La noche en que Bruselas solo tuiteó gatos–Keep calm & tweet a cat (23 de noviembre de 2015)- para no dar pistas a un nuevo atentado terrorista pone de manifiesto el poder que las redes sociales y las tecnologías de la información y la comunicación pueden ser vehículo de cualquier tipo de mensajes; incluso los más irrelevantes deben ser cuidadosos. Por ejemplo, en el terrorismo, es práctica común el uso de un lenguaje en clave basado en situaciones normales. A los expertos no se les debe pasar por alto. Esto lo afirman Xavier Ribas, abogado experto en Derecho de las TIC y Compliance tecnológico en Ribas y Asociados, y co-Director del Máster de IT-IP de ESADE Law School, y Jesús Martinell, también abogado del Despacho Ribas y Asociados.
En los años 90, Xavier Ribas participó del proyecto ‘Lathe Gambit’, unidad de la OTAN y relativo al análisis del entorno legal y la seguridad de internet en materia de delitos informáticos. Por ese entonces ejerció de profesional para entidades institucionales, gubernamentales y privadas sobre servicios secretos y homologación de tecnologías de doble uso. Hoy, siguen de cerca casos de ciberdelitos, y asesoran en materia de compliance a empresas para que dispongan de la debida protección de sus infraestructuras críticas. Las más sensibles a estas actividades serían aquellas empresas como compañías aéreas, empresas de telecomunicaciones, de energías, centrales nucleares o sectores químicos. Todas ellas están muy blindadas pero requieren niveles de protección especiales.
Entrevistamos en Sintetia a Ribas y Martinell, que nos hablan de seguridad en tiempos de ciberdelincuencia, del grado extremo de ciberterrorismo, y la repercusión que puede tener en los próximos años avances en la Inteligencia Artificial para los ciudadanos. ¿Para qué debemos estar preparados? ¿En qué lugar se encuentra España? ¿Qué debe conocer el ciudadano de las nuevas tecnologías?
Desde su ‘expertise’ en Derecho e Innovación opinan de otros temas de actualidad, como las redes sociales y canales de información, Big Data y la lectura y análisis que podemos tener con esos datos, y el futuro de un sector tecnológico que llega a las empresas y que nos lleva a otras manera de consumo y de vida.
:: Empieza 2016, tenemos muchas tecnologías a nuestro alrededor y sin embargo sentimos más inseguridad que nunca y mucho ruido en nuestras formas de comunicarnos…
Xavier Ribas (XR)- Hoy día priorizamos estar seguros, pero solo a cambio de perder intimidad. Por ejemplo, este pasado fin de año, y en cualquier celebración o lugar donde haya aglomeraciones, se tiene un pensamiento inevitable aunque sea rápido de que es el lugar donde puede haber un atentado o suceder algo malo. Es algo así como acabar diciendo: “Papá Estado, reacciona y protégenos”.
Lo mismo sucede con nuestras comunicaciones, nos decimos, “Estado, míranos lo que quieras, aquí tienes nuestro historial, porque así detectarás si hay alguien que quiere hacer daño, y no queremos sentir la inseguridad”. El hecho de que lo aceptemos no deja de ser una intromisión a nuestra intimidad.
Jesús Martinell (JM)- En los atentados de París de final de 2015 se ha informado que una de las vías de comunicación entre terroristas era a través del chat de una máquina de videojuegos, la Play Station. Los terroristas sabían que a través de canales menos conocidos, en los que el número de usuarios es menor, y en los que no se ejerce un control tan exhaustivo de los usuarios, es más fácil que no te identifiquen.
Los gobiernos y varios particulares están empezando a utilizar canales como “telegram” en vez de “Whatsapp” para comunicarse. Todo ello por dos ventajas: principalmente, la seguridad de datos. “WhatsApp” ha tenido problemas con la protección de datos, mientras que Telegram anunció que pagaría una recompensa a la persona que encontrara vulnerabilidades en el protocolo con el que funciona el servicio. Y, la segunda, es el chat oculto en el que no se deja rastro. Al contrario que “whatsapp”, “telegram”, tiene una función especial de cifrado punto a punto, que no deja rastro en la red ni en el teléfono, y los mensajes se autoeliminan después de haber sido enviados.
:: En términos genéricos, ¿en qué momento está el mundo, en tanto a ciberseguridad?
XR- El nivel de seguridad de los Estados Unidos se ha adaptado a todas las amenazas y ha creado cédulas de ciberdefensa en las que están examinando constantemente todas las redes de comunicaciones constantemente. Los hemos criticado mucho [a los Estados Unidos desde Europa] por el hecho de espiar a empresas, gobiernos y a ciudadanos. Sin embargo, existe en la sociedad estadounidense una aceptación de que el gobierno tenga esta potestad de intrusión porque a cambio ofrece más seguridad. En la película documental Bowling for Columbine ya se dejaba claro que todo el sistema antiterrorista norteamericano está basado en el miedo, y así legitimar todas las medidas para luchar contra la inseguridad.
El nivel de espionaje del gobierno americano no ha llegado a España, probablemente el de allí lo descubrimos por las plataformas Wikileaks de Julian Assange o el caso Snowden, el consultor tecnológico estadounidense, informante, antiguo empleado de la CIA y de la NSA (Agencia de Seguridad Nacional). También habría que recalcar que la situación aquí es diferente. En los Estados Unidos hay muchos más casos de este tipo de atentados al orden que aquí.
:: ¿La clave está en dominar la Red?
XR- Las empresas con las que trabajamos y que necesitan protegerse al máximo, por su naturaleza, de ataques cibernéticos, tales como compañías de energías, aéreas, o empresas químicas, entre otras, requieren un seguimiento especial. Nosotros vamos de la mano de empresas expertas en informática. Estas empresas deben estar muy blindadas y con protección de los controles ‘Scada’ que es un protocolo que se utiliza para el control remoto, por ejemplo descubrir cómo está un sensor o abrir una válvula a distancia. Utilizan TCP/IP, por lo que se puede acceder a través de Internet.
Los ciberdelincuentes tienen dos formas claras de ganarse la vida, una es accediendo a la información industrial por encargo de un competidor, y la otra ir a una cibertienda como la Play Store o la App Store y capturar las tarjetas de crédito y venderlas en el mercado negro.
Al otro lado están las empresas que contratan hackers que cambian de bando, o algunos que montan su propia empresa de seguridad, como Kevin Mitnick. Tú, como empresa, avanzas, y el hacker te lo desmonta. Avanzas más contratando a un hacker que se pase a tu lado. Y ésa es la rueda. Entre medio, se mueven millones de dólares.
El modelo de seguridad que vienen implantando gigantes tecnológicos como Google o Facebook cada vez está más dirigido a un modelo híbrido en el que colaboran tanto empresa y como usuario. Se busca interactuar con el usuario para obtener mayor seguridad en el acceso a estas plataformas. Precisamente al interactuar, necesariamente el usuario hace que sea más complicada cualquier suplantación de identidad o acceso no autorizado.
:: Gestionar todos los retos y problemáticas que se derivan de la Redes de Telecomunicación y las Nuevas Tecnologías es un tema también prioritario para el nuevo gobierno.
JM- Es todo un reto. Sea el que sea el nuevo gobierno de España deberá apostar más y mejor por las nuevas tecnologías y conocimiento de Internet y los mensajes y datos que se generan. Trabajar en políticas en las que se trabaje seriamente para conseguir una buena concienciación de la sociedad en el uso de las nuevas tecnologías y los riesgos que conlleva un uso mal adecuado. Suele ser algo complicado conseguir que las personas tengan claro a que se exponen.
Por otro lado, el legislador, en tales materias, tiene una doble tarea complicada consistente en: por un lado, legislar de manera lo suficientemente abierta para que tengan cabida los diferentes avances tecnológicos que nos van llegando y que la norma no quede obsoleta dada la rapidez en que evolucionan tales nuevas tecnologías. Y, por otro lado, no hay que caer en una regulación en la que no haya un mínimo de control o se dé una situación de desregularización que permita hacer otros usos no adecuados a la finalidad del propósito de la tecnología en cuestión. Es importante pues, que los legisladores estén rodeados de gente experta en tales materias con el fin de hacer una norma adecuada a la realidad social y tecnológica de cada momento.
:: ¿Puede que los españoles tengamos un umbral de tolerancia más bajo con tanto control?
XR– En España, la gente protesta cuando el sistema es muy intrusivo. Por ejemplo, ante la obligatoriedad del análisis volumétrico de densidades que nos pueden hacer en el embarque de un aeropuerto, es decir, un escaneo total de nosotros mismos. Entendemos que haya seguridad y controles para detectar presencia de drogas o sustancias explosivas, pero un norteamericano, por ejemplo, se lo tomará seguramente mejor que nosotros.
También es importante ver la cultura de cada sociedad en temas de seguridad. EEUU con los antecedentes del 11S es normal que haya más concienciación.
Por otro lado, podemos hacer esta lectura: a veces todo depende más de las personas que de la propia informática. Es decir, un engaño o un ataque puede planearse gracias a la tecnología, pero al final las personas son las que maquinan todas esas ideas.
Por poner un ejemplo, en los últimos dos años se ha puesto de moda en empresas multinacionales que tienen filiales por todo el mundo, estafas en las que alguien se presenta a los altos directivos alegando ser gerentes de sus filiales y reclamarles dinero para un asunto urgente o donativos. En estos casos, el eslabón más débil no está en la informática, sino en las personas. Dentro de las macroempresas entre unos y otros se cuentan temas internos, alguien lo filtra, y el resultado final es que alguien que se hace pasar por otro y consigue una transferencia. Hay un libro, The Art of Deception, de Kevin Mitnick, que explica al detalle cómo estos casos llegan a producirse. Como decía, nosotros llevamos atendiendo empresas que les ha sucedido algo similar en estos años.
:: Si hablamos de Inteligencia Artificial, ¿ayuda u obstaculiza en casos así?
JM- En prensa se habla y especula mucho sobre este tema. La Inteligencia Artificial propiamente dicha no está del todo inventada. En realidad lo que se hace hoy en día, como la máquina Watson de IBM para temas médicos o con Google Car, es, básicamente, introducir en una máquina millones de datos y algoritmos. A partir de ahí, nosotros le metemos unos parámetros que queremos que nos solucione o nos busque y el dispositivo empieza, en muy pocos segundos, un análisis de todo el banco de datos cruzando y seleccionando la información relativa a los parámetros que le has introducido. Todo ello te da un resultado en el que salen referenciados y mencionados aquellos parámetros que le has dado. A partir de aquí, debe ser el ser humano quién descarte y encuentre una solución. Queda claro que ello nos facilita y nos facilitará mucho trabajo. Sobre todo en eficiencia y precisión. Hoy día se calcula que las computadoras de Inteligencia Artificial tal y como la entendemos alcanzan a lo que podría equivaler a un bebé o un niño de dos años. Da resultados espejo. Pero se trata de algoritmos, no es un ente capaz de pensar. Estamos lejos de ver un juicio en el que los miembros del tribunal o jurado sean robots. De todas maneras, en un futuro no muy lejano y, para temas de índole administrativa, multas de tráfico, o en las que los parámetros sean claros y, en los que la dimensión más íntima y personal de la persona no entren en juego, es probable que se empiecen a utilizar robots o máquinas. En EEUU el particular ya puede usar apps para recibir las citaciones en el Juzgado y pedir cita. Cada vez más, España y Europa apuesta hacia un modelo de ‘ciberjusticia’. Y, como tal, no exento de los peligros y vulnerabilidades que entraña cualquier modelo que quiera estar en la red.
En el ámbito laboral la consecuencia más gráfica es que, hoy, todo se reduce a dos tipos de empleo. Los empleos en los que la máquina nos dirá lo que hay que hacer y los empleos en los que le diremos a la máquina lo que queremos que nos haga.
:: Se habla mucho del Internet de las cosas (IoT – Internet of Things). Que las objetos y productos se conecten solas a Internet será otro foco de análisis…
JM- En el futuro, que no será dentro de muchos años, en las casas tendremos el hogar conectado. Empezó con la domótica en el que podías controlar tu casa. Hoy ya se puede conectar los electrodomésticos y demás gadgets que tengamos en casa a la red. Ello permitirá un control total a distancia de todo. Las casas se podrán configurar de tal manera para que sean lo más eficientes posibles. Energéticamente, nos permitirá ahorrar energía y racionalizarla mejor. De todos modos, no todo son ventajas. El hecho de conectar el hogar a la red hará que el acceso o la intromisión a nuestro hogar pueda ser más vulnerable. Las empresas proveedoras de tales servicios deberán establecer unos controles de seguridad muy elevados con tal de evitar cualquier intromisión ilegítima. Por intromisión entendemos cualquier acceso no autorizado ya sea físico o no. Por ejemplo, lograr abrir una cerradura electrónica para entrar en el domicilio de alguien o lograr un control no permitido de los electrodomésticos con el fin de dañar o darle un uso no adecuado.
Según un estudio de IDC, hay actualmente unos 12.000 millones de dispositivos IoT conectados y esa cifra crece cada año un 17,5%, lo que en 2020 serán 25.000 millones.
:: Entre las cosas y los drones, el mundo material se nos va de las manos…
JM- ¡Ese es un tema interesante! A todos nos hace más o menos gracia que un dron haga las fotos de una boda, de nuestras aventuras por la montaña o que exista el dron de emergencias que lleve la medicación más rápido. Pero los drones que se comercializan para particulares, no están exentos de regulación. Los proveedores deberían tener mucha cautela y una debida diligencia de indicar en el manual de instrucciones una guía a tener en cuenta por el usuario sobre qué se puede y qué no se puede hacer. Sería recomendable que se recuerde al usuario la normativa actual sobre drones así como ejemplos concretos de qué conductas están prohibidas. El usuario desconoce que hay una normativa y, mucho más, que el incumplimiento de la misma puede acarrear sanciones. En España existe un decreto ley de 2014 que dice que las sanciones por uso indebido van de 300 a 21.000 euros. Hoy, los proveedores de estos drones, en el manual de instrucciones, no incorporan nada aún de recomendaciones o prohibiciones.
XR- Además, volvemos a temas de intimidad. Si un dron privado llega hasta tu terraza, y te puede vigilar, te puedes sentir vulnerable. De momento tenemos ese decreto, pero hay drones muy pequeños que apenas se ven, y no sabes a dónde van. Los drones militares o pertenecientes al estado, por el contrario, sí pueden ser utilizados con objetivos de control. En pocos años, después de la vida, la privacidad será considerada de los bienes jurídicos a proteger más importantes.
:: ¿Y la realidad virtual?
JM– Sucede lo mismo, cuando la realidad virtual se introduzca en nuestras vidas debería alertarse de que su uso puede provocar algún tipo de daño. Es decir, se deberá informar del alcance y todos sus efectos. Si yo utilizo un mecanismo electrónico que me lleva a otra realidad aunque sea en el mundo virtual, puede tener un impacto para mí. Cuando sale algo nuevo, nos vamos a por eso, la novedad, y no se destacan efectos adversos.
:: ¿Qué otros sectores veremos afectados?
JM- En el sector eHealth, se está hablando de micro robots cirujanos que mataran las células cancerígenas, o de cascos por ondas para dar la vista a invidentes. Y un largo etcétera en este ámbito.
XR- Y sin embargo de lo que no se habla es de las consecuencias jurídicas y de la privacidad de lo que esos avances médicos y tecnológicos representan. Cualquier uso de nuevas tecnologías tiene un impacto en la sociedad y en el ser humano. Ello implica en primer lugar, la importancia de que el usuario sepa, en todo momento, qué se le hace, efectos adversos y límites y prohibiciones que tiene que tener en cuenta. Y, en segundo lugar, se debe tener en cuenta que, al ser aplicado al ser humano como tal se tiene que proteger la intimidad y privacidad.
:: ¿Los datos no tienen fronteras, verdad?
XR- No, las superan. No tiene sentido ponerle puertas al campo. No le puedes decir a un dato que no viaje por las redes informáticas o impedirle atravesar un país porqué hay un gran volumen de datos viajando y a una velocidad muy elevada. No compartimos mucho que el legislador se preocupe en exceso por saber dónde se localizan los datos. Es muy difícil determinar en cada instante la ubicación de nuestros datos y, cada vez, lo será más.
– –
Ribas y Martinell, junto a un equipo de nueve personas, están detrás de otros cambios profundos que se están produciendo a nivel empresarial, tecnológico y digital. Una revolución continua. Los whatsapp, los mensajes encriptados o en abierto, la geolocalización, los datos, al fin y al cabo, necesitan cierta coherencia legal. La cibernética nos lleva a demandarnos mayor protección de la intimidad y privacidad.
En el futuro, en 20 años, aseguran, necesitaremos especialistas en desintoxicación digital. Parece que además de encontrarnos con robots que nos lo hacen todo, buscaremos, al mismo tiempo, buscar de nuevo lo humano.
