ElevenPaths ElevenPaths Radio 3×12 – Entrevista a Andrea G. Rodríguez La transformación digital es una realidad a la que cada vez se suman más organizaciones en todo el mundo. En este proceso, la ciberseguridad es una necesidad global, ya...
ElevenPaths Boletín semanal de ciberseguridad 3-9 de abril Campaña de distribución de malware mediante LinkedIn El equipo de investigadores de eSentire ha publicado detalles sobre el análisis de una nueva campaña de distribución de malware a través de...
Andrés Naranjo Teletrabajo y pandemia: un análisis práctico respecto a la vulnerabilidad BlueKeep en España y Latinoamérica No es la especie más fuerte la que sobrevive, ni la más inteligente, sino la que responde mejor al cambio. Charles Darwin Uno de los mayores y más rápidos cambios...
ElevenPaths ElevenPaths es Aliado Tecnológico de Fortinet Integraciones con Vamps y Metashield Fortinet es Partner Estratégico de ElevenPaths, la unidad de ciberseguridad de Telefónica, con más de 15 años trabajando juntos, y en Junio 2016 reforzamos esa...
ElevenPaths ElevenPaths Radio 3×12 – Entrevista a Andrea G. Rodríguez La transformación digital es una realidad a la que cada vez se suman más organizaciones en todo el mundo. En este proceso, la ciberseguridad es una necesidad global, ya...
ElevenPaths Boletín semanal de ciberseguridad 3-9 de abril Campaña de distribución de malware mediante LinkedIn El equipo de investigadores de eSentire ha publicado detalles sobre el análisis de una nueva campaña de distribución de malware a través de...
ElevenPaths Guerra abierta para evitar la minería no autorizada de criptodivisas cuando navegamos Un reciente informe de CheckPoint señalaba hace unas semanas que las aplicaciones que utilizaban la CPU de los usuarios para minar la criptodivisa Monero supusieron la sexta amenaza más...
ElevenPaths Cryptographic Security in IoT (II) The proliferation of IoT services platforms and devices is occurring much faster than the adoption of security measures in its field. In the face of the urgent need for...
ElevenPaths Entrevista: hablamos de familia, tecnología y #MujeresHacker con María Zabala No te pierdas esta entrevista a María Zabala, periodista, consultora en comunicación y fundadora de iWomanish.
ElevenPaths Consejos para descargar apps de forma segura Tanto si utilizas Android como Apple, no te pierdas estos consejos para descargar aplicaciones sin perder de vista tu ciberseguridad.
Gonzalo Álvarez Marañón Criptografía Ligera para un mundo doblegado bajo el peso del IoT Te contamos qué es la Criptografía Ligera y por qué el interés en ella ha aumentado tanto en el mundo del IoT en los últimos años.
Área de Innovación y Laboratorio de ElevenPaths ElevenPaths pasa a formar parte del Atlas de Ciberseguridad de la Comisión Europea El Área de Innovación y Laboratorio de ElevenPaths ha sido incluida como como parte del Atlas de Ciberseguridad de la Comisión Europea, una plataforma de gestión del conocimiento que...
Qué es la privacidad diferencial y por qué Google y Apple la usan con tus datosGonzalo Álvarez Marañón 3 marzo, 2020 Para poder personalizar sus productos y servicios y ofrecer cada vez mejores características que los hagan más valiosos y útiles, las empresas necesitan conocer información sobre sus usuarios. Cuanto más sepan sobre ellos, mejor para ellas y mejor, supuestamente, para sus usuarios. Pero claro, mucha de esta información es de carácter sensible o confidencial, lo cual representa una seria amenaza a su privacidad. Entonces, ¿cómo puede hacer una empresa para saberlo todo sobre sus clientes y a la vez no saber nada sobre ningún cliente en particular? ¿Cómo pueden sus productos proporcionar grandes características y gran privacidad a la vez? La respuesta a esta paradoja reside en la “privacidad diferencial”: aprender tanto como sea posible sobre un grupo mientras se aprende lo menos posible sobre cualquier individuo en él. La privacidad diferencial permite obtener conocimientos de grandes conjuntos de datos, pero con una prueba matemática de que nadie puede obtener información sobre un solo individuo del conjunto. Gracias a la privacidad diferencial puedes conocer a tus usuarios sin violar su privacidad. Veamos, en primer lugar, la amenaza a la privacidad de los grandes conjuntos de datos. Ni el anonimato ni las grandes consultas garantizan la privacidad Imagina que un hospital mantiene registros de sus pacientes y que los cede a una empresa para que pueda hacer un análisis estadístico de ellos. Por supuesto, elimina la información personalmente identificable, como nombre y apellidos, DNI, dirección, etc. y sólo mantiene su fecha de nacimiento, sexo y código postal. ¿Qué podría salir mal? En 2015, la investigadora Latanya Sweeney armó un ataque de reidentificación sobre un conjunto de datos de registros hospitalarios. Agárrate, porque a partir de historias en los periódicos fue capaz de identificar personalmente (con nombres y apellidos) al 43% de los pacientes de la base de datos anonimizada. De hecho, llegó a afirmar que el 87% de la población de EEUU se identifica de manera única por la fecha de nacimiento, el género y el código postal. Como ves, las técnicas de anonimización de las bases de datos fracasan miserablemente. Además, cuanto más anonimizada está una base de datos (cuanta más información personalmente identificable se ha eliminado), menos útil resulta. ¿Y si sólo se permiten consultas sobre grandes volúmenes de datos y no sobre individuos concretos? El “ataque diferenciador” se ocupa de este caso: supongamos que se sabe que el sr. X aparece en cierta base de datos médicos. Lanzamos las siguientes dos consultas: “¿cuántas personas padecen anemia drepanocítica?” y “¿cuántas personas sin el nombre de X padecen anemia drepanocítica?” En conjunto, las respuestas a las dos consultas arrojan el estado drepanocítico del sr. X. Según la Ley Fundamental de Recuperación de Información: “Las respuestas demasiado exactas a demasiadas preguntas destruirán la privacidad de manera espectacular.“ Y no creas que prohibir estos pares de preguntas evita los ataques diferenciadores, el mero hecho de rechazar una doble consulta ya podría filtrar información. Hace falta algo más para conseguir garantizar la privacidad y, a la vez, poder hacer algo útil con las bases de datos. Existen diferentes propuestas para alcanzar privacidad diferencial. Empecemos por una técnica muy sencilla empleada por los psicólogos desde hace más de 50 años. Si quieres privacidad, añade ruido Imagina que quiero obtener respuesta a una pregunta embarazosa: ¿alguna vez te has zampado una lata de comida para perros? Como el tema es delicado, te propongo que respondas de la siguiente manera: Lanza una moneda (sin trucar) al aire.Si sale cara, vuelve a lanzarla al aire y, salga lo que salga, tú responde la verdad.Si sale cruz, entonces lánzala de nuevo y responde “sí” si sale cara y “no” si sale cruz. Ahora tu confidencialidad queda a salvo porque nadie puede saber si respondiste la verdad o si seleccionaste un resultado aleatorio. Gracias a este mecanismo de aleatorización se ha alcanzado negación plausible: aunque vean tu respuesta, puedes negarla y no podrán demostrar lo contrario. De hecho, si te preguntaste para qué se hace un lanzamiento extra en el primer caso si luego no se tiene en cuenta, es para protegerte en situaciones en las que puedan observarte lanzar la moneda. ¿Y qué pasa con la precisión del estudio? ¿Sirve para algo con tanto dato aleatorio? La verdad es que sí. Como la distribución estadística de los resultados de lanzar al aire una moneda es perfectamente conocida, puede eliminarse sin problema de los datos. ¡Atención, matemáticas! No sigas leyendo si no toleras las ecuaciones. La cuarta parte de respuestas positivas son dadas por personas que no se comen la comida de su perro y por tres cuartas partes de las que sí. Por lo tanto, si p representa la proporción de personas que zampan latas de comida para perros, entonces esperamos obtener (1/4)(1-p) + (3/4)p respuestas positivas. Por lo tanto, sí es posible estimar p. Y cuantas más personas sean consultadas, más se aproximará el valor calculado de p al valor real. Sin ir más lejos, esta idea (con alguna complicación adicional) fue adoptada por Google en 2014 para su proyecto RAPPOR (Randomized Aggregatable Privacy-Preserving Ordinal Response). Según Google, “RAPPOR proporciona una nueva y moderna manera de aprender estadísticas de software que podemos utilizar para salvaguardar mejor la seguridad de nuestros usuarios, encontrar errores y mejorar la experiencia general del usuario». Por supuesto, protegiendo la privacidad de los usuarios. O eso dicen. Lo bueno es que puedes examinar el código de RAPPOR por ti mismo para verificarlo. Privacidad diferencial más allá de las respuestas aleatorizadas Las respuestas aleatorizadas son una forma simplificada de alcanzar la privacidad diferencial. Los algoritmos más potentes utilizan la distribución de Laplace para extender el ruido por todos los datos y aumentar así el nivel de privacidad. Y existen otros muchos, recogidos en el libro de descarga gratuita The Algorithmic Foundations of Differential Privacy. Lo que todos tienen en común, eso sí, es la necesidad de introducir el azar de una forma u otra, típicamente medida por un parámetro ε, que puede ser tan pequeño como se quiera. Cuanto más pequeño sea ε, mayor la privacidad del análisis y menor precisión en los resultados, ya que cuanta más información intentes consultar a tu base de datos, más ruido necesitas inyectar para minimizar la fuga de privacidad. Te enfrentas inevitablemente a un compromiso fundamental entre la precisión y la privacidad, lo cual puede ser un gran problema cuando se entrenan modelos complejos de Machine Learning. Y lo que es aún peor: por pequeño que sea ε, toda consulta fuga información, y con cada nueva consulta, la fuga se incrementa. Una vez traspasado el umbral del nivel de privacidad que has predeterminado, no puedes seguir adelante o empezarás a fugar información personal. En ese punto, la mejor solución puede ser simplemente destruir la base de datos y empezar de nuevo, lo cual parece poco viable. Por tanto, el precio a pagar por la privacidad es que el resultado de un análisis diferencialmente privado nunca será exacto, sino una aproximación con fecha de caducidad. ¡No se puede tener todo! ¿O sí? El cifrado totalmente homomórfico y la computación multiparte segura permiten el análisis 100% privado y 100% preciso. Por desgracia, estas técnicas son hoy por hoy demasiado ineficientes para aplicaciones reales de la magnitud que manejan Google o Apple. Demasiado bonito para ser verdad, ¿dónde está la trampa? Desde que en 2016 Apple anunció que iOS 10 incorporaría privacidad diferencial, el concepto ha saltado de las pizarras de los criptógrafos a los bolsillos de los usuarios. A diferencia de Google, Apple no ha liberado su código, por lo que no puede saberse con exactitud qué tipo de algoritmo utiliza ni si lo utiliza con garantías. En cualquier caso, parece buena señal que gigantes como Google y Apple den pasos, aunque sea tímidos, en la dirección correcta. La criptografía pone a su alcance recursos para conocer a sus usuarios y a la vez salvaguardar su privacidad. Esperemos que el uso de estos algoritmos se popularice y otros gigantes, como Amazon o Facebook, comiencen también a implantarlos. Clear, blockchain masivo y más eficiente para telcosScratch, programación al alcance de todos (parte 2)
ElevenPaths Entrevista: hablamos de familia, tecnología y #MujeresHacker con María Zabala No te pierdas esta entrevista a María Zabala, periodista, consultora en comunicación y fundadora de iWomanish.
ElevenPaths Consejos para descargar apps de forma segura Tanto si utilizas Android como Apple, no te pierdas estos consejos para descargar aplicaciones sin perder de vista tu ciberseguridad.
ElevenPaths ElevenPaths Radio 3×12 – Entrevista a Andrea G. Rodríguez La transformación digital es una realidad a la que cada vez se suman más organizaciones en todo el mundo. En este proceso, la ciberseguridad es una necesidad global, ya...
ElevenPaths Boletín semanal de ciberseguridad 3-9 de abril Campaña de distribución de malware mediante LinkedIn El equipo de investigadores de eSentire ha publicado detalles sobre el análisis de una nueva campaña de distribución de malware a través de...
Mónica Rentero Alonso de Linaje Sí, los cerebros femeninos están programados para la tecnología ¿Está la mente femenina programada para la tecnología? Sí, así, como suena. Esa fue la primera gran pregunta que sonó en mi cabeza en el primer año de carrera....
ElevenPaths ¿De verdad necesito un antivirus? La ciberseguridad es uno de los temas más en boga por su imparable crecimiento y desarrollo, cada vez es más frecuente su presencia en los medios de información, principalmente...