Pensando en ataques a WAFs basados en Machine Learning

Franco Piergallini Guida    5 octubre, 2020

Una de las piezas fundamentales para la correcta implementación de machine y deep learning son los datos. Este tipo de algoritmos necesitan consumir, en algunos casos, una gran cantidad de datos para lograr dar con una combinación de “parámetros” internos que le permitan generalizar o aprender, con el fin de predecir nuevas entradas. Si estas familiarizado con la seguridad informática, probablemente lo que hayas notado es que datos es lo que sobra, la seguridad se trata de datos, y los encontramos representados en distintas formas: files, logs, network packets, etc.

Típicamente, estos datos se analizan de una forma manual, por ejemplo, utilizando file hashes, reglas personalizadas como las firmas y heurísticas definidas manualmente. Este tipo de técnicas requieren demasiado trabajo manual para mantenerse al día con el panorama cambiante de las amenazas cibernéticas, que tiene un crecimiento diario dramáticamente exponencial. En 2016, hubo alrededor de 597 millones de ejecutables de malware únicos conocidos por la comunidad de seguridad según AVTEST, y en lo que va del 2020 ya vamos mas de mil millones.

Imagen 1: fuente https://www.av-test.org/es/estadisticas/software-malicioso/

Para este volumen de datos, un análisis manual de todos los ataques es humanamente imposible. Por este motivo, los algoritmos de deep y machine learning son ampliamente utilizados en la seguridad, por ejemplo: antivirus para detectar malware, firewall detectando actividad sospechosa en la red, SIEMs para identificar tendencias sospechosas en los datos, entre otros.

Al igual que un ciberdelincuente podría aprovechar una vulnerabilidad de un cortafuegos para obtener acceso a un web server, los algoritmos de machine learning también son susceptibles a un posible ataque como vimos en estas dos entregas anteriores: Adversarial Attacks, el enemigo de la inteligencia artificial 1 y Adversarial Attacks, el enemigo de la inteligencia artificial 2. Por lo tanto, antes de poner tales soluciones en la línea de fuego, es crucial considerar sus debilidades y comprender cuán maleables son bajo estrés.

Ejemplos de ataques a WAF

Veamos un par de ejemplos de ataque a dos WAFs, donde cada uno cumple con un simple objetivo: detectar XSS y sitios maliciosos analizando el texto de una URL específica. A partir de grandes sets de datos, donde estaban correctamente etiquetados XSS y sitios maliciosos, se entrenó un algoritmo del tipo logistic regression con el cual poder predecir si es malicioso o no.

Los sets de datos para XSS y para sitios maliciosos utilizados para entrenar estos dos algoritmos de logistic regression, básicamente, son una recopilación de URLs clasificadas en “buenas” y “malas”:

Imagen 2: URLs maliciosas
Imagen 3: XSS

Donde el set de datos de sitios maliciosos contiene unos 420.000 URLs entre buenas y malas y, por el lado de XSS, hay 1.310.000.

Al ser un ataque del tipo white box, tenemos acceso a todo el proceso y manipulación de datos para el entrenamiento de los algoritmos. Por lo tanto, podemos apreciar que el primer paso en los dos escenarios es aplicar una técnica llamada TF-IDF (Term frecuency – Inverse document frecuency), que nos va a brindar una importancia a cada uno de los términos dada su frecuencia de aparición en cada una de las URLs en nuestros sets de datos.

A partir de nuestro objeto TF-IDF­ podemos obtener el vocabulario generado para ambos casos, y una vez entrenado el algoritmo podríamos fácilmente acceder y ver a cuáles de estos términos le dio mayor peso. A su vez, a partir de estos términos podemos fácilmente manipular el output del algoritmo. Veamos el caso de clasificación de sitios maliciosos.

Clasificación de sitios maliciosos

Según el algoritmo, si alguno de estos términos aparece en una URL hay una alta probabilidad de que sea un sitio no malicioso:

Imagen 4: peso de los términos para considerarlos NO maliciosos.

Esto quiere decir que, simplemente añadiendo alguno de estos términos a mi URL maliciosa, voy a poder influenciar al máximo al algoritmo a mi merced. Tengo mi URL maliciosa que el algoritmo detecta con bastante certeza que, efectivamente, es un sitio malicioso:

Imagen 5: URL maliciosa

Con un 90% de confianza, clasifica la URL como maliciosa. Pero si le añadimos el término ‘photobucket’ a la URL, el algoritmo ya la clasifica como “bueno”:

Imagen 6: URL maliciosa con un término que da “confianza”.

Incluso podríamos empujar más esa probabilidad simplemente añadiendo otro término a la URL, por ejemplo “2011”:

Imagen 7: URL con 2 términos que dan “confianza”

Pasemos al escenario de XSS. Tenemos un payload al cual el algoritmo lo clasifica correctamente como XSS y con una confianza del 99% (en este ejemplo el label 1 corresponde a XSS y el 0 a no XSS):

Imagen 8: Payload de XSS detectable.

Veamos los términos con menor peso para invertir esa predicción:

Imagen 9: peso de los términos para bajar la predicción de ataque XSS.

Como hicimos anteriormente, agregamos alguno de estos términos para manipular el output del algoritmo. Después de unas pruebas, damos con el payload que invierte la predicción, tuvimos que agregar el término “t/s” unas 700 veces para lograr el objetivo:

Imagen 10: payload capaz de invertir la predicción del XSS.

Y, efectivamente, nuestro algoritmo lo predice como NO XSS:

Imagen 11: No detección del XSS por el payload utilizado..

Por si alguien está interesado en el tema, les dejamos los links de los proyectos WAF de sitios maliciosos y el WAF de XSS. Algunas referencias fueron tomadas del libro Malware Data Science

Disponer de acceso a los pasos de preprocesamiento de los datos y a los modelos facilita la generación de estos tipos de ataques. Si el atacante no tuviera acceso a estos, implicaría un esfuerzo mayor para dar con el preprocesamiento justo de los datos y la arquitectura o algoritmo del modelo predictivo. Sin embargo, sigue siendo posible recrear estos ataques por medio de otras técnicas como la transferibilidad, donde muestras adversarias que están diseñadas específicamente para causar una clasificación errónea en un modelo también pueden causar clasificaciones erróneas en otros modelos entrenados de forma independiente. Incluso cuando los dos modelos están respaldados mediante algoritmos o infraestructuras claramente diferentes.

Cinco ventajas de las empresas con servicios en la nube

Raúl Alonso    5 octubre, 2020

El salto a la nube es decisivo en el camino a la digitalización de cualquier pyme. Un paso sin retorno a una gestión empresarial más rentable y competitiva.

Las ventajas de los servicios en la nube son incuestionables, así lo defienden todos los que los prueban, el problema está en aquella empresa que, atrapada en una dinámica asfixiante, no consigue pararse a pensar cómo puede mejorar sus procesos.

De ahí ese modesto 22% de empresas españolas que trabaja con cloud computing. El dato de Eurostat muestra una gran distancia del 65% de Finlandia o de otros países nórdicos, todos por encima del 50%. También de países como Holanda, Reino Unido o Irlanda, donde al menos cuatro de cada diez empresas ya usaban esta tecnología en 2018 (fecha de la última estadística del medidor europeo, que seguro hoy es obsoleta, pero permite medir la tendencia por países).  

Es evidente que a la cabeza se ubican esas economías de las que envidiamos su competitividad, pero sus gestores quizá no sean tan diferentes a los nuestros.

Es muy probable que todos tuvieran que vencer ese espíritu de protección tan propio del jefe amante de tener todo «bajo control».  Pero derribada esa primera barrera psicológica, pronto descubre que desde la nube, además de en seguridad, se gana en operativa al poder acceder a la información desde cualquier lugar y dispositivo.

Ventajas de la pyme que trabaja en la nube

Migrar a este entorno virtual tiene ventajas que podemos resumir en cinco comunes a una mayoría:

  1. Reduce costes, sobre todo gracias a unos servicios de mantenimiento más centralizados.
  2. Accede a una infraestructura tecnológica que, por tamaño de empresa, difícilmente podría disfrutarse por otras vías.  
  3. Agiliza el desarrollo de nuevas estrategias de negocio. No todo es susceptible de ser solucionado en la nube, pero permite automatizar muchos de los procesos repetitivos.
  4. Gana rapidez para presentar al mercado productos e interactuar con los clientes.
  5. Refuerza los sistemas de seguridad y de asistencia técnica. Se trabaja sobre entornos muy controlados y estables.

Una nube a la medida de cada empresa

Pocos cuestionarán estos cinco puntos, pero mudarse a la nube sigue siendo complicado para empresas pequeñas, sobre todo esas que han construido su operativa durante lustros de trabajo.

No es fácil romper una inercia diaria que devora las horas del día, más aún cuando no se cuenta con un personal formado en nuevas tecnologías.

Un escenario en el que, estoy seguro, se ven retratadas muchísimas pymes. Por ello tampoco me parece correcto achacar a la cerrazón de esa pequeña empresa, que ya tiene suficiente con seguir, la supuesta falta de interés en su digitalización.

Muchos debiéramos preguntarnos si realmente estamos hablando al empresario en su idioma. Otros, si su oferta se ajusta a su entorno real de necesidades y posibilidades. Y es aquí donde sí se aprecian interesantes cambios.

Qué pide la pequeña empresa a los servicios en la nube

Hacemos un recorrido por esa nube acorde con las necesidades de la pyme:

Una nube pública

Los servicios de cloud computing pueden operar desde una nube pública o privada. La pública es la gestionada por un proveedor que ofrece su plataforma a un número amplio de compañías, lo que reduce mucho los costes y la implantación en la empresa. La privada es aquella diseñada como una extensión de los sistemas propios de la empresa, requerimiento que pocas pymes necesitan. 

Que sea fácilmente ejecutable

Salvo catástrofe, la pyme no puede parar, ni siquiera cuando es para mejorar. Por eso es tan importante que la implementación del nuevo entorno de trabajo sea ágil y funcione desde el primer momento.

Una nube asistida

El miedo al cambio es el que paraliza al empresario de una pequeña empresa en muchas de sus decisiones, y esa resistencia se vence cuando hay una efectiva asistencia para ayudarle con el proceso de cambio

Que sea escalable

Otra de las aversiones de la pyme es al cambio total. Busca servicios que le permitan avanzar poco a poco y, a medida que va confiando en esa tecnología, reclamará más servicios. Desde servicios básicos para tener el control del servidor sin preocuparse por la gestión del soporte en la nube a otros como el Multi-Site para empresas con varias webs de empresa o los más completos escritorios virtuales (VDI).

Flexible

Cada euro debe estar justificado. Asumir un compromiso económico no es fácil, por ello la pyme apuesta por servicios en los que paga solo por lo que consume. Ofrecer un alto potencial o rango de utilidades con las que –al menos de momento– no sabe qué hacer, supone un verdadero desperdicio. 

Compatible con los entornos de trabajo estándar

Las herramientas de trabajo de una ingeniería no son las mismas que las de una gestoría o un ecommerce, pero el entorno cloud debe permitirle trabajar con las herramientas dominantes en cada sector.

Una nube segura

Dos de las ventajas más reconocidas por la pyme en la nube son su seguridad y estabilidad.

Que esté permanentemente actualizada

Otro de los frenos comunes a la pyme es invertir en una tecnología que corre el peligro de quedar desfasada en el corto plazo, por eso busca soluciones que le aseguren una permanente actualización. Y si ese proceso de actualización no requiere de su atención, mejor que mejor.

No es tan complicado. La principal demanda de las pymes al cloud computing es que se adapte a sus necesidades, no que sea la empresa quien deba adaptarse a la nube.

Y la buena noticia es que el mercado ha escuchado esos requerimientos y se ha preparado para atenderlos. Hoy es más fácil dar el salto, y sin necesidad de paracaídas, con entornos de nube para servidores o proyectos siempre tutorializados, como los nacidos de la alianza entre Telefónica y Microsoft: Azure by Acens.

Tu primer proyecto IoT Cloud (III y fin): Procesamiento en streaming y validación final

Ismael Rihawi    5 octubre, 2020

En el segundo capítulo de esta serie dedicada a la implementación de una solución tecnológica que aúna dispositivos de Internet de las Cosas y la nube, exploramos el Hub de servicios dedicados a IoT en Amazon Web Services, en sintonía con un dispositivo inteligente compuesto por un microcontrolador ESP32 como es M5Stack Fire Kit.

Planteado un supuesto de aplicabilidad posible, el registro en directo de asistentes a un evento multitudinario, esta labor requirió de tareas técnicas como hitos reales de proyecto. ¿A destacar? Alta del dispositivo, generación de certificados X.509 para identificación y acceso remoto bidireccional local/Cloud, puesta a punto del entorno de desarrollo, implementación y flasheo de lógica de negocio y mecanismos de publicación y suscripción de mensajería en topics MQTT.

Este procedimiento secuencial de acciones pudiera repetirse tantas veces como puntos de interacción inteligente («things») se requirieran en correspondencia con el dimensionamiento final de la infraestructura (véase número de accesos al recinto, volumen de inscritos al evento, personal contratado para la organización del mismo). ¿Y ahora qué?

Llegados aquí, es turno de incorporar a nuestra propuesta el enorme potencial de recursos de computación distribuida y analítica, almacenamiento, bases de datos y recursos dedicados para Internet de las cosas que ofrece AWS. Esto permitirá vitaminar el proyecto con ciertos automatismos, en forma de reglas de negocio para la persistencia de información emitida y la toma de decisiones en tiempo de celebración de evento, que es cuando verdaderamente se requieren.

4. AWS SAR: Reglas y funciones Serverless para completar la operabilidad en la solución IoT Cloud

Recuperando el diagrama global de infraestructura IoT Cloud presentado en la primer parte de nuestro tutorial, vamos a establecer el flujo básico de publicación/suscripción entre AWS IoT y AWS Lambda. Con ello llevaremos a cabo la implementación de un Backend Serverless que permita enviar y recibir mensajes en el flujo de topics bajo protocolo MQTT, posibilitando una funcionalidad completa de doble sentido:

  • Al emitir un mensaje desde M5Stack Fire como dispositivo emisor y originario del flujo de interacción, una regla de AWS IoT reenviará su contenido hacia una función Lambda («TopicSubscriber«) encargada de registrar su contenido en una tabla del servicio autogestionado de bases de datos NoSQL DynamoDB.
  • Al emitir una petición de servicio con un mensaje determinado desde un endpoint REST POST habilitado en el servicio API Gateway, dicho recurso invocará a una función Lambda («TopicPublisher«) que reenviará el contenido hacia el topic al que está suscrito M5Stack Fire.
Figura 1. Visión global con flujo de conexión de servicios Cloud y M5Stack Fire.
Figura 1. Visión global con flujo de conexión de servicios Cloud y M5Stack Fire.

De cara a simplificar la realización de este apartado, recurriremos al despliegue de una aplicación reutilizable ya existente y de dominio público disponible en Serverless Application Repository (AWS SAR). Utilizando la plantilla de definición de recursos necesarios AWS Serverless Application Model (SAM), dicha aplicación despliega los siguientes servicio de manera automática sobre nuestra cuenta de AWS:

  • Las dos funciones Lambda de suscripción («TopicSubscriber«) y publicación («TopicPublisher«) anteriormente descritas.
  • Una tabla en DynamoDB en la que registrar los mensajes emitidos por M5Stack Fire.
  • Una regla AWS IoT que invoca a la función Lambda de suscripción con el contenido del mensaje enviado al topic m5stack/pub.
  • Endpoint de APIGateway con recurso de invocación a la función Lambda de publicación de mensajería hacia el dispositivo local.

Incorporar a nuestra propuesta el enorme potencial de recursos que ofrece AWS permitirá vitaminar el proyecto con ciertos automatismos, en forma de reglas de negocio para la persistencia de información emitida y la toma de decisiones en tiempo de celebración de evento, que es cuando verdaderamente se requieren.

El procedimiento a seguir para dicha integración es el siguiente:

  • Autenticarnos desde la consola de administración web en la cuenta de AWS sobre la que realizamos los primeros pasos de nuestro tutorial, situándonos en la misma región en la que dimos de alta el thing.
  • En otra pestaña del navegador, hacer clic en el siguiente enlace web, el cual nos redirigirá a la aplicación Serverless reutilizable lambda-iot-rule, alojada en el repositorio AWS SAR; posteriormente, seleccionar la opción «Deploy«:
Figura 2. Despliegue de aplicación Serverless con Backend genérico de servicios IoT.
Figura 2. Despliegue de aplicación Serverless con Backend genérico de servicios IoT.
  • En la configuración de la aplicación, habrá que introducir los valores de los topics de publicación y suscripción incluidos en la configuración de política asociada a nuestro dispositivo IoT (véase en caso de duda la sección de «1. AWS IoT Device Management: things y buenas prácticas» del anterior post); preservando el nombre de aplicación por defecto, introduciremos la cadena «m5stack/sub» en el campo del topic de publicación al que M5Stack se suscribe para la recepción de mensajes, y «m5stack/pub» en el campo del topic de suscripción como canal por el que el dispositivo pueda comportarse como emisor de mensajes. Importante en última instancia habilitar la casilla de consentimiento de creación de roles personalizados requeridos de permisos de interacción entre servicios en IAM:
Figura 3. Configuración de parámetros de despliegue de aplicación Serverless lambda-iot-rule.
Figura 3. Configuración de parámetros de despliegue de aplicación Serverless lambda-iot-rule.
  • En un corto plazo de tiempo se procede al aprovisionamiento de todos los servicios de AWS necesarios antes descritos, definidos en la plantilla de Serverless Application Model (SAM); finalmente, podrá verificarse la creación de la aplicación Serverless, incluyendo hasta 11 recursos distintos, aparte del endpoint o punto de enlace a API Gateway (:
Figura 4. Listado de recursos desplegados en aplicación Serverless SAR.

De modo opcional, podemos revisar que se han creado debidamente cada uno de los recursos mencionados, validando así que nuestra aplicación Serverless se encuentra plenamente operativa. Por otra parte, dicha validación se realizará con el ánimo de conocer más en profundidad el detalle de configuración de las instancias de servicios involucrados, la programación embebida en el tratamiento de eventos, y en la parametrización de identificadores necesarios para vincular unos recursos con otros. Para ello, y desde la consola de administración de AWS:

  • Accedemos al servicio AWS Lambda y seleccionamos en la barra lateral la opción «Functions«, mostrándosenos en el panel central de la vista las dos creadas tras el despliegue de la aplicación SAR:
Figura 5. Recursos listos para atender a todo evento resultante en Backend Serverless.
Figura 5. Recursos listos para atender a todo evento resultante en Backend Serverless.

La función de subscripción al topic atiende a la gestión de eventos, preparando un nuevo «item» a insertar en DynamoDB como consecuencia de una invocación a la función con el contenido del mensaje incluido en el parámetro «event«. Destacar también la referencia al identificador con el nombre de la tabla sobre la que persistir dicha información. Se trata de un valor generado dinámicamente en tiempo de despliegue (al igual que el resto de identificadores de los recursos disponibles) a través del uso de variables de entorno:

Figura 6. Función de subscripción al topic en Node.js autogenerada en despliegue SAR.
Figura 6. Función de subscripción al topic en Node.js autogenerada en despliegue SAR.

Realizando el mismo ejercicio con el segundo recurso funcional, para la publicación de mensajes al topic al que está subscrito M5Stack se requiere de la gestión del mensaje emitido desde el endpoint habilitado en API Gateway. La función Serverless es invocada por este punto de enlace, el cual publica en el topic cuyo valor se concretiza nuevamente dinámicamente:

Figura 7. Función de publicación al topic en Node.js autogenerada en despliegue SAR.
Figura 7. Función de publicación al topic en Node.js autogenerada en despliegue SAR.
  • Accedemos ahora al servicio DynamoDB, y seleccionamos en la barra lateral la opción «Tables«, figurando en el panel central una (de momento vacía) que lleva por nombre el mismo que el indicado en el paso de parámetros de la función Lambda de subscripción (figura 6):
Figura 8. Tabla en DynamoDB generada para persistir los mensajes emitidos desde M5Stack.
Figura 8. Tabla en DynamoDB generada para persistir los mensajes emitidos desde M5Stack.
  • Queremos comprobar seguidamente si, en caso de emitirse un mensaje desde M5Stack al topic de publicación («m5stack/pub«), se ha registrado alguna regla de actuación que invoque a la función Lambda de inserción del contenido en DynamoDB. Nos dirigimos al servicio IoT Core, hacemos clic en la opción «Act» y «Rules» sobre el menú lateral, y entramos al detalle del único registro listado. Debe de figurar activada la regla, la condición de consulta del disparador orientada al topic de publicación en cuestión, y la acción programada de invocación hacia la función Lambda correspondiente («TopicSubscriber«):
Figura 9. Configuración esperada de AWS IoT Rule para nuestro Backend Serverless.
Figura 9. Configuración esperada de AWS IoT Rule para nuestro Backend Serverless.
  • Únicamente nos queda dirigirnos a nuestra aplicación Lambda (en AWS Lambda», seleccionando la función de nombre serverlessrepo-lambda-iot-rule), y sobre la pestaña «Overview«, guardarnos a buen recaudo el endpoint o punto de enlace de API Gateway. Haremos uso de él en nuestra gran demostración final:
Figura 10. Llave de acceso a la publicación de mensajes en un topic de subscripción de things.
Figura 10. Llave de acceso a la publicación de mensajes en un topic de subscripción de things.

Con esto daríamos por concluida la implementación de los componentes necesarios para contar con un flujo de trabajo básico en la comunicación entre un dispositivo inteligente local y servicios remotos Cloud.

Inclusión de nueva regla AWS IoT adicional según tipo de asistente registrado

Con el objetivo de mostrar la versatilidad de acciones que pueden adherirse a nuestro proyecto IoT Cloud, amoldable a las necesidades reales que pudieran requerirse en cualquier contexto y/o sector profesional, vamos a incorporar una funcionalidad nueva. Con ella, y retornando a nuestro ejemplo de aplicabilidad posible, en el supuesto del acceso al evento multitudinario de personas que acudan al mismo en calidad de ponente («Speaker»), dicho registro de información, aparte de persistir en DynamoDB como soporte de almacenamiento de todos los asistentes, provocará:

  • Almacenar el mensaje en un bucket de Amazon Simple Storage Service (S3) al que tendrá acceso únicamente el área de Marketing de la empresa organizadora del espacio, facilitando así la entrega de distinto material de merchandising como agradecimiento por la colaboración realizada.
  • El envío de un mensaje personalizado gracias al servicio de notificaciones push Simple Notification Service (SNS), avisando al Chief Operations Officer (COO) de la llegada de cada conferenciante.

Nos dirigiremos nuevamente por tanto al servicio AWS IoT en la consola de administración, seleccionando «Act» y «Rules» nuevamente del panel lateral, y haciendo clic en el otro extremo de la pantalla sobre botón «Create«. Ya allí se sugiere el uso de valores para los siguientes parámetros:

  • Name:
speaker_detector
  • Rule query statement:
SELECT * AS speaker_details 
FROM 'm5stack/pub' 
WHERE type_attender = "Speaker"
  • Add action: añadiremos dos acciones:

    1) «Store a message in an Amazon S3 bucket», creando bucket de nombre «speaker-data» sobre el que depositar los mensajes con el detalle de los asistentes ponentes (más información aquí).

    2) «Send a message as an SNS push notification«, creando una subscripción de tipo email con la dirección de correo electrónico de la persona supervisora del control y gestión de los colaboradores (más información aquí).

Tras crear la regla personalizada, la configuración debería de mostrarse similar a la que figura en la siguiente captura de pantalla:

Figura 11. Características de regla AWS IoT adicional de detección de registro de speaker.
Figura 11. Características de regla AWS IoT adicional de detección de registro de speaker.

5. Validación final sin ‘efecto demo’

Llegó el gran día. Un evento sin precedentes. Nos encontramos ante la inauguración del encuentro tecnológico más esperado del año por todos: una nueva edición de IoT&Big Data Tech Event 2021. Inscripciones agotadas. Los mejores referentes mundiales charlando sin tapujos acerca de experiencias reales de proyectos reales haciendo uso de tecnologías asentadas y otras tantas disruptivas y en proceso de maduración. Comienzan los registros en puerta de asistentes regulares, sponsors y ponentes para la entrada al recinto. Para ello, se ha contado con una solución IoT Cloud desarrollada ad hoc para la presente edición, la cual parte de unos dispositivos inteligentes que van validando a cada paso la información del usuario (hora de acceso, tipología). Con una finalidad de control organizativo, de gestión del aforo y de apoyo a los colaboradores, dicha información se va registrando al momento, permitiendo llevar a cabo la toma de decisiones in-time (como la de restringir el acceso por superar el aforo establecido, por ejemplo).

9:00 horas: se abren las puertas, acudiendo paradójicamente (cuestiones del azar) únicamente personas en calidad de asistentes regulares y sponsors. 5 minutos después, se decide revisar uno de estos dispositivos IoT (el único a esas horas operativo), utilizado por un operario de la organización, así como el estado de la infraestructura aprovisionada en la nube de AWS para conocer si está funcionando correctamente la operabilidad . Revisando el thing en cuestión, se observa que se han producido hasta ahora 7 registros (3 de ellos con type_attender «Sponsor» – botón frontal izquierdo – y los otros 4 como «Regular attender» – botón frontal central -):

Figura 12. Registro de las primera 7 altas en IoT&Big Data Tech Event 2021.
Figura 12. Registro de las primera 7 altas en IoT&Big Data Tech Event 2021.

Al acceder a la cuenta organizativa de AWS sobre la que se llevó a cabo la labor de implementación de nuestra solución IoT Cloud de servicios dedicados a la gestión de accesos al evento, encontramos que exactamente se habían registrado el mismo número de personas, y en el mismo orden temporal dentro del intervalo de los 5 minutos de registro:

Figura 13. Items añadidos en tiempo de registro al evento en tabla de DynamoDB.
Figura 13. Items añadidos en tiempo de registro al evento en tabla de DynamoDB.

Poniendo el foco en el cuerpo principal de cada registro (campo «payload«), observamos la información que a modo ilustrativo se emite desde el dispositivo origen, coincidente con la que se mostraba por la pantalla del dispositivo local:

Figura 14. Volumen, tipo de inscritos e intervalos de tiempo alineados entre AWS y M5Stack.
Figura 14. Volumen, tipo de inscritos e intervalos de tiempo alineados entre AWS y M5Stack.

Justo a lo lejos, y obligado a madrugar por formar parte de la validación de esta nueva solución tecnológica, acude el primero de los ponentes al lugar de acreditación, registrándose debidamente al mismo. Acto seguido, se vuelve a requisar el dispositivo local para comprobar por pantalla si se ha emitido algún mensaje que corrobore dicha alta, indicando a todas luces que así fue:

Figura 15. Primer speaker dado de alta en la solución IoT Cloud desde M5Stack.
Figura 15. Primer speaker dado de alta en la solución IoT Cloud desde M5Stack.

De manera análoga, validamos que se ha incluido un nuevo registro respecto a la anterior vez en el servicio autogestionado de bases de datos no relacionales DynamoDB, esta vez con el primer speaker dado de alta:

Figura 16. Primer speaker dado de alta en la solución IoT Cloud desde M5Stack.
Figura 16. Primer speaker dado de alta en la solución IoT Cloud desde M5Stack.

Al tratarse de un colaborador, revisamos que el área de marketing disponga ya de la información relevante de su presencia para proveerle de un kit de bienvenida como gesto de gratitud por estar presente en estas jornadas:

Figura 17. Detalle del ponente de acceso restringido al área de Marketing del evento.
Figura 17. Detalle del ponente de acceso restringido al área de Marketing del evento.

Y no menos importante, preguntamos al director de operaciones si ha recibido algún aviso relevante, y nos reenvía esta captura de pantalla de su dispositivo móvil:

Figura 18. Notificación push avisando al COO del evento de la llegada del primer speaker.
Figura 18. Notificación push avisando al COO del evento de la llegada del primer speaker.

13:00 horas: el aforo empieza a completarse. Éxito en la primera jornada, es probable que durante el día se tenga que impedir el paso a más visitantes para respetar las medidas de seguridad sanitaria en el recinto.

13:26 horas: tras contabilizar el número de personas dadas de alta, e identificar que ha llegado al máximo permitido, se emite una petición de servicio a todos los dispositivos inteligentes para dar por finalizada su labor de registro de nuevos usuarios:

curl -d '{"STAFF":"AFORO COMPLETADO! IMPOSIBILIDAD DE NUEVAS ALTAS."}' -H "Content-Type: application/json" -X POST "https://xj91kamgla.execute-api.eu-west-1.amazonaws.com/Prod/publish"
Figura 19. Mensaje emitido de organización a M5Stack avisando de una decisión en real-time
Figura 19. Mensaje emitido de organización a M5Stack avisando de una decisión en real-time

¡Sed más previsores en la jornada de mañana, que lo mismo volvéis a quedaros a las puertas de la cita obligada para todo «techie»!

Aquí finaliza nuestro tutorial de diseño e implementación de una solución tecnológica que aúna la interconexión de componentes locales de sensorización y actuación local en combinación con capacidades Cloud. Espero con ello haber afianzado los conocimientos abordados a lo largo de esta serie de 3 publicaciones. Si has llegado hasta aquí, solo me queda felicitarte por tu esfuerzo. ¡Un nuevo mundo de posibilidades te espera!

Todos los post de esta serie:

Tu primer proyecto IoT Cloud (I): Tutorial para solución E2E con ESP32 y AWS IoT

Tu primer proyecto IoT Cloud (II): Registro en AWS IoT y puesta a punto de M5Stack

Tu primer proyecto IoT Cloud (III y fin): Procesamiento en streaming y validación final

Para mantenerte al día con el área de Internet of Things de Telefónica visita nuestra página web o síguenos en TwitterLinkedIn YouTube

Ciberseguridad, protagonista de la nueva realidad

Jorge A. Hernández    3 octubre, 2020

A mediados de septiembre Telefónica Hispam llevó a cabo el panel «Ciberseguridad, protagonista de la nueva realidad». Un evento que reunió a varios de los líderes digitales de empresas e instituciones de la región.

Más en detalle, los panelistas fueron Ernesto Gutiérrez de Piñeres, Vicepresidente Digital Ecopetrol; Ramiro de la Rosa, CISO de Cemex; el Contraalmirante Enrique Luis Arnáez, Comandante de Ciberdefensa Marina de Guerra del Perú;  Daniel Soto, CISO de Naturgy Chile e Iván Esparza Serrano, CISO de Automotores y Anexos.

Virtudes y riesgos

Irónicamente una de las cosas buenas de la pandemia fue el impulso que dio a los procesos de transformación digital en las empresas de la región. Sin embargo, lo malo es que la digitalización también supuso nuevos retos como la ciberseguridad.

Y es que América Latina ha visto un aumento del 30% en ataques de denegación de servicio (DDoS) y un 40% de ataques a canales digitales. Además, el 80% de los correos electrónicos que circulan en la red son de carácter malicioso.

Bajo estas cifras, comenzó el panel donde los voceros coincidieron en varios puntos como en la necesidad de la cultura de seguridad. Gutiérrez de Piñeres, de Ecopetrol, incluso habló de un “Firewall humano” que complemente las herramientas tecnológicas.

“No hay tecnologías perfectas”, agregó.

Hacktivismo y ransomware

Y el fenómeno no es solo a nivel corporativo, el Contraalmirante Enrique Luis Arnáez, recuerda el creciente papel del “hacktivismo” donde las empresas sufren daños colaterales surgidas de protestas digitales dirigidas a otras organizaciones.

Otro fenómeno, presente en la región, es el ransomware que según Esparza Serrano nos “recuerda los frágiles que podemos ser como organizaciones”, por lo que llama a todas las organizaciones, y personal de ciberseguridad, a estar cerca, en contacto permanente.

Dentro del panel también se habló de la ciberseguridad como una batalla desigual, asimétrica y donde los hackers, haciendo la analogía con el fútbol, son los delanteros a los cuales se les perdonan errores y solo necesitan meter un gol para salir victoriosos.

Lo mismo no pasa con el personal de seguridad que hace las veces de arqueros o defensas, siguiendo con el símil deportivo.

Y es que las empresas de América Latina debieron cambiar y acelerar sus procesos de transformación digital de la noche a la mañana, pero por maduros que estos fueran nadie estaba preparado para movilizar a la gran mayoría de su fuerza laboral a sus casas.

Y menos por seis meses de pandemia.

Ahora, la seguridad depende más que nunca de las personas, Daniel Soto y Ramiro de la Rosa concordaron en cómo sus empresas han reforzado las estrategias de comunicación recordando a sus empleados que ellos, en últimas son la primera línea de defensa.

El cliente siempre está primero, la omnicanalidad en la pandemia

Jorge A. Hernández    3 octubre, 2020

En un mundo hiperconectado donde el acercamiento de los clientes a los productos se da por múltiples plataformas y medios, la consistencia de los valores de marca es más importante que nunca.  Un vistazo a la omnicanalidad.

Antes de comenzar recordemos qué es la omnicanalidad.

Deloitte la define como estrategia y gestión de canales que tiene como objetivo la integración y alineación de todos los canales disponibles, con el fin de brindar a los clientes una experiencia de usuario homogénea a través de los mismos.

En otras palabras, cuando un cliente ve un producto en una vitrina, cotiza los precios en línea, pregunta sobre particularidades en chats, y luego compra en una plataforma de comercio electrónico, en todo debe tener la misma experiencia de usuario.

La omnicanalidad es la evolución de la multicanalidad, y se basa en mirar las cosas desde la perspectiva del cliente.

Omnicanalidad y responsabilidad social

Como mencionábamos anteriormente la omnicanalidad es más importante que nunca ya que los clientes necesitan confianza, marcas que los puedan ayudar en momentos de incertidumbre como los actuales.

Rafael Ángel Perez Mendoza, Profesional de Advertising de Movistar Empresas, va un paso más allá y recuerda que en momentos confinamientos las empresas tienen la obligación de trasladar la experiencia presencial, a la que estaban acostumbrados los clientes, al terreno digital.

Perez Mendoza, agrega que la omnicanalidad además tiene beneficios más allá de la imagen de la marca, también ayuda a la disminución de costos y a la optimización y automatización de procesos con soluciones como SendIt.

Gracias a sus virtudes la omnicanalidad y sus múltiples canales están creciendo en la misma pandemia. Por ejemplo, en Estados Unidos, los SMS hacia los clientes crecieron entre 8.5 y 20% en el periodo marzo – abril.

Otras cifras en alza

Y eso no es todo, con el crecimiento del comercio electrónico, debido al confinamiento, los Call Centers se vieron abrumados lo que descargó gran parte del tráfico hacia los chatbots.

En México, por ejemplo, la industria bancaria registró un incremento entre un 500% y un 600% en el uso de chatbots. En Colombia las interacciones han aumentado hasta 380%.

Como dato curioso hasta los gobiernos e incluso empresas tecnológicas como WhatsApp han montado chatbots especialmente diseñados para responder preguntas acerca del covid-19.

SI bien la omnicanalidad antes servía como un valor agregado en la actualidad se ha convertido en un protagonista de una sociedad que se ha digitalizado a la fuerza buscando una nueva normalidad.

La omnicanalidad es parte de ese nuevo paradigma, es parte del ya tan mencionado “new normal”.

Imagen creada por freepik – www.freepik.es

IoT en el sector salud, un gigante que apenas está despertando

Jorge A. Hernández    2 octubre, 2020

Todos sabemos que el Internet de las cosas es grande pero cuando nos enteramos que las proyecciones, solo para el sector salud, superarán los 534 mil millones de dólares, para 2025, percibimos que tan gran en realidad puede ser.

Y es que el sector médico es uno de los campos de acción ideales para el IoT, tanto que suele dividirse en dos grandes ejes: por una parte, el IoT para pacientes (usuarios finales) compuesto por pulseras, bandas, dispositivos y apps, y por otro lado, los equipos del sector médico.

Los hospitales modernos cuentan con sistemas tecnológicos que involucran monitoreo remoto de pacientes, bombas de insulina, manejo de medicamentos, computadores y teléfonos de los doctores y administradores de los hospitales, etc.

Es un segmento tan grande que tiene un nombre propio: Internet of Medical Things o IoMT, cuyo fin último es el de crear un sistema de salud conectado que sea no solo más seguro y eficiente para los pacientes, también más rentable para los hospitales.

Este IoMT no solo conectaría los dispositivos electrónicos del hospital con el software y los servidores de la clínica, también podría, en un futuro, establecer un contacto permanente con los relojes inteligentes, pulseras de los pacientes, inhaladores de asma conectados a Internet, etc.

Retos que nunca faltan

Sin embargo, esta llegada del IoMT no está exenta de retos. Uno de los más populares entre los CISO de las clínicas, es el de ciberseguridad. Y la verdad no les falta razón para este sentimiento. El IoT implica nuevos objetivos para los cibercriminales.

Otros retos para el crecimiento del IoMT está vinculado directamente con la infraestructura y la conectividad permanente so riesgo de perder vidas. En este entorno una desconexión puede, en realidad, ser fatal.

Otros retos están relacionados con la estandarización de nuevos equipos y protocolos de comunicación que emergen diariamente porque el IoT de la salud apenas se está empezando a sentir, y cuando lo haga cambiará la vida de todos.

Sin embargo, a pesar de todos los obstáculos, el IoT en el sector salud seguirá creciendo a grandes pasos por una sencilla razón: es necesario y ya estamos en camino.

Foto creada por Racool_studio – www.freepik.es

Noticias de Ciberseguridad: Boletín semanal 26 de septiembre-2 de octubre

ElevenPaths    2 octubre, 2020

El gigante logístico CMA CGM afectado por un ciberataque

Esta semana, el grupo francés de logística CMA CGM, que opera en 160 países distintos, informaba a través de su página web y sus redes sociales de un ciberataque contra sus sistemas. Al parecer, el incidente habría afectado a varios servidores perimetrales, obligando a la entidad a interrumpir el acceso a internet de algunas de sus aplicaciones para evitar la propagación del malware dentro de su red. Como consecuencia, la entidad recomienda a sus clientes que contacten con las agencias locales del grupo para cualquier petición, reserva u otro tipo de operaciones. Pese a que el grupo no ha desvelado el tipo de malware causante del incidente, algunas comunicaciones apuntan al ransomware RagnarLocker, que habría logrado infectar varias de las oficinas de CMA CGM en territorio chino.

Más información: https://www.cmacgm-group.com/en/news-media/important-notice-external-access-to-CMA-CGM-IT-applications

Logran compilar e instalar Windows XP y Server 2003 a partir del código fuente filtrado

El 24 de septiembre, varios usuarios de 4chan y Reddit informaban de la filtración del código fuente de Windows XP, que más tarde aparecería filtrado en uno de estos foros, confirmando varios investigadores la legitimidad del mismo. Ahora, el desarrollador NTDEV ha publicado dos vídeos en YouTube y varios tweets en los que muestra cómo compilar Windows XP y Server 2003 desde el ‘Simbolo del Sistema’ de otro Windows XP, si bien el desarrollador reconoce que a diferencia del código de Windows Server 2003, en el caso de Windows XP todavía no ha podido generar una imagen ISO para compartir. Este código podría estar relacionado con la fuga del pasado 26 de julio en el que se hizo público un repositorio en GitLab que contenía el código de más de 50 compañías entre las que se encontraba Microsoft. Esta filtración podría afectar a diversas instituciones públicas o a cajeros automáticos que siguen utilizando Windows XP a pesar de que ya no cuenta con soporte. Los agentes amenaza podrían analizar este código en busca de vulnerabilidades que se podrían explotar también en versiones más actuales.

Más información: https://www.genbeta.com/windows/logran-compilar-ejecutar-windows-xp-server-2003-a-partir-codigo-fuente-filtrado-asi-proceso-video

Microsoft aclara la confusión con los parches para el fallo de Windows Zerologon

Microsoft ha aclarado los pasos que los clientes deben tomar para asegurarse de que sus dispositivos estén protegidos contra ataques usando exploits de Windows Server Zerologon (CVE-2020-1472). La compañía publicó una nueva versión de su aviso después de que los clientes encontraran confusa la guía original y no estuvieran seguros de si aplicando el parche era suficiente para proteger de los ataques a los dispositivos  Windows Server vulnerables. En un proceso paso a paso, el aviso actualizado ahora explica las acciones exactas que los administradores deben seguir para asegurarse de que sus entornos están protegidos y se eviten las interrupciones en caso de un ataque entrante diseñado para explotar servidores que de otro modo serían vulnerables a los exploits de Zerologon. Las acciones a llevar a cabo descritas por Microsoft son las siguientes:

  • ACTUALIZAR los controladores de dominio con la actualización publicada el 11 de agosto de 2020 o más tarde.
  • BUSCAR qué dispositivos están realizando conexiones sospchosas mediante la monitorización de los registros de eventos.
  • DIRIGIRSE a los dispositivos que no cumplen con las normas y que están haciendo estas conexiones.
  • HABILITAR el modo de ejecución para abordar el CVE-2020-1472 en su entorno.

Todos lo detalles: https://support.microsoft.com/en-us/help/4557222/how-to-manage-the-changes-in-netlogon-secure-channel-connections-assoc

Campaña de phishing aprovecha permisos de lectura de aplicaciones de terceros en O365

Proofpoint ha publicado un informe sobre una nueva técnica utilizada por el actor TA2552 desde agosto de 2019 en la que abusa del acceso a aplicaciones de terceros (3PA) de Microsoft Office 365. En concreto, se envía un correo electrónico a usuarios de España y América Latina con un mensaje que insta a los usuarios a hacer clic en un enlace y los redirige a una página de consentimiento de aplicaciones legítimas de terceros de Microsoft. En esta página, se les solicita que otorguen permisos de solo lectura a su cuenta de O365 a través de OAuth2 u otros métodos de autorización basados ​​en token. A través de esta técnica, TA2552 pretende obtener permisos para ver el contenido y la actividad de los recursos disponibles, como los contactos y el correo del usuario, a través de la cuenta O365 de un usuario. El acceso de solo lectura conlleva un riesgo considerable, ya que proporciona a los atacantes la capacidad de acceder a información valiosa que podría ser utilizada en ataques tipo BEC o apropiación de cuentas, robar datos de forma silenciosa, o para interceptar mensajes de restablecimiento de contraseña de otras cuentas, como las de instituciones financieras.

Más: https://www.proofpoint.com/us/blog/threat-insight/ta2552-uses-oauth-access-token-phishing-exploit-read-only-risks

Y si quieres más información en tiempo real, suscríbete a nuestro canal de noticias y reflexiones sobre ciberseguridad creado por el equipo de Innovación y Laboratorio de ElevenPaths. Visita el canal de Telegram CyberSecurity Pulse aquí.

Para más información visita https://empresas.blogthinkbig.com/elevenpaths/ o https://cybersecuritypulse.e-paths.com.

Perfiles profesionales del talento internacional

Juan Luis Manfredi    2 octubre, 2020

La internacionalización es una asignatura pendiente de la pyme española. Aún hay margen para el crecimiento en el mercado exterior. En la actual coyuntura económica, es necesario -aún más- diversificar y arriesgar con la salida.

No es una decisión sencilla ni a corto plazo, sino que requiere el apoyo expreso y el liderazgo de la dirección de la compañía. En el contexto de los fondos de recuperación europea, conviene considerar las posibilidades de financiación e inversiones que llegarán para industrializar el país e impulsar el mercado europeo.

Con este horizonte económico y jurídico, el factor humano parece uno de los pilares de éxito en la internacionalización. Las personas generan el capital social y ejecutan los proyectos, por lo que no existe otra ventaja competitiva más rentable. Es una de las diez leyes inmutables de la gestión de las organizaciones.

Ejes de crecimiento internacional

En la teoría, existen distintos ejes de crecimiento internacional que conducen a modelos de negocio y determinan la asunción de riesgos.

El primero lo conforma la venta subrogada a empresas nacionales, para que exporten los bienes o servicios. La pyme aminora el riesgo, pero pierde el control de sus productos fuera de las fronteras.

El segundo tipo corresponde con la selección de agentes comerciales que exportan el producto dentro un catálogo en el que compiten varias marcas. Consistiría en introducirse en líneas de supermercado o venta minorista para dar a conocerse en el exterior. Es un riesgo bajo, pero tiene un rendimiento también limitado.

El tercer modelo es una importación a la inversa: un comerciante llega al país y busca nuevos proveedores para llevarse de vuelta. Se lleva el producto y se encarga de su comercialización. Este acuerdo se limita en el tiempo o en el tipo.

El talento internacional

Otra pauta es la propia exportación directa, en la que la firma asume el riesgo en nombre propio con su inversión, marca y red. En la práctica, cada decisión estratégica que se tome en relación con el proceso de internacionalización conlleva la incorporación de talento con trayectoria internacional.

La dirección general tiene que aceptar que la diversidad (de origen, nacionalidad) es fuente de competitividad y el camino para adaptarse al entorno internacional.

La pregunta clave es quién ejecuta el proceso de internacionalización sobre el terreno, quién será el agente o delegado comercial, el director de la fábrica o el jefe de proyecto destinado en el exterior.

Aquí es donde me permito seguir la tipología que elabora Josu Ugarte sobre la organización del talento internacional. Adapto sus ideas al entorno de las pymes, cuyos recursos son más limitados. Habrá que poner el acento en aquello que nos sea más relevante, según el mercado, el músculo financiero o la experiencia previa.

Director expatriado

El primer perfil profesional es el directivo expatriado. Dirige el proceso con el cargo de country manager (o similar) y es responsable de toda la cadena de valor en uno o varios mercados.

Es un profesional que conoce la misión de la firma y las particularidades internas (relación con inversores, historial de éxitos y fracasos, cultura corporativa).

Se le contrata en origen y se le envía al exterior después de un periodo de formación en la casa matriz. El salario suele ser elevado y se maneja un plazo no inferior a tres años de trabajo.

Por su trayectoria, pensamos en un perfil con más de diez años de experiencia en el sector, el mercado destino o en la compañía. La experiencia genera solvencia y cotiza al alza.

Directivo en el país destino

La segunda opción es la contratación de un directivo ya en el país destino. Se debe perfilar un local influyente, que ya cuente con cartera propia de relaciones comerciales y política para el éxito de la aventura internacional.

Por antigüedad, se recomienda que presente al menos cinco años en el mercado o en el sector, con el ánimo de acortar los procesos de adaptación.

Conoce la lengua y la cultura local, pero debe también entender la propia. Si no es posible que se instale un trimestre en la matriz, sí es recomendable que los directivos mimen su incorporación, visiten el nuevo proyecto con regularidad y se empeñen en la transmisión de la cultura corporativa.

Servicios de internacionalización

Una tercera vía es la contratación de servicios de internacionalización a una empresa. Es una técnica menos personalizada, pero pone a disposición de la firma un catálogo de servicios amplios (regulación, fiscalidad, logística, etcétera).

Este perfil suele tener más cariz comercial, pero presenta una desventaja sustancial: no hay relación personal de largo alcance. El interlocutor varía según la especialidad o el sector y se rompe la complicidad. Esto ha de valorarse.

Competencias del talento internacional

En los tres tipos, encuentro dos competencias comunes:

  1. La capacidad para tejer alianzas, que incluyan las relaciones laborales y la actividad social en destino. Se trata de comprender y manejar la cultura local y la española para generar ventajas competitivas.
  2. La vinculación emocional con el proyecto. Una pyme requiere un compromiso adicional, tanto por el tipo de capital (empresa familiar en la mayoría de los casos) como por la estructura directiva.

Sea cual sea la decisión, la dirección general tiene que evaluar los resultados a largo plazo (ventas y expansión), la coherencia de la acción internacional con la local (reputación y valores corporativos) y las relaciones políticas con la administración (regulación, proteccionismo, propiedad intelectual).

Un hito para la historia del voluntariado digital: #DIVT 2020

Carmen Menchero de los Ríos    2 octubre, 2020

Hoy se celebra el Día Internacional del Voluntariado Telefónica y, como todo en este 2020, también será distinto. Éste es un año que todos recordaremos con sabor amargo. Está marcado por el impacto de una pandemia que ha puesto nuestro mundo patas arriba y ha alterado nuestra vida cotidiana. Pero también ha acelerado la transformación…y el voluntariado digital.

La crisis, junto a efectos devastadores, ha provocado múltiples iniciativas en las que se ha escrito con letras mayúsculas la palabra solidaridad. Hemos visto surgir una nueva casta de héroes en todo el mundo, la mayoría de las veces anónimos, que se han esforzado por aportar su granito de arena para paliar el sufrimiento de quienes peor lo estaban pasando.

Las actividades y las cifras del voluntariado de Telefónica

Por todo ello, la edición 2020 del Día Internacional del Voluntariado de Telefónica tiene un significado especial. Esta jornada es la gran fiesta de una de las organizaciones con el voluntariado corporativo más importante del mundo.

El año pasado movilizó a 23.000 empleados de 27 países. Éstos desarrollaron más de 1.100 actividades, con impacto en nada menos que 130.000 personas. Una labor que sirvió para apoyar el trabajo de más de 170 entidades sociales dedicadas a desarrollar proyectos dirigidos a colectivos y campos muy diversos.

A lo largo del año, los voluntarios trabajan en actividades relacionadas con la integración de personas con discapacidad o en riesgo de exclusión. Se atiende a niños, jóvenes y ancianos. También se promueven iniciativas de lo más variopintas en el ámbito del medioambiente, la educación, el deporte y, cómo no, la inclusión digital.

Telefónica celebra el Día Internacional del voluntariado digital cien por cien

Pero además #DIVT 2020 marca un hito en la historia del voluntariado de Telefónica, ya que es la primera vez en la que el catálogo de actividades se va a desarrollar cien por cien en formato digital. En realidad, esta línea de cooperación se inició hace ya muchos años y desde 2016 el Programa Voluntarios Telefónica es un referente.

Pero es precisamente ahora cuando cobra todo su sentido. De hecho, el voluntariado online ha eclosionado como un fenómeno mundial, impulsado por distintas organizaciones. Y es que su formato permite estar al pie del cañón cuando aumenta la demanda de ayuda pero se impone el distanciamiento físico.

La tecnología como herramienta de inclusión social e innovación

Esta modalidad de voluntariado se basa en la convicción de que la tecnología es una potente herramienta de inclusión social y de innovación. Y se desempeña en distintos campos como es el caso de la educación (para paliar la brecha digital), la seguridad (en aras de la concienciación sobre el uso adecuado de Internet) y el desarrollo social, habilitando soluciones que cubran necesidades concretas.

Las múltiples posibilidades del voluntariado digital

Es posible colaborar mediante el desarrollo de una aplicación web para una ONG que lo demande, programando aplicaciones o haciendo uso de big data, drones, robots, realidad virtual, impresión 3D o la tecnología software o hardware más adecuada para cada caso.

Si tenéis curiosidad por conocer el amplio espectro de posibilidades existente para cooperar de forma virtual, os recomiendo ojear la revista Buena Señal. En ella que encontraréis entrevistas y un montón de casos de éxito que probablemente os sorprendan.

Y es que esta labor, ya sea en formato presencial o digital, tiene un importante impacto social. Pensad que la fuerza de trabajo voluntaria a escala mundial equivale a la de 109 millones de trabajadores con dedicación a tiempo completo, vinculados formalmente a algún tipo de organización o que participan en proyectos puntuales.

El voluntariado, al alza en España

En España, además, es una actividad al alza hasta el punto de que el 42 por ciento de los ciudadanos mayores de 18 años colaboran con alguna ONG y a más de un 30 por ciento de los que no lo hacen, les gustaría hacerlo.

Sobran razones

Si pertenecéis a este último grupo, os recomiendo que consideréis la posibilidad de pasar a la acción. Siempre he pensado que el voluntariado es la más inteligente forma de egoísmo. Eso de que “Se recibe mucho más de lo que se aporta” no es una frase hecha. Si os animáis a colaborar, ampliaréis vuestro círculo de amistades, reforzaréis vuestra autoestima, aprenderéis y potenciaréis nuevas habilidades. Especialmente en la modalidad online, el desempeño se plantea desde el aprendizaje por proyecto, lo que implica un periodo previo de intensa formación y un constante reciclaje de los conocimientos adquiridos a través de la práctica.

Pero no solo eso. El voluntariado se ha convertido en una línea en el currículum cada vez más valorada por las empresas. Refleja un perfil de compromiso y proactividad que completa la trayectoria académica o profesional.

Y no hay excusa

Si tenemos en cuenta, además, que en la mayoría de las iniciativas es posible adecuar la dedicación a la disponibilidad de cada uno y escoger el momento del día o de la semana en el que podemos dedicarnos a estas tareas, no hay excusa.

Si os he convencido, sugiero una visita a la página de Voluntarios Telefónica. Encontraréis una oferta de proyectos para empleados del Grupo, además de distintas iniciativas dirigidas a otras entidades sociales. Los Premios al Voluntariado este año valoran especialmente actividades relacionadas con la crisis provocada por el COVID-19.

En el terreno del voluntariado digital  hay también múltiples propuestas en la plataforma hacesfalta.org. En ella se ofrece un listado con actividades tan diversas como la enseñanza, la meditación o el mentoring. Cruz Roja necesita ahora más que nunca ayuda también. Para perfiles senior la iniciativa #Juntosdesdecasa es un proyecto altruista que busca desarrollar la capacitación digital. de familias mediante actividades de ocio.

En resumen, hay muchísimas ONG con las que podéis colaborar. A pie de obra o a golpe de teclado, lo importante es ayudar, recordad aquello de “hoy por ti, mañana por mí”.  El voluntariado nos da la oportunidad de acercarnos a la mejor versión de nosotros mismos ayudando a otros. ¡Feliz #DIVT 2020!

Imagen: GotCredit

Lecciones aprendidas, retos y perspectivas para Blockchain en el ámbito empresarial

AI of Things    2 octubre, 2020

Durante los días 21 y 22 de Septiembre se celebró la primera edición online de la European Blockchain Convention (EBC), el congreso de negocios sobre la tecnología Blockchain más relevante de Europa, donde más de 100 ponentes repartidos en 25 sesiones debatieron sobre su aplicación en el ámbito de la empresa, tanto pública como privada, planteando los retos a los que se enfrenta y las expectativas de futuro para una de las tecnologías más disruptivas de los últimos tiempos.

Por mi parte tuve el placer de representar a Telefónica en el panel Remaining challenges of Blockchain and possible solutions junto a Gilberto Florez de Ferrovial y Giovanni Franzese de Ericsson, donde debatimos sobre proyectos reales que hemos abordado en los últimos años, de los que hemos obtenido una experiencia que nos permite hablar con conocimiento de causa de las lecciones aprendidas, retos y perspectivas de esta tecnología en el ámbito empresarial, que resumo en este artículo (para aquellos que no tuvisteis la oportunidad de asistir al evento).

El caso concreto en el que centré el análisis fue la aplicación de Blockchain en nuestra propia cadena de suministro en Brasil, el proyecto “Vicky” sobre el que ya ha comentado en este blog Fernando Valero, responsable del área de Global Supply Chain que lo hizo posible en 2018, por lo que no voy a centrarme en describir cómo se desarrolló y los beneficios obtenidos, sino las lecciones aprendidas gracias a los retos a que nos enfrentamos:

  • En este tipo de proyectos el beneficio para el negocio viene de la transformación de los procesos y de la automatización, y aquí Blockchain es un medio, no un fin en sí mismo. Al negocio no le interesa una u otra tecnología, sólo quiere conseguir sus objetivos. Cada vez que abordamos un proyecto tenemos que responder a la pregunta “¿por qué con Blockchain?” dando una respuesta clara en el lenguaje que entiende el negocio, no desde la perspectiva tecnológica. En nuestro caso, el proyecto consiguió ROI en menos de un año, dando así sentido al uso de Blockchain.
  • Más allá de la tecnología, es vital definir desde el principio un escenario win-win para los actores que participan en el proyecto, identificando los incentivos para todos ellos que permitan crear esa red de valor en común. Cada compañía en el proyecto Vicky (no sólo Telefónica) pudo obtener por primera vez una visión más amplia de lo que sucede en toda la cadena, pudiendo aplicar esta información en su propio beneficio.
  • Blockchain ofrece muchas posibilidades, pero es importante priorizar estas capacidades teniendo siempre presente cuáles son los requisitos del negocio. En este caso la prioridad inicial era mejorar las operaciones, obtener visibilidad extremo a extremo en todo el ciclo de vida de los equipos para eficientar y automatizar dichas operaciones. Sólo una vez alcanzado este hito se arranca una siguiente fase para automatizar distintas actividades gracias a los smart contracts (registro documental, pagos, etc). Y más allá, la posibilidad de crear nuevas oportunidades mediante tokenización. Blockchain es la tecnología que facilita estas nuevas fases en el proyecto, una vez alcanzada la mejora operativa.
  • Para el negocio la confianza en la información es imprescindible, por eso el objetivo es registrar los datos en Blockchain lo antes posible, con el mínimo de intermediarios, para garantizar que nadie puede alterar la información sobre la que luego se aplica la lógica de negocio. Y aquí la utilización de IoT es clave, permitiendo que los dispositivos registren automáticamente los datos que generan, en tiempo real. Porque disponer de mala información inmutable no sirve de nada. Y creedme, este tipo de proyectos genera una ingente cantidad de información valiosa, que es compleja de procesar. Por eso es imprescindible plantear en los proyectos desde el principio el uso de Bigdata y Machine Learning, que permitan obtener el máximo rendimiento de los datos existentes en beneficio del negocio.
  • Aprendimos también que la tecnología en 2018 no era lo suficientemente madura, y además ha evolucionado a una rapidez tremenda (sólo como ejemplo: tres versiones de Hyperledger Fabric en dos años, cambiando completamente la arquitectura). Las operaciones en este entorno son muy complejas (especialmente cuando las cosas no funcionan bien), por lo que es extraordinariamente importante contar con proveedores de confianza.
  • La experiencia en este proyecto y otros que hemos abordado en Telefónica nos ha permitido entender que siempre tendemos a repetir las mismas actividades, una y otra vez. Ese es el motivo por el que desarrollamos nuestra propuesta de valor para ayudar a las empresas a integrar sus sistemas y aplicaciones con Blockchain de forma sencilla gracias a la solución TrustOS de Telefónica, permitiendo reducir los costes, el tiempo y el riesgo de abordar proyectos con Blockchain. Porque, insisto, al negocio no le importa la tecnología de Blockchain, sino el valor que aporta a los procesos, poder incorporar esta confianza adicional en sus operaciones mediante el uso de APIs, sin la complejidad subyacente de las distintas tecnologías de Blockchain, es un valor diferencial.
  • Y por último, el “agnosticismo tecnológico” es deseable, pero difícil de conseguir en la práctica. El uso de una solución como TrustOS, que abstrae la complejidad subyacente de las distintas tecnologías de Blockchain para facilitar el uso de los componentes que ofrecen es clave para posibilitar la evolución tecnológica sin impactar al negocio, permitiendo además interoperar entre distintas redes, públicas y privadas.

Proyectos como la transformación de la cadena de suministro de Telefónica en Brasil permiten tangibilizar el valor real que aporta Blockchain para el negocio, que Gartner cuantifica en 3,1 trillones de dólares para 2030. Y Telefónica Tech con su experiencia y soluciones apuesta por facilitar el uso de esta tecnología en los próximos años, junto a otras como IoT, Bigdata, Inteligencia Artificial o Edge Computing, para responder a los retos que nos esperan en el futuro y hacer realidad esa propuesta de valor.

Escrito por Jorge Ordovás.

Para mantenerte al día con el área de Internet of Things de Telefónica visita nuestra página web o síguenos en TwitterLinkedIn YouTube