Tres vías de colaboración entre universidad y empresa

Mario Cantalapiedra    16 mayo, 2019

Según la visión de Henry Chesbrough, “existe un mercado global de innovación, donde esta es una commodity (mercancía) que puede ser comprada, vendida, licenciada, prestada y reinvertida”. Para el padre de la teoría de la innovación abierta, en un mundo globalizado las innovaciones han de ser explotadas por aquellos que sean capaces de generar más valor, aunque no pertenezcan a la estructura interna de la empresa, de tal modo que se aprovechen talentos, tecnologías, ideas, recursos y hasta “ganas” provenientes de fuentes exteriores.

Esta mentalidad ha ido calando en las empresas, en la medida en que los costes de innovación han sido cada vez mayores para ellas y los bienes y servicios que comercializan se han enfrentado a ciclos de vida más cortos y una mayor competencia.

Dentro de este entorno de colaboración con externos en materia de innovación, surge el proceso de transferencia tecnológica, mediante el cual una organización pública o privada transmite su conocimiento o tecnología hacia otra para el desarrollo de un proceso, la fabricación de un producto o la prestación de un servicio. En concreto, me gustaría referirme aquí a la transferencia tecnológica que se realiza entre universidades y empresas privadas.

En España -al igual que en otros países de nuestro entorno- esta transferencia tecnológica se ha visto limitada por una serie de factores tales como la ausencia de una cultura de cooperación, el desconocimiento mutuo, la falta de comunicación o los intereses y formas de funcionar diferentes del mundo universitario y el mundo empresarial. No obstante, ya existen múltiples ejemplos de colaboración, en la cual los frutos de la investigación universitaria llegan al mercado a través de nuevos productos o servicios ofrecidos por las empresas.

En este sentido, la colaboración entre universidades y empresas puede materializarse a través de una serie de instrumentos:

1. Contratos de investigación, desarrollo e innovación

Mediante este tipo de contratos la universidad realiza un proyecto de I+D+i a petición de una empresa con el objetivo de generar un nuevo conocimiento o una innovación.

Su clausurado varía mucho en función de cuál sea el proyecto, incluyendo especificaciones acerca de los objetivos que se pretenden lograr, el plan de trabajo, la confidencialidad, la difusión de los resultados, la propiedad industrial e intelectual, la explotación de los resultados obtenidos o las aportaciones concretas que deben realizar ambas partes, etc.

En cuanto a los resultados, hay que tener en cuenta que en este tipo de proyectos, la obligación de la universidad pasará por su compromiso en asignar unos medios humanos y materiales para llevar a cabo una serie de acciones concretas, y no por alcanzar unos resultados específicos (ventas, beneficios, etcétera), los cuales se darán en función de que la innovación funcione finalmente en el mercado.

Un aspecto interesante que se ha de valorar, especialmente desde las pequeñas y medianas empresas que se planteen este tipo de contratos, es el de las desgravaciones fiscales a las que pueden optar por realizar actividades de investigación, desarrollo e innovación en colaboración con universidades.

2. Contratos de licencia

A través de ellos la universidad cede unos derechos de explotación (patentes, modelos de utilidad, software, etcétera) a una empresa para determinados usos, percibiendo una remuneración a cambio. Dentro de ellos se han de especificar aspectos tales como los tipos de derechos que se ceden, definiendo su ámbito territorial, su duración y su exclusividad o no, o la retribución por la concesión de la licencia (que habitualmente consiste en un porcentaje sobre las ventas netas que realice la empresa).

3. Creación de empresas de base tecnológica

En este caso, la colaboración entre universidad y empresa surge a partir de la puesta en marcha de negocios empresariales (spin-off) generados para explotar resultados de investigación universitaria. Es un instrumento que poco a poco se está utilizando en otros entornos geográficos diferentes al estadounidense, donde cuenta ya con gran tradición. En este sentido, y según los datos aportados por RedOTRI, la red de Oficinas de Transferencia de Resultados de Investigación de las universidades españolas, en 2016 se crearon 95 spin-off en España, de los cuales la mayor parte (54 por ciento) tuvieron su origen en la rama de ingeniería y arquitectura.

Precisamente aquellos que se planteen colaborar en materia de innovación con las universidades y no sepan por dónde empezar, pueden acudir a las OTRI, que son las unidades de transferencia de conocimiento de las universidades y organismos públicos de investigación españoles, cuya misión pasa por apoyar y promover la producción de conocimiento y su transferencia a las empresas y otros agentes socioeconómicos.

La inteligencia artificial detrás de GitHub

Sergio Sancho Azcoitia    16 mayo, 2019

Git es un sistema de control de versiones que se ha vuelto muy popular durante los últimos años. Eso se debe a su gran potencia y versatilidad, lo que ha hecho que miles de proyectos de software libre hayan decidido migrar sus repositorios a Git. Esta popular versión de control en varias ocasiones requiere del conocimiento de comandos algo concretos.

Si eres desarrollador desde hace poco tiempo y quieres aprovecharte de las ventajas de Git lo más seguro es que  ya hayas oído hablar de GitHub. GitHub es una compañía no lucrativa que ofrece un servicio de hosting de repositorios almacenados en la nube. Su interfaz es usada por millones de empleados de grandes empresas como Google o Facebook. Tal ha sido su éxito que la compañía fue comprada por Microsoft el año pasado por la suma de 7500 millones de dólares.

Tras su compra Microsoft liberó en GitHub su nuevo motor de inteligencia artificial llamado Adam, el cual aseguran que es incluso más rápido que el de Google a pesar de su diminuta infraestructura. Adam es un proyecto de Inteligencia Artificial y Machine Learning capaz de aprender y trabajar con cuestiones complejas, de hecho, Microsoft planea utilizarlo para mejorar su asistente Cortana.

En su primera fase el proyecto se basa en el reconocimiento de objetos, algo que ya hemos visto en otros motores de inteligencia artificial como en Firefly de Amazon. Para entrenar este reconocimiento, Adam cuenta con una base de datos superior a 10 millones de imágenes que se encuentran divididas en diferentes categorías. Tras acabar con esta fase de reconocimiento se espera que Adam sea capaz de contestar cualquier pregunta o aclarar cualquier duda que se le plantee acerca de seres u objetos.

GitHub se basa en la colaboración entre usuarios favoreciendo que varios desarrolladores experimenten con código abierto y compartan sus distintos proyectos e ideas. Por eso mismo Microsoft ha apostado por hacer público el código de Adam. Hoy en día gran parte de la programación consiste en ensamblar y modificar códigos que ya están escritos, y todos esos códigos tienden a reunirse en GitHub, una plataforma accesible a todos los usuarios.

Para mantenerte al día con LUCA, visita nuestra página web,  suscríbete a LUCA Data Speaks o síguenos en TwitterLinkedIn YouTube.

‘Accountability partner’, el truco infalible para lograr tus objetivos

Ángel María Herrera    15 mayo, 2019

Cuando trabajas por cuenta ajena, muchas veces tienes que rendir cuentas a tus superiores. Es posible que tengas un responsable que te pide resultados, que te pregunta qué vas a hacer hoy, qué hiciste ayer, qué harás mañana. Alguien que valida, te corrige o te alienta a continuar hacia una u otra dirección, y que muchas veces lo consideramos ese “pesado” que no te deja trabajar, pero que realmente vela por el cumplimento de tus objetivos.

Algo que valoran quienes se montan un negocio o trabajan por cuenta propia es no tener que rendir cuentas a nadie. Y eso puede tener grandes ventajas, pero también algunos inconvenientes. Pues precisamente el hecho de no tener que reportar a nadie tus tareas del día, puede hacer que te olvides de llevar un control sobre ellas, de perder el norte, de fallar en tu organización. Y lograr tus objetivos es vital para sacar adelante tu empresa.

Qué es un accountability partner

Yo tengo para ello un accountability partner, que es simplemente alguien con quien revisas cómo vas con tus objetivos personales y profesionales, tras haber establecido un compromiso de apoyo mutuo por ambas partes. Siempre he sido bastante malo aterrizando y dando seguimiento a mis objetivos, y por tanto cumpliéndolos, y desde que lo tengo, he notado un cambio radical. Al final se trata de alguien que te ayuda a ver cómo vas con tus objetivos, del mismo modo que le ayudas con los suyos.

En mi caso, por ejemplo, preparamos nuestros objetivos semanales el domingo por la tarde y nos los intercambiamos por WhatsApp, y luego nos marcamos los objetivos diarios cada mañana en consonancia con los objetivos semanales. A final de semana nos autoevaluamos y lo compartimos con el otro, para preparar los nuevos objetivos de la semana que entra y vuelta a empezar.

Una semana ocurrió que uno de los objetivos marcados era el mismo que había puesto la semana anterior y que no lo había llevado a cabo. Mi accountability partner fue quien me recordó que ya llevaba retrasando el mismo objetivo durante varias semanas consecutivas, lo que me hizo ser consciente de ello. Lo estaba demorando porque encontraba ciertas dificultades para conseguirlo. Y en lugar de cambiar de planteamiento, seguía posponiéndolo una semana tras otra. Eso me ayudó a pensar en una nueva perspectiva, en darle un nuevo enfoque para que se convirtiera en un objetivo realizable. Efectivamente, a la semana siguiente ya no apareció en las tareas pendientes, porque ya lo había logrado.

Evita la procrastinación

El accountability partner puede ser ese responsable a quien rendir cuentas, pero sin el atributo de “pesado”, porque su intención no es otra que ayudarte, ser tu conciencia, tu fuerza de voluntad. Es alguien a quien reportar tus tareas, tus planes, tus resultados. También puede ser esa conciencia que te recuerda que ya tenías ese “plan” la semana pasada y que continúas sin llevarlo a cabo. Pero igualmente es alguien del que te responsabilizas por seguir sus objetivos y ser su apoyo.

No es tu jefe ni un amigo que te va a decir lo que quieres escuchar. Tú puedes engañarte a ti mismo en alguna ocasión, convencerte de que no has ido a tal sitio o has dejado de hacer tal cosa, porque has pensado que era la mejor opción, porque no te ha dado tiempo o porque temías que cayera un meteorito justo en ese instante. Pero a tu accountability partner no le vas a convencer y posiblemente su respuesta te haga ver mejor la realidad que tú mismo.

El accountability partner puede ser una persona que tenga algún tipo de relación con tu proyecto o, por el contrario, que nada tenga que ver con él. No hace el papel de asesor, ni tampoco de confidente, es alguien con quien intercambiar tus logros, con quien gestionar tus objetivos.

Cuando la fuerza de voluntad flaquea, un accountability partner puede ser el empujón que necesitas.

Seguro que alguna vez te has encontrado en la situación de no tener muchas ganas de hacer alguna cosa, y el hecho de verte acompañado por alguien te ha animado a ponerte en marcha, ¿verdad? ¿Ir al gimnasio, tal vez? ¿Al dentista? ¿Visitar a un pariente muy pesado? El accountability partner busca ese apoyo mutuo. Es una relación que te retroalimenta, que evita la procrastinación, un hecho que cuando eres autónomo o trabajas solo puede resultar muy recurrente, sobre todo si no tienes una clara autodisciplina.  Tener que reportar a alguien tus metas y objetivos diarios, así como velar por los suyos, es algo muy potente, ya que te obliga a activarte.

Qué ha pasado con SHA-1 y el nuevo ataque. Una explicación sencilla

Sergio de los Santos    14 mayo, 2019

Se ha anunciado “otro clavo en la tumba de SHA-1” en forma de estudio que demuestra, de otra manera y una vez más, su debilidad. Aunque suene complejo, no es tan complicado. Cada cierto tiempo se vienen oyendo noticias sobre la debilidad de los algoritmos de hash, pero no siempre somos conscientes de qué significa y si son ataques teóricos prácticos. Vamos a intentar aclararlo.

Pequeña introducción
Una colisión en un algoritmo de hash es conseguir que dos flujos de datos diferentes tengan el mismo hash. SHA-1 son 160 bits y por tanto “solo” 2^160 combinaciones finitas. Pero el flujo de entrada de datos es infinito, así que teóricamente las colisiones son posibles, y de hecho necesitarías en 2^80 combinaciones de media por fuerza bruta para encontrarlas, algo que hoy por hoy es computacionalmente muy complejo. Las colisiones a su vez pueden ser de dos tipos, de prefijos “Idénticos” (o “clásico”) y de “Prefijos elegidos”.

Prefijos idénticos y prefijos elegidos
En las idénticas, digamos que el atacante no tiene control sobre los mensajes en los que se encuentra la colisión, sino que los elige el algoritmo. Por tanto es menos útil desde el punto de vista práctico (para un atacante). Se tiene que partir de la base de que existe un prefijo con mismo hash,y a partir de ahí se le añaden payloads diferentes para que todo el conjunto tenga el mismo hash, aunque el contenido sea diferente.

Esto es muy útil para crear documentos con un mismo hash y diferente contenido. Como un documento o binario con un formato compartido contiene muchas partes idénticas por esa misma razón, es bastante habitual realizar pruebas de concepto de este tipo.

Prefijo idéntico usado por Google en 2017 para crear dos PDF idénticos

Esto se popularizó con el algoritmo de Xiaoyun Wang y Yu en 2004. Diseñó un código para crear ficheros que podían llegar a ser diferentes en hasta 128 bytes, pero compartir un mismo hash MD5. Un año más tarde se publicó el famoso artículo «Attacking Hash Functions by Poisoned Messages – The Story of Alice and her Boss«, donde se mostraban dos ficheros PS (PostScript) con idéntico MD5. Lo consiguieron Magnus Daum y Stefan Lucks. Recordemos que MD5 son 128 bits y SHA-1, 160. Google no se consiguió lo mismo con SHA-1 hasta doce años más tarde y un coste más elevado.

Esto se mejoró sustancialmente en 2007 cuando Marc Stevens, Arjen K. Lenstra, y Benne de Wege pudieron crear dos binarios ejecutables completamente diferentes con mismo MD5, gracias a los prefijos «elegidos». Con los prefijos elegidos se abría una nueva fórmula, en la que se ponían en peligro los certificados, por ejemplo, con firmas digitales completamente diferentes pero que se podía simular que disponían del mismo hash, puesto que en un certificado solo se firma el hash de su información.

Por tanto, tenemos por un lado los ataques clásicos de Wang y demás con prefijo idéntico y por otro lado, Stevens y demás con sus prefijos elegidos. Uno más sencillo computacionalmente que el otro, y el segundo también más potente.

Y ahora, la carrera por reducir la potencia en cada modalidad
Una vez establecidas las bases de la teoría, tenemos una carrera para reducir la potencia necesaria para su cálculo, porque no olvidemos que todo esto se trata al final de fuerza bruta. No es lo mismo computar 2^80 que 2^60. Uno puede marcar la diferencia con respecto al otro sobre qué es factible hoy en día. Si reducimos el número, puede que se haya conseguido un logro, sin duda, pero quizás siga sin ser factible para la computación actual. Por tanto, tenemos ataques teóricos, donde con algoritmos en papel, reduce la potencia pero pueden ser imposibles hoy. Por otro lado, tenemos ataques prácticos con la computación actual. Por supuesto, con el tiempo los teóricos pueden volverse prácticos.

Para entender qué ha pasado con SHA-1 y por qué debemos preocuparnos, se puede realizar un paralelismo con MD5.

  • 1992: se publica MD5 y en teoría se debería poder romper en 2^64 con fuerza bruta (se le suele llamar ataque cumpleaños).
  • 1993: ya se habla de pseudo colisiones, pero nada preocupante para la época (vectores de inicialización diferentes que ofrecían el mismo digest).
  • 2004: como hemos mencionado, colisiones de prefijo idéntico conseguidas en 2^40. Algo ya «práctico» en una hora.
  • 2005: ficheros diferentes, mismo MD5 con prefijos elegidos. Crean dos certificados con mismo MD5.
  • Curiosidad: en verano de 2005, un australiano consiguió anular una multa de tráfico. El abogado que representaba al amonestado recurrió una denuncia,  argumentando que no se había probado que la imagen obtenida por la cámara asociada al radar no hubiese sido modificada de ninguna forma. Las autoridades australianas de tráfico respondieron que se utilizaba el algoritmo MD5 para obtener el hash de las imágenes obtenidas. No encontraron a ningún perito que demostrase ante el tribunal la validez de este algoritmo, y por tanto se libró de la multa.
  • 2006: colisiones de prefijo elegido en 2^49.
  • 2009: se perfeccionan los ataques hasta unos 2^16 los idénticos y 2^39 los elegidos. Se crea una autoridad de certificación falsa con mismo MD5 gracias a 200 consolas PlayStation calculando colisiones. Cualquier certificado puede aparecer como válido ante una CA que use MD5. Muere definitivamente en la práctica y en la teoría.
Dos binarios con mismo MD5 y comportamiento diferente

Por otro lado, la historia de SHA-1 va más o menos así.

  • 1995: se publica SHA-1. En teoría se debería romper en 2^80 (la mitad de 160) con fuerza bruta.
  • 2005: SHA-1, se publica un primer ataque de colisión con prefijos idénticos en 2^69, algo computacionalmente costoso para el momento y por tanto complejo en la práctica. Aun así ya el NIST recomendó ir migrando. Lo consideraría obsoleto en 2011.
  • 2012: se consigue mejorar los ataques de prefijo idéntico en 2^61. Algo posible, pero muy caro. Ese mismo año se consiguen que los ataques de prefijo elegido caigan a 2^77.1.
  • 2017: Google consigue dos PDF diferentes con mismo hash. Utiliza ataques de prefijo idéntico, que en teoría estaban en 2^61, pero ellos lo consiguen en 2^63 tras varios meses de computación y un coste de más de 100.000 dólares (en GPU).
  • 2019: Se consigue reducir la complejidad del algoritmo de colisión de prefijos elegidos hasta entre 2^66 y 2^69Esto hoy por hoy requeriría bastante computación, pero… ¿y mañana?

Por tanto el paralelismo el claro, muy pronto podremos ver ataques prácticos de colisión de prefijos elegidos en SHA-1, bien porque se mejore aún más el algoritmo, bien porque la capacidad de computación lo permita. Como pasó con MD5, el siguiente paso será crear un certificado o entidad certificadora falsa con mismo SHA-1. Para entonces, más nos vale haber dejado de usar SHA-1 para siempre.

Cómo PepsiCo optimiza la distribución con segmentación avanzada

AI of Things    14 mayo, 2019

«En los puntos de venta donde se aplicó la estrategia Big Data se está creciendo 10 puntos por encima, por lo que el crecimiento potencial es espectacular.»

Con esta cita queremos introducir nuestra “Historia con datos” de hoy: os contamos el caso de éxito de PepsiCo, una de las principales empresas del sector FMCG (por sus siglas en inglés Fast Moving Consumer Goods), es decir, bienes de consumo de alta rotación.

PepsiCo es una empresa internacional líder en su sector, que cuenta con un porfolio de marcas reconocidas resultado de una cuidada respuesta a las necesidades de los consumidores. Sostenibilidad, responsabilidad o innovación se encuentran entre los valores que definen a la compañía.

Fuente: Statista / OC&C vía Lebensmittel Zeitung

En el marco de esta personalidad de marca y con un fin de negocio claro, incrementar el rendimiento de unos de sus canales de distribución clave en España, PepsiCo decide apostar por el Big Data y por LUCA como partner estratégico.

Pero ¿cómo iba a ayudarles el Big Data y la inteligencia artificial a conseguir su objetivo de negocio? Conscientes de sus fortalezas y debilidades a la hora de aplicar su estrategia (tenían muchos datos que no eran capaces de analizar), comienzan un proyecto de consultoría y analítica avanzada con LUCA con el fin de entender mejor tanto a sus clientes como a los consumidores, para poder de este modo responder mejor a sus características y necesidades.

En este vídeo, Nuria Bombardó (Nutrition, FB and FR Innovation Commercialisation Director en PepsiCo) nos cuenta más detalles sobre los inicios y desarrollo del proyecto:

En resumen, la colaboración entre PepsiCo y LUCA fue todo un éxito, mejorando tangiblemente los resultados de la compañía en los canales donde se aplicó la estrategia, y este éxito reside principalmente en haber sido capaces de lograr identificar insights o aprendizajes ejecutables para el negocio. Estos insights o resultados se obtienen a través del desarrollo de modelos analíticos avanzados que combinan fuentes de datos del cliente, datos de Telefónica (LUCA Insights) y otras fuentes externas. Esto nos permite ofrecer una propuesta de valor diferencial en el sector del Gran Consumo en general y en compañías líderes como PepsiCo, en particular.

Diferenciarse y liderar es hoy posible si apoyamos nuestras estrategias en decisiones inteligentes basadas en Big Data e Inteligencia Artificial.

Para mantenerte al día con LUCA visita nuestra página web o síguenos en TwitterLinkedIn YouTube.

DES 2019: la cita con la transformación digital que Telefónica Empresas impulsa

Mercedes Núñez    14 mayo, 2019

En el mundo de la tecnología hay eventos de referencia como el MWC en Barcelona, Think de IBM o el Oracle OpenWorld, explicaba en una entrevista Lluís Altés, managing director de DES (Digital Enterprise Show), otra de las grandes citas del sector, con sede en Madrid, que este año cumple su cuarta edición. La semana que viene, del 21 al 23 de mayo, se celebra DES 2019. Se trata de un evento internacional sobre transformación digital, en el que Telefónica Empresas participa como patrocinador global.

Durante tres días Ifema se convertirá en un hervidero de conferencias, debates y una especie de ciudad de exposiciones, a la que acuden con stand propio también delegaciones de países (Alemania es el país invitado este año), por la que pasará una marea interminable de visitantes. Y todo ello ocurrirá en paralelo, para que cada uno pueda recorrer la feria creando su propia agenda e itinerario, según sus intereses y las relaciones que quiera establecer. El encuentro pretende dar respuesta a las necesidades de las empresas de distintos tamaños y sectores, así como de la Administración pública y mostrar cómo la innovación abierta con startups puede aligerar ese viaje obligado que es en este momento la transformación digital.

La transformación digital afecta a las empresas de todos los tamaños y sectores, la clave es la experiencia de cliente, el bien más preciado la agilidad, el papel de la tecnología es crítico y consiste en un proceso de gestión del cambio. Además, en un entorno de cambio continuo y vertiginoso como el actual, es necesario que esta transformación digital se acelere. Telefónica Empresas es el partner integral idóneo para acompañar a las organizaciones en este recorrido que les permitirá ganar relevancia, eficiencia, flexibilidad y disponibilidad.

Como venimos explicando en este blog, es el único camino para que las organizaciones puedan sobrevivir, crecer, innovar y estar a la altura de unos clientes cada vez más exigentes y que demandan una mejor experiencia. Telefónica Empresas participará en DES 2019 a través de casi una veintena de ponencias de sus mayores expertos (doce de ellas enfocadas a la transformación digital de las grandes organizaciones) y un stand de 180 m2, en el que mostrará las soluciones con las que ayuda a sus clientes a hacer realidad la digitalización de sus negocios.

Los temas clave de DES 2019 , que el año pasado reunió a unos 21.000 profesionales de 51 países, serán soluciones basadas en cloud computing, Internet de las cosas, big data, inteligencia artificial, la automatización de los modelos de negocio, ciberseguridad, blockchain y la realidad extendida, entre otros.

En el espacio demostrador de Telefónica Empresas se podrán ver soluciones que permiten a las compañías diferenciarse de la competencia- algo clave en un mercado cada vez más competitivo- y mejorar la relación con sus clientes, como su propuesta de tienda del futuro. Otras que les permiten ganar en eficiencia a través de la mejor toma de decisiones posible con ayuda de big data y la inteligencia artificial, por ejemplo. También mostrará digital workplace para ser más flexibles a partir de una manera distinta de trabajar más ágil y eficiente para las compañías y más satisfactoria para sus empleados, o las mejores redes para garantizar la disponibilidad de los negocios y aprovechar las oportunidades de crecimiento, todo ello con la seguridad desde el diseño.

Pedro Pablo Pérez, VP Security de Telefónica & CEO de ElevenPaths, su unidad de ciberseguridad, dará una ponencia precisamente sobre el papel del CISO en este momento.

El programa de contenidos propios de Telefónica Empresas también incluye el primer día del encuentro a Ferrán Adriá como embajador de la compañía, que pondrá de relieve el valor de una cultura de la innovación; Chema Alonso, chief data officer de Telefónica, o José María Cuéllar, director global de cloud de Telefónica, que charlará con Christian Palomino, al frente de TI en Melia Hotels International sobre cómo la estrategia multicloud -uno de los grandes habilitadores de la transformación digital, sin duda- ha impactado positivamente en el éxito de Meliá Hotels y cómo Telefónica está ayudándolos a enfrentar los desafíos que esta tecnología supone.

Al día siguiente, 22 de mayo, participarán, entre otros, Elena Gil, directora global de Big data en el grupo Telefónica y CEO de LUCA, con una ponencia que lleva por título “Conectando big data e inteligencia artificial con el negocio”, en la que se explicará la forma en que LUCA, la unidad de datos de Telefónica, ayuda a acelerar la transformación de las corporaciones y les abre infinitas posibilidades con la suma de estas tecnologías.
Carlos Marina, CEO de Telefónica On The Spot Services, intervendrá en una mesa redonda sobre la transformación del retail, provocada por el surgimiento de nuevos comportamientos de compra.
Es indudable que la transformación digital está cada vez más vinculada a las soluciones IoT y, de hecho, la nueva conectividad 5G incluye redes y tecnologías «exclusivas para las cosas» por primera vez. Por ello, el último día, Vicente Muñoz, chief IoT officer en Telefónica, hablará de “La conexión de las cosas”. Con el Know how de cinco años consecutivos de Telefónica IoT como líder del Cuadrante mágico de Gartner, compartirá su visión del nuevo escenario de cosas conectadas que vamos a empezar a ver.
Y de estadios inteligentes como Wanda hablará Carlos Rabazo, gerente de Aceleración transformación digital para grandes clientes en Telefónica Empresas.

Por tanto, DES 2019 es una cita clave con la experiencia de cliente en primer plano, nuevos modelos de negocio, la optimización de los procesos, tecnología e innovación, experiencia de empleado, un nuevo liderazgo digital, retos y oportunidades para CEO, CIO, CDO, CMO o RRHH y ejemplos inspiradores para la implementación de estrategias digitales en los distintos sectores.

Cristian Citu, digital transformation lead del Foro Económico Mundial; Christian-Marc Liflander, head cyber defense de la OTAN; Jacques Bughin, director de McKinsey; Meredith Whalen, chief research officer de IDC; el gurú de la industria 4.0 Henrik von Schee o Michael Casey, del MIT, serán algunos pesos pesados de la agenda.

¡No os lo perdáis y, si no podéis acudir al encuentro, seguid DES 2019 a través de nuestras redes sociales:

Twitter: @TE_GranEmpresa con el hashtag #TelefónicaEmpresasDES
Instagram: @telefonicaempresas

Las pymes, por primera vez presentes en el DES 2019

Alicia Díaz Sánchez    14 mayo, 2019

Telefónica Empresas participa este año como Global Partner Leader en el Digital Enterprise Show (DES 2019), el mayor foro profesional europeo dedicado a la transformación digital empresarial y las tendencias tecnológicas.

Este año, en su cuarta edición, DES 2019 reunirá en Madrid (IFEMA), los días 21, 22 y 23 de mayo, a más de 450 expertos internacionales en transformación digital, y a más de 23.000 profesionales procedentes de más de 50 países.

España Pyme Digital

Entre las grandes novedades de este año destaca el foro España Pyme Digital, que se incluye en el programa por vez primera y que se dirige exclusivamente a las pymes. En él se hablará de las soluciones y tecnologías que pueden aplicar las pequeñas y medianas empresas para impulsar la transformación digital de sus negocios. Esta es la agenda:

  1. 21 de mayo: Las conferencias se centrarán en los roles que hay dentro de cada organización, desde la dirección general a la financiera, de marketing y ventas, así como al papel de la innovación y el emprendimiento.
  2. 22 de mayo: Los ponentes analizarán diversas tecnologías transformadoras para las pymes, como el CRM, Machine Learning, ERP, Big Data Analytics, Realidad virtual, Realidad aumentada, Inteligencia artificial, Cloud, Blockchain, Ciberseguridad…  En esta jornada, Telefónica Empresas contará con la ponencia de Alberto Fernández, experto en Soluciones Cloud y Seguridad para pymes, titulada: “Migrar a la nube no es tarea fácil… ¿o sí?”
  3. 23 de mayo: Se debatirá sobre la transformación digital en los distintos sectores de actividad empresarial. La ponencia de Telefónica Empresas, “¿Apocalipsis del comercio o metamorfosis del punto físico?” correrá a cargo de Virginia Cabrera, especialista en Transformación Digital de pymes.

Área de exposición

En el área de exhibición, que contará con más de 300 expositores, Telefónica Empresas tendrá presencia con un stand de 180 metros cuadrados, en el que se plasmarán más de 50 soluciones tecnológicas dirigidas a las empresas para afianzar su transformación digital.

En dicho stand habrá cuatro recorridos tecnológicos que persiguen distintos objetivos para las empresas:

  • Ganar eficiencia a través de la digitalización de los procesos, apoyándose en tecnologías como IoT o Blockchain; tomar las mejores decisiones para cualquier negocio, gracias al Big Data; y contribuir a una sociedad sostenible, con soluciones de eficiencia energética.
  • Ser más flexible y hacer crecer a los equipos evolucionando su forma de trabajar.
  • Estar siempre disponible, y garantizar la total disponibilidad de los negocio en todo momento y lugar, gracias a las soluciones en la nube.
  • Ser más relevante, mejorando la relación con los clientes y diferenciándose de la competencia, con herramientas digitales de marketing multisensorial.

Entre las soluciones dirigidas a las pymes destacan: Spotwifi, Upplication, Geogestión, Firma Digital, Antivirus (Panda), One Cloud, Sage 50, Smart BI, Conexión segura y Fusión Empresas.

Foros especializados y verticales

Además de todo lo anterior, el DES 2019 contará con foros especializados que se dirigen a perfiles profesionales distintos:

  • CIO Summit, dirigido a los CIO.
  • Digital Marketing Planet, para directores de Marketing.
  • Leadership Summit, dirigido a los CEO.

Asimismo, habrá nueve foros verticales sobre Banca y seguros; Salud digital; Telecomunicaciones, medios y entretenimiento; Ciudades y sector público; Industria 4.0; Turismo y Hostelería; Energía y Utilities; Retail, comercio electrónico y logística; y Movilidad urbana. Y contará también con programas específicos de tecnologías Tech Series, como Blockchain, Inteligencia artificial, Cloud computing, Ciberseguridad, Big Data y Analítica, e Internet de las Cosas.

Si no podéis acudir al encuentro, tenéis la opción de seguirlo a través de nuestras redes sociales:

Twitter: @TE_pymes con el hashtag #TelefónicaEmpresasDES
Instagram: @telefonicaempresas

Las posibilidades del blockchain para el IoT

Beatriz Sanz Baños    13 mayo, 2019

La tecnología del blockchain ofrece una gran variedad de aplicaciones en los distintos sectores productivos. Servicios financieros, seguridad informática, criptomonedas o cadenas de suministro de mercancías son algunas de ellas.

Las modas en la superficie de ataque: se lleva lo retro

David García    13 mayo, 2019

Lo queramos o no, el malware y todo el ecosistema que lo rodea es una industria más. Ilegal, pero con todas las características de una organización: maximizar beneficios con la menor inversión posible. Posee hasta su propio componente de I+D e incluso entre los grupos antagonistas se copian técnicas y recursos para competir por el mismo objetivo: infectar y capitalizar esa infección. Existe toda una taxonomía de técnicas y procedimientos para conseguir ese objetivo. Desde aquellos primeros virus primigenios que imitaban con gran exactitud a sus contrapartes biológicas, hasta sofisticadas armas digitales capaces de desactivar o neutralizar infraestructura industrial.

Pensemos por ejemplo en STUXNET y el cambio de juego que provocó su aparición: ya no se trata de minar o secuestrar archivos, ahora sabemos que estas creaciones pueden devolver a una ciudad o una nación entera al siglo XIX sin tan siquiera disparar una sola bala. Las técnicas de infección evolucionan, así como las técnicas de aprovechamiento una vez controlada la víctima. De estas últimas tenemos dos clásicos contemporáneos (salvo motivaciones de otra naturaleza, tipo APT): minar criptomoneda o bien ransomware. En los últimos meses hemos visto una oscilación o auge entre estas dos finalidades muy ligada a la cotización del bitcoinEs decir, cuanto más se depreciaba el Bitcoin, menos interesaba desplegar clientes, puesto que era una fuente de rentabilidad relativamente baja. Una curiosidad: podemos observar estas dos gráficas, correspondientes a la cotización del Bitcoin y la tendencia en búsquedas del término «cryptominer«.

A mayor cotización del Bitcoin, mayor ruido provoca el termino asociado al malware. Intriga el pico, situado en la misma trama temporal que el pico del término.

El otro lado del embudo
Salvando la motivación final de los atacantes, desde el punto de vista del analista es muy interesante el estudio y evolución del vector de entrada, el ariete contra el sistema del usuario; o mejor, de la víctima. Sin una puerta de entrada que les permita una infección rápida y masiva, no se obtiene un gran retorno de inversión, quedando los esfuerzos en una victoria pírrica. Se hace necesario, por lo tanto, invertir en disponer de una palanca hábil que asegure un buen número de puertas abiertas en la vida de una campaña de infección. Es por ello, que los analistas pongan especial énfasis en seguir la evolución de estos vectores.

Hace unos años, el vector de entrada favorito era el triunvirato formado por Java, Adobe Reader y Flash. No había un solo exploit kit que no cubriese con varios exploits para varias versiones del trio. Los investigadores de vulnerabilidades vivieron una auténtica era dorada donde el anuncio de zerodays en estos programas era ya tan común que hasta dejaron de ser noticias y mutaron a un chorro continuo de boletines que se iban transformando en munición para alimentar la incansable maquinaria de campañas de malware.

Fueron días de vino y rosas…hasta que los navegadores dieron un paso al frente y vetaron los plugins que posibilitaban la invocación de complementos binarios para tratar contenido ajeno a los estándares web. Java fue el primero en caer y aunque la muerte de los Applets llevaba en curso desde mucho antes (sobre todo empujada por Flash), el peso de los exploits que iban saliendo para Java aceleró la caducidad de su ticket de viaje en los navegadores.  

Poco después le pasó lo mismo a Flash, aunque tardó algo más que Java en ser condenado al destierro. Curiosamente, incluso Steve Jobs rechazó el uso de Flash en iOS por las mismas razones que fue denostado: es código propietario y tiene graves problemas de seguridad; además de un consumo de recursos incompatible con la autonomía móvil. Flash, que comenzó tomando el terreno de los Applets Java, terminó siendo, a su vez, reemplazado por la tecnología nativa de los navegadores: la web. Todo apunta a 2020 como fecha del final de vida de la tecnología que nació de manos de Macromedia. 

Por último, el problema de facilitar la lectura de documentos PDF colgados en la web, fue solucionado con lectores de este formato implementados en JavaScript, y, por lo tanto, incrustados como una funcionalidad más del propio navegador que hacía ya inútil la inclusión de un complemento que llamase, a su vez, a una aplicación nativa. De nuevo, una puerta más cerrada.


Detalle de las vulnerabilidades de Adobe Flash. Nótese la drástica caída a partir de 2017 (datos de cvedetails.com).

¿Y atacar directamente al navegador? Sí, pero con matices. La Pwn2Own es una competición donde para ganar se debe explotar un navegador, de los principales conocidos, con vulnerabilidades 0-day, no conocidas con anterioridad al concurso. Aunque todos los años ha habido ganadores en todas las categorías, Chrome lleva dos años inmaculado. Las medidas de seguridad van dando sus frutos y consiguen endurecer las reglas del juego entre investigadores y programadores. Ya no vale con un fallo crítico en un componente del navegador, ahora se necesita encontrar una combinación ganadora que permita saltar la sandbox en la que discurre el proceso en ejecución. Si bien es cierto que otros navegadores no pueden presumir del mismo estado de forma, hay una cierta tendencia a moverse hacia Chrome. Por ejemplo, Edge, el navegador de Microsoft está en proceso de cambiar su base a Chromium, al igual que ya lo hizo Opera. Incluso, Microsoft está reforzando la seguridad de los procesos aislando la ejecución de estos en un entorno casi completamente aislado del sistema. ¿Qué hacen los atacantes ante esta situación? Como ya anticipamos al comienzo, su I+D no se detiene y sigue buscando nuevas vías de infección. Clausuradas unas puertas, cambiadas otras por unas nuevas acorazadas, hay que dar una vuelta al lugar y volver a examinar que accesos o posibles brechas pueden seguir siendo rentables para invertir en ellas tiempo y recursos. Y da sus frutos…

Ahora se lleva lo retro
Office, la suite ofimática que ganó la guerra de las suites ofimáticas en la década de los 90, incorporó una tecnología bastante potente para que los usuarios avanzados pudieran ir más allá del, ya de por sí rico, abanico de funcionalidades a su disposición: Incrustar un lenguaje de programación con una gigantesca biblioteca de funciones y objetos a su disposición.

Mientras que la idea podría ser estupenda en un mundo ideal, muy pronto se vieron las posibilidades «armamentísticas» del motor de scripting. Con el nombre de «Melissa», en 1999 fue el nombre con el que se bautizó uno de los primeros virus de macro mediáticos (con el permiso del posterior y popular ILOVEYOU, que afectaba al gestor de correo Microsoft Outlook). Se inauguraba un periodo de «virus de macro» que se extendería hasta bien entrado el milenio…y pocos años después, el silencio. Tras un periodo en el que los fabricantes de malware se centraron en estas macros para difundir sus creaciones, se volvió más rentable invertir en otros vectores más fructíferos, tales como servicios a la escucha sin las protecciones adecuadas o el navegador y sus innumerables conexiones con complementos nativos llenos de desbordamientos de pila y sus coetáneos. El malware basado en macros ya no estaba de moda.


Auge, caída y resurrección de las vulnerabilidades de Microsoft Office (fuente: cvedetails.com)

…hasta que alguien se dio cuenta de lo relativamente fácil (que no lo es) que seguía siendo ese olvidado vector, comparado con la bestia de siete cabezas y tres colas en que se convirtió la explotación del navegador como bastión a asediar. Las macros regresaron y, una vez más, los buzones de correos volvieron a llenarse de correos con adjuntos para Office con «las fotos privadas de alguien», «las nóminas de los empleados» o «información que nadie quiere publicar acerca del hecho relevante del momento». Una inadvertida segunda juventud.

Las macros en el siglo XXI
La popularidad en alza de las macros como vector de infección es una clara señal de que existe un movimiento real, impulsado por la necesidad de ampliar el parque de máquinas infectadas (o de operaciones quirúrgicas sobre un objetivo bien definido). Tanto la explotación de vulnerabilidades en Office como del uso de la ingeniería social o combinación de estas, nos sirve para punzar las defensas y abrir brecha. Por supuesto, ayuda bastante a la credibilidad de una campaña de malware el hecho de que estos sean documentos que suelen ser usados para portar información sensible: «factura a devolver.xls» o «lista de contraseñas.docx», son jugosos titulares que atraen a los curiosos a una trampa mortal. Pero también se han añadido a la coctelera técnicas adicionales de ofuscación y la popularidad de powershell, algo que no existía en la primera época dorada. Por tanto¿qué aspecto tiene una macro maliciosa hoy en día? Usamos DIARIO (un detector de malware especializado en documentos que no necesita el contenido del documento para analizarlo y por tanto, permite subir información que pudiese considerarse privada ) y analizamos una muestra «típica».

Si se observa, una de las primeras acciones que ejecuta la macro es levantar un proceso en PowerShell, con una cadena que intenta ofuscar de nuevo infructuosamente, ya que se trata de una cadena en base64 y comprimida que es fácilmente reversible. El uso de este tipo de ocultación no impide el análisis, aunque si dificulta la detección por cadenas.

Respecto a codificar el payload en PowerShell en vez de directamente en VBA (Visual Basic for Applications) se debe, en la mayoría de los casos, al uso de frameworks de explotación que utilizan PowerShell creando un stub o envoltorio mínimo y funcional en VBA para ejecutar a este último. Es decir, el creador de este tipo de malware ni tan siquiera se preocupa de conocer el lenguaje de macros, e incluso tampoco PowerShell, ya que el framework crea este tipo de payloads «a la carta».

Hay multitud de este tipo de frameworks, muy conocidos y populares por la comunidad de pentesters o red teams, para los cuales se ideó. Desde EmpirePowerSploit o Nishang, hasta el uso de la suite profesional Cobalt Strike. Aunque son indispensables para evaluar la seguridad de las organizaciones, la otra cara es un impulso a la industrialización de la cadena de producción de malware que permite entrar con un bajo nivel de requerimientos y experiencia.

En resumen, nada se va del todo. Al final el atacante sigue su filosofía de ir por lo (a priori) más fácil y no complicarse la vida. ¿Que ahora es difícil explotar un navegador? Pues apelamos a la ignorancia y la curiosidad del usuario. Es relativamente fácil y tentador colar un documento con malware. A pesar de los filtros, cada vez mejores, el spam sigue colándose de vez en cuanto y suele valer aquello de que el 1% de cien millones sigue siendo un millón. Y un millón da para mucho juego.

¿Cómo mejorar nuestra industria? Geprom y Telefónica Empresas ya están en ello

Félix Hernández    13 mayo, 2019

Nos han enseñado que el futuro lo construye quien se hace las preguntas adecuadas. Una de ellas en este momento sería: ¿cómo mejorar nuestra industria? Ya Sócrates, mediante una serie de preguntas, conducía a su interlocutor al descubrimiento de la verdad. Así, nos imaginamos al filósofo guiando el conocimiento de sus discípulos mientras pasean por un patio despejado, con vegetación y alguna fuentecilla recoleta. Él les pregunta sabiamente y ellos se conectan a su interior y finalmente el conocimiento aflora y los guía.

Pues bien, aunque pueda resultar paradójico, esto mismo sucede con las tecnologías 4.0 y, en concreto, con las industrias que han acometido su transformación digital. Trataré de explicarlo a continuación. Para ello, cambiemos de escenario:

Imaginad una nave de un polígono del siglo XXI y varias cadenas con autómatas y operarios trabajando conjuntamente. Es primera hora del turno de mañana y el director de planta convoca la reunión de coordinación de equipo. Se trata de un momento importante: allí están los diferentes responsables de los departamentos, aunque sobresalen especialmente los de producción y calidad. Se prepara una especie de ritual que suele interpretarse como un reporte diario o, tal vez, una repetida secuencia de preguntas que el máximo responsable de la factoría hace a su equipo.

Este ritual ha cambiado mucho en los últimos años. Antes aquello era más parecido a una pelea por ajustar el dato para saber cuál era la producción real descontando las mermas, como una batalla de folios y planillas desactualizadas, un intentar aclarar lo que había pasado la noche anterior o tratar de encubrir los errores… Ahora todos miran con atención un gran cuadro de mando en un panel de pantallas. Otros complementan la información con un breve resumen de sus terminales de trabajo. La verdad está allí… y punto. Sencillamente detrás de esos recuadros “danza” la fábrica.

Sí, la verdad está allí y no es otra que los números que se ven y se estudian, los gráficos y semáforos que muestran la productividad, toda la información extraída, elaborada y trabajada desde los propios “objetos conectados” de la fábrica, los robots o los autómatas que van y vienen asistiendo y alimentando las líneas. Y es el cruce con el resto de los sistemas de la factoría, el ERP que coordina los pedidos o cualquiera de los sistemas TI logísticos o el propio control de asistencia del personal.

Antes el empresario se enorgullecía de adquirir el último modelo de una máquina mucho más rápida o potente; ahora la flexibilidad, la personalización y la producción “real time” de las industrias 4.0 hacen que la susodicha máquina esté siempre conectada. Se necesita el enchufe de la red igual que el enchufe de la corriente: es la red OT, la red de operaciones de la factoría en contraposición a la ya conocida red IT de las oficinas. Ahora el director no quiere los datos una vez al día, ¡los necesita constantemente y en todo momento! Y se enorgullece de ello.

Una fábrica al uso puede generar teras de información útil en un simple turno, no hay tiempo para cruzar la información. La producción es un deporte de riesgo y nunca espera. Y retomo ahora el comienzo de este post. Éstas son las famosas preguntas de la nueva mayéutica industrial: “¿Se cumplen los plazos de entrega? ¿Qué elemento provoca retrasos? ¿Es posible reencauzar una orden de servicio mal especificada? ¿Qué test de no calidad de los productos genera preocupación? ¿Hay suficiente stock de materia intermedia? ¿Cuántas horas extras de los trabajadores se precisan? ¿Estamos preparando una respuesta al análisis predictivo de mantenimiento? ¿El equipo de planificación ha realizado una simulación para el próximo grupo de entregas?

Como veis, el reto de Industria 4.0 es grande. Telefónica Empresas quiere ayudar a resolverlo con éxito. Por eso, entre otras acciones, el pasado mes de marzo firmó un acuerdo de colaboración con la empresa Geprom para trabajar conjuntamente en los sectores industriales: automoción, empresa auxiliar, fabricación, alimentación, farmacia, logística, energía… con soluciones que cubren todo el ciclo fabril: desde el aprovisionamiento, la fabricación flexible, el mantenimiento, el control de calidad, la logística-almacén e información de consumos energéticos. Para Telefónica Empresas es un orgullo “conectar” sus fábricas por el valor que supone no solo securizar la capa de infraestructura básica inferior, la red y los servidores, sino también ahora, llegar a la serie de plataformas que articulan la columna vertebral de lo que se denomina industria 4.0.

Y es que nuestra industria será competitiva solo si incorpora estas nuevas herramientas. Muchos lo llaman transformación, pero la clave es verlo en términos de oportunidades y de retornar a nuestro país producto de mayor valor. Porque -no os olvidéis- la gran pregunta es ésta: ¿Cómo mejorar nuestra industria? Y esta pregunta marcará nuestro destino… algo así como si implementásemos un trascendental Kaizen a lo socrático y en esta fusión de lo oriental y lo occidental, lo digital y lo conectado, estuviese la gran respuesta que necesitamos.

Para facilitar el camino que da respuesta a cómo mejorar nuestra industria, Telefónica Empresas dispone de una ruta específica en su Centro de Demostraciones, como muestra este vídeo:

Imagen: spinster cardigan