Página 383 – Think Big

Infraestructura como código, sinónimo de dinero como código

Guillermo Gavilán Montenegro 3 octubre, 2019

El dinero, como la materia, ni se crea ni se destruye, solo se transforma. Ni siquiera con blockchain podemos inventar el dinero (aunque sí reinventarlo). Pero no vamos a hablar de la cadena de bloques en este post, sino de automatización aplicada a la gestión de la infraestructura TI. Y es que nuevos paradigmas, como la infraestructura como código (Infraestructure as Code o IaC) están provocando cambios significativos en los procesos de su gestión. En este artículo os propongo un acercamiento al mundo de la IaC y de la automatización de la TI desde un punto de vista práctico, organizativo y económico, desde la experiencia que aporta de un entorno muy propicio para la automatización como es del tratamiento masivo de datos.

Las empresas se están convirtiendo en software

Jay Creps, uno de los tres creadores de Apache Kafka y actual CEO de la empresa Confluent (un muy reconocido software de procesamiento de eventos en streaming con una gran adopción en entornos de big data y epicentro tecnológico de la llamada arquitectura Kappa de streaming de datos), señalaba hace unos días en un interesante artículo que las empresas se estaban convirtiendo en software.

Creps afirma que el software ha pasado de ser un instrumento de mejora de la productividad a convertirse directamente en un elemento que implementa por completo un proceso de negocio: “Companies aren’t just using software as a productivity aid for human processes, they are building out whole parts of the business in code.” Según Creps, estamos codificando nuestros negocios. Y no le falta razón. No solo eso, sino también nuestras vidas. Pero ¡ojo! sigue habiendo cosas que no se pueden codificar, como el dinero, la empatía, la confianza, el amor o el alma. Al menos, de momento. Es necesario acompasar la automatización de procesos y tareas con cambios culturales e incluso organizativos y tener en cuenta en todo momento los efectos colaterales, a menudo ocultos y no planificados.

La informática es el instrumento para automatizar los procesos de negocio, pero ¿quién automatiza a la informática?, ¿puede un peluquero cortarse el pelo a sí mismo o un médico autodiagnosticarse?

Entornos propicios para la automatización

Ya no basta con tener interfaces y API para poder programar la infraestructura. Queremos gestionarla de forma sencilla. Y, para ello, qué mejor que ofrecer a los informáticos para que gestionen su infraestructura la programación, que es un recurso que ya conocen. Así surge el paradigma Infraestructure as Code (IaC) y las herramientas de automatización de configuración continua o Continuous Configuration Automation (CCA). En el mundo TI ya son muy conocidas herramientas como Ansible, Puppet o Chef así como diferentes plataformas de gestión en la nube o CMP. Pero esta automatización no es exclusiva del mundo TI, también ha llegado con fuerza a los entornos de telecomunicaciones de la mano de la virtualización de la red y NFV. Tecnologías como Open MANO, ONAP o TOSCA aparecen para modelar y automatizar los despliegues de servicios de red e infraestructuras. No vamos a profundizar en estas tecnologías sino, como explicaba al principio, hacer un acercamiento práctico, organizativo y económico.

Cualquier entorno de infraestructuras es susceptible de someterse a las mejores prácticas de la IaC y la automatización. No obstante, algunos son más propicios que otros. En mi opinión, tres factores fundamentales caracterizan a los entornos más propicios:

Gran volumen de infraestructura. Para que automatizar algo no sea un esfuerzo inútil, tiene que haber tareas repetitivas, muchos elementos similares que gestionar.
Alto ritmo de innovación. En entornos donde la innovación es muy alta, la probabilidad de que se ejecuten despliegues “a mano” no controlados por parte de administradores o usuarios avanzados, es elevada. La IaC ayuda a sacarlo a la luz y tener orden.
Necesidad de estandarización. Al contrario que en Telecomunicaciones, en TI no existen organismos internacionales que estandaricen el uso de las tecnologías. Esto obliga a cada organización a crearse sus propios estándares, normativas y arquitecturas de referencia. Tradicionalmente esta normativa se implementaba en documentos que, con los años, acababan desactualizados en algún rincón perdido de la Intranet de usuarios. La IaC convierte ese documento que nadie leía en un proceso tecnológico que gobierna la infraestructura y asegura su cumplimiento.

Dado que ni un entorno mainframe ni un sistema UNIX legado cumplen los requisitos anteriores no son adecuados para obtener los beneficios de IaC. Una red de telecomunicaciones, por ejemplo, reúne las dos primeras condiciones pero, al tener estándares y arquitecturas muy claras y regladas, hay mucho más orden que en la TI y los procesos de creación de red están muy consolidados. Los entornos de business intelligence y big data son los más idóneos, pues reúnen las tres características, por ello la IaC suele aparecer de forma casi espontánea desde el inicio de estos proyectos

La infraestructura como código en la cuarta plataforma de Telefónica

En los entornos BI y big data de Telefónica se vienen utilizando con éxito los paradigmas de automatización de forma nativa. Los despliegues físicos de infraestructura se automatizan con herramientas de gestión de clúster (ej. CMU de HPE). Para bastionados de sistemas de big data hace tiempo que se emplean tecnologías como Puppet o similares propietarias de proveedores. Y para los servicios IaaS generalistas se usan las tecnologías de automatización que ofrece su propio servicio VDC. El despliegue de pequeños agentes de monitorización y supervisión también se centralizan con Ansible. Los despliegues de infraestructura y aplicaciones nativas en cloud pública se realizan mediante Ansible y las API de los proveedores cloud.

Así, la cuarta plataforma de Telefónica se despliega en poco tiempo, un tiempo que se multiplicaría por diez o por quince sin estas tecnologías. El trabajo de dos o tres días se alargaría a varios meses. Esto, lógicamente, se traduce en una reducción directa de costes pero el ahorro más interesante es el que se produce a largo plazo, como efecto del mantenimiento de una arquitectura ordenada, como permite la IaC. La cuantía es difícil de tangibilizar pero esa arquitectura ordenada es vital.

Seis reglas para una correcta automatización

Sin duda, la automatización y la IaC aportan numerosas ventajas, pero hay que aprender a utilizar estas tecnologías de forma adecuada porque también se producen efectos colaterales no previstos que deben considerarse:

Infraestruture as code es sinónimo de money as code. La primera regla que hay que tener en cuenta es que los cambios en la infraestructura a menudo pueden tener impacto en los costes. En los entornos de cloud pública esto es inmediato y la factura mensual se incrementa. Los CIO suelen entender bien las ventajas de la IaC pero no los CFO. Una tecnología que puede disparar el OPEX de forma incontrolada está condenada al fracaso, por eso hay que planificar los costes con mucha cautela. Un entorno on premise tampoco se libra de este problema, ya que los costes de licencias software pueden cambiar simplemente variando los núcleos de una máquina virtual. El control de licencias debe ser riguroso mediante herramientas de autodescubrimiento de infraestructuras.
Para controlar los costes, que pague la fiesta el que diseña. En la medida en que la infraestructura tiene impacto directo en los costes, la forma más práctica de que este control de costes se ejecute es que pague la factura quien diseña la automatización. Cuanto más alejados estén organizativamente los centros de coste del que diseña y del que paga, más desalineamiento habrá.
Automatización horizontal versus vertical: no es lo mismo automatizar una tarea que una persona repite cien veces (automatización vertical,) que automatizar una tarea que repiten cien personas una vez (automatización horizontal). En el primer caso el ahorro es inmediato y directo. En el segundo, aparecerán costes ocultos de formación, soporte, gestión del cambio cultural e incluso se llegará a poner en cuestión las ventajas que aporta la IaC.
No hay que confundir informático con programador. La IaC está pensada para facilitar la las tareas que venía haciendo un administrador informático. Por eso, si se pone a un programador informático a codificar el trabajo del administrador hay que procurar que conozca su trabajo porque el programador conoce la tecnología pero no los procesos para gestionarla así que no caerá en la cuenta de que hay que tener backup, monitorización, inventarios, auditorías, control de calidad, gestión de ventanas de cambio, etc.
Las tuberías comunicantes. Una automatización de tareas en un punto de un proceso puede ocasionar a posteriori un serio problema en otro lugar de la cadena, de la misma forma que una subida de la presión en una tubería puede causar una fuga en un grifo del sótano. Por ejemplo, si el ritmo de despliegue pasa de uno al mes a uno a la semana podría generar un cuello de botella al equipo de certificación y pruebas. Es importante, por tanto, dimensionar todo con una visión extremo a extremo del proceso, aunque a menudo es complicado que haya gente con esa visión completa.
Antes de automatizar, repítelo tres veces. Aunque parezca una obviedad, conviene no automatizar nada que antes no haya repetido uno mismo de manera manual tres veces. Es la mejor manera de comprobar dónde está el problema de lo que hay que automatizar.

En definitiva, la receta para minimizar estos riesgos consiste en planificar, planificar, planificar y en aplicar el sentido común, que es el menos común de los sentidos. ¿Podremos automatizar alguna vez el sentido común?

Imagen: txmx2

Eurocerveza, inteligencia artificial y un sistema financiero sin bancos“Blockchain Activation”: conoce cómo Telefónica abre su tecnología blockchain

El valor del big data y la inteligencia artificial en la receta para la transformación del sector farmacéutico

Carlos Martínez Miguel 3 octubre, 2019

El sector farmacéutico se ha caracterizado históricamente por ser una industria de gran crecimiento, prácticamente continuo, así como por generar una elevada rentabilidad. Sin embargo, en los últimos años se han producido una serie de cambios en el sector que han provocado una clara desaceleración en su crecimiento, bajando del 9-10% al 4-5% interanual según datos de IQVIA.

Desafíos del sector

Uno de los principales desafíos en el sector es una competencia cada vez mayor y más exigente, con la incorporación de start-ups muy innovadoras que están cambiando la cadena de valor del sector y los métodos de investigación y producción. Asimismo, la creciente penetración de los medicamentos genéricos y la aparición de los biosimilares, medicamentos de origen biotecnológico que obtienen resultados comparables a los medicamentos de síntesis química tradicionales, están incrementando la presión en los precios y erosionando los márgenes de las empresas farmacéuticas. Por último, los gobiernos están también negociando cada vez más intensamente los precios de los tratamientos, exigiendo además la consecución de resultados reales y manteniendo o incluso incrementando la presión regulatoria sobre el sector.

Para superar esta situación las empresas farmacéuticas están buscando sinergias entre ellas, observándose una clara tendencia a la concentración en el sector, con fusiones, adquisiciones y alianzas estratégicas. Asimismo, están haciendo grandes esfuerzos para reducir costes en todos los procesos de su cadena de valor, desde la fase de investigación y desarrollo, que sigue siendo larga y costosa, pasando por la fase de fabricación y llegando a la fase de distribución y comercialización.

Sin embargo, el mayor reto continúa estando en lograr un mejor y más profundo conocimiento del paciente y de sus necesidades. Los tratamientos especializados que además se acompañan de servicios personalizados para mejorar la adherencia del paciente y por tanto sus resultados, son sin duda el camino a seguir.

Pero para poder avanzar en esta transformación el sector farmacéutico necesita acelerar en la adopción de las nuevas tecnologías. Su privilegiada situación histórica ha hecho que el sector esté en el vagón de cola en el uso de tecnologías clave como el big data y la inteligencia artificial, muy por detrás los sectores más avanzados como el de las telecomunicaciones o el financiero.

Aspectos a favor

A pesar de este retraso acumulado, el sector tiene a su favor una gran riqueza de fuentes de datos que puede permitirle recuperar el tiempo perdido. Entre estas fuentes se encuentran por ejemplo los datos procedentes de la investigación académica y científica, así como los resultados de los ensayos clínicos. En los últimos años, como complemento a estos datos está cobrando cada vez mayor relevancia el universo de datos conocido como “real world data” (RWD): datos observados procedentes directamente del tratamiento diario a pacientes en centros médicos. Estos datos se derivan de los registros electrónicos de pacientes (EHR “electronic health records”) pero también por ejemplo de sus registros de reembolsos y facturaciones con las compañías aseguradoras.

Adicionalmente a estas fuentes de datos, el sector farmacéutico puede beneficiarse de una serie de fuentes externas que otros sectores ya están empleando. Entre ellas destacan los datos de movilidad y perfilado que ofrecen las operadoras de telecomunicaciones y que permiten comprender mejor el comportamiento de distintos grupos poblacionales. Asimismo, la utilización de fuentes de datos abiertos es de gran valor, incluyendo datos meteorológicos, censales, niveles de renta, etc. Por último, la explosión del internet de las cosas está permitiendo sensorizar tanto a los pacientes como los equipos médicos e incluso los medicamentos, lo que posibilita realizar una medición continua de determinados parámetros que pueden posteriormente explotarse mediante técnicas de analítica avanzada.

Distintas prioridades a lo largo de la cadena de valor

La adopción del big data y la inteligencia artificial se está llevando a cabo en el sector farmacéutico a lo largo de toda su cadena de valor. En la fase de investigación y desarrollo de nuevos fármacos, por ejemplo, se están empleando técnicas de big data para realizar un mejor perfilado previo de los participantes requeridos en un ensayo clínico de modo que sus características se ajusten a las deseadas, incrementando la validez de la prueba lo que reduce enormemente los plazos y costes de desarrollo.

En la fase de fabricación, la principal prioridad es reducir costes manteniendo la máxima calidad. Para ello se están desarrollando modelos predictivos que permiten estimar de forma automatizada y con gran precisión, la cantidad necesaria de cada material para fabricar cada pedido. Esto permite reducir notablemente el material desperdiciado, que también puede ser estimado por el modelo permitiendo además una mejor gestión de residuos.

Adicionalmente, en el proceso productivo es crítico minimizar el número de paradas de la cadena de fabricación debidas a problemas técnicos. Con ese fin, se están desarrollando modelos de mantenimiento predictivo que determinan con antelación cuándo un cierto elemento de la cadena va a tener un fallo, generando una alerta para que se produzca una intervención preventiva que evite el mismo. Estos modelos se basan en algoritmos de aprendizaje automático (“machine learning”) e incorporan datos procedentes de sensores conectados.

Finalmente, en la fase de distribución y comercialización es especialmente crítica la aplicación de las técnicas de big data para mejorar el conocimiento del cliente y ser por tanto más efectivo. Un ejemplo de caso de uso en este ámbito es la identificación de los segmentos objetivo utilizando fuentes de datos externas. Por ejemplo, si una empresa farmacéutica distribuye un producto para un segmento de mujeres entre 30 y 40 años, con hijos y con alto poder adquisitivo, los datos de movilidad y perfilado de que disponen las operadoras de telecomunicaciones les permiten identificar dónde encontrar este segmento con mayor probabilidad y conocer qué puntos de interés visita habitualmente. De este modo, la “farma” puede elegir con mayor precisión los puntos de venta para el producto así como en qué zonas debe realizar sus campañas de concienciación y de publicidad (si la regulación permite estas últimas).

Otro buen ejemplo es la predicción de brotes de alergia respiratoria combinando los datos de movilidad y perfilado mencionados con datos abiertos de meteorología y alérgenos. Con estas fuentes es posible construir un modelo predictivo que permita a la compañía farmacéutica saber con antelación cuándo se va a producir un brote alérgico y en qué zona. De este modo, podrá optimizar la promoción y distribución de su producto, sabiendo además no sólo dónde se va a producir el brote sino qué zonas y puntos de interés visitan habitualmente las personas procedentes de la zona de origen del brote.

Éstos son solo algunos ejemplos de aplicación del big data y la inteligencia artificial en un sector que está dando sus primeros pasos en este ámbito. El valor que estas tecnologías pueden aportar es inmenso: de acuerdo con un reciente informe de IQVIA, las 10 principales compañías farmacéuticas a nivel mundial podrían capturar hasta 1000 millones de dólares cada una por año con la aplicación de estas tecnologías. La carrera ha comenzado ya. Sólo las más rápidas y osadas llegarán al final.

Para mantenerte al día con LUCA, visita nuestra página web, suscríbete a LUCA Data Speaks o síguenos en Twitter, LinkedIn o YouTube.

Telefónica Colombia y Ecuador: casos de éxito en transformación digitalMachine Learning y el futuro de la traducción automática de lenguas perdidas.

Estos son nuestros ElevenPaths CSEs en Ecuador

ElevenPaths 3 octubre, 2019

¿Todavía no conoces el programa de CSAs de ElevenPaths? Nuestros Chief Security Ambassadors son expertos en ciberseguridad, embajadores de nuestra marca alrededor del mundo cuya misión es promocionar la cultura de la seguridad a través de conferencias y artículos.

Desde ElevenPaths consideramos su aportación de gran importancia y es por eso que queremos ampliar el alcance de estos embajadores con nuestro programa de reconocimiento de profesionales del sector de la ciberseguridad creando una nueva figura: los ElevenPaths CSE (Chief Security Envoy). En un artículo anterior de nuestro blog conocimos a nuestro CSEs de España y ahora es el turno de presentar a nuestros ElevenPaths CSEs en Ecuador. A continuación, una breve descripción de cada uno de ellos.

Alicia Chacón

Apasionada por la humanización de la tecnología. Profesional con mas de 10 años de experiencia en seguridad y tecnología aplicada a la industria financiera. Artista en proceso, amante de los viajes, café y pilates. Consultora de seguridad de la información y educación en ciberseguridad en HumanizaTech. Voluntaria en Girls In Tech, Tec de Monterrey y Google for Startups. Doctoranda en Proyectos de Tecnología de UNINI – México, egresada del diplomado en Gestión Estratégica del Capital Humano y maestra en Administración de Tecnologías de Información del Tec de Monterrey. Ingeniera en electrónica y telecomunicaciones de la ESPOL – Ecuador.

Miguel Bustamante

Cybersecurity Researcher, estudia Ingeniería en ciencias computacionales en la Escuela Superior Politécnica del Litoral (Ecuador). Ha participado como ponente en importantes conferencias nacionales e internacionales como: Ekoparty, DragonJarCon, Ecuahack, entre otras. Investigador y desarrollador de proyectos de electrónica, robótica y programación. Apasionado por generar un impacto positivo significativo a partir de la educación, imparte clases de programación y Arduino a niños y adolescentes.

Christian Espinosa

Abogado y consultor en derecho de nuevas tecnologías, ciberseguridad y protección de datos personales, desde donde diseña y acompaña en la implementación de estrategias integrales de cumplimiento legal y organizacional en dichas áreas, lo que incluye aspectos como responsabilidad proactiva en protección de datos personales y la utilización de herramientas de legal design para una comunicación efectiva y para el diseño de productos y servicios. Ha trabajado como Director de Protección de la Información en la Dirección Nacional de Registro de Datos Públicos y como Asesor para Gobierno Electrónico en Ecuador, participando en la preparación del Libro Blanco de Sociedad de la Información y del Conocimiento y en el Plan Nacional de Sociedad de la Información y del Conocimiento 2018-2021. Ha participado en el diseño de modelos de gobierno de la información y inteligencia de negocios para PyMEs y el sector financiero. Investigador interesado, entre otros aspectos, en las implicaciones legales de tecnologías como IoT, Blockchain, Machine Learning, Inteligencia Artificial.

Para los organizadores de eventos, charlas y conferencias que quieran contar con alguno de estos expertos en los mismos, ponemos a su disposición la dirección de correo [email protected] en la que esperamos sus solicitudes. ¡Estaremos encantados de acudir a compartir conocimiento!

BinaryEgde Portal, más que un buscador de activosVerificación en dos pasos en WhatsApp, ¿seguridad o engaño?

Telefónica Colombia y Ecuador: casos de éxito en transformación digital

Fernando Menéndez-Ros 2 octubre, 2019

Gracias a la Inteligencia Artificial, la relación digital con los clientes es cada vez más estrecha y más eficiente. Colombia y Ecuador se han posicionado como pioneros en sus mercados apostando por tecnologías de vanguardia como Aura que mejoran la experiencia del consumidor.

Fabián Hernández, Presidente CEO de Telefónica Colombia, explicaba este proceso de renovación en el Andicom 2019: “Somos la primera Telco en el país en lanzar una Inteligencia Artificial para facilitar la relación digital de nuestros clientes. Con una experiencia renovada, y aprovechando las mejoras cognitivas y sinergias globales, estamos potenciando con Aura nuestros canales en Colombia para enriquecer las experiencias personales de los clientes”.

Por su parte, José Manuel Casas, CEO Movistar Ecuador, comentó a raíz del lanzamiento de Aura en la app Mi Movistar Ecuador: “Seguimos innovando en cuanto a la atención. Ahora también lo hacemos a través de la Inteligencia Artificial, para que sirvamos a nuestros clientes de forma más rápida y oportuna. Buscamos responder sus dudas e inquietudes con agilidad. El lanzamiento de Aura en Ecuador es otra muestra de que el cliente está en el centro de nuestro trabajo diario”.

UN AHORRO DE RECURSOS PARA LAS TELCO

Apostar por plataformas como WhatsApp, ha permitido a Telefónica Movistar Colombia resolver más de 3,1 millones de dudas de 251.000 clientes, obteniendo unos resultados muy positivos para la Compañía. De hecho, el país también ha desarrollado casos de uso en AIOps (Inteligencia Artificial para operaciones) reduciendo un 27% de las llamadas totales a su call center. Esto ha permitido mantener la satisfacción de los clientes y, a su vez, ahorrar 184 millones anuales.

Otro de los grandes avances de Telefónica en Colombia está relacionado con la automatización de procesos mediante robots (RPA), cuyo objetivo es disminuir la intervención humana en el uso de aplicaciones informáticas, especialmente en tareas repetitivas. Gracias a la implementación de esta tecnología, Movistar Colombia ha desarrollado más de 60 casos de uso y cuenta hoy con más de 350 robots, los cuales impactan a más de 20 áreas en la Compañía.

Colombia ha conseguido unos ahorros en costes de 184 millones anuales gracias a casos de uso de AIOps y han atendido a más de 251 mil clientes a través de Whatsapp.

Por otro lado, Ecuador, ha implementado RPA’s para optimizar procesos, reducir demoras y costes en operaciones. Los que mayor impacto han tenido han sido aquellos relacionados con portabilidad de líneas y altas/ bajas de servicios, proyectando un ahorro de 1.6 millones en 2019.

Al igual que Colombia, Ecuador también ha apostado por los chatbots para mejorar la atención al cliente. En el último año, se han atendido 105 mil consultas web manejadas íntegramente por bots. Además de las peticiones web, se atendieron un 46% de consultas a través de Facebook y un 20% por WhatsApp. En total, Telefónica Ecuador ha conseguido un ahorro de 100 mil dólares gracias a la optimización de estos procesos.

PRÓXIMOS PASOS PARA LAS TELCO

Ejemplo del lanzamiento comercial de Aura en Ecuador

Tras todos estos avances, el asistente virtual Aura llega a Colombia a través de la aplicación Mi Movistar, donde los clientes pueden realizar preguntas (tanto por voz como por texto) sobre cuestiones relativas a los productos y servicios que tienen contratados, entender la factura de planes postpago, comprender el consumo de datos y conocer la disponibilidad de saldo para clientes prepago. Asimismo, tienen a su disposición más de 120 preguntas frecuentes, de tal modo que el cliente se podrá autogestionar y obtener respuesta a sus inquietudes de forma más fácil e inmediata. La operadora anunció que en pocos meses estará disponible en más canales (web, Whatsapp o el Call Center Cognitivo).

Por su parte, Aura también aterriza en Ecuador a través de la aplicación Mi Movistar. Le puedes preguntar por temas relacionados a los servicios de Movistar, por ejemplo: “cuál es mi saldo disponible”, “quiero contratar más megas”, “cómo pagar mi factura” o “cómo activo un combo prepago”, entre otros. Además, es capaz de detectar si el cliente está preguntando por una incidencia o reclamación que necesita la atención de un agente humano para que la solicitud sea resuelta de la mejor forma posible. El asistente virtual está en permanente crecimiento con nuevos casos de uso y funcionalidades para que sea más relevante para los usuarios. Próximamente estará disponible en la web comercial y en otros canales sociales como WhatsApp.

Inteligencia artificial natural: antónimos que no lo son tantoEl valor del big data y la inteligencia artificial en la receta para la transformación del sector farmacéutico

«Open banking» y PSD2: los nuevos servicios financieros

Mario Cantalapiedra 2 octubre, 2019

La consultora Capgemini estima que el volumen global de pagos electrónicos crecerá un 14 por ciento cada año hasta 2022, según los resultados de su “Informe Mundial de Pagos 2019”.

En el caso de Europa, incluida la Eurozona, el incremento anual del volumen de pagos que se prevé en el mismo período es del 8,5 por ciento.

Este crecimiento tiene una serie de factores explicativos, tales como:

El desarrollo de innovaciones tecnológicas en el mundo digital.
La entrada en el mercado financiero de grandes multinacionales tecnológicas (Amazon, Facebook, Apple, etcétera), que ofrecen servicios financieros de forma complementaria a su negocio principal.
O el establecimiento de normativas específicas como, en el caso de Europa, la directiva europea sobre servicios de pagos digitales, conocida coloquialmente como PSD2.

¿Qué es el «open banking»?

Nace así un nuevo modelo de negocio, conocido como open banking o banca abierta, en el que se permite el intercambio de datos entre bancos y nuevos operadores que ahora pueden acceder a las infraestructuras bancarias.

La duda que queda por resolver es si este nuevo modelo representa una oportunidad o una amenaza para la banca tradicional.

Obligación de compartir los datos

Lo primero que hay que preguntarse es: ¿por qué los bancos van a permitir el acceso a las bases de datos de sus clientes a terceros?

En este sentido, la normativa PSD2, cuya entrada en vigor ante la complejidad de los cambios que acarrea todavía no es completa, establece que los datos que se generan en la relación entre cliente y banco, pertenecen al propio cliente y no a la entidad financiera. Por ello, el banco tiene que permitir el acceso a ellos a terceros, siempre que el cliente lo consienta.

Esta normativa busca garantizar unas condiciones operativas equivalentes, tanto a los operadores que ya compiten en el mercado financiero (entidades de crédito, de pago y de dinero electrónico) como a los nuevos que ahora pueden acceder a sus infraestructuras, asegurando la protección de los usuarios en las transacciones financieras que se realizan de forma online en la Unión Europea.

Nuevos servicios financieros

La normativa PSD2 trae consigo dos nuevos tipos de servicios financieros:

Servicio de iniciación de pagos, que básicamente permite a las personas que adquieren bienes o servicios en comercios electrónicos pagarlos sin necesidad de utilizar tarjetas de crédito o débito. El pago se realiza a través de un tercero, denominado proveedor de servicios de iniciación de pagos, que accede a la cuenta del comprador una vez que es autorizado por este y transfiere en su nombre el dinero al vendedor.
Servicio de información sobre cuentas, que permite a los clientes bancarios consultar online y de forma agregada los datos que figuran a su nombre en todos los bancos, a través de un tercero que recopila dicha información.

El acceso a los datos de los clientes bancarios por parte de terceras empresas es posible tecnológicamente gracias a la utilización de las API (Application Programming Interfaces o Interfaces de Programación de Aplicaciones) abiertas, que sirven para conectar una aplicación informática con otra e intercambiar información.

La utilización de las API abiertas permite a desarrolladores externos crear aplicaciones y servicios en el sector financiero y ofrecérselos al público.

Innovación abierta y «open banking«

El nuevo modelo de open banking ha de entenderse como la aplicación al mundo financiero de la innovación abierta, la cual se basa en el aprovechamiento de talento, tecnologías, ideas o recursos provenientes de fuentes externas a la empresa, de tal modo que las innovaciones son explotadas por aquellos capaces de generar más valor, que no necesariamente son internos.

Innovación abierta: herramientas y ejemplos para su implementación

El problema es que la innovación abierta está impresa en el código genético de las grandes multinacionales como Apple o Facebook.

Estas compañías han entendido desde sus comienzos la necesidad de abrir las puertas de la innovación a recursos externos, ante la imposibilidad de realizar todos los desarrollos internamente en un mundo globalizado, dominado por lo digital, y que evoluciona muy deprisa, por lo que ven una oportunidad de negocio en el open banking, en el que se sienten “como peces en el agua”.

En cambio, para muchos bancos tradicionales, la apertura representa una amenaza impuesta legalmente (la PSD2 “obliga” a los bancos a generar innovación abierta, quieran o no).

No obstante, es posible otra interpretación. Los bancos ahora también puede acceder a los datos que tienen los competidores de sus clientes, conocer mejor su perfil y ofrecerles productos y servicios mas ajustados a sus circunstancias, aumentando la eficiencia comercial.

Desde esta perspectiva, el open banking puede ser para ellos una oportunidad de crecimiento.

Ni profecías ni adivinos: el Big Data te ayudará a conocer a los futuros turistasCarlos Blanco: «Las empresas españolas son más copionas que innovadoras»

BinaryEgde Portal, más que un buscador de activos

Nacho Brihuega 2 octubre, 2019

Hace no mucho tiempo descubrí el servicio “BinaryEdge” por recomendación de un compañero de Telefónica. Se basa en un buscador de dispositivos conectados a Internet similar a Shodan, Censys, ZoomEye, Fofa u Onyphe. Al igual que el resto de servicios cuenta con un portal web para realizar las búsquedas, así como una API gratuita, aunque con algunas funcionalidades limitadas.

En este post os cuento paso a paso cómo acceder, qué apartados tiene el portal y una pequeña explicación de lo que podéis hacer en cada apartado.

En primer lugar, es necesario registrarse en el portal para poder acceder a sus funcionalidades:

Una vez hecho el registro, se accede al portal:

Se pueden identificar las siguientes pestañas:

Host: búsqueda de activos: IP, dominio, puertos, IP,…
Images: capturas de pantalla de servicios publicados en Internet, especialmente RDP.
Dataleaks: búsqueda de cuentas corporativas. Por desgracia, esta funcionalidad está limitada en planes de pago.
Torrents: monitorización de torrents.
Domains: enumeración de subdominios.
Sensors: sensores de monitorización de honeypots.

A continuación, se muestra un ejemplo de uso para conocer los resultados de cada funcionalidad.

Hosts: muestra los puertos abiertos y los servicio que se ejecutan sobre ellos, indicando su versión y software si aplican.

Para cada entrada de servicios webs facilita la info del certificado SSL/TLS. Permite exportar los resultados:

Images: permite filtrar por keywords o nombres de organizaciones.

Leaks:

Torrents:

Domains:

Sensors:

Asimismo, desde el portal web se indica que tienen una API, junto con toda la documentación que podéis encontrar en este documento .

En github podemos encontrar diferentes tools en Python para interactuar con la API , sin embargo, en mi caso me gusta cacharrear con las APIs y sólo filtrar la info que me interesa descartando la demás. Por ello, me he picado un simple script en python3, que tiene como entrada un documento de texto con las IP’s que se desean buscar devolviendo los puertos abiertos, exportando los resultados en formato xlsx. La podéis encontrar en mi perfil de GitHub .

Es necesario importar la API Key correspondiente e incluir aquí:

A continuación, se muestra un ejemplo de uso:

Toda la documentación sobre la API la podéis encontrar en esta página.

Próximamente invertiré más tiempo para aprovechar todas las funcionalidades no limitadas de las que dispone este magnífico servicio.

Un servicio más que añadir a nuestra mochila de Pentesting para las fases de footprinting.

LUCA Talk: Usos de GANs y Autoencoders en CiberseguridadEstos son nuestros ElevenPaths CSEs en Ecuador

Eurocerveza, inteligencia artificial y un sistema financiero sin bancos

Víctor Deutsch 2 octubre, 2019

Entre los retos de la economía digital está la seguridad por defecto. Innovación, inteligencia artificial, IoT, blockchain… hay toda una serie de tecnologías habilitadoras de los nuevos modelos de negocio, pero la seguridad debe estar en el centro. Telefónica Empresas participó por primera vez en la convención de economía digital De:central Days, en el panel de ciberseguridad, los pasados días 24 y 25 de septiembre en Mallorca.

Precisamente en esta isla uno de los más destacados científicos e intelectuales de su generación tuvo la disruptiva idea de que el razonamiento humano podía implementarse de manera artificial en una máquina. Y se puso manos a la obra. Enseguida identificó el primer problema: ¿cómo elaborar un modelo de representación del conocimiento humano que fuese interpretable por la máquina?

Para modelar el conocimiento determinó que los conceptos complejos tenían que basarse necesariamente en la unión de una serie de ideas simples a las que denominó raíces y que redujo a una especie de alfabeto de 54. Además, desarrolló un lenguaje de programación capaz de combinar estas 54 ideas-raíces para, mediante un sistema de procesamiento, obtener, como resultado, una inferencia sobre diferentes proposiciones o postulados.

Inversores, grandes compañías y startups

Este tópico, la inteligencia artificial, fue uno de los ejes de De:Central Days, un foro organizado por Reinhold Lang y otros colegas, como punto de encuentro entre inversores y grandes compañías con startups con innovadores servicios, para buscar sinergias y enfrentar los retos de la transformación digital, entre los cuales está la seguridad por defecto.

IoT, blockchain, el futuro de la movilidad o la realidad aumentada fueron otras de las áreas en las cuales numerosos expertos, de una veintena de países, dieron su visión del estado del arte, se aventuraron sobre su posible evolución y presentaron las últimas soluciones tecnológicas y modelos de negocios disruptivos. Después de asistir a algunas de las charlas queda la sensación de que ya estamos inmersos (y no nos damos cuenta) en lo que se ha dado en llamar la singularidad: un punto de inflexión en el cual la tecnología toma una dinámica propia, imposible de controlar, con resultados imprevisibles. Veamos algunos ejemplos:

Criptomonedas y cerveza

Uno de los principales problemas para el despegue de las criptomonedas como una verdadera alternativa al dinero fiduciario ha sido siempre, además de la regulación, el respaldo físico de la unidad monetaria. Es algo que los bancos centrales resuelven con reservas en oro, activos financieros más o menos seguros o monedas de reserva. Pues resulta que Craftcoin ha descubierto la convertibilidad de su dinero en un activo de aceptación universal: ¡la cerveza!

Han inventado el CBC (Craft Beer Coin), una moneda virtual que permite la compra de cervezas adheridas a la iniciativa desde un smartphone. Craft Coin Company recauda dinero mediante la venta de CBS, que se utiliza para financiar a las cervecerías artesanales, ayudándolas a madurar y expandirse. A cambio, los CBC se pueden cambiar por productos e incluso por acciones en esas cervecerías. Los dividendos y los derechos de voto se comparten entre la comunidad de aquéllos que poseen y utilizan los CBC, que además obtienen otros beneficios, como menor tiempo de espera en la barra, descuentos y premios.

Azhos, liderada por Marcel Kuhs, viene de un sector tan tradicional como la industria química, pero, cuando parecía que ya estaba todo inventado en la optimización de la cadena de suministro, esta empresa ha conseguido integrar el flujo logístico con el financiero en la cadena de valor. Y lo ha hecho con una combinación de IoT y blockchain.

La tecnología permite que, mediante sensores online integrados en el contenedor del cliente, el proveedor pueda tener información en tiempo real sobre el consumo y prever la reposición del producto. Pero lo verdaderamente novedoso es el concepto de “smart contract”.

Con esta herramienta, el proveedor puede cobrar en función del consumo real en el tanque o depósito y recibir pagos instantáneos con la tecnología de la cadena de bloques, sin esperar a la reposición, financiando la producción en tiempo real. El cliente, a su vez, se ahorra todo el proceso de emisión de pedidos y recepción de albaranes y pagos. Así se reduce sustancialmente el papeleo y los costes de administración, porque existen interfaces con los principales ERP y sistemas de transferencia bancaria. Ambas partes liberan capital inmovilizado en stocks. ¡Ah! y los accionistas de AZHOS reciben ganancias y comisiones también en tiempo real.

En el encuentro se habló, además, de la criptomoneda de Facebook. Gordon Einstein, que se autodefine como un “criptoabogado”, hizo una brillante presentación sobre el presente y futuro de esta moneda virtual que solo requiere una cuenta en Facebook como mecanismo de acceso…y los graves conflictos que se prevén con la banca tradicional y con las autoridades nacionales.

Y es que la soberanía monetaria de los países nunca estuvo tan amenazada por una unidad monetaria no bancaria, que escapa completamente de su control. Gobiernos y banqueros centrales intentan aplicar normas concebidas hace casi un siglo para una economía diferente, con reglas distintas y no terminan de entender los efectos a largo plazo de las criptomonedas.

A partir de un análisis sobre los detractores y apoyos a Calibra, Einstein deduce que el verdadero objetivo de sus impulsores es captar un mercado de cientos de millones de personas no bancarizadas en Asia, África y Sudamérica. Esto permitiría el acceso a microcréditos, pagos electrónicos y otros servicios financieros. En sitios con escasa capacidad de actuación de las autoridades, Calibra se impondría y agilizaría todo tipo de negocios.

La “tokenización” como mecanismo de financiación

El experto en blockchain Max Kops disertó acerca de las ventajas de la “tokenización” como mecanismo de financiación de pymes y startups. Así como los IPO solo pueden utilizarse por las empresas más consolidadas, Kops sostiene que las rondas de inversión, business angels o programas de capital riesgo son inaccesibles para muchas compañías. Sin embargo, la oferta de acciones a través de blockchain abre una vía mucho más rápida y barata para captar fondos, con la misma seguridad para los inversores.

Kops se atreve a decir que en cinco años ésta será la única forma de recaudación de fondos que se utilizará en el ámbito de pymes y startups en crecimiento.

La inteligencia artificial: repensando lo de 1275 en 2019

Michael Wolan, un consultor de innovación de Colonia, Alemania, trazó las perspectivas en la evolución de la inteligencia artificial, en una línea parecida a la que ya expusimos en este mismo blog.

Según él, no es que hayamos llegado a la meta: estamos empezando y, por primera vez, tenemos las herramientas necesarias para realizar grandes avances. Actualmente la inteligencia artificial sigue en el ámbito de las aplicaciones de dominio específico, lejos de una Inteligencia artificial generalista y fuerte y de poder resolver problemas complejos. Pero, a partir de ahora, los progresos tenderán a acelerarse de una forma exponencial.

Y serán consecuencia -destaca Wolan- de la mejora en las capacidades de cómputo, la disponibilidad de datos e hiperconectividad, pero señala que seguimos utilizando los mismos modelos de representación y algoritmos que hace años. Y no está claro en qué dirección evolucionarán, aunque dio algunas pistas con el vídeo de Sophia, la robot humanoide capaz de aprender e imitar más de cincuenta expresiones faciales.

Es paradójico, en Mallorca en 2019 estábamos planteándonos los mismos problemas que Ramón Llull había considerado para crear la máquina pensante¡en 1275, como explicaba al principio. Dentro de unos años nuestros modelos actuales quizá nos parecerán tan ridículos como nos parece el de Llull ahora. Y no hemos encontrado un algoritmo que consiga emular el pensamiento humano a partir de él, solo aproximaciones muy incompletas.

Seguridad por defecto, en el centro de la economía digital

En el panel de ciberseguridad, compartido con Ian Murphy de LMNTRIX.COM, desde Telefónica Empresas mostramos una visión de los riesgos, amenazas y controles que son necesarios en la economía digital. El tamaño de las compañías en este sentido no es importante porque tan expuestas están las corporaciones como las pymes. La importancia de la concienciación de las personas, la industrialización de soluciones para bajar costes y la consideración de la seguridad en el diseño de los nuevos servicios digitales fueron algunos de los temas que se abordaron.

Si la economía digital avanza rápidamente, las amenazas también lo hacen; por eso es importante mantenerse actualizado y establecer mecanismos de certificación basados en mejores prácticas, que vayan incluso por delante de las obligaciones legales.

Mallorca como hub tecnológico

Un último apunte: la enorme concurrencia (salas llenas de 350 personas) y las charlas de pasillo hacen pensar que hay que prestar atención al incipiente sector tecnológico, de matriz europea, que se está desarrollando en la isla como ya aparecía en los medios.

Es bastante lógico. La isla dispone de grandes ventajas competitivas que los emprendedores valoran: excelente infraestructura en comunicaciones y transportes (un gran aeropuerto con conexiones directas a toda Europa), disponibilidad en España de profesionales bien formado en TI y un idioma y cultura como trampolín para llegar a Latinoamérica. En Mallorca tienen sede algunas de las empresas turísticas más grandes, globales y competitivas del mundo. Aparte de eso, buen clima, un moderno sistema sanitario y gran calidad de vida.

En definitiva, con promoción y algunas facilidades (espacios de coworking, promoción en el extranjero), Mallorca puede ser un destino muy atractivo para la nuevas empresas en la Europa del Brexit. Quizá en la misma isla se pueda encontrar alguna vez la solución que buscaba Ramón Llull.

Living on the edge: tres casos de usoInfraestructura como código, sinónimo de dinero como código

Inteligencia artificial natural: antónimos que no lo son tanto

Paloma Recuero de los Santos 2 octubre, 2019

¿Qué nos es “natural»?. Hay palabras tan ricas en significados, que si las buscamos en el diccionario de la RAE necesitan hasta 17 definiciones distintas. Y «natural» es una de ellas. Porque aunque a priori nos resulte un poco contradictorio asociar «natural» con «inteligencia artificial«, veremos que, en realidad, son perfectamente compatibles.

Efectivamente, lo primero que se nos viene a la cabeza al escuchar la palabra «natural» es algo » Perteneciente o relativo a la naturaleza«, la primera acepción del término en la RAE. Sin embargo algo natural, también es algo sencillo, lógico, esperable, espontáneo, normal…

El objetivo de cualquier tecnología es ayudarnos a superar mediante herramientas, las dificultades impuestas por la complejidad del entorno, o nuestras propias limitaciones físicas. El ser humano no es el único ser vivo que ha desarrollado un tecnología. Pero, la tecnología humana es, probablemente, con permiso de las Artes, lo más asombroso que ha creado el hombre.

Nuestros sentidos.

Vista, tacto, gusto, oído, olfato… nuestros sentidos son nuestras “ventanas” al mundo. Son complejos sistemas de “percepción sensorial” , que captan variaciones en las propiedades físicas del entorno. Estos estímulos pueden estar producidos por ondas de presión (tacto, oído), electromagnéticas (vista), o térmicas (tacto). También por sustancias químicas (gusto y olfato). Nuestro sistema nervioso transporta toda esta información sensorial codificada hacia el centro de su procesamiento: nuestro cerebro.

Como ya vimos en este otro post, Inteligencia Artificial: una tecnología “muy humana”, desde un punto de vista biológico no somos gran cosa. Ni especialmente fuertes, ni los más rápidos, ni siquiera, resistentes. Sin embargo, nuestra inteligencia, y nuestras habilidades sociales nos han permitido desarrollar sofisticadas tecnologías como Internet de las Cosas o la Inteligencia Artificial, que nos permiten superar cada día más barreras. Porque, gracias a ellas, ya no estamos tan limitados por los rangos de percepción de nuestros órganos sensoriales, ni por la capacidad de procesamiento de nuestro cerebro: cada día llegamos un poco más lejos.

Y no sólo eso, cada día, nos esforzamos más, por hacer más humana y accesible la tecnología. Porque la complejidad que hace posible tantas cosas no se traslade al usuario final, sino que la interacción con ésta sea cada día más natural.

Un ejemplo real.

Muchos recordarán aquel vídeo tan divertido en el que un monje medieval pedía ayuda a soporte (medieval helpdesk) porque, acostumbrado a trabajar sobre pergaminos enrollables, no sabía cómo usar la innovación tecnológica del momento: el libro. Nos recuerda cómo, muchas cosas que damos por supuestas, que nos parecen “naturales”, nos lo parecen porque nos resultan tan sencillas y tan cómodas, que las hemos incorporado a nuestros automatismos.

A principios de los 2000, no hace tantos años, tuvo lugar una nueva revolución en este mismo ámbito. Los primeros lectores de libros electrónicos evolucionaron hacia las pantallas táctiles y para pasar a la página siguiente del libro había que dar un pequeño golpe con el dedo en el margen derecho de la página. Este gesto tan sencillo que al principio nos costaba aprender, como le pasaba al monje medieval del vídeo, ya “lo traen de serie” las nuevas generaciones, ya les es natural (¡es tan fácil!). Por ello, lo realizamos tan inconscientemente que, no tenemos más remedio que reírnos de nosotros mismos cuando, en ocasiones, damos estériles golpecitos en el margen de un libro de papel.

Por eso, damos la bienvenida a todo aquello que nos haga la vida más fácil. Por ejemplo, gestos tan sencillos como cambiar el canal de la tele. Al principio, había que “desincrustarse” del sofá o discutir sobre quién se levantaba para cambiarlo. Después, ya no hacía falta levantarse, pero nuestros salones se llenaron de múltiples mandos a distancia, o complejos mandos multidispositivo que muchas veces no eran tan sencillos de usar.

Hoy día, no tienes que pelearte con tu hermano ni frustrarte con un de todo menos “intuitivo” mando a pilas. Tan natural, tan sencillo como decir “Aura, pon el partido de baloncesto” y ya está. Lo hermoso es que, a pesar de la increíble complejidad tecnológica necesaria para que esto suceda, el objetivo final, hacernos la vida más fácil y cómoda, y de una forma que nos resulte natural, se ha logrado sin ninguna duda, gracias a la inteligencia artificial.

“Artificial is natural”

Ven a conocer nuestra Inteligencia Artificial natural en el LUCA Innovation Day, el próximo 16 de octubre a las 16:00 h en el Auditorio Central de Distrito Telefónica (Madrid).

LUCA Talk: Usos de GANs y Autoencoders en CiberseguridadTelefónica Colombia y Ecuador: casos de éxito en transformación digital

LUCA Talk: Usos de GANs y Autoencoders en Ciberseguridad

AI of Things 1 octubre, 2019

En esta era de transformación digital de la sociedad y las organizaciones, los avances tecnológicos han supuesto un cambio en la forma de vivir y relacionarse de los seres humanos. La aplicación de la Inteligencia Artificial cada vez más en nuestro día a día, cumple su objetivo fundamental que es hacernos la vida más fácil, pero debemos ser conscientes de sus riesgos.

En este webinar nuestros expertos en seguridad informática Pablo González y Enrique Blanco nos hablan de cómo esta nueva tecnología puede ser utilizada para generar ataques como la difusión de Fake News mediante la suplantación de identidades, voces, imágenes o vídeos. Toma nota de los recursos utilizados por los atacantes para poder protegerte de ellos.

Cada vez son más las nuevas formas de engaño que surgen por internet, cualquier nueva tecnología está expuesta a ser utilizada en nuestra contra. Conocer los recursos que nos ofrecen las nuevas tecnologías se hace cada día más necesario.

Es por ello por lo que debemos tener conciencia de los peligros que existen y saber cómo podemos detectarlos. La ciberseguridad y la concienciación sobre los riesgos a los que se ven expuestos tanto la sociedad como las organizaciones son fundamentales en plena revolución digital y pueden evitarnos malas experiencias.

Para mantenerte al día con LUCA, visita nuestra página web, suscríbete a LUCA Data Speaks o síguenos en Twitter, LinkedIn o YouTube.

IMDEA y la UPM investigan el malware en Android utilizando TacytInteligencia artificial natural: antónimos que no lo son tanto

IMDEA y la UPM investigan el malware en Android utilizando Tacyt

Área de Innovación y Laboratorio de Telefónica Tech 1 octubre, 2019

Nuestro compromiso para apoyar a las universidades en sus investigaciones es firme, no son pocas las ocasiones en las que nuestros productos y soluciones de seguridad se ponen al servicio de la comunidad científica e investigadora para ayudar en todo lo posible a los investigadores. Tacyt es un claro ejemplo de servicio prestado cuyo uso beneficia a todos, por un lado abastecemos de datasets para realizar las investigaciones y por otro obtenemos feedback de una comunidad activa y con ideas innovadoras que enriquecerán las capacidades de nuestra plataforma. Os traemos algunos trabajos finales que han sido realizados gracias a los datos facilitados por esta plataforma y que han sido realizado con la tutorización de profesores de la Universidad Politécnica de Madrid junto al Instituto IMDEA Software.

En este caso hablaremos de un TFG y un TFM enfocados al análisis de malware en aplicaciones para Android utilizando diferentes indicios y detalles para realizarlo. Para estos casos Tacyt supone una ventaja ya que esta herramienta de ciberinteligencia fue concebida como un mecanismo útil de seguridad en el terreno de las aplicaciones móviles. Gracias a Tacyt se puede automatizar el proceso de supervisión, análisis y monitorización de diferentes markets de APKs (del inglés Android Application Package; es decir, Aplicación Empaquetada de Android) para Android y análogamente para Apple mediante IPAs (iOS App Store Package, es decir, Paquete de la Tienda de Aplicaciones de iOS).

Tacyt da una visión unificada de las aplicaciones presentes en los repositorios oficiales y no oficiales ahora y en el pasado, ofreciendo un lenguaje de consulta que permite buscar correlaciones de diversos atributos de las aplicaciones que en algún momento han estado disponibles para los usuarios. En la práctica, se permite la detección automatizada de patrones de facilitan investigaciones de ciberseguridad que de otro modo serían imposibles. Tacyt proporciona la capacidad de responder a las más variadas preguntas: ¿cuántas aplicaciones fueron retiradas por un desarrollador en el pasado? ¿cuántas de éstas presentaban un uso concreto de APIs o librerías? ¿cuántas aplicaciones comparten un content provider o un fichero? ¿cuántas aplicaciones de tipo “juegos” solicitan acceso a la cámara? Con Tacyt se vuelve un ejercicio trivial, pero sin él sería imposible responderlas.

Detección de desarrolladores de aplicaciones maliciosos

El primer TFG corresponde al Grado en Ingeniería Informática de la Universidad Politécnica de Madrid. Lleva por nombre Diseño e Implementación de un Módulo para la Detección de Aplicaciones Móviles Maliciosas en Mercados Online y su autora es Silvia Sebastián González. El TFG ha sido financiado por el Instituto IMDEA Software y dirigido por el investigador Juan Caballero.

El objetivo de este trabajo es localizar aplicaciones en Google Play pertenecientes a la misma persona pero que utilizan cuentas diferentes de desarrollador. Este problema es importante porque la misma persona puede crearse más de una cuenta de desarrollador con el mismo o diferentes nombres de usuario. Las razones que explican este comportamiento son variadas, pero este proyecto se centra en las maliciosas. Se parte de la hipótesis de que un desarrollador puede generar varias cuentas para alojar en ellas aplicaciones maliciosas con diferente apariencia exterior. De esta manera, si una resulta denunciada, puede seguir manteniendo las otras en el mercado para continuar con sus actividades.

El caso expuesto asume una simultaneidad temporal, por lo que si se detecta un desarrollador malicioso sería idóneo poder relacionarlo con sus otras cuentas para poder suspender todas a un mismo tiempo. Sin embargo, también se pueden encontrar casos de no simultaneidad temporal: un desarrollador podría decidir generar una nueva cuenta tras comprobar que la primera ha sido inutilizada para así subir de nuevo la misma aplicación, pero con un nuevo identificador y nombre. Por tanto, lo ideal en este caso sería que, cada vez que un desarrollador intenta subir una aplicación, se identificara si es el mismo desarrollador que otro previamente eliminado por ser malicioso.

Se proponen dos soluciones para determinar si dos cuentas con nombre de desarrollador distinto son mantenidas por la misma persona. Cada solución se adapta a un escenario diferente, los cuales dependen del conocimiento que se tenga del input: se pueden conocer dos nombres de desarrollador y tratar de adivinar si tras ellos se esconde el mismo individuo o, por el contrario, no tener input y disponerse a encontrar casos de desarrolladores con más de una cuenta en el mercado. Los dos escenarios planteados se detallan a continuación:

Escenario 1: Dados dos nombres de desarrollador, identificar si pertenecen a la misma persona

Tras obtener todas aquellas aplicaciones pertenecientes a ambos nombres de desarrollador, se establecen procesos para comparar los metadatos de alto nivel, como los datos de la cuenta, tales como el nombre del desarrollador y el dominio de Internet que aparece en la página de Google Play, o los certificados de firma de las apps. En el caso de los certificados, y teniendo en cuenta que en Android casi todos los certificados están autofirmados, existen determinados patrones y variaciones que pueden ser indicativos de la autoría de las aplicaciones. Algunos ejemplos podrían ser los “Certificate subject common name”, el “Certificate subject organization name” y la “Fingerprint”.

La segunda parte de este proceso de identificación se centra en comparar las aplicaciones de ambas cuentas. Para ello primero se comparan los metadatos de las aplicaciones a través de características como el tipo de aplicación, el tamaño, las API utilizadas, los permisos, las activities y las URLs. Además, se calcula la similitud del código.

Escenario 2: Dado un conjunto de aplicaciones, encontrar desarrolladores con más de una cuenta

Para este caso el enfoque se basa en cruzar datos con listas de publicadores de actividades anómalas o cuestionables de otras plataformas, ya que esto sería un claro indicio de desarrolladores con varias cuentas. También se utiliza el “Metadata API Key List” que es capaz de relacionar de manera indirecta a dos desarrolladores, puesto que cada usuario debe tener unas claves de acceso para cada API. Si dos nombres de desarrollador distintos tienen las mismas claves, se puede deducir que es una misma persona con varias cuentas. Explotando por tanto este parámetro, se puede agrupar a los desarrolladores en función de aquellas aplicaciones que tengan las mismas API keys.

El TFG realiza su estudio utilizando diferentes técnicas de análisis y comparación, estableciendo una senda para mejorar la selección de las características, metadatos y campos a considerar en dichos estudios. Debido al elevado número de falsos positivos, se descartaron las técnicas más agresivas. Los resultados son mejores con las técnicas llevadas a cabo en R y Weka mediante matriz de medias de features ponderadas. También se incide en lo altamente beneficioso que es la comparación de código fuente de aplicaciones para realizar este tipo de estudios. Para realizar dicha comparativa se empleó la herramienta AndroSim, pero es una técnica muy costosa cuando el input son aplicaciones grandes.

A la hora de generar la comparativa de aplicaciones a partir de sus metadatos, se llega a la conclusión de que hay parámetros muy restrictivos que pueden emplear las técnicas utilizadas en la comparación de certificados: análisis de importancia de features, utilizar información ya obtenida de los certificados en lugar del Fingerprint y considerar nuevos parámetros en el análisis. Además, se le puede sacar un mayor partido a las descripciones de las aplicaciones ya que dan mucha información sobre las tareas que debe desempeñar. Esta información es muy importante ya que si dos aplicaciones tienen las mismas finalidades aumenta la probabilidad de que sean la misma.

Correlación del comportamiento de las aplicaciones Android

El segundo es un TFM del Master Universitario en Software y Sistemas de la Universidad Politécnica de Madrid titulado Checking Android applications behaviour against Google Play descriptions at scale de Daniel Domínguez Álvarez. El objetivo de este trabajo es aplicar al conjunto de datos de Tacyt la técnica CHABADA, que consiste en un mecanismo para saber si determinadas aplicaciones incorporan código malicioso o no a partir de la correlación entre su propósito esperado y su comportamiento real. Para ello se combina el procesamiento de lenguaje natural con una técnica de clustering para detectar si el uso de la API es lícito o no para un grupo de aplicaciones.

El procedimiento de CHABADA es fácilmente razonable, se toman familias de aplicaciones Android del conjunto de aplicaciones, por ejemplo, aquellas dedicadas a gestión de mapas y GPS, y sobre estas realizar un análisis de cuales características las diferencian del resto, siguiendo con el ejemplo para estas aplicaciones de mapas sus features podrían ser el acceso al sistema GPS, a la brújula y conectividad a Internet. Sin embargo, una característica anómala sería el acceso a los contactos. CHABADA da un paso más y además intenta identificar si la aplicación describe o anuncia una cualidad que justifique el acceso a los contactos, por ejemplo, ofreciendo elementos sociales que la diferencian del resto. Y precisamente este elemento de valor provocaría una errónea clasificación de la aplicación como maliciosa, ya que no incorpora un comportamiento normal para la clase en la que está encasillada.

Para entender cuáles son los objetivos de la aplicación se acude por tanto a la descripción pública que acompaña al software en el market. El procesamiento del lenguaje de dicho texto obtiene diferentes topics y los va asociando a los respectivos grupos de aplicaciones. De esta forma si la aplicación de GPS indica que tiene funcionalidades sociales en su descripción, no será considerada maliciosa por solicitar el acceso a los contactos del dispositivo. Para ello se sigue una serie de fases:

Preprocesamiento de la entrada, realizando un saneamiento y normalizado de los datos, eliminando etiquetados y elementos redundantes y adecuando la salida a las peculiaridades del idioma seleccionado.
Modelado de temas, utilizando modelos estadísticos se agrupan términos que corresponden a grupos de palabras componiendo temas.
Clustering, con el resultado del modelado, obteniendo un vector de afinidad con el grado de pertenencia a los diferentes grupos temáticos utilizando K-means.
Analisis de la API, a continuación, se realiza un análisis estático de las llamadas a la API de Android, detectando aquellas invocaciones sensibles, es decir, que están ligadas a la solicitud de permisos declarados, y por tanto útiles.
Detección de casos atípicos, para ello se utiliza un modelo capaz de identificar aplicaciones que no encajan claramente en la categorización por grupos, basado en un valor límite que determina la diferenciación. Estos casos serán susceptibles de análisis y que elevarán el debate sobre su naturaleza.

Para llegar a los resultados de la aplicación de CHABADA en Tacyt, primero fue necesaria la selección de los hiperparámetros, para establecer una configuración adecuada para el desarrollo del procedimiento, como por ejemplo el número clústeres y la cantidad de grupos temáticos a usar, así como la generación del propio dataset sobre el que realizar el análisis.

Los resultados finales permiten observar aquellos casos atípicos, cuyo score ha sido mayor que cero. Para el caso de las aplicaciones que no han sido encontradas en el Google Play, pero que han pasado por él, vemos que suponen el 30% del dataset, mientras que, por contraste, de las aplicaciones que sí han sido encontradas en el market son atípicas aproximadamente el 35%. Esto supone que las aplicaciones no han sido eliminadas por cuestiones de anomalías o indicios maliciosos, sino que pueden existir otra serie de factores que lo justifiquen, como la caducidad de la licencia del desarrollador. Por tanto, no se puede correlar, a partir de este estudio que ser un caso atípico sea un claro indicio de que la aplicación sea maliciosa, sino que en la mayoría de los casos de aplicaciones eliminadas viene provocado por el abandono de la app.

Colaboración

Ambos TFMs ofrecen unos resultados centrados en sus procedimientos, expectativas y objetivos científicos, los cuales han demostrado ser herramientas útiles para realizar determinados procesos exploratorios y de análisis. Pese a abordar la problemática de las anomalías y el malware en Android de forma muy tangencial y acotada, sus investigaciones han sido valiosas tanto para sus perfiles profesionales, como para sembrar el germen de futuros proyectos, más ambiciosos y amplios que podrían culminar unas propuestas de valor impactantes y alineadas con las cuestiones de mercado. ElevenPaths continuará apoyando estas iniciativas y siempre que podamos colaborar de forma más activa en los proyectos y ayudar a reforzar los proyectos con una visión privada y más curtida en ciberseguridad.

ElevenPaths Radio – 1×08 Entrevista a Ignacio CiracLUCA Talk: Usos de GANs y Autoencoders en Ciberseguridad