IMAGE: NORSENo pretendo escribir una de esas típicas entradas alarmistas sobre la ciberguerra, sino hacer una pequeña reflexión sobre el poder de la historia a la hora de enseñarnos cosas. Que internet se está convirtiendo en un campo de batalla cada vez más encarnizado en el que los países despliegan sus fuerzas y sus ejércitos para rivalizar a la hora de desarrollar poder ofensivo y defensivo es evidente, y lo demuestra el cambio de actitud de varios gobiernos en ese sentido: que la administración Trump, llevada por el evidente carácter de bully de su irresponsable presidente, anuncie el lanzamiento de una nueva estrategia de ciberdefensa nacional para facilitar el uso de armas gubernamentales en respuesta a posibles ataques, o que el Reino Unido practique ciberataques para sumir Moscú en las tinieblas en respuesta a ofensivas previas es simplemente una evidencia de que estamos entrando en una carrera armamentística en la que cada país rivaliza por contar con mejores y más potentes armas para provocar en sus adversarios efectos que van desde la desinformación hasta los ataques a infraestructuras críticas.

Recientemente, César Muñoz, de FayerWayer, me recordó un texto que escribí en abril de 2013 para el prólogo de la edición española de “Cypherpunks: La libertad y el futuro de internet“, que posiblemente pueda servir para ilustrar la evolución de la situación actual:

El ciberespacio, en todos los sentidos, se ha militarizado. El equivalente de lo que está ocurriendo en la red situado en la calle, fuera de la red, sería directamente la ley marcial. La red y el libre intercambio de información podrían estar posibilitando un período histórico que supusiese el mayor y más vibrante progreso a todos los niveles, pero están en su lugar alumbrando la época más oscura, autocrática y totalitaria que el ser humano ha vivido jamás. Internet, lo creamos o no, se está convirtiendo en el enemigo, en la sustancia que engrasa una pendiente peligrosísima que la humanidad recorre a toda velocidad, en el mayor y más efectivo facilitador del totalitarismo.”

En efecto, el uso de la red y de la tecnología se plantea cada vez más como herramienta para que los tiranos controlen a sus ciudadanos, para señalar al disidente, al que piensa distinto, o al que aspira a un sistema de gobierno diferente. En este sentido, las estrategias ofensivas plantean riesgos claros y evidentes, y recuerdan poderosamente a lo sucedido en la guerra fría, posiblemente el mayor despilfarro de recursos de la historia de la humanidad, con países invirtiendo en un potencial destructivo cada vez mayor, capaz de acabar varias veces con todo vestigio de vida en el planeta, simplemente en busca de un equilibrio imposible. Solo mediante el desarrollo de tratados internacionales, elementos que auxiliasen en la determinación de responsabilidades y organismos con un cierto poder sancionador se llegó a, de alguna manera, poder plantear un escenario diferente y al menos potencialmente más constructivo.

En la red, cada vez más, necesitamos ese tipo de mecanismos. La respuesta del bully, la de dedicar cada vez más y más inversión al desarrollo de ciberejércitos preparados para atacar al enemigo, para escalar en guerras absurdas capaces de provocar daños de todo tipo a infraestructuras cada vez más dependientes de la red, es simplemente absurda, y sabemos, históricamente, que no conduce a nada bueno. Necesitamos urgentemente tratados internacionales con sentido y con herramientas efectivas que protejan a hospitales, a redes de distribución eléctrica y, en general, a todo aquello que forma parte de la infraestructura crítica de un país, del posible interés de un atacante por causar daño, al tiempo que desarrollamos sistemas que permitan trazar esos ataques y asignar las responsabilidades de manera inequívoca a quienes corresponda, para posibilitar el uso de sanciones internacionales contra ellos y provocar el progresivo aislamiento internacional de quienes pretendan no cumplir las normas. La vía correcta no es la de reforzarnos cada vez más en una carrera sin sentido, sino la de hablar para obtener consenso en lo que vale y no vale, en lo que se puede y no se puede hacer, en lo que está permitido y lo que no. Aislar a quienes pretendan explotar la red como arma, y posibilitar que esta se convierta en lo que siempre debió ser. Si no avanzamos en este sentido y obtenemos un nivel adecuado de consenso internacional, estaremos repitiendo errores históricos que jamás nos llevaron a nada positivo.

 

IMAGE: PDPics - PixabayEl último robo de información anunciado por Facebook el pasado día 29, que afecta potencialmente a más de cincuenta millones de usuarios, es un aviso más – el enésimo – para que los usuarios establezcan buenas prácticas de seguridad. Sí, hablamos de Facebook, una red que muchos usuarios podrían estar tentados a considerar no especialmente crítica o importante, pero no es así. Incluso si no utilizas Facebook habitualmente, es posible que utilices sus credenciales de acceso como login en otras redes, o que, a partir de la información acumulada en tu cuenta de Facebook, incluso aunque puedas llevar tiempo sin usarla, se pueda planear un posible robo de identidad.

En la práctica, que la seguridad de Facebook haya sido vulnerada y que exista la posibilidad de que alguien pueda hacer login en tu cuenta sin tu consentimiento, aunque no tenga tu contraseña, debería servir como un recordatorio más de que pongas al día, si no lo has hecho ya, tus prácticas de seguridad. El problema de Facebook no ha hecho que los delincuentes hayan tenido acceso a tu contraseña, sino a los access token, los pequeños archivos que nuestros navegadores utilizan para mantenerlos logados en el sitio. Si desde el viernes 28 de septiembre pasado has recibido un aviso inusual de Facebook pidiéndote que te logues con tu usuario y contraseña, es posible que estés afectado.

¿Cómo deberíamos plantearnos la seguridad ya no en Facebook, sino en general, hoy en día? De entrada, no utilizando contraseñas como se han utilizado habitualmente. Olvida tus contraseñas, no te inventes ninguna más – ni mucho menos reutilices una en muchos sitios – y utiliza en su lugar un gestor de contraseñas como  LastPass o 1Password, que asigna una contraseña imposible de recordar a cada servicio, y la cambia por otra igualmente imposible de recordar si tienes cualquier problema de seguridad o sospecha de que podrías tenerlo. Tanto si eres responsable de tu propia seguridad como si lo eres de una compañía, deberías plantearte que las prácticas tradicionales de seguridad, por mucho que incluyan cambios periódicos de contraseña, están desactualizadas y son peligrosas, y que lo adecuado es sustituirlas por gestores de contraseñas. 

¿Qué hacer, por tanto, aprovechando el problema de Facebook? De entrada, si no lo tenías, decídete a utilizar un gestor de contraseñas, y cambia la contraseña que tenías en la red social y, si las tenías como login independiente, también las de servicios como Instagram o WhatsApp. Una vez que hayas cambiado esas tres, hazte una ronda por todos los sitios que utilizas habitualmente, y sustituye todas las contraseñas de tipo mnemotécnico por las que tu gestor de contraseñas te indique, y hazlo de manera ordenada, organizada, sitio por sitio, proporcionando al gestor no solo el nombre del servicio, sino también la página de login, para que te resulte fácil cambiar esas contraseñas por otras posteriormente. Además, activa la seguridad de doble factor: el engorro es relativamente pequeño, no va más allá de recibir un SMS en tu smartphone cada vez que haces login en un dispositivo no habitual, pero te proporcionará una buena dosis de tranquilidad mental. Si quieres un nivel de seguridad aún mayor, puedes optar por un dispositivo físico, como los que utilizan los empleados de Google – ahora disponibles para todo el mundo – o las populares YubiKey de Yubico.

Nuestras posesiones digitales, sean del tipo que sean, precisan de cerraduras y sistemas de seguridad acordes a los tiempos en que vivimos. Afortunadamente, además, la seguridad está haciéndose cada día más cómoda, más conveniente y menos propia de expertos: utilizar un gestor de contraseñas o una llave de hardware está absolutamente al alcance de cualquiera, y no debe ser visto como algo que nos complique la vida, sino como un procedimiento cada vez más sencillo que sirve, eso sí, para dificultar u obstaculizar intentos de vulnerar nuestra seguridad. Si no lo has hecho ya, deja que las alertas periódicas de seguridad de los servicios web que utilizas se conviertan en recordatorios de que debes hacerlo lo antes posible.

 

CCTV classroom¿Cómo van a ser las escuelas e instituciones educativas del futuro? Si hacemos caso a las tendencias que están surgiendo tanto en los Estados Unidos como en China, es posible que sean entornos bastante alejados de lo que muchos imaginan. De hecho, todo indica que podrían plantearse como escenarios de permanente monitorización, en los que los estudiantes estarán sometidos constantemente a vigilancia por parte de cámaras, algoritmos y todo tipo de tecnologías diseñadas para obtener información de manera constante a partir de todos los aspectos de su comportamiento.

Si hace no demasiado tiempo hablábamos del uso de la tecnología de reconocimiento facial en escuelas norteamericanas para prevenir episodios de violencia, y de la opinión contraria de las asociaciones de derechos civiles, que las consideraban inaceptables en un entorno escolar, ahora encontramos ya desarrollos de inteligencia artificial que monitorizan todo lo que los estudiantes teclean en sus ordenadores y tabletas con el fin de descubrir pautas de posibles episodios de violencia, bullying, suicidios u otros problemas.

En los Estados Unidos, este tipo de escenarios deriva de la aplicación de la Children’s Internet Protection Act (CIPA), que obliga a toda escuela que reciba fondos federales a mantener una política de seguridad para el uso de internet por parte de los alumnos, y que incluye la instalación de herramientas de monitorización en todos los equipos, tales como tabletas, ordenadores o Chromebooks, que las instituciones faciliten a sus estudiantes. Mientras algunas escuelas se limitan a la instalación de filtros para contenidos considerados inadecuados, otras prefieren recurrir a paquetes especializados como Gaggle, GoGuardian o Securly para tratar de descubrir escenarios potencialmente conflictivos a partir de toda la información suministrada por el usuario, tanto los sitios que visita y el uso general que hace del equipo, como incluso los contenidos que teclea. Otros compañías, como Hoonuit o Microsoft, han desarrollado algoritmos predictivos para analizar la probabilidad individual de abandono de los estudios, llevados por políticas que amparan la recolección prácticamente ilimitada de datos de los estudiantes desde los niveles educativos más elementales. 

Pero este tipo de tecnologías no están solas en el desarrollo de espacios sensorizados o monitorizados en el ámbito educativo: de cara al curso que viene, la Universidad de Saint Louis está llenando todos sus espacios comunes con dispositivos Echo Dot de Amazon, que permitirán a los estudiantes hacerles preguntas en cualquier momento, y contarán con repositorios para cuestiones relacionadas, por ejemplo, con instalaciones, horarios y otras preguntas habituales en el entorno universitario. Los dispositivos se ubicarán en zonas comunes, como aulas de trabajo, pero también en las habitaciones de los estudiantes que utilicen las residencias y apartamentos ofrecidos por la universidad, en lo que supone uno de los despliegues más grandes que se han diseñado para este tipo de dispositivos. Y, para muchos, un escenario de posible amenaza a la privacidad.

Microsoft ha adquirido y convertido en gratuita una herramienta, Flipgrid, para la creación de escenarios de discusión utilizando vídeo, siguiendo una tendencia que lleva a cada vez más institutos y universidades a posibilitar el uso de plataformas online como vehículo educativo que permitan un análisis más detallado y riguroso de todo el proceso participativo. Los comentarios que antes se quedaban en una discusión en clase, ahora serán almacenados y procesados individualmente, lo cual no tendría que ser necesariamente malo, pero podría también contribuir al desarrollo de ese entorno de monitorización y control permanente en lo que todo lo que el estudiante hace, dice o piensa pasa a formar parte de un archivo permanente que lo caracteriza.

En China, algunos institutos están empezando a utilizar la monitorización facial de los alumnos en clase ya no para obtener su identidad, sino para detectar sus actitudes en cada momento. En una escuela en Hangzhou, por ejemplo, tres cámaras en la clase escanean las caras de los estudiantes para tratar de detectar su estado de ánimo, clasificarlo entre sorpresa, tristeza, antipatía, enojo, felicidad, temor o neutro, registrarlo y promediarlo durante cada clase. Además, el crecimiento en el uso de herramientas de machine learning para la corrección de exámenes permite obtener de manera automática datos sobre el desempeño, e incluso, detectar cuándo los estudiantes copian. En algún momento, podríamos incluso pensar en la adopción por parte de las instituciones educativas de herramientas de monitorización de la actividad cerebral, ya en uso en el ejército y en algunas compañías chinas.

En Francia, más conocida en este momento por la prohibición de llevar smartphones al colegio que entrará en vigor en este curso, hay al menos un instituto privado católico en París que ha decidido obligar a sus estudiantes a llevar un dispositivo Bluetooth para controlar su presencia y evitar que falten a clase, so pena de ser multados con diez euros cada vez que lo olviden en casa o lo pierdan.

¿Qué tipo de escenarios podemos esperar para la educación en el futuro? ¿Tecnologías pensadas para maximizar el aprendizaje y crear entornos agradables, o un adelanto de distopía que prepare a los jóvenes para una sociedad de monitorización constante y permanente en la que se encontrarán, gracias a su educación, como peces en el agua? Podemos justificarlo como forma de mejorar el rendimiento académico, como intentos de mejorar la seguridad y de intentar evitar determinados peligros, como una manera de preparar a los alumnos para los entornos profesionales en los que van a desempeñar su futuro profesional, o de muchas otras formas, pero el caso es que este tipo de noticias están proliferando, y están cambiando de manera muy rápida la imagen de la educación en países tan diferentes como los Estados Unidos, China o Francia. Soy un convencido del poder de la analítica de cara a la mejora de los procesos educativos, pero creo que sería importante tener una discusión informada acerca de su uso e implicaciones de cara a cuestiones como la privacidad, la seguridad o la disciplina, si queremos evitar que muchas decisiones que se disponen a condicionar el futuro de la sociedad sean tomadas de facto, sin un proceso de reflexión adecuado.

 

Apple - 1PasswordEl pasado 10 de julio, BGR adelantó un interesante acuerdo entre Apple y AgileBits, los desarrolladores del popular gestor de contraseñas 1Password, en virtud del cual, la compañía tomaba la decisión de adoptar el uso del producto para la totalidad de sus más de 123,000 empleados en todo el mundo, incluyendo además a los empleados de sus tiendas y, de manera obviamente voluntaria, a hasta cinco familiares de cada empleado. El acuerdo lleva a la compañía a una dimensión sin precedentes, y de hecho, incluye provisiones de acuerdo de servicio para asegurar un tiempo de respuesta de menos de cuatro horas a los empleados de la compañía, la traducción de las páginas de soporte a los principales idiomas, y el respaldo de las contraseñas en la nube de iCloud en lugar de en otros proveedores.

Se calcula que el acuerdo podría suponer en torno a los 2.5 millones de dólares anuales, y de hecho, la compañía ha anunciado un generoso programa de bonus para todos sus empleados vinculado a su firma. Además, el artículo planteaba que el interés de la compañía de la manzana podría hipotéticamente llegar hasta el punto de plantearse adquirir la compañía, algo que AgileBits desmintió categóricamente por la vía rápida a través de su cuenta de Twitter, aunque BGR mantiene que en función de la información que manejan, esa adquisición podría llegar a producirse.

¿Quién es 1Password? Se trata de uno de los cuatro grandes en este entorno, junto con LastPass, Dashlane y KeePass. No hay cifras sobre sus cuotas de mercado, pero todos ellos afirman tener entre uno y cinco millones de usuarios, y todos ellos han hecho incursiones en el mercado corporativo. Las preferencias entre ellos son fundamentalmente una cuestión de gustos y costumbres, las comparativas de funciones son bastante similares, y en general, la madurez del mercado se estima aún muy escasa con respecto a su potencial: la mayoría de los usuarios, desgraciadamente, están aún en la fase de escoger contraseñas que pueden memorizar, de reutilizar la misma contraseña en múltiples servicios, o incluso de poner contraseñas absurdamente comunes que no resistirían ni el primer ataque de diccionario. Los gestores de contraseñas son, sin ningún género de dudas, la mejor manera de afrontar el reto de la seguridad en la red, suplementada en algunas ocasiones con métodos adicionales como la autenticación de doble factor o el uso de llaves físicas: yo llevo bastantes años utilizando LastPass, no me sé ninguna de mis contraseñas más que la maestra del servicio, y si la seguridad de algún servicio en el que tengo cuenta resulta comprometido, el cambio de contraseña se hace de manera sencillísima, por otra contraseña que tampoco tengo el menor interés en memorizar. Incluso en el caso de que el propio servicio de LastPass fuese hackeado, como de hecho lo ha sido en varias ocasiones dado el reto que supone, no genera ningún problema, porque todas las contraseñas que almacena están completamente cifradas.

Que una de las compañías punteras en el mundo de la tecnología como Apple decida firmar un acuerdo con un gestor de contraseñas como 1Password para todos sus empleados y su entorno es, sin duda, una prueba de la creciente madurez de este tipo de herramientas. ¿Por qué 1Password y no otra? Posiblemente por cuestiones relacionadas con su interfaz, seguramente la más trabajada y sencilla frente a otros ejemplos como el de LastPass, indudablemente más “crudo” y espartano o el de KeePass, que muchos consideran más apto para usuarios con un cierto nivel de conocimiento tecnológico, y por el nivel de integración que 1Password ofrece con el llavero que Apple y con la nueva API de iOS 12.

Si no utilizas aún un gestor de contraseñas, vete pensando en planteártelo. Pero más allá del uso individual, resulta interesante pensar en el uso corporativo: por razones difíciles de explicar, no son pocas las personas que consideran la seguridad corporativa una cuestión que supuestamente recae de manera exclusiva en los profesionales del área de tecnología y que escapa de su responsabilidad directa, y prestan al tema una atención muy inferior a la que sería deseable. Contraseñas escogidas con criterios absurdos, sencillas de descubrir, que se apuntan en post-its, se teclean sin ningún cuidado, se dicen a gritos en oficinas abiertas o se envían por canales no cifrados como si ello no supusiese un riesgo. Malas prácticas que no siempre vienen de los empleados, que en ocasiones dependen de visiones anticuadas de la propia compañía: si tu empresa te pide que cambies tu contraseña cada poco tiempo y que escojas una con unos requerimientos absurdos, terminarás, lógicamente, apuntándola en algún sitio o escogiendo algo de lo que te resulte fácil acordarte, lo que termina redundando en una seguridad mucho más débil. En lugar de eso, lo razonable, como Apple acaba de demostrar, es ofrecer a todos los usuarios un sistema que les permita gestionar sus contraseñas con un método seguro y en las condiciones adecuadas, e incluso plantearse extenderlo a su entorno familiar. Invertir en niveles razonables de seguridad no es intentar convertir tu compañía en una especie de sucursal de Fort Knox y hacer de paso la vida imposible a todo el mundo que trabaja en ella, sino adoptar métodos sencillos como los gestores de contraseñas que ofrecen garantías adecuadas a cambio de una filosofía de uso sencilla y fácil de entender.

 

USB Flash drives (IMAGE: EDans)Durante aproximadamente unos quince años han formado una parte prácticamente constante de nuestro escenario tecnológico. Los discos USB o flash drives fueron inventados en IBM en el año 1998 como una alternativa a los diskettes para los míticos portátiles ThinkPad: IBM publicó un disclosure al respecto el mismo año 1998, pero no patentó el invento, y contrató para su diseño y fabricación no exclusiva a la empresa israelí M-Systems, que sí registró la correspondiente patente, y algunas más en torno a ello.

Los primeros discos USB fueron fabricados con el nombre Disgo, en capacidades de 8MB, 16MB, 32MB y 64MB. Al ser un producto de diseño y fabricación muy simple, fue rápidamente copiado por fabricantes asiáticos, que empezaron a vender productos similares a precios cada vez menores. En muy poco tiempo, se popularizaron tanto que pasaron a ser un soporte habitual para merchandising, una forma de distribuir documentos y presentaciones en eventos, o un objeto que muchos llevábamos prácticamente siempre en algún bolsillo o maletín. En el IE, el primer disco USB lo llevé yo en un bolsillo en el año 2002, y tras comprobar que en aquella época, los conectores USB de las clases estaban deshabilitados por seguridad, lo llevé al departamento de soporte para que lo evaluasen, donde tomaron la decisión de habilitarlos en cuestión de pocas horas. En muy poco tiempo, se habían convertido en ubicuos: el objeto en el que la inmensa mayoría de los profesores y alumnos llevaban sus documentos y presentaciones… y el más frecuentemente olvidado en los ordenadores de las clases. En la foto, una pequeña porción de mi colección de discos USB: cada vez que llega uno a casa, lo metemos en una caja, en la que creo que debe haber tanto almacenamiento, que si los conectásemos todos, podríamos montar un pequeño datacenter :-)

En muchos sentidos, la popularización del uso del disco USB en el IE fue, realmente y visto en retrospectiva, un paso atrás: en aquella época, la infraestructura tecnológica de la casa ya ofrecía a todos los profesores un directorio accesible fácilmente desde cualquier sitio en el que almacenar sus documentos y presentaciones, que cumplía perfectamente la misma función de una manera sensiblemente más segura y sin inconvenientes dignos de mención. Sin embargo, la comodidad percibida del disco USB, su ubicuidad y su bajo coste determinó una adopción rapidísima, sin que necesariamente fuese la mejor opción o la más segura.

Ahora, la misma compañía que los inventó, IBM, acaba de prohibir su uso a sus empleados, generalizando y oficializando una política que muchos departamentos habían adoptado ya hace algún tiempo. Las razones son evidentes: los sistemas de almacenamiento portátiles suponen un riesgo de seguridad importante y muy poco controlado. La “promiscuidad” de esos aparatitos, que van por todas partes enchufándose en cualquier puerto sin precauciones, puede acarrear desde la transmisión de virus o programas maliciosos, hasta su simple pérdida, con riesgo de difusión involuntaria de documentación corporativa potencialmente sensible. Cuando alguien encuentra un disco USB, lo habitual es que lo enchufe para comprobar su contenido (sea para borrarlo y quedárselo, o para intentar proceder a su devolución), y aunque su contenido puede protegerse con contraseñas o cifrado, la realidad es que muy poca gente lo hace.

El sustituto natural de los discos USB es, lógicamente, una nube cada vez más ubicua. Cuando comenzamos a utilizar este tipo de almacenamiento, la alternativa de conectarnos a la nube era, como mínimo, comprometida: ni el ancho de banda disponible era el que es ahora, ni teníamos, en muchos casos, garantía de tener conexión cuando la necesitásemos. Hoy, en la mayoría de los casos, esos problemas están razonablemente solucionados, lo que convierte a los aún ubicuos discos USB en una solución obsoleta, que ofrece más potenciales inconvenientes que ventajas, y que en muchos casos, como en el de la última generación de portátiles Apple, que únicamente equipa conectores USB-C, obliga a utilizar un adaptador. En no mucho tiempo, veremos los discos USB como hoy vemos un diskette, un dispositivo del pasado que únicamente nos evoca una cierta ternura y al que recurrimos únicamente en caso de necesidad. Si aún los utilizas habitualmente, vete pensando en el servicio en la nube con el que podrás sustituirlos, o en alguna otra alternativa más razonable y más acorde a los tiempos.