serán despedidas o que su carrera en la compañía ha terminado o está en vía muerta. Ante esa perspectiva, algunas personas deciden dañar a la compañía, robar datos, realizar actos de vandalismo (incluso físicos) o facilitar a terceros accesos remotos con fines maliciosos. Adicciones y problemas personales Otro grupo que suele tener presencia en las organizaciones es el de personas que por diversos motivos están en una situación personal complicada: a nivel económico, a nivel emocional, sufriendo alguna adicción, etc. Ello facilita muchas veces la realización de actos desesperados por conseguir dinero o por llamar la atención de sus superiores. También facilita, como veremos a continuación, los escenarios de tipo extorsión. Sobornos y extorsión Sobre todo relacionado con el ecosistema militar y con las industrias ligadas a patentes (farmacéuticas, ingeniería aeroespacial, fabricantes de dispositivos móviles, etc.), los casos de sobornos y extorsiones (sobre todo por el uso de engaños, prostitución, etc.) es tristemente frecuente. Por estos medios, actores externos logran influir sobre personal interno para convertirlos en sus colaboradores (“insiders”). Motivación política, religiosa. Activismo En algunos casos, sobre todo en sectores donde la ética y las creencias personales pueden jugar un papel importante, las motivaciones de tipo “opinión o creencia” pueden ser críticas: sectores como el armamentístico, el farmacéutico, etc. Pueden provocar reacciones extremas entre su personal (el caso de los empleados que dejaron Google en 2018 por las relaciones de la compañía con el Dpto de Defensa en USA en los proyectos JEDI o Marven, es muy significativo). Negligencia y accidentes Este grupo también tiene su lugar en la estadística general: personal interno que por negligencia provoca incidentes de seguridad: bien por un efecto constante (ejemplo: no haber configurado bien un sistema y dejarlo expuesto a Internet sin la debida protección), bien por un acto específico en un momento dado (Ejemplo: Olvidar un pendrive o unos documentos confidenciales en una cafetería lo que provoca un escándalo en los medios). CYBER SECURITY La importancia del factor humano en ciberseguridad 28 de septiembre de 2022 ¿Qué pueden hacer las compañías para protegerse? Todas estas casuísticas provocan con frecuencia comportamientos de tipo “insider” donde no podemos olvidar que tenemos también a otros colectivos como el personal temporal, becarios y trabajadores en prácticas, consultores y auditores temporales o empresas de servicios (limpieza, cáterin, mantenimiento) que tienen acceso a nuestras oficinas, a veces en horarios poco habituales y con acceso especial a sistemas o dependencias. La pregunta clave ahora es ¿Qué podemos hacer como compañía? Es realmente un problema complejo pues la casuística es muy amplia (¿Qué empresa no tiene con frecuencia personas aisladas o en soledad en ubicaciones remotas?). 1. Detección temprana El principal aspecto para comentar es de la detección temprana de posibles personas de este tipo de perfil o de alto riesgo. Normalmente, la seguridad corporativa tiene un vínculo regular con el área de Recursos Humanos (dirección de personas) y se suelen identificar estas personas de forma conjunta para su supervisión, sanción, etc. Como se ha comentado, un caso posible sería el de personas realmente enojadas con la empresa realizando actos vandálicos o personas con adicciones claras que piden todos los meses adelantos económicos a su salario. Las quejas o comentarios suelen llegar primero a recursos humanos: broncas en la cafetería, destrozos en ciertas dependencias, personas con síntomas de alcoholismo o de trabajar bajo los efectos de sustancias, etc. En este mismo bloque, algunas organizaciones utilizan plataformas denominadas de forma genérica “People Analytics” para detectar patrones incoherentes o sospechosos de comportamientos que pueden resultar predictivos de futuros problemas: conexiones largas fuera de horario, intentos fallidos de acceso a sistemas corporativos, cambios de horario bruscos no justificados, giro radical en su actividad social en la compañía (en redes sociales internas, portales de tipo Intranet, etc.) 2. Centrarse en el riesgo (no en la motivación) Desde el campo de la ciberseguridad, debemos tener nuestros sistemas de protección, prevención y detección bien configurados para poder cubrir el caso del actor interno de la forma debida. Obviamente, el enfoque es centrarse en el riesgo y no analizar la motivación. Algunas plataformas que normalmente se utilizan son: Plataformas de tipo CASB (Cloud Access Security Broker) suelen detectar muchas situaciones anómalas que debidamente tratadas pueden estar relacionadas con incidentes “desde dentro” (movimientos masivos de ficheros fuera de horario a servicios de almacenamiento personales, por ejemplo) o uso recurrente de software no autorizado para conectar con ubicaciones atípicas en Internet. Funcionalidades de tipo DLP (Data Loss Prevention) que estando orientados a problemas legales con pérdidas o robo de datos (data leaks) pueden ser la primera fase de un problema mucho mayor, caso de tener éxito pues el insider seguirá escalando su ataque buscando el mayor daño posible. Servicios de tipo IAM (Identity & Access Management) que nos alertarán en caso de situaciones incoherentes o excepcionales en cuanto a las conexiones (inicios de sesión, intentos fallidos, etc.). Un caso típico podría ser uso de una cuenta no privilegiada en un ordenador personal de una persona que utiliza información clasificada. Este caso se puede corresponder con el de un insider espiando el ordenador de su persona responsable o del Dpto financiero (quizás el propietario o propietaria no dejó bloqueado el sistema en su parada para almorzar). 3. Realizar un informe forense Si finalmente tenemos un incidente por “insiders”: En este caso, la forma de trabajo suele ser la convencional (servicios de tipo DFIR, análisis de tipo Threat Hunting sobre plataformas de tipo SIEM o EDR/XDR) pero con el matiz importante de que es posible que tengamos que realizar un informe forense utilizable en un proceso judicial. En estos casos, la extracción y custodia de evidencias deberá seguir unas pautas y lo mismo con los aspectos legales (sobre todo si se ha realizado denuncia ante la policía o cuerpo de seguridad correspondiente). La mayoría de las investigaciones sobre este tipo de situaciones tendrán que pasar indiscutiblemente por dos tipos de sistemas: Autenticación y acceso: Ya comentados de tipo IAM o similares, donde podremos realizar búsquedas y comprobaciones sobre todo tipo de accesos o intentos de acceso para conectarlos con un relato que se completará en otras plataformas. Actividad en ordenadores personales: Normalmente los actores de este tipo utilizarán sus propios ordenadores o personales o los de compañeros o responsables para realizar su actividad maliciosa. Por ello, las investigaciones de este tipo suelen utilizar plataformas de tipo EDR o XDR para en base a consultas complejas obtener esos patrones sospechosos ya comentados. El resto de los sistemas a utilizar serán casi siempre los finales afectados (si aplicara): plataformas financieras o comerciales, sistemas de gestión documental, etc. Y los ya comentados de protección perimetral (SASE, CASB, DLP, etc.). Conclusiones No asumir que podemos tener al “enemigo en casa” es un error fundamental que precede a muchos incidentes graves de seguridad. Las motivaciones son diversas pero el riesgo es siempre el mismo. Si como organización no ponemos la misma atención al exterior que al interior, estaremos generando un riesgo importante. La “detección temprana” es la mejor medida que podemos tomar para intentar minimizar la ocurrencia de este tipo de sucesos. Muchas de estas personas solo buscan venganza, lanzar un mensaje o solucionar compulsivamente un problema personal. Si podemos identificarles, hay un espacio para la solución pacífica. No olvidemos nunca la cita de “El Padrino (parte II)” “Ten cerca a tus amigos, pero más cerca a tus enemigos”. FF Coppola, 1974 CYBER SECURITY ¿Dónde sitúas a tu empresa en el camino hacia la ciberseguridad? 20 de abril de 2022

Nadie se sorprenderá si decimos que las redes sociales y otras grandes plataformas en Internet sustentan su modelo de negocio en la publicidad y que todas ellas, de alguna manera, intentan dirigirnos hacia el consumo de ciertos productos o servicios. Otra cosa muy distinta es explicar, como haremos en este artículo, cómo la tecnología (en especial el big data y la inteligencia artificial) combinada con los principios más básicos de la psicología social para convertirnos a todos en objetivos de campañas personalizadas de marketing digital cuyo único y claro objetivo es transformarnos en los futuros compradores de un producto. El caso Black Friday El día del año conocido con el sobrenombre Black Friday tiene su origen en Estado Unidos. No siempre es el mismo: se celebra el viernes siguiente al día de Acción de gracias. Desde 2005 es el día de más actividad comercial del año. Se considera, a nivel global, como el comienzo no-oficial de la temporada de compras navideñas, batiendo récords de transacciones en Internet, año tras año. Como referencia internacional, solo es comparable —en volumen— con “El día del soltero en China”. El marketing digital actual se basa en los principios de la psicología social para crear una enorme plataforma de perfilado de la población en la que apoyar campañas publicitarias internacionales. La eficacia del enfoque, obviando posibles matices éticos, está fuera de toda duda. Primer componente: la tecnología Lo primero que necesitamos a la hora de lanzar una campaña publicitaria exitosa es un público objetivo y un conocimiento suficiente sobre dicha población. Desde hace 20 años tenemos un uso generalizado de redes sociales en Internet, acceso a la red universal y más dispositivos móviles activos que habitantes, lo que certifica que es un entorno donde de forma segura podremos tener posibilidades de triunfar con nuestra campaña. Los grandes entornos masivos de internet ofrecen a a los usuarios dos grandes beneficios: el perfilado preciso a nivel de persona y un adecuado nivel de engagement, interacción o participación. Veamos ambos conceptos. Perfilado preciso Si utilizamos una plataforma como Spotify con frecuencia, involuntariamente le estamos dando a la plataforma información como desde qué dispositivo conectamos, a qué día/hora solemos hacerlo, qué tipo de música solemos escuchar, que tipo de listas seguimos (ejemplo: si buscamos la palabra “workout” es posible que realicemos actividad deportiva al mismo tiempo), y si utilizamos o no dispositivos externos que, a su vez, pueden dar información adicional (escuchamos música desde “Android Auto” en un vehículo, por ejemplo). Lo mismo podría pasar con nuestra plataforma favorita de streaming de vídeo y con las redes sociales, sin excepción. Con toda esa información (que se puede combinar en muchos casos, al ser visible públicamente o al ser plataformas del mismo grupo empresarial) el nivel de detalle de cada usuario es demasiado tentador como para resistirse a utilizar técnicas de machine learning y perfilar automáticamente a los millones de usuarios de nuestro entorno (por un módico precio como anunciante en una red social, nos beneficiamos de ello automáticamente). Así pues, como anunciantes, podremos dirigir nuestro presupuesto de marketing digital a “jóvenes adolescentes de zonas periféricas” o “mujeres con estudios y profesiones liberales” a colectivos homosexuales o a seguidores de ciertas ideologías políticas. El modelo no es perfecto del todo, pero estaremos afinando mucho nuestra campaña. ◾ Los datos están dentro de las plataformas, se actualizan cada segundo y con sencillos modelos automáticos cada usuario es etiquetado por su edad, género, orientación sexual, ideología política, gustos musicales, nivel adquisitivo, rutinas deportivas, marcas concretas que utiliza, etc. La lista es interminable. Engagement Uno de los sueños de todo anunciante es que su público objetivo no deje de tener contacto con su producto (aquellos escaparates de las calles comerciales donde la gente se queda minutos observando el interior, ahora en Internet). Para lograr y maximizar el efecto en la red de redes actual, el recurso es alimentar constantemente al usuario con nuevos estímulos, de forma que se resista a dejar de ver vídeos en Youtube o una nueva serie en Netflix. Los algoritmos de recomendación juegan aquí un papel central: el perfilado que acabamos de comentar permite a la plataforma, de forma realmente sencilla, calcular que nuevo vídeo te puede interesar si acabas de ver varios seguidos de una cierta temática. El resto es previsible: el nuevo vídeo o canción te resultará interesante y seguirás unos minutos más conectado. La nueva serie de “policías” te parecerá de lo más sugerente, una vez el menú principal te comienza a proyectar el tráiler (sin haberlo pedido) y una vez que has iniciado sesión con su usuario “personal” (para que tu pareja y tus hijos utilicen sus propios perfiles y toda la familia podamos ser debidamente perfilados). En lugar de acostarte temprano, quizás decidas probar suerte viendo el episodio piloto. ◾ El perfilado y el engagement conforman un círculo virtuoso sin fin: a mejor perfilamiento de la persona, es más probable un mayor nivel de engagement que, de producirse, mejorará el perfil de nuevo. Segundo componente: la psicología social Ahora que ya hemos perfilado a la población (hablamos de más 4.500 millones de personas utilizando Internet a nivel mundial) y que les mantenemos amablemente “enganchados” (un nivel de engagement alto produce acceso frecuente y fiel a la plataforma digital correspondiente) solo nos queda decidir cómo abordar a todas y cada una de esas personas para convencerlas de las bondades del producto, su precio razonable y las necesidades (muchas veces, sociales) que cubrirán si lo adquieren. La receta universal en este caso es recurrir a los principios básicos de la psicología social y recordar la doctrina vigente sobre los mecanismos de persuasión (según la RAE: “Inducir, mover, obligar a alguien con razones a creer o hacer algo”). Tenemos, por tanto, que intentar persuadir a millones de personas en todo el mundo acerca de dos aspectos: La necesidad (social, esencialmente) de comprar algo en el Black Friday. Que lo que compremos sea lo que lo nos ofrecen y no otra cosa. En la segunda mitad del siglo XX, varios famosos experimentos de psicología social (no se podrían repetir hoy por obvios problemas de ética) pusieron de relevancia lo eficaz que puede resultar una buena persuasión. Los experimentos de Stanley Milgram sobre la influencia de la “autoridad” (este documental de YouTube los describe a la perfección) y, años más tarde, el caso de la “Prisión de Stanford” (en esta charla TED, el propio profesor Zimbardo explicaba toda esta línea de experimentos) demostraron, sin lugar a dudas, que cualquiera de nosotros, bajo ciertas condiciones y con el debido nivel de persuasión, realizaremos acciones que en condiciones normales no haríamos. La compra compulsiva de productos que dudosamente necesitamos podría ser claramente otro resultado deseado, utilizando similares enfoques. Toma de decisiones: ruta periférica y ruta central Cuando los seres humanos entendemos que una cuestión no es importante o prioritaria en nuestras vidas (elegir si la pizza que pedimos lleva o no queso) la resolvemos utilizando lo que se conoce en psicología como ruta periférica y actuamos de forma básicamente impulsiva para tomar esa micro decisión. Si, por el contrario, vamos a cambiar de empleo a otro país, es más que probable que utilicemos la ruta central y reflexionemos largas horas con nuestro entorno cercano antes de tomar una decisión. ◾ El comercio electrónico y el marketing digital hacen foco exclusivamente en el primer caso, intentando persuadirnos que realmente necesitamos determinados productos y que la oferta que tenemos a un clic en el móvil es la mejor de la historia, luego no tiene sentido que otros adquieran el producto antes que nosotros. Tenemos que comprar ese producto y hacerlo de inmediato. Este es el objetivo el día del Black Friday. El psicólogo estadounidense, Robert B. Cialdini exploró al detalle esas decisiones y esa influencia en el caso de “ruta periférica” (decisiones a las que decidimos dedicar muy poco tiempo). Su trabajo se ha utilizado para desarrollar muchas técnicas de ventas actuales, así como el marketing digital personalizado en internet. Podemos ver claramente utilizados sus seis principios en el caso que nos ocupa. Compromiso y coherencia: si la narrativa nos persuade de que el producto encaja con nuestro perfil, tendremos media compra ganada. Es lógico (coherente) que una persona como yo (perfil) adquiera este producto pues encaja perfectamente con mi estilo de vida (el mensaje se adapta al perfil). Reciprocidad: ¿cómo no voy a comprar algo en este portal tan amable que me da bonos para comprar con descuento y me felicita por mi cumpleaños? ¡Hasta me recuerda mis últimas compras, sugiriendo las próximas! Aprobación social: de nuevo la persuasión se encargará de convencernos, sin duda alguna que, si compramos este producto, todo nuestro entorno cercano (tu pareja, tus amigos, la gente de la oficina) lo aprobará socialmente y tu valoración por todos ellos volverá a subir (como en la última compra, el perfil lo detallará). Autoridad: el (presunto) doctor que aparece en el anuncio me explica lo limpia de gérmenes que quedará mi boca si utilizo el dentífrico. No puedo dudar (recordemos los experimentos de Milgram y el valor de la autoridad) de que sea cierto, si lo dice un experto. Simpatía: si mi actriz, cantante o celebridad mediática favorita aparece llevando esos zapatos o utilizando esa colonia, yo no puedo ser menos. Ellos no pueden elegir erróneamente. Escasez: el célebre (y no siempre “preciso”) banner de “solo quedan 3 unidades” presiona nuestra mente al máximo en su ruta de decisión periférica: “¡Sólo quedan 3 unidades y es tan barato! ¡Va con mi personalidad y los demás me aceptarán mejor! ¿Qué puedo hacer si ahora solo quedan 2 unidades? La fórmula del éxito en el comercio electrónico masivo en Internet es obvia y pública, pero eso no le resta eficacia: Perfilado preciso + adecuado nivel de engagement + adecuado uso de técnicas de persuasión (ruta periférica) = Máxima influencia sobre los usuarios de la plataforma y mayores probabilidades de compra. Tengámoslo presente el próximo Black Friday, sobre todo, antes de pulsar el botón "Comprar". AI of Things AI of Things (IV): Ya puedes maximizar el impacto de tus campañas en el espacio físico 26 de abril de 2022 Imagen de Freepik.

En estos últimos años, son muchas las empresas de distintos sectores que han optado por basar su transformación digital en la automatización de procesos (RPA – Robot Process Automation), lo que ha facilitado la creación de cientos de miles de bots (robots software) en los entornos de tecnología de miles de empresas a nivel global. Este pequeño ejército de automatismos interactúa de forma rutinaria con los empleados conformando una nueva “fuerza de trabajo digital” (digital workforce). Estos automatismos, conocidos como bots, son normalmente una versión moderna y ágil de complejos scripts de múltiples sistemas y, por ello, podrán procesar hojas de cálculo, descargar adjuntos de buzones de correo, planificar procesos o cuadrar informes contables. Personas relacionadas con los procesos de negocio pueden ahora (con una formación muy suave y muchas utilidades) programar potentes bots al margen del departamento de IT o de proveedores externos. Es la aproximación conocida como low code. En los últimos años, el sector RPA ha añadido diversas herramientas relacionadas con la Inteligencia Artificial a sus suites de software. Con este refuerzo, evitaremos escribir complejos programas de ordenador y utilizar aproximaciones como Machine Learning para que el sistema sea entrenado (por ejemplo, detectando campos en todo tipo de facturas, en cualquier idioma) y continúe aprendiendo con el tiempo. A esta mejora se le sueñe añadir alguna función de tipo NLP (Procesamiento del lenguaje natural o Neuro-Linguistic Programming, en inglés) que permite a la vez, tener un primer nivel de comprensión de información textual (mensajes de correo electrónico o en chats con clientes) en múltiples idiomas. Toda esta potencia de fuego es una realidad en miles de empresas donde los procesos financieros y las empresas de seguros aglutinan la mayoría de los empleados digitales. Las empresas industriales, de logística o telecomunicaciones llevan varios años utilizando esta tecnología de forma intensa también. Desde el punto de vista de la ciberseguridad, los escenarios RPA pueden ser un nuevo foco de ataques de diversos tipos. Los distintos fabricantes de estas plataformas dotan a los creadores de bots de todas las funcionalidades posibles en cuanto a cifrado de datos, autenticación, uso de plataformas externas de identidad empresarial, etc. De forma que se permita la creación de plataforma de robótica de procesos realmente sólidas en cuanto a lo que seguridad se refiere. Tipos de ataque contra las RPA Los ataques que se intentarán con mas probabilidad en un despliegue RPA tendrán que ver normalmente con la autenticación, sobre todo cuando el entorno sea complejo (federación, MFA, 2FA, etc.) y el ataque a las consolas centrales (donde se almacenará el Log del sistema, las autorizaciones, los cofres de credenciales, etc.). Debemos recordar que los bots que interactúen con nuestros sistemas empresariales, necesitarán juegos de credenciales análogos a los que utilizan los empleados humanos. Un segundo vector de ataque será el relacionado con el código fuente y las posibles debilidades del habitual ecosistema de programadores propios, empresas de servicios, subcontratistas, etc. Si no se extreman las medidas de desarrollo seguro (un marco tipo DevSecOps, por ejemplo) y se maximizan las mejores prácticas (como el uso de cofres de credenciales, en lugar de contraseñas en claro) o sistemas externos de autenticado (para las cuentas con mayores privilegios), generaremos involuntariamente una gran superficie de ataque para nuestros adversarios. Los sistemas de entrenamiento y otras funciones de la Inteligencia Artificial deberán ser revisadas siguiendo estas buenas prácticas para evitar facilitar vulnerabilidades en los sistemas finales que pondremos en producción. Los grandes marcos de la ciberseguridad (como el del NIST en Estados Unidos) pueden ser aplicados para revisar toda la colección de controles que deberemos tener en consideración a la hora de desarrollar nuestra solución RPA específica. En una empresa con fuerza de trabajo mixta (empleados humanos y robots software), el nivel de monitorización constante y el gobierno de la ciberseguridad no pueden pasar por alto a estos nuevos “empleados digitales” y a toda la tecnología que los mantiene activos. Ellos, como nosotros, iniciarán sesión en los sistemas, crearán y utilizarán ficheros con información sensible y actuarán directamente sobre nuestras plataformas empresariales (ERP, CRM, etc.) posiblemente en formato 24x7. Si estas plataformas son vulnerables y ofrecen una gran superficie de ataque, una nueva generación de riesgos de ciberseguridad comenzará a aparecer en la agenda de cada CISO. Por todo ello, nuestro planteamiento actual de ciberseguridad debe irse preparando paulatinamente para incluir este tipo de plataformas, procesos y actividad en su cobertura. Pronto será parte de nuestra realidad cotidiana y debemos estar preparados.