Post 5: Experiencia de auditar Blockchain y reflexiones

Download PDF

Buenas de nuevo! En este último post haremos un resumen de lo aprendido para el proceso de auditar, desde el punto de vista de las TIC. En mi caso, decidí utilizar Blockchain como temática para comprender primero cómo funcionaba la tecnología y segundo (más importante), conocer de primera mano todo el ciclo de vida de un proyecto de investigación para auditar a cerca de esta temática.  Para resumir brevemente y quedarnos con la idea de un vistazo, he resumido el proceso en la siguiente imagen (figura 1), donde trato de simplificar y exponer de manera sencilla todo el proceso seguido hasta ahora. A groso modo, he realizado cuatro sprints de investigación donde en cada uno, ponía el foco en tareas y cuestiones concretas.

 

Captura

Figura 1: Proceso de auditoria.

 


Como punto de partida, dentro del objetivo de auditoría se debe definir el objetivo del proyecto. En mi caso (me repito nuevamente), decidí simular la todo el proceso con Blockchain. Los pasos se pueden resumir en cuatro: “Contextualización”, “Evidencias del sector”, “Riesgos Asociados” y “Controles”.

 

  1. Contextualización: Lo primero que hice fue investigar cómo funcionaba la tecnología. Las preguntas a las que tenía que responder eran básicamente tres:
  • ¿Qué es BlockChain?
  • ¿Cómo funciona?
  • ¿Qué arquitectura tiene?

De esta manera, me nutri de información suficiente para comprender sus beneficios, posibles casos de uso, funcionamiento y palabras clave dentro de este contexto. Básicamente, aprendí la tecnología. Lo publiqué en el post 1.

  1. Evidencias del sector: Una vez conocía la tecnología, expandí mi conocimiento a cerca del mismo. Las tareas que realicé fueron las siguientes:
  • Investigar si existen agentes reguladores
  • Ver si existen leyes, directivas o normativas acerca de Blockchain (a nivel nacional e internacional)
  • Leer noticias recientes o, en su defecto, relevantes para la rama tecnológica

 

De esta manera, lo que obtuve como resultado es no sólo la visión de la propia tecnología, sino además la perspectiva global de a día de hoy, esto es, cómo se movía en el sector. Si quereís echarle un vistazo, lo dejé redactado en el post 2. Seguramente sea el post en el que más me he entretenido y disfrutado, realicé un pequeño estudio que subí a LinkedIn y todo!


  1. Riesgos Asociados: Conociendo la tecnología y madurez dentro del sector, en esta tercera fase me metí de lleno en tratar de identificar riesgos asociados a la propia naturaleza de la tecnología. Estos riesgos, debían de ser medibles, para poder ponderarlos después y priorizar. En mi caso, decidí utilizar dos variables sencillas: el impacto (daño que causaría) y probabilidad. Cabe destacar que me sorprendió para bien el aprender además de la los riesgos inherentes que debían de tenerse en cuenta, existían otros ajenos a los mismos como pueden ser las personas o ataques de terceros. En este apartado debo sincerarme y admitir que gran parte del post fue basado en una investigación de ISACA, son pioneros en auditar y sin ellos y la información obtenida por parte de Rebeca me hubiera costado mucho más (además, estoy convencido de que no hubiera acertado para nada).

 

  1. Controles: Una vez identificamos los riesgos, quedaba la parte de pensar en la manera de cómo afrontarlos. No tiene sentido ser consciente de problemas potenciales si luego no hacemos nada. De la misma manera, en el post 4, ofrecí una tabla de riesgos (resultado de la investigación del punto 3) donde primero prioricé los mismos y después fui desgranando uno a uno para poder aplicar métodos o soluciones para poder mitigar los posibles daños, en el caso de querer implantar esta tecnología en una organización tipo.

 

Esto ha sido todo el trabajo realizado, de manera individual. A modo reflexión, me he dado cuenta de que es necesaria la tarea de auditar: por precariedad, un organización debería  realizar una investigación para cada tecnología clave del sistema. No sólo contento con esto, en un mundo tan hipercambiante como en el que hoy en día vivimos quizás deberíamos tratar de ir más allá e investigar en tecnologías innovadoras para valorar si realmente nos compensa implantarlos. Bajo mi punto de vista, las empresas deberían explotar nuevas vías, de mano con procesos iterativos de auditoria (al menos desde el punto de vista de implantación de nuevas tecnologías). Para mi ha sido todo un placer compartir este proceso de aprendizaje que espero que a su vez, haya valido para aportar mi granito de arena.

Blockchain y los Controles en los Riesgos (Parte 4/5)

Download PDF

gestion-de-riesgos

Buenas nuevamente! En esta entrada siguiendo con el post anterior (y a modo continuación), quisiera seguir desarrollando los riesgos que íbamos identificando. Esta vez, se han escogido los diez riesgos más relevantes (bajo mi criterio y discutibles). Después,  se proponen soluciones con objetivo de minimizar los riesgos mediante controles; de tal manera que una vez identificados el impacto y probabilidad de los riesgos se exponen cuestiones, ideas e iniciativas para saber cómo abordar el riesgo en cuestión.

 

Partiendo de la tabla expuesta en la entrada anterior, a continuación se muestran diez riesgos en la tabla 1:

ID Riesgo Probabilidad Impacto
R1 Vulnerabilidad de la plataforma MUY ALTO MUY ALTO
R2 Malware Dirigido MUY ALTO MUY ALTO
R3 Falta de Escalabilidad MEDIO MEDIO
R4 Responsabilidades poco definidas MEDIO MEDIO
R5 Fallo en cumplimiento tecnológico MUY ALTO MEDIO
R5 Pérdida de gobierno MUY ALTO MEDIO
R6 Implementación de claves MUY ALTO BAJO
R7 Compromiso de Claves ALTO BAJO
R8 Gestión de tiempos de espera ALTO NAJO
R9 Brecha de privacidad MUY ALTO MEDIO
R10 Retención de la información BAJO BAJO

A continuación, pasaremos a la explicación de los significados los riesgos, así como las medidas que se sugieren para controlar/mitigar el problema.

 

[R1] Vulnerabilidad de la plataforma: Al ser nueva tecnología, es posible que se diese la situación de que una vez en producción, se detectase una vulnerabilidad de tal manera que pusiese en jaque a toda la organización. Se propone primero invertir fondos para conocer las noticias y novedades desde este punto de vista y después establecer un plan de contingencia a modo preventivo.

 

[R2] Malware Dirigido: Si la organización fuese objetivo de ataque e intentan atacar de forma intencionada nuestro sistema operacional de Blockchain, hay que tener acciones previamente diseñadas para afrontar este riesgo. Primeramente, se deben establecer protocolos de acción para cada tipo de ataque conocido. Después, se deberían de comprobar periódicamente estas pautas; de tal manera que garanticemos que el sistema es robusto y se defiende [1].

 

[R3] Falta de Escalabilidad:  La escalabilidad está estrictamente vinculada a la velocidad de procesamiento de las transacciones que ocurren dentro de una blockchain específica. Las medidas que pueden tomarse son la medición de tiempos de espera y realizar periódicamente pruebas de carga, para ver si la infraestructura desarrollada sirve para el día a día dentro de la organización [1].

[R4] Responsabilidades poco definidas: Nuevamente, la organización deberá realizar un trabajo previo a la implementación para saber quien se debe responsabilizar de la administración y roles de la plataforma; quienes serán los incluidos y excluidos de la topología… es decir, será necesario realizar todo un análisis de responsabilidades donde se deberán acotar las funcionalidades para cada actor/rol identificado y dejarlo documentado.

 

[R5] Fallo en cumplimiento tecnológico: ¿Qué sucede si la tecnología deja de funcionar?¿En cuanto tiempo es posible reiniciar todo el sistema o, en su defecto, poner en marcha el respaldo correspondiente? Para ello, habrá que diseñar un plan de contingencia donde tengamos garantías de que este riesgo no va a suponer un problema. Los controles que se proponen son 1) tener un sistema respaldo en marcha (aunque de manera pasiva) y 2) someter a simulacros eventualmente para poder medir los tiempos de espera.

 

[R6] Implementación de claves: ¿Cada cuanto cambias las claves?¿Quién lo hace? Esas responsabilidades y periodos temporales en un documento. Además, se debería de gestionar periódicamente si ha habido vulnerabilidades de, por ejemplo, la metodología implementada.

 

[R7] Compromiso de Claves: Debemos asegurarnos de que las claves que preparamos y asignamos, efectivamente, se utilizan y se guardan de manera efectiva.

 

[R8] Gestión de tiempos de espera: ¿Qué sucede si el sistema tarda demasiado en responder, verificar y respaldar todo el proceso?

 

[R9] Brecha de privacidad: ¿Qué pasa si la clave se externaliza y se publica? Para ello

 

[R10] Retención de la información: ¿Cómo garantizamos que la información es efectivamente guardada sólo por nuestro sistema?¿Qué servicios pueden almacenar/acceder?

 

En resumen, hemos identificado y explorado muchos de los riesgos ya identificados en el post anterior. Sabemos que Blockchain tiene muchos quebraderos de cabeza iniciales, pero una vez desarrolladas estas cuestiones y sabiendo cómo mitigar los riesgos que tiene podremos gozar de los beneficios de esta tecnología (la posible exención de autoridad digital, la auditabilidad y trazabilidad entre otros [2]).

[1] https://www.iproup.com/blockchain/182-blockchain-bitcoin-ethereum-Los-tres-retos-de-la-tecnologia-Blockchain-escalabilidad-interoperabilidad-y-sustentabilidad

[2] https://oceano.biblioteca.deusto.es/primo-explore/fulldisplay?docid=TN_acm3225619&context=PC&vid=deusto&lang=en_US&search_scope=default_scope&adaptor=primo_central_multiple_fe&tab=default_tab&query=any,contains,blockchain&sortby=rank

Actualidad y futuro de la Identidad Digital

Download PDF

Tras semanas escribiendo en este blog sobre la identidad digital, sus riesgos, los controles que implantar y hasta noticias de actualidad, ha llegado el día en el que escribo este, mi último post. Para la ocasión he elegido varios temas con los que me gustaría terminar que iré desglosando poco a poco.

En el mundo físico cuando nos comunicamos con un interlocutor tenemos evidencias de quién es la persona como puede ser la voz o el aspecto físico del individuo. Cuando la comunicación es escrita se usa el concepto de “firma” para reconocer al emisor del mensaje. ¿Pero qué pasa cuando el medio es el más abierto y menos confiado del Mundo? Sí, estoy hablando de Internet. Sorprendentemente la solución es usar el concepto que acabo de mencionar pero en la era digital, es decir, “firma digital”. Esta tecnología se lleva usando décadas con la finalidad de proteger mensajes de carácter sensible como en la Guerra Fría. Pero la noción de la tecnología de clave pública permite una identificación y autenticación económica de mensajes y personas en la red. Las firmas digitales usan una infraestructura de clave pública (PKI) en la que las autoridades de certificación actúan como terceros de confianza para tanto identificarte como autenticarte [1]. [Read more…]

Blockchain: Riesgos asociados (3/5)

Download PDF

Buenas de nuevo! Si eres un nuevo lector y no has leído mis anteriores entradas, te invito a que te acerques a las anteriores entradas. En la primera entrada [enlace], hablé de qué era Blockchain; la arquitectura que tenía, cómo funcionaba y sus respectivos beneficios. Después, en el segundo artículo [enlace] (anterior a este) realicé una reflexión para primeramente comprender los riesgos y después ver qué directivas e iniciativas regulativas existían para proteger y guiar a toda organización que estuviera interesada en incluir estas “cadenas de bloques”; además hice un pequeño análisis donde ya identificábamos algunas cuestiones que planteaban si realmente existía una compatibilidad con la ley RGPD.

Volviendo al presente, el objetivo de este post será identificar los riesgos potenciales asociados a Blockchain. Pero antes de nada, veamos qué es un riesgo:

“Contingencia o posibilidad de un daño” [1]

Entonces, todo aquello que pudiera ser un problema por el daño que supone se define como eso mismo. Dentro del contexto empresarial, más concretamente en Sistemas de Información, me gustaría hacer especial hincapié en que los riesgos no sólo están en la tecnología como buenamente se suele pensar.
Es obvio asumir que utilizar una tecnología concreta debes aceptar que esta puede fallar. Sin embargo, existen más actores rodeando no sólo a las tecnologías sino que también a las propias organizaciones y sociedades a las que forman y donde están. Por otra parte, ya en 2016 ISACA había identificado riesgos potenciales, de los que hablaré a continuación. Muestra de ello, se expone la figura 1[2], que básicamente es un Heatmap donde en función de la probabilidad y el impacto se muestran los riesgos para Blockchain:

ISACA Blockchain Risks

Figura 1: Tabla de riesgos para Blockchain en función de la probabilidad e impacto.

 

La tabla se interpreta de la siguiente manera: “cuanto más rojo, mayor cuidado” hay que tener, mayor riesgo e impacto implican. Como si fuera un semáforo de riesgos.

Según ISACA, podríamos ponderar en varios niveles estos riesgos. En un primer nivel (en color rojo), se encuentran el control de cambios, las vulnerabilidades y la gestión y control del cambio. En un segundo nivel (en color “ámbar”), se encuentran los riesgos asociados a la pérdida de control y cumplimiento legislativo. En un tercer nivel, riesgos asociados a la privacidad y retención de la información además de la encriptación, entre otros.

Es algo lógico; primeramente, hay que gestionar el cambio de paradigma que implicaría dentro de una organización. Después, ¿Sirve para toda la infraestructura de la que se nutre la organización?¿O sólo en parte? Desde luego, son preguntas que al menos, deben ser planteadas. Después, al ser una tecnología tan vanguardista, desconocemos por donde flaquea. ¿Y si se detectase una vulnerabilidad? ¿Estaríamos dispuestos a asumir este riesgo?

 

Desde un punto de vista legislativo, se deben tener en cuenta las directivas y leyes. Las tecnologías, pertenecientes a corporaciones, deben cumplir sus responsabilidades legales. Ejemplo de reglamento lo es la RGPD (por nombrar una, no por ello única). Si esta cambia, la manera en la que Blockchain está diseñada para nuestro caso de uso debe ser al menos analizada y ver si realmente no tiene implicaciones; en caso contrario, se debería abordar todo un proyecto de adecuación (como ya se ha ido viendo con el boom de los cookies). La incorporación de Blockchain ya tendrá un ROI bastante alto y la Empresa deberá tener especial interés en mantenerlo en producción, esto es, mucho valor tendrá que aportar BlockChain para asumir este riesgo tan alto.


Por último, discutamos los riesgos de color verde. Es evidente que habría que plantearse la generación de claves y cómo gestionarlos. ¿Quien se responsabilizará de eso?¿Cada cuanto se generarían nuevas claves, si es que se hacen?¿Qué pasaría si la clave pública se fuga?[3] Además, ¿Quienes serían los agentes verificadores?¿Por qué ellos?¿Tendrían más responsabilidades?¿Serían personas o sólo máquinas, de manera automática? A todo esto, habría que añadirle una serie de cuestiones en torno a la capa de persistencia: ¿De qué manera persistimos esta información?¿Bajo qué condiciones validamos? En definitiva, existen muchísimos riesgos que, desde luego, hay que tratar de abordarlos antes de dar pie a la implantación de esta tecnología. Hay que valorar si realmente merece la pena invertir en esto mismo, si realmente aporta valor y utilidad directa. Hay que mantener la prudencia, no vaya a ser que demos un paso en falso.

En el próximo post hablaré de los controles que se pueden aplicar para los riesgos en esta tecnología. Hemos identificado varias cuestiones que deberán ser abordadas, intentaremos minimizar o al menos mitigar los mismos.

1. Real Academia de España, Buscador de RAE, http://dle.rae.es/?id=WT8tAMI, acceso el 22 de noviembre de 2018.

2. Blockchain and Risk (Mike Small CEng, abril 2016), https://m.isaca.org/chapters8/Northern-England/Events/Documents/blockchain.pdf., acceso el 22 de noviembre de 2018.

3. “Seguridad de contactos inteligentes basados en Blockchain II – Vulnerabilidades y riesgos” (Stefan Beyer, marzo de 2018), https://www.securityartwork.es/2018/03/20/seguridad-de-contratos-inteligentes-basados-en-blockchain-ii-vulnerabilidades-y-riesgos/, acceso el 22 de noviembre de 2018.

Blockchain: Relevancia en la industria (Parte 2/5)

Download PDF

En la entrada anterior (Blockchain: Introducción (Parte 1/5)) hablé sobre qué era Blockchain, cómo funcionaba esta tecnología y su filosofía de trabajo. De esta manera, teníamos ya una perspectiva global de conceptos inherentes de la propia tecnología. Por recordar, salieron palabras como cadenas de bloques, distribuidos, fiables, públicos; entre otros.

Esta vez, una vez conocido y sabido el funcionamiento de las cadenas de bloques, quería hacer hincapié en la relevancia que ha ido teniendo esta tecnología, desde un contexto más industrial. Quisiera también exponer 1) qué reglamentos han ido surgiendo por un lado y por otro, 2) cuales le afectan y habría que tener en consideración. Pero antes de nada, un pequeño gráfico de elaboración propia que nos muestra cómo en los años de 2015-16 explotó esta tecnología. Subí este pequeño análisis a LinkedIn con motivo de este post [1]. Lo que refleja este pequeño estudio es que indudablemente la comunidad científica destinó de manera brutal sus esfuerzos en investigar sobre Blockchain a partir de 2015 (figura 1).

myPlots

Figura 1: Investigación sobre Blockchain a lo largo del tiempo.

Desde este punto de vista, se esforzó muchísimo en tratar de comprender, mejorar además de obviamente intentar fomentar esta tecnología. De hecho, se decía que era válida para una amplia gama de sectores industriales donde tenía sentido la filosofía de Blockchain.  Muestra de ello, se decía que era clave para el sector bancario. Muchos decían que ya no era necesario un agente intermediario (en este caso, entidad financiera) que garantizase el pago; tiene sentido pensar que las cadenas de bloques los sustituyeran debido a su naturaleza. Simplemente, la propia tecnología dejaría trazas fiables e irrevocables de las transacciones donde no habría lugar a duda de que el actor “A” ha realizado un ingreso para “B” [2].

Otra claro indicador de que esta tecnología tuvo gran acogida es la gran variedad de tutoriales y herramientas que se desarrollaron para tratar de comprender Blockchain, para distintos lenguajes de programación. En este blog por ejemplo, tratan de implementar Blockchain en Python [3]. ¿Pero no hay organismos que regulen todo esto? ¿Qué más organismos institucionales afectan? ¿La (ya no tan) nueva ley RGPD afecta a Blockchain? Veámoslo.

 

A principios de año salió a la luz una noticia. El 1 de febrero de este año la Comisión Europea anunció la creación de un observatorio y foro para la cadena de bloques de la UE [4]. La misión de estos organismos será entre otros, analizar y explorar el potencial de la propia tecnología, garantizar su buen uso dentro de un marco empresarial donde las responsabilidades de cada actor y participante quedan perfectamente identificadas. Otro indicador de que Blockchain tiene un impacto relevante, llegando al punto en el que la propia CE destine recursos a la creación de agentes reguladores a nivel europeo.

Por otro lado, a nivel de reglamentos ya existentes, nos encontramos con el famoso GDPR. Para aquellos que no lo conozcan, la El Reglamento General de Protección de Datos (RGPD en español) es el reglamento relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.

Hay varios puntos donde flaquea Blockchain: primero, el reglamento habla de información centralizada (vaya, ¿Blockchain no era distribuida?). Después, se habla del derecho a la supresión de los datos en el reglamento. Sin embargo, debido a la naturaleza de las cadenas de bloques no se pueden eliminar estas trazas, dejarían de ser seguras si se pudieran suprimir alegremente. De hecho, es una característica clave propia de estos chains que hacen de esta una tecnología fiable y robusta.

Desde luego, es clara una idea: no se puede ir alegremente diciendo que Blockchain es la revolución de la era de la información. No se puede decir que va a revolucionar el mundo. No al menos, olvidándonos del contexto del propio sector por un lado (no siempre se puede utilizar esta tecnología; en otras, no va a ser un valor añadido porque no es necesario realmente) y del marco legal del que nos rodea y somos responsables (como bien se ha ido desgranando y comentando al final del post).

Espero que este post haya valido para 1) haber identificado las normativas que afectan a Blockchain y 2) realizado una pequeña reflexión para comprender que la contextualización de las tecnologías tienen vital importancia, así como la regulación que podría haber detrás.

 

REFERENCIAS:

 

Que es el Blockchain?

Download PDF

Hace unos días salió en clase el tema del Blockchain o Cadenas de datos. Cuando Pablo preguntó a la clase que es lo que era, nadie levantó la mano, un suceso bastante común en la clase de informática, así que repitió la pregunta pero de forma opuesta: ¿Quien no sabe lo que es el Blockchain? esta vez solo levante yo la mano, así que me tocó a mí buscar para la siguiente clase lo que era, de cara a explicarselo a los demás para que así lo conociésemos todos.
Dicho esto, he de decir que no tenía ni idea de lo que era entonces y tampoco tengo una idea demasiado avanzada de lo que es ahora mismo, pero voy a tratar de transmitir lo que he encontrado sobre ello para que si algún otro año, algún alumno tiene la misma duda y le da por buscar entre los posts hasta encontrar este, le pueda valer para hacerse una idea.

La mayoría de artículos que he leído sobre el tema, definen el Blockchain como una estructura de datos en la que la información que está contenida en la misma se agrupa en conjuntos o bloques. Estos bloques están anidados y cada uno de ellos tiene información relativa al anterior, digamos que poseen metadatos con información relativa a los otros bloques. De esta forma se crea una unión entre los diferentes bloques, a las cuales se les aplican técnicas de cifrado o criptográficas haciendo que solo se pueda acceder a la información contenida en un bloque concreto (editarla o descartarla) a través a todos los demás bloques anteriores anidados a él. Esto es, que para poder acceder a un bloque concreto con una información concreta, necesitamos las claves o pasar la seguridad de todos los anteriores en orden.

La seguridad o técnicas criptográficas de las que hablaba antes son por lo que he podido leer funciones hash. Una función hash es una algoritmo que recibiendo una cadena de datos, genera un código o un valor finito que representa a todos esos datos recibidos. La gracia de esto, por lo que he entendido, es que ese código o nueva cadena no se puede descifrar sin los datos originales y esto hace bastante seguro a nuestro Blockchain por qué cada bloque lleva un cifrado y todos los bloques son diferentes.

Pero con toda esta parrafada aún no queda claro para qué vale realmente el Blockchain, que es lo que interesa. Pues bien, lo que genera el Blockchain en sí mismo es una base de datos pública no relacional que funciona en entornos distribuidos y puede garantizar la integridad de los datos. Aplicando esto a un caso real, la banca por ejemplo, lo que nos permite el Blockchain es hacer transacciones bancarias sin necesidad de intermediarios, lo que actualmente son los bancos.
Esto es, si la persona A le quiere enviar 10.000€ a la persona B, lo normal es que lo haga a través de una entidad bancaria. Esta entidad actúa como intermediario de esa transacción, centralizando todo el proceso del movimiento del dinero de la cuenta de A hasta la de B. Por lo que todas las transacciones que deseen hacer A y B tienen que pasar por fuerza por esa entidad bancaria, lo que implica que están sujetas a sus condiciones y a sus restricciones. Pero este proceso no ha requerido un traspaso de billetes físicos, lo que en realidad ha sucedido es que un software informático ha modificado una cifra en la cuenta de A, restando la cantidad y la ha añadido a la de B.

Lo que permite el Blockchain es saltarse todos estos intermediarios y permitir el cambio de información de forma “autónoma”, por lo que el banco no sería requerido para realizar estas transacciones.
Para terminar es importante deciros que esto es lo que yo he entendido del Blockchain y está explicado de forma bastante poco detallada, es un resumen vamos.

El Blockchain en algún momento será un tecnología puntera que romperá probablemente con muchas de las formas de hacer las cosas a las que estamos acostumbrados, por lo que tendrá muchas aplicaciones, no solo la que yo he comentado.

Espero que os haya sido de ayuda y hasta la próxima!

Bibliografía:

[1] https://es.wikipedia.org/wiki/Cadena_de_bloques
[2]https://www.criptonoticias.com/informacion/que-es-tecnologia-contabilidad-distribuida-blockchain/
[3]https://www.xataka.com/especiales/que-es-blockchain-la-explicacion-definitiva-para-la-tecnologia-mas-de-moda
[4] https://es.wikipedia.org/wiki/Funci%C3%B3n_hash_criptogr%C3%A1fica
[5] https://latam.kaspersky.com/blog/que-es-un-hash-y-como-funciona/2806/

Blockchain: Introducción (Parte 1/5)

Download PDF

Este post forma parte del capítulo primero de cinco que haré. A grandes rasgos, este post tratará de abordar desde un punto de vista general la temática Blockchain. Desde un punto de vista general trataré de explicar 1) qué es y cómo funciona Blockchain, 2) qué implicaciones lleva el uso de esta tecnología y 3) los riesgos que hay que asumir a cambio de sus beneficios y por último, una serie de cuestiones que tratarán de allanar el terreno para la siguiente publicación.

Blockchain se define como un conjunto de cadenas de bloques cuya información es pública, distribuida y fiable donde se almacenarán las transacciones [1]. Pero, ¿Cómo funciona?¿Qué llama tanto de Blockchain? Promete ser la panacea aunque ¿Podemos aplicar esta tecnología libremente?¿Existe algún riesgo?

Antes de nada, me gustaría hablar de los inicios de Blockchain. Todo comenzó cuando se publicó y comenzó a conocerse un paper escrito por Satoshi Nakamoto [2], alias utilizado por un autor anónimo que prometía hacer de Internet un antes y un después.

Volviendo un poco al presente, para saber el funcionamiento de Blockchain, se expone un ejemplo (ver figura 1) donde el objetivo es ver el caso de uso de una transacción (en este económica) para ver qué sucede dentro de este contexto y entender cómo funciona [3].

 

Caso de uso de Blockchain

Figura 1: Ejemplo de caso de uso de Blockchain.

 

Desde el punto de vista arquitectónico, la información la tienen todos. Por un lado, esto hace que la información esté disponible de manera descentralizada y que sea fiable; característica imprescindible para garantizar que la información siempre va a estar en caso de consultarlo. Sin embargo, al ser información distribuida y replicada, hay más puntos por donde podría quebrar el sistema y por tanto, es más fácil sonsacar la información con fines poco éticos. Hay que tener cuidado con esto mismo, pues es innegable que es un riesgo potencial al que habría que ver cómo afrontarlo, pero eso lo veremos más adelante en otro post.

Hay muchas tecnologías que se basan en esta tecnología; en concreto, hace relativamente poco estuvo en auge Bitcoin. Este servicio ofrecía la capacidad de mover dinero mediante el uso de Blockchain, por tanto, ofrecía transparencia, fiabilidad y trazabilidad para toda transacción económica que se hiciera ahí. No olvidemos que es un servicio que no implica coste alguno para el/la usuari@ y siendo prácticos, era muy interesante porque además de lo mencionado, desaparecía el agente bancario.

Más ejemplos de start-ups o servicios cuyo eje tecnológico se basa en esta tecnología lo son, entre otros, Wyre (transferencias monetarias), Peernova (servicios financieros), Coinbase (comercio e intercambio de mercado de criptomonedas), SatoshiPay (manejo de contenidos) o Factom (contenido empresarial). Es fácil darse cuenta de que el mercado en este contexto está bastante explotado desde el punto de vista de servicios disponibles y desarrollados; sin embargo, quizás el planteamiento de aplicar esta tecnología para todo inicialmente suena apetecible [4].

¿Por ahora suena genial, verdad? Pues otro aspecto al que habría que tratar con cuidado es que toda la información es pública y todo el mundo puede verla. Puede que desde el punto de vista de l@s usuari@s suene interesante; sin embargo, desde el punto de vista organizativo, quizás no es la mejor solución; quizás a la organización no le interese exponer información (de manera total o parcial). ¿Quién puede ver los datos?¿Quien me garantiza que funciona para los requerimientos organizativos? Ya se lleva diciendo que “los datos son el petróleo del siglo XXI”.

Espero que con este post haya quedado claro 1) qué es Blockchain, 2) cómo funciona y por último, 3) sus pros y contras, los riesgos potenciales que lleva utilizar esta tecnología, tanto a nivel personal como a nivel organizativo. En el próximo post, hablaré desde un contexto más concreto, veremos cómo se utiliza Blockchain en un contexto más industrial. Veremos también qué reglamentos existen para controlar los riesgos que ya íbamos detectando a lo largo de este primer post.

 

Referencias

  1. Phil Zongo, “The promises and Jeopardies of Blockchain Technology”, Isaca Journal Vol. 4 ( 2018),  acceso el 15 de octubre de 2018.
  2. Nakamoto, S.; “Bitcoin: A peer-to-peer Electronic Cash System” 2008, https://bitcoin.org/files/bitcoin-paper/bitcoin_es.pdf
  3. “Qué es blockchain: la explicación definitiva para la tecnología más de moda”, xataka.com, acceso el 16 de octubre 2018,  https://www.xataka.com/especiales/que-es-blockchain-la-explicacion-definitiva-para-la-tecnologia-mas-de-moda
  4. “25 blockchain startups to watch in 2018-2019 (inforgraphic)”, medium.com, acceso el 16 de octubre de 2018, https://medium.com/coinmonks/25-blockchain-startups-to-watch-in-2018-2019-infographic-113b4d8f1b19

Datos, desconfianza y una solución

Download PDF

Buenas a tod@s,

Este último mes de clase hemos estado constantemente hablando sobre los datos: datos de formularios, datos para Business Intelligence, datos veraces… En esta vorágine de información hemos incidido en lo difícil que es recabar datos de clientes. Encuestas, formularios y otros tipos de métodos para obtener información y luego aprovecharla para mejorar nuestro negocio. Pero son muchas las dificultades que encontramos para obtener dichos datos, es una tarea difícil y que requiere mucha experiencia en el área. Los clientes (yo, vosotros y todos), sentimos cierta reticencia a compartir nuestra información, ya sea privada o no. Es lógico, ¿Por qué iba yo a tener que darle mis datos a una compañía que ni siquiera me dice para qué va a usarlos?¿Y si estoy dispuesto a darlos por qué no puedo ver exactamente que van a hacer con ellos? En el fondo es un tema de desconfianza, la opacidad de la gestión de datos es un factor que nos genera inseguridad y provoca que seamos reticente a darlos. Sin embargo, existe una nueva tecnología que puede ayudarnos a romper la barrera de la desconfianza o por lo menos a reducirla, hablamos de Blockchain.

[Read more…]

¿ViDChain: el futuro de la identidad digital?

Download PDF

Para este último post me ha parecido interesante dar a conocer un nuevo proyecto llamado ViDChain: una solución de gestión y validación de identidades basada en tecnología Blockchain. Actualmente está en fase beta y se dará a conocer durante esta semana de la mano de la organización Validated ID, la cual es además miembro de la Decentralized Identity Foundation (DIF), pero vayamos por partes. [1]

Resultado de imagen de validated IDValidated ID nació en 2012 de la mano de varios entusiastas del mundo de la identidad digital y la firma electrónica. Cuando empezaron su objetivo era desplegar servicios en los que premiase la sencillez, pero con los niveles más altos de seguridad técnica y jurídica y con un modelo de negocio claro de prestación de servicios, no de producto. Hoy en día, centran sus esfuerzos en la creación de nuevos sistemas de identificación y firma aplicable a entornos de contratación que incorporan diversas tecnologías y pretenden facilitar la vida tanto a compradores como a vendedores. [2]

Resultado de imagen de Decentralized Identity FoundationPor otro lado, la Decentralized Identity Foundation (DIF) de la cual forma parte la organización Validated ID y empresas como Microsoft, IBM o Accenture, es una fundación que crea un ecosistema de identidad descentralizada de fuente abierta para personas, organizaciones, aplicaciones y dispositivos. Es decir, la DIF está construyendo tecnología y estándares de identidad descentralizados. [3]

Ahora que ya estamos situados voy a explicar de qué trata ViDChain. Este proyecto es una apuesta decidida que abre el camino en el ecosistema de la identidad digital ligada a Blockchain. Se basa en agregar diferentes fuentes de identidad en una cartera de atributos de identidad. O sea, el usuario puede completar su cartera de identidad (identity wallet) con atributos muy variados y con distinto grado de confianza, desde fuentes relativamente poco confiables (redes sociales) a sistemas robustos (biometría). Todos estos atributos son válidos para operaciones distintas con distintos requerimientos de seguridad y en su conjunto permiten conformar una identidad digital amplia en función de los usos que se pretendan. Al tratarse de un proyecto en fase beta, la organización esta centrada en lanzar distintos pilotos a los potenciales consumidores, como universidades, bancos, administraciones públicas o aquellas empresas de servicios con especial interés en la gestión de usuarios. [1]

Y puede que os estéis preguntado… ¿Y qué aporta el Blockchain a la verificación de la identidad?

Resultado de imagen de blockchain hdPrimero tenemos que entender qué es el Blockchain: es un conjunto de tecnologías (P2P, sellado de tiempo, criptografía, etc.) que combinadas hacen posible que ordenadores y otros dispositivos puedan gestionar su información compartiendo un registro distribuido, descentralizado y sincronizado entre todos ellos, sustituyendo así a las tradicionales bases de datos. [4] Por lo que, esta tecnología permite que una vez introducidos códigos en ella permanezcan allí para siempre y “den fe” de una transacción, un acuerdo o una identidad, que puede ser encriptada en la parte que afecta a la privacidad.

Según Santiago Casas, el consejero delegado de Validated ID, en el futuro esta tecnología permitirá avanzar hacia una “identidad digital” en el que todas las personas tengan un documento que acredite su identidad sin necesidad de papeles. No obstante, ha reconocido que en el futuro una de las “guerras” estará en cómo se gestionan esos datos, con las grandes compañías de la Red implicadas en ser sus depositarios. [5]

Por lo tanto, lo que está claro es que, gracias a esta tecnología, y, sobre todo, gracias al peso que tiene el Blockchain en ella, los diferentes consumidores de la identidad digital (administraciones públicas, bancos, etc.) tendrán los datos de una forma más segura y ordenada. Y, además de que nosotros, los usuarios, no tengamos que ir de un lado para otro con los diferentes papeles, ellos podrán comunicarse de una forma más sencilla, teniendo concentrados todos los datos en un mismo sitio. Y lo que es más importante, nosotros mismos gestionamos nuestra cartera de identidad, lo cual nos hace sentir más seguros al conocer las medidas de seguridad empleadas. Pero quizás, como ya prevé Santiago Casas, el problema será cuando las distintas organizaciones tengan que gestionar los datos conjuntamente, ¿se podrá asegurar la integridad de los datos? ¿y su coherencia interna?

 

 


 

[1] ValidateID. <<ViDChain, el futuro de la identidad digital>>. Acceso el 25 de noviembre de 2017, https://www.validatedid.com/es/vidchain-el-futuro-de-la-identidad-digital/

[2] ValidateID. <<Nuestra historia>>. Acceso el 25 de noviembre de 2017, https://www.validatedid.com/es/empresa/

[3] DIF. Acceso el 25 de noviembre de 2017, http://identity.foundation/

[4] CTIC. <<Qué es el “blockchain” del que todo el mundo habla?>>. Acceso el 26 de noviembre de 2017, http://www.fundacionctic.org/ctic/articulos-y-otras-publicaciones/que-es-el-blockchain-del-que-todo-el-mundo-habla?gclid=EAIaIQobChMItduwg6jc1wIVZyjTCh3tegyCEAAYASAAEgKaz_D_BwE

[5] EFE: Emprende. <<Blockchain, en el futuro de la firma electrónica y la identidad digital>>. Acceso el 27 de noviembre de 2017, http://www.efeemprende.com/noticia/blockchain-futuro-identidad-digital/

La revolución de los Smart Contracts

Download PDF

En el presente post voy a tratar un tema que hasta el momento no lo he mencionado debido a que lo estaba reservando para el último post. Se trata de los famosos “smart contract”.

Para entender un smart contract primero hemos de recordar que significa un contrato. Un contrato no es más que un acuerdo entre dos o más partes, un entorno donde se define lo que se puede hacer, cómo se puede hacer, qué pasa si algo no se hace… Es decir, unas reglas de juego que permite, a todas las partes que lo aceptan, entender en qué va a consistir la interacción que van a realizar.

Hasta ahora los contratos han sido documentos verbales o caros documentos escritos, sujetos a las leyes y jurisdicciones territoriales, y en ocasiones requiriendo de notarios, es decir, más costes y tiempo. Algo no accesible para cualquier persona. Y esto no es lo peor, los contenidos de los contratos pueden estar sujetos a la interpretación.

En cambio un contrato inteligente es capaz de ejecutarse What_are_Smart_Contractsy hacerse cumplir por sí mismo, de manera autónoma y automática, sin intermediarios ni mediadores. Evitan el lastre de la interpretación al no ser verbal o escrito en los lenguajes que hablamos. Los smart contracts son “scripts”, siendo los términos del contrato puras sentencias ycomandos en el código que lo forma.

Por otro lado, un smart contract puede ser creado y llamado por personas físicas y/o jurídicas, pero también por máquinas u otros programas que funcionan de manera autónoma. Un smart contract tiene validez, sin depender de autoridades, debido a su naturaleza: es un código visible por todos y que no se puede cambiar al existir sobre la tecnología blockchain, la cual le da ese carácter descentralizado, inmutable y transparente.

Si juntamos los principios de un smart contract con la creatividad de muchos desarrolladores del planeta, el resultado son posibilidades jamás vistas, accesibles para todos y a costes que rozan la gratuidad.

Imagina un coche Tesla auto-conducido, comprado en grupo, capaz de autogestionarse y alquilarse por sí solo pero sin una compañía tipo Uber detrás llevándose el 10%. Bienvenido al mundo de los contratos inteligentes.

Según Deloitte, tal y como indica en su artículo “getting smart about smart contracts” [1], los smart contract aportan numerosos beneficios en comparación con las metodologías utilizadas hasta el momento. Pero, de entre todos los beneficios destaca los siguientes:

Actualizaciones en tiempo real Debido a que los contratos inteligentes usan software para automatizar tareas que normalmente se realizan a través de medios manuales, pueden aumentar la velocidad de una amplia variedad de procesos comerciales.
Mayor precisión Las transacciones automatizadas no solo son más rápidas, sino que son menos propensas a errores manuales.
Menor riesgo de ejecución El proceso de ejecución descentralizado elimina virtualmente el riesgo de manipulación, incumplimiento o errores, ya que la ejecución de la gestión se realiza automáticamente por la red en lugar de forma individual.
Menor costo Los nuevos procesos habilitados por los contratos inteligentes requieren menos intervención humana y menos intermediarios y, por lo tanto, reducirán los costos.
Menos intermediarios Los contratos inteligentes pueden reducir o eliminar la dependencia de terceros intermediarios que brindan servicios de “confianza”, como el depósito en garantía entre contrapartes.

 

Una vez explicados los smart contracts voy a comentar un caso de auditoría. Un caso de auditoría de smart contract. Pero antes, os dejo un video corto que explica que es y cómo funciona un smart contract, para todos aquellos que no lo hayáis acabado de entender.

 

 

He encontrado un artículo de Merunas Grincalaitis, experto en Ethereum (una criptomoneda basada en la tecnología blockchain). Que tras centrar sus esfuerzos en aprender todo lo posible sobre auditar smart contracts con el fin de encontrar brechas de seguridad, nos expone los pasos a seguir si queremos auditar un smart contract.
Según Merunas Grincalaitis, el resultado de dicha auditoría constara de los siguientes puntos:

-Liberación de responsabilidad: Aquí se expone que la auditoría no es un documento legalmente vinculante y que no garantiza nada.

-Descripción general de la auditoría y buenas características: Una vista rápida del contrato inteligente que se auditará y buenas prácticas encontradas.

-Ataques realizados al contrato: En esta sección hablará sobre los ataques realizados al contrato y los resultados. Solo para verificar que es seguro.

-Vulnerabilidades críticas encontradas en el contrato: Problemas críticos que podrían dañar gravemente la integridad del contrato.

-Vulnerabilidades de media gravedad encontradas en el contrato: Aquellas vulnerabilidades que podrían dañar el contrato pero con algún tipo de limitación. Como un error que permite a las personas modificar una variable aleatoria.

-Vulnerabilidades de baja gravedad encontradas  en el contrato: Esos son los problemas que realmente no dañan el contrato y podrían existir en la versión implementada del contrato.

-Comentarios línea por línea: En esta sección analizará las líneas más importantes en las que verá posibles mejoras.

-Resumen de la auditoría: Su opinión sobre el contrato y las conclusiones finales sobre la auditoría.

Para interesados, en el siguiente link pone en práctica lo comentado [2], en el que audita un smart contract de un casino de Ethereum. El código del smart contract ,o podéis encontrar en  su Github.

Dejando a un lado a Merunas Grincalaitis, me gustaría destacar la plataforma Solidified. Una plataforma para la revisión colectiva de contratos inteligentes, en la que cualquier desarrollador puede presentar su contrato para una revisión exhaustiva de la calidad con nuestra gran red de expertos de blockchain verificados. [5]

Donde funcionan de las siguiente manera:

spu-ea68c8-ogi2-3cwn3bmfojjlb56e2

En conclusión, los smart contracts son otra consecuencia del blockchain. Una consecuencia que viene para quedarse y que, sin duda alguna, va a revolucionar el mundo. Porque, cuando los smart contracts estén estandarizados, ¿vamos a necesitar notarios? o ¿por qué un persona física que traba en un banco va a tener acceso a todos nuestros datos personales si solicitamos un préstamos? Con un smart contrat este proceso sería  automático y sin violar nuestra intimidad. El susodicho banco debería estipular unas condiciones (un mínimo de X€ ahorrado, una nómina con Y€ como mínimo…) y simplemente debe saber si el cliente lo cumple, no necesita saber si tienes una nómina de 25.000€ o de 100.00€. Y como estos dos ejemplos, me vienen miles a la cabeza…

 

 


 

Referencias:

[1]: Getting smart about smart contracts, Deloitte (junio 2016) https://www2.deloitte.com/content/dam/Deloitte/us/Documents/finance/us-cfo-insights-getting-smart-contracts.pdf

[2]: how to audit a smart contract, por  meruna sgrincalaitis, visto el 25/11/2017, https://medium.com/@merunasgrincalaitis/how-to-audit-a-smart-contract-most-dangerous-attacks-in-solidity-ae402a7e7868

[3]: Github.com, visto el 25/11/2017, https://github.com/merlox/casino-ethereum

[4]: solidified.io, visto el 25/11/2017, https://www.solidified.io/