¿Te atreves a descifrar estos archivos secuestrados por un malware? Concurso #EquinoxRoom111

Área de Innovación y Laboratorio de Telefónica Tech    1 abril, 2019

Mientras investigábamos un nuevo ransomware en nuestro laboratorio, hemos detonado la muestra en nuestro sandbox, pero, por accidente, también se ha propagado hacia un sistema algo más crítico. En él estudiábamos los efectos de un generador de números aleatorios muy pobre (que teníamos configurado en ese momento al mínimo) y que consistía en un cluster dedos máquinas, ambas infectadas ahora.

El malware ha aprovechado este sistema de generación para cifrar todos nuestros ficheros, estamos desesperados. Por lo que hemos averiguado, sigue el esquema habitual de infección:

  • Cifra con sistema simétrico el archivo, con una contraseña generada para la ocasión.
  • Adjunta esa clave al fichero, cifrada a su vez con un certificado RSA.
  • El malware ha generado un certificado diferente para cada máquina, pero disponemos de un archivo de cada máquina y por tanto, dos certificados.

Ya hemos eliminado el vector de infección, el binario y realizado el forense post-mortem. Nos falta recuperar la información, y para eso os pedimos ayuda. Os dejamos aquí dos archivos cifrados, uno de cada máquina, para que podáis analizarlos. ¡Saca el criptógrafo que llevas dentro!

Por favor, enviadnos cuanto antes el contenido recuperado de los dos, junto con una explicación técnica de cómo se ha solucionado, a [email protected], para poder continuar con nuestro trabajo de investigación. ¡Gracias!

Esta es una variante del juego presentado el pasado fin de semana en nuestro concurso interno Equinox. El ganador obtendrá un cheque regalo de 111 euros canjeables en Amazon.

Reglas del juego #EquinoxRoom111:

  • No podrán participar empleados de Telefónica.
  • La solución podrá presentarse individualmente o como grupo.
  • No está permitido divulgar la solución o pistas definitivas que lleven a ella y podrían llegar a invalidar la propuesta de solución.
  • Se premia no solo el orden de recepción de la solución, si no que ésta deberá explicarse técnicamente y de forma gráfica, si procede, en un documento.
  • En caso de duda, se valorará de forma muy positiva la profundidad técnica así como de soluciones alternativas.

La solución se comunicará la semana que viene a través del blog. A la dirección de correo electrónico [email protected]se deberá enviar solución y explicación. No se contestará a las peticiones de pistas o similares.

La nueva fiscalidad del renting de los coches de empresa

David Ballester    1 abril, 2019

Uno de los temas más controvertidos en la gestión fiscal de las pymes y los autónomos es el de la fiscalidad de los vehículos utilizados en la actividad empresarial

La Dirección General de Tributos del Ministerio de Hacienda ha publicado una respuesta a una consulta tributaria vinculante que rectifica las anteriores y que determina cuál es la fiscalidad del renting en cuanto a la deducción del Impuesto sobre el Valor Añadido (IVA) soportado como consecuencia de la utilización de vehículos automóviles por parte de los empleados de la empresa.

La respuesta a la consulta es muy interesante, porque analiza de forma completa los efectos fiscales de la utilización de coches en modalidad de renting, tanto desde el punto de vista de la empresa como del trabajador beneficiario del uso vehículo.

En primer lugar, se reitera la sujeción al IVA de esta entrega de bienes en la que consiste el vehículo de empresa en renting, de acuerdo con la Ley del IVA.

Asimismo, se determina que el hecho de que el trabajador sea beneficiario del coche de empresa supone:

  • Una remuneración en especie.
  • No constituye una operación realizada a título gratuito, puesto que se efectúa en contraprestación de los servicios prestados por los trabajadores en régimen de dependencia.

Otro de los aspectos que se deben analizar está relacionado con el carácter oneroso o gratuito de la cesión de uso en modalidad de renting de los coches de empresa.

Para ello, existe una interesante sentencia del Tribunal de Justicia de la Unión Europea 3 de marzo de 1994, asunto C-16/93 al respecto. En dicha sentencia, destaca la delimitación que da sobre este particular, cuando señala que “se deduce que una prestación de servicios solo se realiza a título oneroso si existe entre quien efectúa la prestación y su destinatario una relación jurídica en cuyo marco se intercambian prestaciones recíprocas, y la retribución percibida por quien efectúa la prestación constituye el contravalor efectivo del servicio prestado al destinatario”.

También es relevante la sentencia 8 de marzo de 1988, Apple and Pear Development Council, asunto 102/86. Pero para el caso concreto que nos ocupa, la sentencia de 16 de octubre de 1997, Julius Fillibeck Söhne GmbH & Co.KG, asunto C-258/95, es la más importante. En ella se determina que la empresa objeto de la sentencia realiza el transporte de sus trabajadores desde sus domicilios a su lugar de trabajo cuando dicho trayecto es superior a determinada distancia y, por otra parte, que estos trabajadores no efectúan ningún pago en contrapartida y no sufren ninguna disminución de salario por el valor correspondiente a ese servicio.

Y además, “puesto que el trabajo que debe ser realizado y el salario percibido no depende de que los trabajadores utilicen o no el transporte que les proporciona su empresario, no cabe considerar que una fracción de la prestación laboral sea la contrapartida de la prestación de transporte. Por lo tanto, no existe contrapartida que tenga un valor subjetivo y una relación directa con el servicio prestado. Por consiguiente, no se cumplen los requisitos de una prestación de servicios realizada a título oneroso”.

También con posterioridad, la sentencia de 29 de julio de 2010, Astra Zeneca UK Ltd, asunto C-40/09. se pronuncia en el mismo sentido.

En definitiva, y en el caso de la fiscalidad de los vehículos de renting de la empresa utilizados por los trabajadores, debemos observar que:

  • Cuando haya una relación directa entre el servicio prestado por el empleador (retribución en especie) y la contraprestación percibida por el mismo (trabajo personal del empleado), se produce una prestación de servicios efectuada a título oneroso a efectos del Impuesto sobre el Valor Añadido.
  • En concreto, la cesión del uso de automóviles que efectúe la empresa a sus trabajadores constituye una retribución en especie de obligado cumplimiento para la misma, si se establece así en el contrato laboral del trabajador, de manera que una fracción de la prestación laboral del trabajador es la contrapartida de dicha cesión.

Es decir, la cesión a los trabajadores del uso de los vehículos forma parte del montante total de las retribuciones que dicho trabajador percibe por los servicios laborales que presta.

Y, por lo tanto, si se dan todas las condiciones anteriores, dichas retribuciones en especie constituyen prestaciones de servicios efectuadas a título oneroso a efectos del Impuesto sobre el Valor Añadido, por lo que quedarán sujetas al mismo.

En el caso de los vehículos, se considera que tendrá la consideración de retribución en especie únicamente la parte proporcional del uso que se realice de los mismos que se destine a las necesidades privadas del trabajador, en el supuesto de que dicho vehículo se utilice simultáneamente para el desarrollo de las actividades de la empresa y para las necesidades privadas del empleado.

A estos efectos, se deberá aplicar un criterio de reparto en el que, de acuerdo con la naturaleza y características de las funciones desarrolladas por el trabajador, se valore solo la disponibilidad para fines particulares.

Todo esto es lo que se refiere a la fiscalidad de la utilización  del vehículo de empresa por sus trabajadores, y es aplicable con independencia de que los vehículos cedidos por el empleador sean propiedad del mismo o bien los posea en régimen de renting o leasing.

IVA deducible

Desde el punto de la deducibilidad del IVA en la empresa de las cuotas soportadas por estos vehículos, la empresa podrá deducir las cuotas del Impuesto sobre el Valor Añadido comprendidas en la medida en que los bienes o servicios, cuya adquisición o importación determinen el derecho a la deducción, se utilicen por el sujeto pasivo en la realización de operaciones de entregas de bienes y prestaciones de servicios sujetas y no exentas del Impuesto sobre el Valor Añadido.

De este modo, las cuotas soportadas por la empresa, relativas a la adquisición de bienes y servicios solo podrán deducirse en la medida en que tales bienes y servicios se vayan a utilizar, previsiblemente, en el desarrollo de su actividad empresarial y se trate de operaciones sujetas y no exentas del Impuesto.

En resumen, los vehículos que son cedidos por la empresa a sus trabajadores, constituyen:

  • Por la parte destinada a uso privado, retribuciones en especie.
  • Implican su calificación como prestación de servicios a título oneroso, tratándose de operaciones sujetas y, en principio, no exentas del Impuesto.

Como consecuencia de todo lo analizado en este artículo, la conclusión para la empresa, en cuanto a la posibilidad de deducirse las cuotas soportadas en el renting de los vehículos de empresa, de acuerdo con la reciente opinión emitida por Hacienda, sería la siguiente:

Si la empresa no lleva a cabo ninguna actividad exenta, podrá deducir el cien por cien de las cuotas del IVA soportadas por la adquisición o el arrendamiento de los automóviles objeto de cesión, al encontrarse afectos en un cien por cien al desarrollo de una actividad sujeta y no exenta.

Esta resolución de Tributos tiene una gran trascendencia en esta tan controvertida cuestión, determinando una nueva fiscalidad en un asunto tan importante para pymes y autónomos como son los vehículos de empresa.

El papel de la inteligencia artificial en las salas de reuniones

José Carlos Martín Marco    1 abril, 2019

Según un reciente artículo de Harward Business Review la mayoría de los empleados asistimos a una media de 62 reuniones al mes. Este número es aún mayor en el caso de los ejecutivos de las empresas, que les dedican entre un 40 y un 50 por ciento del total de su horario laboral: unas 23 horas semanales de las que, según su propia valoración, ocho son totalmente improductivas. Sin embargo, en la era de la colaboración, de la inteligencia colectiva, en que necesitamos de la participación de los demás para sacar adelante cualquier proyecto, la importancia de las reuniones es capital y también hay tecnología que mejora las reuniones. Parece imprescindible, por tanto, plantearse cómo hacer más efectivo el tiempo que dedicamos a estos encuentros.

Hay muchas formas de hacerlo. Por un lado, existen una serie de mejores prácticas que recaen directamente en el organizador y los asistentes, como son la preparación de las mismas, facilitar la participación activa, pedir sugerencias de mejora tras su finalización, etc. , mientras que otras tienen que ver con la utilización de la tecnología existente. Veamos estas últimas.

Si hay participantes externos en las reuniones, lo que sucede en el 78 por ciento de las ocasiones según varios estudios, utilizar tecnología de videoconferencia  en lugar de solo audioconferencia mejora la efectividad de las mismas, ya que convertirá a los asistentes remotos en “participantes de primera clase” en lugar de ser una voz lejana que interviene de vez en cuando. Conscientes de la importancia que están cobrando las soluciones de videoconferencia en las salas de reuniones, los fabricantes de estos equipos están introduciendo de forma continua capacidades de inteligencia artificial en ellos, con el objetivo de mejorar la experiencia de usuario. Se trata de eliminar cualquier elemento de fricción derivado de la tecnología, para que los asistentes puedan centrarse solo en el contenido de la reunión.

Algunos ejemplos que encontramos ya en el mercado se engloban bajo tecnologías como reconocimiento del habla y procesamiento del lenguaje natural. Un ejemplo son los asistentes virtuales, que proporcionan funcionalidades que pueden ir desde facilitar la marcación por voz desde el equipo a controlar la luminosidad o temperatura de la sala. Otro ejemplo es la capacidad de transcripción del contenido de la reunión, tanto en tiempo real como a posteriori y, en este último caso, con los puntos más importantes destacados, llamadas de atención sobre las acciones que deben emprenderse o etiquetado de las intervenciones de los participantes.

Otra tecnología que proporciona capacidades de inteligencia artificial a las salas es la visión artificial. Algunos ejemplos son el reconocimiento facial, que permite la personalización de la sala según los “parámetros de confort” de un usuario concreto, el etiquetado en tiempo real con su nombre,  que facilita saber con quién estamos hablando, la detección automática de quien lo hace paraun mejor encuadre de la imagen, correcciones de la luminosidad o el color de dicha imagen, difuminado del fondo o incluso personalización del mismo para no distraer la atención de los asistentes más allá de la comunicación que se produce. Otra aportación de la visión artificial es la detección del número de personas que asiste a la reunión, muy útil para por ejemplo facilitar métricas de retorno de inversión de la sala.

El tercer tipo de tecnología se refiera a aquélla que hace un análisis intensivo en tiempo real de los datos obtenidos del encuentro para mejorar el contexto de la misma al determinar, por ejemplo, el nivel de atención de los asistentes con información contextual como los últimos documentos compartidos entre ellos, o mostrar los perfiles en redes sociales tanto de los participantes como de sus empresa, todo lo cual facilita unas reuniones más productivas.

Debido a la capacidad de computo requerida por los algoritmos utilizados y a la gran cantidad de datos que necesitan, muchas de estas capacidades de inteligencia artificial solo se pueden lograr mediante la conexión de estos equipos a la nube, ya sea a través de soluciones puras o híbridas, lo que sin duda es un estímulo más para la migración de soluciones albergadas en las dependencias del cliente a otras en la nube, a lo que ya nos hemos referido anteriormente.

En mi opinión en los próximos años veremos una auténtica revolución de los espacios de trabajo, principalmente de las salas de reunión, que se convertirán en auténticos centros de productividad y pondrán a disposición del empleado herramientas de última generación que, sin duda, ayudarán a mejorar su eficiencia a la vez que su experiencia como empleado, e incluso me atrevería a decir que pueden servir de foco de atracción y retención de talento. Quizá en una entrevista de trabajo no muy lejana un candidato podría preguntar: “¿puedo ver sus salas de reuniones?” y esto convertirse en una oportunidad que sin duda las empresas deberían aprovechar.

Imagen: Rikard Wallin

Eventos de LUCA de Abril y Mayo que no te puedes perder

AI of Things    1 abril, 2019

No te pierdas la lista de eventos en los que participamos en los próximos dos meses. Imprescindible para estar al día  de lo que se mueve en el mundo de la Inteligencia Artificial, Machine Learning y Big Data.

4 de abril 2019

I Congreso Big Data Alcoy
El Congreso Big Data Alcoy pretende ser un foro profesional, en el que se presenten de forma práctica los avances en torno al uso de Big Data, aplicados a inteligencia artificial, tratamiento de leads y gestión smart de territorios. Mario Romero, Head of Business Development de LUCA, participará como ponente en una de las mesas redondas sobre la aplicación del Big Data en la estrategia empresarial, una ocasión única para obtener una visión completa de la aplicación del análisis de datos en las empresas, requisito imprescindible para lograr la adaptación de los negocios a la necesaria transformación digital.

Meetup Big Data & AI for Social Good 2019
El Big Data y la Inteligencia Artificial generan no solo oportunidades de negocio, también existen oportunidades para atacar los grandes problemas de nuestros planeta, reflejado en los 17 Objetivos de Desarrollo Sostenible de la ONU. En este Meetup presentaremos dos proyectos super interesantes de cómo el Big Data y la IA están al servicio de las personas a través mapas de migraciones forzosas o la predicción de accidentes de tráfico.

9 de abril 2019

Generación automática de textos mediante Deep Learning

En este webinar hablaremos sobre el potencial de utilizar la Inteligencia Artificial en tareas tales como la escritura automática de poemas o la predicción de la siguiente palabra que escribirás en tu teléfono. Además, crearemos, entrenaremos y probaremos algunos de estos modelos. Carlos Rodriguez, Data Scientist de LUCA, mostrará la creación de sistemas inteligentes que nos permitan entender y procesar aquello que, justamente, nos hace humanos – el lenguaje – es hoy más que nunca una realidad gracias al uso de técnicas como el Deep Learning.

28-29 de abril 2019

Jornada organizada por el Ministerio de Comercio, Industria y Turismo, ProColombia y la Organización Mundial del Turismo el próximo 29 de abril en Cartagena de Indias (Colombia), con el objetivo de conectar a empresarios y visionarios para explorar las oportunidades de la transformación digital en el sector turístico. El equipo de LUCA participará en el seminario de alto nivel sobre innovación dónde se abordará como tema principal el uso de nuevas tecnologías y el impacto de nuevas aplicaciones.

21-23 de mayo 2019

Digital Enterprise Show 2019
El evento líder en transformación digital bajo el lema “Digital DNA for Augmented Organizations” que reúne a los 450 mejores expertos digitales y 21.000 visitantes en Madrid para analizar cómo la tecnología transforma el negocio para dar forma al futuro de las industrias. Un lugar de encuentro con el fin de lograr sinergias entre el conocimiento y la experiencia donde asistirá también Telefónica como empresa referente en transformación digital.
Para mantenerte al día con LUCA visita nuestra página web,  suscríbete a LUCA Data Speaks o síguenos en TwitterLinkedIn YouTube.

Esta semana en el blog de LUCA: del 25 al 31 de marzo

Paloma Recuero de los Santos    30 marzo, 2019
Terminamos una semana llena de propuestas: ofertas de empleo en CDO, nuevos cursos para aprender por muy poco dinero (¡o incluso gratis!), debate sobre ética y datos entre CDOs de empresas señeras del país, y reflexiones sobre inteligencia humana vs inteligencia artificial. Si te has perdido algunos de nuestros post diarios esta semana, aquí los tienes todos juntos, para leerlos con mayor comodidad.
El lunes 25 lanzamos la convocatoria de la nueva campaña de búsqueda de talento para CDO. Buscamos dos perfiles, Q&A Analyst y Python Backend Developer. En nuestro blog os contamos, de primera mano, en qué consiste el trabajo de  Q&A Analyst los detalles del perfil.
CDO busca talento ¿puedes ser tú? #TalentoTelefónica  #HayUnSitioParaTi
 
El martes 26 os contamos cómo los datos de comportamiento online en UK ponen de relieve los sesgos de género ocupacionales.
Groundbreaking study exposes the extent of UK gender bias
El miércoles 27, os hicimos un barrido por las principales plataformas de MOOCs sobre Data Science para seleccionar los cursos más interesantes del momento. De todo tipo, más generales o más especializados, en inglés y en español, la mayoría de ellos, gratuitos.
Cursos gratis de Ciencia de Datos para esta primavera
 
El jueves 28, publicamos el debate sobre ética del dato que tuvo lugar en el último encuentro del club Chief Data Officer Spain.
Poniendo el «Data» en el «Ethics»
 
Por último el viernes 29, hablamos del eterno debate entre Inteligencia Artificial e Inteligencia Humana. Un interesante análisis con una conclusión clara: «No matter how superior the intelligence of a machine is compared to that of a human, it will always be artificial»
Don’t give up on human intelligence while adopting the artificial one
 
 
Y eso ha sido todo esta semana. ¡Feliz fin de semana!
 
Para mantenerte al día con LUCA visita nuestra página web,  suscríbete a LUCA Data Speaks o síguenos en TwitterLinkedIn YouTube.

Crowdfunding: cuando los micromecenas financian tu idea

Mar Carpena    29 marzo, 2019

Los Médici, Lorenzo el Magnífico, Verdiglione… Sus nombres nos hacen regresar a la Italia del Renacimiento, a Miguel Ángel, Leonardo Da Vinci, Rafael Sanzio, grandes artistas de cuya obra hoy somos partícipes, gracias a los mecenas que los apoyaron, económicamente casi siempre, y que así hicieron posible que vieran la luz sus esculturas, pinturas, libros o edificios.

Un mecenazgo que hoy sigue vigente, aunque con aportaciones generalmente más pequeñas e Internet como gran aliado. Es el llamado crowdfunding, el micromecenazgo del siglo XXI o el sistema de cooperación que permite a cualquier persona creadora de proyectos reunir una suma de dinero entre muchas personas, para apoyar una determinada iniciativa, tal y como lo define la propia Asociación Española de Crowdfunding.

Y es que muchas veces tener una buena idea es el primer y más importante paso para hacer algo grande, pero no siempre detrás están los medios económicos para que esa idea, proyecto o iniciativa pueda convertirse en realidad. Ahí es donde el crowdfunding cobra importancia.

Esta financiación puede responder principalmente a cuatro modelos distintos:

  • Equity Crowdfunding: los inversores reciben una participación en la empresa a modo de accionistas. Este tipo de inversiones pueden ser muy fructíferas si el proyecto crece, ya que se puede llegar a multiplicar la inversión realizada.
  • Crowdfunding de donación: para proyectos con fines solidarios. Las participaciones se dirigen hacia una causa caritativa. En este caso, el micromecenas no recibe nada material a cambio de su aportación.
  • Crowdfunding de préstamo: también denominado crowdlending. Los inversores terminan recuperando su inversión tras un período de tiempo más un porcentaje de intereses. Normalmente, la persona que solicita el dinero determina cuál es el interés que tendrá el préstamo.
  • Crowfunding de recompensa: Los participantes reciben un artículo tangible o servicio a cambio de su dinero. Muy utilizado para proyectos artísticos como la creación de discos, películas o cortos. Puede ofrecerse aparecer en los créditos, o el regalo del disco en el momento en que se publique.

Principales plataformas de crowdfunding

Las plataformas que existen para poner en marcha una acción de crowdfunding son más que numerosas. No en vano, únicamente en nuestro país, en 2017, este tipo de inversión tuvo un crecimiento de casi un 40%, superando los 101 millones de euros, según el último informe Financiación Participativa (crowdfunding) en España, elaborado por Universo Crowdfunding en colaboración con la Universidad Complutense de Madrid.

Kickstarter

Una cifra nada desdeñable y que se ha repartido en plataformas como Kickstarter, una de las más conocidas.

Esta plataforma funciona bajo la máxima del “todo o nada”. El creador de un proyecto fija un objetivo y un plazo de financiamiento; si a la gente le gusta el proyecto, puede contribuir con su dinero para hacerlo realidad. Si el proyecto alcanza su meta, se realizará el cargo a las tarjetas de crédito de los patrocinadores, una vez que se haya cumplido el plazo. En cambio, si el proyecto no alcanza su meta de financiamiento en el plazo indicado, no se realizará ningún cargo y el proyecto no verá la luz. 

El que sí vio la luz fue Tropic, una firma de zapatillas catalana que decidió apostar por el crowdfunding a través de Kickstarter. El resultado: en menos de una hora se recaudaron los 12.500 euros marcados como objetivo; en un día, consiguieron 100.000. Menos de un mes después, habían recaudado 2.140.000 euros de 26.200 mecenas. Todo un éxito.

Verkami

Otra de las más populares y además española es Verkami que, como explica en su propia filosofía, el micromecenazgo es una manera de financiar proyectos a través de aportaciones de muchas personas que, a cambio, reciben compensaciones o recompensas exclusivas en forma de productos, servicios o experiencias. Abrir un proyecto en Verkami no es una inversión para obtener beneficios económicos, explican.

Entre sus proyectos, el de la Universitat Politècnica de València y su Hyperloop UPV, el tren del futuro, que han abierto una campaña en Verkami que tiene como objetivo recaudar 8.500 euros para construir una pista de prueba en la que probar su desarrollo.

Otras plataformas

Goteo.orgUlule, Indiegogo, Migranodearena… La lista de plataformas de crowdfunding es tan larga como variada.

Así que, si tienes un proyecto, idea, negocio o acción social que quieres que vea la luz y se convierta en realidad, no lo dudes. Estudia bien tu estrategia, el diseño de tu campaña, la cuantía que necesitas…. Y ánimo: miles de micromecenas podrían ser tu respuesta.

Es hora de exigir un nuevo «data deal»

Mercedes Núñez    29 marzo, 2019

Han pasado cinco años ya desde la primera vez que escuché a Paloma Llaneza. Hablaba de big data: negocio versus privacidad dentro del ciclo de conferencias “Vivir en un mar de datos”. Hace dos días lo hice de nuevo en Telefónica, con motivo de la presentación de su libro “Datanomics. Todos los datos personales que das sin darte cuenta y todo lo que las empresas hacen con ellos”. En este tiempo el tema no solo no ha perdido actualidad, sino que se ha convertido en un problema más acuciante aún si cabe.

Pero a veces no tenemos la percepción de ser vigilados y otras -afirma esta abogada experta en aspectos legales de la tecnología e identidad digital- somos conscientes del riesgo pero “no queremos que la fiesta se acabe porque cuando se pare la música no tendremos una silla en la que sentarnos”. Esta sociedad fluida nos desposee, a cambio de caramelos, de muchas cosas: éste es uno de los mensajes de esta obra rigurosa y didáctica, con la privacidad como hilo conductor.

Paloma explicó que para escribirla no ha necesitado buscar la información como Indiana Jones el arca perdida, sino que los datos están ahí… Lo que no podemos hacer es mirar hacia otro lado y sobre eso llama la atención. Nos tenemos que involucrar en cómo funciona nuestra sociedad, informarnos aunque no nos guste lo que descubramos porque solo así estaremos en disposición de cambiar las cosas. Para ello la autora del libro apunta la importancia de la educación y de tener el criterio suficiente para hacer efectivo el libre albedrío.

Afirma que hay un eterno optimismo con la tecnología pero debemos pararnos a pensar para qué la queremos. En este sentido, estamos muy necesitados de la filosofía porque nos encontramos ante una situación sin precedentes.

Seguro que si fuéramos a una ferretería a por una linterna y nos la regalaran a cambio de “firmar unas cositas”, proporcionar nuestra agenda de contactos, el álbum de fotos y dar hasta la clave de la taquilla del gimnasio nos quedaría claro que el producto somos nosotros. En el mundo digital proporcionamos muchos datos que nos identifican y reflejan nuestros pensamientos profundos y comportamientos, lo que facilita que las empresas y los estados muchas veces “jueguen al ajedrez con nosotros ”, según Paloma, y nos movilicen en uno u otro sentido.

Ella bromea sobre sí misma como una señora pesada que siente que tiene el síndrome de Casandra, aunque ahora empiezan a creerla. Añade que no quiere evangelizar pero está harta del “yo no tengo nada que ocultar” que ha hecho tanto daño por la dejadez que supone frente a que nos espíen. Y explica que los GAFA tienen una especie de gemelo digital nuestro que vive en la nube y es un reflejo fiel de nuestras virtudes y, sobre todo, de nuestras debilidades.

“La tecnología recoge muy bien toda nuestra basurilla digital”, afirma la experta, pero es adictiva y nos enganchamos a algo que nos proporciona placer como los “me gusta” o que refuerza nuestra manera de pensar como la burbuja de filtros que explica Eli Pariser. El sistema aumenta nuestro sesgo cognitivo. Nos analizan y van a nuestra amígdala, advierte Llaneza.

“Un mes fuera de Facebook aumenta el bienestar general, reduce la ansiedad, la depresión y el tiempo dedicado posteriormente a esta red social, según una investigación de las universidades de Nueva York y de Stanford”, recogía recientemente El País Retina. También vemos que hay cada vez más arrepentidos de estas empresas que nos controlan y confiesan que nos tratan como al perro de Pavlov y lo aprovechan para vendernos productos pero también ideas políticas. El peligro es que nos despojan de la condición de ciudadanos para convertirnos en consumidores. El Brexit o la elección de Trump han mostrado cómo movilizan a los votantes pero al menos ha servido para poner el foco en el funcionamiento de esta maquinaria. Paloma considera esperanzador que esta cuestión, al menos, esté sobre la mesa.

Urge actuar, eso sí, porque el sistema de vigilancia es mucho más intrusivo de lo que parece, hemos perdido el control. Ella se plantea si estamos cerca de un ciudadano al que se pone nota en función de los datos que manejan de él y esto condiciona su vida. El modelo chino, como estado orweliano, va en este sentido. Han conseguido resolver de manera más natural, eficiente y barata la labor que hacían los antiguos delegados del régimen al establecer un rating del buen ciudadano y el que tiene menos de 3,5 sobre 5 se convierte en un perdedor con un impacto tremendo, incluso en sus posibilidades de relacionarse con los demás, que lo rechazan para que no les baje la nota a ellos, o usar trenes de alta velocidad.

Pero no hace falta irnos a China. ¿Qué es más peligroso: tener una aspiradora inteligente que hace un mapa de nuestra casa “para poder limpiar” o dejarse la puerta del coche abierta? ¿Podemos fiarnos de las bombillas conectadas? ¿Y si el wearable que mide nuestras constantes vitales determina que dormimos poco y eso nos convierte en profesionales poco recomendables para solicitar nuestros servicios? Recordemos lo que pasó con las pulseras Fitbit que el Pentágono prohibió porque a través de ellas estaban identificando bases secretas… Los asistentes virtuales pueden analizar nuestro estado de ánimo y actuar sobre nuestros sentimientos. Hay ciudades, como Londres, con calles plagadas de cámaras y el móvil nos espía desde nuestro propio bolsillo…

Estamos ante un problema de “dataísmo”, del valor del dato por encima de todo. Y la realidad es que es complicado alcanzar un equilibrio entre protegerse y disfrutar de las ventajas que las TIC ofrecen.

Por otro lado, el gran debate entre privacidad y seguridad -explica Paloma Llaneza- es falso y da la razón a Benjamin Franklin que dijo que el que esté dispuesto a ceder un poco de la primera en aras de la segunda no merece ninguna de las dos. El ser humano y sus derechos van evolucionando junto a sus necesidades y en este momento la privacidad es una prioridad.

“He leído y acepto…” es la mayor mentira de Internet. La conformidad con la política de privacidad y términos de uso se ha banalizado. Resulta materialmente imposible en la era de la inmediatez sacar tiempo para leer esos textos tan complejos, redactados en lenguaje críptico. Como construcción legal es irreprochable pero desde el punto de vista práctico no funciona. Dice la abogada que aceptamos con ligereza porque consideramos que no tiene importancia pero la tiene y mucha. Por eso considera una obligación simplificarlo mediante iconografía incluso, para que la gente entienda lo que firma. Es un reto en este momento aligerar y aclarar estos términos legales y, en este sentido, Paloma Llaneza se ha embarcado en un proyecto con Telefónica.

La autora del libro también explicó que regular la propiedad de los datos es complicado. El habeas data se refiere al control del dato, no a la propiedad sobre el mismo pero además ¿qué pasa con los que el titular no proporciona, con los que se extraen de su comportamiento o se infieren que -¡ojo!- resultan además aún más reveladores para saber cómo somos? Paloma no cree en el derecho a la monetización de los datos, cuyo valor sería complicadísimo determinar. No valen lo mismo datos sueltos que en combinación con otros, según lo usados que estén, ni en Nigeria que en Estados Unidos, por poner tres ejemplos. Frente a la monetización, ella está a favor del dividendo digital: de que las empresas que los usan devuelvan ese beneficio a la sociedad y a sus propietarios. Por otro lado, el derecho a la intimidad es irrenunciable y monetizarlos va en contra. Somos dueños de nuestra dignidad y del impacto del uso de los datos sobre ella.

Resulta inquietante que haya un uso sesgado de los datos para determinar nuestro futuro y, en este contexto, la inteligencia artificial mal entendida puede agravarlo todo. Hay algoritmos tóxicos y hay que abogar por su transparencia, defiende la abogada. No pueden ser una caja negra que evolucione a su aire, tenemos que tener la capacidad de poder explicar por qué toma una decisión en un sentido o en otro y reconducirlos en caso necesario, que la tecnología sea neutra.

El problema de la inteligencia artificial está en el interfaz humano. De ahí la importancia de compromisos como el de Telefónica para usar la inteligencia artificial con integridad y transparencia. La compañía es pionera en este sentido desde el área de negocio responsable, con unos principios que recogen que dicha inteligencia ha de ser justa, transparente y explicable, con las personas como prioridad, con privacidad y seguridad desde el diseño, con el compromiso con socios y terceras partes.

Telefónica ha elaborado, además, un “Manifiesto por un nuevo pacto digital” que defiende una digitalización centrada en las personas.

Una gran responsabilidad como la gestión de los datos requiere un comportamiento ético a la hora de manejarlos y esto va a marcar la diferencia entre unas compañías y otras, aseguró Paloma Llaneza. La seguridad de la red y el respeto a la privacidad será cada vez más un factor decisivo a la hora de optar por una de ellas.

En este momento es cierto que el uso de nuestros datos están sujetos al RGPD y esto es una garantía de Europa frente al otro lado del Atlántico donde estos derechos se vulneran más fácilmente con la excusa de la innovación, pero no es la solución a todos los problemas, debemos exigir transparencia en su uso y una mayor concienciación para ponérselo más difícil a las compañías que lo están haciendo mal, apuntó Paloma.

“Me encanta la tecnología y me gustaría que todos estos aspectos estuvieran en la agenda política no como la mera necesidad de un reglamento sino como la cuestión importante que es”, afimó la abogada, que también considera que estamos más cerca de un punto de inflexión de la mano de la Generación Z. Cree que el impacto sobre sus datos de un uso intensivo de la tecnología llevará a replantearnos esta situación. Habla de toda una generación sin privacidad, con una huella digital desde el feto, con ecografías compartidas en Whastapp y trazabilidad sobre toda su vida. Ellos serán los que reivindiquen el derecho a la reinvención, a que no se pueda usar un error que alguna vez se cometió para siempre y fuera de contexto.

De las dos charlas que tuve ocasión de escuchar con motivo de la presentación de «Datanomics» me quedo con que es momento de exigir un nuevo data deal entre ciudadanos, empresas y administraciones públicas para saber cómo van a tratar nuestros datos y poder decidir si queremos que lo hagan o no. Como afirmó Paloma Llanezas en Espacio Fundación Telefónica, la tecnología no es un tsunami de la naturaleza. La hemos hecho nosotros y la podemos construir de otra manera si queremos. Pero tenemos que querer.

Imagen: DenisenFamily

Identificando usuarios y haciendo profiling de objetivos en la Wifi del avión

Deepak Daswani    28 marzo, 2019

A estas alturas, es probable que muchos de nosotros tengamos claro los diferentes tipos de riesgos que involucran el uso de redes inalámbricas. Tanto desde el punto de vista de gestionar la seguridad de nuestra red doméstica o corporativa, como a la hora de conectarnos a una red ajena.

Sabemos desde que el cifrado WEP presentaba vulnerabilidades fáciles de explotar con herramientas de botón gordo, lo que daba lugar a que durante muchos años algún vecino intentara robarte la Wifi.  Posteriormente aparecieron WPA como pre-estándar y WPA2, considerado como estándar seguro durante muchísimos años. De hecho más allá de los ataques mediante WPS, para comprometer este tipo de redes no quedaba otra que utilizar un ataque de diccionario una vez capturado el handshake como mostraban mis compañeros del equipo de CSAs en este talk sobre “Seguridad en redes Wifi” de la temporada pasada.

En octubre de 2017, Mathy Vanhoef descubrió las famosas vulnerabilidades Krack Attacks, de las que hablamos ya en su día al mencionar la llegada inminente de WPA3. 

Sin embargo, respecto a redes WiFi Públicas como las que se nos brindan en aeropuertos, hoteles, centros comerciales, etc. Debemos tener una consideración especial a la hora de hablar de seguridad, este tipo de redes públicas suelen ofrecerse por lo general abiertas (sin cifrado) para facilitar la conexión por parte de los clientes. Esto ya abre la puerta a ataques de monitorización pasiva del tráfico que cualquier usuario pueda transferir en texto plano. Algo que también podría hacerse si en lugar de estar abierta utiliza cualquier estándar de cifrado (WEP,WPA,WPA2), ya que todos los clientes en teoría disponen abiertamente de la clave para conectarse a la red, al ser una red pública.  Aunque esto añadiría un nivel más de seguridad, pues para poder monitorizar el tráfico de un cliente en una red WPA2 es necesario capturar los paquetes del 4-way handshake inicial. De lo contrario no sería posible, aunque para ello se pueden enviar paquetes de deautenticación al cliente y forzarle a reconectar. En cualquier modo, pese a que es posible está claro que una red abierta sin cifrado facilita mucho la labor. 

La gestión de la seguridad en este tipo de redes se suele hacer mediante un portal captivo, que administra los usuarios y otros aspectos dependiendo del modelo de explotación de la red (gratuita o de pago mediante diferentes planes de datos). Existen muchos ejemplos de estos portales, y los que viajamos a menudo estamos acostumbrados a lidiar con muchos de ellos para poder obtener conectividad en aeropuertos u hoteles, así como también en aviones. Es cada vez más habitual que las compañías aéreas ofrezcan conexión Wifi a sus pasajeros para tener acceso a Internet. En algunos casos de manera gratuita y en otras con diferentes tarifas para conseguir mayor velocidad de transferencia o cantidad de tráfico. Incluso hay compañías que ofrecen redes Wifi sin acceso a Internet pero que permiten acceder a una serie de contenidos de entretenimiento tales como películas, series, música, o hablar con otros pasajeros… 

Debido a la frecuencia de viajes que me toca hacer al año, he viajado en numerosos vuelos en los que he podido probar este tipo de redes. Generalmente en casi todos los casos, el dispositivo que implementa la red suele incluir medidas de seguridad como el aislamiento para evitar que un cliente pueda tener conectividad con otro equipo dentro de la LAN. Se restringe la comunicación con cualquier dispositivo que no sea el punto de acceso (que hace también de gateway) a nivel de red y también se suele bloquear el tráfico ARP siendo dicho punto de acceso el que responde a todas las peticiones ARP con su propia dirección MAC. Esto no sólo cierra la puerta a ataques man in the middle mediante arpspoof sino que también impide que se puedan identificar el resto de clientes conectados. 

Sin embargo, no todos tienen implementada las protecciones debida como pueden ver en la imagen 1, que corresponde a un viaje que he realizado en una aerolínea que ofrecia WiFi a sus clientes. En este caso, ha llamado la atención que el portal cautivo no se encontraba utilizando HTTPS a pesar de requerir datos al usuario para lograr acceso a dicha conexión gratuita. 

Imagen 1: Clientes conectados a la red Wifi del avión durante el vuelo.

A raíz de analizar la dirección MAC de los clientes conectados, podría identificarse la marca de los dispositivos en algunos casos e inferir dependiendo de cada caso si se trataba de dispositivos móviles u ordenadores de escritorio, así como distinguir entre dispositivos por marcas tales como Samsung, Apple o BQ.

Lo complejo de esto, es que no sólo sería posible identificar los dispositivos que responden a peticiones ARP, sino que se dispone de total conectividad en la LAN que implementa el punto de acceso, lo cual permitiría incluso escanear los puertos de cada dispositivo.

Imagen 2: Dispositivo iOS con puertos TCP  62078 y 9080 abiertos y accesibles.

De ahí en más, ya conocemos lo que podría suceder analizando los puertos abiertos y los servicios que corren. En el ejemplo de la imagen 2 y 3 se podía conocer de antemano que el dispositivo con la IP 10.178.2.95 podría ser un iPhone o un iPad, al tener abierto el puerto TCP 62078 que los dispositivos iOS utilizan para la sincronización con iTunes, y el 9080 que se corresponde con un servidor web arrancado por la aplicación de Netflix. Por lo que podemos inferir a estas alturas, que ese dispositivo es un iPad o iPhone, cuyo dueño está utilizando la popular aplicación para ver una película o serie durante el vuelo.

Imagen 3: Servidor Web en puerto 9080 respondiendo “status=ok”.

Esto así quizá pueda no decir mucho, pero bastaría con levantarse y dar un paseo en el avión hacia el aseo para identificar un pasajero que esté utilizando su app de Netflix en un iPhone o un iPad para asociarlo al dispositivo que hemos identificado en la dirección IP 10.178.2.95 y del que también disponemos de su dirección MAC. Esto permitiría realizar un profiling completo de un posible objetivo para ataques dirigidos. De hecho, a raíz de la dirección MAC podríamos identificar la presencia del pasajero al que habremos visto en cualquier red inalámbrica a la que se conecte en el futuro tan sólo monitorizando el tráfico desde fuera incluso si no disponemos de acceso a la misma.  Un info-leak más en toda regla como los que recopilaban Chema Alonso y Martina Matarí a la hora de hablar de ataques Corporate Fake News APT en su charla durante el pasado SID. 

Por otra parte, cabe recordar que dispondríamos de todo el tiempo que dure el vuelo para mediante ingeniería social utilizando técnicas conocidas como por ejemplo shoulder surfing durante varios paseos hacia el aseo, poder recopilar toda la información posible del pasajero y generar mayor conocimiento acerca del objetivo. Además de la ventaja inherente a las redes Wifi abiertas, de siempre poder monitorizar el tráfico generado por dicho usuario, pero en este caso sabiendo ya a quién pertenece dicho tráfico. Todo lo que no fuera cifrado podría ser identificado, pero incluso accediendo al tráfico cifrado y analizando los endpoints podríamos saber los servicios y aplicaciones que utiliza durante el vuelo (Whatsapp, Telegram, Spotify,…) Todo esto nos daría una base de conocimiento importante en esta labor de profiling.

Imagen 4: Paseo con Shoulder Surfing durante uno de mis innumerables vuelos.

Todo ello sin olvidar que al margen de la posibilidad de recolectar información para generar inteligencia, al disponer de conectividad total con cualquier cliente  en la red, podría ser posible tanto acceder a servicios no fortificados, como explotar vulnerabilidades que pudiéramos identificar para comprometer la seguridad de los mismos. Aún son muchos los equipos de usuarios que se pueden encontrar sin actualizar con el puerto 445 abierto, vulnerables a los famosos EternalBlue y DoublePulsar. 

Como hemos venido diciendo, muchas redes Wifi que solemos encontrar en aviones o entornos de este tipo habilitan medidas de seguridad que nos protegen de posibles ataques directos por partes del resto de clientes, al margen de la monitorización pasiva de tráfico. No obstante, siempre es posible encontrar un escenario como el expuesto donde podamos ser más vulnerables. Además, en este caso el utilizar una VPN para nuestro tráfico hacia el exterior seguiría sin resolver algunos de los problemas comentados. Por ello, conviene tener en cuenta todos los aspectos señalados, mantener siempre actualizado nuestro dispositivo y no descuidar nunca la seguridad a la hora de conectarnos a cualquier red ajena. 


Transformarse, con la ayuda de cloud, para recuperar el crecimiento

José María Cuéllar    28 marzo, 2019

En el verano de 2012 el periodista Kurt Eichenwald publicó en la revista Vanity Fair un artículo que causó un enorme revuelo en la comunidad tecnológica: «Microsoft’s lost decade«. En un extenso texto se relataba con gran precisión la decadencia de Microsoft a partir de 2000 y durante los siguientes doce años. En todo ese tiempo la empresa no fue capaz de desarrollar ninguno de los negocios digitales que intentó capturar: eBooks, música, búsquedas en Internet, redes sociales, smartphones, etc.

Mientras tanto y durante esa década, startups de diversa índole no hacían más que triunfar y crecer exponencialmente en todos esos negocios en los que un gigante como Microsoft fracasaba. Son los años de Google, PayPal, Skype, LinkedIn, Facebook, Spotify, Dropbox o Netflix, por citar a algunas de las más conocidas. Pero, además de estas startups, compañías ya veteranas como Apple iban a cambiar el mundo con el lanzamiento del iPhone en 2007. El eterno rival de Microsoft obtenía en 2012 más ingresos con un solo producto, el iPhone, que Microsoft con todos los suyos.

¿Qué es lo que le sucedió a Microsoft? ¿Por qué la compañía que había llevado el ordenador personal a cada mesa estaba estancada desde hacía años?

Por un lado, el dominio de las dos principales unidades de negocio, Windows y Office, hacía que cualquier producto nuevo tuviera que estar supeditado al modelo de negocio de éstos, lo que imposibilitaba el descubrimiento de nuevas maneras de ganar dinero.

Por otro lado, se había perdido la orientación al cliente en el diseño de los productos. En parte por priorizar siempre los objetivos económicos a corto plazo y también por la falta de talento con mentalidad digital en los puestos de decisión intermedios.

Pero lo peor de todo, como apuntaba Eichenwald en su artículo, fue la instauración de una cultura burocrática y tóxica orientada a que nadie pudiera salirse del guion corporativo. Este hecho estrangulaba cualquier intento de innovación. Las unidades de negocio, en lugar de competir en el mercado contra otras compañías, competían entre ellas mismas. Esto sucedía, en gran medida, porque los sistemas de evaluación del desempeño basados en la campana de Gauss hacían que los empleados estuvieran más preocupados por salir bien en la foto que por encontrar la siguiente ola de crecimiento.

En definitiva, la compañía había caído en una espiral de lentitud y ausencia de innovación, tanto en producto como en modelos de negocio, que se traducía en estancamiento.

Cuando una compañía -da igual su tamaño- llega a este punto solo hay un camino: transformación y renovación.

En julio de 2014 el consejo de administración de Microsoft nombraba a un nuevo CEO, el tercero en la historia de la compañía: Satya Nadella, que inició un camino de transformación y renovación sin precedentes en la empresa. Él mismo lo describe de manera simple y directa en un libro imprescindible para todo aquel que esté interesado en la transformación digital de las organizaciones: «Hit refresh». En el, Nadella comparte las claves que lo llevaron a transformar Microsoft y que, en mi opinión, también se pueden aplicar tanto a las grandes corporaciones como a las pymes.

Lo primero que se debe hacer es preguntarse para qué esta la empresa en el mundo. No es una pregunta menor pues se trata nada menos que de reformular la misión de la empresa. Lo normal es que dicha misión se quede obsoleta a lo largo del tiempo, en gran medida porque se haya alcanzado. Así pues, Nadella tuvo que redefinir la misión de Microsoft, que pasó del conocidísimo «poner un PC en cada mesa», claramente superado, al nuevo «habilitar a las personas y organizaciones para conseguir más».

El segundo paso debe ser encontrar nuevos modelos de negocio, y en esto la tecnología cloud puede ser la clave, como ha ocurrido con Microsoft. Cloud  permite a cualquier empresa incrementar exponencialmente la velocidad de innovación en producto y habilitar nuevos modelos de negocio basados en servicios de pago por uso. Según apuntó Nadella, el camino hacia cloud iba a significar para Microsoft su mayor transformación en una generación, nada menos.

Y, por ultimo, y quizá lo mas importante, es preciso definir una nueva cultura y ayudar a su implantación en la organización. La cultura corporativa se puede resumir en cómo piensa y actúa una compañía. Nadella estableció que la nueva cultura de Microsoft debía ser escuchar al cliente, aprender de él y enfocar las pasiones individuales hacia la nueva misión de la compañía. Como CEO, el 80 por ciento de su trabajo consiste en crear esa cultura.

A los pocos meses de la llegada de Nadella, Microsoft salió de su letargo -de su década perdida- y retomó la senda del crecimiento. A los cuatro años, en diciembre de 2018 y con un corazón completamente renovado, se convirtió en la primera compañía del mundo por capitalización bursátil.

Si vuestra compañía está estancada, en una década perdida o camino de ella, no esperéis para  acometer su transformación: redefinid la misión, buscad un nuevo modelo de negocio con cloud y estableced un nuevo marco cultural. Llevará un tiempo pero los beneficios acabarán por aflorar.

Imagen: MaxDeVa

Debate Club CDO Spain: Poniendo el “Data” en el “Ethics”

AI of Things    28 marzo, 2019

Actualmente, tenemos más preguntas que respuestas. Ante la falta de un marco ético global que sirva de guía, el CDO debe ser consciente no solo del potencial beneficio de los datos, sino de todos los posibles efectos en terceros

Asier Gochicoa, CDO de Grupo Kutxabank, señala un dilema que surge en este sentido:

“No utilizar los datos para discriminar, por ejemplo, es especialmente desafiante en sectores como la banca, donde, para poder prestar un buen servicio con garantías, debemos estudiar muy bien índices de morosidad”.

Como en cualquier otro campo de la actividad humana, debemos tener clara la diferencia entre ley y ética. No todo lo que es legal es moral y viceversa. En este sentido, Gochicoa advierte que

“Es difícil de imaginar que todo el peso de lo que los CDO entendemos como data ethics llegue a las empresas: el GPDR obliga, la ética del dato, no (más allá del nivel personal)”.

 “El principal reto del CDO es cultural: como profesionales del dato, debemos llevar a cabo una gran labor pedagógica”.

En cualquier caso, el análisis de datos y la IA, bien utilizados, conllevan más beneficios que riesgos. Proporcionan un contexto más detallado sobre los clientes. Pero, ¿qué sucede cuando escapan a nuestro control o entendimiento, cuando tratamos con los conocidos como algoritmos “de caja negra”? Según David Martín, CEO de Damavis, este es un claro ejemplo de la labor pedagogía que aún es necesario realizar:

“Realmente, no son cajas negras. Debemos hacer entender que son funciones matemáticas que obedecen directrices lógicas. Su complejidad puede aumentar exponencialmente, pero si las reducimos a sus elementos más básicos, podemos explicar su comportamiento. Es difícil, pero no imposible”.

Tenemos la responsabilidad de entrenar a los modelos de aprendizaje automático para que funcionen cada vez mejor. Puede ser que incurran en decisiones discriminatorias, como denegar el derecho de compra de personas en función de su nacionalidad, porque detecten muchos casos de fraude procedentes de determinado país, pero es una responsabilidad humana enseñar a la máquina a discernir. El modelo hace su trabajo (discriminar en base a datos), pero no debemos pedirle que desempeñe la labor de un humano: pensar de manera crítica.

“Como CDO, hemos de establecer un protocolo que asegure la calidad de nuestros modelos, por ejemplo, poniéndolos a prueba en entornos acotados. Esto podría hacerse proporcionándoles una muestra real, pero sin llevar el resultado a producción. Como profesionales del dato, debemos velar para que los modelos imperfectos no lleguen a producción hasta que tengan determinada calidad”, indica Martín.

Por su parte, Lipúzcoa indica que:

“La abundancia de datos ha puesto de manifiesto que existen más dilemas de los que antes nos planteábamos. Para el CDO, el principal reto es cultural: debemos explicar estos dilemas, por qué existen y por qué debemos abordarlos. Por otro lado, debemos enfrentar la eficacia a la ética y encontrar un equilibrio adecuado entre ambas, definiendo modelos con incentivos y contrapesos”.

Durante el debate, asimismo surgió la idea de que el problema de la ética del dato es, sobre todo, corporativo porque, si no hubiera “data”, ¿habría “ethics”? ¿Reflexionan lo suficiente las compañías sobre el impacto de sus acciones en la sociedad? Ya existían dilemas morales y comportamientos cuestionables. Ahora, simplemente, tenemos más datos y las compañías están más expuestas.

Durante la discusión, Daniel Martínez, CDO de Caja Rural, se preguntó:

“Si los datos son realmente discriminatorios. Los prejuicios humanos juegan un papel importante a la hora de definir un algoritmo de machine learning. Por tanto, debemos enseñar a tomar decisiones a la máquina y procurar que no ‘herede’ prejuicios inútiles y perjudiciales”.

Por su parte, Francisco Escalona, Big Data Manager de Orange, destacó que:

“En ocasiones, el big data también nos ayuda a eliminar viejos dilemas. Por ejemplo, si queremos evitar discriminar por zona residencial, por las posibles implicaciones sobre la renta que pudiera tener, hoy tenemos infinidad de datos de clientes que nos dan una visión más rica y complementaria que si utilizásemos solo el código postal, del que incluso podemos prescindir según qué casos. El big data nos ayuda a acertar más, a conocer mejor los matices del cliente y, por tanto, ser más eficaces a la hora de promocionar nuestra oferta comercial”.

Juan Manuel López, como CDO de CUNEF, se enfrenta a retos muy particulares por el sector al que se dirige y a sus potenciales clientes, tanto alumnos como padres de alumnos.

“Debemos, en cierto modo, discriminar para asegurarnos que aceptamos buenos estudiantes y que nuestra oferta es competitiva, ya que tenemos más demanda que oferta de plazas. Si no discriminásemos, ofreceríamos un mal servicio y una mala experiencia educativa. El análisis de datos y las técnicas de aprendizaje automático nos ayudan, ciertamente, a resolver problemas que ya teníamos, utilizando nuevas técnicas. Ahora, el dilema es ser transparente y explicar razonablemente nuestras decisiones a las personas afectadas, tanto alumnos como padres”.

Las empresas toman muchas decisiones en base a datos diversos y deben ser capaces de explicar la razón de dichas decisiones a sus stakeholders. Por supuesto, el análisis de datos también conlleva nuevos retos que el CDO, como profesional, debe abordar: ¿estamos analizando los correctos? ¿tienen la calidad suficiente?

Sin embargo, durante la discusión también quedó claro que no debemos perder la perspectiva de que, en el conjunto del amplio tejido empresarial español, gran parte compuesto de pymes, la mayor parte de las empresas carece de CDO. En otras palabras, el 90% de las empresas españolas no entiende la importancia de analizar datos, sus matices y terminología, cómo hacerlo y los riesgos e implicaciones asociadas. Sin cultura del dato, existe un gran problema por resolver.

Para Carlos Zorita, director de tecnología de Ediciones Condé Nast:

“La regulación europea ha supuesto un gran empuje para las empresas, para que nos esforcemos en adaptarnos a un nuevo marco y, a la vez, definirlo. En cualquier caso, dado que la ética no es global y depende en gran medida de la educación recibida, me atrevo a aventurar que encontraremos fricciones. Unos países son más laxos con la gestión del dato, en otros, directamente no preocupa y un tercer grupo es más estricto. No en vano, ya se han comenzado a aplicar las primeras grandes multas por incumplimiento del RGPD”.

En opinión de Ángel Galán, responsable de Business Intelligence de Correos:

“Estamos evolucionando como usuarios y entendiendo mejor el valor del consentimiento. En general, hemos tendido a recolectar datos en exceso (de padecer el ‘síndrome de la dispersión del data lake’) a solicitar su recogida para un uso concreto y claramente comunicado, lo que es un gran paso”.

En este sentido, Martín matiza que:

“Es importante defender que efectivamente no todas las empresas hacen un uso incorrecto de los datos. Muchas están haciendo una importante labor divulgativa, que sin duda es la clave. Es esencial comunicar claramente al usuario que, si nos permite X datos, podremos hacer Y con ellos”. 

Por tanto, el usuario también tiene su parte de responsabilidad:

“Debe valorar qué le aporta una oferta comercial y si está dispuesto a proporcionar la contraprestación que supone. Últimamente, se escucha mucho aquello de que, si te ofrecen algo gratis, el servicio eres tú”.

Daniel Martínez incide en este punto:

“El principal reto es pedagógico. Una vez entendemos el impacto del dato en la empresa, sin duda debemos establecer ciertas líneas rojas, pero, en todo lo demás, hemos de fomentar el uso de los datos todo cuanto sea posible, porque sus beneficios son enormes”.

En muchas ocasiones, la empresa percibe la regulación como algo costoso y que ralentiza el desarrollo del negocio. No obstante, puede ayudar a avanzar de manera ordenada. En este contexto, ¿cuál debe ser el papel del CDO? Para Javier Marqués, CDO de Grupo Generali España:

“La respuesta es compleja, pero sin duda, podemos afirmar que es un rol muy cambiante, según la compañía de la que se trate. En algunas tiene más peso la gobernanza, en otras la analítica… No está definido al 100% para todos por igual. Lo que sí está claro es que su papel está muy ligado a la capacidad empresarial para extraer valor de los datos, con garantías y de manera correcta. El CDO no tiene por qué liderar todo el ciclo de vida del dato, puede compartir la carga. Máxime cuando el efecto, beneficios y desafíos asociados a los datos son transversales a todos los departamentos y, por tanto, la decisión ética está cada vez más colegiada”.

¿Estamos preparados para cumplir con la ética del dato? Gochicoa destaca que muchos sectores se han encontrado muchos más dilemas éticos en comparación con la industria del dato. Gil coincide:

“Aún estamos definiendo la ética del dato. Primero debemos identificar y definir los problemas para poder abordarlos”

Tras el debate, como era de esperar, surgieron pocas respuestas categóricas y muchas nuevas preguntas. Nos encontramos en una fase previa de descubrimiento. Por ello, es más importante mantener viva la curiosidad, para poder plantearnos nuevos dilemas que nos permitan avanzar. 

Post escrito por el Club Chief Data Officer Spain

El Club de Chief Data Officer Spain es la comunidad de los CDOs en España y el próximo martes 2 de abril celebrará un nuevo evento en el que tratará acerca de Democratización de Datos y de cómo transicionar de un modelo de gestión y explotación del Data de soluciones artesanales a uno más escalable e industrializable. 

Visita la web del Club en este enlace: http://clubcdo.com/ y puedes contactar para más información en [email protected]