Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Innovacion para la seguridad TIC

716 views

Published on

Libro del Curso de Verano 2012. 87 páginas.

Published in: Technology
  • Be the first to comment

  • Be the first to like this

Innovacion para la seguridad TIC

  1. 1. Edición bilíngüe: español / inglés Innovación para la Seguridad TIC
  2. 2. E l Centro de Investigación para la Gestión Tecnológica del Riesgo, CI-GTR, creado a instancias del Grupo BBVA y la Universidad Rey Juan Carlos, ha seguido profundizando en el propósito de servir de cauce para innovar mediante el fomento de la colaboración entre las empresas, los investigadores y la comunidad académica. En el verano del año 2102, el CI-GTR celebró en la imponente sede histórica de la Universidad Rey Juan Carlos, ubicada en el Real Sitio y Villa de Aranjuez (Madrid. España), su segundo Curso de Verano, en esta ocasión titulado Innovación para la Seguridad TIC. En las páginas de este volumen –editado en español y en inglés– se recoge el contenido de las conferencias, la mesa redonda y el debate posterior que constituyeron el eje del programa, incluyendo, además, un álbum fotográfico mediante el que se muestran algunos de los momentos vividos por alumnos y profesores, un testimonio fiel de que el buen ambiente, el rigor profesional y las ganas de aprender y de emprender son ingredientes esenciales para innovar.
  3. 3. Innovación para la Seguridad TIC Cursos de Verano 2012 Universidad Rey Juan Carlos Aranjuez, del 9 al 11 de julio de 2012
  4. 4. EDICIÓN PRODUCCIÓN DISEÑO Y MAQUETACIÓN Miguel Salgueiro / MSGráfica IMPRESIÓN Y ENCUADERNACIÓN Gráficas Monterreina Depósito Legal: M-16149-2013
  5. 5. Curso de Verano 2012 Innovación para la Seguridad TIC Centro de Investigación para la Gestión Tecnológica del Riesgo ÍNDICE INTRODUCCIÓN ......................................................................................................................................................................................... 5 Santiago Moral Rubio PRÓLOGO ...................................................................................................................................................................................................... 7 Pedro González-Trevijano LA INNOVACIÓN COMO ESTRATEGIA DE GESTIÓN DEL RIESGO EN EL GRUPO BBVA........................................ 9 Santiago Moral Rubio / Francisco García Marín RIESGO INTENCIONAL EN ENTORNOS DIGITALES: REDES COMPLEJAS DE INTENCIONALIDAD.................. 15 Víctor Chapela / Regino Criado INTELIGENCIA DE SEGURIDAD Y GESTIÓN DEL RIESGO ¿Qué puede hacerte daño de lo que no ves?............................................................................................................. 23 Simon Leach SI INNOVAS EN TU NEGOCIO, ¿POR QUÉ NO INNOVAR EN TUS PRESENTACIONES?............................................ 29 Gonzalo Álvarez Marañón PREDICCIÓN DE FRAUDE CON TECNOLOGÍAS INNOVADORAS....................................................................................... 35 Fernando Esponda / Luis Vergara
  6. 6. Centro de Investigación para la Gestión Tecnológica del Riesgo Innovación para la Seguridad TIC Curso de Verano 2012 Un modelo de gestión de riesgos basado en Teoría de Juegos............................................................. 41 Jesús Palomo MESA REDONDA. Nuevas tendencias en tecnologías de Riesgo y Seguridad IT........................... 47 Intervienen: Jaime Forero Rafael Ortega García Luis Saiz Gimeno Juan Jesús León Cobos Víctor Chapela Modera: Esperanza Marcos RECONOCIMIENTO FACIAL NO INVASIVO EN AEROPUERTOS.......................................................................................... 59 Enrique Cabello VIAJE A SILICON VALLEY DE UNA START UP..................................................................................................................................... 65 Julio Casal ÁLBUM FOTOGRÁFICO ......................................................................................................................................................................... 71
  7. 7. Curso de Verano 2012 Innovación para la Seguridad TIC Centro de Investigación para la Gestión Tecnológica del Riesgo a evolución en un mundo tecnológicamente globalizado es imparable y su adopción por la sociedad no tiene freno. Los ciudadanos demandan cada vez mayor transparencia y la delincuencia organizada avanza en sus intentos por beneficiarse a través del fraude tecnológico. La movilidad comienza a ser ya un leitmotiv en el panorama empresarial; paradigmas tales como BYOD (Bring Your Own Device) llenan las oficinas con nuevas herramientas de productividad (teléfonos inteligentes, tabletas, etc.), los controles de acceso se ven reforzados y mejorados mediante la identificación basada en dispositivos móviles y técnicas biométricas y la federación de identidades abre las puertas a un escenario en el que la reutilización de la identidad es ya un servicio. La prestación de servicios en la nube (cloud services) avanza a pasos vertiginosos y estos cambios implican inevitablemente la aparición de nuevas amenazas que desafían el buen funcionamiento y efectividad de los mecanismos de protección. Esta nueva coyuntura obliga a las empresas a equiparse con buenas herramientas de evaluación de riesgos, detección de comportamientos anómalos en grandes volúmenes de datos y justificación de toma de decisiones sobre las mejores estrategias de protección. La innovación, motor clave de crecimiento y competitividad, surge así como palanca imprescindible en la lucha contra las amenazas que afectan a la seguridad de la información y en la obtención de los niveles deseados en la reducción de riesgos. El Centro de Investigación para la Gestión Tecnológica del Riesgo (CI-GTR) está trabajando en INTRODUCCIÓN Santiago Moral Rubio (Director de IT Risk, Fraud Security. Grupo BBVA)
  8. 8. Centro de Investigación para la Gestión Tecnológica del Riesgo Innovación para la Seguridad TIC Curso de Verano 2012 varios proyectos para aplicar técnicas y conceptos novedosos a la seguridad de la información y la lucha contra el fraude considerando tendencias innovadoras en el marco de las Tecnologías de la Información y la Comunicación (TIC). En este ámbito, el CI-GTR convocó la segunda edición del Curso de Verano celebrado en el marco de la Escuela de Verano de la Universidad Rey Juan Carlos. Las charlas se impartieron del 9 al 11 de julio de 2012 en la ciudad de Aranjuez. Esta edición ha tenido una amplia aceptación con más de cien asistentes tanto alumnos y equipos investigadores como empresas españolas y representantes de entidades de ámbito internacional. En el curso nos acercamos a la experiencia de un emprendedor que ha conseguido situar una start-up de origen español como referencia en su sector en Silicon Valley, impulsando a la vez una potente comunidad de software libre alrededor de su proyecto. Vimos también cómo se pueden aplicar nuevas técnicas en la lucha contra el fraude tecnológico aportando capacidad de aprendizaje y adaptación a los comportamientos cambiantes de la delincuencia. Además, se presentaron métodos innovadores en el análisis de riesgos de tipo intencional y la aplicación de la teoría de grafos en la evaluación de la vulnerabilidad de las instalaciones informáticas. A través de esta publicación, trasladamos a aquellas personas interesadas la transcripción de las ponencias presentadas en este Curso de Verano.
  9. 9. Curso de Verano 2012 Innovación para la Seguridad TIC Centro de Investigación para la Gestión Tecnológica del Riesgo uevamente nos encontramos ante un meritorio ejemplo de colaboración entre Empresa y Universidad, pues, como ya ocurriese en 2012, BBVA y Universidad Rey Juan Carlos han aunado esfuerzos para poner en marcha y desarrollar una nueva acción de I+D+i. Ambas entidades viene colaborando intensamente desde hace varios años en el desarrollo de la investigación de efectivas herramientas de evaluación, detección, prevención y protección frente al riesgo, siempre presente, en los complejos sistemas de información, recopilación y control de datos. Se da respuesta con ello a una de las necesidades prioritarias del mundo actual, en que la seguridad en la comunicación por parte de las entidades bancarias y en las transacciones financieras es, sin lugar a dudas, garantía imprescindible para la fiabilidad del sistema. Estamos, por tanto, ante una ambiciosa investigación en un sector puntero, que BBVA y URJC lideran a través del análisis y valoración de técnicas eficaces y novedosas para garantizar la seguridad en la información y trasvase de datos y en la lucha contra el fraude financiero. De esta imperiosa necesidad surgió la colaboración entre ambas entidades, materializada con la creación del Centro de Investigación para la Gestión Tecnológica del Riesgo (CI-GTR) que, una vez más, da frutos con esta publicación. Un Centro de Investigación que ha sabido situarse entre los centros de referencia en el ámbito nacional y está trabajando incansablemente para seguir en la línea de la tan necesaria internacionalización con el mundo globalizado. Así lo demuestra con la publicación que comentamos. Se trata de un volumen que recoge las ponencias presentadas en los Cursos de Verano de la Universidad Rey Juan Carlos. PRÓLOGO Pedro González-Trevijano (Rector de la Universidad Rey Juan Carlos. Presidente de la Fundación Universidad Rey Juan Carlos)
  10. 10. Centro de Investigación para la Gestión Tecnológica del Riesgo Innovación para la Seguridad TIC Curso de Verano 2012 Así en la sede de los mismos en el Real Sitio de Aranjuez, en la pasada edición de 2012 se desarrolló el Curso “Innovación para la seguridad TIC”, bajo la dirección de don Santiago Moral, con el objetivo de poner a disposición de la comunidad académica y científica los resultados obtenidos a partir de los varios proyectos que desarrollan en colaboración con la Universidad Rey Juan Carlos. Nuevamente la respuesta de la comunidad científica fue la esperada, así como el nivel de los ponentes y asistentes: un importante número de participantes y un elenco de ponentes de reconocido prestigio nacional e internacional, tanto del mundo de la empresa como del mundo académico-universitario. Todos ellos nos demostraron que queda mucho camino en el análisis del riesgo y de la lucha contra el fraude en el sector bancario. Y nos ilustraron sobre los nuevos métodos en los que se está investigando y discutiendo en los foros científicos de mayor prestigio. No puede haber duda alguna, en fin, de la utilidad de la obra que tengo el placer de presentar y prologar, que completa y continúa, de un modo sobresaliente, la imprescindible labor de difusión de la investigación desarrollada por el Centro de Investigación para la Gestión Tecnológica del Riesgo (CI-GTR), al que auguro un futuro prometedor.
  11. 11. Curso de Verano 2012 Innovación para la Seguridad TIC Centro de Investigación para la Gestión Tecnológica del Riesgo H ace dos años empezamos esta aventura con la creación, junto con la Universidad Rey Juan Carlos, del Centro de Investigación para la Gestión Tecnológica del Riesgo. En paralelo, iniciamos también una serie de trabajos, tanto en la Universidad como con empresas tecnológicas, para desarrollar las ideas que teníamos en aquel momento y crear los servicios de seguridad que pensábamos necesitaba el mercado. Actualmente, en este escenario trabajamos tres personas. Y nos apoyamos en tres ámbitos de actuación: empresas tecnológicas consolidadas (Intel, GMV, RSA…), que tienen el músculo para llevar a cabo grandes proyectos; universidades y centros de investigación, tanto a nivel nacional como internacional, con acuerdos con universidades en EE.UU. y centros de investigación de Israel, por ejemplo; y empresas pequeñas de capital riesgo. En este contexto, o bien participamos en la creación de nuevas empresas destinadas a la investigación, solos o conjuntamente; o lo hacemos entrando en el capital de alguna de estas startups tecnológicas, o comprando su producto. En esencia, desde el observatorio tecnológico, que es el lugar desde donde estamos trabajando, ponemos la vista en las apuestas que se hacen a lo largo y ancho del planeta para estar lo más presentes que podamos en las nuevas Santiago Moral Rubio (Director IT Risk, Fraud and Security. Grupo BBVA) Francisco García Marín (Innovation for Security. Grupo BBVA) LA INNOVACIÓN COMO ESTRATEGIA DE GESTIÓN DEL RIESGO EN EL GRUPO BBVA
  12. 12. Centro de Investigación para la Gestión Tecnológica del Riesgo10 Innovación para la Seguridad TIC Curso de Verano 2012 tecnologías, bien sea mediante acuerdos de algún tipo, o bien colaborando en la financiación. Dicho todo esto y recordando que antes nos enfocábamos a una serie de proyectos dispersos, en la actualidad se ha creado esta función dentro del equipo de Santiago Moral de IT Risk, Fraud and Security, dedicando un espacio propio a la innovación. Focos de interés Para empezar quisiera contarles cuáles son actualmente, según nuestra perspectiva, los principales puntos de interés en la innovación en seguridad. Primero les pondré en contexto y luego lo veremos en detalle. Nadie duda ya de que la evolución de las nuevas tecnologías es imparable, que su adopción no tiene freno. La presencia en Internet mantiene in crescendo su competitividad, y la extensión a los países emergentes materializa sus visiones de expansión. Por otro lado, estamos asistiendo a un fraccionamiento cada vez mayor de la cadena de valor. Las empresas externalizan cada vez más cosas, todo lo que no es su core de negocio, abandonando así esa imagen de estructura monolítica que las había caracterizado con anterioridad. Y todo ello en un entorno donde los riesgos, que antes se percibían como principalmente internos, no paran de crecer en su versión externa. Otra tendencia, aún incipiente, es la migración a la nube, tanto de infraestructuras de TI como de herramientas (correo electrónico, entornos colaborativos, etc.). Aún es un lento pasaje, pero se contempla en último término la migración de procesos de negocio, que convierten a esta decisión en absolutamente estratégica para una compañía. Y ligado a eso, otra tendencia, la deconstrucción de procesos, estrechamente vinculada a la externalización. Y es que para llegar a la consolidación de un determinado producto, cada vez hay más intervinientes fabricando cosas previas, ofreciendo un servicio que complementa al resto de la propuesta. La tendencia mundial camina en esa dirección: que todos los procesos sean de ese tipo, apostando por una mayor optimización y eficiencia, deslocalizando y troceando los procesos. Siguiendo con las tendencias de mercado, no podemos dejar de hablar de lo que se ha denominado “consumerización” de los dispositivos inteligentes. Cada vez son más personales; y, desde un punto de vista bancario, se utilizan cada vez más para procesos de negocio y sistemas de pago. Todo ello de la mano de la popularidad de las redes sociales. Actualmente, hay más de 500 millones de usuarios activos en Facebook, con millones de personas haciendo en la Red críticas de hoteles, de líneas aéreas, de cualquier tipo de objeto de consumo… en una época en la que los consejos sobre consumo basculan desde los profesionales a la gente corriente. También ha sido espectacular la imparable ascensión de YouTube, donde en 60 días se suben más contenidos que los que han creado las empresas profesionales de medios en los últimos 60 años.
  13. 13. Curso de Verano 2012 Innovación para la Seguridad TIC Centro de Investigación para la Gestión Tecnológica del Riesgo 11 Habrá otros ámbitos donde también veremos novedades en los próximos años, como el escenario de la propiedad intelectual, que no estará constreñida solo a la música o al vídeo, sino que también alcanzará al libro electrónico o a las impresoras en 3D, gracias a las cuales será posible copiar objetos físicos, hasta ahora más fáciles de proteger. En paralelo a esta evolución tecnológica, las amenazas también se están incrementando exponencialmente. De manera que hay que gestionar también nuevos riesgos, como el robo de datos, los ataques por denegación de servicio, las operaciones de ciberactivismo, los ataques contra infraestructuras críticas y dispositivos móviles, los ataques a la marca y a la reputación empresarial, las APTs (Advanced Persistent Threats), etc. Mejor tecnología, mejores herramientas En medio de este panorama, la buena noticia es que contamos cada vez con tecnología más avanzada, que nos permite fabricar mejores herramientas para defendernos. Una de ellas es el big data, la capacidad de extraer información de grandes volúmenes de datos, algo que antes no podía realizarse porque no había herramientas adecuadas para ello por los costes asociados al procesamiento y al almacenamiento. También destacaría los sistemas de reconocimiento de patrones anómalos, donde tenemos un papel protagonista; los nuevos desarrollos en criptografía que preserva el formato, los índices y el orden y que permiten operar sobre datos cifrados; los sistemas biométricos; y las herramientas de análisis y gestión de seguridad en dispositivos móviles. En tal contexto, y celebrando que la innovación en todos estos escenarios es una palanca que nos lleva al crecimiento y al incremento de la competitividad, nuestras áreas de trabajo están alineadas para desarrollar soluciones contra el fraude; pagos avanzados; sistemas de identidad digital y autenticación; servicios en la nube, big data, entornos de nuevos dispositivos; y el campo de la gestión del riesgo, entre otras opciones. En particular, consideramos que en el mundo cloud existe actualmente una carencia en sistemas de seguridad suficientemente desarrollados que nos permitan manejar estos entornos de forma efectiva; y, al mismo tiempo, desarrollar en mayor profundidad los controles sobre las compañías donde se externalizan servicios. Por eso, también en Google apps nos dedicamos a buscar herramientas que completen la seguridad de este entorno. Siguiendo con la nube, hay que partir del hecho de que cambia el sistema tradicional de un CPD. La tendencia habla de que crece el número de departamentos de una compañía que mueven sus procesos al entorno cloud. Y las nubes son variopintas, desde servicios completos, con software de aplicación integrado, hasta la parte más baja, que se centra en la utilización únicamente de capacidades de proceso y almacenamiento junto a la infraestructura. Y entre ambos extremos, muchos puntos intermedios.
  14. 14. Centro de Investigación para la Gestión Tecnológica del Riesgo12 Innovación para la Seguridad TIC Curso de Verano 2012 Todos estos escenarios cuentan con un perímetro de seguridad nuevo, que puede ser gestionado por herramientas y personas diferentes; lo que aporta una gran complicación de cara a unificar y gestionar la seguridad de un modo cohesionado y equilibrado. En realidad, nos gustaría poder tener un sistema que nos aportara una visión conjunta de los entornos dispersos de la nube, y tener un perímetro virtual que fuera capaz de abarcar tanto los sistemas tradicionales como los cloud. Cierto que en la actualidad ya tenemos soluciones que pueden responder a esta necesidad, pero muy fragmentadas; y que o no tienen mucha madurez o tocan solo aspectos parciales. Servicios de un CPD, ahora a la nube Pero, ¿cuáles son los servicios habituales de un CPD que querríamos llevar a la nube? Estaríamos hablando de la protección perimetral tradicional de un cortafuegos; herramientas DLP para evitar fugas de información; cifrado de la información; protección frente al malware; protección de sistemas administrativos de estos servicios en la nube; y perfilado de los dispositivos, porque se accedería desde cualquiera de ellos. Además, servicios de identidad, tanto desde el punto de vista de la autenticación como del aprovisionamiento de las identidades de todos esos puntos dispersos, así como federación de identidades, a fin de que para el usuario sea transparente la dispersión física de los procesos en la nube, además de la posibilidad de federar identidades con otras entidades externas que son puntos de entrada masivos para nuestros clientes, como las redes sociales. En lo que respecta a la “consumerización”, según Gartner, desde 2009 se venden más dispositivos inteligentes a consumidores particulares que a profesionales. Y esta tendencia seguirá creciendo. De modo que aspiramos a proteger todos los dispositivos móviles que acceden a nuestros sistemas. Y aquí destacaríamos tendencias de gestión de estos entornos como el BYOD (Bring Your Own Device). Por otro lado, si consideramos ahora lo que realmente tiene de nuevo la propuesta de big data, nos damos cuenta de que hasta hace muy poco los sistemas hardware y software no tenían unos precios competitivos que, por ejemplo, permitieran analizar todas las operaciones realizadas con tarjetas de crédito en BBVA en los últimos cinco años. Este volumen de información era literalmente inmanejable. Otro ejemplo sería el análisis de todas las llamadas telefónicas de una operadora a lo largo de un período de tiempo prolongado. Surge también para algunas empresas la oportunidad de comercializar su big data, que puede ser de utilidad para terceros, pero esto obliga a disponer de fuertes medidas de seguridad que anonimicen la información individual, permitiendo únicamente la realización de análisis de tipo estadístico Asimismo, también están apareciendo muchas iniciativas para gestionar esas bases de datos; una de ellas es hadoop, que se basa en la forma de almacenar los datos de Google. Al final, además de animar a los negocios a la utilización de big data de manera segura, nosotros en Seguridad también lo aprovechamos para
  15. 15. Curso de Verano 2012 Innovación para la Seguridad TIC Centro de Investigación para la Gestión Tecnológica del Riesgo 13 mejorar nuestros propios servicios, para mejorar la clasificación de la información, para prevenir ciberataques, comprobar la efectividad de controles, etc. En otro orden de cosas, en cuanto a identidad digital, estamos interesados en sistemas biométricos, para la identificación fidedigna de las personas, y que puedan utilizarse solos o complementando a los sistemas tradicionales; y también en la federación de identidades, tanto interna como externa. Y, finalmente, en el ámbito de la gestión del riesgo, trabajamos con la Universidad Rey Juan Carlos en el análisis de redes complejas, buscando la forma de obtener la fortaleza o debilidad de una red con análisis matemático y teoría de grafos. Seguimos trabajando también en la Universidad con grupos de tecnologías avanzadas de análisis de riesgo, que se explicarán más detalladamente en las siguientes ponencias. Y, desde luego, seguimos muy de cerca el terreno del antifraude, de manera que seguimos investigando en algoritmos para mejorar nuestra capacidad de detección de fraude on-line.
  16. 16. Centro de Investigación para la Gestión Tecnológica del Riesgo14 Innovación para la Seguridad TIC Curso de Verano 2012
  17. 17. Curso de Verano 2012 Innovación para la Seguridad TIC Centro de Investigación para la Gestión Tecnológica del Riesgo 15 Regino Criado Partiendo de la idea de que todos queremos conseguir hacer verdaderamente efectiva la fórmula de colaboración entre el mundo universitario y el empresarial, soy un privilegiado por poder contaros esta experiencia donde logramos un modelo de colaboración real entre empresa y universidad, articulada en torno a la interacción de grupos multidisciplinares, donde cada uno hace el trabajo que le corresponde en el marco de una alimentación mutua. Para explicar los orígenes de esta colaboración, he de comentar que hace un tiempo empezamos a trabajar con el Centro de Investigación para la Gestión Tecnológica del Riesgo. Hicimos varios proyectos con tokenización, modelo de renovación de ATM, etc.; y un día, en el anterior curso de verano, empezamos a intercambiar ideas sobre nuestra experiencia en redes complejas. Víctor Chapela Y ahí, con ese intercambio, empezamos a vislumbrar la idea de trabajar en cómo modelar el hackeo. En un principio, empezamos a utilizar técnicas propias del mundo del ajedrez, pero no funcionaron del todo; y, en medio, retomamos las ideas de un libro de Barabási que había leído, Víctor Chapela (Chairman of the Board de Sm4rt Security) Regino Criado (Catedrático de Matemática Aplicada de la Universidad Rey Juan Carlos) RIESGO INTENCIONAL EN ENTORNOS DIGITALES: REDES COMPLEJAS DE INTENCIONALIDAD
  18. 18. Centro de Investigación para la Gestión Tecnológica del Riesgo16 Innovación para la Seguridad TIC Curso de Verano 2012 sobre la conexión de las redes por grafos, y de Internet en particular. Pensé que eso estaba también relacionado con los puntos de hackeo, que eran cosas conexas pero a la vez difíciles de modelar. Y de ahí surgió realmente la idea, de verlo como parte de este grafo interrelacionado, donde se podía relacionar con otros. ¿Qué es un grafo? Un grafo es una colección de nodos interconectados y lo que se representan son esos nodos. Al ser matrices, las relaciones se podían trabajar matemáticamente, pudiéndose hacer transformaciones de esas matrices para justamente convertir, analizar o modelar las relaciones entre los elementos. El libro de Barabási decía que en Internet las relaciones son exponenciales. Los nodos del centro más conectados estaban exponencialmente más conectados que los nodos menos conectados. A esto lo llamó “redes de escala libre”. Y esto era lo mismo que pasaba en el hackeo. Aquellos puntos más conectados eran los primeros que se hackeaban, los más fáciles de hackear, como las bases de datos o los sistemas de administración de usuarios y contraseñas. Entonces, la pregunta que surgió fue sencilla: ¿qué eran exactamente los grafos? Y aquí paso el testigo a Regino Criado. Regino Criado El origen de la teoría de grafos (estructuras que constan de dos partes, el conjunto de vértices, nodos o puntos, y el conjunto de aristas, líneas o lados que pueden ser orientados o no) está en los trabajos de Leonhard Euler sobre los siete puentes de la ciudad de Königsberg (actual Kaliningrado) sobre el río Pregel. Allí, los habitantes de la ciudad intentaron comprobar si era posible recorrer todos ellos y volver al mismo punto de partida sin pasar dos veces por el mismo puente. Después de un tiempo, llegaron a la conclusión de que no había ninguna solución. Pero este hombre hizo una afirmación en pos de demostrar tal posibilidad: el número de aristas que sale de cada nodo debería ser un número par. Después, la teoría de grafos fue evolucionando y alrededor de los años 60 se explicó cómo los grafos podían evolucionar. En este contexto, surge lo que hoy llamamos la teoría de redes complejas, que guarda gran parecido con los grafos, aunque con una diferencia esencial: en la teoría clásica de grafos se trabajaba con grafos de tamaño pequeño, con un reducido número de redes y aristas conectadas a esos nodos, a diferencia de las redes actuales. Internet es también un ejemplo de una gran red compleja interconectada entre sí. Si uno concibe Internet como que dos páginas están interconectadas y existe un hiperenlace entre ellas, ¿a cuántos clics de media de distancia están separadas dos páginas web? Según un estudio, a 19. Es importante entender este esquema. Hace 30 años, el pensamiento predominante en el mundo era el llamado “pensamiento reduccionista”. Es decir, para entender un sistema, lo que hay que hacer es descomponerlo en sus partes, cada vez más pequeñas, y entender el comportamiento dinámico de cada una de ellas para luego exportar el conocimiento a cómo se comporta el sistema
  19. 19. Curso de Verano 2012 Innovación para la Seguridad TIC Centro de Investigación para la Gestión Tecnológica del Riesgo 17 globalmente. Pero esto solo funciona para un cierto tipo de sistema, para los llamados “sistemas lineales”. Para ubicarnos, nos adentraremos en la diferencia entre sistemas complejos y sistemas complicados. Un sistema complejo es un sistema que no solo tiene un número elevado de componentes que interaccionan entre sí, sean lineales o no, sino que también tiene un cierto grado de no linealidad, que se refleja en que no siempre el todo es la suma de las partes. Si bien los sistemas lineales se comportan de manera razonable y sin mucha variación; los no lineales son sistemas que bien pueden dar lugar a periodicidad, o bien superar un cierto umbral donde aparece un comportamiento caótico, como ocurre en el mundo neuronal. Asimismo, la complejidad puede provenir de la manera en que se producen las interacciones entre los distintos componentes del sistema. Y aquí nos encontramos con que pueden existir distintas formas de simplificar los modelos, bien entre la interacción concreta de unos con otros, bien en la interacción entre todos a la vez. En general, en Internet, la no linealidad no solo se manifiesta en cada uno de los componentes, sino también en las propias interacciones entre ellos. Para acabar con el ejemplo del genoma humano, si bien este se diferencia del de un primate en solo un 1%, lo que realmente nos hace diferentes son las conexiones que se dan entre los genes, que permiten la activación y/o desactivación de genes concretos. En este contexto, para trabajar en el modelo que les va a presentar Víctor, los grafos no resultaban suficientes, y era necesario introducir un nuevo concepto. Para verlo de manera gráfica, y tomando como ejemplo el plano de metro de Madrid como un grafo con nodos, los nodos serían las estaciones; y las conexiones, las conexiones directas entres las estaciones. Pero luego cada estación está adscrita a una o varias líneas. Entonces aquí aparece el concepto de capas: cada línea sería una capa, cada nodo estaría en varias capas, y habría conexiones entre varias, llegando al concepto de red multicapa sobre el que hemos trabajado. Pero, ¿qué relación tienen todas las cosas de las que hemos venido hablando con la pregunta que nos planteó Víctor hace un año? Víctor Chapela En el asunto en concreto de la intencionalidad, no tanto en grafos, habíamos venido trabajando en tres ejes básicos: accesibilidad, anonimidad y valor. El primero, relacionado con los grafos; y los dos últimos, con el riesgo del atacante y el valor esperado. Cada uno de ellos con diferentes controles, como separar y disociar el valor; autenticación; monitoreo y reacción de la anonimidad; y autorización, filtrado y aislamiento de los accesos. La pregunta de fondo de un grafo es dónde coloco los controles en mi red para que sean más eficaces y efectivos desde el punto de vista del esfuerzo. Y aquí había una problemática particular en esos tres ejes: según se incrementaba la accesibilidad se provocaban también diferentes problemas. De un lado, en la accesibilidad total
  20. 20. Centro de Investigación para la Gestión Tecnológica del Riesgo18 Innovación para la Seguridad TIC Curso de Verano 2012 tenemos el riesgo accidental, la redundancia y la capacidad de mantener algo arriba o en línea; y, del otro lado, está la confidencialidad, donde aquí, en contraposición, se opta por los accesos restringidos. Este es el tipo de seguridad total que buscamos en este momento, y esto se lograba con una menor accesibilidad. Por otro lado, también podemos reducir el riesgo reduciendo la anonimidad y el valor, pero es la accesibilidad la que, sobre todo, se orienta a grafos. Y es porque podemos tomar todos los accesos y todos los sistemas, y convertirlos en nodos, viendo las relaciones entre ellos –quiénes consultan qué información, quiénes la transforman y quiénes la guardan–. Eso nos permite segmentar los nodos y encontrar relaciones entre ellos; ver cuáles son los puntos más interconectados de nuestro grafo y poner una frontera de confianza alrededor de ellos que nos permita protegerlos. No se trata de asegurar todo lo demás al mismo nivel, porque parte del problema de la seguridad es cómo nos concentramos en lo verdaderamente importante. Con estas ideas justamente empezamos a ver la información en multicapa –cómo está organizada una estructura compleja, qué grupos de usuarios hay que gestionar de modo distinto, qué aspecto de la información hay que primar, etc.–. Con ello, lo que podemos es aislar de nuestro grafo las partes con mayor riesgo intencional, más susceptibles de ser hackeadas. Dentro de esta red, es importante ver qué nodos tenían mayor anonimidad, es decir cuál era el atacante más anónimo. Y con ello llegamos a la pregunta que yo planteaba hace un año: ¿Cómo podemos modelar esto? Regino Criado Nosotros empezamos a trabajar sobre la base de entender que el riesgo de ataque intencional es una función, no sabemos si es lineal o no lineal, que depende del valor de los datos para el atacante, de su accesibilidad, y del grado de anonimidad. Y creamos el modelo de red multicapa –el gran problema del trabajo en redes complejas–, que era dirigido, etiquetado y ponderado, con la idea de buscar una red compleja adaptada a entornos digitales complejos de grandes corporaciones. Y llegó la gran pregunta: ¿qué podemos representar dentro de cada una de las capas? Víctor Chapela Una de las primeras ideas para explicar los diferentes elementos (accesibilidad, anonimato y valor) fue utilizar el modelo de circuitos eléctricos, que se representa con grafos, Por un lado, tenemos el polo negativo, que mide la anonimidad de la persona, y, por otro, el polo positivo, que mide el valor al que accede. Entonces tenemos que cuanta más diferencia de potencial entre los polos, más riesgos. Así que si lo que queremos es reducir ese riesgo, lo que tenemos que hacer es poner resistencias, que serán controles de acceso a nivel de red, de aplicaciones, de servidores, etc. También trabajamos con la idea de reducir la anonimidad o el valor con la disociación o separación de los datos. Esto acabó convergiendo en una idea sola, un circuito eléctrico determinista donde podíamos determinar exactamente las cargas y la relación entre anonimidad y valor
  21. 21. Curso de Verano 2012 Innovación para la Seguridad TIC Centro de Investigación para la Gestión Tecnológica del Riesgo 19 como dos cosas que estaban medidas en un mismo eje, viendo que no eran iguales. En este proceso de entender la complejidad como algo multidimensional, cada nodo tenía las tres características básicas, no había nodos de accesibilidad, valor y anonimidad separados. Teníamos en un punto la anonimidad, en otro punto el valor, y luego teníamos que poder propagar esos valores a través de la red compleja. Y ver qué controles se necesitaban para reducir estas máximas, viendo cómo se propagaba el valor de un punto a otro. Es decir, que si tenemos una base de datos que tiene mucho valor, y está conectada a una aplicación web, si hackeo cualquiera de las dos tengo acceso al mismo valor. Pero si solo se transmite un fragmento de esa información, solo se está exponiendo eso. También con el anonimato… Si el ataque viene de Internet se reduce si pongo controles; si no, sigo con la misma anonimidad. Y es aquí cuando empezamos a entender que hablábamos de distintos tipos de capas. Acabamos encontrando 4 capas básicas (ahora creo que ya vamos por 16): capa topológica –asignado un valor y nivel de anonimidad a cada sistema de la red–; capa de controles de la red y mitigación del riesgo; capa de accesos autorizados; y capa de accesos potenciales por afinidad –aquí no importa si no estoy autorizado, lo que importa es qué puedo manipular para tener acceso–. Así, cada equipo de red contaba con todas estas partes que antes veíamos como capas distintas. Y, de este modo, un sistema podría estar conformado por subsistemas. En este aspecto, había un tema importante a tener en cuenta, el colapsado y la expansión de estas redes multicapa, porque en su base, que es la red completa, tenemos mucha información que luego no usamos. Y queríamos colapsarlo desde distintas perspectivas, como controles en las aplicaciones y en la gestión de usuarios. Así, el grafo se podría expresar en grafos más pequeños y podrían ser representados por un nodo de más alto nivel, o ampliados o expandidos a otros nodos. Esto nos da no solo la multicapa, sino una capacidad de escala libre, de manera que podríamos entrar al detalle para que cada pedacito de un sistema fuera un nodo; y ver en cada uno de ellos el valor y la anonimidad. De cada una de estas capas terminamos teniendo tres grandes grupos: levantamiento automatizado (infraestructura), escaneando las redes y obteniendo toda la información; cálculo de riesgo estático (riesgo oportunista), con información del valor y la anonimidad a través de la red para ver qué aplicaciones tienen más riesgo para hacer el modelado en cada capa; y riesgo dinámico, que no se centra en dónde tengo acceso sino en qué ruta es más fácil para un atacante. En esencia, proteger los sistemas entre sí, de sí mismos, es más importante que proteger el flujo hacia abajo. Y lo que estamos empezando a hacer es el riesgo dinámico. Regino Criado La capa de afinidad que corresponde a los accesos no autorizados se reduce, en la práctica, a accesos
  22. 22. Centro de Investigación para la Gestión Tecnológica del Riesgo20 Innovación para la Seguridad TIC Curso de Verano 2012 con los que no se cuenta. Entonces hablamos de redes adaptativas, no estáticas; y de ahí, de riesgo dinámico. Lo fundamental en nuestro modelo es cuantificar el riesgo de cada uno de los elementos de la red y tener en cuenta esto en el colapsado para visualizar un sistema grande con un número reducido de parámetros. Tenemos las tres magnitudes (valor, accesibilidad y anonimidad) y tenemos tres nodos (origen, intermedios y objetivos, que es donde reside el valor). La idea es que si tenemos una red de interconexiones, el valor se debería distribuir de derecha a izquierda, de manera que, tomando el valor considerado en los nodos donde reside esa información, cada uno de los nodos conectados con ellos a través de un único salto o link tendrían, no exactamente el mismo valor, pero sí un valor importante. Y si uno está conectado con uno de los nodos que accede a este que tiene valor, también tendría valor. De alguna forma, el algoritmo empleado corresponde a la exponencial de una matriz, obteniendo un vector de valores que corresponde a la cuantificación del valor que reside en los nodos donde está el valor. Esta idea lo que hace es ir disminuyendo paulatinamente la influencia del valor, según se va difuminando en los sucesivos nodos. Por otro lado, tenemos la accesibilidad. Y la idea es que, partiendo de los nodos que se conectan desde los puntos más alejados de la red y tratan de llegar a los nodos objetivos, la accesibilidad se propaga dando una cierta importancia a los nodos intermedios. Esto viene dado por el mismo algoritmo que funciona en Google. Si uno coloca en un punto un paseante aleatorio, los nodos más importantes son aquellos por los que se pasa. Tenemos dos parámetros, uno para atribuir valor a cada nodo de la red, y otro para la accesibilidad. Nos queda la anonimidad… Víctor Chapela Con respecto a la anonimidad, simplemente la propagamos como la mayor anonimidad. Si hay un acceso desde Internet, simplemente se propaga. Pero vimos que si había un acceso desde Internet, entonces la anonimidad se manifestaba en que cualquier persona en la red interna tenía acceso como si estuviera en Internet y vimos que no era cierto del todo. Además, había otro problema fundamental, desde el punto de vista de normalización de nuestros tres ejes. Los ejes de accesibilidad y valor eran exponenciales y estábamos utilizando escalas logarítmicas. Y ambos se podían relacionar muy bien. Pero la anonimidad es un cambio de fase, es una función sigmoidea. Es la percepción de anonimidad que tiene el atacante potencial, de manera que la percepción del riesgo no es exponencial, cuando en realidad sí lo tenemos. Pensamos que tenemos mucho o poco riesgo, pero en medio… Para solucionar esto, empezamos tratando de definir diferentes perfiles de usuario que podían acceder desde diferentes entornos; y vimos tres entornos que provenían de fuera de la empresa: Internet, la red inalámbrica y los proveedores externos; y luego una DMZ, y un concepto de cajas fuertes, que estaba en una segunda parte de transición.
  23. 23. Curso de Verano 2012 Innovación para la Seguridad TIC Centro de Investigación para la Gestión Tecnológica del Riesgo 21 Entendimos que había dos zonas de transición, que pasábamos de la alta anonimidad hacia la baja anonimidad; y desde bajo valor hacia alto valor, que eran nuestras cajas fuertes. Y empezamos a definir reglas y patrones viendo los roles en cada punto en el área de seguridad y los tipos de conexiones válidas e inválidas. En vez de poner en una función sigmoidea dónde estaba la anonimidad, pensamos que era mejor diseccionarla en capas; e hicimos la valoración de hasta dónde pueden llegar diferentes tipos de usuarios viniendo desde Internet. Así, nos encontramos con doce subcapas de anonimidad, que eran valores diferentes, y que permitían el uso de controles diferentes. En la ley de protección de datos de México quedó formalizado así: priorizando los riesgos por tipo de dato, y luego priorizando los riesgos por entorno; y, después, viendo la propia priorización de los controles. Identificamos cuál era el proceso; y definimos el riesgo por tipo de dato, del uno al cinco (a mayor volumen de datos y a mayor riesgo por tipo de datos, mayor el nivel de control necesario). En el riesgo intencional, que se divide en accesibilidad y amenaza externa; esta se divide a su vez en anonimidad y valor para terceros. De ahí llegamos a lo que llamamos “riesgo latente” en la legislación de protección de datos de México. Está el riesgo por tipo de dato, la accesibilidad, la anonimidad… y, en el caso del valor, simplemente había que disociar y separar el valor. En el caso de la accesibilidad y anonimidad quedaban en un segundo recuadro, donde teníamos cinco tipos de anonimidad, cuatro de ellas reflejadas en grafos: nivel físico, red interna, inalámbrica, de terceros e Internet. Les pusimos un valor concreto a partir de lo que veíamos en las diferentes estadísticas que indicaban dónde se robaba más información, y quedaron diferentes patrones de DMZ a utilizar, controles físicos a considerar, etc. Entonces, una vez planteado el modelado de riesgos de una forma medible, ahora sí podíamos hacer modelado de riesgos de un nodo, que antes no existía. Y dentro de poco ver también cuál es la ruta más fácil, modelar los riesgos. Regino Criado Todo esto, para concluir, se plantea en el tiempo a través de redes evolutivas, redes temporales, redes interconectadas, etc.; centralidad y otros parámetros similares; control de redes, etc. Lo importante es que esta colaboración no solo ha servido para que universidad y empresa hablaran, sino además para brindar herramientas para el modelado. Y para que cada propuesta se retroalimente en pos de la facilidad de uso. Así, entenderemos mejor el riesgo, veremos dónde funciona mejor el cortafuegos, cómo reduce mejor el riesgo un IPS, etc. El riesgo dinámico es todavía lo que nos falta por hacer, aún se está determinando cómo se va a modelar el hackeo. Tenemos muchas ideas, pero aún tenemos que esperar a que tomen cuerpo y establecer conclusiones.
  24. 24. Centro de Investigación para la Gestión Tecnológica del Riesgo22 Innovación para la Seguridad TIC Curso de Verano 2012
  25. 25. Curso de Verano 2012 Innovación para la Seguridad TIC Centro de Investigación para la Gestión Tecnológica del Riesgo 23 uisiera aprovechar mi intervención para hablarles del valor de la inteligencia en seguridad, en un momento en que los ciberdelincuentes están encontrando cada vez con más acierto la forma de entrar en las organizaciones. Pero antes quiero presentarles HP Enterprise Security. HP es conocida en muchos mundos de TI y ahora, tras las adquisiciones de compañías como TippingPoint, Fortify o ArcSight, ha decidido entrar en el campo de la seguridad empresarial con la nueva división HP Enterprise Security, que también está apoyada por nuestra investigación global en seguridad, donde estudiamos la vulnerabilidad, la problemática asociada a aplicaciones de terceros, y las amenazas en tiempo real. Si nos fijamos en Internet y en cómo utilizan las empresas las tecnologías de la información, es importante destacar la existencia de tendencias tecnológicas disruptivas. En los últimos años, hemos visto muchos cambios en la forma de organizar el trabajo. Antes, toda la tecnología estaba dentro del mismo edificio de la compañía; y ahora confiamos en el mundo cloud, en hacer las cosas a medida y el outsourcing, y en el BYOD, entre otras opciones. Y todo ello tiene un innegable impacto en la seguridad. Simon Leach (Director de Preventa para EMEA de HP Enterprise Security) INTELIGENCIA DE SEGURIDAD Y GESTIÓN DEL RIESGO ¿Qué puede hacerte daño de lo que no ves?
  26. 26. Centro de Investigación para la Gestión Tecnológica del Riesgo24 Innovación para la Seguridad TIC Curso de Verano 2012 El mundo cloud En términos de “nube”, una de las grandes inquietudes es quién es el propietario de los datos. ¿Está implícita la responsabilidad sobre aquellos en la subcontratación de servicios en la “nube” o es algo que siempre conserva la propia empresa y no puede delegar? En efecto, ustedes son responsables de su información, esté donde esté. Si su proveedor de “nube” se la roba, usted seguirá siendo el máximo responsable de ella. Y esto es algo que se encuentra en la letra pequeña de los contratos con los proveedores cloud. Por otro lado, hacer las cosas a medida nos lleva a una situación en que, en muchos casos, no sabemos lo que está ocurriendo en nuestra red, porque hay numerosos dispositivos y pueden estar siendo gestionados tanto interna como externamente. Y es que, al final, ¿con cuántas soluciones de seguridad nos estamos midiendo? En el mercado hay aproximadamente un total de 1.200 productos, que no se comunican entre sí. De modo que cuando el producto A ve que algo no funciona bien, no puede comunicárselo al producto B, que, por su cuenta también, ha visto que algo no funcionaba bien. Tenemos un problema de correlación de información. Hemos de establecer algún tipo de métrica para medir lo que realmente es una prioridad de riesgo para nosotros. Y eso se hace evidente cuando vemos cómo ha cambiado la ciberamenaza en los últimos tiempos. Hace unos años, cuando alguien entraba a una web lo que hacía era poner una cara con muecas o algo similar. Y lo hacían estudiantes que querían jugar y hacerse con un nombre. Ahora son profesionales que se mueven por dinero. Que venden información en un mercado negro donde pueden llegar a pagarles unos 300 dólares por cada número de tarjeta. Por otro lado, también estamos asistiendo a una explosión del ciberterrorismo y de lo que se llama “seguridad ofensiva”, en virtud de la cual los gobiernos están invirtiendo en herramientas cuyo fin es poder atacar a sus enemigos. Por ejemplo, se dice que el Pentágono está cambiando de marcha en su ciberestrategia para dotarse de una tecnología capaz de establecer un cortocircuito en cualquier sistema que quisiera atacar al Estado. Todos sabemos también que se escribió un software malicioso para romper la seguridad de las centrales nucleares en Irán. No tenemos datos exactos de las pérdidas producidas, pero se dice que la planta iraní atacada perdió el 20% de su capacidad. Por otro lado, otra de las amenazas a las que nos enfrentamos hoy día son las APT (Advanced Persistent Threat). Y aquí es importante entender lo que es una APT bien construida. Es avanzada porque no se utiliza una única herramienta, sino todas las habilidades de ataque que se sabe que van a triunfar; se pueden utilizar herramientas para entrar, luego para ver los posibles objetivos, y después para apoderarse de ellos definitivamente. Es persistente porque está dirigida contra organizaciones específicas y no parará hasta obtener lo que quiere. Y es una amenaza porque alguien está haciendo esto con el objetivo de producir un daño.
  27. 27. Curso de Verano 2012 Innovación para la Seguridad TIC Centro de Investigación para la Gestión Tecnológica del Riesgo 25 En realidad, esto de las APTs empezó realmente como un ejercicio gubernamental, con un proyecto del año 1997 llamado “eligible receiver”, financiado por el gobierno . El objetivo era atacar 36 redes gubernamentales con las herramientas disponibles. Los resultados hicieron que el gobierno de EE.UU. despertara y pensara en ello seriamente. En 1998 tuvimos otra APT. Aquí descubrieron que tres hombres habían entrado en la red del Pentágono para robar información. Y aquello fue una señal de alerta para los gobiernos de todo el mundo. Y entonces se pasó del espectro gubernamental a otros posibles escenarios de ataque, como la red eléctrica. Alguien comentaba hace poco que los chinos tienen acceso a las redes de energía de todo el mundo, y que podrían pararlas con solo apretar un botón. Piensen un momento en esto. En este contexto, mi ataque favorito es Google Aurora. No se ha comprobado, pero se sugirió que aquello empezó con un grupo de hackers chinos que entraron en la red de Google para robar algunas de sus fuentes. Lo hicieron porque Google estaba teniendo problemas en China y querían copiar su fórmula para tener un motor de búsqueda similar. Entonces entraron en Google utilizando una vulnerabilidad no revelada en Internet Explorer. Si Google hubiera usado su propio navegador (Google Chrome) en lugar de Internet Explorer, Google Aurora no hubiera ocurrido nunca, porque nadie hubiera podido usar esa vulnerabilidad con el navegador Chrome. Si yo le preguntara a alguno de ustedes si ha sufrido un ataque, nadie levantaría la mano; y, sin embargo, el 25% de las compañías con las que hemos hablado en los últimos doce meses han experimentado un ataque o violación de sus datos. Y a veces ni siquiera son conscientes. Un asesor del gobierno americano dice muy claro que casi todas las compañías de EE.UU. han sido atacadas por el gobierno chino. Impactante. Patrón común de ataque Pero, ¿qué tienen en común estas compañías? ¿Google, una planta de procesado de uranio y el resto de los ataques conocidos? Todas han sido atacadas en los últimos 20 meses con un patrón común: mediante la explotación de vulnerabilidades de día cero, para lo que aún no tenemos una forma eficaz de protección. De manera que las compañías tienen complicado protegerse contra algo frente a lo que aún no hay remedio. Fijándonos en el patrón común de ataque, el atacante primero identifica dónde quiere entrar y qué quiere atacar, y comprueba que puede hacerlo con vulnerabilidad de día cero. De ser así, no podremos pararle. Una vez dentro, el atacante tendrá acceso privilegiado a activos críticos, hará barrido de la red, etc. Lo puede hacer poco a poco, no de manera inmediata, para despertar menos sospechas. Para, finalmente, empezar a robar información. Para comprender cómo puede llegar a ocurrir esto, hay que entender antes cuáles son los pasos previos que conducen a esta situación. ¿Qué ocurre justo antes de que se produzca un ataque, o en sus inicios? Pondremos el siguiente ejemplo: una organización recibe una petición
  28. 28. Centro de Investigación para la Gestión Tecnológica del Riesgo26 Innovación para la Seguridad TIC Curso de Verano 2012 de acceso remoto a su red y un empleado recibe un correo en este sentido desde China. Se envía una notificación, pero nada más. Al día siguiente, a primera hora, el empleado abre el correo y parece proceder de alguien conocido, y abre el archivo adjunto. Entonces se instala un acceso remoto en el sistema y se envía la notificación a la misma dirección de China. Dos horas después, la CPU del servidor va más allá y desencadena una alerta. Tras unos minutos desaparece y, de este modo, el potencial ataque es ignorado. Al mismo tiempo, pero nadie lo relaciona, se produce también un incremento en la actividad de la red, pero vuelve a la normalidad tras unos minutos, y entonces también se ignora. Así, el administrador de red, que ve mucho tráfico de salida, no se percata de la verdadera alerta. Unos días después la información de la base de datos de esta compañía está en Facebook. ¿Qué ha ocurrido? En realidad, el cliente estaba haciendo las cosas bien. Tenía herramientas de seguridad actualizadas, monitorizaba los servicios, etc.; pero faltaba la correlación necesaria entre todos estos avisos e informaciones. Aunque tengamos las mejores herramientas del mundo, si no correlamos la información no tendremos suficientes indicios para saber qué está ocurriendo realmente. La información es la clave. Tenemos que comprender los puntos débiles que hemos heredado, las debilidades que hemos creado, y las que podemos utilizar. Y asegurarnos de que nuestra inteligencia de seguridad está funcionando. Tenemos que entender las debilidades. Todos tenemos aplicaciones de terceros, servidor de red, bases de datos… y cada una de las aplicaciones va a tener una vulnerabilidad. Vulnerabilidades en código Las investigaciones sobre la calidad del desarrollo de software muestran que hace 10 años se producían una media de 40 errores cada 1.000 líneas de código, y hoy en día, gracias a los avances en el desarrollo de software y el empleo de metodologías, esta cifra se ha reducido a 4 errores por 1.000 líneas de código. Considerando que un teléfono móvil iPhone tiene 13 millones de líneas de código, un Android tiene 15 millones, Windows XP 60 millones, los errores en el código provocan un alto grado de potenciales vulnerabilidades. Además, aunque ha habido en los últimos años una disminución en el número de vulnerabilidades, la gravedad de las mismas está aumentando. Por ejemplo, en 2006 el porcentaje de vulnerabilidades con nivel 8 o mayor era aproximadamente del 26%, sin embargo ahora es de un 37%. Es decir, las vulnerabilidades se están haciendo más críticas. Llegados a este punto, hay que destacar que únicamente el 1,3% de las vulnerabilidades está siendo identificada por el mismo fabricante, mientras que más del 90% lo es por terceros. Es decir, que hay mucha inteligencia en la red. En este contexto, la forma en la que este mercado ha empezado a enfrentarse a estas vulnerabilidades en los productos es a través del lanzamiento de los programas denominados
  29. 29. Curso de Verano 2012 Innovación para la Seguridad TIC Centro de Investigación para la Gestión Tecnológica del Riesgo 27 Vulnerability bounty program. Los investigadores independientes encuentran un problema en una aplicación comercial y se la comunican al fabricante, y este les paga un dinero. De manera que esta dinámica funciona como un incentivo para encontrar vulnerabilidades en los productos. Desde HP Tipping Point, en 2005, lanzamos la iniciativa Día Cero, que venía a ser la primera entrega de un programa de este tipo. Con ello intentamos sacar la vulnerabilidad del mercado negro, ayudando al proveedor a solucionar su problemática más rápidamente; y, de paso, brindamos a nuestros clientes una protección proactiva. Vulnerabilidades en software propio Vista la necesidad de tomar partido en la resolución de las vulnerabilidades asociadas al código del software, el segundo punto a tener en cuenta sería el de las debilidades que nosotros mismos creamos cuando desarrollamos soluciones propias para dar servicios a nuestros clientes. La desventaja de estas iniciativas es que no hay nadie que monitorice los parches de vulnerabilidades de los sistemas, no hay nadie detrás de esas aplicaciones. Por eso es también menor el número de vulnerabilidades reveladas en estos ámbitos. Pero las vulnerabilidades aumentan y la razón es que no hay parches para solventarlas. Los atacantes conocen esta situación, esta falta de monitorización y están cambiando también los patrones de ataque para dirigirse con más frecuencia hacia estos software a medida. En HP hicimos un estudio entre más de 1.000 clientes, y el 73% de ellos declaró haber tenido una vulnerabilidad de SQL en su código. En el sector financiero, solo un 8%. Por otro lado, también hay que destacar las prácticas basadas en la compra de vulnerabilidades para poder entrar en la red de los competidores, por ejemplo. Hay gente especializada en vender a las organizaciones acceso a vulnerabilidades únicas sin parche de su competencia. Desgraciadamente, hoy las herramientas de seguridad no son perfectas. ¿Cuántas herramientas hay en una gran organización? ¿60? ¿70? Son muchas herramientas distintas, que aunque fueran las mejores posibles, hay luego que confiar en que las personas que trabajan con ellas comprendan perfectamente la información que les va llegando y cuenten con un proceso adecuado que les permita recrear eventos. Al final, un SOC es mucho más que tecnología; son también personas y procesos. Internet: distintos niveles de maldad Como conclusión, diría que tenemos que comprender que ya no hay “buenos” en Internet; sino distintos niveles de maldad. Cualquiera en un momento dado puede ser un adversario. Además, los controles legacy no serán capaces de mantenerse completamente al día. Y, al mismo tiempo, hay que comprender el potencial de vulnerabilidades que tenemos, siendo capaces de convertir todo esto en inteligencia de seguridad; y compartir esta información con los
  30. 30. Centro de Investigación para la Gestión Tecnológica del Riesgo28 Innovación para la Seguridad TIC Curso de Verano 2012 directivos de todos los niveles de la organización, de manera que cuando se produzca un problema sea comprendido a distintos niveles, entendiendo el impacto en la empresa. Porque, ante compañías que han sido atacadas, la diferencia está, muchas veces, en cómo se ha reaccionado al ataque. El objetivo es tratar el ataque de manera proactiva. HP EnterpriseView ¿Y cómo aborda HP todo esto? Desde nuestro punto de vista, hay que dejarse guiar por las necesidades del negocio; y ser capaces de ver más allá de las herramientas de seguridad, integrando la información corporativa con todas las operaciones del negocio. Tras las adquisiciones de Fortify, TippingPoint, etc. hemos empezado a alimentar toda esa información en un único punto, en una herramienta que se llama HP EnterpriseView, y que está diseñada para ser una especie de panel de mandos de una organización. Si se nos pregunta por qué nuestra propuesta es diferente de otras, diría que porque también la hemos integrado en otras partes de la infraestructura, tomando información igualmente desde la perspectiva del cumplimiento de seguridad. Tomamos información de otras soluciones propias, como Business Services Monitor (BSM), y empezamos a combinarla con herramientas de vulnerabilidad para entender cómo esto se relaciona con la posición de gestión de riesgos de la organización.
  31. 31. Curso de Verano 2012 Innovación para la Seguridad TIC Centro de Investigación para la Gestión Tecnológica del Riesgo 29 i recuerdan, cuando éramos pequeños nuestra madre siempre nos decía “hijo, lávate las manos antes de comer”; y aunque ahora parece evidente hacer eso frente a los gérmenes, no siempre ha sido así. En el año 1864, cuando Luis Pasteur expuso en la Universidad de la Sorbona la existencia de unos pequeños agentes capaces de matarnos era impensable que algo que no veíamos pudiera acabar con nuestra vida. Pero Pasteur demostró la existencia de estos gérmenes haciendo en la Sorbona la presentación más innovadora de todos los tiempos. Llevó una especie de Power Point e hizo experimentos en la misma sala con los cultivos de gérmenes y bacterias. Y desde aquel éxito se salvaron cientos de miles de vidas solo porque los médicos empezaron a lavarse las manos antes de las operaciones. Nosotros no luchamos contra gérmenes y bacterias, pero sí luchamos contra los “malos” del mundo virtual, y sería una lástima que por culpa de una mala presentación nuestro mensaje no llegara a la audiencia. Es lo que se llama “muerte por Power Point”, porque muchas veces se termina predicando solo delante de cuerpos porque la mente se ha ido ya de la sala. Tenemos que ver cómo podemos innovar con las presentaciones. Porque si nos importa innovar en nuestros negocios, ¿por qué no innovar también con las presentaciones? Gonzalo Álvarez Marañón (Científico, escritor y conferenciante) SI INNOVAS EN TU NEGOCIO, ¿POR QUÉ NO INNOVAR EN TUS PRESENTACIONES?
  32. 32. Centro de Investigación para la Gestión Tecnológica del Riesgo30 Innovación para la Seguridad TIC Curso de Verano 2012 Sí podemos Algo que suele sorprender mucho es ver a un ingeniero de telecomunicaciones como yo, doctorado en informática, haciendo cursos de cómo hablar en público. Y aquí está la verdadera trampa: pensar que alguien con esta titulación no está capacitado para dar un curso. Y lo que hacemos es invertir el argumento y pensar que nosotros no estamos capacitados parar hacer buenas presentaciones. Y ahora les pregunto, y levanten la mano… ¿Cuántos de ustedes saben dibujar? ¿Cuántos saben bailar? ¿Cuántos saben cantar? Muy pocos levantan la mano… Piensen en qué ocurriría si se lo preguntáramos a niños de cuatro años. Todos dirían que sí, sin vacilación. El error está en que ustedes piensan que hay que pintar como un pintor profesional, en vez de simplemente pintar. Les propongo que dibujen un coche, y veamos hasta qué punto todos podemos expresarnos con un dibujo. Con las presentaciones ocurre igual, que queremos hacer presentaciones perfectas, como cuando hablamos de dibujar o bailar; y no se trata de eso. Se trata de hacer una buena presentación para que la gente se lleve nuestra idea a su casa, porque el problema de las presentaciones mediocres es que son invisibles, pasan sin pena ni gloria. Si hacemos una representación gráfica con una campana de Gauss humana [el conferenciante pide 10 voluntarios para hacerla y coloca en los extremos a los más bajitos], vemos que el 10% del extremo de la derecha son las presentaciones horribles, y el otro 10% del otro extremo, las presentaciones sublimes; y que el 80% restante (todo lo que está en el medio) aglutina a las presentaciones mediocres. Afortunadamente, hay un 10% de presentaciones extraordinarias, que consigue transformar a la audiencia, motivarla; y hacia ahí nos tenemos que mover. Hay que olvidarse de seguir los mismos patrones, lo que todo el mundo hace; porque eso son solo resultados normales: mediocres. Aunque, eso sí, dejar la zona de confort implica un riesgo, ya que todos sabemos que la línea que separa la excelencia del ridículo es muy delgada. LOS 3 OBJETIVOS DE TODA PRESENTACIÓN Con independencia de su propósito –informar, persuadir, etc.–, toda presentación persigue siempre tres objetivos: conectar con la audiencia; captar, dirigir y mantener la atención; y fomentar la comprensión y el recuerdo. Vamos a analizar las implicaciones de cada uno de ellos y ver qué técnicas podemos utilizar para lograrlos; algunas antiguas, como la retórica de Platón, y otras más modernas. Conectar con la audiencia Esta conexión con la audiencia lo será a distintos niveles. Básicamente, hablaremos de tres: conexión intelectual, emocional y ética. La conexión intelectual toma la premisa de que el nivel de conocimientos es similar entre el
  33. 33. Curso de Verano 2012 Innovación para la Seguridad TIC Centro de Investigación para la Gestión Tecnológica del Riesgo 31 ponente y su audiencia, hay un vínculo entre lo que yo sé y lo que la audiencia sabe. Aquí vamos a hacer otro ejercicio. Necesito un voluntario que tamborilee una serie de temas musicales con los nudillos de la mesa para que los demás los adivinen. Ven que es difícil reconocerlo así; pero cuando compartimos el nombre de la melodía ya la reconocen. ¿Qué ocurre con las presentaciones? A veces, tenemos un conocimiento que la audiencia no comparte, lo que en psicología se llama “la maldición del conocimiento”, y lo que hay que hacer es reducir esa distancia y ponerse en el lugar de aquellos que no saben tanto como nosotros. La conexión emocional habla de nuestra disposición, de nuestras emociones hacia la audiencia. Todos sabemos cuál es el resultado si hago mi ponencia desde la superioridad y el desprecio. Por eso, se debería mostrar siempre una apertura, demostrar que estás satisfecho de estar donde te encuentras. Es muy simple: si quieres impresionar a la audiencia, háblales de tus logros; pero si quieres conectar con ellos, háblales también de tus fracasos y tus luchas. Por supuesto, también has de tener fe en tu público, creer en ellos y en sus posibilidades. Y todo ello aderezado con una forma de hablar capaz de trasladar pasión a la audiencia, porque cómo van a creer los demás lo que ni tú mismo te crees. Llegamos ahora a la conexión ética: cómo te ha transformado lo que estás contando. Tienes que haber vivido los cambios de los que hablas, si no es muy poco creíble. No puedes hablar de algo que tú no has experimentado. Aristóteles decía en su Retórica que “la credibilidad nace del equilibrio entre la lógica y la emoción”; y lo que suele ocurrir en las presentaciones, especialmente en las técnicas, es que los contenidos y argumentos suelen estar escorados completamente hacia la lógica. Es interesante en este punto el descubrimiento que hicieron Kahneman y Tversky al desarrollar la denominada “Teoría de las perspectivas”, según la cual los seres humanos tomamos las decisiones primero de manera emocional, para luego justificarlas a nivel racional. Por ejemplo, primero eliges al candidato para un puesto de trabajo en concreto por la sensación que te ha causado, y luego revisas el currículo. Para conectar con la audiencia tienes que saber cuál es su ADN: su actitud y resistencia –si es gente con mucho interés por el tema, si les han “obligado” sus empresas, etc.–; la demografía –no es lo mismo hablar a una persona que a 500, ni a ingenieros de telecomunicaciones que a abogados–; su conocimiento del tema, su posicionamiento con respecto a él –no es lo mismo hablar a padres que a hijos, aunque sea el mismo tema–, etc. Y en función de todo eso, adaptar el discurso. Por ejemplo, si nos encontráramos con una alta resistencia, algo que suele funcionar muy bien es la “aversión a la pérdida” –por ejemplo, decir algo así: “si no instalas esta herramienta, tu sistema se caerá”–. Para demostrar esto, hagamos un juego. Si les digo que les ofrezco la elección entre ganar 500 euros seguros o 1.000 bajo la posibilidad de cara/cruz, ¿cuántos de ustedes preferirían 500 euros en mano? Nos produce más satisfacción dejar de perder una cantidad que ganar esa cantidad idéntica.
  34. 34. Centro de Investigación para la Gestión Tecnológica del Riesgo32 Innovación para la Seguridad TIC Curso de Verano 2012 Por otro lado, un error pedagógico nefasto es lanzar nuestras respuestas a la audiencia como si fueran piedras, antes de haber escuchado sus preguntas; porque, al final, en una presentación, lo que la audiencia busca es que le resuelvan un problema, una inquietud. Visto todo esto, vamos a hacer un ejercicio de autopresentación, qué cuentas de ti cuando conoces a alguien. Si se ponen por parejas y durante 30 segundos se cuentan el uno al otro quiénes son y qué hacen… ¿cuántos de ustedes han tratado de reconocer la necesidad del otro y se han presentado para ayudarle a resolver un problema? En nuestras presentaciones decimos, por ejemplo, que “me dedico a hacer auditorías”, y dejamos que el otro infiera para qué le sirve a él esto que yo hago. Pero si metéis en la frase “yo me llamo… y ayudo a… a lograr…”, todo cambia. Yo, por ejemplo, me presento así: “ayudo a que personas, directivos, ingenieros, emprendedores, etc., le cuenten al mundo sus historias, las que llevan dentro del corazón, y a inspirarles para transformar a otros para un cambio a mejor”. Preséntense ahora así, a ver qué cambia. Captar, dirigir y mantener la atención En este segundo objetivo nos topamos con una mala noticia: la curva de la atención. Al principio de la presentación tenemos el 100% de la atención; y, a medida que avanzamos, aquella disminuye, para luego perderse casi totalmente. Si decís “para terminar”, terminad. Si quisiéramos adaptarnos a la curva de atención de la audiencia, lo que tendríamos que hacer es decir lo más importante al principio y no al final. Si hacemos un experimento y les pongo una lista con una serie de palabras, ¿cuántas recordarían? La mayoría recuerda las palabras del principio… pero, ¿qué pasa con las del centro? Hecha esta comprobación, ¿cómo conseguimos reanimar esa atención en medio de la ponencia? Básicamente, podemos hacer cuatro cosas: recurrir a las afirmaciones –lo que digo, “el iPhone es superior al…”, por ejemplo–; a las evidencias (ya sean lógicas o emocionales); a las ilustraciones –historias, anécdotas, testimonios, vídeos, fotografías, etc.­–; y, por supuesto, a la participación de la audiencia, para que no sea un envío de información unidireccional. En este último caso, podemos hacer preguntas, proponer juegos para confirmar alguna idea, etc. En definitiva, no hay temas aburridos, sino presentaciones aburridas. Así las cosas, resulta importante captar la atención de la audiencia al momento, con un pistoletazo. Con algo que atraiga su atención de inmediato. Aquí podríamos hablar de cuatro mecanismos: utilizar una anécdota o una metáfora para dar solidez a nuestra idea; hacer una pregunta a la audiencia; utilizar unos datos o estadística no conocidos hasta el momento, o hablar de un hecho sorprendente; y, desde luego, cuidar el diseño de nuestras transparencias. En este último aspecto, si analizamos algunas transparencias, vemos mucho espacio desaprovechado, y quizá podríamos poner algo divertido en alguno de ellos. Y es que aquí hay algo muy importante a tener en cuenta: ¿para
  35. 35. Curso de Verano 2012 Innovación para la Seguridad TIC Centro de Investigación para la Gestión Tecnológica del Riesgo 33 quién se hacen las transparencias? ¿Para ustedes o para la audiencia? Para ustedes han de ser tan solo un comodín, son expertos en el tema de que se trate y no necesitan un recordatorio exhaustivo con transparencias llenas de texto, porque si no ¿para qué están ahí? Lo que podríamos hacer, para de verdad llevar a cabo presentaciones para el público, es, por ejemplo, segmentar el contenido –si usan fotografías de pantalla completa, no utilicen fotos recurrentes, utilicen la imaginación; si utiliza una transparencia llena de texto y muy liada, ¿qué mensaje transmites–; o también enmascararlo en formas creativas – viñetas, exponer los puntos clave como un puzzle que se va armando, explotar las posibilidades del audio, etc.–. Al final, una conclusión en este punto: utilicen una sola idea por transparencia, porque si no parecerá que están sometiendo a la audiencia al juego de buscar a Wally. Fomentar la comprensión y el recuerdo Llegamos al último punto. Aquí es importante tener nociones básicas de cómo funciona nuestro cerebro. En psicología cognitiva se dice que hay tres tipos de memoria: memoria sensorial, que recuerda solo 3 ó 4 elementos; memoria de trabajo o corto plazo; y la relativa a largo plazo. Con todo, la segunda también permite recordar secuencias más largas, pero troceadas. Por ejemplo, nos sabemos nuestro número de teléfono o nuestro DNI porque recordamos los números agrupados: de dos en dos, de tres en tres, pero no número por número. De todo ello derivamos la importancia que tiene una buena estructura a la hora de facilitar el recuerdo y la comprensión. No basta seleccionar las ideas, hay que ponerlas en orden, y en un orden que facilite también su comprensión. Si le doy a la audiencia 100 ideas, recordará 3 ó 4; y si le doy 3 ó 4 recordará justo lo que le estoy dando. De modo que hay que reducir el número de ideas a tres, y luego organizarlas bien. No es necesario poner toda la información en la presentación. Lo que suele ocurrir es que, por querer contarlo todo, al final no se llega a nada. Cuanta más información demos, menos le llegará a la audiencia. Imaginad que este triángulo que tenemos aquí dibujado encuadra toda la información que manejamos para la presentación. En la parte más cercana del vértice estará lo más interesante de la información que queramos transmitir, lo que más seduzca para captar su interés, y lo que fomente el deseo de buscar más de esa información. Se trata de abrir la puerta a un interés mayor. Si les hemos transmitido bien nuestra idea, y el interés les ha llegado, podremos indicarles dónde buscar más información al respecto para ampliar sus conocimientos. Y puede ser en una wiki, en un manual, en libros que puedo repartir, en documentos que puedo también repartir, o colgar en Internet, etc. Muchas veces no es lo más importante dar todos los detalles del producto, porque no interesan. Suele ser mucho más impactante mostrar, como hacía Steve Jobs con sus creaciones, lo extremadamente delgado del producto, por ejemplo. Apelar a la emoción. En definitiva, les animo a que piensen más en sus presentaciones, a que les den una vuelta,
  36. 36. Centro de Investigación para la Gestión Tecnológica del Riesgo34 Innovación para la Seguridad TIC Curso de Verano 2012 a que sean conscientes de que decir lo mismo con otras palabras puede tener un resultado completamente distinto. Reformulen su mensaje. Piensen qué pueden lograr sus presentaciones, como Pasteur hizo con la suya logrando salvar millones de vidas… Quizá no tanto cómo pueden salvar vidas, pero sí cómo pueden cambiar la vida de algunos. Acabo con esto: una presentación puede cambiar el mundo, de modo que innoven todos ustedes en sus presentaciones. No dejen de innovar.
  37. 37. Curso de Verano 2012 Innovación para la Seguridad TIC Centro de Investigación para la Gestión Tecnológica del Riesgo 35 FERNANDO ESPONDA Celebro poder hablar del proyecto conjunto realizado entre Sm4rt y BBVA, porque es importante e inspirador encontrar compañías que sigan dedicando esfuerzo a la investigación. Para sumergirnos en nuestro proyecto de predicción de fraude con tecnologías innovadoras, lo primero que tuvimos que plantearnos fue cuáles eran las problemáticas de fraude en tarjetas de crédito. Y encontramos dos: una, hacer corresponder una tarjeta con un único cliente; y dos, tener una sola copia de una tarjeta. La primera se solventa utilizando o documentos como el DNI o el PIN del cajero; y la segunda, incorporando chips o bandas magnéticas a las tarjetas. No obstante, no siempre se hace un buen uso de la tecnología y cada vez crecen más las transacciones no presenciales; de manera que, ¿cómo nos aseguramos de verdad de que quien hace la transacción es, de verdad, la persona legítima? Llegados a este punto, la respuesta podemos encontrarla en el escenario de los patrones de uso y comportamiento, que nos pueden decir si las actitudes detectadas se corresponden a las habituales del titular de la tarjeta. Y aquí tendríamos dos modelos: los llamados artesanales, basados en reglas –“si pasa esto, interpreto que es fraude”–; y los modelos Fernando Esponda (Director de Investigación de Sm4rt Predictive Systems) Luis Vergara (Catedrático del Departamento de Comunicaciones de la Universidad Politécnica de Valencia) PREDICCIÓN DE FRAUDE CON TECNOLOGÍAS INNOVADORAS
  38. 38. Centro de Investigación para la Gestión Tecnológica del Riesgo36 Innovación para la Seguridad TIC Curso de Verano 2012 automatizados, que se basan en algoritmos. Los primeros son necesarios, pero no suficientes, puesto que hay que considerar también patrones que no son intuitivos, patrones que muchas veces ni el propio sujeto conoce y patrones que requieren muchos datos e implican demasiados logs; por lo que se necesita un algoritmo. Técnicas para un modelo automatizado Para generar un modelo automatizado de detección de fraude se utilizan algunas técnicas –redes neuronales, árboles de decisión, etc.– con la intención de encontrar patrones en los datos. Algo que se consigue analizando los registros de información de las tarjetas: montante de la operación, lugar de compra, fecha, etc. No obstante, cada técnica tiene suposiciones distintas de qué es un patrón relevante, de tal manera que una vez que se hace efectivo un modelo basado en una tecnología concreta se obtiene un cierto tipo de patrones y se ignoran otros. Además, un único modelo no es capaz de identificar todos los modos de defraudar; sin olvidar que los propios defraudadores terminan aprendiendo cómo evadir la detección de sus acciones. Teniendo en cuenta todo esto, y visto que una parte de los modelos actuales se basan en la misma tecnología, la premisa de la que partió nuestra investigación fue la de corroborar si modelos basados en tecnologías diferentes encontraban cosas diferentes. Y en base a esto, dos eran los objetivos: encontrar una tecnología totalmente innovadora para un modelo de detección de fraude –cómo combinar la tecnología para que resultara un modelo más completo–; y conseguir que no redundara en una sustitución de lo que ya se tiene, sino que fuera un complemento de las propuestas existentes. Cuatro tecnologías Según nuestros estudios, nos encontramos con cuatro tecnologías innovadoras (sistemas inmunes artificiales, bases de datos negativas, grafos y memorias jerárquicas temporales). En nuestro proyecto nos decantamos por la última de ellas y apostamos en este sentido por la tecnología que comercializa la firma Numenta, que había desarrollado unos algoritmos a modo de red neuronal, basados en el funcionamiento del neocortex, pero que ponía énfasis en encontrar patrones temporales de los datos. Nos encontramos, pues, con una combinación automatizada de aprendizaje supervisado y no supervisado. Esta última viene a decir que la fase de observación de los datos no se fija tanto en las categorías de “fraude” o “no fraude”, sino que simplemente trata de encontrar alguna regularidad en ellos. Después, la parte supervisada toma esos patrones hallados anteriormente, y los etiqueta. Lo interesante de la solución de Numenta es que encuentra similitudes espaciales en los datos; y luego, entre ellos, trata de encontrar similitudes temporales. Con nuestro modelo de detección de fraude, sustentado en la tecnología de Numenta, conseguimos probar nuestra premisa inicial: concluimos que utilizar una tecnología novedosa funciona, y que al aumentar las opciones sí se
  39. 39. Curso de Verano 2012 Innovación para la Seguridad TIC Centro de Investigación para la Gestión Tecnológica del Riesgo 37 consiguen detectar patrones de fraude. Así que la primera parte del objetivo, cumplida. Pero aún faltaba alcanzar el segundo objetivo; a saber: hasta qué punto son diferentes estos patrones que se encontraban con respecto a los de técnicas tradicionales, como redes neuronales; y cómo combinarlos para obtener algo mejor. Definir y medir la diferencia Para comprender exactamente qué es ser diferentes, primero necesitábamos una definición y después una medida que lo pudiera cuantificar. La definición que encontramos fue esta: para un conjunto de datos, la diferencia está en un modelo que califique cierto subconjunto de esos datos mejor que el otro modelo. En cuanto a cómo cuantificar esa diferencia, el número que buscamos ha de ser mínimo cuando un modelo subsuma al otro, cuando sea mejor que el otro; y nos gustaría que fuera máximo cuando, exactamente en la mitad de las transacciones, un modelo sea mejor que el otro. Y es que el índice de complementariedad tiene que ver con el lugar donde se cruzan las líneas de la gráfica entre la calificación y la calidad de la clasificación; viendo qué transacciones quedan a un lado y qué transacciones quedan al otro. El punto máximo tiene lugar cuando uno de los modelos es mejor que el otro, exactamente en la mitad de las mediciones. En esencia, se parece mucho a la medida de información de Shannon. Una vez hecho esto, lo que hicimos fue fusionar las calificaciones de los distintos modelos y obtener una calificación final. Lo que nosotros hicimos fue dividirlo en “fraude” y “no fraude”. Y resultó que sí es cierta la premisa de que tecnologías con patrones diferentes encuentran cosas diferentes. Y sí sirve de algo combinarlas. En realidad, encontramos una manera de poder mezclar modelos para aprovechar la fortaleza de ambos. Con todo, es una investigación que continúa, a la búsqueda de mejores resultados. LUIS VERGARA Por mi parte, voy a describir la plataforma in-Fusion, que estamos desarrollando en la Universidad Politécnica de Valencia en nuestro Grupo de Tratamiento de Señal, dentro del Instituto de Comunicaciones y Aplicaciones Multimedia; y que aplicamos, entre otras cosas, al proyecto conjunto con el Grupo BBVA para la detección de fraude. Siendo el objetivo la detección de operaciones fraudulentas con tarjeta bancaria, y empezando por el tema de reconocimiento de formas aplicado a la detección de fraude, nos adentramos en las dificultades asociadas al uso de tarjetas en diferentes modalidades. En este sentido, cada vez que se usa una tarjeta, quedan registros grabados, y a partir de esa información, una máquina debe decirnos si estamos en presencia o no de un posible fraude. En este contexto, entraremos un poco más en detalle para ver cuál es el problema general, la aplicación concreta, lo que entendemos por
  40. 40. Centro de Investigación para la Gestión Tecnológica del Riesgo38 Innovación para la Seguridad TIC Curso de Verano 2012 forma, etc.; para a partir de esa información tomar una decisión entre un conjunto de decisiones posibles. En el asunto de la aplicación de detección de operaciones fraudulentas con tarjeta bancaria, la forma inicial está constituida por ese registro de información tras la transacción (montante de dinero, fecha y lugar de la operación, etc.), y con ello decidiremos si es un fraude o no. Y matizando un poco más, dando una calificación que, unida a la propia experiencia del operador, permitirá autorizar o no la operación. Tres etapas Todo proceso de reconocimiento de formas tiene tres etapas. En la primera se mide el entorno y se obtienen los datos de registro de cada transacción con tarjeta, lo que redunda en la obtención de un conjunto de números, que después utilizará la máquina. Y habrá que discriminar en función de la utilidad de la información, y de su redundancia; al tiempo que se reduce la dimensión de la muestra. En la segunda etapa, que es el núcleo fundamental del reconocimiento de formas, se generan los scores, o notas/puntuaciones, que representan la probabilidad de que haya fraude. Será un número entre 0 y 1. Y, finalmente, llega la etapa tres, la de umbralización, donde decidimos dónde ponemos el umbral para la generación de una alarma, cuyo aviso se recibirá con el score asociado. Es, entonces, cuando también se genera la problemática asociada al aprendizaje de la máquina para generar puntuaciones y definir el umbral. Al final, lo que tendremos es una forma con dos partes (“fraude” y “no fraude”), de manera tal que cuando llegue una transacción cae en una de las dos regiones. En esencia, considero que todos los procedimientos de los que disponemos actualmente para catalogar con las máquinas, pueden hacerse dentro de estas tres opciones, y sus posibles combinaciones: la densidad de población de cada tipo o densidad de probabilidad; la distancia a valores representativos de cada tipo; y la distancia a una cierta frontera de separación, donde se obtienen resultados en función de lo lejos o cerca que se quede de la frontera. Fusión de detectores Por otro lado, también quisiera mencionar cuatro aspectos significativos en este ámbito: cómo elegimos el conjunto de las formas etiquetadas para el aprendizaje; cómo se va cambiando con el entorno y las modificaciones en la medida de densidad de población; cómo se define la función objetiva a minimizar; y qué filosofía elegimos para fusionar detectores, que nos permitan partir de detectores más simples, entrenados fácilmente, y convertirlos en uno más sofisticado por su unión. En el caso de la detección de fraude, al tener la misma entrada (el registro de las transacciones), podemos hacer fusión en cualquier nivel. Concretamente, teniendo dos detectores, podríamos hacer fusión soft, si fusionamos los scores de ambos para tener una única puntuación; y fusión hard, si lo que fusionamos
  41. 41. Curso de Verano 2012 Innovación para la Seguridad TIC Centro de Investigación para la Gestión Tecnológica del Riesgo 39 son las decisiones de ambos detectores, en lo que llamamos “algoritmo de fusión hard”. Si los detectores son homogéneos, igual de fiables e independientes estadísticamente, los algoritmos son sencillos; no así si unos son más fiables que otros. Pero, ¿por qué puede interesar hacer fusión? Porque al juntarse ambos detectores tendremos la oportunidad de hacer una operación que cualquiera de ellos sería incapaz de hacer por su cuenta; y así conseguiremos operaciones complejas. Fusión soft, mejor que hard Si hacemos simulaciones de fusiones, asumiendo independencia de los scores bajo ambas hipótesis, fraude y no fraude, nos encontramos con que la fusión soft, y sobre todo la función soft optimizada, siempre será mejor que la hard, porque cuanto más tarde perdamos información y hagamos la parte de umbralización, mucho mejor. No obstante, la soft es más complicada de diseñar que la hard, puesto que manejar 0 y 1 es más sencillo que manejar números continuos entre 0 y 1. Luego tendríamos las curvas ROC, que representan la probabilidad de detección en función de probabilidad de falsa alarma. En estas curvas, cuanto más arriba quede la falsa alarma mejor es el detector. Hemos hecho estas curvas ROC para todos los detectores: los individuales, los fusionados de forma óptima tipo soft, los fusionados de forma óptima asumiendo independencia estadística y la fusión hard. Los individuales quedan por debajo tanto de la fusión hard como de la fusión soft y de la fusión soft óptima –coincidiendo esta última con la fusión asumiendo independencia, porque había independencia–. Lo que esto demuestra es que es bueno hacer fusión, porque tanto en hard como en soft se mejora el comportamiento que cada detector tenía por separado. Y en este caso, si podemos, lo mejor es hacer una función soft, porque es la curva que mejor sale, la que para una probabilidad de falsa alarma nos da la máxima probabilidad de detección. Por otro lado, bajo la hipótesis de que no hay fraude, sigue habiendo independencia estadística; mientras que en caso contrario la figura que muestra la separación de las poblaciones tiende a ser más una elipse y no una forma más redondeada –la dependencia estadística tiende a ir achatando los círculos para convertirlos en elipse. Esto sería el funcionamiento de un detector individual. Vemos el óptimo de fusión soft, asumiendo independencia; y el de la fusión hard, que es el mismo que antes aunque haya dependencia. Como la fusión hard no tiene tanta flexilbilidad, no hay tanta diferencia entre dependencia e independencia; pero, curiosamente en este caso, da la sensación de que la fusión hard (es decir, primero umbralizar y después fusionar decisiones) se ajusta mejor que la función soft asumiendo independencia, y se parece bastante a lo que sería óptimo. Paralelamente, en el ejemplo contrario, que tenga dependencia estadística bajo la hipótesis de no fraude, se significa que cuando no hay fraude los dos detectores vienen a decidir más o menos lo mismo; mientras que cuando hay fraude se
  42. 42. Centro de Investigación para la Gestión Tecnológica del Riesgo40 Innovación para la Seguridad TIC Curso de Verano 2012 comportan de manera más independiente, así que aquí, una fusión hard óptima puede resultar una opción a valorar, a pesar de que hay dependencia y eso complica las cosas. Tres comentarios finales Para concluir, quisiera hacer tres comentarios. Por un lado, considero que estas tecnologías de reconocimientos de formas están demostrando su importancia como elementos complementarios –que no únicos– en la detección de fraude, proporcionando información que puede venir muy bien. Por otro lado, la fusión de detectores es una buena opción para los cambios constantes en las formas de fraude, sobre todo si optamos por fusionar detectores no muy complicados y fáciles de entrenar y enseñar. Finalmente, hay que partir de la idea de que cada tipología de problema exigirá una forma de fusionar adaptada a sus necesidades.
  43. 43. Curso de Verano 2012 Innovación para la Seguridad TIC Centro de Investigación para la Gestión Tecnológica del Riesgo 41 o sé cuántos de ustedes saben de Teoría de Juegos. Lo que yo voy a hacer es centrarme en un aspecto que se omite: la intencionalidad. En gestión de riesgos hay que pensar en cómo piensa la otra parte. Y hay que tener en cuenta que el “malo” va a hacer lo que se propone, sea como sea. Pondrá todos sus recursos en juego. Si bien el año pasado Santiago Moral utilizaba a Darwin para hablar de la coevolución, yo ahora voy a hablar de esta idea: coevolución rupturista. Y es que creo que la gestión de riesgos se caracteriza por un alto riesgo y altos esfuerzos en materia de análisis. Y necesitamos un cambio, es preciso ser rupturistas, como se ha comentado en otras ponencias. Tenemos que evaluar los riesgos y ver qué medidas utilizamos para reducirlos y controlarlos. Pero aquí falta la parte más importante: qué está haciendo el que me va a atacar, cómo está haciendo este análisis. Porque está basado en lo que yo hago, pero no en qué hace el otro. Muchas de las técnicas y metodologías no consideran el análisis que hace la otra parte, la parte de los “malos”. Y es, precisamente, esta evolución con los agentes del entorno la que nos permitirá mejorar en la lucha contra el fraude. Tenemos un gran número de metodologías para elegir. Y tenemos un laberinto. También alguna vía rupturista. Jesús Palomo (Profesor Titular de Economía de la Empresa de la Universidad Rey Juan Carlos) UN MODELO DE GESTIÓN DE RIESGOS BASADO EN TEORÍA DE JUEGOS
  44. 44. Centro de Investigación para la Gestión Tecnológica del Riesgo42 Innovación para la Seguridad TIC Curso de Verano 2012 Si nos adentramos en la criptografía, me dará unos datos que serán útiles posteriormente en la presentación. Partiremos de algunos hechos, como que se afirma que el enemigo conoce el sistema porque tiene una capacidad infinita de analizarlo; que si el mensaje contiene algo de información, será seguro que lo van a obtener; y que si existe algún algoritmo que puede romper el sistema, el atacante lo utilizará. Se asume que es posible que esto ocurra y que el “malo” hará todo lo posible por conseguir sus objetivos. Al final, no hay seguridad por ocultación, y esto lo saben las claves públicas y privadas. Puedes conocer el método, pero lo único necesario es que no conozcas la clave. ¿Y el principio de fortificación? Está basado en que el defensor tiene que repeler todos los ataques. Y así, mientras me tengo que defender de todo, el atacante solo tiene que encontrar un agujero por donde entrar. Y lo que es seguro es que me estará analizando todo el tiempo. En lo relativo a la gestión de riesgos completa, ¿qué hacemos cuando analizamos riesgos? Vemos qué está disponible, qué costes tiene, qué posibles impactos, y cuál es el futuro de estas decisiones. Evaluamos los riesgos, vemos qué puede ir mal y cuáles serían las posibles consecuencias. Las fuentes de riesgo pueden ser hardware o software; y, de nuevo, falta en la ecuación qué es lo que va a hacer el atacante. ¿Qué ocurre, entonces, con otras metodologías de gestión de riesgos no basadas en Teoría de Juegos? Que se asume que el otro agente, el atacante, no cambia. Pero si nos olvidamos de la otra parte, no lograremos nuestro objetivo. Pongamos un ejemplo, ¿Qué pasa con un radar de velocidad? ¿Consigue realmente su objetivo de reducir la velocidad? No. Porque los conductores solo reducen la velocidad cuando se acercan al radar, y después vuelven a pisar el acelerador. Principio de inestabilidad Hecho este análisis, vemos que tenemos más riesgo. Y esto es lo que voy a llamar “Principio de inestabilidad” de la gestión de riesgos tradicional. Lo llamo inestable porque cuando yo pongo una medida la parte enemiga va a reaccionar y eso hace que yo tenga un nuevo problema, de modo que vuelvo a analizar y a intentar protegerme. Y así vuelta a empezar en un bucle constante. Así las cosas, algunas máximas interesantes a tener en cuenta ante este problema son las siguientes: ante un cambio de estrategia, la reacción del atacante nos conmina a volver al inicio, a volver a empezar; hay modelos creados ad-hoc para determinados sectores, que luego no son aplicables a otras problemáticas; otras metodologías son simplemente modelos descriptivos que no llegan al paso de sugerir una toma de decisiones; y existencia de fuentes de riesgos que no son accidentales sino intencionadas, como la delincuencia organizada. Analizado todo lo anterior, no hay que olvidar nunca que la delincuencia es muy inteligente –el que no lo es ya está en la cárcel–. Solo quedan los inteligentes, que se reinventan a sí mismos.
  45. 45. Curso de Verano 2012 Innovación para la Seguridad TIC Centro de Investigación para la Gestión Tecnológica del Riesgo 43 Estudiar a la delincuencia Los recursos son limitados. De modo que, aparte de trabajar porque todo funcione bien, debemos analizar igualmente lo que piensa la delincuencia. Pero ver históricos no sirve, porque no se puede asumir que en el futuro harán lo mismo que en el pasado. Un juego se compone de agentes, estrategias y pagos. Respecto a los agentes, en este caso vamos a considerar dos por simplicidad: el banco y la delincuencia organizada. Se podrían considerar más agentes tales como competidores, compañías de telecomunicaciones y proveedores de Internet. En cuanto a las estrategias, las del banco consisten en métodos de defensa, con las que va a jugar, entre las que puede elegir para hacer frente a los ataques. Por otro lado, las estrategias que la delincuencia organizada utiliza se denominan métodos de preparación y métodos de ejecución; con los primeros, los delincuentes se preparan para obtener algo del banco (bien sea información o dinero) y, posteriormente, ejecutan el robo utilizando dichos activos mediante la elección de métodos de ejecución. Finalmente, los pagos resultantes de cada combinación de acciones (defensas del banco y ataques de la delincuencia); éstos serán beneficios (para la delincuencia) o pérdidas (para el Banco). ¿Qué hace en este contexto la gestión tradicional (definida como cualquier otro método de gestión de riesgos no basado en teoría de juegos)? Básicamente dos cosas: identificación y cuantificación de los riesgos (el banco, basándose en series históricas o en opinión de expertos, construye probabilidades de que la delincuencia organizada utilice los métodos de preparación); y toma de decisiones en base a esas probabilidades y utilizando análisis coste-beneficio para elegir el método de defensa en el cual el coste es menor. Aquí, a diferencia de teoría de juegos, hay problemas de inestabilidades. Pongamos un ejemplo: si tomamos la declaración de la Renta, tendríamos dos estrategias: la de Hacienda y la del defraudador. Si la del defraudador fuera “declaro todo o no declaro nada”, la de Hacienda es “reviso todas las declaraciones o no reviso ninguna”. Lo que hace Hacienda es un equilibrio, tiene un muestreo y tiene alarmas. Y cuando estas saltan es cuando revisa. Veamos si tiene sentido o no. Un caso sería cuando la Agencia Tributaria revisara todo y todos los contribuyentes declararan. Otro cuando la Agencia no revisara ninguno y nadie declarara. Ambos parecen un equilibrio, pero no lo son. Porque, en el primer caso, la Agencia se gasta mucho dinero, cuando no es necesario porque todo el mundo está declarando; y en el segundo caso, no recauda nada porque no revisa ninguna, mientras que todos están defraudando. Ahora analicemos las otras variantes, a ver si son equilibrio o no. En la opción en la que declaro pero no revisan ninguna declaración, el riesgo es que yo deje de declarar sabiendo que no van a revisarme. No tiene sentido. Sería un equilibrio inestable. Otra opción es que no declaro y revisan todas. Aquí tampoco hay ningún equilibrio. Como no hay ningún equilibrio, vamos a una estrategia

×