El gran reto de la computación segura en la nube: usando datos cifrados sin descifrarlos (I)

Gonzalo Álvarez Marañón    24 junio, 2019

Tomás dirige una asesoría fiscal y lleva la contabilidad de docenas de clientes. Almacena toda la información de sus clientes en la nube, de esta manera, se olvida de la gestión del espacio en disco, de la redundancia, de la escalabilidad, de las copias de seguridad, del ancho de banda para su acceso, etc. Para mantener seguros los archivos de sus clientes, Tomás los almacena cifrados en la nube. Así impide que un potencial atacante pueda robárselos a su proveedor e incluso que un administrador corrompido del propio proveedor pueda ver las cuentas de sus clientes.

El problema surge cuando Tomás manipula los datos. Necesita descargarlos, descifrarlos, operar sobre ellos, volverlos a cifrar y subirlos de nuevo a la nube. La verdad es que Tomás se fía más de la seguridad proporcionada por su proveedor de servicios en la nube que de sus propios equipos. ¿Qué pasaría si el ordenador de un trabajador de Tomás resulta comprometido? ¿Cómo sabe Tomás que un ciberdelincuente no está accediendo a los datos de sus clientes en el momento más vulnerable del proceso, justo cuando está operando sobre los datos en claro?

Lo que le gustaría a Tomás es que su proveedor de la nube operase directamente sobre los propios datos cifrados en la nube sin tener que descifrarlos antes: por ejemplo, sumar el IRPF de un trabajador, calcular el IVA a pagar este trimestre o realizar una búsqueda de información; y que cuando Tomás descifrase los datos, obtuviera los resultados correctos.  ¿Es posible hacer realidad hoy el sueño de Tomás? Hmmm, no del todo.

El reto de computar en la nube con datos cifrados sin descifrarlos

Como todo en la vida, la nube tiene sus ventajas y sus inconvenientes. Las ventajas las conocemos todos: reducción de costes, nulo mantenimiento, enorme flexibilidad, total disponibilidad, alta escalabilidad, etc. Sus problemas de seguridad son igualmente evidentes: un servidor comprometido supone el compromiso de los datos alojados.

La contramedida inmediata que a todos se nos ocurre para proteger los datos almacenados en la nube consiste en cifrarlos. El cifrado resulta satisfactorio siempre y cuando los datos permanezcan en reposo y no se necesite realizar operaciones sobre ellos. Pero ¿y si hay que realizar cálculos en la nube? ¿Cómo hacerlo sin descifrarlos ni revelar las claves de cifrado al software en ejecución en la nube?

El reto es formidable. Se está impulsando un potente esfuerzo de investigación para desarrollar métodos criptográficos que permitan la computación con datos cifrados sin descifrarlos, como, por ejemplo:

  • El cifrado totalmente homomórfico (FHE), que busca abordar este problema requiriendo que un cliente cifre los datos antes de enviarlos a la nube y proporcione además un código que se ejecute sobre esos datos sin descifrarlos. Los resultados se devuelven cifrados al cliente. Dado que solo el cliente controla la clave de descifrado, nadie más puede descifrar los datos originales ni los resultados, lo que garantiza la seguridad de esa información. Por desgracia, si bien el cálculo con datos cifrados es teóricamente posible, este cálculo se ralentiza en casi 10 órdenes de magnitud, lo que lo hace inviable con los algoritmos disponibles hoy.
  • Otra estrategia consiste en la computación multi-parte segura (SMPC, Secure Multi-Party Computation), en la cual múltiples entidades pueden realizar cálculos de manera conjunta y al mismo tiempo mantener la privacidad de los datos de cada entidad. Al igual que con FHE, estos protocolos añaden una sobrecarga computacional considerable, de dos órdenes de magnitud.
  • Por último, la criptografía con umbral exige que para descifrar un mensaje cifrado o para firmar un mensaje, varias partes (que superen un umbral predeterminado) deben cooperar en el protocolo de descifrado o firma. El mensaje se cifra mediante una clave pública y la clave privada correspondiente se comparte entre los participantes.

En este artículo veremos con más detalle el funcionamiento de FHE, mientras que en un segundo artículo profundizaremos en las otras dos estrategias.

El cifrado totalmente homomórfico (FHE)

El cifrado homomórfico sería el «Santo Grial» de la seguridad en la nube. Se define como la capacidad de realizar operaciones sobre datos cifrados cuyo resultado, una vez descifrado, es idéntico al resultado de esas mismas operaciones sobre los datos en claro.

Aunque a primera vista puede parecer mágico, lo cierto es que a nuestro alrededor abundan algoritmos criptográficos de uso cotidiano que soportan parcialmente el cifrado homomórfico, como por ejemplo los de clave pública. Se les dice «parcialmente» homomórficos porque sólo son homomórficos para una operación, como la suma o la multiplicación, pero no para cualquier otra operación algebraica. Un ejemplo con el archiconocido RSA hará que todo quede más claro.

Imagina que en el servidor guardas dos cantidades, x1 y x2, cifradas con tu clave pública RSA (n y e), de manera que nadie más que el legítimo poseedor de la clave privada correspondiente, o sea, tú, podrá descifrarlas. Ahora bien, RSA (sin padding y sin las modificaciones que se le añaden para aumentar su robustez) es parcialmente homomórfico respecto de la multiplicación, ya que:

Por lo tanto, el servidor podría multiplicar tus dos cantidades cifradas y entregarte el resultado cifrado sin conocer los valores de x1 ni x2. Cuando descifres el resultado devuelto obtendrás el mismo valor que si hubieras multiplicado las dos cantidades originales sin cifrar. Impresionante, ¿no?

Existen otros muchos algoritmos criptográficos que al igual que RSA son parcialmente homomórficos, como ElGamal también para la multiplicación o Paillier para la suma.

Las cosas se complican enormemente cuando se busca el cifrado «totalmente» homomórfico (FHE), capaz de soportar tanto la suma como el producto. Aunque existen muchas propuestas en la literatura científica sobre FHE, la más destacada es la planteada por Craig Gentry en 2009 y evolucionada por él mismo y por otros autores a lo largo de los años. Su propuesta se basa en un concepto algebraico abstracto conocido como «celosía«. Seguro que has visto cientos de celosías en ventanas y balcones. Las que te venden en tiendas de bricolaje son celosías bidimensionales: listones de madera o de metal que se cruzan en ciertos puntos. Ahora imagina esa misma celosía en 3D. Y ahora añade otra dimensión. Y otra. Y otra. Y así hasta n dimensiones. Bien, ¿tienes ya una celosía n-dimensional en tu cabeza? Complicada, ¿verdad? Puedes creer que encontrar el punto más cercano a otro en esa celosía no es tarea fácil. De hecho, es tan difícil que se conoce como el Problema del Vector Más Corto (Shortest Vector Problem, SVP) y constituye precisamente el problema matemático «intratable» del cifrado basado en celosías. De hecho, este criptosistema representa una de las alternativas criptográficas más serias para la era post-cuántica.

Lo mejor de todo es que, con las variantes adecuadas, las celosías también sirven para el cifrado homomórfico completo. Pero, y aquí aparece un gran, gran PERO, estos algoritmos resultan tremendamente ineficientes. Operar con los datos cifrados puede volverse hasta 10 órdenes de magnitud más lento que con los datos en claro (o sea, 1010 veces más lento o, lo que es lo mismo, un uno seguido de diez ceros: 10.000.000.000). En definitiva, son inservibles para aplicaciones prácticas reales. Hasta que no alcancen velocidades aceptables, no veremos un despliegue a gran escala en servicios en la nube. Mientras tanto, la investigación en este campo continúa intensamente.

Mientras tanto, los criptógrafos no se cruzan de brazos. Si operar sobre los datos cifrados constituye un reto formidable, ¿por qué no acometer versiones más sencillas del problema? Tal vez no confíes en tu proveedor en la nube. ¿Se podría repartir la carga entre los dos? Otros esquemas criptográficos persiguen que varias partes que no confían mutuamente puedan operar sobre los datos sin tener que revelárselos unas partes a otras. Pero esa es otra historia y será contada en la segunda entrega de este artículo.

Ya disponible la segunda parte de «El gran reto de la computación segura en la nube: usando datos cifrados sin descifrarlos».

CIO, ¿en qué jardín te has metido?

Diego Rodríguez    24 junio, 2019

Hubo un tiempo en el que la vida de los responsables de sistemas estaba acotada, eran ese silo oscuro al que los usuarios acudían cuando tenían algún problema (al más puro estilo «The IT crowd«) o para implementar las decisiones que tomaban los departamentos de negocio. Pero hoy las cosas han cambiado. Corren tiempos de transformación, aceleración y adaptación a las nuevas necesidades de los negocios (la plataforma Cloud Garden, de la que escribo en este post es un ejemplo). Todo ello con el atributo «digital» detrás, lo que hace que las compañías tengan cada vez una mayor dependencia de TI, por lo que los CIO forman parte ya del negocio.  

Hasta aquí parece una buena noticia (dejan de ser considerándose un coste para convertirse en parte del negocio), pero esta realidad implica cambios que van más allá de la tecnología e impactan directamente en la cultura de los empleados dedicados a TI. Una mayor aceleración implica modelos de implementación ágiles, que no dependan de largos ciclos de desarrollo. Una mejora en la adaptación debe contemplar flujos de retroalimentación entre los equipos de desarrollo y operación que permitan evolucionar los productos/servicios en base a iteraciones. Y una transformación de los sistemas con nuevas soluciones cloud implica una capacitación del equipo para poder adoptarlas… He aquí el jardín.

Conocedores de esta situación, Telefónica e IBM han desarrollado una plataforma empresarial de “contenedores como servicio”, una solución que ayuda a los equipos de TI en la evolución de las infraestructuras hacia modelos que permitan: el desarrollo basado en microservicios como habilitador de la aceleración requerida, metodologías de trabajo devops que garanticen la capacidad de adaptación y la sencillez en la implementación y mantenimiento que permita a los equipos transformarse centrándose en el core.

Esta plataforma, conocida como Cloud Garden dota a las empresas de la posibilidad de implementar contenedores sobre una plataforma multitenant con Kubernetes como orquestador, con una serie de servicios integrados imprescindibles para el uso de contenedores con garantía en entornos corporativos: monitorización (Grafana), registro de logs (Elasticsearch),  respaldo (Trident), métricas y, además, seguridad no solo de la plataforma sino con certificación de las imágenes del catálogo para garantizar la integridad de los sistemas desplegados.

De esta forma cualquier empresa podrá contar con una plataforma de desarrollo de servicios que garantice un despliegue seguro, con control del gasto y con la posibilidad de elegir entre autogestionar o delegar en Telefónica la gestión de la plataforma.

Si queréis conocer más sobre este interesante jardín, no os perdáis la sesión “La primavera, el contenedor altera” en la que profundizamos sobre esta nueva propuesta de Telefónica Empresas.

El nuevo reto digital para las empresas se llama SCA

Mar Carpena    24 junio, 2019

El próximo mes de septiembre entrará en vigor la llamada Autenticación Reforzada de Cliente (SCA), una norma para la que la mayoría de las empresas no está aún preparada y que podría generar unas pérdidas millonarias, especialmente para las pequeñas y medianas empresas.

Poco después de la entrada en vigor del RGPD (Reglamento General de Protección de Datos) y en cuyo cumplimiento aún se encuentran inmersas multitud de empresas, llega ahora una nueva norma de carácter europeo, la SCA (Strong Customer Authentication, por sus siglas en inglés) con un claro objetivo: reducir el fraude en operadores de comercio electrónico.

Robo o extravío de contraseñas y credenciales son demasiado habituales en nuestros días y, por ello, la SCA quiere acabar con ellos, aumentando la seguridad de los pagos e introduciendo dos factores de autenticación en cualquier pago electrónico.

Así la Autentificación Reforzada de Cliente establecerá como obligatorio usar por lo menos dos de estos tres factores:

  1. Algo que posee el usuario, como su smartphone.
  2. Algo que conoce el usuario, como una contraseña.
  3. Algo inherente al usuario, como su huella digital.

Es un cambio del que apenas nos separan tres meses y para el que, desgraciadamente, las empresas no están preparadas. En muchos casos, ni siquiera conocen a día de hoy en qué consiste la SCA y cómo adaptarse a ella.

Tres de cada cinco pymes no conocen la SCA

La Autenticación Reforzada de Cliente entrará en vigor el próximo 14 de septiembre, una fecha que está a la vuelta de la esquina, pero para la que la gran mayoría de las empresas se encuentra “en pañales”.

Esta falta de preparación podría tener unas consecuencias más que negativas. Según un estudio de 451 Research y Stripe, la economía europea podría perder 57.000 millones de euros en los primeros doce meses de la entrada en vigor de la nueva normativa.

Y es que tan solo el 40% de las empresas que conocen la existencia de SCA afirma que se sienten preparadas para cumplir con sus requisitos. 

Pero, como suele ocurrir, la entrada en vigor de la SCA tendrá un impacto «desproporcionado» precisamente en las pequeñas empresas. El informe de 451 Research y Stripe afirma que tres de cada cinco empresas con menos de 100 empleados no están familiarizadas con la normativa, «no planean cumplir con la norma antes de septiembre o no están seguras de cuándo estarán listas». Esto contrasta con las grandes empresas de más de 5.000 empleados, en las que solo uno de cada 25 profesionales de pago no lo sabe.

«La SCA es el acontecimiento más disruptivo que afectará al eCommerce. Nuestro estudio indica bajos niveles de preparación de las empresas y, lo que es más preocupante, una falta de conciencia de cómo SCA transformará la forma en que los consumidores europeos comprarán online«, explica Jordan McKee, analista de 451 Research.

Rechazo en los consumidores

A esta falta de preparación, hay que añadir un obstáculo más: el propio consumidor. La nueva norma puede provocar un rechazo en los compradores, que también afectaría al negocio de empresas de todo tipo y tamaño.

Así, este informe señala que solo el 47% de los consumidores europeos considera que el proceso de pago online actual es «muy fácil» y los clientes más atractivos para las empresas en Internet suelen abandonar las compras cuando se encuentran con una experiencia de pago deficiente.

Por ejemplo, el 74% de los compradores de la generación Z (nacidos entre 1994 y 2010) ha abandonado una compra online en los últimos seis meses debido a una mala experiencia de pago. Por otro lado, más de la mitad de los compradores online (52%) que abandona una compra termina completando la transacción con la competencia.

Por ello, según los expertos, en este contexto de baja tolerancia del consumidor a un diseño de pago deficiente, «es probable que SCA empeore las cosas«. El 73% de los compradores desconoce los nuevos requisitos de autenticación que se aplicarán a la experiencia de pago online a partir de septiembre. «SCA aumenta la probabilidad de que los compradores abandonen los carritos de la compra cuando se encuentren con obstáculos inesperados para realizar sus compras cotidianas, como el pago de taxis, el pedido de alimentos y la suscripción a servicios de televisión y música».

Nuevo desafío legal

Estamos ante un nuevo desafío legal para las empresas, que además no solo afecta a los pagos online, sino también pagos en comercios físicos como los realizados con tarjetas sin contacto (contactless) o smartcards.

De acuerdo con los datos de Mastercard, solo el 14% de los comercios online encuestados en Europa ya cuenta con el nuevo estándar de autenticación, mientras que el 51% de ellos afirma que estarán preparados después de septiembre de 2019 o que no tienen planes de implantarlo.

Aunque a estas alturas del año su implantación es precaria, se trata de una medida que, a la larga, aumentará la confianza de los usuarios en los pagos online y probablemente también las compras.

Los post de la semana en LUCA: del 17 al 21 de Junio

Paloma Recuero de los Santos    22 junio, 2019

Nos acercamos al soltsticio, aprovechando al máximo las horas de luz extra para todas las cosas que queremos hacer. Esta semana, os traemos lo mejor del AI Summit de Londres, os hablamos de Azure Machine Learning Studio, os contamos en un nuevo video-blog las conexiones entre Big Data e Internet de las cosas y… mucho más. Todo, en nuestro resumen semanal.

El lunes 17, Richard Benjamins, nuestro Data & AI Ambassador nos contó las últimas novedades y temas que se trataron en el último AI Summit en Londres.

London AI Summit 2019

El martes, tocó hablar de Azure Machine Learning Studio, una potente herramienta que permite trabajar con modelos de análisis predictivo sin necesidad de tener conocimientos de programación?

Así funciona Azure Machine Learning Studio

El miércoles, video post. En este caso hablamos de la relación entre Iot y Big Data. ¿lo viste?

Video Post #10: IoT y Big Data ¿Qué tienen que ver?

El jueves, publicamos un interesante whitepaper sobre tecnologías de inteligencia artificial que resultan claves en el ámbito de la ciberseguridad.

Aplicabilidad de GANs y Autoencoders en la Ciberseguridad

Y el viernes, después de hablar del aprendizaje supervisado, no supervisado y semi-supervisado, le llegó el turno al aprendizaje por refuerzo ¿Sabes en qué consiste? Te lo explicamos en este post.

Reinforcement Learning… el nuevo invitado

Y esto ha sido todo . ¡Feliz fin de semana!

Para mantenerte al día con LUCA visita nuestra página web,  suscríbete a LUCA Data Speaks o síguenos en TwitterLinkedIn YouTube.

La Inteligencia Artificial en España a debate

María Baranguán    21 junio, 2019

¿Cómo se puede crear un ecosistema que fomente la Inteligencia Artificial en España? ¿Qué puede hacer por las personas? ¿Se debe regular? Esta y otras muchas cuestiones relacionadas fueron tratadas por expertos en la materia la semana pasada en el nuevo ciclo de conferencias llamado ‘Tecnobienestar’ organizado por Fundación Telefónica y el Real Instituto Elcano.

Debate completo «Hacia un ecosistema español de IA» #Tecnobienestar

Dichas conferencias arrancaron con un debate sobre el informe de Elcano Policy Paper, ‘Hacia un ecosistema español de Inteligencia Artificial: una propuesta’, que ha contado con la participación de Telefónica, en el que se presentaron ideas para crear un ecosistema español para la Inteligencia Artificial (IA) que contase  con modelos de gobernanza en el que pudieran participar  administraciones públicas, empresas, el mundo académico y la sociedad, además de cooperar con el sistema europeo. Todo ello con el fin de construir una plataforma de IA para mejorar los servicios públicos, la competitividad de las industrias y el modo de vida de los ciudadanos.

Durante le presentación se abrió una mesa redonda en la que Irene Gómez Luque, Directora de Telefónica Aura, tomó parte activa junto a expertos en IA de empresas como Petronor o Kleinrock Advisors.

“Todo el mundo comprende la trascendencia de la IA pero hay que trasmitirla con conceptos más sencillos para que la ciudadanía pueda ser un actor más. Allí tenemos una gran responsabilidad”.

Irene Gómez, Directora de Telefónica Aura
Irene Gómez durante su intervención

La ejecutiva recalcó la necesidad de contar con una estrategia y un proyecto de ejecución de la misma, porque la IA no es solo tecnología y, por ello, es fundamental la presencia de equipos multidisciplinares para que el sesgo no exista. Por su parte, Emiliano López Achurra, presidente de Petronor, habló sobre la necesidad de cooperación con otros países europeos y la creación de espacios comunes para desarrollar la Inteligencia Artificial.

Emma Fernández, Senior Managing Partner de Kleinrock Advisors, animó a las empresas del mismo sector a buscar sinergias y armonizar prácticas. Asimismo, el uso de la IA en la sociedad y los principios éticos que las grandes empresas deben seguir, fue otro de los puntos críticos a debatir.

Participantes en la mesa de debate

Irene Gómez cerró su intervención comentando que “las propias empresas estamos comenzando a autorregularnos, pero hay una carencia de una unificación de una visión conjunta. Tiene que haber una directriz común sobre cómo se tiene que aplicar la IA: es un marco que debe compartirse con el resto de las estrategias que se hagan en otros países europeos”.

En lo que respecta a Telefónica, en temas de Inteligencia Artificial, es una de las telcos pioneras en introducir este servicio para mejorar y facilitar su relación con los clientes a través de Aura. No te pierdas su historia, no dejes de leer el Aura Story Book vol. 1 y vol. 2 Además, Telefónica es la primera empresa que ha aplicado una serie de principios éticos al diseñar, desarrollar o utilizar la Inteligencia Artificial.

La emoción como verdadera revolución tecnológica

Mercedes Núñez    21 junio, 2019

Puede que el titular “La emoción como verdadera revolución tecnológica” os resulte extraño. Tanto como si habláramos de las personas como los perfectos robots… pero en este post trataré de explicarlo.

Comentaba que volvería a escribir sobre “Mentes brillantes” y hoy lo hago para centrarme en dos intervenciones que dan para una reflexión profunda. Corrieron a cargo, respectivamente, de Marta de la Fuente, responsable del Servicio de psicooncología del Hospital MD Anderson Cancer Center Madrid y de Sarah Harmon, directora de LinkedIn para España y Portugal.

Marta de la Fuente, reputada experta en estrés y ansiedad, habló de «La emoción como verdadera revolución tecnológica» e introdujo un interesante concepto: el big data emocional y es que la tecnología -dijo- nos ayuda a mejorar nuestra calidad de vida pero las grandes empresas se están preocupando también de manera prioritaria de lo que sentimos, para utilizarlo a su favor. Está claro que lo hacen y que la tecnología otorga un enorme poder para entender a las personas (sus clientes). El IoT contextualizado sirve, por ejemplo, para predecir sentimientos que generan necesidades.

Pero lo que ella recalcó en su intervención es que debemos ser nosotros los que nos interesemos por nuestras propias emociones. Frente a lo que podríamos pensar, estas emociones dependen de la genética en un 50 por ciento, del comportamiento en un 40 por ciento y de la situación tan solo en un 10 por ciento. De ahí que haya un amplio margen para trabajar en el 40 por ciento que depende de nosotros. La cuestión es que rara vez lo hacemos. Marta pidió a los asistentes que pensaran en las tres personas más importantes de su vida. Cuando preguntó quiénes se habían incluido apenas había alguna mano levantada.

Cuidamos de la alimentación, nos preocupamos de hacer ejercicio físico, vigilamos las horas de sueño pero ¿y lo emocional? Marta hizo reparar en ello a los presentes: “¿Cuándo fue la última vez que os preguntásteis por las emociones?, ¿os interfieren?, ¿os dominan a veces?, ¿qué hacéis para mejorar esa situación?, ¿os funciona?, ¿es suficiente? ¿Qué estrategias usáis para gestionar vuestras emociones en tiempo real?”. También aclaró, frente a la corriente reinante en que parece que no se puede estar triste, que el positivismo llevado al extremo es muy perjudicial y que las emociones “negativas” no lo son tanto, tienen su utilidad.

El mensaje clave fue que la “salud emocional” es una asignatura pendiente en todos los ámbitos de nuestra vida. Y su importancia es tal que se trata precisamente de una de las habilidades blandas que más valoran y buscan las empresas. Por ello, dijo Marta de la Fuente, “no nos debemos olvidar de trabajar en ella, además de hacer el “gran máster”.

La emoción -concluyó- es la verdadera revolución. Debemos trabajar la salud emocional, pensar en nosotros mismos, priorizarnos, disfrutar de nuestros momentos al margen de la tecnología, que ésta nos sirva pero no nos domine ni nos estrese. Porque si estamos bien podremos contagiar emociones positivas y ayudar a otros, como demuestran las neuronas espejo. Si tenemos salud emocional podremos disfrutar de una sociedad y un mundo mejor.

Sarah Harmon, por su parte, lanzaba una provocadora pregunta: “¿Y si el robot del futuro eres tú?”. Y me quedo con su concepto de edge of personal growth o borde del crecimiento personal, relativo a que las personas somos máquinas de aprendizaje continuo.  Y, para que se entendiera, hizo una metáfora con Data, el androide de Star Trek para quien su creador construyó un “chip emocional”, que resultó un absoluto desastre. El cerebro humano, en cambio, es el órgano más plástico y maravilloso. Frente a los robots, tenemos inteligencias de distintos tipos: la “normal”, emocional y digital.

En este momento, señaló la directiva de Linkedin, el ejercicio necesario es pensar cómo queremos casar el mundo físico con el digital, compaginar capacidad de adaptación y empatía y ver cómo los robots nos pueden sumar y no restar, que no nos conviertan en vagos ni les temamos.

Para aprovechar las oportunidades de la cuarta revolución industrial es necesario salir o mejor -como dice Yoriento- “ampliar” nuestra zona de confort. Sarah se refirió a un estudio según el cual el 70 por ciento de los españoles no perseguimos nuestros sueños por miedo al fracaso o al éxito pero insistió en que es necesario llegar al “borde del crecimiento personal” porque es ahí donde sucede la magia, donde crecemos. Acomodarse es morir, afirmó.

No parece probable que vayamos a encontrarnos en el ascensor con el CEO de la compañía de nuestros sueños, con lo cual tenemos que plantearnos el trabajo soñado como un trabajo en sí mismo. Un candidato tiene que ser “encontrable”, tener una huella digital, una marca personal. La directora de Linkedin para España y Portugal aconsejó estar al menos en los dos canales que mejor le encajen a uno, que le vayan bien para contar sus habilidades y “su historia”: quién eres y quién aspiras ser. Aún así no será pan comido, Sarah apuntó que el 80 por ciento del trabajo está oculto, las vacantes no se publican pero, claro, si uno busca por su nombre y no hay resultados, el problema se agrava mucho más…

Debemos pensar -dijo la ponente- qué tipo de trabajo queremos (que nos llene el alma) y en qué clase de empresa queremos estar (alineada con nuestros valores) y trabajar para que el sueño se haga realidad. La emoción también supone una diferencia competitiva.

El futuro corresponde a los creativos y los curiosos -afirmó. El factor crítico del éxito, según una encuesta de IBM y Linkedin, pasa por habilidades como la comunicación verbal, la creatividad, la colaboración, la persuasión, el liderazgo… Desde el propio sistema educativo se premia la conformidad  y en la práctica no muchas empresas promueven el flujo de ideas (un departamento de innovación no es la solución porque la innovación no puede ser un silo, sino una filosofía). Debe imponerse la revisión continua, premiar a quiénes se preguntan los por qués, contrastan información y se cuestionan la autoridad.

En definitiva, el mensaje de Sarah fue que las personas somos verdaderas máquinas de creatividad y quienes decidimos si se puede y, sobre todo, si se debe hacer algo, no la tecnología.

Un mensaje con el que Telefónica está alineada.

Imagen: silviarita/pixabay

Reinforcement Learning… el nuevo invitado

Rubén Granados Muñoz    21 junio, 2019

Hablábamos en un post anterior sobre el aprendizaje semi-supervisado (semi-supervised learning), y lo presentamos como una alternativa olvidada a las aproximaciones más comunes en Machine Learning (ML): el aprendizaje supervisado y el no supervisado. Aquí queremos presentar un “nuevo” invitado, el aprendizaje por refuerzo o Reinforcement Learning (RL). No tan nuevo, porque lleva con nosotros desde los años 80.

Repasemos muy brevemente las aproximaciones clásicas, que hasta ahora han sido suficientes para afrontar la mayor parte de los problemas de Machine Learning. Las características principales de estas técnicas están muy claras en cualquier persona que tenga un mínimo contacto con el área: en el aprendizaje supervisado tenemos conjuntos de datos etiquetados (ya sean valores numéricos para problemas de regresión, o categorías para el caso de la clasificación) de los que los algoritmos aprenderán, y en el caso no supervisado, tendremos datos pero sin etiquetar, por lo que el objetivo será descubrir estructuras o patrones dentro de esos datos (por ejemplo, en los problemas de clustering o segmentación).

¿Dónde entra en juego entonces el aprendizaje por refuerzo? El escenario de acción de este tipo de modelos será cuando no se dispone inicialmente de un conjunto de datos de los que aprender, ya sea porque no existen o porque no podamos esperar a recopilarlos o porque cambian demasiado rápido y la salida se modifica también con mayor frecuencia de la que los modelos típicos pueden entender.

Nos puede ayudar a entender mejor el concepto si nos vamos a los orígenes del aprendizaje por refuerzo, que se basa en el estudio del comportamiento animal. El típico ejemplo es el de la gacela recién nacida, que es capaz de aprender a caminar y a correr en unos pocos minutos, sin disponer de conocimiento previo ni modelo alguno sobre cómo utilizar sus piernas. Su forma de aprender consiste en un mecanismo de prueba y error, interactuando con su entorno y aprendiendo qué tipo de movimientos le son beneficiosos y cuales no, todo orientado a conseguir su recompensa, en este caso nada despreciable: su supervivencia

Algún ejemplo de problemas actuales que se ajustan a estas características pueden ser el control en robótica (donde el robot puede estar conociendo por primera vez el lugar por el que quiere moverse), o la interacción en videojuegos o juegos clásicos (donde las posibilidades son muchas y la situación cambia continuamente) donde, como la gacela, el objetivo es maximizar alguna noción de recompensa (que dependiendo del juego, puede ser matar el mayor número de zombies posible o comerse a la reina rival).

Aunque el concepto de este tipo de aprendizaje no es tan claro como el de los casos supervisado y no supervisado, va quedando clara la diferencia principal: mientras en los métodos clásicos se tienen datos de los que aprender, los algoritmos de RL van generando sus propios datos a base de experimentar, probar y equivocarse, para identificar la mejor estrategia o conjunto de movimientos, utilizando como refuerzo (positivo o negativo) la información que obtiene desde el entorno sobre sus acciones.

En resumen, los modelos de RL viven su propia experiencia y aprenden de ella, mientras que los otros tienen ejemplos de los que aprender. Y lo más importante, los sistemas basados en RL pueden sobrevivir aprendiendo de su entorno, sin la limitación de estar atados a las reglas o modelos aprendidos del pasado.

Recuperando el esquema del post anterior, podríamos incluir un enfoque más dentro de las posibilidades de estrategias de aprendizaje automático:

Distintas estrategias en Aprendizaje Automático

El esquema básico de funcionamiento de un modelo de Reinforcement Learning puede verse en la figura. El agente es el algoritmo de RL en sí, el que toma decisiones para actuar en su entorno. El entorno es el mundo en el que opera el agente, representa el universo de posibilidades o situaciones que se pueden dar en un momento concreto. El estado es la caracterización de la situación en un momento dado del agente. Las acciones se refieren a las tareas que el agente lleva a cabo en el entorno. Y, por último, la recompensa es lo que guía las decisiones de los agentes, asociadas a las acciones ejecutadas, en forma de feedback desde el entorno.

Figura 2: Realimentación del entorno.

En cuanto a los posibles escenarios para la aplicación de este tipo de aprendizaje, se pueden destacar todos aquellos escenarios en los que esté presente la acción humana, y que no puedan ser resueltos por un conjunto de reglas o por modelos de ML tradicionales. Por mencionar algunos: la automatización de procesos robóticos (como el robot industrial Faunc, que aprendió por sí mismo a coger objetos de contenedores), el embalaje para envío de materiales, la conducción autónoma de vehículos, el marketing digital (donde un modelo puede aprender a poner anuncios personalizados y en el momento idóneo a los usuarios en base a su actividad), los chatbots (utilizando para aprender las reacciones de los usuarios), las finanzas (donde puede utilizarse para evaluar estrategias comerciales con el objetivo de maximizar el valor de portfolios financieros), etc.

Otro ejemplo típico de la aplicación de los algoritmos de RL son los que aprenden a jugar a los videojuegos, con el caso de AlphaGo Zero, primer algoritmo en vencer a un campeón del mundo humano en el famoso juego chino Go. La imagen muestra un mapa completo de las inmensas posibilidades del RL.

Figura 3: Aplicaciones del aprendizaje por refuerzo.

En resumen, hay vida más allá de los clásicos modelos y algoritmos supervisados o no supervisados de ML, como son los presentados aquí de Reinforcement Learning, y pueden ayudarnos en un sinfín de tareas.


Escrito por Alfonso Ibáñez y Rubén Granados 


Para mantenerte al día con LUCA visita nuestra página web,  suscríbete a LUCA Data Speaks o síguenos en TwitterLinkedIn YouTube

¿Qué cambios tecnológicos debe incorporar tu empresa en 2020?

Ismael Ruíz    21 junio, 2019

En los últimos años hemos asistido a numerosos cambios tecnológicos a nivel empresarial, que no solo debemos aceptar como inevitables sino también adaptarnos a ellos, sobre todo para asegurar la supervivencia y escalabilidad de nuestro negocio.

Y es que lo digital ha pasado a formar una parte muy importante de nuestras vidas, no solo para nuestro entretenimiento o en nuestra vida personal, sino también en nuestra vida profesional.

Es algo que afecta no solo a las grandes empresas, sino también a las pymes. Por ello, si tienes un negocio o una pequeña empresa, ten siempre presente esta lista con los seis cambios tecnológicos a los que deberás adaptarte desde hoy:

Edge Computing

La computación perimetral o Edge Computing es una tecnología que bien podría denominarse “ahorrador de tiempo”, por su capacidad para analizar rápidamente y en tiempo real, antes de que lleguen a la «nube», los datos que recolectan nuestros dispositivos de Internet de las Cosas (IoT).

Al procesar los datos en tiempo real, la empresa dispone inmediatamente de información que le permitirá mejorar sus procesos internos, algo fundamental en sectores como la industria o la salud, y en aplicaciones más concretas como el coche autónomo, el reconocimiento facial, la realidad aumentada, la robótica, etc.

Otra de sus ventajas es que reduce el riesgo de pérdida de datos al tenerlos en la nube, así como problemas de seguridad que puedan surgir. Con Edge Computing toda la información y los datos que manejan tus dispositivos se mantienen dentro de tu negocio, sin riesgo de perderlos o de que alguien más pueda acceder a ellos.

Ciberseguridad

La seguridad es vital para las empresas. En la última década una creciente ola de ciberataques ha puesto en evidencia lo peligroso que puede ser dejar nuestra información y nuestros equipos desprotegidos.

Por ello, si no quieres o no puedes invertir en complejos sistemas de protección, al menos instala siempre un antivirus en tus móviles y ordenadores de empresa.

También debes tener en consideración el nuevo marco de gestión y protección de datos europeo, el llamado RGDP, que ya lleva más de un año en vigor y que para el próximo año deberás tener completamente memorizado y dominado.

Internet de las Cosas

Internet de las Cosas (IoT) comprende todos aquellos dispositivos que no solo poseen una conexión a Internet, sino que también pueden conectarse entre sí, como son los smartphones, las smart TV, portátiles, ordenadores de sobremesa, smartwatches y muchos otros dispositivos que hoy hacen nuestra vida mucho más fácil.

Los dispositivos IoT son un método excelente para optimizar nuestras tareas diarias, no solo mediante los dispositivos antes mencionados, sino con otros que se emplean en la industria como, por ejemplo, los drones, que cada vez revelan más funcionalidades de aplicación social y empresarial, como la entrega de paquetes, labores antiincendio, mapeados 3D, operaciones de búsqueda y rescate, trabajos de vigilancia, etc.

Otro gran ejemplo son las Smart cities o ciudades inteligentes y el Smart Farming (agricultura inteligente), proyectos basados en la interconexión de estos dispositivos para mejorar el funcionamiento de ciudades enteras o la optimización de los cultivos.

Inteligencia artificial

Aunque aún no hemos llegado al punto de ver robots caminando por nuestras oficinas y ayudándonos con el correo o sirviendo el café, la inteligencia artificial es una tecnología que ya podemos ver en muchos lugares, quizás no tan avanzada como en las películas de ciencia ficción, pero con múltiples aplicaciones de interés.

Existen diversas herramientas que te ayudarán a incorporar poco a poco la inteligencia artificial a tu empresa, desde chatbots capaces de responder a tus clientes hasta asistentes inteligentes listos para organizar y analizar grandes cantidades de datos. ¿Por qué gastar tiempo y recursos en tareas repetitivas cuando puedes tener a un robot que lo haga por ti?

Digitalización

La digitalización o transformación digital lo invade todo. Todo el mundo habla de ella, y afecta no solo a la tecnología, sino también a las personas.

Digitalización no es solo crear un eCommerce o una página web para tu empresa, sino también digitalizar todos los procesos que utilizas en tu día a día, desde la recolección y análisis de datos hasta la optimización de procesos y tareas, la gestión de empleados en movilidad, información en la nube, trabajo colaborativo, etc.

Tecnología móvil 5G

2020 será un año increíble para muchas industrias del área tecnológica, y las telecomunicaciones y las conexiones esperan un gran avance. Y es que 2020 es justamente el año en el que se espera que el mundo adapte la señal 5G para su uso común. ¿Y qué mejor manera de adelantarte a tus competidores que preparándote para integrar esta nueva generación de telecomunicaciones?

Desde una señal más estable hasta una velocidad de conexión a Internet mayor de la que se consigue actualmente, la nueva señal 5G promete y mucho, no solo para particulares, sino también para las pequeñas y medianas empresas.

Si bien aún no se encuentra lista para su implementación en el territorio español ni el mundo, los avances que se han ido dando estos últimos meses apuntan a que más pronto que tarde podremos tener acceso a esta innovación de las telecomunicaciones, por lo que es solo cuestión de tiempo.

Aplicabilidad de GANs y Autoencoders en la Ciberseguridad

AI of Things    20 junio, 2019

El proceso de transformación digital de la sociedad y de las organizaciones es hoy día una realidad que se asienta sobre dos pilares fundamentales: la inteligencia artificial y la ciberseguridad. Este proceso, que ha supuesto un cambio radical en la forma en la que el ser humano se comunica, se relaciona, trabaja y vive, pasa por conocer los riesgos que las nuevas tecnologías traen consigo.

Los beneficios que puede proporcionar la inteligencia artificial son claros, pero ¿y los riegos?

Debemos ser cautos porque, aunque facilitar la vida de las personas puede ser uno de sus objetivos, también es posible hacer un mal uso de ellos. Uno de los ejemplos más claros es la proliferación de Fake News apoyadas en vídeos generados por una IA que parecen ser lo que no son. También es posible generar de forma artificial voces que encajan perfectamente con las de personas reales.

En este artículo, tras una breve introducción de conceptos básicos sobre
Machine Learning y Deep Learning (modelos simples de ML, VAEs, GANs, Redes Neuronales Convolucionales y Recurrentes), se revisa el estado del arte y los casos de uso más populares de estas tecnologías que permiten generar ataques de phising o Fake News; pero también pueden ser utilizadas para protegernos de los mismos.

Lee el artículo en este enlace.

Para mantenerte al día con LUCA visita nuestra página web,  suscríbete a LUCA Data Speaks o síguenos en TwitterLinkedIn YouTube.

No es oro todo lo que reluce en serverless

Álvaro Paniagua    20 junio, 2019

Hoy en día la filosofía serverless (que reemplaza servidores por código) se ha convertido en una palabra pegadiza que utilizamos prácticamente para cualquier servicio, y que muchas veces (no siempre) se puede incluir dentro de PaaS (plataforma como servicio). La primera vez que se utilizó este término fue en 2012 en un  artículo  de Ken Fromm, vicepresidente de una empresa de business intelligence, así que curiosamente no proviene de ningún hiperescalar. A partir de entonces la popularidad del concepto fue creciendo y en 2014 se hizo viral, gracias al bombo que le dio Amazon en el lanzamiento de AWS Lambda, un FaaS (function as a service). ¿Fue Lambda el primer servicio serverless? No, el mérito le corresponde a Google gracias al servicio de alojamiento web App Engine, que lanzó en 2008 y fue anterior incluso al término que lo definía.  

A principios de año hablábamos de cómo el serverless iba a ser una de las tendencias clave de este 2019, y es que la sencillez que una empresa obtiene al delegar completamente la infraestructura y centrarse en la aplicación es digna de destacar. Durante los últimos años hemos visto esta palabra asociada a toda clase de servicios porque, aunque a priori se relacionaba con los FaaS  o funciones como servicio, su ámbito se ha ampliado a otros como bases de datos e incluso entornos completos para el entrenamiento de modelos neuronales en el ámbito de la inteligencia artificial.  

La filosofía serverless siempre se ha asociado a la nube pública y es que la promesa de poder escalar casi hasta el infinito sin tener que pagar mientras no haya “visitas” se orienta mucho a ello. En lo que muchos no habían reparado es que un servicio serverless no se asocia solo a la nube pública, sino a una nube pública en concreto.  

Mientras la tecnología IaaS y algunos PaaS disponen de mecanismos para evitar el temido vendor lock-in, en el mundo serverless este asunto no parece tan prioritario y vemos cómo la posible migración de una nube pública a otra supone una gran inversión al menos en tiempo, sin olvidar que en caso de querer llevarnos el proceso a una cloud privada habría que reconstruirlo.  

Portabilidad entre diferentes FaaS

Esta preocupación ha llevado a pesos pesados del mundo de la computación como Google, IBM o VMware a crear un estándar para facilitar la portabilidad entre diferentes FaaS. Este estándar se ha bautizado como Knative y se trata de un ambicioso proyecto abierto que seguro que dará mucho que hablar en los próximos años.  

Knative lleva la filosofía FaaS al sistema Kubernetes, lo que facilita enormemente la migración entre diferentes nubes. Se debe introducir todo el código necesario para una aplicación en un contenedor, configurar las reglas del juego a Knative y, a partir de ese momento, él se encarga de que el proceso esté siempre disponible, de escalarlo e incluso apagarlo cuando no exista tráfico.  

Knative es una tecnología bastante reciente pero ya cuenta con el apoyo de un servicio que lo utiliza íntegramente: Cloud Run de Google, que ofrece la despreocupación del mundo serverless y la ausencia de lock-in, ya que uno en cualquier momento puede coger el contenedor y el código Knative y llevárselo al Kubernetes de cualquier otra nube, incluso privada.  

Cuenta con un apoyo de la comunidad cada vez mayor, por lo que no sería extraño ver pronto una compatibilidad en los servicios de AWS y Microsoft Azure, entre otros. 

Imagen: Steve Corey