El Internet de las cosas

Download PDF

43025113780_d6273fece0_mAlgunos nacieron con Internet. Otros, en cambio, disfrutaron en primera línea, o incluso fueron partícipes de su creación. Sin embargo, todos asistieron a la revolución de internet. En estos momentos, asistimos a la revolución del internet de las cosas.

Pero, ¿ya sabemos lo que significa? Los bancos, nos hablan del internet de las cosas cuando nos dicen que ya no tenemos que llevar la tarjeta de crédito, billetes, o molestas y pesadas monedas, porque podemos pagar con el móvil en cualquier sitio. Pero, en realidad, nuestro móvil hace tiempo que tiene internet, ¿no? Sí, claro que forma parte del internet de las cosas, pero seguro que podemos pensar en algo que nos llame mucho más la atención. Un paraguas que se conecta a internet para mirar el tiempo, y si va a llover o está lloviendo se le ilumina el mango para que no se te olvide cogerlo. Unas zapatillas que miden la distancia recorrida, tiempo y calorías consumidas. Un horno que puedes programar y poner en marcha desde tu móvil, para tener la comida recién hecha cuando llegues a casa. Todo eso ya existe.

Aun así, podemos pensar más allá, incluso imaginarnos una película futurista o de ciencia ficción. Visualízalo: al empezar el día, tus persianas saben perfectamente la hora que es y a la que te tienes que despertar, así que se van subiendo paulatinamente para que entre la luz en tu dormitorio. Cuando tu colchón detecta que estás despierto, avisa a la ducha para que se vaya encendiendo y poniendo a la temperatura exacta que te gusta por las mañanas. Un poco después, la cafetera empieza a hacer café mientras tu armario va escogiendo una serie de outfits perfectos, según el tiempo que va a hacer hoy y tu agenda (si tienes una reunión de trabajo importante, una comida familiar, vas a hacer senderismo, o lo que sea). Las mañanas serían mucho más fáciles.

Todavía no hemos llegado a ese punto. Ojalá, pero no. Aunque no estamos tan lejos de tener un asistente personal. Por ejemplo, tanto Siri como Cortana, el asistente de Google o Mercedes (para los que tengan el nuevo Mercedes Clase A)  tienen múltiples funcionalidades para facilitarnos la vida. Solo tenemos que acostumbrarnos a usarlos para cosas como, por ejemplo, hacer la lista de la compra, poner música, hacer de traductor, etc. Y si se te ha olvidado dónde has aparcado el coche, dónde está tu casa o tu trabajo, seguro que Google Maps te lo dice.

Al mundo del internet de las cosas le queda trabajo pero no creas que tardaremos mucho tiempo en tener el control de todo al alcance de nuestra mano: en nuestro smartphone o tablet. Imaginarlo en nuestra mente no está nada mal. Solo de pensar la cantidad de cosas que podría facilitarme… Que satisfacción daría poder encender la luz del pasillo con el móvil y no tener que correr a oscuras hasta el interruptor.

Cada día hay más cosas conectadas a internet. Todas obteniendo y dando información. Y, por si no te habías dado cuenta, la información que dan es tuya. Por este motivo hay que saber utilizar internet. Está muy bien despreocuparse de algunas cosas que nos facilita internet. Pero, a la vez, si no existe la seguridad suficiente, estás exponiendo toda esa información, y te aseguro que alguien se la queda y saca provecho de ella.

Internet es como una gran base de datos y nada es gratis. ¿Pensabas que Google era gratis? Siento decepcionarte, pero no lo es. Estamos regalando, a cualquiera que esté escuchando, muchísima información. Por ejemplo, si acabas de utilizar el buscador de Google, te habrá recomendado una serie de búsquedas según lo que has ido escribiendo. Esas búsquedas las has realizado tú u otros usuarios. Las paginas que te recomienda son las que más han visitado los usuarios que han hecho búsquedas similares. Desde nuestro punto de vista parece que realizar una búsqueda nos beneficia a nosotros. Desde luego, es un lujo poder saberlo todo, pero el buscador de Google es lo que es gracias a sus usuarios. Lo mismo pasa con Google Maps y con otras tantas aplicaciones, páginas o servicios de internet. ¿Te has preguntado por qué en algunas tiendas te piden el código postal al comprar algo? Es información, y en este mundo de internet y el internet de las cosas, la información es oro. Y cuando digo información, es cualquier tipo de información. ¿A alguien le ha hecho gracia el escándalo de Facebook? Puede que si no has sido uno de los miles de usuarios que se han visto afectados, te de igual. Pero imagina que eso pasa en la empresa en la que trabajas o en tu universidad. Toda la información de los clientes o usuarios: robada. ¿Y qué hacemos?

El internet de las cosas, además de darnos facilidades, supone una brecha de seguridad muy grande. Ahora, a muchos, pueden hackearnos a través de nuestro portátil, smartphone, tablet o incluso smartwatch. Y, ¿cuando todo esté conectado?

 

Referencias:

[1] McEwen, A., & Cassimally, H. (2014). Internet de las cosas : La tecnología revolucionaria que todo lo conecta. Madrid: Anaya Multimedia.

Datos, desconfianza y una solución

Download PDF

Buenas a tod@s,

Este último mes de clase hemos estado constantemente hablando sobre los datos: datos de formularios, datos para Business Intelligence, datos veraces… En esta vorágine de información hemos incidido en lo difícil que es recabar datos de clientes. Encuestas, formularios y otros tipos de métodos para obtener información y luego aprovecharla para mejorar nuestro negocio. Pero son muchas las dificultades que encontramos para obtener dichos datos, es una tarea difícil y que requiere mucha experiencia en el área. Los clientes (yo, vosotros y todos), sentimos cierta reticencia a compartir nuestra información, ya sea privada o no. Es lógico, ¿Por qué iba yo a tener que darle mis datos a una compañía que ni siquiera me dice para qué va a usarlos?¿Y si estoy dispuesto a darlos por qué no puedo ver exactamente que van a hacer con ellos? En el fondo es un tema de desconfianza, la opacidad de la gestión de datos es un factor que nos genera inseguridad y provoca que seamos reticente a darlos. Sin embargo, existe una nueva tecnología que puede ayudarnos a romper la barrera de la desconfianza o por lo menos a reducirla, hablamos de Blockchain.

[Read more…]

Privacidad desde una perspectiva internacional: Futuro

Download PDF

A lo largo de esta serie de post hemos hablado sobre la privacidad, sobre la importancia de la protección de datos en entornos empresariales, como pueden afectar severamente a nosotros mismos y a las entidades que manejan estos datos, y por último, como minimizar el impacto y la probabilidad de estos riesgos mediante procesos de auditoría. Ya que conocemos todos estos aspectos, me gustaría hablar de cómo será el futuro en España en el ámbito de la privacidad.

No es una novedad el hecho de que la Unión Europea, y por tanto esto incluye a España, está pasando por un momento de transición. El 25 de mayo de 2016 entró en vigor el nuevo reglamento Europeo de protección de Datos [1], pero la aplicación de esta, de forma obligatoria, en los países de la unión no se va a dar hasta mayo de 2018, por lo que hasta ese momento la LOPD (Ley Orgánica de Protección de Datos de Carácter Personal), será la normativa a seguir en España. Este nuevo reglamento supone una garantía adicional a los ciudadanos Europeos. Una de las principales características que acompaña a esta declaración, es que existen organizaciones, que a pesar de poder tratar con datos de ciudadanos de la UE, estas empresas se regían por las normativas de otros países, por lo que eso implica, mayor inseguridad. Si dichas empresas se están rigiendo por normativas distintas a las de la región de la cual manejan datos, es por el simple motivo de que de esta formas tienen ciertos beneficios que a partir de la aplicación del nuevo reglamento no van a tener.

Este futuro es muy cercano y por ese motivo es importante conocer cómo nos van a afectar estos cambios. Es más a pesar de que este nuevo reglamento Europea propone unas bases obligatorias para todos los países de la unión, pero este reglamento puede ser extendido con las legislaciones propias de cada país. Por ejemplo, [2] en España la AEPD (Agencia Española de Protección de Datos) y la sección de derecho público de la Comisión General de Codificación del Ministerio de Justicia van a establecer, en unos días, el primer borrador del anteproyecto de ley de modificación de la LOPD para que se ajuste al reglamento Europeo.

De una forma u otra, aún no conocemos las modificaciones de la LOPD para ajustarse al nuevo reglamento, por lo que analizaremos los cambios obligatorios que el reglamento Europeo va a establecer. Entre estos cambios destacan, nuevos principios, nuevos derechos, nuevas obligaciones y nuevas figuras [3]:

  • Principios:
    • Transparencia: la información debe ser concisa, clara y sencilla.
    • Minimización de datos: el objetivo de este principio es recoger únicamente aquellos datos estrictamente necesarios para la prestación de un servicio.
    • Responsabilidad proactiva: se trata de que el responsable de tratamiento sea capaz de cumplir con los principios declarados anteriormente.
  • Derechos:
    • Derecho al olvido: el individuo interesado tendrá derecho a pedir al responsable del tratamiento de datos, la supresión de los datos personales que le conciernen, y este responsable estará obligado a suprimirlos cuando se cumpla alguna de las circunstancias recogidas en la norma.
    • Derecho a la portabilidad: el individuo interesado tendrá derecho a recibir datos personales de su incumbencia que hayan sido facilitados al responsable de tratamiento, y a transferirlos a otro responsable de tratamiento sin que el primero pueda oponerse.
  • Obligaciones:
    • Registros de actividad: cualquier responsable de tratamiento tendrá que realizar la tarea de llevar un registro de sus actividades de tratamiento efectuadas de forma obligatoria.
    • Evaluación de impacto: esto tiene como objetivo minimizar los riesgos que un tratamiento de datos plantea para los ciudadanos.
    • Consulta previa: el responsable de tratamiento deberá realizar una consultas previa a la autoridad de control antes de proceder al tratamiento de datos cuando una evaluación de impacto muestra que dicho tratamiento conllevaría un gran riesgo si el responsable no toma ciertas medidas.
  • Figuras:
    • Autoridad de control: este será un organismo que en cada país miembro de la Unión Europea regulará, supervisará y vigilará el tratamiento de datos de carácter personal.
    • Delegado de Protección de datos (DPO): esta figura necesitará tener conocimientos en el ámbito del  Derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar las funciones indicadas. Estas funciones podrán ser desempeñadas en el marco de un contrato de servicios. Si alguna persona tiene cuestiones relativas al tratamiento de sus datos personales deberán acudir a esta nueva figura.

En conclusión, poco a poco se van dando pequeños pasos para mejorar el sistema de privacidad, el cual es necesario que sea bastante restrictivo por el bién de datos. A pesar de todo, la tecnología avanza con gran rapidez, y eso puede suponer que se generen brechas en las normativas que se van desarrollando, por lo que es necesario, que se contemple el hecho de actualizaciones de estas normativas frecuentemente. Al fin y al cabo esto es un problema que nos afecta a todos, ¡ todos estamos expuestos!, de una manera u otra.

Referencias:

[1] <<El reglamento de protección de datos en 12 preguntas>>, Agencia Española de Protección de Datos, acceso el 30 de noviembre de 2017, http://www.agpd.es/portalwebAGPD/revista_prensa/revista_prensa/2016/notas_prensa/news/2016_05_26-ides-idphp.php

[2] <<¿Cómo habrá que adaptar la nueva LOPD al Reglamento Europeo de Protección de Datos?>>, Confilegal, acceso el 30 de noviembre de 2017, https://confilegal.com/20170324-como-habra-que-adaptar-la-nueva-lopd-al-reglamento-europeo-de-proteccion-de-datos/

[3] <<Principales cambios LOPD con el nuevo Reglamento>>, GrupoTutela, acceso el 30 de noviembre de 2017, http://grupotutela.com/cambios-lopd-nuevo-reglamento/

Internet del futuro

Download PDF

Llegamos al último post de la serie de IoT. Hemos tocado hemos hablado sobre la importancia del Internet de las cosas, de los riesgos que conllevan y los controles que se les pueden aplicar, pero ¿qué hay después de todo esto? Que nos espera en el mundo del Internet de las cosas. En este post hablaremos sobre las nuevas corrientes del Internet de las cosas, sobre las nuevas tecnologías que se están formando alrededor y más temas que nos conciernen. ¡Allá vamos!

Lo primero es lo primero, ahora mismo contamos con mas de 20 billones de dispositivos conectados a la red, cifra, que en 2020 se estima será ‘solamente’ un billón mas alta. Estas cifras, ahora mismo no nos aportan nada, excepto si nos damos cuenta que hace solo 2 años (casi 3) eran solo 4.9 millones. Con estos dispositivos se pretende hacer las ciudades, fabricas, casas… más inteligentes para, de esta manera, mejorar la calidad de vida y los ciclos de producción. Teniendo en cuenta la creación masiva de nuevos dispositivos, los desarrolladores y fabricantes de dispositivos ya están trabajando en nuevos sistemas de seguridad para evitar posibles ataques y fallos en los dispositivos.

Podemos ver prueba de estos ejemplos en la página web Libelium[1] que nos muestra proyectos tan ambiciosos como la creación de un sistema de detección rápida de incendios e inundaciones. Mediante la instalación de medidores de la calidad del aire y del nivel del rio, se pueden predecir o detectar rápidamente posibles catástrofes. Otro ejemplo es de crear carreteras inteligentes que permitan medir el estado de los materiales y conocer si se ha dado algún desperfecto en los materiales y poder arreglarlo de manera rápida y efectiva. Al igual que esta página web, también se están creando muchas, sobre todo dedicadas a crear soluciones para ciudades en concreto que permiten a los ciudadanos y desarrolladores buscar soluciones a problemas que pueden encontrarse en el día a día.

Por otra parte, alrededor del Internet de las cosas se están generando nuevas plataformas para acelerar el desarrollo de las tecnologías IoT, como por ejemplo Ericsson. Ericsson tiene un apartado de IoT en su página web en la que hablan de los temas más relevantes relacionados con IoT. Por ejemplo, su sección de seguridad está llena de artículos, webinars, etc. para que las personas interesadas en ello puedan utilizar estos recursos y hacer sus organizaciones o dispositivos más seguros. Lo mismo nos ofrece con la conectividad, de vital importancia en este campo, ya que sin ella los dispositivos perderían mucho o todo el valor. Pero uno de los apartados más importantes, al menos en mi opinión, es el IoT Acceleratos Platform[2]. Esta plataforma permite a las empresas hacer la transición hacia la informatización de manera centralizada, segura y fácil. Podemos verlo en este video de presentación:

Por último, también se están generando organismos para centralizar el conocimiento y las relaciones entre proveedores y desarrolladores de IoT, es el ejemplo de IoTConsortium[3]. El IoTConsortium fue creado con el fin de que los integrantes pudieran crear vínculos entre ellos para generar valor. También fue creado con el fin de compartir conocimiento para crear unos sistemas más fiables y seguros y por ultimo con el fin de hacer una apuesta clara y firme por los dispositivos IoT inyectando dinero para ello. Para lleva a cabo todos estos objetivos que se marcan tienen una serie de actividades que realizan. Por ejemplo, crean comités que identifiquen las áreas que van a ser de importancia para IoT o invierten en nuevas empresas, ideas o proveedores que vean que pueden causar algún impacto en el negocio. Decir, también, que esta organización ha doblado sus miembros en el último año contando ahora con más de 50 miembros, incluyendo entre ellos, Verizon, Nestle, LG…

iotc

En conclusión, IoT es un tema del que vamos a seguir oyendo por varias razones. En primer lugar, está entrando cada vez más en nuestras vidas y ya forman parte de muchas de las acciones que realizamos en nuestro día a día, como, por ejemplo, abrir las puertas de la oficina mediante nuestra tarjeta RFID, siendo real, a veces, la implantación de microchips en la piel para este fin. Por otra parte, también están siendo de gran importancia para la industria. Cada vez más los procesos industriales contienen algún tipo de dispositivo que los monitoriza y ayuda a hacerlos más eficientes. Y, por último, las PYMES, siendo ellas también beneficiarias de esta revolución, ya que gracias a estos dispositivos serán capaces de crear ventajas competitivas y de dar mejor servicio al cliente. Es normal que esta tecnología este teniendo tanto éxito, al final quizás sea la que nos permita convertirnos en cíborgs, hacer que nuestras casas y fabricas se auto gestionen…


Referencias:

[1] <<5 predictions on the future of the Internet of Things>>, Norton, acceso el 28 de Noviembre, https://us.norton.com/internetsecurity-iot-5-predictions-for-the-future-of-iot.html

[2] <<IoT Accelerator Platform>>, Ericsson, acceso el 28 de Noviembre, https://www.ericsson.com/en/internet-of-things/iot-platform

[3] <<Internet of Things Consortium>>, IoTConsortium, acceso el 28 de Noviembre, http://iofthings.org/

<<5G and the Future of IoT>>, Deusto Oceano, acceso el 28 de Noviembre, https://oceano.biblioteca.deusto.es/primo-explore/fulldisplay?docid=TN_scopus2-s2.0-84994417411&context=PC&vid=deusto&search_scope=default_scope&tab=default_tab&lang=en_US

5G and the Future of IoT

La revolución de los Smart Contracts

Download PDF

En el presente post voy a tratar un tema que hasta el momento no lo he mencionado debido a que lo estaba reservando para el último post. Se trata de los famosos “smart contract”.

Para entender un smart contract primero hemos de recordar que significa un contrato. Un contrato no es más que un acuerdo entre dos o más partes, un entorno donde se define lo que se puede hacer, cómo se puede hacer, qué pasa si algo no se hace… Es decir, unas reglas de juego que permite, a todas las partes que lo aceptan, entender en qué va a consistir la interacción que van a realizar.

Hasta ahora los contratos han sido documentos verbales o caros documentos escritos, sujetos a las leyes y jurisdicciones territoriales, y en ocasiones requiriendo de notarios, es decir, más costes y tiempo. Algo no accesible para cualquier persona. Y esto no es lo peor, los contenidos de los contratos pueden estar sujetos a la interpretación.

En cambio un contrato inteligente es capaz de ejecutarse What_are_Smart_Contractsy hacerse cumplir por sí mismo, de manera autónoma y automática, sin intermediarios ni mediadores. Evitan el lastre de la interpretación al no ser verbal o escrito en los lenguajes que hablamos. Los smart contracts son “scripts”, siendo los términos del contrato puras sentencias ycomandos en el código que lo forma.

Por otro lado, un smart contract puede ser creado y llamado por personas físicas y/o jurídicas, pero también por máquinas u otros programas que funcionan de manera autónoma. Un smart contract tiene validez, sin depender de autoridades, debido a su naturaleza: es un código visible por todos y que no se puede cambiar al existir sobre la tecnología blockchain, la cual le da ese carácter descentralizado, inmutable y transparente.

Si juntamos los principios de un smart contract con la creatividad de muchos desarrolladores del planeta, el resultado son posibilidades jamás vistas, accesibles para todos y a costes que rozan la gratuidad.

Imagina un coche Tesla auto-conducido, comprado en grupo, capaz de autogestionarse y alquilarse por sí solo pero sin una compañía tipo Uber detrás llevándose el 10%. Bienvenido al mundo de los contratos inteligentes.

Según Deloitte, tal y como indica en su artículo “getting smart about smart contracts” [1], los smart contract aportan numerosos beneficios en comparación con las metodologías utilizadas hasta el momento. Pero, de entre todos los beneficios destaca los siguientes:

Actualizaciones en tiempo real Debido a que los contratos inteligentes usan software para automatizar tareas que normalmente se realizan a través de medios manuales, pueden aumentar la velocidad de una amplia variedad de procesos comerciales.
Mayor precisión Las transacciones automatizadas no solo son más rápidas, sino que son menos propensas a errores manuales.
Menor riesgo de ejecución El proceso de ejecución descentralizado elimina virtualmente el riesgo de manipulación, incumplimiento o errores, ya que la ejecución de la gestión se realiza automáticamente por la red en lugar de forma individual.
Menor costo Los nuevos procesos habilitados por los contratos inteligentes requieren menos intervención humana y menos intermediarios y, por lo tanto, reducirán los costos.
Menos intermediarios Los contratos inteligentes pueden reducir o eliminar la dependencia de terceros intermediarios que brindan servicios de “confianza”, como el depósito en garantía entre contrapartes.

 

Una vez explicados los smart contracts voy a comentar un caso de auditoría. Un caso de auditoría de smart contract. Pero antes, os dejo un video corto que explica que es y cómo funciona un smart contract, para todos aquellos que no lo hayáis acabado de entender.

 

 

He encontrado un artículo de Merunas Grincalaitis, experto en Ethereum (una criptomoneda basada en la tecnología blockchain). Que tras centrar sus esfuerzos en aprender todo lo posible sobre auditar smart contracts con el fin de encontrar brechas de seguridad, nos expone los pasos a seguir si queremos auditar un smart contract.
Según Merunas Grincalaitis, el resultado de dicha auditoría constara de los siguientes puntos:

-Liberación de responsabilidad: Aquí se expone que la auditoría no es un documento legalmente vinculante y que no garantiza nada.

-Descripción general de la auditoría y buenas características: Una vista rápida del contrato inteligente que se auditará y buenas prácticas encontradas.

-Ataques realizados al contrato: En esta sección hablará sobre los ataques realizados al contrato y los resultados. Solo para verificar que es seguro.

-Vulnerabilidades críticas encontradas en el contrato: Problemas críticos que podrían dañar gravemente la integridad del contrato.

-Vulnerabilidades de media gravedad encontradas en el contrato: Aquellas vulnerabilidades que podrían dañar el contrato pero con algún tipo de limitación. Como un error que permite a las personas modificar una variable aleatoria.

-Vulnerabilidades de baja gravedad encontradas  en el contrato: Esos son los problemas que realmente no dañan el contrato y podrían existir en la versión implementada del contrato.

-Comentarios línea por línea: En esta sección analizará las líneas más importantes en las que verá posibles mejoras.

-Resumen de la auditoría: Su opinión sobre el contrato y las conclusiones finales sobre la auditoría.

Para interesados, en el siguiente link pone en práctica lo comentado [2], en el que audita un smart contract de un casino de Ethereum. El código del smart contract ,o podéis encontrar en  su Github.

Dejando a un lado a Merunas Grincalaitis, me gustaría destacar la plataforma Solidified. Una plataforma para la revisión colectiva de contratos inteligentes, en la que cualquier desarrollador puede presentar su contrato para una revisión exhaustiva de la calidad con nuestra gran red de expertos de blockchain verificados. [5]

Donde funcionan de las siguiente manera:

spu-ea68c8-ogi2-3cwn3bmfojjlb56e2

En conclusión, los smart contracts son otra consecuencia del blockchain. Una consecuencia que viene para quedarse y que, sin duda alguna, va a revolucionar el mundo. Porque, cuando los smart contracts estén estandarizados, ¿vamos a necesitar notarios? o ¿por qué un persona física que traba en un banco va a tener acceso a todos nuestros datos personales si solicitamos un préstamos? Con un smart contrat este proceso sería  automático y sin violar nuestra intimidad. El susodicho banco debería estipular unas condiciones (un mínimo de X€ ahorrado, una nómina con Y€ como mínimo…) y simplemente debe saber si el cliente lo cumple, no necesita saber si tienes una nómina de 25.000€ o de 100.00€. Y como estos dos ejemplos, me vienen miles a la cabeza…

 

 


 

Referencias:

[1]: Getting smart about smart contracts, Deloitte (junio 2016) https://www2.deloitte.com/content/dam/Deloitte/us/Documents/finance/us-cfo-insights-getting-smart-contracts.pdf

[2]: how to audit a smart contract, por  meruna sgrincalaitis, visto el 25/11/2017, https://medium.com/@merunasgrincalaitis/how-to-audit-a-smart-contract-most-dangerous-attacks-in-solidity-ae402a7e7868

[3]: Github.com, visto el 25/11/2017, https://github.com/merlox/casino-ethereum

[4]: solidified.io, visto el 25/11/2017, https://www.solidified.io/

Blockchain Risks

Download PDF

   Como hemos aprendido en los dos anteriores posts, blockchain reduce tremendamente la posibilidad de que surjan errores. Además, los registros no pueden ser  modificados por nadie una vez que se han añadido. Debido a que cada transacción se registra y se verifica, la integridad de los registros está garantizada. Por ello, mucha gente del sector IT plantea el hecho de que auditar sistemas basados en blockchain va a ser innecesario. Pero ¿es eso cierto?

Sin duda alguna es totalmente falso.En este post voy a resaltar los principales riesgos que se deben tener en cuenta cara a la auditoría de un sistema con tecnología blockchain. Tal y como hace referencia Deloitte en uno de sus artículos sobre blockchain y sus riesgos, el blockchain se puede dividir en dos tipos: “permissionless and permissioned chains”, esto es, cadenas sin permiso y autorizadas.[1] Blockchain sin permiso permite que  cualquiera sin ningún tipo de verificación participe en la red de transacciones. Sin embargo, las autorizadas están formadas por responsable o responsables que evalúan la participación de una persona u entidad en el entorno blockchain.

La mayoría de los riesgos que hoy en día se plantean no van asociados al tipo de blockchain del que se use. Ya que, es cierto que un riesgo está directamente relacionado con la integridad de los eslabones que componen la cadena blockchain, pero los grandes riesgos que realmente asustan a los expertos son independientes a ello. Después de informarme bien, y leer y releer una enorme cantidad de artículos en lo que refiere a este tema, me gustaría destacar una tabla publicada por ISACA que recopila de manera muy visual los posibles riesgos del blockchain y su relevancia. [2]

 

ISACA Blockchain Risks

Como se puede observar, categorizan los riesgos según su impacto y su probabilidad. Siendo de color verde los riesgos de menos importancia y difuminándose a color rojo los que aumentan su relevancia. En ISACA entienden por críticos, los siguientes riesgos:

  • Plataform Vulnerabilities:

La integridad del blockchain está determinada por la plataforma de software sobre la cual se ejecuta. Si la plataforma se considera poco fiable, ello afecta al blockchain.

  • Targeted Malware:

La infraestructura que admite el blockchain está sujeta a todas las amenazas y vulnerabilidades habituales. Ningún software está exento de ataques, y hay que tenerlo en cuenta.

  • Change control:

Abuso del privilegio de administración y cambio no autorizado en la infraestructura.

 

Además de estos tres posibles riesgos que ISACA destaca como los riesgos con mayor grado de  impacto/probabilidad, me gustaría destacar desde mi punto de vista los principales riesgos weak-chainen cuanto a seguridad se refiere: el acceso o control de acceso, la robustez del cifrado y la seguridad individual de cada nodo. Respecto a la seguridad de cada nodo, hay un dicho que me viene a la cabeza: “una cadena es tan débil, como el eslabón más débil de esta”. En este caso ocurre lo mismo, por ello es imprescindible disponer de planes de contingencia adecuados. A su vez, es cierto que el blockchain se caracteriza por estar cifrado, pero es de destacar que existen infinidad de algoritmos de cifrado. Y, no todos poseen el mismo nivel de seguridad.

En conclusión, puesto que estamos tratando una tecnología emergente, la mayoría de información y opiniones respecto a sus posibles riesgos son meras suposiciones. Suposiciones que se basan en experiencias pasadas, experiencias que se basan en casos  similares. Lo que nadie duda, es que esta tecnología ha venido para quedarse. Sin embargo, hasta que no se quede y se estandarice, no se podrá hacer una lista cerrada de los riesgos que implica. Lo que está claro es que a poca gente le gustan los cambios, y es porque con los cambios surgen riesgos que hasta el momento no se planteaban. El blockchain implica cambios y por lo tanto, implica nuevos riesgos. En lo que auditoría respecta, cualquier gran empresa o profesional que se quiera centrar en auditar esta nueva tecnología debe estar al tanto de los cambios que implica dicha tecnología, tanto de los casos que triunfen como de los que fracasen, y aprender de ellos. Deben ir perfeccionando la técnica de auditar según se vaya perfeccionando la tecnología.


Referencias:

[1]: Blockchain risk management (Prakash Santhana and Abhishek Biswas, 2017),https://www2.deloitte.com/content/dam/Deloitte/us/Documents/financial-services/us-fsi-blockchain-risk-management.pdf

[2]: Blockchain and Risk (Mike Small CEng, abril 2016), https://m.isaca.org/chapters8/Northern-England/Events/Documents/blockchain.pdf

 

La influencia del Blockchain en la auditoría

Download PDF

En el anterior post, definía blockchain como: blockchain o cadena de bloques es un libro digital incorruptible de transacciones económicas que pueden programarse para registrar no sólo transacciones financieras sino prácticamente todo aquello que tenga valor.

Y, a su vez, recalcaba que es el avance tecnológico del siglo actual. Esto implica que va a suponer cambios en la forma en la que funcionará la tecnología y, por lo tanto, las empresas e instituciones se van a tener que adaptar a dicho cambio.

 

Antes de decir cómo cambiará esta tecnología la manera de auditar o como podría cambiarla, me parece interesante mencionar qué cambios son los que está produciendo. Ya que, al fin y al cabo, auditar consiste en inspeccionar-verificar-aportar posibles mejoras… Y ¿Cuando cambia la forma de auditar algo? Cuando lo que se quiera auditar haya cambiado. Por ello, ¿Qué está cambiando o cambiará el blockchain?

 

Blockchain es una nueva tecnología que está revolucionando el modo en que realizamos transacciones. Es por esto que todo proceso en el que se requiera una transacción va a cambiar. Dicho con otras palabras, tiene el potencial de cambiar el modo en que compramos, vendemos, interactuamos con gobiernos y verificamos la autenticidad de cualquier cosa. Y como todo se entiende mejor con ejemplos, os cuento cinco ejemplos de servicios con blockchain que a día de hoy ya son una realidad:

  • Compra/venta de acciones
  • Contratos inteligentes:

“contratos que tienen la capacidad de cumplirse de forma automática una vez que las partes han acordado los términos.” (para interesados, en la noticia de la referencia se explica a conciencia y de forma sencilla de entender) [1]

  • Almacenamiento en la Nube
  • Gestión de identidades:

invisible

A parte de las gestión de identidades de las personas ‘como nosotros’, personas con DNI, número de la afiliación de la seguridad social, del carné de conducir… El blockchain da soporte a la gestión de identidad de las personas ‘invisibles’. Siendo estos principalmente de regiones subdesarrolladas, se puede definir como pobres/desplazados/refugiados que existen pero que no poseen una identidad. [2]

  • Pagos Transfronterizos:

529250-paper-airplane-made-out-of-money-with-clouds-in-the-background

No es noticia que transferir dinero de una persona de un país a otro, sobre todo si ese país receptor está subdesarrollado, tiene una comisión desorbitada. Pues gracias al blockchain esta comisión es prácticamente nula, tanto para las personas ‘como nosotros’ como para las ‘invisibles’.

El blockchain mejora la calidad y el precio de todo lo referente a transacciones, esto nos afectará a todas las personas y, sobre todo, a esa proporción de personas que hasta ahora ha tenido siempre las cosas más difíciles. Un claro ejemplo de lo mencionado anteriormente es BanQu, un banco con la siguiente misión: Conectar a los “invisibles” a la economía global mediante una identidad digital. En el siguiente vídeo lo explican, y se venden, muy bien.

Pero el blockchain no solo mejora la calidad y el precio de las transacciones cara a las personas, también cara a las empresas e instituciones. Y es por ello que cambiará la forma de auditar.

Veamos ejemplos y casos en los que empresas y gobiernos han empezado a mover ficha sobre esta tecnología, lo que implica que los auditores tendrán que estar activos al respecto.

[A1, B1, A2, B2, A3, B3, A4 y B4]

Estos son unos pocos ejemplos de todos los ámbitos en los que el blockchain esta influyendo. Desde el sector de las redes sociales, la música, automovilístico, médicos…. hasta gobiernos para mejorar los servicios de sus compatriotas. Y la verdad es que el hecho de que se utilice el blockchain facilita la tarea de los auditores. Obviamente, los auditores necesitan aprender sobre esta tecnología, pero al guardar toda y cada una de las transacciones realizadas, la muestra que posee el auditor para la implementación de la auditoría es completa y totalmente verídica e integra. Eso sí, al mismo tiempo que un auditor se apoya y se beneficia del blockchain y sus características para realizar su trabajo, a su vez será necesario que dicho auditor verifique que la tecnología se encuentra implementada, desarrollada e integrada de una forma adecuada. Esto es, que audite el blockchain. Ese es uno de los principales retos ante los que se encuentran los auditores hoy en día. Ya que la tecnología blockchain es muy novedosa y pocas personas la conocen a fondo.


Referencias:

[1]: https://criptonoticias.com/informacion/que-son-los-contratos-inteligentes/#axzz4vwaMlwEy

[2]:https://criptonoticias.com/aplicaciones/panorama-desarrollo-gestion-identidades-blockchain/#axzz4vwaMlwEy

Referencias de las noticias de la fotos:

A | B

A1: https://criptonoticias.com/colecciones/steemit-red-social-descentralizada-gracias-blockchain/#axzz4w2T71irb

B1:  https://criptonoticias.com/colecciones/blockchain-industria-musical-independencia-artistas-ganancias-fanaticos/#axzz4w2T71irb

A2: https://criptonoticias.com/colecciones/dubai-ciudad-blockchain-emiratos-arabes/

B2: https://criptonoticias.com/colecciones/dubai-ciudad-blockchain-emiratos-arabes/#axzz4w2T71irb

A3: https://criptonoticias.com/colecciones/automoviles-blockchain-combinacion-futuro/#axzz4w2SD0D3Z

B3: https://criptonoticias.com/colecciones/iota-red-micropagos-internet-cosas/#axzz4w2T71irb

A4: https://criptonoticias.com/colecciones/impacto-blockchain-nuevos-formatos-industria-editorial-creacion-contenido-escrito/#axzz4w2Uwh04b

B4: https://criptonoticias.com/colecciones/optimizacion-servicios-medicos-posible-blockchain/#axzz4w2T71irb

IoT: Solos pero acompañados

Download PDF

Cada vez salen a la venta más dispositivos que nos acompañan en el día a día y monitorizan todo lo que hacemos y estos dispositivos también se están aplicando a la empresa. Todos ellos están conectados a internet, directa o indirectamente, para que los datos que generan puedan ser consumidos desde cualquier lugar. Y es que, hoy por hoy, es muy difícil estar solo.

El Internet of Things(internet de las cosas o IoT)lo conforman más de 20 billones de dispositivos conectados a la red y más de 8 billones de esos dispositivos son los que nosotros compramos para nuestro uso diario o para el control de las tareas del hogar. Gran cantidad de esos dispositivos, por no decir el 100%, están compuestos de sensores que recogen información sobre el entorno en el que se encuentran. Y como nos podemos imaginar, todos ellos están, de una u otra manera conectados a internet, gracias al que envían los datos que recogen a los servidores de las empresas que los crearon o con aplicaciones de terceros.

Es entonces cuando nos podemos dar cuenta de que nuestra vida está siendo monitorizada y que nosotros hemos decidido que nuestra casa se controle desde el software de una empresa que, realmente, ¿sabemos qué está haciendo con ellos o cómo los almacena?

Según un artículo del ISACA Journal, los riesgos de Internet of Things más importantes que acechan al ámbito de Internet of Things son dos principalmente: la vulnerabilidad de la privacidad de los usuarios y el problema de la seguridad de la información que estos dispositivos generan.

Internet of things ha entrado en nuestra vida íntima y en la empresas gracias a los dispositivos que prometen monitorizar o detectar cualquier cosa de manera que sea mucho más fácil de gestionar o de sacar conclusiones de ella. La mayoría de estos dispositivos son consumidos personalmente y se dedican a extraer datos de carácter sensible sobre la persona que los porta. Es por eso que la privacidad de las personas se ha visto vulnerada por estos dispositivos ya que actúan como pequeños espías que nos vigilan constantemente. Y es por esto que puede existir rechazo por parte de algunas personas.

Pero el problema no es que simplemente nos monitorizan, el problema reside en el lugar al que va toda la información que estos dispositivos recolectan y cómo esa información es almacenada, enviada a las diferentes aplicaciones que la interpretan y finalmente quién puede consumir esa información y de qué manera.

Otro de los grandes problemas que presenta el internet de las cosas es la seguridad de los aparatos que lo conforman. Raúl Rojas, un profesor de informática en la Universidad Libre de Berlín, sufrió un ciberataque en la smarthouse que él mismo construyó. La mayoría de sus objetos estaban conectados a internet, gracias a eso, el podía controlarlos desde cualquier parte. Un día, sufrió un ataque a una de las bombillas, la cual comenzó un ataque DoS (denegación de servicio) sobre la casa. Como resultado de esto, la casa quedó inutilizada durante un tiempo, en el que Raúl no pudo controlar ninguno de los dispositivos. Esto no fue tan grave comparado con la catástrofe que podría haber ocurrido si alguien hubiese utilizado alguna de las numerosas vulnerabilidades encontradas en un modelo de marcapasos instalado en 465.000 personas.

Posibles ataques a dispositivos IoT

Finalmente también existe el problema de la disponibilidad. Muchos de estos dispositivos pueden crear nuevos e inesperados errores que hagan que un sistema clave de nuestro negocio deje de funcionar porque cierto sensor dejó de enviar información o que nos quedemos encerrados en casa porque la cerradura no responde ante el comando de abrirse.

Y es que según un artículo que presentó ISACA Journal, en el que presenta varios retos sobre la seguridad de IoT, nos advierten sobre estos problemas. En este artículo se citan problemas como la insuficiente autenticación para acceder a los dispositivos IoT, la falta de encriptación de los datos que los dispositivos recolectan o la mala seguridad de los portales donde estos datos se pueden visualizar.

No todo son cosas malas en el mundo del internet de las cosas, este también permite la creación de nuevos elementos para las empresas que les permitan avanzar en sus procesos de negocio y las hagan más eficaces. Por ejemplo, en el sector energético existe la posibilidad de detección de fugas mediante medidores conectados a la red o en el ámbito automovilístico existe ya una gran línea de productos que, por ejemplo, recogen información sobre el comportamiento de las ruedas dependiendo de la superficie sobre la que están rodando para su mejora en el futuro.

Es por todo esto que no solo hay que fijarse en los riesgos que IoT puede llegar a tener, solo es necesario detectarlos y mitigarlos para conseguir que las ventajas que ofrecen estos dispositivos se puedan aprovechar de una manera segura.


Referencias

Proviti <<The Internet of Things: What Is It and Why Should Internal Audit Care?>>

<<Security and Privacy Challenges of IoT-enabled Solutions>> Isaca Journal, acceso el 8 de octubre del 2017 https://www.isaca.org/Journal/archives/2015/Volume-4/Pages/security-and-privacy-challenges-of-iot-enabled-solutions.aspx?utm_referrer=

<<This guy’s light bulb performed a DoS attack on his entire smart house>> Splinter News, acceso el 9 de octubre del 2017, https://splinternews.com/this-guys-light-bulb-performed-a-dos-attack-on-his-enti-1793846000

<<Internet of Things (IoT) connected devices installed base worldwide from 2015 to 2025 (in billions)>> Statista, acceso el 9 de octubre del 2017, https://www.statista.com/statistics/471264/iot-number-of-connected-devices-worldwide/

ISO 27001 y futuro de PCI DSS

Download PDF

Como todo en la vida tiene su fin, este es el último Post relacionado con PCI DSS. La verdad es que la experiencia ha sido positiva. ¿Y de qué voy a hablar hoy? Bueno ahora lo comprobareis.

En primer lugar, me gustaría realizar una comparativa entre dos estándares que comparten muchas similitudes y ciertas diferencias. Uno de ellos está claro, se trata de PCI DSS, ¿pero cuál es el otro?, pues ni más ni menos que la ISO 27001. Empezamos viendo alguna diferencia en su definición.

PCI DSS es un estándar aplicado únicamente a la seguridad de los datos de las tarjetas de crédito, y es únicamente aplicable a las compañías que procesas, almacenan y transmiten estos datos. Además, este estándar es de obligatorio cumplimiento en función del volumen de transacciones efectuadas. En cambio, ISO 27001 es un estándar internacionalmente reconocido, que regula el establecimiento de sistemas de gestión de la seguridad de la información. Es decir, puede ser aplicado en cualquier organización, y su implementación es opcional, por lo que no es obligatorio [1].

Como he comentado en Posts anteriores, PCI DSS está compuesto por 12 requerimientos fundamentales. ISO 27001 aborda siete grandes áreas: organización, liderazgo, planificación, soporte, operación, evaluación y mejora. Además, PCI cuenta con cuatro niveles de certificación, en función del número de transacciones de la compañía. En la Tabla 1 podemos ver como cada uno de los requerimientos de PCI DSS se relaciona con algunas cláusulas de la ISO.

Tabla 1: Mapeo entre los requerimientos PCI DSS y las cláusulas de ISO 27001.

Y es que estos dos estándares son perfectamente compatibles y se pueden implementar en cualquier compañía. De hecho, ISO 27001 ofrece mayor flexibilidad debido a que posee controles de alto nivel, de manera que muchas compañías se decantan por implantar ISO 27001 si no operan específicamente con datos de tarjetas de crédito. Si además comparamos los costes de implantación de ambos estándares, ISO 27001 supone de media unos 150 mil dólares, en cambio PCI DSS puede suponer un gasto de hasta 700 mil dólares. Y no solo eso, los plazos de auditoría son diferentes para cada estándar. Para renovar la certificación de ISO 27001 se elabora una auditoría cada 3 años, aunque anualmente se elaboran pequeñas auditorias de seguimiento. En el caso de PCI, para cumplir el nivel más alto de certificación, se elabora una auditoria anualmente para renovarla, y trimestralmente una auditoría de escaneo de la red [2].

Y el futuro ¿Qué nos deparará? ¿Se seguirán utilizando las tarjetas de crédito o utilizaremos otros medios de pago? Bueno realmente el futuro es muy difuso. En los últimos 50 años se ha generado una tendencia a desplazar el dinero en efectivo, tomando cada vez más relevancia el uso de las tarjetas de crédito. Con el inicio de la nueva era digital y la aparición del e-commerce, han surgido nuevas formas de pago como el pago móvil o tecnologías como Bitcoin, que a su vez pueden ir desplazando el uso de las tarjetas. A pesar de ello, los expertos sugieren que el uso de las tarjetas continuaría a corto plazo, ya que los pagos denominados pequeños, por ejemplo, una consumición en un bar, se hacen cada vez más por medio de tarjetas y móviles, en lugar de dinero en efectivo. A largo plazo podría cambiar esta tendencia, ya que el sector de pagos móviles empieza a tener mayor peso. A sí mismo, los clientes que necesitan crédito para financiar sus compras pueden recurrir a las soluciones de préstamo que empiezan a ofrecer los puntos de venta, de manera que no solo los usuarios, sino que también los comerciantes salen beneficiados, para aumentar la escala de su negocio y acceder a nuevas fuentes de ingresos en forma de interés.

Todas estas innovaciones pueden erosionar los volúmenes de tarjetas de crédito, amenazando a los modelos de negocio. Es por ello que el estándar PCI DSS deberá seguir fiel a sus principios de evolución, y adaptarse a las nuevas formas de pago. Por ello veo necesario que no solamente abarque procedimientos y requerimientos exclusivos de manejo de datos de tarjetas de crédito. Creo que debería abarcar las nuevas posibilidades existentes, ya que existe la posibilidad de que los nuevos medios de pago sustituyan a las tarjetas de crédito, de manera que dicho estándar dejará de tener sentido. Es más, en ese escenario, la ISO 27001 probablemente tenga mucho más sentido aplicarla, porque al tratarse de un estándar más genérico, en cuanto a que no trata específicamente del manejo de datos de tarjetas de pago, y de más alto nivel, las posibilidades de adaptación a los nuevos tiempos son mucho más sencillas que para PCI DSS, además de que es más sencilla su implantación y más barata [3].

Pero bueno en el futuro iremos viendo lo que sucede y cómo evoluciona PCI DSS, del que esperemos siga siendo un estándar de referencia en el mundo de los medios de pago. Y como decía el famoso periodista y presentador Luis Mariñas, “Así son las cosas y así se las hemos contado”.


Referencias

[1] “Planning for and Implementing ISO 27001”: http://www.isaca.org/Journal/archives/2011/Volume-4/Pages/Planning-for-and-Implementing-ISO27001.aspx

[2] “ISACA Journal edición Enero/Febrero 2016”: http://www.isacajournal-digital.org/isacajournal/2016_volume_1?folio=51&pg=53#pg53

[3] “The future of PCI” : http://www.sfgnetwork.com/blog/payment-processing/the-future-of-pci/