Cuando el phishing encontró el breach replay

Andrés Naranjo    14 noviembre, 2019

Caso real suplantando a la CIA

Decía Einstein, al que me gusta creer que puedo emular, que, si entiendes bien algo, podrías explicárselo a tu abuela. Es por ello que me guste explicar las cosas desde cero, intentando que llegue a todos los públicos y, por eso, voy a intentar aclarar un par de conceptos explicando una tendencia en los emails de los cibercriminales que recibimos TODOS, REPITO TODOS.

¿Acaso no has recibido una “alerta de seguridad de tu entidad bancaria” sin tener cuenta en ese banco? Pues eso, TODOS.

Debo llamar la atención que existe un cambio de tendencia en el cibercrimen que está mutando de ataques a tecnología, hacia ataques a personas, ¿por qué? Porque siempre hay una víctima fácil, desinformada, o suficientemente estresada como para no prestar la atención necesaria. Las empresas cada vez invierten más en tecnología de seguridad y sin embargo, el eslabón más débil sigue siendo el factor humano. Como decimos en ciberseguridad comúnmente, «la vulnerabilidad más grave se encuentra entre el teclado y la silla».

En primer lugar, demos explicación a por qué, tarde o temprano, todo el mundo recibe estos correos. El cibercrimen que representa una amenaza real, no es “single-action” generalmente. Las peores amenazas hoy en día surgen de sistemas automatizados y cada vez más elaborados y complejos. Y estos sistemas se nutren de bases de datos donde nuestro email va a terminar más temprano que tarde.

De esta forma, con millones de correos diarios, todos estamos en el punto de mira.

¿Qué es el phishing?

Una vez explicado esto, contaremos qué es un email de phising. El phising es un email falso bajo el que se oculta una actividad maliciosa haciéndose pasar por otra persona o entidad, por ejemplo un banco, como comentaba antes. De hecho, no hace mucho, un gran banco me comentaba la cantidad de emails al día que tiene que responder su personal con consultas como: “Oiga que yo no tengo cuenta con ustedes y me ha llegado…”.

NOTA IMPORTANTE: No dejemos pasar el detalle del coste en horas de personal que supone esto para la empresa.

¿Qué es el spear-phishing?

Bien, pues ¿qué es un spear-phising? Es un email dirigido específicamente a la persona que lo recibe. Usa información, normalmente obtenida por ingeniería social o fuentes abiertas, para aumentar la sensación de que ese email procede de la fuente que se está intentando suplantar. Además, si se habla de “alerta” o términos que impliquen urgencia y/o importancia, el receptor derivará su atención hacia el tema en sí y bajará la guardia respecto a la credibilidad del mismo.

¿Qué es el breach replay?

Vayamos ahora con el breach replay: como muchos sabréis, multitud de sitios de todo tamaño han sido vulnerados y expuestos en internet, con muchos de los datos de los usuarios, incluyendo nombres y contraseñas. Estas “breach” se pueden encontrar fácilmente por internet. Por tanto, tenemos ahí credenciales (login y contraseñas) a disposición de cualquiera. Aquí es donde entra en juego ese consejo que solemos dar los hackers siempre: NO REUSAR LAS CONTRASEÑAS. El motivo es simple: vulnerado un sitio, quedan expuestos a la vez todos aquellos que usan la misma contraseña, si el ciberatacante sabe que tenemos cuenta ahí o simplemente lo prueba, nos encontramos ante lo que denominamos “breach replay”.

Pues así de fácil, tenemos ya todos los ingredientes, ¿no? Tan simple como generar un email plantilla en el que insertaremos hábilmente datos, por supuesto de forma automatizada, haciendo creer a la gente que ese email es verídico.

Esta campaña, no tan nueva, está cobrando fuerza en las últimas semanas. Donde se nos avisa que en caso de no ceder a una extorsión un “Hacker anónimo” va a filtrar vídeos que ha grabado con nuestra propia webcam haciendo actos impuros mientras visitábamos webs de adolescentes. El mensaje tiene un plus de credibilidad ya presenta datos reales de la víctima y, si ha reutilizado la contraseña, cómo saber si la ha obtenido hackeando esa web para adultos se convierte en un dilema…

En mi caso concreto, también recibí un correo con supuestas “capturas” de ese vídeo, que obviamente no eran archivos reales (OJO: TAMPOCO ABRIRLOS) proveniente de la misma CIA diciendo que tenían una investigación relacionada conmigo. Interesante, cuanto menos….

Es posible que con su email y contraseña reciba pronto un mensaje de este tipo pidiendo un pago en bitcoin, incluso muy bien redactado en español. Olvídese de ello ya que no supone amenaza alguna, por muchos datos que le dé, es sólo un email entre cientos de miles que busca monetizar por pura inundación.

Por esclarecer un poco el nivel de la sofisticación de los ataques, me ha llamado la atención que en el texto del mensaje se daban ataques “homomórficos” (o typosquatting) que usaban caracteres en otras codificaciones para evadir los filtros anti-spam de las empresas.

Queden por tanto un par de conclusiones:

  1. Utilizar contraseñas distintas para cada servicio o aplicación. Como hemos visto, reutilizar contraseñas pone las cosas mucho más fáciles. Si tienes problemas para recordarlas, usa un gestor de contraseñas.
  2. No ceder a este tipo de chantajes. En cualquier caso, e incluso aunque fuera un ataque real (lo cual es muy poco probable), nadie le garantiza que las imágenes no vayan a ser difundidas o le soliciten nuevas cantidades de dinero.
  3. Prestar mucha atención al contenido sospechoso en los emails. Las amenazas por correo siguen estando las primeras en el top10 del cibercrimen, de forma que en torno al 70% de las brechas de seguridad tanto en empresas como particulares, se deben a esta forma de entrada, originada por un fallo humano engañado por un correo malicioso.

Ejemplo de email real:

Esquema básico de ataque breach replay y password spray

Di a Google que existes: envíale tu sitemap y tu robots.txt

Mercedes Blanco    14 noviembre, 2019

Si te dedicas a tu propio proyecto o tienes una empresa, sabrás lo difícil que es destacar en un mundo tan competitivo como el digital. Todo se resume en que cuando alguien teclee una palabra clave que active tu negocio, aparezcas entre los resultados de búsqueda que ofrece el buscador. Esto es SEO. Y para comenzar a trabajarlo, debes conocer dos archivos fundamentales: sitemap y robots.txt.

No hace falta que tengas conocimientos técnicos, ni que sepas SEO avanzado, tan solo que entiendas la importancia que tienen estos archivos para tu posicionamiento orgánico y comiences a darles la importancia que se merecen.

Entendiendo a Google

Más allá de las definiciones técnicas, el SEO consiste, fundamentalmente, en ejecutar una serie de técnicas para aumentar las visitas y la visibilidad de tu marca.

Es una tarea difícil y que requiere un trabajo constante. Pero para comenzar a trabajarlo, quizás debes saber primero cómo trabaja Google. Y menciono a Google porque en España es el motor de búsqueda por excelencia, pero lo que vas a leer en este post es aplicable también a Yahoo! y a Bing.

El principal objetivo de cualquier motor de búsqueda es ofrecernos los resultados más próximos a nuestras peticiones de búsqueda. Y esto lo hacen a través de tres fases: rastreo, indexación y «rankeo».

  1. En la primera fase, los motores de búsqueda rastrean la web (es lo que se conoce como «crawleo») enviando programas para encontrar las páginas webs existentes y analizarlas. Estos programas son los llamados Googlebot en Google.
  2. En la segunda fase, los motores de búsqueda indexan, es decir, incorporan nuestras webs o contenidos a su índice de resultados. Grosso modo, lo que debes tener claro es que, si tu web está indexada, estará en el índice de los motores de búsqueda para ofrecérsela después a los usuarios cuando hagan una búsqueda.
  3. En la tercera fase, los motores de búsqueda asignan un ranking a nuestra web en función de determinados criterios. 

Hay muchísimos factores que determinan el posicionamiento orgánico de una página y, quizá, no puedas atender a todos ellos, pero sí al menos a dos muy importantes para la primera y segunda fase que hemos descrito y son el sitemap y robots.txt.

¿Qué es el sitemap y para qué sirve?

Un sitemap es un archivo XML que contiene una lista con todas las URL o páginas de nuestra web que queremos que indexen los motores de búsqueda.

Con un sitemap le estás comunicando a Google lo siguiente:

  • Las actualizaciones que se han hecho en tu web: cada vez que actualizas tu blog con entradas nuevas, cada vez que subes nuevas categorías a tu tienda online, etc.
  • Las páginas que quieres que los motores de búsqueda indexen y el valor de cada una de ellas con respecto a las demás. Es decir, valorar qué páginas dentro de tu web tienen más prioridad dentro del conjunto.
  • Con qué frecuencia se actualiza tu web. Diariamente, semanalmente, mensualmente, etc.

Este archivo debe contemplar una estructura y un formato determinado. Te dejo el enlace de Google al respecto, por si quieres investigar un poco más sobre el tema. Pero como se trata de abreviar, aquí tienes un listado con las principales dudas que pueden surgirte:

  • ¿Es obligatorio? No, tener un sitemap NO es obligatorio, pero sí muy recomendable para el SEO de tu marca.
  • ¿Cómo lo creo? Con plugins o con herramientas que lo generan automáticamente.
  • ¿Dónde se coloca este archivo? En la carpeta raíz de tu servidor. Para ello, accede a tu CPanel o backend, busca una carpeta llamada “public html” y sube ahí el archivo. Debe aparecer como sitemap.xml
  • ¿Cómo se lo envío a Google? A través de Google Search Console, ve al apartado Sitemap y envíaselo. Basta con que añadas a tu web la extensión sitemap.xml.

 

¿Qué es el fichero robots.txt?

El fichero robots.txt es un archivo de texto que mejora el rastreo de tu web de cara a los motores de búsqueda.

Con él estás indicando qué páginas de tu web deseas que no se visiten.  Normalmente, se utiliza para los siguientes casos:

  • Indicar las partes de tu web que no quieres que se indexen, por ejemplo, aquellas que no aportan valor o son irrelevantes, como pueden ser las páginas de prueba o las páginas legales.
  • Bloquear partes de tu web que generan contenido duplicado, por ejemplo, las categorías de tu sitio web.
  • Evitar el acceso a directorios de tu web, por ejemplo, a archivos de descarga PDF.

Si quieres saber más sobre el tema, te dejo lo que dice Google, pero en este listado te resumo lo principal:

  • ¿Es obligatorio? El archivo robots.txt tampoco es obligatorio, pero, igualmente, muy recomendable. Le estás diciendo a Google cómo rastrear tu web, es decir, le ayudas a que entienda mejor tu página.
  • ¿Pueden ignorar los motores de búsqueda este archivo? Sí, estas instrucciones son sugerencias, no órdenes. Google o cualquier otro motor de búsqueda pueden “pasar” de ellas, aunque normalmente siguen las instrucciones que especificamos.
  • ¿Cómo creo el archivo robots.txt? Puedes hacerlo manualmente o con herramientas. 
  • ¿Dónde se pone en tu servidor? Siempre tiene que estar en la raíz del dominio. De hecho, si añades /robots.txt a tu dominio, aparecerá. 
  • ¿Cómo compruebo que está correcto? Google Search Console te ofrece una herramienta de validación para comprobar que no contiene errores.
SEO para WordPress: La guía definitiva para ser el número uno en Google

Ahora que ya sabes para qué sirven estos archivos, verifica que los tienes subidos a tu web.

Por sí solos constituyen factores de posicionamiento, pero si además los envías a Google, contribuirás notablemente a mejorarlo.

Podrás consultar múltiples cosas: errores de rastreo, qué páginas de tu web están indexadas, si la URL está en Google, la usabilidad móvil, cuáles son las URL más lentas, cuáles más rápidas, etc.

La madurez de IoT ensancha el horizonte de la industria conectada

Félix Hernández    14 noviembre, 2019

Anteayer tuvo lugar el III Congreso de Industria Conectada, del que Telefónica Empresas fue uno de los principales impulsores. El programa incluía una serie de mesas temáticas, entre ellas la relativa a “Internet de las cosas: monitorización y gestión de los activos como nuevo motor de la industria”.

Moderó la sesión Agustín Cárdenas, director de Transformación digital de empresas de Telefónica. Lo acompañaban Javier San Miguel, CEO de Eurobelt; Iván Contreras, CEO y fundador de Muving y David Pocero, director de Ingeniería e innovación en Ferrovial Servicios.

Monitorización y gestión de activos como motor de la industria conectada

Agustín comenzó con una introducción en la que explicó la relación entre IOT e industria 4.0. Se refirió también a cómo la conectividad había llevado a su expansión y a la aparición de otros verticales (sostenibilidad, movilidad, etc.). Pero la mesa redonda se centró en la industria y, concretamente, en la gestión y monitorización de sus activos gracias a esta tecnología. Se dijo que parece que España ha sabido incorporarse a tiempo a esta revolución y puede competir con otros países en el concepto de “producto conectado” que sale a su vez de las denominadas “fábricas conectadas”.

Agustín explicó que 5G será, sin duda, un impulso relevante pero que no es necesario esperar a que llegue para avanzar en este sentido. Ya existen soluciones de conectividades alternativas que también mejoran la duración de las baterías, permiten mayores densidades de dispositivos conectados y reducen la latencia, además de “acercar la nube” con edge omputing. Hizo, así mismo, una “llamada a la acción” y animó a la industria española a ser pionera en tiempos tan apasionantes porque el hecho de abanderar este nuevo conocimiento traerá consigo ventajas fundamentales.

Javier San Miguel, de Eurobelt, explicó la evolución histórica desde los años 70 de esta compañía que se dedica a las bandas transportadoras y cuyo valor diferencial son los materiales que emplean. Estos no solo permiten transportar el producto de un lado a otro de la fábrica, sino realizar procesos adicionales como procesarlo, cocinarlo, calentarlo o desinfectarlo en cualquier entorno.

La explotación del dato desde un punto de vista predictivo de Eurobelt

Acerca de los nuevos modelos de negocio que están desarrollando gracias a IoT, Javier explicó que ahora están enfocados en reducir el consumo eléctrico y las roturas de fabricación. Lo hacen a través de la explotación del dato desde un punto de vista predictivo y contó que están pasando de comercializar un producto a vender un servicio con los nuevos KPI que demandan sus clientes.

Iván Contreras, otro de los participantes de la mesa, es el ejemplo proverbial del emprendedor: fundó Carbures, luego Torrot y finalmente, entre otras, Muving, en un trepidante viaje del producto y de la industria conectada. Explicó cómo con Muving busca transformar la movilidad de las ciudades, a partir del contacto del ciudadano con un vehículo de dos ruedas -motocicletas eléctricas compartidas- a través de un dispositivo IoT. Telefónica Empresas forma parte de este proyecto.

Muving: la importancia del dato para un operador de movilidad compartida

Muving nació en 2017 en Cádiz y ya tiene presencia en siete ciudades españolas y en Estados Unidos, donde el tema de la sostenibilidad también preocupa. Contreras destacó que su visión no es la de un fabricante de motocicletas sino la de un operador de movilidad compartida y la importancia creciente del dato en los actuales modelos de negocio, que además están en constante evolución.

Las luminarias conectadas de Ferrovial Servicios y la gestión inteligente de las mismas

Por su parte, David Pocero, de Ferrovial Servicios, explicó el modelo de éxito e innovación abierta de esta compañía. Puso como ejemplo el trabajo conjunto con Telefónica Empresas en la cocreación de las denominadas luminarias conectadas. Éstas permiten una gestión inteligente y más eficaz. Es posible conocer su estado en todo momento y realizar un mantenimiento predictivo, y todo ello repercute también en un menor consumo y ahorros de inventario. Gracias a la colaboración con Telefónica Empresas explicó que han podido pasar de los antiguos proyectos pilotos a escalar la solución, con  las comunicaciones NB IoT.

Preguntados acerca de los elementos que consideran que serán más relevantes en sus respectivos negocios, Iván Contreras, de Muving, destacó la monitorización no solo por la optimización de la producción, sino por lo que puede aportar su incoporación en elementos más transversales del negocio. Explicó que de esta manera dichos sensores y sus datos serán mucho más valiosos y puso el ejemplo de startups como Skully, que está trabajando en un proyecto de casco y espinillera conectada. El primero, útil para la seguridad del motorista y el segundo, la próxima gran revolución para el futbolista, al recoger datos en tiempo real del propio juego y las constantes físicas del deportista.

David Pocero se refirió a la importancia que para Ferrovial y sus clientes tienen los camiones conectados, que permiten una mejor recogida de residuos urbanos. Pero dijo que cree que aún no somos capaces de vislumbrar lo que está por venir. Bromeó con ello pero coincido con este pensamiento exponencial tipo «moonshot thinking” de la Singular University.

Entrenadores y no forenses de las líneas de producción con IoT

Javier San Miguel, de Eurobelt, finalizó con la siguiente reflexión: el próximo IoT permitirá que seamos los entrenadores de las líneas de producción y nunca más sus forenses. Explicó que los nuevos modelos de negocio por los que apuesta su compañía están más próximos al servicio postventa y, en general, gracias al dato, conseguirán la excelencia con plazos de entrega inmediatos e incluso mencionó el novedoso concepto -me encantó- de ”renting predictivo”.

Como conclusión de este encuentro tan interesante podemos afirmar que a medida que la industria IoT madura el horizonte se ensancha. Desde este blog nos seguiremos asomando a lo próximo y a un futuro soñado. Esperamos que nos acompañéis en este gran viaje y  sus próximas paradas.

En el siguiente video los protagonistas de la mesa nos cuentan cómo está ya transformando el Internet de las cosas su negocio y sus procesos de producción.

Inteligencia Artificial, superando lo humanamente posible desde los antiguos griegos

Olivia Brookhouse    14 noviembre, 2019

Muchos de los que trabajan en el mundo de la Inteligencia Artificial reconocen los años 50 como el nacimiento de conceptos como el Machine Learning o la propia Inteligencia Artificial, con la creación del “Turning Test” de Alan Turing. En una entrada anterior al blog hablábamos de la importancia de estos avances tempranos para la evolución de las tecnologías de Machine Learning en la actualidad. Si bien, estos años marcan el inicio de la IA tal y como la conocemos hoy en día, las ideas sobre la creación de vida artificial venían incluso de antes de que se inventara la tecnología.

A lo largo de la historia, los nuevos desarrollos han sido criticados por ir “demasiado lejos” y añadir complicaciones innecesarias a nuestras vidas. Sin embargo, en muchos escritos antiguos, podemos ver que los humanos siempre han soñado con llevar los límites de la naturaleza más allá de lo que es humana y biológicamente posible. Tal vez está dentro de nuestra naturaleza el sobrepasarlo.

Ejemplos antiguos

Las ideas de vida artificial figuran en muchos textos de La Antigua China, El Hinduísmo y La Antigua Grecia. La Doctora Adrienne Mayor, historiadora de ciencia, ha estudiado muchos ejemplos de cómo las antiguas civilizaciones concebían el concepto de tecnología. La etimología de la Biotecnología es la palabra Biotecnina de la Antigua Grecia. Significa estar hecho a mano y no haber sido creado de forma natural. Ya imaginaban, incluso en una sociedad preindustrial, la idea de la tecnología humana y de romper las reglas de la naturaleza.

La Odisea es un poema de 12.000 líneas que abarca años de historia, mitos y leyendas de la Antigua Grecia, escrito en el siglo VIII a.C. El autor era, supuestamente, un hombre ciego llamado Homero, aunque nadie sabe si existió en realidad. Aunque las historias se han alterado y han cambiado con el paso del tiempo, muchos elementos todavía se mantienen en pie, pensando en cómo imitar, aumentar y superar a la naturaleza.

Algunos ejemplos incluyen barcos guiados por la mente, que muestran una visión antigua de los futuros coches sin conductor. Hefesto, el dios trabajador, fabrica puertas automáticas, coches que se mueven solos, águilas como drones y sirvientes hechos de oro que eran capaces de razonar y tenían una mente y una fuerza que iba más allá de la de los humanos. Los sirvientes poseían todo el conocimiento divino de los dioses, imitando un gran sistema de datos.

También podemos encontrar historias similares de vehículos autónomos y vida artificial en los mitos hindúes.

Ninguna civilización tenía el monopolio de los antiguos sueños de la tecnología avanzada. Ya se trate de griegos, etruscos, egipcios, hindúes, islámicos, chinos o de cualquier otra cultura antigua. Los mitos sobre la vida artificial contemplan todas las maravillas que serían posibles si sólo uno pudiera poseer la creatividad divina y las habilidades de los dioses.

Adrienne Mayor, investigadora de la Universidad de Stanford.

¿Pueden los robots escribir tragedias griegas?

Los griegos soñaban con replicar la IA, pero la IA todavía no ha sido capaz de replicar la cultura griega a la perfección. Spencer A. Klavem tuiteó una obra teatral de 2 páginas que su sistema de IA creó después de entrenarlo con más de 1.000 horas de tragedias griegas. El resultado quedó absurdo pero divertido.

Post de @spencerKlavan
Post de @spencerKlavan

A pesar del poco éxito de este bot, otras compañías trabajan en usar IA para escribir contenido creativo. Mediante técnicas de generación de lenguaje natural, los sistemas de IA pueden replicar estilos de escritura para crear poesía, publicaciones en medios sociales o incluso informes financieros. Esta tecnología se utilizó para escribir una novela que estuvo a punto de ganar un premio, El Día que un Ordenador Escribió una Novela. Los robots que replican contenido son tan sumamente precisos, que a menudo es imposible detectar quién o qué lo ha escrito. Esta página web permite adivinar si un poema ha sido escrito por un humano o un robot.

Para mantenerte al día con LUCA, visita nuestra página web,  suscríbete a LUCA Data Speaks o síguenos en TwitterLinkedIn YouTube.

Traducido por Elena Selgas Carvajal, post original aqui

Presentamos los Digital Operation Centers, el lugar donde se integran todos los servicios digitales durante el SID2019

ElevenPaths    13 noviembre, 2019
  • La Unidad de Ciberseguridad de Telefónica celebra su VII Security Innovation Day, bajo el lema Guards for Digital Lives.
  • Cuenta con ponentes de la talla de Chema Alonso, Julia Perea y Ester Tejedor, entre otros, quienes realizan un repaso a la oferta de innovación de seguridad digital de la compañía.
  • Telefónica unifica en un solo Centro de Operaciones Digitales (DOC) en Madrid, los servicios en la nube, la ciberseguridad, el Big Data y el Internet de las cosas de más de 1.500 grandes clientes empresariales y de la administración.

Madrid, 13 de noviembre, 2019.- ElevenPaths, la Unidad de Ciberseguridad de Telefónica, celebra el VII Security Innovation Day, evento de referencia nacional e internacional sobre innovación y seguridad, bajo el lema Guards for Digital Lives. Un evento contextualizado en la película Blade Runner, y en el mundo distópico que pronosticaba la película para noviembre de 2019, ElevenPaths comparte su visión sobre las futuras tendencias de ciberseguridad en el mercado y presenta las principales líneas estratégicas de la unidad para los próximos años.

El evento comienza con un breve resumen de lo que se va a contar a lo largo del encuentro. Un resumen repleto de similitudes con la película de BladeRunner.

Acto seguido, suben al escenario Raúl Breton (SOC Manager de Telefónica España), Ester Tejedor (Telefónica Global SOC Manager), Miguel Ángel de Castro (SOC Architect) y Carmen Torrano (AI Expert). Nos cuentan cómo se ha evolucionado de los centros de operaciones antiguos, manuales y sin automatización ninguna, a los futuros, integrados con servicios digitales como Big Data, Cloud, IoT y Digital Workplace, pasando por la automatización y la Inteligencia Artificial, y creando el DOC (Centro de Operaciones Digitales) del futuro. En este DOC se integra tanto la automatización y orquestación de servicios, como la gestión de detección y respuesta de amenazas, información destacable de las mismas y análisis de incidentes avanzado, todo esto gestionado mediante Inteligencia Artificial.

Llega la hora de hablar de start-ups y centros de innovación, ubicados en diferentes puntos del país. Rames Sarwat (Director de Alianzas, nuevos productos y Chief  Security Ambassadors) y Paloma Castellano (Directora de Wayra Madrid Telefónica) nos cuentan cómo, mediante la innovación abierta, desde Telefónica se apuesta por las start-ups tecnológicas para crear proyectos innovadores. Las tres start-ups invitadas son:

  • Balbix Inc: esta start-up está ubicada en Silicon Valley y opera en el ámbito de la predicción, realizando un análisis del estado de la ciberseguridad y predice por dónde podemos ser atacados.
  • Hdiv Security: su actividad consiste en proteger las aplicaciones web y APIs, siendo una solución completa que cubre errores de seguridad y fallos de lógica de negocio en el SDLC (Systems Development Life Cycle).
  • CPI Consulting: esta empresa de ciberseguridad es especialista en protección de redes wifi, ofreciendo soluciones especializadas en protección de sistemas wifi y bluetooth.

Por otro lado, destacaron la relevancia de los centros de innovación de reciente apertura como C4IN y Tegra, situados en España y que tienen como objetivo tanto crear tecnología, divulgar y concienciar en ciberseguridad, como captar talento especializado. En los próximos meses se inaugurará un nuevo centro en Valencia, Soth (Security of Things). ElevenPaths planifica continuar en los próximos años con la apertura de más centros tanto en Latam como en el resto de Europa.

Tras la pausa del café, llega el slot en el que cuentan cómo se pretende mejorar la resistencia entre ataques distribuidos de denegación de servicios. Alejandro Ramos (Security Operations Director) y Gloria Nieto (Network Security Manager de Telefónica) hablan de cómo gracias al testing continuo que realizamos mejoramos la respuesta y prevención de los ataques DDoS.

Durante la mesa redonda de innovación y diversidad en ciberseguridad, se recalca la importancia de la pluralidad en los equipos para fortalecer y llegar más lejos. Julia Perea (Digital Security Director de Telefónica España), Juan Cobo (Global CISO de Ferrovial), Natalia Moreno (CyberThreats Security Analyst de Telefónica) y Laura Castela (Head of 42 Madrid Fundación Telefónica), cuentan la importancia de la diversidad de sus equipos y cómo con la colaboración de cada miembro llegan a mejor fin.

El equipo de Innovación y Laboratorio, de la mano de Sergio de los Santos (Lab & Innovation Director ElevenPaths), Yaiza Rubio (Technical Lead Network Tokenization Telefónica), Claudio Caracciolo (Head of Chief Security Ambassadors & Lab Coordinator) y José Torres (Tech Lead Innovation and Lab Team ElevenPaths), presentan, un año más, nuevas herramientas:

  • IDoT: Identificación de IoT a través de la tecnología Capacicard y la PKI de Telefónica para que los sistemas hereden credenciales tanto del dispositivo como del usuario que lo está usando en ese momento.
  • Rosetta: Sistema para conectar la seguridad a cualquier canal de mensajería Instantánea como WhatsaApp, Telegram…
  • Diario: Detecta malware en documentos de forma inteligente sin necesidad de comprometer el contenido de los mismos.
  • MAD: Detecta la agresividad de la publicidad en términos de intrusividad en aplicaciones Android antes de instalarlas.

Y para cerrar este encuentro, Chema Alonso, Chairman de ElevenPaths y Chief Data Officer de Telefónica, en su ponencia titulada “Keep Always Alert!”, muestra varias demos en directo centrándose en la privacidad y APT.  No podía faltas una demo de la herramienta estrella de la Unidad de Ciberseguridad, FOCA, denominada para esta ocasión FOCA GPS.

Transfer Learning: Modelos de reconocimiento facial de humanos aplicados al ganado

Enrique Blanco    13 noviembre, 2019

Hace unas semanas, en este artículo, realizamos una introducción a la reutilización de modelos de Deep Learning para proyectos propios haciendo uso de Transfer Learning. En este post iremos en más detalle con un pequeño proyecto que estamos desarrollando en Ideas Locas y presentaremos algo de código haciendo uso de Keras.

Introducción

Este proyecto tiene como misión identificar ganado (vacas, cerdos, etc.) haciendo uso de redes neuronales profundas convolucionales. Las capas convolucionales actúan como extractores de características.

Con la intención de ahorrar tiempo, se pretende hacer uso de modelos ya entrenados de Deep Learning dedicados a reconocimiento facial de seres humanos para la identificación de ganado.

Para ello, se realiza Transfer Learning y Fine-Tuning de los modelos de Oxford VGGFace a través del endpoint de TensorFlow. El código que se ha generado pero que todavía está pendiente de ser probado soporta tanto los modelos VGG16 como RESNET50 o SENET50:

from keras_vggface.vggface import VGGFace

# Based on VGG16 architecture 
vggface = VGGFace(model='vgg16') # or VGGFace() as default

# Based on RESNET50 architecture 
vggface = VGGFace(model='resnet50')

# Based on SENET50 architecture 
vggface = VGGFace(model='senet50')

Tanto en su versión: 

include_top=False

que permiten quedarte sólo con la parte convolucional de la red para hacer un stacking superior de un clasificador a placer.

Como en la versión:

include_top=False

la cual incluye la parte de clasificación original con todas las capas densas, lo que lo hace más pesado.

Los pesos para los modelos se pueden obtener en el siguiente enlace.

Setup del entorno

Por sencillez, hacemos uso de Anaconda para la creación de un entorno virtual. Mediante un fichero requirements.txt es sencillo crear uno para evitar problemas de incompatibilidad entre paquetes. 

$ conda create --name <env> --file requirements.txt

Ejemplo de uso

Data Cleaning (opcional)

El primer paso es trabajar con el dataset de imágenes. Nos encontramos en el caso en el que el número de imágenes es bajo y, además, pueden ser muy similares entre ellas. Para evitar la baja varianza entre imágenes se emplea la medida del índice de similitud estructural (SSIM) para medir la similitud entre fotografías. Esto ayuda a evitar datos muy similares (casi idénticos en las particiones de datos de validación y entrenamiento.

En los subdirectorios anidados de ./dataset se checkea una imagen contra todas las demás y se van eliminando aquellas que sean similares por encima de un valor de similitud (entre 0 y 1) indicado por el usuario.

$ python ssim.py --dir "dir/to/images" --threshold 0.9

Customización de arquitectura para Transfer Learning

En el script donde se lanza el entrenamiento, basado en vgg16, resnet50 o senet50 debemos acabar la red en un clasificador que, por defecto, tiene la siguiente implementación Sequential de Keras: 

self.x = self.last_layer
self.x = Dense(self.hidden_dim_1, activation='relu', name='fc1')(self.x)
self.x = Dense(self.hidden_dim_2, activation='relu', name='fc2')(self.x)
self.x = Dense(self.hidden_dim_3, activation='relu', name='fc3')(self.x)
self.out = Dense(self.nb_class, activation='softmax', name='out')(self.x)

Clasificador de capas densas totalmente conectadas que se meten tras la capa flatten de los modelos convolucionales.

A continuación, se muestra un fragmento de código donde se define la arquitectura de VGG16:

    # Block 1
    x = Conv2D(64, (3, 3), activation='relu', padding='same', name='conv1_1')(
        img_input)
    x = Conv2D(64, (3, 3), activation='relu', padding='same', name='conv1_2')(x)
    x = MaxPooling2D((2, 2), strides=(2, 2), name='pool1')(x)

    # Block 2
    x = Conv2D(128, (3, 3), activation='relu', padding='same', name='conv2_1')(
        x)
    x = Conv2D(128, (3, 3), activation='relu', padding='same', name='conv2_2')(
        x)
    x = MaxPooling2D((2, 2), strides=(2, 2), name='pool2')(x)

    # Block 3
    x = Conv2D(256, (3, 3), activation='relu', padding='same', name='conv3_1')(
        x)
    x = Conv2D(256, (3, 3), activation='relu', padding='same', name='conv3_2')(
        x)
    x = Conv2D(256, (3, 3), activation='relu', padding='same', name='conv3_3')(
        x)
    x = MaxPooling2D((2, 2), strides=(2, 2), name='pool3')(x)

    # Block 4
    x = Conv2D(512, (3, 3), activation='relu', padding='same', name='conv4_1')(
        x)
    x = Conv2D(512, (3, 3), activation='relu', padding='same', name='conv4_2')(
        x)
    x = Conv2D(512, (3, 3), activation='relu', padding='same', name='conv4_3')(
        x)
    x = MaxPooling2D((2, 2), strides=(2, 2), name='pool4')(x)

    # Block 5
    x = Conv2D(512, (3, 3), activation='relu', padding='same', name='conv5_1')(
        x)
    x = Conv2D(512, (3, 3), activation='relu', padding='same', name='conv5_2')(
        x)
    x = Conv2D(512, (3, 3), activation='relu', padding='same', name='conv5_3')(
        x)
    x = MaxPooling2D((2, 2), strides=(2, 2), name='pool5')(x)

    if include_top:
        # Classification block
        x = Flatten(name='flatten')(x)
        x = Dense(4096, name='fc6')(x)
        x = Activation('relu', name='fc6/relu')(x)
        x = Dense(4096, name='fc7')(x)
        x = Activation('relu', name='fc7/relu')(x)
        x = Dense(classes, name='fc8')(x)
        x = Activation('softmax', name='fc8/softmax')(x)
    else:
        if pooling == 'avg':
            x = GlobalAveragePooling2D()(x)
        elif pooling == 'max':
            x = GlobalMaxPooling2D()(x)

Congelación de capas para Fine-Tuning

Normalmente, para Transfer Learning y Fine-Tuning de modelos con dataset pequeños, lo que se hace es congelar la arquitectura transferida y entrenar sólamente el clasificador customizado por nosotros.

  • nb_freeze = None indica que no se congela ninguna capa. Todas las capas son entrenables.
  • nb_freeze = 10 indica que se congelan las 10 primeras capas. Las restantes son entrenables por defecto.
  • nb_freeze = -4 indica que se congelan todas menos las 4 últimas capas. Las restantes son entrenables por defecto.

Dataset

El dataset sobre el que se desea entrenar debe situarse en la carpeta ./dataset. Para cada clase, se deben agrupar todas las imágenes en subdirectorios.

Los batches de entrenamiento, validación, así como el número de clases a predecir y, por lo tanto, la arquitectura de salida del modelo, están definidas tanto por el generador ImageDataGenerator() como por la función flow_from_directory() soportadas por Keras.

Sobre el dataset disponible se hace data augmentation:

  • Rotación aleatoria de cada imagen de hasta 20 grados;
  • Desplazamiento en altura y anchura de hasta el 5% de la dimensión de la imagen;
  • Horizontal flipping.

Logueo del entrenamiento

Para el entrenamiento se han definido dos callbacks:

  • EarlyStopping para evitar overfitting o alargar innecesariamente el tiempo de entrenamiento.
  • TensorBoard Callback que permite loguear precisión y funciones de pérdida para su visualización en browser de las curvas de aprendizaje y del grafo creado y entrenado.
$ cd logs/folder_tbd/
$ tensorboard --logdir=./ --port 6006

De manera que con sólo ir a tu navegador a http://localhost:6006/ se puede visualizar cómo ha transcurrido el entrenamiento. Ver el siguiente artículo para aclarar dudas sobre el uso de Tensorboard.

Testeo

De cara al testeo de un modelo ya entrenado con una imagen de muestra, se ejecuta el script testing.py: 

$ python testing.py --granja test  --img "path/to/img"

Esta rutina devuelve las predicciones de una imagen en base a todas las clases soportadas por el modelo. La rutina devuelve: 

$ python testing.py --granja test  --img "path/to/img"
{
    "class 0": score 0,
    "class 1": score 1,
    ...
    "class N": score N
}

Grad-CAM Checking

Un inconveniente frecuentemente citado del uso de redes neuronales es que entender exactamente lo que están modelando es muy difícil. Esto se complica aún más utilizando redes profundas. Sin embargo, esto ha comenzado a atraer una gran cantidad de interés de investigación, especialmente para las CNNs para garantizar que la «atención» de la red se centre en las características reales y discriminativas del propio animal, en lugar de otras partes de la imagen que puedan contener información discriminatoria (por ejemplo, una etiqueta de clase, una marca de tiempo impresa en la imagen o un borde sin interés).

Para comprobar que nuestro modelo se centra en partes interesantes de la imagen, se puede elegir una imagen de prueba y comprobar qué regiones son de interés para la red neuronal, se puede ejecutar:

$ python grad_CAM.py --granja test --model resnet50 --img "path/to/img"

Lo cual te devuelve un mapa de calor sobre la imagen de las regiones de interés. Aquí vemos un ejemplo generado a partir de un modelo que distingue entre vacas, osos y gatos. Con un mínimo entrenamiento es capaz de distinguir con un 98% de precisión entre especies en base a estructuras faciales.

Figura 1. Región de interés de la imagen de testeo para el modelo.

Sabemos que nuestro modelo ha aprendido bien porque se centra en la región del animal que nos interesa, y no en el fondo u otras partes carentes de relevancia.

Enlaces de Soporte e Interés:

En cuanto tengamos datasets más consistentes continuaremos trabajando en esta prueba de concepto para investigar la eficiencia del Transfer Learning en este tipo de campos.

Para mantenerte al día con LUCA, visita nuestra página web,  suscríbete a LUCA Data Speaks o síguenos en TwitterLinkedIn YouTube.

El nombre de la transformación digital: DOC

Víctor Deutsch    13 noviembre, 2019

Confieso que cuando el pasado 27 de mayo tuvimos la primera reunión para tratar la iniciativa del “Centro de Operaciones de Telefónica Empresas” (todavía no sabíamos que su nombre definitivo sería Centro de Operaciones Digitales (DOC), me sentí un poco como Jacobo Belbo, el personaje de Umberto Eco en “El péndulo de Foucault”.

Una propuesta unificada que nace de la cultura corporativa

Éramos 19 personas de las áreas de IoT, Industria 4.0, cloud y ciberseguridad con cometidos diversos: desde Marketing hasta Operaciones. Contábamos también con el apoyo de los equipos de Comunicación, Prensa y Redes sociales. Cada uno atento a las peculiaridades de su negociado y con su propia problemática pero con el desafío común de desarrollar una propuesta unificada de transformación digital, simbolizada en un centro único de operaciones para todas las áreas.

Resulta muy difícil encontrar en el mercado una “teoría integradora” de la transformación digital que no se base en una mera enumeración de tecnologías: IoT, big data, cloud, Industria 4.0…, con la ciberseguridad como elemento transversal. En los últimos años todas estas tecnologías han evolucionado en paralelo con equipos dedicados y especializados y escasos puntos en común.

De ahí la analogía con el protagonista de la novela de Eco. Belbo y sus colegas, editores y críticos de una editorial literaria, deciden elaborar una “historia alternativa de la humanidad”, a partir de la correlación entre hechos históricos aparentemente inconexos e independientes.

Nuestra tarea, al igual que la de Belbo, era crear esas asociaciones a partir de unos hitos que cada línea de negocio había construido de forma independiente, siguiendo el desarrollo tecnológico de su disciplina. Pero en las sucesivas reuniones que mantuvimos vi que no había compartimentos estancos realmente, sino bastantes elementos en común. Además, la propia cultura organizacional de Telefónica Empresas nos había llevado, imperceptiblemente, por el mismo camino. Las decisiones se habían basado en la visión y valores que nos distinguen como compañía: la resiliencia de las infraestructuras, la centralidad del cliente (customer centricity) y el respeto a la privacidad.

Centro de Operaciones Digitales: visión integrada y personalización

Cualquiera de las tecnologías que se engloban en el Centro de Operaciones Digitales (DOC) está concebida para incrementar la eficiencia de los negocios pero, sobre todo, para cambiar radicalmente la forma en que se relacionan las empresas con sus clientes, sean personas u otras entidades. Así, partimos de la base de construir un modelo en el cual el punto de contacto con el cliente fuera central.

Decidimos que el elemento clave del nuevo centro debería ser una visión integral de nuestros clientes corporativos. Pensamos en un punto único de contacto para conocerlo, así como una personalización máxima de la interacción con él, independientemente de las distintas líneas involucradas.

Para ello, incorporamos la experiencia de los consultores del Innovation Center. Nos ayudaron a dar forma a los recursos globales que se van a utilizar para recibir a quienes visiten el DOC y explicarles de manera integrada los servicios que brindan las distintas líneas de negocio, respetando, eso sí, las particularidades de cada una. Nuestros compañeros nos ayudaron incluso a diseñar la aplicación que se va a usar para sincronizar y personalizar las visitas al DOC.

Además, era necesario desarrollar un discurso compartido y una simbología única que compartieran todos los especialistas tecnológicos que trabajan en el centro. Por ello se decidió modificar y unificar los mensajes y adaptar toda la cartelería y el mobiliario del centro para que contribuyeran a transmitir la misma idea. 

Impulso a los negocios y mejora de la experiencia de los usuarios finales

También teníamos el desafío de comunicar todo esto adecuadamente, empezando por el nombre del nuevo centro. Con la ayuda del equipo de Comunicación, entre varias alternativas, nos decantamos por el DOC (Digital Operations Center) porque nos pareció que generalizaba el concepto de “digitalización” que queríamos transmitir. Además, sonaba bien y era sencillo de recordar. Pero quedaba la gran labor de explicar bien todo lo que hacíamos allí.

A partir de historias reales (en las que mantuvimos la confidencialidad), se elaboraron textos explicativos en los que se detalla cómo contribuye el centro a impulsar los negocios de nuestros clientes y la experiencia de sus clientes finales. También su aportación a la sociedad en general, así como la manera en que Telefónica Empresas ha sido capaz de resolver situaciones críticas, incluso en forma imprevista, gracias al expertise de los equipos del DOC. El siguiente vídeo muestra de forma sintetizada la infraestructura y el trabajo cotidiano de los profesionales que forman parte del nuevo DOC.

Tecnologías, infraestructuras y, sobre todo, mucho talento en el DOC

Pero lo más importante no es que el DOC sea un lugar físico en el que se gestionan las más modernas tecnologías y las infraestructuras más “resistentes” que existen en España. La clave es el talento que acumula: reúne a expertos de todas las disciplinas digitales para abordar de forma conjunta los desafíos particulares a los que se enfrentan las empresas en su proceso de transformación. Esto confiere la capacidad, por ejemplo, de que la identificación de una amenaza de seguridad en un punto de la red se pueda transformar rápidamente en prevención, con la puesta en marcha de las medidas pertinentes: gestión de los puestos de trabajo digitales, los servidores en la nube o las redes de dispositivos conectados a Internet, tanto del cliente afectado, como de otros en peligro potencial.

Pero su trascendencia real se ve en clave de futuro. Con frecuencia tiende a compararse la revolución digital con la revolución industrial de finales del siglo XVIII y XIX. Es bastante simplista, pero es cierto que hay algunos elementos en común. La revolución industrial vino impulsada por la mecanización de la “fuerza motriz”. Y la “revolución digital” se basa en la mecanización del tratamiento de la información, que da un salto cualitativo en los últimos años con la explosión de las capacidades de procesamiento, almacenamiento de datos e hiperconectividad. Esto ha permitido el desarrollo práctico de tecnologías que antes solo existían en la teoría, como ciertas aplicaciones de la inteligencia artificial o el puesto de trabajo en movilidad.

La potencialidad del manejo inteligente de las combinaciones

En la revolución industrial la explosión de la capacidad de “fuerza motriz” dio pie al desarrollo de tecnologías de transporte que existían en la imaginación como la aviación. Aunque sus principios, basados en el análisis del vuelo de las aves, eran conocidos desde el Renacimiento. Pero fue imposible desarrollar un avión moderno hasta que la tecnología de motores evolucionó lo suficiente como para desarrollar una planta motriz autónoma lo bastante pequeña y liviana como para incorporarla en un planeador, algo que lograron los hermanos Wright a principios del siglo XX.

Pues bien, éste es quizá el mayor potencial del DOC: la capacidad de combinar diferentes tecnologías que evolucionan por separado, para resolver problemas de forma conjunta o contribuir al crecimiento exponencial de una empresa o sector en particular. Respecto a esto tenemos grandes ejemplos en organizaciones como Dufry, Quirón Salud o el estadio Wanda Metropolitano.

En definitiva, como decía Umberto Eco: “La originalidad y la creatividad no son más que el resultado del manejo inteligente de las combinaciones”.  Y en el DOC nos sobran ideas y tecnologías para combinar.

Importantes novedades sobre la tarifa plana para los administradores de nuevas empresas

David Ballester    13 noviembre, 2019

Una de las modificaciones más destacadas que se han producido en nuestro país, a efectos de cotización a la Seguridad Social de los trabajadores autónomos, ha sido la aplicación de una cuota fija de pago reducida durante el período inicial de actividad. Es lo que se ha llamado popularmente tarifa plana para autónomos.

¿Qué es la tarifa plana?

La tarifa plana nace con el Real Decreto-ley 4/2013, de 22 de febrero, de medidas de apoyo al emprendedor y de estímulo del crecimiento y de la creación de empleo. Posteriormente se desarrolló con la Ley 6/2017, de 24 de octubre, de Reformas Urgentes del Trabajo Autónomo.

Inicialmente la tarifa plana consistió, en términos generales y con las condiciones y cuantías que puedes ver en este enlace, en la aplicación a los trabajadores autónomos que se den de alta inicialmente (o que no estuvieran de alta en los dos años inmediatamente anteriores), de una reducción en la cotización por contingencias comunes, incluida la incapacidad temporal.

¿Cuáles son las condiciones y cuantías de la tarifa plana para 2019?

Las condiciones y características actualizadas de la aplicación de la tarifa plana a los trabajadores autónomos pueden consultarse en el Real Decreto-ley 28/2018, de 28 de diciembre, para la revalorización de las pensiones públicas y otras medidas urgentes en materia social, laboral y de empleo.

Situación actual de los autónomos societarios en relación con la aplicación de la tarifa plana

La Seguridad Social viene negando la aplicación de la tarifa plana en las altas de autónomos administradores de empresas.

En estos casos, para no conceder a los autónomos societarios las reducciones contempladas en la tarifa plana, lo que se produce es una interpretación de la Tesorería General de la Seguridad Social, que va en contra del objetivo de la normativa aplicable y de los estímulos del empleo que se pretenden fomentar.

En esta situación, la vía que tienen los autónomos societarios a quienes se les deniegue dicha tarifa plana en su alta inicial, es acudir a la jurisdicción contencioso-administrativa y recurrir en contra de la interpretación mencionada.

Ya existen precedentes jurisprudenciales que dan la razón a los autónomos societarios.

Nueva situación, tras diversas sentencias de los tribunales

Es muy importante difundir que existe ya reiterada jurisprudencia de diferentes Tribunales Superiores de Justicia y contencioso-administrativos de nuestro país.

En ellas se establece que los nuevos autónomos societarios tienen derecho, sin discriminación con el resto de trabajadores del régimen de Autónomos, a que se les aplique la tarifa plana en las cuotas iniciales de la Seguridad Social, ya que no existe base legal para aplicarles condiciones diferentes al resto de autónomos.

Estas son las últimas sentencias favorables a los recursos presentados por los autónomos societarios en relación a la tarifa plana mencionada:

Sentencia N° 220/2019 del Juzgado de lo Contencioso-administrativo nº 2 de León, de 1 de julio de 2019.

Sentencia Nº 327/2015, Tribunal Superior de Justicia de Galicia, Sala de lo Contencioso, Rec 4294/2014 de 21 de mayo de 2015.

Sentencia Nº 52/2015, Tribunal Superior de Justicia de Madrid, Sala de lo Contencioso, Rec 1125/2013 de 30 de enero de 2015.

TSJ Castilla y León (Valladolid), Sala de lo Contencioso-administrativo, 28/02/2017, nº 261/2017, rec. 593/2016

STSJ Comunidad Valenciana 13 de abril de 2016, Sala de lo Social, Rec 1894/2015.

Contenido de las sentencias que favorece a los autónomos societarios

Del contenido de las sentencias anteriormente mencionadas, encontramos las siguientes ideas clave:

  • Cada vez es más importante y habitual la figura de los administradores de sociedades mercantiles, que poseen el control efectivo de las mismas.
  • Los autónomos y los emprendedores ocupan un lugar destacado en las políticas de empleo de los últimos años. Asimismo, ha quedado más que demostrada su capacidad para crear y mantener el empleo.
  • Están expresamente incluidos en el ámbito del Estatuto del Trabajo Autónomo quienes ejerzan las funciones de dirección y gerencia, que conlleva el desempeño del cargo de consejero o administrador de una sociedad mercantil capitalista cuando posean el control efectivo, directo o indirecto de la misma (es decir, los autónomos societarios).
  • La Ley General de la Seguridad Social no excluye expresamente a los administradores de sociedades mercantiles que poseen el control efectivo de las mismas.
  • La norma, interpretada literalmente, no excluye a los autónomos societarios y atiende a la clara finalidad de potenciar la creación de empresas, el emprendimiento y el autoempleo.
  • La referencia genérica a constituirse como autónomos impide excluir a quienes actúen como autónomos societarios.

Imagen de Eluj en Pixabay

Telefónica recibe el premio de empresa líder en IA en los GLOTEL Awards gracias a Aura

Miryam Artigas    12 noviembre, 2019

El pasado 8 de noviembre Telecoms.com, la plataforma de noticias sobre transformación digital, celebró la séptima edición de los Global Telecoms Awards (GLOTEL Awards) en el centro de Londres. Como cada año, se dieron cita expertos de todo el mundo para premiar la excelencia y la innovación en la industria de las telecomunicaciones.

Entre todos los nominados, Telefónica fue premiada como empresa líder en Inteligencia Artificial (IA) gracias a Aura dentro de la categoría «Advancing Artificial Intelligence”, superando otras compañías como Nokia, ZTE, fonYou o Jio and Guavus, entre otros.

Este reconocimiento pone en valor el desarrollo que ha llevado Aura, la Inteligencia Artificial de Telefónica, desde su nacimiento en 2017. El proyecto, que está en continua evolución, cuenta ya con presencia en ochos países, tiene más de tres millones de usuarios activos al mes, está disponible en hasta treinta canales distintos y cuenta con más de 1.000 casos de uso.

Aura: una relación basada en la confianza

Aura es fruto de la constante evolución e innovación que ha liderado Telefónica. Su misión es crear un nuevo modelo de relación con el cliente basado en la confianza, que permita nuevas formas de compromiso e interactividad con los usuarios adaptándose a sus expectativas para que puedan obtener respuestas personalizadas e inmediatas, utilizando un lenguaje natural.  

Por ello, algunas de las acciones que puedes hacer con Aura son consultar tu saldo, contratar servicios, comprobar cuántos megas tienes contratados o ver la factura del mes, entre otras. Aura ya está transformando los datos en conocimiento y creando experiencias enriquecidas a los clientes de una manera natural y sencilla. Además, ya está disponible en Reino Unido, Alemania, Brasil, Argentina, España, Chile, Ecuador, Colombia y próximamente en Uruguay. Y se puede encontrar en Webs, aplicaciones móviles, el call center de Brasil, el dispositivo para el hogar Movistar Home, Facebook Messenger, Google Assistant y Whatsapp. 

Además, en España se ha apostado por llevar la IA al hogar a través de la visión “Home as a Computer” abriendo el ecosistema a las empresas más relevantes para que puedan crear experiencias únicas para sus clientes aprovechándose del liderazgo en el Hogar de Movistar. La IA todavía está explorando todas sus capacidades, pero lo que podemos afirmar desde ya es que el usuario seguirá siendo el centro de toda la innovación y la transformación digital que lleve a cabo Telefónica.

Si quieres ampliar información sobre Aura puedes hacerlo a través de su página web. Síguenos en TwitterLinkedIn YouTube.

La criptografía insegura que deberías dejar de usar

Gonzalo Álvarez Marañón    12 noviembre, 2019

DES es inseguro, pero ¿y TripleDES? Sí, MD5 ya está roto, pero ¿qué pasa con SHA256? ¿Puedo seguir usando RSA con 2048 bits de clave o debería pasarme a ECC? ¿El modo de encadenamiento ECB es inseguro siempre, incluso con AES? ¿Son de fiar algoritmos nuevos con nombres molones como Salsa y ChaCha?

La cuestión es: ¿qué algoritmos han quedado obsoletos con el paso del tiempo y habría que dejar de utilizar? Este artículo te ayudará a orientarte en esta espesa sopa criptográfica.

Los dos motivos fundamentales por los que un algoritmo cae en desgracia

Hay dos formas de atacar un algoritmo criptográfico:

  • La bestia: se trata de probar todas las combinaciones posibles. Se lo denomina «ataque de fuerza bruta» o de «búsqueda exhaustiva». Para llevarlo a cabo solo hace falta potencia de cómputo. Con los años, a medida que la potencia aumenta, la longitud de la clave o del hash se va quedando corta.
  • La sutil: se buscan debilidades matemáticas en el algoritmo en sí, independientemente de la longitud de sus claves o tamaños de bloque. Para llevarlo a cabo se requiere un profundo conocimiento del algoritmo y de las matemáticas implicadas. Este estudio recibe el nombre de «criptoanálisis». Con el paso del tiempo, los criptógrafos van encontrando debilidades en algunos algoritmos.

Por lo tanto, debes evitar a toda costa los algoritmos débiles y también los algoritmos robustos con claves cortas. Además, deberás evitar usos inseguros de algoritmos robustos, como por ejemplo el encadenamiento de bloques AES en modo ECB, o RSA sin relleno.

Quién es quién en criptografía

La siguiente tabla recoge los algoritmos que deberías dejar de usar y por qué otros deberías reemplazarlos.

* Pruebas de seguridad débiles, pueden seguir usándose, aunque sin garantías.

Pero vayamos viendo los detalles poco a poco, para entender mejor las recomendaciones de la tabla anterior.

Algoritmos de generación de números pseudoaleatorios

La criptografía y la aleatoriedad forman una de esas parejas inseparables, como Ramón y Cajal o como Ortega y Gasset. En criptografía necesitas números aleatorios para generar claves secretas y públicas/privadas, vectores de inicialización, salts, nonces, identificadores de sesión, etc. Un generador pseudoaleatorio de números (GPAN) se considera criptográficamente seguro (GPANCS) si es imposible predecir el siguiente valor de una secuencia por muchos valores anteriores que se conozcan (en realidad, es mucho más complicado, pero dejémoslo ahí). Obviamente, para uso criptográfico, sólo se recomiendan algoritmos GPANCS. Los lenguajes de programación suelen venir equipados con una función rand() o random(), que genera secuencias pseudoaleatorias, que pasan muchas pruebas de aleatoriedad, pero que no son criptográficamente seguras. Dependiendo de su implementación, usarán Generadores Lineales Congruenciales o Mersenne twisters. Evita siempre utilizar estas funciones rand() o random() con fines criptográficos.

Figura 1. Resultados de apariencia poco aleatoria del generador lineal congruencial para distintos parámetros de entrada.

Algoritmos de hash

Los algoritmos de hash producen un resumen de longitud fija a partir de una entrada de longitud arbitraria. Se utilizan para generar códigos de autenticación de mensajes (MAC) en servicios de integridad, para comprimir mensajes antes de su firma, para derivar claves a partir de contraseñas, para generar números pseudoaleatorios, para cifrar, y mucho más.

Para considerarse criptográficamente seguras, las funciones de hash deben satisfacer al menos tres propiedades:

  • Resistencia a la preimagen: dado un hash, es imposible encontrar un mensaje cualquiera que produzca el mismo hash.
  • Resistencia a la segunda preimagen: dados un mensaje y su hash, es imposible encontrar otro mensaje que produzca el mismo hash.
  • Resistencia a colisiones: es imposible encontrar dos mensajes cualesquiera que produzcan el mismo hash.

Además, la longitud del hash debe ser suficientemente larga como para prevenir los ataques de fuerza bruta. Teniendo en cuenta la potencia de cómputo actual y el hipotético futuro post-cuántico, se recomiendan longitudes de hash de al menos 256 bits.

Por otro lado, los ataques de extensión de longitud funcionan contra los algoritmos de hash basados en la construcción de Merkle–Damgård, comoMD5, SHA-1 y SHA-2, cuando se usan a modo de MAC. Se puede seguir utilizando la familia SHA-2, siempre que se trunquen las salidas a una longitud menor, como por ejemplo SHA-512/256.

Algoritmos de cifrado simétrico o de clave secreta

Los algoritmos de criptografía simétrica se utilizan fundamental para proteger la confidencialidad de la información. Emplean la misma clave secreta tanto para cifrar como para descifrar, esta clave debe tener una longitud mínima de 128 bits para considerarse segura hoy y en el futuro próximo.

Pero hay un asunto más, los algoritmos de cifrado en bloque dividen la información a cifrar en bloques de una longitud determinada, por ejemplo, 256 bits. Cada bloque se va cifrando uno por uno, usando la misma función de cifrado con la misma clave. Esta forma de encadenar los bloques así sin más se conoce como ECB y resulta vulnerable ya que bloques idénticos darán como resultado bloques cifrados idénticos.

Figura 2. La vulnerabilidad del modo de encadenamiento de bloques ECB: a la izquierda, la imagen original; a la derecha, la misma imagen cifrada en modo ECB (Imágenes de Wikipedia).

Para evitarlo, se utilizan distintos modos de encadenamiento, los cuales no están exentos de problemas. Por ejemplo, el encadenamiento CBC es susceptible a un ataque de oráculo de relleno. La recomendación actual es utilizar AES-GCM.

Algoritmos de cifrado asimétrico o de clave pública

En cambio, la criptografía asimétrica utiliza una pareja de claves pública y privada para cifrar y descifrar. Su uso principal es la creación de firmas digitales y el establecimiento de claves de sesión.

Los algoritmos más usados hoy en día tanto para cifrar como para firmar son RSA, basado en el problema de la factorización, y la criptografía de curva elíptica (ECC), basada en el problema del logaritmo discreto. En RSA es especialmente importante resaltar que nunca bajo ningún concepto debe utilizarse directamente en lo que se conoce como su versión «libro de texto», ya que sería susceptible a todo tipo de ataques:

Y eso por no mencionar los ataques contra implementaciones deficientes, como los ataques de temporización, los ataques de canal lateral o, ya puestos, el ataque de Bleichenbacher contra RSA PKCS#1 v1.5, tristemente de moda tras el reciente ataque ROBOT.

En implementaciones reales en protocolos resulta necesario utilizar relleno y otros mecanismos de protección, como RSA-OAEP, así como claves equivalentes a una seguridad de algoritmo simétrico de al menos 128 bits. Para RSA, supone claves públicas de 3072 y para ECC, de 256 bits.

Dependiendo del tipo de algoritmo, la longitud de clave requerida puede variar sustancialmente, como puede apreciarse en la siguiente tabla y en el gráfico que la acompaña. Se puede encontrar una exhaustiva recomendación de longitudes de clave en la página de BlueKrypt.

Figura 3. Equivalencia entre las distintas longitudes de claves para AES, RSA y ECC (a partir de las recomendaciones del NIST de 2019 para gestión de claves).

Algoritmos de firma digital

La firma digital permite verificar que un mensaje no ha sido manipulado y además ha sido firmado por una persona determinada. Es más, el firmante no podrá echarse atrás y afirmar que no firmó el documento.

Para firmar digitalmente se utiliza una combinación de hashes y criptografía asimétrica: el mensaje a firmar primero se resume mediante una función de hash, el cual se cifra por el signatario con su clave privada, operación que nadie más en el mundo puede realizar, ya que se supone que él es la única persona que conoce esta clave privada. En cambio, cualquiera que conozca su clave pública puede verificar esta firma.

Al igual que al hablar de la criptografía asimétrica, en la firma se utilizan los mismos algoritmos RSA o ECC. Y también deben ser implementados cuidadosamente o se cometerán errores épicos. Se recurre por tanto a RSA-PSS y, aunque ECDSA se usa ampliamente, lo cierto es que no existen pruebas sólidas de su seguridad y sí algunos problemas menores. Como ves, la criptografía es extremadamente compleja. Ante la duda, déjate guiar por la tabla. Y si quieres profundizar en el tema, puedes leer el informe Algorithms, Key Size and Protocols Report (2018) publicado por la iniciativa europea ECRYPT-CSA, en el cual me he basado libremente para elaborar este artículo.