Innovacion para la seguridad TIC

Edición bilíngüe: español / inglés

Innovación

para la Seguridad TIC

El Centro de Investigación para la Gestión Tecnológica del Riesgo, CI-GTR, creado a

instancias del Grupo BBVA y la Universidad Rey Juan Carlos, ha seguido

profundizando en el propósito de servir de cauce para innovar mediante el fomento

de la colaboración entre las empresas, los investigadores y la comunidad académica.

En el verano del año 2102, el CI-GTR celebró en la imponente sede histórica de la

Universidad Rey Juan Carlos, ubicada en el Real Sitio y Villa de Aranjuez (Madrid. España),

su segundo Curso de Verano, en esta ocasión titulado Innovación para la Seguridad TIC.

En las páginas de este volumen –editado en español y en inglés– se recoge el contenido de

las conferencias, la mesa redonda y el debate posterior que constituyeron el eje del

programa, incluyendo, además, un álbum fotográfico mediante el que se muestran algunos

de los momentos vividos por alumnos y profesores, un testimonio fiel de que el buen

ambiente, el rigor profesional y las ganas de aprender y de emprender son ingredientes

esenciales para innovar.

Innovación para la

Seguridad TIC

Cursos de Verano 2012 Universidad Rey Juan Carlos

Aranjuez, del 9 al 11 de julio de 2012

EDICIÓN

PRODUCCIÓN

DISEÑO Y MAQUETACIÓN

Miguel Salgueiro / MSGráfica

IMPRESIÓN Y ENCUADERNACIÓN

Gráficas Monterreina

Depósito Legal: M-16149-2013

Curso de Verano 2012 Innovación para la Seguridad TIC

Centro de Investigación para la Gestión Tecnológica del Riesgo �

ÍNDICE

INTRODUCCIÓN ........................................................................................................................................................................................ 5 Santiago Moral Rubio

PRÓLOGO ..................................................................................................................................................................................................... 7 Pedro González-Trevijano

LA INNOVACIÓN COMO ESTRATEGIA DE GESTIÓN DEL RIESGO EN EL GRUPO BBVA ....................................... 9 Santiago Moral Rubio / Francisco García Marín

RIESGO INTENCIONAL EN ENTORNOS DIGITALES: REDES COMPLEJAS DE INTENCIONALIDAD ................. 15 Víctor Chapela / Regino Criado

INTELIGENCIA DE SEGURIDAD Y GESTIÓN DEL RIESGO ¿QUé PUEDE hACERTE DAñO DE LO QUE NO VES? ............................................................................................................ 23 Simon Leach

SI INNOVAS EN TU NEGOCIO, ¿POR QUé NO INNOVAR EN TUS PRESENTACIONES? ........................................... 29 Gonzalo Álvarez Marañón

PREDICCIÓN DE FRAUDE CON TECNOLOGÍAS INNOVADORAS ...................................................................................... 35 Fernando Esponda / Luis Vergara

Centro de Investigación para la Gestión Tecnológica del Riesgo�

Innovación para la Seguridad TIC Curso de Verano 2012

UN MODELO DE GESTIÓN DE RIESGOS BASADO EN TEORÍA DE JUEGOS ............................................................ 41 Jesús Palomo

MESA REDONDA. NUEVAS TENDENCIAS EN TECNOLOGÍAS DE RIESGO Y SEGURIDAD IT .......................... 47 Intervienen: Jaime Forero Rafael Ortega García Luis Saiz Gimeno Juan Jesús León Cobos Víctor Chapela Modera: Esperanza Marcos

RECONOCIMIENTO FACIAL NO INVASIVO EN AEROPUERTOS ......................................................................................... 59 Enrique Cabello

VIAJE A SILICON VALLEY DE UNA START UP .................................................................................................................................... 65 Julio Casal

ÁLBUM FOTOGRÁFICO ........................................................................................................................................................................ 71



a evolución en un mundo tecnológicamente globalizado es imparable y su adopción por la sociedad no tiene freno. Los

ciudadanos demandan cada vez mayor transparencia y la delincuencia organizada avanza en sus intentos por beneficiarse a través del fraude tecnológico. La movilidad comienza a ser ya un leitmotiv en el panorama empresarial; paradigmas tales como BYOD (Bring Your Own Device) llenan las oficinas con nuevas herramientas de productividad (teléfonos inteligentes, tabletas, etc.), los controles de acceso se ven reforzados y mejorados mediante la identificación basada en dispositivos móviles y técnicas biométricas y la federación de identidades abre las puertas a un escenario en el que la reutilización de la identidad es ya un servicio. La prestación de servicios en la nube (cloud services) avanza a pasos vertiginosos y

estos cambios implican inevitablemente la aparición de nuevas amenazas que desafían el buen funcionamiento y efectividad de los mecanismos de protección.

Esta nueva coyuntura obliga a las empresas a equiparse con buenas herramientas de evaluación de riesgos, detección de comportamientos anómalos en grandes volúmenes de datos y justificación de toma de decisiones sobre las mejores estrategias de protección.

La innovación, motor clave de crecimiento y competitividad, surge así como palanca imprescindible en la lucha contra las amenazas que afectan a la seguridad de la información y en la obtención de los niveles deseados en la reducción de riesgos.

El Centro de Investigación para la Gestión Tecnológica del Riesgo (CI-GTR) está trabajando en

INTRODUCCIÓN

Santiago Moral Rubio(Director de IT Risk, Fraud & Security. Grupo BBVA)



varios proyectos para aplicar técnicas y conceptos novedosos a la seguridad de la información y la lucha contra el fraude considerando tendencias innovadoras en el marco de las Tecnologías de la Información y la Comunicación (TIC). En este ámbito, el CI-GTR convocó la segunda edición del Curso de Verano celebrado en el marco de la Escuela de Verano de la Universidad Rey Juan Carlos. Las charlas se impartieron del 9 al 11 de julio de 2012 en la ciudad de Aranjuez. Esta edición ha tenido una amplia aceptación con más de cien asistentes tanto alumnos y equipos investigadores como empresas españolas y representantes de entidades de ámbito internacional.

En el curso nos acercamos a la experiencia de un emprendedor que ha conseguido situar una

start-up de origen español como referencia en su sector en Silicon Valley, impulsando a la vez una potente comunidad de software libre alrededor de su proyecto. Vimos también cómo se pueden aplicar nuevas técnicas en la lucha contra el fraude tecnológico aportando capacidad de aprendizaje y adaptación a los comportamientos cambiantes de la delincuencia. Además, se presentaron métodos innovadores en el análisis de riesgos de tipo intencional y la aplicación de la teoría de grafos en la evaluación de la vulnerabilidad de las instalaciones informáticas.

A través de esta publicación, trasladamos a aquellas personas interesadas la transcripción de las ponencias presentadas en este Curso de Verano.



uevamente nos encontramos ante un meritorio ejemplo de colaboración entre Empresa y Universidad, pues, como ya ocurriese en 2012, BBVA

y Universidad Rey Juan Carlos han aunado esfuerzos para poner en marcha y desarrollar una nueva acción de I+D+i. Ambas entidades viene colaborando intensamente desde hace varios años en el desarrollo de la investigación de efectivas herramientas de evaluación, detección, prevención y protección frente al riesgo, siempre presente, en los complejos sistemas de información, recopilación y control de datos. Se da respuesta con ello a una de las necesidades prioritarias del mundo actual, en que la seguridad en la comunicación por parte de las entidades bancarias y en las transacciones financieras es, sin lugar a dudas, garantía imprescindible para la fiabilidad del sistema. Estamos, por tanto, ante una ambiciosa investigación en un sector puntero,

que BBVA y URJC lideran a través del análisis y valoración de técnicas eficaces y novedosas para garantizar la seguridad en la información y trasvase de datos y en la lucha contra el fraude financiero.

De esta imperiosa necesidad surgió la colaboración entre ambas entidades, materializada con la creación del Centro de Investigación para la Gestión Tecnológica del Riesgo (CI-GTR) que, una vez más, da frutos con esta publicación. Un Centro de Investigación que ha sabido situarse entre los centros de referencia en el ámbito nacional y está trabajando incansablemente para seguir en la línea de la tan necesaria internacionalización con el mundo globalizado. Así lo demuestra con la publicación que comentamos. Se trata de un volumen que recoge las ponencias presentadas en los Cursos de Verano de la Universidad Rey Juan Carlos.

PRÓLOGO

Pedro González-Trevijano(Rector de la Universidad Rey Juan Carlos. Presidente de la Fundación Universidad Rey Juan Carlos)



Así en la sede de los mismos en el Real Sitio de Aranjuez, en la pasada edición de 2012 se desarrolló el Curso “Innovación para la seguridad TIC”, bajo la dirección de don Santiago Moral, con el objetivo de poner a disposición de la comunidad académica y científica los resultados obtenidos a partir de los varios proyectos que desarrollan en colaboración con la Universidad Rey Juan Carlos.

Nuevamente la respuesta de la comunidad científica fue la esperada, así como el nivel de los ponentes y asistentes: un importante número de participantes y un elenco de ponentes de reconocido prestigio nacional e internacional, tanto del mundo de la empresa como del

mundo académico-universitario. Todos ellos nos demostraron que queda mucho camino en el análisis del riesgo y de la lucha contra el fraude en el sector bancario. Y nos ilustraron sobre los nuevos métodos en los que se está investigando y discutiendo en los foros científicos de mayor prestigio.

No puede haber duda alguna, en fin, de la utilidad de la obra que tengo el placer de presentar y prologar, que completa y continúa, de un modo sobresaliente, la imprescindible labor de difusión de la investigación desarrollada por el Centro de Investigación para la Gestión Tecnológica del Riesgo (CI-GTR), al que auguro un futuro prometedor.



Hace dos años empezamos esta aventura con la creación, junto con la Universidad Rey Juan Carlos, del Centro de Investigación para la Gestión

Tecnológica del Riesgo. En paralelo, iniciamos también una serie de trabajos, tanto en la Universidad como con empresas tecnológicas, para desarrollar las ideas que teníamos en aquel momento y crear los servicios de seguridad que pensábamos necesitaba el mercado.

Actualmente, en este escenario trabajamos tres personas. Y nos apoyamos en tres ámbitos de actuación: empresas tecnológicas consolidadas (Intel, GMV, RSA…), que tienen el músculo para llevar a cabo grandes proyectos; universidades

y centros de investigación, tanto a nivel nacional como internacional, con acuerdos con universidades en EE.UU. y centros de investigación de Israel, por ejemplo; y empresas pequeñas de capital riesgo. En este contexto, o bien participamos en la creación de nuevas empresas destinadas a la investigación, solos o conjuntamente; o lo hacemos entrando en el capital de alguna de estas startups tecnológicas, o comprando su producto.

En esencia, desde el observatorio tecnológico, que es el lugar desde donde estamos trabajando, ponemos la vista en las apuestas que se hacen a lo largo y ancho del planeta para estar lo más presentes que podamos en las nuevas

Santiago Moral Rubio(Director IT Risk, Fraud and Security. Grupo BBVA)

Francisco García Marín(Innovation for Security. Grupo BBVA)

LA INNOVACIÓN COMO ESTRATEGIA DE GESTIÓN DEL RIESGO EN EL GRUPO BBVA

Centro de Investigación para la Gestión Tecnológica del Riesgo10


tecnologías, bien sea mediante acuerdos de algún tipo, o bien colaborando en la financiación.

Dicho todo esto y recordando que antes nos enfocábamos a una serie de proyectos dispersos, en la actualidad se ha creado esta función dentro del equipo de Santiago Moral de IT Risk, Fraud and Security, dedicando un espacio propio a la innovación.

Focos de interés

Para empezar quisiera contarles cuáles son actualmente, según nuestra perspectiva, los principales puntos de interés en la innovación en seguridad. Primero les pondré en contexto y luego lo veremos en detalle.

Nadie duda ya de que la evolución de las nuevas tecnologías es imparable, que su adopción no tiene freno. La presencia en Internet mantiene in crescendo su competitividad, y la extensión a los países emergentes materializa sus visiones de expansión.

Por otro lado, estamos asistiendo a un fraccionamiento cada vez mayor de la cadena de valor. Las empresas externalizan cada vez más cosas, todo lo que no es su core de negocio, abandonando así esa imagen de estructura monolítica que las había caracterizado con anterioridad. Y todo ello en un entorno donde los riesgos, que antes se percibían como principalmente internos, no paran de crecer en su versión externa.

Otra tendencia, aún incipiente, es la migración a la nube, tanto de infraestructuras de TI como

de herramientas (correo electrónico, entornos colaborativos, etc.). Aún es un lento pasaje, pero se contempla en último término la migración de procesos de negocio, que convierten a esta decisión en absolutamente estratégica para una compañía.

Y ligado a eso, otra tendencia, la deconstrucción de procesos, estrechamente vinculada a la externalización. Y es que para llegar a la consolidación de un determinado producto, cada vez hay más intervinientes fabricando cosas previas, ofreciendo un servicio que complementa al resto de la propuesta. La tendencia mundial camina en esa dirección: que todos los procesos sean de ese tipo, apostando por una mayor optimización y eficiencia, deslocalizando y troceando los procesos.

Siguiendo con las tendencias de mercado, no podemos dejar de hablar de lo que se ha denominado “consumerización” de los dispositivos inteligentes. Cada vez son más personales; y, desde un punto de vista bancario, se utilizan cada vez más para procesos de negocio y sistemas de pago. Todo ello de la mano de la popularidad de las redes sociales. Actualmente, hay más de 500 millones de usuarios activos en Facebook, con millones de personas haciendo en la Red críticas de hoteles, de líneas aéreas, de cualquier tipo de objeto de consumo… en una época en la que los consejos sobre consumo basculan desde los profesionales a la gente corriente. También ha sido espectacular la imparable ascensión de YouTube, donde en 60 días se suben más contenidos que los que han creado las empresas profesionales de medios en los últimos 60 años.


Centro de Investigación para la Gestión Tecnológica del Riesgo 11

habrá otros ámbitos donde también veremos novedades en los próximos años, como el escenario de la propiedad intelectual, que no estará constreñida solo a la música o al vídeo, sino que también alcanzará al libro electrónico o a las impresoras en 3D, gracias a las cuales será posible copiar objetos físicos, hasta ahora más fáciles de proteger.

En paralelo a esta evolución tecnológica, las amenazas también se están incrementando exponencialmente. De manera que hay que gestionar también nuevos riesgos, como el robo de datos, los ataques por denegación de servicio, las operaciones de ciberactivismo, los ataques contra infraestructuras críticas y dispositivos móviles, los ataques a la marca y a la reputación empresarial, las APTs (Advanced Persistent Threats), etc.

Mejor tecnología, mejores herramientas

En medio de este panorama, la buena noticia es que contamos cada vez con tecnología más avanzada, que nos permite fabricar mejores herramientas para defendernos. Una de ellas es el big data, la capacidad de extraer información de grandes volúmenes de datos, algo que antes no podía realizarse porque no había herramientas adecuadas para ello por los costes asociados al procesamiento y al almacenamiento. También destacaría los sistemas de reconocimiento de patrones anómalos, donde tenemos un papel protagonista; los nuevos desarrollos en criptografía que preserva el formato, los índices y el orden y que permiten operar sobre

datos cifrados; los sistemas biométricos; y las herramientas de análisis y gestión de seguridad en dispositivos móviles.

En tal contexto, y celebrando que la innovación en todos estos escenarios es una palanca que nos lleva al crecimiento y al incremento de la competitividad, nuestras áreas de trabajo están alineadas para desarrollar soluciones contra el fraude; pagos avanzados; sistemas de identidad digital y autenticación; servicios en la nube, big data, entornos de nuevos dispositivos; y el campo de la gestión del riesgo, entre otras opciones.

En particular, consideramos que en el mundo cloud existe actualmente una carencia en sistemas de seguridad suficientemente desarrollados que nos permitan manejar estos entornos de forma efectiva; y, al mismo tiempo, desarrollar en mayor profundidad los controles sobre las compañías donde se externalizan servicios. Por eso, también en Google apps nos dedicamos a buscar herramientas que completen la seguridad de este entorno.

Siguiendo con la nube, hay que partir del hecho de que cambia el sistema tradicional de un CPD. La tendencia habla de que crece el número de departamentos de una compañía que mueven sus procesos al entorno cloud. Y las nubes son variopintas, desde servicios completos, con software de aplicación integrado, hasta la parte más baja, que se centra en la utilización únicamente de capacidades de proceso y almacenamiento junto a la infraestructura. Y entre ambos extremos, muchos puntos intermedios.



Todos estos escenarios cuentan con un perímetro de seguridad nuevo, que puede ser gestionado por herramientas y personas diferentes; lo que aporta una gran complicación de cara a unificar y gestionar la seguridad de un modo cohesionado y equilibrado. En realidad, nos gustaría poder tener un sistema que nos aportara una visión conjunta de los entornos dispersos de la nube, y tener un perímetro virtual que fuera capaz de abarcar tanto los sistemas tradicionales como los cloud. Cierto que en la actualidad ya tenemos soluciones que pueden responder a esta necesidad, pero muy fragmentadas; y que o no tienen mucha madurez o tocan solo aspectos parciales.

Servicios de un CPD, ahora a la nube

Pero, ¿cuáles son los servicios habituales de un CPD que querríamos llevar a la nube? Estaríamos hablando de la protección perimetral tradicional de un cortafuegos; herramientas DLP para evitar fugas de información; cifrado de la información; protección frente al malware; protección de sistemas administrativos de estos servicios en la nube; y perfilado de los dispositivos, porque se accedería desde cualquiera de ellos. Además, servicios de identidad, tanto desde el punto de vista de la autenticación como del aprovisionamiento de las identidades de todos esos puntos dispersos, así como federación de identidades, a fin de que para el usuario sea transparente la dispersión física de los procesos en la nube, además de la posibilidad de federar identidades con otras entidades externas que son puntos de entrada masivos para nuestros clientes, como las redes sociales.

En lo que respecta a la “consumerización”, según Gartner, desde 2009 se venden más dispositivos inteligentes a consumidores particulares que a profesionales. Y esta tendencia seguirá creciendo. De modo que aspiramos a proteger todos los dispositivos móviles que acceden a nuestros sistemas. Y aquí destacaríamos tendencias de gestión de estos entornos como el BYOD (Bring Your Own Device).

Por otro lado, si consideramos ahora lo que realmente tiene de nuevo la propuesta de big data, nos damos cuenta de que hasta hace muy poco los sistemas hardware y software no tenían unos precios competitivos que, por ejemplo, permitieran analizar todas las operaciones realizadas con tarjetas de crédito en BBVA en los últimos cinco años. Este volumen de información era literalmente inmanejable. Otro ejemplo sería el análisis de todas las llamadas telefónicas de una operadora a lo largo de un período de tiempo prolongado.

Surge también para algunas empresas la oportunidad de comercializar su big data, que puede ser de utilidad para terceros, pero esto obliga a disponer de fuertes medidas de seguridad que anonimicen la información individual, permitiendo únicamente la realización de análisis de tipo estadístico Asimismo, también están apareciendo muchas iniciativas para gestionar esas bases de datos; una de ellas es hadoop, que se basa en la forma de almacenar los datos de Google. Al final, además de animar a los negocios a la utilización de big data de manera segura, nosotros en Seguridad también lo aprovechamos para


Centro de Investigación para la Gestión Tecnológica del Riesgo 1�

mejorar nuestros propios servicios, para mejorar la clasificación de la información, para prevenir ciberataques, comprobar la efectividad de controles, etc.

En otro orden de cosas, en cuanto a identidad digital, estamos interesados en sistemas biométricos, para la identificación fidedigna de las personas, y que puedan utilizarse solos o complementando a los sistemas tradicionales; y también en la federación de identidades, tanto interna como externa.

Y, finalmente, en el ámbito de la gestión del riesgo, trabajamos con la Universidad Rey Juan Carlos en el análisis de redes complejas, buscando la forma de obtener la fortaleza o debilidad de una red con análisis matemático y teoría de grafos. Seguimos trabajando también en la Universidad con grupos de tecnologías avanzadas de análisis de riesgo, que se explicarán más detalladamente en las siguientes ponencias. Y, desde luego, seguimos muy de cerca el terreno del antifraude, de manera que seguimos investigando en algoritmos para mejorar nuestra capacidad de detección de fraude on-line.

Centro de Investigación para la Gestión Tecnológica del Riesgo1�




Regino Criado

Partiendo de la idea de que todos queremos conseguir hacer verdaderamente efectiva la fórmula de colaboración entre el mundo universitario y el empresarial, soy un privilegiado por poder contaros esta experiencia donde logramos un modelo de colaboración real entre empresa y universidad, articulada en torno a la interacción de grupos multidisciplinares, donde cada uno hace el trabajo que le corresponde en el marco de una alimentación mutua.

Para explicar los orígenes de esta colaboración, he de comentar que hace un tiempo empezamos a trabajar con el Centro de Investigación para

la Gestión Tecnológica del Riesgo. hicimos varios proyectos con tokenización, modelo de renovación de ATM, etc.; y un día, en el anterior curso de verano, empezamos a intercambiar ideas sobre nuestra experiencia en redes complejas.

Víctor Chapela

Y ahí, con ese intercambio, empezamos a vislumbrar la idea de trabajar en cómo modelar el hackeo.

En un principio, empezamos a utilizar técnicas propias del mundo del ajedrez, pero no funcionaron del todo; y, en medio, retomamos las ideas de un libro de Barabási que había leído,

Víctor Chapela (Chairman of the Board de Sm4rt Security)

Regino Criado(Catedrático de Matemática Aplicada de la Universidad Rey Juan Carlos)

RIESGO INTENCIONAL EN ENTORNOS DIGITALES: REDES COMPLEJAS

DE INTENCIONALIDAD



sobre la conexión de las redes por grafos, y de Internet en particular. Pensé que eso estaba también relacionado con los puntos de hackeo, que eran cosas conexas pero a la vez difíciles de modelar. Y de ahí surgió realmente la idea, de verlo como parte de este grafo interrelacionado, donde se podía relacionar con otros.

¿Qué es un grafo? Un grafo es una colección de nodos interconectados y lo que se representan son esos nodos. Al ser matrices, las relaciones se podían trabajar matemáticamente, pudiéndose hacer transformaciones de esas matrices para justamente convertir, analizar o modelar las relaciones entre los elementos. El libro de Barabási decía que en Internet las relaciones son exponenciales. Los nodos del centro más conectados estaban exponencialmente más conectados que los nodos menos conectados. A esto lo llamó “redes de escala libre”. Y esto era lo mismo que pasaba en el hackeo. Aquellos puntos más conectados eran los primeros que se hackeaban, los más fáciles de hackear, como las bases de datos o los sistemas de administración de usuarios y contraseñas.

Entonces, la pregunta que surgió fue sencilla: ¿qué eran exactamente los grafos? Y aquí paso el testigo a Regino Criado.

Regino Criado

El origen de la teoría de grafos (estructuras que constan de dos partes, el conjunto de vértices, nodos o puntos, y el conjunto de aristas, líneas o lados que pueden ser orientados o no) está en los trabajos de Leonhard Euler sobre los siete puentes

de la ciudad de Königsberg (actual Kaliningrado) sobre el río Pregel. Allí, los habitantes de la ciudad intentaron comprobar si era posible recorrer todos ellos y volver al mismo punto de partida sin pasar dos veces por el mismo puente. Después de un tiempo, llegaron a la conclusión de que no había ninguna solución. Pero este hombre hizo una afirmación en pos de demostrar tal posibilidad: el número de aristas que sale de cada nodo debería ser un número par. Después, la teoría de grafos fue evolucionando y alrededor de los años 60 se explicó cómo los grafos podían evolucionar.

En este contexto, surge lo que hoy llamamos la teoría de redes complejas, que guarda gran parecido con los grafos, aunque con una diferencia esencial: en la teoría clásica de grafos se trabajaba con grafos de tamaño pequeño, con un reducido número de redes y aristas conectadas a esos nodos, a diferencia de las redes actuales. Internet es también un ejemplo de una gran red compleja interconectada entre sí. Si uno concibe Internet como que dos páginas están interconectadas y existe un hiperenlace entre ellas, ¿a cuántos clics de media de distancia están separadas dos páginas web? Según un estudio, a 19.

Es importante entender este esquema. hace 30 años, el pensamiento predominante en el mundo era el llamado “pensamiento reduccionista”. Es decir, para entender un sistema, lo que hay que hacer es descomponerlo en sus partes, cada vez más pequeñas, y entender el comportamiento dinámico de cada una de ellas para luego exportar el conocimiento a cómo se comporta el sistema



globalmente. Pero esto solo funciona para un cierto tipo de sistema, para los llamados “sistemas lineales”.

Para ubicarnos, nos adentraremos en la diferencia entre sistemas complejos y sistemas complicados. Un sistema complejo es un sistema que no solo tiene un número elevado de componentes que interaccionan entre sí, sean lineales o no, sino que también tiene un cierto grado de no linealidad, que se refleja en que no siempre el todo es la suma de las partes. Si bien los sistemas lineales se comportan de manera razonable y sin mucha variación; los no lineales son sistemas que bien pueden dar lugar a periodicidad, o bien superar un cierto umbral donde aparece un comportamiento caótico, como ocurre en el mundo neuronal. Asimismo, la complejidad puede provenir de la manera en que se producen las interacciones entre los distintos componentes del sistema. Y aquí nos encontramos con que pueden existir distintas formas de simplificar los modelos, bien entre la interacción concreta de unos con otros, bien en la interacción entre todos a la vez.

En general, en Internet, la no linealidad no solo se manifiesta en cada uno de los componentes, sino también en las propias interacciones entre ellos. Para acabar con el ejemplo del genoma humano, si bien este se diferencia del de un primate en solo un 1%, lo que realmente nos hace diferentes son las conexiones que se dan entre los genes, que permiten la activación y/o desactivación de genes concretos.

En este contexto, para trabajar en el modelo que les va a presentar Víctor, los grafos no

resultaban suficientes, y era necesario introducir un nuevo concepto. Para verlo de manera gráfica, y tomando como ejemplo el plano de metro de Madrid como un grafo con nodos, los nodos serían las estaciones; y las conexiones, las conexiones directas entres las estaciones. Pero luego cada estación está adscrita a una o varias líneas. Entonces aquí aparece el concepto de capas: cada línea sería una capa, cada nodo estaría en varias capas, y habría conexiones entre varias, llegando al concepto de red multicapa sobre el que hemos trabajado.

Pero, ¿qué relación tienen todas las cosas de las que hemos venido hablando con la pregunta que nos planteó Víctor hace un año?

Víctor Chapela

En el asunto en concreto de la intencionalidad, no tanto en grafos, habíamos venido trabajando en tres ejes básicos: accesibilidad, anonimidad y valor. El primero, relacionado con los grafos; y los dos últimos, con el riesgo del atacante y el valor esperado. Cada uno de ellos con diferentes controles, como separar y disociar el valor; autenticación; monitoreo y reacción de la anonimidad; y autorización, filtrado y aislamiento de los accesos.

La pregunta de fondo de un grafo es dónde coloco los controles en mi red para que sean más eficaces y efectivos desde el punto de vista del esfuerzo. Y aquí había una problemática particular en esos tres ejes: según se incrementaba la accesibilidad se provocaban también diferentes problemas. De un lado, en la accesibilidad total



tenemos el riesgo accidental, la redundancia y la capacidad de mantener algo arriba o en línea; y, del otro lado, está la confidencialidad, donde aquí, en contraposición, se opta por los accesos restringidos. Este es el tipo de seguridad total que buscamos en este momento, y esto se lograba con una menor accesibilidad.

Por otro lado, también podemos reducir el riesgo reduciendo la anonimidad y el valor, pero es la accesibilidad la que, sobre todo, se orienta a grafos. Y es porque podemos tomar todos los accesos y todos los sistemas, y convertirlos en nodos, viendo las relaciones entre ellos –quiénes consultan qué información, quiénes la transforman y quiénes la guardan–. Eso nos permite segmentar los nodos y encontrar relaciones entre ellos; ver cuáles son los puntos más interconectados de nuestro grafo y poner una frontera de confianza alrededor de ellos que nos permita protegerlos. No se trata de asegurar todo lo demás al mismo nivel, porque parte del problema de la seguridad es cómo nos concentramos en lo verdaderamente importante. Con estas ideas justamente empezamos a ver la información en multicapa –cómo está organizada una estructura compleja, qué grupos de usuarios hay que gestionar de modo distinto, qué aspecto de la información hay que primar, etc.–. Con ello, lo que podemos es aislar de nuestro grafo las partes con mayor riesgo intencional, más susceptibles de ser hackeadas. Dentro de esta red, es importante ver qué nodos tenían mayor anonimidad, es decir cuál era el atacante más anónimo. Y con ello llegamos a la pregunta que yo planteaba hace un año: ¿Cómo podemos modelar esto?

Regino Criado

Nosotros empezamos a trabajar sobre la base de entender que el riesgo de ataque intencional es una función, no sabemos si es lineal o no lineal, que depende del valor de los datos para el atacante, de su accesibilidad, y del grado de anonimidad. Y creamos el modelo de red multicapa –el gran problema del trabajo en redes complejas–, que era dirigido, etiquetado y ponderado, con la idea de buscar una red compleja adaptada a entornos digitales complejos de grandes corporaciones. Y llegó la gran pregunta: ¿qué podemos representar dentro de cada una de las capas?

Víctor Chapela

Una de las primeras ideas para explicar los diferentes elementos (accesibilidad, anonimato y valor) fue utilizar el modelo de circuitos eléctricos, que se representa con grafos, Por un lado, tenemos el polo negativo, que mide la anonimidad de la persona, y, por otro, el polo positivo, que mide el valor al que accede. Entonces tenemos que cuanta más diferencia de potencial entre los polos, más riesgos. Así que si lo que queremos es reducir ese riesgo, lo que tenemos que hacer es poner resistencias, que serán controles de acceso a nivel de red, de aplicaciones, de servidores, etc.

También trabajamos con la idea de reducir la anonimidad o el valor con la disociación o separación de los datos. Esto acabó convergiendo en una idea sola, un circuito eléctrico determinista donde podíamos determinar exactamente las cargas y la relación entre anonimidad y valor



como dos cosas que estaban medidas en un mismo eje, viendo que no eran iguales.

En este proceso de entender la complejidad como algo multidimensional, cada nodo tenía las tres características básicas, no había nodos de accesibilidad, valor y anonimidad separados. Teníamos en un punto la anonimidad, en otro punto el valor, y luego teníamos que poder propagar esos valores a través de la red compleja. Y ver qué controles se necesitaban para reducir estas máximas, viendo cómo se propagaba el valor de un punto a otro. Es decir, que si tenemos una base de datos que tiene mucho valor, y está conectada a una aplicación web, si hackeo cualquiera de las dos tengo acceso al mismo valor. Pero si solo se transmite un fragmento de esa información, solo se está exponiendo eso. También con el anonimato… Si el ataque viene de Internet se reduce si pongo controles; si no, sigo con la misma anonimidad.

Y es aquí cuando empezamos a entender que hablábamos de distintos tipos de capas. Acabamos encontrando 4 capas básicas (ahora creo que ya vamos por 16): capa topológica –asignado un valor y nivel de anonimidad a cada sistema de la red–; capa de controles de la red y mitigación del riesgo; capa de accesos autorizados; y capa de accesos potenciales por afinidad –aquí no importa si no estoy autorizado, lo que importa es qué puedo manipular para tener acceso–.

Así, cada equipo de red contaba con todas estas partes que antes veíamos como capas distintas. Y, de este modo, un sistema podría

estar conformado por subsistemas. En este aspecto, había un tema importante a tener en cuenta, el colapsado y la expansión de estas redes multicapa, porque en su base, que es la red completa, tenemos mucha información que luego no usamos. Y queríamos colapsarlo desde distintas perspectivas, como controles en las aplicaciones y en la gestión de usuarios. Así, el grafo se podría expresar en grafos más pequeños y podrían ser representados por un nodo de más alto nivel, o ampliados o expandidos a otros nodos. Esto nos da no solo la multicapa, sino una capacidad de escala libre, de manera que podríamos entrar al detalle para que cada pedacito de un sistema fuera un nodo; y ver en cada uno de ellos el valor y la anonimidad.

De cada una de estas capas terminamos teniendo tres grandes grupos: levantamiento automatizado (infraestructura), escaneando las redes y obteniendo toda la información; cálculo de riesgo estático (riesgo oportunista), con información del valor y la anonimidad a través de la red para ver qué aplicaciones tienen más riesgo para hacer el modelado en cada capa; y riesgo dinámico, que no se centra en dónde tengo acceso sino en qué ruta es más fácil para un atacante.

En esencia, proteger los sistemas entre sí, de sí mismos, es más importante que proteger el flujo hacia abajo. Y lo que estamos empezando a hacer es el riesgo dinámico.

Regino Criado

La capa de afinidad que corresponde a los accesos no autorizados se reduce, en la práctica, a accesos



con los que no se cuenta. Entonces hablamos de redes adaptativas, no estáticas; y de ahí, de riesgo dinámico. Lo fundamental en nuestro modelo es cuantificar el riesgo de cada uno de los elementos de la red y tener en cuenta esto en el colapsado para visualizar un sistema grande con un número reducido de parámetros.

Tenemos las tres magnitudes (valor, accesibilidad y anonimidad) y tenemos tres nodos (origen, intermedios y objetivos, que es donde reside el valor). La idea es que si tenemos una red de interconexiones, el valor se debería distribuir de derecha a izquierda, de manera que, tomando el valor considerado en los nodos donde reside esa información, cada uno de los nodos conectados con ellos a través de un único salto o link tendrían, no exactamente el mismo valor, pero sí un valor importante. Y si uno está conectado con uno de los nodos que accede a este que tiene valor, también tendría valor. De alguna forma, el algoritmo empleado corresponde a la exponencial de una matriz, obteniendo un vector de valores que corresponde a la cuantificación del valor que reside en los nodos donde está el valor. Esta idea lo que hace es ir disminuyendo paulatinamente la influencia del valor, según se va difuminando en los sucesivos nodos.

Por otro lado, tenemos la accesibilidad. Y la idea es que, partiendo de los nodos que se conectan desde los puntos más alejados de la red y tratan de llegar a los nodos objetivos, la accesibilidad se propaga dando una cierta importancia a los nodos intermedios. Esto viene dado por el mismo algoritmo que funciona en Google. Si uno coloca en un punto un paseante aleatorio, los nodos más

importantes son aquellos por los que se pasa. Tenemos dos parámetros, uno para atribuir valor a cada nodo de la red, y otro para la accesibilidad. Nos queda la anonimidad…

Víctor Chapela

Con respecto a la anonimidad, simplemente la propagamos como la mayor anonimidad. Si hay un acceso desde Internet, simplemente se propaga. Pero vimos que si había un acceso desde Internet, entonces la anonimidad se manifestaba en que cualquier persona en la red interna tenía acceso como si estuviera en Internet y vimos que no era cierto del todo. Además, había otro problema fundamental, desde el punto de vista de normalización de nuestros tres ejes. Los ejes de accesibilidad y valor eran exponenciales y estábamos utilizando escalas logarítmicas. Y ambos se podían relacionar muy bien. Pero la anonimidad es un cambio de fase, es una función sigmoidea. Es la percepción de anonimidad que tiene el atacante potencial, de manera que la percepción del riesgo no es exponencial, cuando en realidad sí lo tenemos. Pensamos que tenemos mucho o poco riesgo, pero en medio…

Para solucionar esto, empezamos tratando de definir diferentes perfiles de usuario que podían acceder desde diferentes entornos; y vimos tres entornos que provenían de fuera de la empresa: Internet, la red inalámbrica y los proveedores externos; y luego una DMZ, y un concepto de cajas fuertes, que estaba en una segunda parte de transición.


Centro de Investigación para la Gestión Tecnológica del Riesgo 21

Entendimos que había dos zonas de transición, que pasábamos de la alta anonimidad hacia la baja anonimidad; y desde bajo valor hacia alto valor, que eran nuestras cajas fuertes. Y empezamos a definir reglas y patrones viendo los roles en cada punto en el área de seguridad y los tipos de conexiones válidas e inválidas.

En vez de poner en una función sigmoidea dónde estaba la anonimidad, pensamos que era mejor diseccionarla en capas; e hicimos la valoración de hasta dónde pueden llegar diferentes tipos de usuarios viniendo desde Internet. Así, nos encontramos con doce subcapas de anonimidad, que eran valores diferentes, y que permitían el uso de controles diferentes.

En la ley de protección de datos de México quedó formalizado así: priorizando los riesgos por tipo de dato, y luego priorizando los riesgos por entorno; y, después, viendo la propia priorización de los controles. Identificamos cuál era el proceso; y definimos el riesgo por tipo de dato, del uno al cinco (a mayor volumen de datos y a mayor riesgo por tipo de datos, mayor el nivel de control necesario).

En el riesgo intencional, que se divide en accesibilidad y amenaza externa; esta se divide a su vez en anonimidad y valor para terceros. De ahí llegamos a lo que llamamos “riesgo latente” en la legislación de protección de datos de México. Está el riesgo por tipo de dato, la accesibilidad, la anonimidad… y, en el caso del valor, simplemente había que disociar y separar el valor. En el caso de la accesibilidad y anonimidad quedaban en un segundo recuadro,

donde teníamos cinco tipos de anonimidad, cuatro de ellas reflejadas en grafos: nivel físico, red interna, inalámbrica, de terceros e Internet. Les pusimos un valor concreto a partir de lo que veíamos en las diferentes estadísticas que indicaban dónde se robaba más información, y quedaron diferentes patrones de DMZ a utilizar, controles físicos a considerar, etc.

Entonces, una vez planteado el modelado de riesgos de una forma medible, ahora sí podíamos hacer modelado de riesgos de un nodo, que antes no existía. Y dentro de poco ver también cuál es la ruta más fácil, modelar los riesgos.

Regino Criado

Todo esto, para concluir, se plantea en el tiempo a través de redes evolutivas, redes temporales, redes interconectadas, etc.; centralidad y otros parámetros similares; control de redes, etc.

Lo importante es que esta colaboración no solo ha servido para que universidad y empresa hablaran, sino además para brindar herramientas para el modelado. Y para que cada propuesta se retroalimente en pos de la facilidad de uso. Así, entenderemos mejor el riesgo, veremos dónde funciona mejor el cortafuegos, cómo reduce mejor el riesgo un IPS, etc.

El riesgo dinámico es todavía lo que nos falta por hacer, aún se está determinando cómo se va a modelar el hackeo. Tenemos muchas ideas, pero aún tenemos que esperar a que tomen cuerpo y establecer conclusiones.



uisiera aprovechar mi intervención para hablarles del valor de la inteligencia en seguridad, en un momento en que los

ciberdelincuentes están encontrando cada vez con más acierto la forma de entrar en las organizaciones. Pero antes quiero presentarles hP Enterprise Security.

hP es conocida en muchos mundos de TI y ahora, tras las adquisiciones de compañías como TippingPoint, Fortify o ArcSight, ha decidido entrar en el campo de la seguridad empresarial con la nueva división hP Enterprise Security, que también está apoyada por nuestra investigación global en

seguridad, donde estudiamos la vulnerabilidad, la problemática asociada a aplicaciones de terceros, y las amenazas en tiempo real.

Si nos fijamos en Internet y en cómo utilizan las empresas las tecnologías de la información, es importante destacar la existencia de tendencias tecnológicas disruptivas. En los últimos años, hemos visto muchos cambios en la forma de organizar el trabajo. Antes, toda la tecnología estaba dentro del mismo edificio de la compañía; y ahora confiamos en el mundo cloud, en hacer las cosas a medida y el outsourcing, y en el BYOD, entre otras opciones. Y todo ello tiene un innegable impacto en la seguridad.

Simon Leach(Director de Preventa para EMEA de HP Enterprise Security)

INTELIGENCIA DE SEGURIDAD Y GESTIÓN DEL RIESGO

¿Qué puede hacerte daño de lo que no ves?



El mundo cloud

En términos de “nube”, una de las grandes inquietudes es quién es el propietario de los datos. ¿Está implícita la responsabilidad sobre aquellos en la subcontratación de servicios en la “nube” o es algo que siempre conserva la propia empresa y no puede delegar? En efecto, ustedes son responsables de su información, esté donde esté. Si su proveedor de “nube” se la roba, usted seguirá siendo el máximo responsable de ella. Y esto es algo que se encuentra en la letra pequeña de los contratos con los proveedores cloud.

Por otro lado, hacer las cosas a medida nos lleva a una situación en que, en muchos casos, no sabemos lo que está ocurriendo en nuestra red, porque hay numerosos dispositivos y pueden estar siendo gestionados tanto interna como externamente.

Y es que, al final, ¿con cuántas soluciones de seguridad nos estamos midiendo? En el mercado hay aproximadamente un total de 1.200 productos, que no se comunican entre sí. De modo que cuando el producto A ve que algo no funciona bien, no puede comunicárselo al producto B, que, por su cuenta también, ha visto que algo no funcionaba bien. Tenemos un problema de correlación de información. hemos de establecer algún tipo de métrica para medir lo que realmente es una prioridad de riesgo para nosotros. Y eso se hace evidente cuando vemos cómo ha cambiado la ciberamenaza en los últimos tiempos.

hace unos años, cuando alguien entraba a una web lo que hacía era poner una cara con muecas

o algo similar. Y lo hacían estudiantes que querían jugar y hacerse con un nombre. Ahora son profesionales que se mueven por dinero. Que venden información en un mercado negro donde pueden llegar a pagarles unos 300 dólares por cada número de tarjeta.

Por otro lado, también estamos asistiendo a una explosión del ciberterrorismo y de lo que se llama “seguridad ofensiva”, en virtud de la cual los gobiernos están invirtiendo en herramientas cuyo fin es poder atacar a sus enemigos. Por ejemplo, se dice que el Pentágono está cambiando de marcha en su ciberestrategia para dotarse de una tecnología capaz de establecer un cortocircuito en cualquier sistema que quisiera atacar al Estado. Todos sabemos también que se escribió un software malicioso para romper la seguridad de las centrales nucleares en Irán. No tenemos datos exactos de las pérdidas producidas, pero se dice que la planta iraní atacada perdió el 20% de su capacidad.

Por otro lado, otra de las amenazas a las que nos enfrentamos hoy día son las APT (Advanced Persistent Threat). Y aquí es importante entender lo que es una APT bien construida. Es avanzada porque no se utiliza una única herramienta, sino todas las habilidades de ataque que se sabe que van a triunfar; se pueden utilizar herramientas para entrar, luego para ver los posibles objetivos, y después para apoderarse de ellos definitivamente. Es persistente porque está dirigida contra organizaciones específicas y no parará hasta obtener lo que quiere. Y es una amenaza porque alguien está haciendo esto con el objetivo de producir un daño.



En realidad, esto de las APTs empezó realmente como un ejercicio gubernamental, con un proyecto del año 1997 llamado “eligible receiver”, financiado por el gobierno . El objetivo era atacar 36 redes gubernamentales con las herramientas disponibles. Los resultados hicieron que el gobierno de EE.UU. despertara y pensara en ello seriamente. En 1998 tuvimos otra APT. Aquí descubrieron que tres hombres habían entrado en la red del Pentágono para robar información. Y aquello fue una señal de alerta para los gobiernos de todo el mundo. Y entonces se pasó del espectro gubernamental a otros posibles escenarios de ataque, como la red eléctrica. Alguien comentaba hace poco que los chinos tienen acceso a las redes de energía de todo el mundo, y que podrían pararlas con solo apretar un botón. Piensen un momento en esto.

En este contexto, mi ataque favorito es Google Aurora. No se ha comprobado, pero se sugirió que aquello empezó con un grupo de hackers chinos que entraron en la red de Google para robar algunas de sus fuentes. Lo hicieron porque Google estaba teniendo problemas en China y querían copiar su fórmula para tener un motor de búsqueda similar. Entonces entraron en Google utilizando una vulnerabilidad no revelada en Internet Explorer. Si Google hubiera usado su propio navegador (Google Chrome) en lugar de Internet Explorer, Google Aurora no hubiera ocurrido nunca, porque nadie hubiera podido usar esa vulnerabilidad con el navegador Chrome.

Si yo le preguntara a alguno de ustedes si ha sufrido un ataque, nadie levantaría la mano; y, sin embargo, el 25% de las compañías con las

que hemos hablado en los últimos doce meses han experimentado un ataque o violación de sus datos. Y a veces ni siquiera son conscientes. Un asesor del gobierno americano dice muy claro que casi todas las compañías de EE.UU. han sido atacadas por el gobierno chino. Impactante.

Patrón común de ataque

Pero, ¿qué tienen en común estas compañías? ¿Google, una planta de procesado de uranio y el resto de los ataques conocidos? Todas han sido atacadas en los últimos 20 meses con un patrón común: mediante la explotación de vulnerabilidades de día cero, para lo que aún no tenemos una forma eficaz de protección. De manera que las compañías tienen complicado protegerse contra algo frente a lo que aún no hay remedio.

Fijándonos en el patrón común de ataque, el atacante primero identifica dónde quiere entrar y qué quiere atacar, y comprueba que puede hacerlo con vulnerabilidad de día cero. De ser así, no podremos pararle. Una vez dentro, el atacante tendrá acceso privilegiado a activos críticos, hará barrido de la red, etc. Lo puede hacer poco a poco, no de manera inmediata, para despertar menos sospechas. Para, finalmente, empezar a robar información.

Para comprender cómo puede llegar a ocurrir esto, hay que entender antes cuáles son los pasos previos que conducen a esta situación. ¿Qué ocurre justo antes de que se produzca un ataque, o en sus inicios? Pondremos el siguiente ejemplo: una organización recibe una petición



de acceso remoto a su red y un empleado recibe un correo en este sentido desde China. Se envía una notificación, pero nada más. Al día siguiente, a primera hora, el empleado abre el correo y parece proceder de alguien conocido, y abre el archivo adjunto. Entonces se instala un acceso remoto en el sistema y se envía la notificación a la misma dirección de China. Dos horas después, la CPU del servidor va más allá y desencadena una alerta. Tras unos minutos desaparece y, de este modo, el potencial ataque es ignorado. Al mismo tiempo, pero nadie lo relaciona, se produce también un incremento en la actividad de la red, pero vuelve a la normalidad tras unos minutos, y entonces también se ignora. Así, el administrador de red, que ve mucho tráfico de salida, no se percata de la verdadera alerta. Unos días después la información de la base de datos de esta compañía está en Facebook. ¿Qué ha ocurrido?

En realidad, el cliente estaba haciendo las cosas bien. Tenía herramientas de seguridad actualizadas, monitorizaba los servicios, etc.; pero faltaba la correlación necesaria entre todos estos avisos e informaciones. Aunque tengamos las mejores herramientas del mundo, si no correlamos la información no tendremos suficientes indicios para saber qué está ocurriendo realmente. La información es la clave. Tenemos que comprender los puntos débiles que hemos heredado, las debilidades que hemos creado, y las que podemos utilizar. Y asegurarnos de que nuestra inteligencia de seguridad está funcionando. Tenemos que entender las debilidades. Todos tenemos aplicaciones de terceros, servidor de red, bases de datos… y

cada una de las aplicaciones va a tener una vulnerabilidad.

Vulnerabilidades en código

Las investigaciones sobre la calidad del desarrollo de software muestran que hace 10 años se producían una media de 40 errores cada 1.000 líneas de código, y hoy en día, gracias a los avances en el desarrollo de software y el empleo de metodologías, esta cifra se ha reducido a 4 errores por 1.000 líneas de código. Considerando que un teléfono móvil iPhone tiene 13 millones de líneas de código, un Android tiene 15 millones, Windows XP 60 millones, los errores en el código provocan un alto grado de potenciales vulnerabilidades.

Además, aunque ha habido en los últimos años una disminución en el número de vulnerabilidades, la gravedad de las mismas está aumentando. Por ejemplo, en 2006 el porcentaje de vulnerabilidades con nivel 8 o mayor era aproximadamente del 26%, sin embargo ahora es de un 37%. Es decir, las vulnerabilidades se están haciendo más críticas.

Llegados a este punto, hay que destacar que únicamente el 1,3% de las vulnerabilidades está siendo identificada por el mismo fabricante, mientras que más del 90% lo es por terceros. Es decir, que hay mucha inteligencia en la red.

En este contexto, la forma en la que este mercado ha empezado a enfrentarse a estas vulnerabilidades en los productos es a través del lanzamiento de los programas denominados



Vulnerability bounty program. Los investigadores independientes encuentran un problema en una aplicación comercial y se la comunican al fabricante, y este les paga un dinero. De manera que esta dinámica funciona como un incentivo para encontrar vulnerabilidades en los productos.

Desde hP Tipping Point, en 2005, lanzamos la iniciativa Día Cero, que venía a ser la primera entrega de un programa de este tipo. Con ello intentamos sacar la vulnerabilidad del mercado negro, ayudando al proveedor a solucionar su problemática más rápidamente; y, de paso, brindamos a nuestros clientes una protección proactiva.

Vulnerabilidades en software propio

Vista la necesidad de tomar partido en la resolución de las vulnerabilidades asociadas al código del software, el segundo punto a tener en cuenta sería el de las debilidades que nosotros mismos creamos cuando desarrollamos soluciones propias para dar servicios a nuestros clientes. La desventaja de estas iniciativas es que no hay nadie que monitorice los parches de vulnerabilidades de los sistemas, no hay nadie detrás de esas aplicaciones. Por eso es también menor el número de vulnerabilidades reveladas en estos ámbitos. Pero las vulnerabilidades aumentan y la razón es que no hay parches para solventarlas.

Los atacantes conocen esta situación, esta falta de monitorización y están cambiando también los patrones de ataque para dirigirse con más frecuencia hacia estos software a medida. En hP

hicimos un estudio entre más de 1.000 clientes, y el 73% de ellos declaró haber tenido una vulnerabilidad de SQL en su código. En el sector financiero, solo un 8%.

Por otro lado, también hay que destacar las prácticas basadas en la compra de vulnerabilidades para poder entrar en la red de los competidores, por ejemplo. hay gente especializada en vender a las organizaciones acceso a vulnerabilidades únicas sin parche de su competencia.

Desgraciadamente, hoy las herramientas de seguridad no son perfectas. ¿Cuántas herramientas hay en una gran organización? ¿60? ¿70? Son muchas herramientas distintas, que aunque fueran las mejores posibles, hay luego que confiar en que las personas que trabajan con ellas comprendan perfectamente la información que les va llegando y cuenten con un proceso adecuado que les permita recrear eventos. Al final, un SOC es mucho más que tecnología; son también personas y procesos.

Internet: distintos niveles de maldad

Como conclusión, diría que tenemos que comprender que ya no hay “buenos” en Internet; sino distintos niveles de maldad. Cualquiera en un momento dado puede ser un adversario. Además, los controles legacy no serán capaces de mantenerse completamente al día. Y, al mismo tiempo, hay que comprender el potencial de vulnerabilidades que tenemos, siendo capaces de convertir todo esto en inteligencia de seguridad; y compartir esta información con los



directivos de todos los niveles de la organización, de manera que cuando se produzca un problema sea comprendido a distintos niveles, entendiendo el impacto en la empresa. Porque, ante compañías que han sido atacadas, la diferencia está, muchas veces, en cómo se ha reaccionado al ataque. El objetivo es tratar el ataque de manera proactiva.

HP EnterpriseView

¿Y cómo aborda hP todo esto? Desde nuestro punto de vista, hay que dejarse guiar por las necesidades del negocio; y ser capaces de ver más allá de las herramientas de seguridad, integrando la información corporativa con todas las operaciones del negocio.

Tras las adquisiciones de Fortify, TippingPoint, etc. hemos empezado a alimentar toda esa información en un único punto, en una herramienta que se llama HP EnterpriseView, y que está diseñada para ser una especie de panel de mandos de una organización. Si se nos pregunta por qué nuestra propuesta es diferente de otras, diría que porque también la hemos integrado en otras partes de la infraestructura, tomando información igualmente desde la perspectiva del cumplimiento de seguridad. Tomamos información de otras soluciones propias, como Business Services Monitor (BSM), y empezamos a combinarla con herramientas de vulnerabilidad para entender cómo esto se relaciona con la posición de gestión de riesgos de la organización.



i recuerdan, cuando éramos pequeños nuestra madre siempre nos decía “hijo, lávate las manos antes de comer”; y aunque ahora parece evidente hacer

eso frente a los gérmenes, no siempre ha sido así. En el año 1864, cuando Luis Pasteur expuso en la Universidad de la Sorbona la existencia de unos pequeños agentes capaces de matarnos era impensable que algo que no veíamos pudiera acabar con nuestra vida. Pero Pasteur demostró la existencia de estos gérmenes haciendo en la Sorbona la presentación más innovadora de todos los tiempos. Llevó una especie de Power Point e hizo experimentos en la misma sala con los cultivos de gérmenes y bacterias. Y desde aquel éxito se salvaron cientos de miles de vidas

solo porque los médicos empezaron a lavarse las manos antes de las operaciones.

Nosotros no luchamos contra gérmenes y bacterias, pero sí luchamos contra los “malos” del mundo virtual, y sería una lástima que por culpa de una mala presentación nuestro mensaje no llegara a la audiencia. Es lo que se llama “muerte por Power Point”, porque muchas veces se termina predicando solo delante de cuerpos porque la mente se ha ido ya de la sala.

Tenemos que ver cómo podemos innovar con las presentaciones. Porque si nos importa innovar en nuestros negocios, ¿por qué no innovar también con las presentaciones?

Gonzalo Álvarez Marañón(Científico, escritor y conferenciante)

SI INNOVAS EN TU NEGOCIO, ¿POR QUÉ NO INNOVAR EN TUS PRESENTACIONES?

Centro de Investigación para la Gestión Tecnológica del Riesgo�0


Sí podemos

Algo que suele sorprender mucho es ver a un ingeniero de telecomunicaciones como yo, doctorado en informática, haciendo cursos de cómo hablar en público. Y aquí está la verdadera trampa: pensar que alguien con esta titulación no está capacitado para dar un curso. Y lo que hacemos es invertir el argumento y pensar que nosotros no estamos capacitados parar hacer buenas presentaciones.

Y ahora les pregunto, y levanten la mano… ¿Cuántos de ustedes saben dibujar? ¿Cuántos saben bailar? ¿Cuántos saben cantar? Muy pocos levantan la mano… Piensen en qué ocurriría si se lo preguntáramos a niños de cuatro años. Todos dirían que sí, sin vacilación. El error está en que ustedes piensan que hay que pintar como un pintor profesional, en vez de simplemente pintar. Les propongo que dibujen un coche, y veamos hasta qué punto todos podemos expresarnos con un dibujo.

Con las presentaciones ocurre igual, que queremos hacer presentaciones perfectas, como cuando hablamos de dibujar o bailar; y no se trata de eso. Se trata de hacer una buena presentación para que la gente se lleve nuestra idea a su casa, porque el problema de las presentaciones mediocres es que son invisibles, pasan sin pena ni gloria.

Si hacemos una representación gráfica con una campana de Gauss humana [el conferenciante pide 10 voluntarios para hacerla y coloca en los extremos a los más bajitos], vemos que el 10%

del extremo de la derecha son las presentaciones horribles, y el otro 10% del otro extremo, las presentaciones sublimes; y que el 80% restante (todo lo que está en el medio) aglutina a las presentaciones mediocres. Afortunadamente, hay un 10% de presentaciones extraordinarias, que consigue transformar a la audiencia, motivarla; y hacia ahí nos tenemos que mover. hay que olvidarse de seguir los mismos patrones, lo que todo el mundo hace; porque eso son solo resultados normales: mediocres. Aunque, eso sí, dejar la zona de confort implica un riesgo, ya que todos sabemos que la línea que separa la excelencia del ridículo es muy delgada.

LOS � OBJETIVOS DE TODA PRESENTACIÓN

Con independencia de su propósito –informar, persuadir, etc.–, toda presentación persigue siempre tres objetivos: conectar con la audiencia; captar, dirigir y mantener la atención; y fomentar la comprensión y el recuerdo. Vamos a analizar las implicaciones de cada uno de ellos y ver qué técnicas podemos utilizar para lograrlos; algunas antiguas, como la retórica de Platón, y otras más modernas.

Conectar con la audiencia

Esta conexión con la audiencia lo será a distintos niveles. Básicamente, hablaremos de tres: conexión intelectual, emocional y ética.

La conexión intelectual toma la premisa de que el nivel de conocimientos es similar entre el


Centro de Investigación para la Gestión Tecnológica del Riesgo �1

ponente y su audiencia, hay un vínculo entre lo que yo sé y lo que la audiencia sabe. Aquí vamos a hacer otro ejercicio. Necesito un voluntario que tamborilee una serie de temas musicales con los nudillos de la mesa para que los demás los adivinen. Ven que es difícil reconocerlo así; pero cuando compartimos el nombre de la melodía ya la reconocen. ¿Qué ocurre con las presentaciones? A veces, tenemos un conocimiento que la audiencia no comparte, lo que en psicología se llama “la maldición del conocimiento”, y lo que hay que hacer es reducir esa distancia y ponerse en el lugar de aquellos que no saben tanto como nosotros.

La conexión emocional habla de nuestra disposición, de nuestras emociones hacia la audiencia. Todos sabemos cuál es el resultado si hago mi ponencia desde la superioridad y el desprecio. Por eso, se debería mostrar siempre una apertura, demostrar que estás satisfecho de estar donde te encuentras. Es muy simple: si quieres impresionar a la audiencia, háblales de tus logros; pero si quieres conectar con ellos, háblales también de tus fracasos y tus luchas. Por supuesto, también has de tener fe en tu público, creer en ellos y en sus posibilidades. Y todo ello aderezado con una forma de hablar capaz de trasladar pasión a la audiencia, porque cómo van a creer los demás lo que ni tú mismo te crees.

Llegamos ahora a la conexión ética: cómo te ha transformado lo que estás contando. Tienes que haber vivido los cambios de los que hablas, si no es muy poco creíble. No puedes hablar de algo que tú no has experimentado. Aristóteles decía en su Retórica que “la credibilidad nace del equilibrio

entre la lógica y la emoción”; y lo que suele ocurrir en las presentaciones, especialmente en las técnicas, es que los contenidos y argumentos suelen estar escorados completamente hacia la lógica. Es interesante en este punto el descubrimiento que hicieron Kahneman y Tversky al desarrollar la denominada “Teoría de las perspectivas”, según la cual los seres humanos tomamos las decisiones primero de manera emocional, para luego justificarlas a nivel racional. Por ejemplo, primero eliges al candidato para un puesto de trabajo en concreto por la sensación que te ha causado, y luego revisas el currículo.

Para conectar con la audiencia tienes que saber cuál es su ADN: su actitud y resistencia –si es gente con mucho interés por el tema, si les han “obligado” sus empresas, etc.–; la demografía –no es lo mismo hablar a una persona que a 500, ni a ingenieros de telecomunicaciones que a abogados–; su conocimiento del tema, su posicionamiento con respecto a él –no es lo mismo hablar a padres que a hijos, aunque sea el mismo tema–, etc. Y en función de todo eso, adaptar el discurso.

Por ejemplo, si nos encontráramos con una alta resistencia, algo que suele funcionar muy bien es la “aversión a la pérdida” –por ejemplo, decir algo así: “si no instalas esta herramienta, tu sistema se caerá”–. Para demostrar esto, hagamos un juego. Si les digo que les ofrezco la elección entre ganar 500 euros seguros o 1.000 bajo la posibilidad de cara/cruz, ¿cuántos de ustedes preferirían 500 euros en mano? Nos produce más satisfacción dejar de perder una cantidad que ganar esa cantidad idéntica.



Por otro lado, un error pedagógico nefasto es lanzar nuestras respuestas a la audiencia como si fueran piedras, antes de haber escuchado sus preguntas; porque, al final, en una presentación, lo que la audiencia busca es que le resuelvan un problema, una inquietud.

Visto todo esto, vamos a hacer un ejercicio de autopresentación, qué cuentas de ti cuando conoces a alguien. Si se ponen por parejas y durante 30 segundos se cuentan el uno al otro quiénes son y qué hacen… ¿cuántos de ustedes han tratado de reconocer la necesidad del otro y se han presentado para ayudarle a resolver un problema? En nuestras presentaciones decimos, por ejemplo, que “me dedico a hacer auditorías”, y dejamos que el otro infiera para qué le sirve a él esto que yo hago. Pero si metéis en la frase “yo me llamo… y ayudo a… a lograr…”, todo cambia. Yo, por ejemplo, me presento así: “ayudo a que personas, directivos, ingenieros, emprendedores, etc., le cuenten al mundo sus historias, las que llevan dentro del corazón, y a inspirarles para transformar a otros para un cambio a mejor”. Preséntense ahora así, a ver qué cambia.

Captar, dirigir y mantener la atención

En este segundo objetivo nos topamos con una mala noticia: la curva de la atención. Al principio de la presentación tenemos el 100% de la atención; y, a medida que avanzamos, aquella disminuye, para luego perderse casi totalmente. Si decís “para terminar”, terminad.

Si quisiéramos adaptarnos a la curva de atención de la audiencia, lo que tendríamos que hacer es

decir lo más importante al principio y no al final. Si hacemos un experimento y les pongo una lista con una serie de palabras, ¿cuántas recordarían? La mayoría recuerda las palabras del principio… pero, ¿qué pasa con las del centro?

hecha esta comprobación, ¿cómo conseguimos reanimar esa atención en medio de la ponencia? Básicamente, podemos hacer cuatro cosas: recurrir a las afirmaciones –lo que digo, “el iPhone es superior al…”, por ejemplo–; a las evidencias (ya sean lógicas o emocionales); a las ilustraciones –historias, anécdotas, testimonios, vídeos, fotografías, etc.–; y, por supuesto, a la participación de la audiencia, para que no sea un envío de información unidireccional. En este último caso, podemos hacer preguntas, proponer juegos para confirmar alguna idea, etc. En definitiva, no hay temas aburridos, sino presentaciones aburridas.

Así las cosas, resulta importante captar la atención de la audiencia al momento, con un pistoletazo. Con algo que atraiga su atención de inmediato. Aquí podríamos hablar de cuatro mecanismos: utilizar una anécdota o una metáfora para dar solidez a nuestra idea; hacer una pregunta a la audiencia; utilizar unos datos o estadística no conocidos hasta el momento, o hablar de un hecho sorprendente; y, desde luego, cuidar el diseño de nuestras transparencias.

En este último aspecto, si analizamos algunas transparencias, vemos mucho espacio desaprovechado, y quizá podríamos poner algo divertido en alguno de ellos. Y es que aquí hay algo muy importante a tener en cuenta: ¿para


Centro de Investigación para la Gestión Tecnológica del Riesgo ��

quién se hacen las transparencias? ¿Para ustedes o para la audiencia? Para ustedes han de ser tan solo un comodín, son expertos en el tema de que se trate y no necesitan un recordatorio exhaustivo con transparencias llenas de texto, porque si no ¿para qué están ahí? Lo que podríamos hacer, para de verdad llevar a cabo presentaciones para el público, es, por ejemplo, segmentar el contenido –si usan fotografías de pantalla completa, no utilicen fotos recurrentes, utilicen la imaginación; si utiliza una transparencia llena de texto y muy liada, ¿qué mensaje transmites–; o también enmascararlo en formas creativas –viñetas, exponer los puntos clave como un puzzle que se va armando, explotar las posibilidades del audio, etc.–. Al final, una conclusión en este punto: utilicen una sola idea por transparencia, porque si no parecerá que están sometiendo a la audiencia al juego de buscar a Wally.

Fomentar la comprensión y el recuerdo

Llegamos al último punto. Aquí es importante tener nociones básicas de cómo funciona nuestro cerebro. En psicología cognitiva se dice que hay tres tipos de memoria: memoria sensorial, que recuerda solo 3 ó 4 elementos; memoria de trabajo o corto plazo; y la relativa a largo plazo. Con todo, la segunda también permite recordar secuencias más largas, pero troceadas. Por ejemplo, nos sabemos nuestro número de teléfono o nuestro DNI porque recordamos los números agrupados: de dos en dos, de tres en tres, pero no número por número.

De todo ello derivamos la importancia que tiene una buena estructura a la hora de facilitar el

recuerdo y la comprensión. No basta seleccionar las ideas, hay que ponerlas en orden, y en un orden que facilite también su comprensión. Si le doy a la audiencia 100 ideas, recordará 3 ó 4; y si le doy 3 ó 4 recordará justo lo que le estoy dando. De modo que hay que reducir el número de ideas a tres, y luego organizarlas bien.

No es necesario poner toda la información en la presentación. Lo que suele ocurrir es que, por querer contarlo todo, al final no se llega a nada. Cuanta más información demos, menos le llegará a la audiencia. Imaginad que este triángulo que tenemos aquí dibujado encuadra toda la información que manejamos para la presentación. En la parte más cercana del vértice estará lo más interesante de la información que queramos transmitir, lo que más seduzca para captar su interés, y lo que fomente el deseo de buscar más de esa información. Se trata de abrir la puerta a un interés mayor. Si les hemos transmitido bien nuestra idea, y el interés les ha llegado, podremos indicarles dónde buscar más información al respecto para ampliar sus conocimientos. Y puede ser en una wiki, en un manual, en libros que puedo repartir, en documentos que puedo también repartir, o colgar en Internet, etc.

Muchas veces no es lo más importante dar todos los detalles del producto, porque no interesan. Suele ser mucho más impactante mostrar, como hacía Steve Jobs con sus creaciones, lo extremadamente delgado del producto, por ejemplo. Apelar a la emoción.

En definitiva, les animo a que piensen más en sus presentaciones, a que les den una vuelta,

Centro de Investigación para la Gestión Tecnológica del Riesgo��


a que sean conscientes de que decir lo mismo con otras palabras puede tener un resultado completamente distinto. Reformulen su mensaje. Piensen qué pueden lograr sus presentaciones, como Pasteur hizo con la suya logrando salvar millones de vidas… Quizá no tanto cómo pueden

salvar vidas, pero sí cómo pueden cambiar la vida de algunos.

Acabo con esto: una presentación puede cambiar el mundo, de modo que innoven todos ustedes en sus presentaciones. No dejen de innovar.



FERNANDO ESPONDA

Celebro poder hablar del proyecto conjunto realizado entre Sm4rt y BBVA, porque es importante e inspirador encontrar compañías que sigan dedicando esfuerzo a la investigación.

Para sumergirnos en nuestro proyecto de predicción de fraude con tecnologías innovadoras, lo primero que tuvimos que plantearnos fue cuáles eran las problemáticas de fraude en tarjetas de crédito. Y encontramos dos: una, hacer corresponder una tarjeta con un único cliente; y dos, tener una sola copia de una tarjeta. La primera se solventa utilizando o documentos como el DNI o el PIN del cajero; y la segunda,

incorporando chips o bandas magnéticas a las tarjetas. No obstante, no siempre se hace un buen uso de la tecnología y cada vez crecen más las transacciones no presenciales; de manera que, ¿cómo nos aseguramos de verdad de que quien hace la transacción es, de verdad, la persona legítima?

Llegados a este punto, la respuesta podemos encontrarla en el escenario de los patrones de uso y comportamiento, que nos pueden decir si las actitudes detectadas se corresponden a las habituales del titular de la tarjeta. Y aquí tendríamos dos modelos: los llamados artesanales, basados en reglas –“si pasa esto, interpreto que es fraude”–; y los modelos

Fernando Esponda(Director de Investigación de Sm4rt Predictive Systems)

Luis Vergara(Catedrático del Departamento de Comunicaciones de la Universidad Politécnica de Valencia)

PREDICCIÓN DE FRAUDE CON TECNOLOGÍAS INNOVADORAS



automatizados, que se basan en algoritmos. Los primeros son necesarios, pero no suficientes, puesto que hay que considerar también patrones que no son intuitivos, patrones que muchas veces ni el propio sujeto conoce y patrones que requieren muchos datos e implican demasiados logs; por lo que se necesita un algoritmo.

Técnicas para un modelo automatizado

Para generar un modelo automatizado de detección de fraude se utilizan algunas técnicas –redes neuronales, árboles de decisión, etc.– con la intención de encontrar patrones en los datos. Algo que se consigue analizando los registros de información de las tarjetas: montante de la operación, lugar de compra, fecha, etc. No obstante, cada técnica tiene suposiciones distintas de qué es un patrón relevante, de tal manera que una vez que se hace efectivo un modelo basado en una tecnología concreta se obtiene un cierto tipo de patrones y se ignoran otros. Además, un único modelo no es capaz de identificar todos los modos de defraudar; sin olvidar que los propios defraudadores terminan aprendiendo cómo evadir la detección de sus acciones.

Teniendo en cuenta todo esto, y visto que una parte de los modelos actuales se basan en la misma tecnología, la premisa de la que partió nuestra investigación fue la de corroborar si modelos basados en tecnologías diferentes encontraban cosas diferentes. Y en base a esto, dos eran los objetivos: encontrar una tecnología totalmente innovadora para un modelo de detección de fraude –cómo combinar la tecnología para que resultara un modelo más

completo–; y conseguir que no redundara en una sustitución de lo que ya se tiene, sino que fuera un complemento de las propuestas existentes.

Cuatro tecnologías

Según nuestros estudios, nos encontramos con cuatro tecnologías innovadoras (sistemas inmunes artificiales, bases de datos negativas, grafos y memorias jerárquicas temporales). En nuestro proyecto nos decantamos por la última de ellas y apostamos en este sentido por la tecnología que comercializa la firma Numenta, que había desarrollado unos algoritmos a modo de red neuronal, basados en el funcionamiento del neocortex, pero que ponía énfasis en encontrar patrones temporales de los datos.

Nos encontramos, pues, con una combinación automatizada de aprendizaje supervisado y no supervisado. Esta última viene a decir que la fase de observación de los datos no se fija tanto en las categorías de “fraude” o “no fraude”, sino que simplemente trata de encontrar alguna regularidad en ellos. Después, la parte supervisada toma esos patrones hallados anteriormente, y los etiqueta. Lo interesante de la solución de Numenta es que encuentra similitudes espaciales en los datos; y luego, entre ellos, trata de encontrar similitudes temporales.

Con nuestro modelo de detección de fraude, sustentado en la tecnología de Numenta, conseguimos probar nuestra premisa inicial: concluimos que utilizar una tecnología novedosa funciona, y que al aumentar las opciones sí se



consiguen detectar patrones de fraude. Así que la primera parte del objetivo, cumplida. Pero aún faltaba alcanzar el segundo objetivo; a saber: hasta qué punto son diferentes estos patrones que se encontraban con respecto a los de técnicas tradicionales, como redes neuronales; y cómo combinarlos para obtener algo mejor.

Definir y medir la diferencia

Para comprender exactamente qué es ser diferentes, primero necesitábamos una definición y después una medida que lo pudiera cuantificar. La definición que encontramos fue esta: para un conjunto de datos, la diferencia está en un modelo que califique cierto subconjunto de esos datos mejor que el otro modelo.

En cuanto a cómo cuantificar esa diferencia, el número que buscamos ha de ser mínimo cuando un modelo subsuma al otro, cuando sea mejor que el otro; y nos gustaría que fuera máximo cuando, exactamente en la mitad de las transacciones, un modelo sea mejor que el otro. Y es que el índice de complementariedad tiene que ver con el lugar donde se cruzan las líneas de la gráfica entre la calificación y la calidad de la clasificación; viendo qué transacciones quedan a un lado y qué transacciones quedan al otro. El punto máximo tiene lugar cuando uno de los modelos es mejor que el otro, exactamente en la mitad de las mediciones. En esencia, se parece mucho a la medida de información de Shannon. Una vez hecho esto, lo que hicimos fue fusionar las calificaciones de los distintos modelos y obtener una calificación final.

Lo que nosotros hicimos fue dividirlo en “fraude” y “no fraude”. Y resultó que sí es cierta la premisa de que tecnologías con patrones diferentes encuentran cosas diferentes. Y sí sirve de algo combinarlas. En realidad, encontramos una manera de poder mezclar modelos para aprovechar la fortaleza de ambos. Con todo, es una investigación que continúa, a la búsqueda de mejores resultados.

LUIS VERGARA

Por mi parte, voy a describir la plataforma in-Fusion, que estamos desarrollando en la Universidad Politécnica de Valencia en nuestro Grupo de Tratamiento de Señal, dentro del Instituto de Comunicaciones y Aplicaciones Multimedia; y que aplicamos, entre otras cosas, al proyecto conjunto con el Grupo BBVA para la detección de fraude.

Siendo el objetivo la detección de operaciones fraudulentas con tarjeta bancaria, y empezando por el tema de reconocimiento de formas aplicado a la detección de fraude, nos adentramos en las dificultades asociadas al uso de tarjetas en diferentes modalidades. En este sentido, cada vez que se usa una tarjeta, quedan registros grabados, y a partir de esa información, una máquina debe decirnos si estamos en presencia o no de un posible fraude.

En este contexto, entraremos un poco más en detalle para ver cuál es el problema general, la aplicación concreta, lo que entendemos por



forma, etc.; para a partir de esa información tomar una decisión entre un conjunto de decisiones posibles.

En el asunto de la aplicación de detección de operaciones fraudulentas con tarjeta bancaria, la forma inicial está constituida por ese registro de información tras la transacción (montante de dinero, fecha y lugar de la operación, etc.), y con ello decidiremos si es un fraude o no. Y matizando un poco más, dando una calificación que, unida a la propia experiencia del operador, permitirá autorizar o no la operación.

Tres etapas

Todo proceso de reconocimiento de formas tiene tres etapas. En la primera se mide el entorno y se obtienen los datos de registro de cada transacción con tarjeta, lo que redunda en la obtención de un conjunto de números, que después utilizará la máquina. Y habrá que discriminar en función de la utilidad de la información, y de su redundancia; al tiempo que se reduce la dimensión de la muestra. En la segunda etapa, que es el núcleo fundamental del reconocimiento de formas, se generan los scores, o notas/puntuaciones, que representan la probabilidad de que haya fraude. Será un número entre 0 y 1. Y, finalmente, llega la etapa tres, la de umbralización, donde decidimos dónde ponemos el umbral para la generación de una alarma, cuyo aviso se recibirá con el score asociado.

Es, entonces, cuando también se genera la problemática asociada al aprendizaje de la máquina para generar puntuaciones y definir el

umbral. Al final, lo que tendremos es una forma con dos partes (“fraude” y “no fraude”), de manera tal que cuando llegue una transacción cae en una de las dos regiones.

En esencia, considero que todos los procedimientos de los que disponemos actualmente para catalogar con las máquinas, pueden hacerse dentro de estas tres opciones, y sus posibles combinaciones: la densidad de población de cada tipo o densidad de probabilidad; la distancia a valores representativos de cada tipo; y la distancia a una cierta frontera de separación, donde se obtienen resultados en función de lo lejos o cerca que se quede de la frontera.

Fusión de detectores

Por otro lado, también quisiera mencionar cuatro aspectos significativos en este ámbito: cómo elegimos el conjunto de las formas etiquetadas para el aprendizaje; cómo se va cambiando con el entorno y las modificaciones en la medida de densidad de población; cómo se define la función objetiva a minimizar; y qué filosofía elegimos para fusionar detectores, que nos permitan partir de detectores más simples, entrenados fácilmente, y convertirlos en uno más sofisticado por su unión. En el caso de la detección de fraude, al tener la misma entrada (el registro de las transacciones), podemos hacer fusión en cualquier nivel.

Concretamente, teniendo dos detectores, podríamos hacer fusión soft, si fusionamos los scores de ambos para tener una única puntuación; y fusión hard, si lo que fusionamos



son las decisiones de ambos detectores, en lo que llamamos “algoritmo de fusión hard”. Si los detectores son homogéneos, igual de fiables e independientes estadísticamente, los algoritmos son sencillos; no así si unos son más fiables que otros.

Pero, ¿por qué puede interesar hacer fusión? Porque al juntarse ambos detectores tendremos la oportunidad de hacer una operación que cualquiera de ellos sería incapaz de hacer por su cuenta; y así conseguiremos operaciones complejas.

Fusión soft, mejor que hard

Si hacemos simulaciones de fusiones, asumiendo independencia de los scores bajo ambas hipótesis, fraude y no fraude, nos encontramos con que la fusión soft, y sobre todo la función soft optimizada, siempre será mejor que la hard, porque cuanto más tarde perdamos información y hagamos la parte de umbralización, mucho mejor. No obstante, la soft es más complicada de diseñar que la hard, puesto que manejar 0 y 1 es más sencillo que manejar números continuos entre 0 y 1.

Luego tendríamos las curvas ROC, que representan la probabilidad de detección en función de probabilidad de falsa alarma. En estas curvas, cuanto más arriba quede la falsa alarma mejor es el detector. hemos hecho estas curvas ROC para todos los detectores: los individuales, los fusionados de forma óptima tipo soft, los fusionados de forma óptima asumiendo independencia estadística y la fusión hard. Los individuales quedan por debajo tanto de la

fusión hard como de la fusión soft y de la fusión soft óptima –coincidiendo esta última con la fusión asumiendo independencia, porque había independencia–. Lo que esto demuestra es que es bueno hacer fusión, porque tanto en hard como en soft se mejora el comportamiento que cada detector tenía por separado. Y en este caso, si podemos, lo mejor es hacer una función soft, porque es la curva que mejor sale, la que para una probabilidad de falsa alarma nos da la máxima probabilidad de detección.

Por otro lado, bajo la hipótesis de que no hay fraude, sigue habiendo independencia estadística; mientras que en caso contrario la figura que muestra la separación de las poblaciones tiende a ser más una elipse y no una forma más redondeada –la dependencia estadística tiende a ir achatando los círculos para convertirlos en elipse. Esto sería el funcionamiento de un detector individual. Vemos el óptimo de fusión soft, asumiendo independencia; y el de la fusión hard, que es el mismo que antes aunque haya dependencia. Como la fusión hard no tiene tanta flexilbilidad, no hay tanta diferencia entre dependencia e independencia; pero, curiosamente en este caso, da la sensación de que la fusión hard (es decir, primero umbralizar y después fusionar decisiones) se ajusta mejor que la función soft asumiendo independencia, y se parece bastante a lo que sería óptimo.

Paralelamente, en el ejemplo contrario, que tenga dependencia estadística bajo la hipótesis de no fraude, se significa que cuando no hay fraude los dos detectores vienen a decidir más o menos lo mismo; mientras que cuando hay fraude se



comportan de manera más independiente, así que aquí, una fusión hard óptima puede resultar una opción a valorar, a pesar de que hay dependencia y eso complica las cosas.

Tres comentarios finales

Para concluir, quisiera hacer tres comentarios. Por un lado, considero que estas tecnologías de reconocimientos de formas están demostrando su importancia como elementos complementarios

–que no únicos– en la detección de fraude, proporcionando información que puede venir muy bien. Por otro lado, la fusión de detectores es una buena opción para los cambios constantes en las formas de fraude, sobre todo si optamos por fusionar detectores no muy complicados y fáciles de entrenar y enseñar. Finalmente, hay que partir de la idea de que cada tipología de problema exigirá una forma de fusionar adaptada a sus necesidades.



o sé cuántos de ustedes saben de Teoría de Juegos. Lo que yo voy a hacer es centrarme en un aspecto que se omite: la intencionalidad. En gestión de riesgos

hay que pensar en cómo piensa la otra parte. Y hay que tener en cuenta que el “malo” va a hacer lo que se propone, sea como sea. Pondrá todos sus recursos en juego.

Si bien el año pasado Santiago Moral utilizaba a Darwin para hablar de la coevolución, yo ahora voy a hablar de esta idea: coevolución rupturista. Y es que creo que la gestión de riesgos se caracteriza por un alto riesgo y altos esfuerzos en materia de análisis. Y necesitamos un cambio, es preciso ser rupturistas, como se

ha comentado en otras ponencias. Tenemos que evaluar los riesgos y ver qué medidas utilizamos para reducirlos y controlarlos. Pero aquí falta la parte más importante: qué está haciendo el que me va a atacar, cómo está haciendo este análisis. Porque está basado en lo que yo hago, pero no en qué hace el otro. Muchas de las técnicas y metodologías no consideran el análisis que hace la otra parte, la parte de los “malos”. Y es, precisamente, esta evolución con los agentes del entorno la que nos permitirá mejorar en la lucha contra el fraude.

Tenemos un gran número de metodologías para elegir. Y tenemos un laberinto. También alguna vía rupturista.

Jesús Palomo(Profesor Titular de Economía de la Empresa de la Universidad Rey Juan Carlos)

UN MODELO DE GESTIÓN DE RIESGOS BASADO EN TEORÍA DE JUEGOS



Si nos adentramos en la criptografía, me dará unos datos que serán útiles posteriormente en la presentación. Partiremos de algunos hechos, como que se afirma que el enemigo conoce el sistema porque tiene una capacidad infinita de analizarlo; que si el mensaje contiene algo de información, será seguro que lo van a obtener; y que si existe algún algoritmo que puede romper el sistema, el atacante lo utilizará. Se asume que es posible que esto ocurra y que el “malo” hará todo lo posible por conseguir sus objetivos.

Al final, no hay seguridad por ocultación, y esto lo saben las claves públicas y privadas. Puedes conocer el método, pero lo único necesario es que no conozcas la clave. ¿Y el principio de fortificación? Está basado en que el defensor tiene que repeler todos los ataques. Y así, mientras me tengo que defender de todo, el atacante solo tiene que encontrar un agujero por donde entrar. Y lo que es seguro es que me estará analizando todo el tiempo.

En lo relativo a la gestión de riesgos completa, ¿qué hacemos cuando analizamos riesgos? Vemos qué está disponible, qué costes tiene, qué posibles impactos, y cuál es el futuro de estas decisiones. Evaluamos los riesgos, vemos qué puede ir mal y cuáles serían las posibles consecuencias. Las fuentes de riesgo pueden ser hardware o software; y, de nuevo, falta en la ecuación qué es lo que va a hacer el atacante.

¿Qué ocurre, entonces, con otras metodologías de gestión de riesgos no basadas en Teoría de Juegos? Que se asume que el otro agente, el atacante, no cambia. Pero si nos olvidamos de

la otra parte, no lograremos nuestro objetivo. Pongamos un ejemplo, ¿Qué pasa con un radar de velocidad? ¿Consigue realmente su objetivo de reducir la velocidad? No. Porque los conductores solo reducen la velocidad cuando se acercan al radar, y después vuelven a pisar el acelerador.

Principio de inestabilidad

hecho este análisis, vemos que tenemos más riesgo. Y esto es lo que voy a llamar “Principio de inestabilidad” de la gestión de riesgos tradicional. Lo llamo inestable porque cuando yo pongo una medida la parte enemiga va a reaccionar y eso hace que yo tenga un nuevo problema, de modo que vuelvo a analizar y a intentar protegerme. Y así vuelta a empezar en un bucle constante.

Así las cosas, algunas máximas interesantes a tener en cuenta ante este problema son las siguientes: ante un cambio de estrategia, la reacción del atacante nos conmina a volver al inicio, a volver a empezar; hay modelos creados ad-hoc para determinados sectores, que luego no son aplicables a otras problemáticas; otras metodologías son simplemente modelos descriptivos que no llegan al paso de sugerir una toma de decisiones; y existencia de fuentes de riesgos que no son accidentales sino intencionadas, como la delincuencia organizada.

Analizado todo lo anterior, no hay que olvidar nunca que la delincuencia es muy inteligente –el que no lo es ya está en la cárcel–. Solo quedan los inteligentes, que se reinventan a sí mismos.



Estudiar a la delincuencia

Los recursos son limitados. De modo que, aparte de trabajar porque todo funcione bien, debemos analizar igualmente lo que piensa la delincuencia. Pero ver históricos no sirve, porque no se puede asumir que en el futuro harán lo mismo que en el pasado.

Un juego se compone de agentes, estrategias y pagos. Respecto a los agentes, en este caso vamos a considerar dos por simplicidad: el banco y la delincuencia organizada. Se podrían considerar más agentes tales como competidores, compañías de telecomunicaciones y proveedores de Internet. En cuanto a las estrategias, las del banco consisten en métodos de defensa, con las que va a jugar, entre las que puede elegir para hacer frente a los ataques. Por otro lado, las estrategias que la delincuencia organizada utiliza se denominan métodos de preparación y métodos de ejecución; con los primeros, los delincuentes se preparan para obtener algo del banco (bien sea información o dinero) y, posteriormente, ejecutan el robo utilizando dichos activos mediante la elección de métodos de ejecución. Finalmente, los pagos resultantes de cada combinación de acciones (defensas del banco y ataques de la delincuencia); éstos serán beneficios (para la delincuencia) o pérdidas (para el Banco).

¿Qué hace en este contexto la gestión tradicional (definida como cualquier otro método de gestión de riesgos no basado en teoría de juegos)? Básicamente dos cosas: identificación y cuantificación de los riesgos (el banco, basándose en series históricas o en opinión de expertos,

construye probabilidades de que la delincuencia organizada utilice los métodos de preparación); y toma de decisiones en base a esas probabilidades y utilizando análisis coste-beneficio para elegir el método de defensa en el cual el coste es menor. Aquí, a diferencia de teoría de juegos, hay problemas de inestabilidades.

Pongamos un ejemplo: si tomamos la declaración de la Renta, tendríamos dos estrategias: la de hacienda y la del defraudador. Si la del defraudador fuera “declaro todo o no declaro nada”, la de hacienda es “reviso todas las declaraciones o no reviso ninguna”. Lo que hace hacienda es un equilibrio, tiene un muestreo y tiene alarmas. Y cuando estas saltan es cuando revisa. Veamos si tiene sentido o no.

Un caso sería cuando la Agencia Tributaria revisara todo y todos los contribuyentes declararan. Otro cuando la Agencia no revisara ninguno y nadie declarara. Ambos parecen un equilibrio, pero no lo son. Porque, en el primer caso, la Agencia se gasta mucho dinero, cuando no es necesario porque todo el mundo está declarando; y en el segundo caso, no recauda nada porque no revisa ninguna, mientras que todos están defraudando.

Ahora analicemos las otras variantes, a ver si son equilibrio o no. En la opción en la que declaro pero no revisan ninguna declaración, el riesgo es que yo deje de declarar sabiendo que no van a revisarme. No tiene sentido. Sería un equilibrio inestable. Otra opción es que no declaro y revisan todas. Aquí tampoco hay ningún equilibrio. Como no hay ningún equilibrio, vamos a una estrategia



que se vuelve aleatoria, tenemos jugadores que con una cierta probabilidad jugarán una alternativa y con otra probabilidad optarán por otra alternativa. Esto es lo que se está dando y por eso se mantiene. En la gestión de riesgos queremos llegar a equilibrios, no queremos tomar una medida y que luego, tras la reacción de una parte, el problema cambie y empiece otra vez a empujar la piedra colina arriba.

Beneficios del análisis en Teoría de juegos

El análisis en teoría de juegos nos permite resolver a la vez: la identificación y la cuantificación; así como la toma de decisiones. En equilibrio, el mejor método de defensa del banco es el mejor para defenderse del mejor ataque del enemigo. Y esto sería un equilibrio. Además, en teorías de juegos las predicciones son estables. No me baso en probabilidad, de manera que ese equilibrio es estable.

Según el equilibrio de Nash, ningún agente tiene interés en cambiar unilateralmente su decisión dado lo que hacen sus contrarios. Nadie se moverá. Es vital definir los objetivos de los agentes, que son los que se medirán. En cuanto al equilibrio de Nash en estrategias mixtas, como lo que hemos visto de la Agencia Tributaria, ambos jugadores juegan a estrategia mixta con cierta probabilidad que depende de las consecuencias. No hay equilibrio de Nash cuando uno va a hacer una cosa segura; y el otro, otra cosa segura, sino que con cierta probabilidad uno va a jugar una estrategia u otra. Pero eso es también un equilibrio.

Mi dilema del prisionero

Voy a contar mi propio dilema del prisionero, con el que John Nash empezaba a contar esta historia. hace unos años compartía el coche con mi hermano. Y un día el coche tuvo un golpe. El castigo era de 10 días sin coche si mi hermano me acusaba a mí y yo me callaba.

Ante un análisis de decisiones tradicional, no basado en teoría de juegos, ¿qué opciones tendría? Si me callo y mi hermano también, el castigo era un fin de semana sin el coche los dos; si acuso a mi hermano, y este se calla, yo me libro del castigo y mi hermano se queda 10 días sin coche; si yo me callo y él me acusa, yo 10 días sin coche; y si yo le acuso y él me acusa, decisión salomónica, 5 días sin coche cada uno.

En la toma de decisiones tradicional, donde no considero lo que hace o hará mi hermano, si yo me mantengo en silencio, la utilidad esperada, la pérdida esperada que voy a tener, son 5,5 días. Si acuso a mi hermano, 2,5 días. ¿Qué decido? Acuso a mi hermano.

Ahora vamos a ver qué pasaría desde el punto de vista de análisis de juegos, donde ya tengo en cuenta lo que hace mi hermano. ¿Tiene sentido alguna estrategia ahí? hablar con mi hermano, exacto. Yo veo el golpe, uno de los dos sabemos quién es el responsable. Y acordamos callarnos. Nos quedamos un fin de semana sin coche y ya está. Pero resulta que no es un equilibrio estable, porque ambos podemos cambiar la estrategia por nuestra cuenta, porque hay incentivos para movernos de ahí. Si uno se calla, tal y como se ha



acordado, y el otro le acusa, entonces 10 días de castigo.

Vamos entonces a ver qué estrategias no tienen sentido, para ver si hay algún equilibrio de Nash. (En este caso, hay uno, que representa la mejor opción).

hay una estrategia que no tiene sentido, al margen de mi hermano, y es la del silencio. Independientemente de qué haga mi hermano, o me quedo un fin de semana o 10 días sin coche, frente a ninguno o 5 días. Nadie elegiría silencio, porque siempre pierde. No hay equilibrio de Nash.

Ahora, desde el punto de vista de mi hermano, sabiendo él que yo no cogería el silencio, entonces, ¿qué hace? Acusarme. Nos acusamos los dos. Este será el equilibrio. Pero, ¿habrá algún incentivo para que yo rompa el “acuerdo” y haga silencio? No, porque no hay incentivo para ninguno.

Modelización de los juegos

Los juegos estáticos son aquellos donde ningún agente tiene información de lo que ha hecho antes el atacante (como en el juego piedra-papel-tijera); mientras en los dinámicos tomo una decisión sabiendo lo que el otro ha hecho antes (como en el ajedrez). En cuanto a la delincuencia, en un juego dinámico conocerá tu método de defensa antes de decidir su ataque.

La modelización de los dos juegos es distinta. En ocasiones, resultará razonable que liberemos información, porque conlleva menos pérdida que no liberar.

Así, en cuanto a la ordenación de esas decisiones, y hablando de los agentes banco y delincuencia organizada, analicemos, entonces, los juegos de forma estática y dinámica; y, si en uno de los dos pierdo menos, esa es la opción. Tendremos tres métodos de defensa por parte del banco (nula, media y alta); y cuatro métodos de ataque por parte de la delincuencia.

En gestión tradicional, analizamos las probabilidades de todos los métodos de ataque y viendo los resultados con las alternativas del banco, después de resolver, tenemos unos valores en cada método de defensa del banco: 155 (nula), 130 (media) y 117 (máxima).

Supongamos que el Banco aplica Gestión ‘tradicional’

Si consideramos a la DO, se enfrentarán a

Viéndolo ahora con análisis de riesgos, la delincuencia organizada gana en cada uno de sus cuatro métodos de ataque: 87, 112, 91 y 38, respectivamente. ¿Alguien ve algo raro? En los dos primeros baremos hay un número negativo,



lo que quiere decir que la delincuencia perderá en los métodos 1 y 2, y con la protección máxima del banco. Al final, no mantendrá esto mucho tiempo, preferirá quedarse en casa.

Así las cosas, si la delincuencia observa que el banco hace política de protección máxima, lo cambiará al método de ataque 3, donde la ganancia se cuenta en 45 (en 23, en el método 4). Y ahora llegamos al banco… si yo opto por un método de defensa máxima, y los delincuentes se decantan por este método de ataque 3, entonces me interesa hacer protección nula. Pero esto no tendría sentido.

Si seguimos en el juego, vemos que el método de ataque 2 domina al 1, y que el 3 domina al 4; mientras que la protección máxima del banco domina a la protección media. Reducimos la tabla y nos quedamos con este minijuego. Vemos que no hay equilibrio de Nash porque no hay ninguna estrategia por la cual vayan a optar las dos partes. Si vamos a un juego dinámico, lo mejor en este caso es la política de protección máxima y el método de ataque 3. Y aquí, ¿me interesa liberar información? En el juego estático hemos jugado sin saber nada, y perdemos; en el dinámico sí tenía más conocimientos. ¿Me interesa o no? No me interesa.

Si nos centramos ahora en el modelo de Casandra, en la parte de arriba del diábolo tenemos un juego. hacemos métodos de defensa, nos quieren robar. En la parte 2 lo hemos hecho como un mercado negro, hay mucha información asimétrica. Pero lo que no puede haber es reputación, porque eres anónimo. En esto estamos trabajando. Importa cómo mido la efectividad del ataque, en función de la estrategia de la delincuencia y la estrategia del banco. Actualmente estamos trabajando en el desarrollo de un software que nos permita calcular todos estos equilibrios y las estrategias dominantes. También estamos viendo el juego inverso. A partir de los “equilibrios” observados, inducir los pagos del juego. hasta ahora lo que hemos visto es esta secuencia: tengo los pagos, quiero tener el equilibrio. Pero también se puede inferir a la inversa.

Trabajos futuros

Echado un vistazo a aquello en lo que actualmente estamos trabajando, en el futuro nuestros esfuerzos se encaminan hacia el desarrollo de técnicas de simulación de escenarios que aún no se han dado, a la definición de políticas second-best, al análisis de la robustez de los equilibrios de los agentes; y al análisis de la sensibilidad.



Jaime Forero(Director de Desarrollo de negocio para banca y utilities de Intel)

Antes de aventurarnos al análisis, deberíamos fijarnos en el entorno en el que nos estamos moviendo. hablamos de proliferación de dispositivos móviles y fijos, y de lo que llamamos informática embebida (inclusión de procesadores en multitud de entornos, como vehículos o molinos de viento industriales, por ejemplo). En este escenario, las previsiones son que en 2015 haya 15.000 millones de dispositivos conectados, pasando de los actuales 2.000 millones de internautas a más de 3.000. Esto conllevará un incremento exponencial de tráfico y datos –ya en

2010 el tráfico generado en Internet fue mayor que todo el registrado desde que comenzó a utilizarse la Red de redes–.

Así las cosas, existe una gran oportunidad para las empresas gracias a esta nueva forma de comunicarse con los clientes. Pero, al mismo tiempo, crecen las complejidades y la necesidad de mayores cotas de seguridad. Y la mejor manera de manejar todo ello es, en mi opinión, desde la nube.

En nuestro caso particular, la compra de McAfee –algo que la industria no entendió bien en su momento, preguntándose si ahora íbamos a vender seguridad– es fruto de nuestros planes

La mesa de debate tuvo por finalidad acercarse a la problemática de los nuevos riesgos en seguridad IT, analizando los aspectos de seguridad relativos a las aplicaciones y la migración de datos a la nube.

En ella participaron Jaime Forero, Rafael Ortega García, Luis Saiz Gimeno, Juan Jesús León Cobos y Víctor Chapela. La moderación estuvo a cargo de Esperanza Marcos, Catedrática de Lenguaje y Sistemas Informáticos II de la Universidad Rey Juan Carlos.

MESA REDONDANUEVAS TENDENCIAS EN TECNOLOGÍAS

DE RIESGO Y SEGURIDAD IT



de refuerzo en un tercer pilar estratégico: la seguridad. Quisimos hacer con ella lo mismo que con el resto de las tecnologías: incorporarlas dentro de la CPU. En concreto, Intel trabaja en cuatro áreas diferenciadas: dotar de seguridad a los centros de datos de nubes privadas y públicas; las conexiones y comunicaciones; y los dispositivos de acceso; además de trabajar con la industria en la construcción de un ecosistema basado en soluciones abiertas, interoperables y fundamentado en estándares.

Rafael Ortega García(Director General de Innovation 4 Security)

En esencia, seguimos teniendo los mismos problemas, con la diferencia de que ahora los aireamos como si estuviéramos en Twitter. A la nube no solo se recurre para escenarios ofimáticos y de correo electrónico; hay también empresas que utilizan aplicaciones que albergan datos personales y confidenciales. La reflexión es, entonces, cómo debo de cambiar el paradigma. Ya no sirve el control puro y duro como lo hemos entendido hasta ahora (herramientas de gestión de identidades, DLPs, etc.), porque habrá sitios donde no vamos a poder controlar operaciones y transacciones y no tendremos más remedio que confiar en la seguridad de un tercero. hay que pasar, necesariamente, al ámbito de la monitorización.

Por otro lado, si nos preguntamos cuáles son las claves en el uso de la nube, considero que tendríamos que hablar de autenticación y cifrado.

En el primer punto, sería deseable que fuera la propia compañía quien siguiera controlando los asuntos de autenticación, utilizando federación de identidades, por ejemplo. En cuanto a la protección de los datos, solo hay dos técnicas: cifrado o disociación.

Insisto en que tenemos que ir hacia labores de monitorización, pero, eso sí, una vez resueltos los temas básicos. Aún no tenemos solucionadas las implantaciones de SIEM y nos queremos meter en el big data, donde no se puede responder a la inmediatez que se necesita en la seguridad del día a día. Por eso considero que el big data es una huida hacia delante. No podemos seguir “comprando juguetitos” y luego no poder integrarlos.

Otro problema que veo es la privacidad y la protección de los datos en la nube. Está claro que la nube es un camino sin retorno, pero tampoco puede haber barra libre. ¿Qué harán los reguladores? Esa es la gran pregunta.

Luis Saiz Gimeno(Director de Gestión Global del Fraude en BBVA)

Quisiera hablar de religión, mitos y leyendas. hay algunos mitos que debiéramos cuestionar. Uno, por ejemplo, si el dato está más seguro porque sepamos dónde se ubica físicamente el disco. Otro, que las bases de datos siempre han de estar cifradas. Algo, esto último, fácilmente desmontable, porque si bien así te proteges del administrador de la base, no puedes evitar que



alguien te robe información entrando por la aplicación.

Si hablamos ahora de regulaciones de privacidad… hablo de Galileo. Se nos ha dicho que los cuerpos se mueven en órbitas redondas, y si te planteas que a lo mejor eso es falso y que se mueven en elipse, la respuesta que obtienes es siempre tajante: “no, tiene que ser en circunferencia”. En la asunción de que las contraseñas “tienen” que caducar, ocurre algo similar. Muchas veces, la dinámica de algunas de las cosas que damos por supuestas en seguridad es, simplemente, el resultado de un problema puntual al que, en un momento dado, se le encontró una solución puntual que luego hicimos best practice, y que acompañamos después de una regulación específica y estándares de auditoría… Y todo eso basado en un problema que ocurrió hace 15 años en un país y en una empresa determinada. Lo asumimos y no lo cuestionamos, de manera que nos encontramos con medidas de seguridad que creemos útiles y que no sirven para mucho… y viceversa.

Juan Jesús León Cobos(Director de productos y nuevos desarrollos de GMV Soluciones Globales Internet SA)

hasta hace unas semanas GMV, como compañía desarrolladora de nueva tecnología para empresas que quieren ir a la nube, tenía una visión muy clara en torno al mundo cloud. Un día empezamos a pensar en montar una red social corporativa, que nos dijeron que solo podíamos

montar en la nube. Y ahí vino el cambio de óptica: ¿A qué riesgos tendremos que hacer frente? ¿Cómo de asumibles son esos riesgos?

Entre las técnicas que nombraba Rafael Ortega antes, cifrado y disociación, nosotros nos decantamos por el cifrado. Si bien, normalmente, la criptografía se da como un añadido, pero no suele ser la respuesta a los problemas reales de la seguridad, en la nube podría ser distinto. Sí aporta confianza y seguridad que los datos estén cifrados y solo se descifren en casa del cliente, dueño de aquellos.

En función de esta premisa, aparte de en el cifrado basado en la entidad, nosotros también trabajamos en el cifrado homomórfico. El futuro podría ir un poco por aquí.

Víctor Chapela(Chairman of the Board de Sm4rt Security)

Jaime Forero hablaba de la tecnología como algo subyacente… No creo que las capas tecnológicas hayan cambiado en absoluto. Lo que ha cambiado es la forma en la que conectamos las cosas. Como los genes que compartimos con los chimpancés, pero que conectamos de modo muy distinto.

No hemos reinventado el hardware, ni el software, ni los protocolos de comunicación; solo hemos cambiado la forma de reorganizarlos. Además, en la forma de reorganizar en la nube ha habido un cambio más profundo y menos evidente, la manera en la que tenemos que asegurar la información.



Los paradigmas de antes ya no sirven. Antes los antivirus, por ejemplo, podían resolver parte del problema, pero al ponerlos en red, no respondían. hemos tenido una ilusión de control, sobre quién accede a qué, pudiéndolo hacer tan granular como queríamos. Pero llegamos al mundo de lo práctico: los controles en una base de datos no se aplican, porque si no, se hacen inoperables; y no es práctico definir regla por regla. De modo que avanzar hacia el futuro es dejar de lado el determinismo, los ceros y los unos, y las relaciones lineales entre lo que ocurre, la seguridad basada en permisos específicos a nivel de persona. Y asumir el incremento de variables y la complejidad actual; y entender que va a tener que ser estadístico. habremos de regirnos por lo que es más probable y aplicar ahí control probabilístico para la detección de la mayoría de los fraudes.

Lo cierto es que la nube exagera problemas que veníamos arrastrando. Antes había que resolver vulnerabilidades; y hoy ni tenemos la visibilidad, ni siempre tenemos nosotros la gestión. Así, tenemos que utilizar mecanismos más complejos, como el cifrado o la autenticación centralizada.

DEBATE

Pregunta a Jaime Forero… Ha comentado que Intel tiene cuatro frentes abiertos, y que uno de los pilares de su visión presente y futura es el de la seguridad. En esas primeras tres líneas que comentaba, ¿van o no a practicar el “McAfee inside”? ¿Cuándo tienen pensado hacerlo? ¿En qué fases?

Jaime Forero. Buena definición esa de “McAfee inside”, pero yo más bien diría “McIntel inside”. Por un lado, estamos haciendo desarrollos conjuntos; y por otro, Intel también continúa con sus propios desarrollos. En cuanto a los primeros, estamos trabajando en el desarrollo de identidad, utilizando el Cloud Identity Manager de McAfee y nuestro software Intel Cloud SSO, single sign on; sin olvidar una tecnología reciente, DeepSAFE, que se presenta como un antivirus que funciona más allá del sistema operativo. Además, también operamos con Salesforce para utilizar su plataforma como web de entrada a toda esa generación.

Por otro lado, en cuanto a los desarrollos propios de Intel, destacaría Identitiy Protection, en la categoría de portátiles ultrabooks, donde proporcionamos una plataforma que incluye tecnologías como one time password, siendo la misma CPU la que genera el token; y la propuesta Display Protection, donde es el core gráfico que está en la CPU el encargado de generar todas esas ventanas de transferencias bancarias, de forma que un hacker solo vería una pantalla en negro.

Pregunta para Rafael Ortega García… Ha señalado en su intervención que la seguridad perimetral es, digamos, inadecuada. Los antivirus tradicionales no sirven, los anti-DDoS son demasiado nuevos y necesitan una renovada orientación, los IDS… ¿Es esta la reflexión de futuro que hay que hacer?

Rafael Ortega García. No quería decir eso exactamente. Lo que pretendía transmitir es que los profesionales de seguridad nos hemos



acomodado, viviendo en un entorno confortable, donde nos limitamos a SGSIs, análisis de riesgos, cumplimiento de la LOPD, gestión de vulnerabilidades –pero con cuidado, no sea que los de Sistemas se enfaden–. Y en este entorno de comodidad surge la delincuencia organizada y nos sacude a todos. Y lo que deberíamos hacer es dejar de poner tamagotchis, que es nuestra huida hacia delante, y madurar las herramientas que ya tenemos, poniéndonos a trabajar en un verdadero entorno de incertidumbre.

¿Cuántas veces nos hemos esforzado en proyectos de gestión de accesos para luego no verlos crecer? ¿Cuántas herramientas SIEM están verdaderamente implantadas en la empresa? Lo que hay que hacer es empezar a cambiar en el entorno de incertidumbre. Y aquí hay dos frentes: control y monitorización; y una regla: si haces el esfuerzo en el primero, te alejas del segundo. Esperas que no entren, pero sabes que lo harán. Y no puedes perder el tiempo en el control. Por supuesto, has de contar con un nivel aceptable de control, pero no puedes quedarte atrapado en ese nivel si de verdad quieres estar alerta ante la incertidumbre.

Finalmente, en temas de nube, no hay una única modalidad de seguridad. hay distintos tipos: no es lo mismo proteger el cloud para el sector financiero que para una telco o para una empresa de utilities… Tenemos que “customizar” la seguridad. Además, hay que tener muy claro que sacar una aplicación a un hosting no es precisamente llevarla a la nube. Es externalizarla y punto. La verdadera revolución en el cloud es coger una aplicación y llevarla a Amazon,

por ejemplo; o tener todo un departamento trabajando con una aplicación configurada por defecto en la nube, llámese Salesforce o hasta un SAP. Y ahí la seguridad nos la ponen otros, con lo cual tenemos que confiar en su diligencia. Eso es lo que hay que asumir, ese riesgo; y, partiendo de que es riesgo intencional, poner las medidas necesarias, que, desde mi punto de vista, pasan, indefectiblemente, por la monitorización. Y eso sí, priorizando en la autenticación de las personas. Para el resto vamos a tener que dar un grado de confianza a los proveedores de la nube. Si no, estaríamos solo hablando de un hosting ilustrado.

¿Autenticación con qué tipo de credenciales?

Rafael Ortega García. Aquí se abre un mundo de posibilidades. hay muchas alternativas para saber qué persona está entrando en el sistema. Los sistemas de autorización de grano fino son una locura, porque tienen un coste excesivo para tener que volver a definirlos en dos años. Por eso, insisto, hay que monitorizar; saber qué no se puede hacer y qué es crítico; y el resto controlarlo. Sobre el cifrado, diría también que se necesitan estándares de cifrado en la nube. Y haría una reflexión más: qué nivel de flexibilidad puedo tener. Inventariar y clasificar toda la información es un trabajo ingente, para que luego la situación pueda haber cambiado mucho a su término. hay que hacer un ejercicio de reflexión y ver qué es más importante.

Pregunta a Luis Saiz Gimeno. Si no tuvieran implantados en el grupo BBVA sistemas para detección de fraude, ¿se notaría mucho? Y, por



otra parte, parece que esto de la privacidad es para defenderse del de dentro, que es por lo que se cifran las bases de datos. ¿Abre esto la puerta a comercializar la privacidad desde el punto de vista de los clientes, no desde el punto de vista de la seguridad?

Luis Saiz Gimeno. Con respecto a la primera pregunta, sí, se notaría muchísimo. A veces se hacen cálculos de cuánto se ahorra en monitoreo en base al límite de la tarjeta, aunque huimos de utilizar esas cifras. Lo importante es que hemos comprobado que cuando ponemos medidas más fuertes, los potenciales atacantes nos “obvian”. Al final, de lo que se trata es de superar el llamado “riesgo de selección”, que no es un riesgo provocado por no estar monitorizando, sino el riesgo de que los hackers te perciban como el “blandito”.

Sobre la segunda pregunta, y el tema del cifrado, vuelvo a decir lo mismo. El cifrado de las bases de datos puede servir cuando estás en un entorno de datos críticos donde tú no llevas la seguridad directamente. Pero solo para eso. Porque si te entran por la aplicación desde Internet, da igual lo cifrada que esté. Lo que hay que hacer entonces es monitorizar.

¿Puede entonces que asistamos a un crecimiento del mercado de criptoanálisis?

Luis Saiz Gimeno. No. Vamos a ver. Es muy complicado formar a un criptoanalista. No hay tantos en el mundo. De hecho, sobraría sitio en esta sala si juntáramos a los criptógrafos y criptoanalistas de todo el mundo. El problema es otro.

Juan Jesús León Cobos. En mi opinión, el problema que se ha descubierto con el cifrado, el cifrado autenticado, el de https, es que es muy popular. Y al final todo el mundo confía y nadie sabe si le espían.

Luis Saiz Gimeno. Exacto, no saben que les espían, o podrían espiarlos. ¿Cuántos de ustedes saben verificar cuándo un certificado y toda la cadena de certificación son correctos?

Pregunta a Juan Jesús León Cobos. Tomando como referencia la preferencia de su compañía por las técnicas de cifrado, convendrá en que el uso de los mecanismos de cifrado depende de las personas y no en los dispositivos que llevan; y lo que se suele poner en manos de las personas es todavía poco amigable.

Juan Jesús León Cobos. No estoy de acuerdo con usted. Profundizando en el tema, para resolver el asunto del cifrado hay que resolver primero el de la usabilidad. El problema real del certificado es el control de la clave. Y este control tiene, a su vez, dos problemas: posesión de la clave, y credencial para acceder a ella. Así, tener una clave y protegerla con una password mejora mucho la usabilidad del sistema de cifrado. Pero luego llegan las complicaciones al trasladar la problemática del cifrado y la integridad de los datos al ámbito de la autenticación. Es llevar el problema a otro sitio.

Cuando se inventó el concepto de clave pública y privada era perfecto para cifrar. Aunque el quid de la cuestión era cómo conseguir estar seguro



de que la clave pública que se está utilizando es realmente de quien dice ser.

Y aquí llegamos a la PKI, la opción elegida, de entre otras posibles, para resolver esta temática. Y la que, en mi opinión, complica más las cosas. La que más dinero cuesta y la que menos se usa. El concepto no puede funcionar porque cuando yo te mando un correo cifrado necesito que tú hagas algo con él –que, por ejemplo, consigas un certificado de una autoridad de confianza–; y tú puede que ni sepas qué es un certificado ni tengas el más mínimo interés en leer lo que te envío.

Pero más allá del imperio de la PKI, hace once años se inventó otra propuesta: el cifrado basado en la identidad. Yo te envío un correo cifrado, y no necesito que hagas nada previamente; a no ser que realmente tengas un interés real en descifrarlo. Este parece un esquema más natural, pero no ha merecido mucha atención por parte de la industria (choca con los intereses de algunos, como RSA), a pesar de que sí hay un grupo de IEEE (Institute of Electrical and Electronics Engineers) que lleva años intentando normalizar esto.

Pregunta para Víctor Chapela… Insiste en el cálculo estadístico. En pesar y medir cómo y dónde se delinque, y lo que le corresponde a alguien por delinquir. ¿Cómo puedes “matematizar” el aspecto de la intencionalidad?

Víctor Chapela. Cuando hablo de cálculos estadísticos, lo que vengo a decir es que se implanten los controles donde realmente resultan más eficaces y eficientes. Y eso es algo que no está pasando con los mecanismos actuales –ISO

27000, por ejemplo–. Nosotros trabajamos en esos mecanismos, en definir cómo priorizar. Casandra, los grafos, es eso: cómo priorizar en los riesgos y luego cómo priorizar en los controles.

Ahora la legislación tiene un problema de base para integrar en los modelos un entorno que no es determinista ni absoluto, sino contextual, donde, por ejemplo, la parte social no se puede medir. Cuando hablo de sistemas no deterministas, hablo de niveles estadísticos y sistemas que emulan al neocortex. Vamos hacia sistemas que permiten esta imperfección y posibilitan introducir el contexto. En vez de ver la legislación y tratar de incorporarla al modelo, quizá es mejor opción que el modelo incorpore, dentro de la percepción de riesgo promedio que tiene un atacante, cuáles son los tipos de ataque, la frecuencia, su beneficio, etc.

Luis Saiz Gimeno. hablando sobre legislación, ¿de dónde surge la idea de que hay que cifrar los portátiles? Pues la explicación es porque en EE.UU. no tienen DNI. Así de simple. Pero si te roban el portátil es por el dispositivo en sí, no por la información que llevas dentro.

Víctor Chapela. hay que contextualizar qué información es de alto riesgo en un contexto u otro, en un país u otro. En México, por ejemplo, los datos que podrían dar información para un posible secuestro son críticos. Y aquí en España, irrelevantes.

He buscado en Internet las ventajas y desventajas de la nube, y en casi todos los foros coinciden en que la mayor ventaja es la



seguridad que aporta, y la mayor desventaja el marco legal y el tema regulatorio. ¿Qué harán los reguladores ante este entorno?

Luis Saiz Gimeno. Los reguladores todavía no saben qué hacer. Parece que hasta que no ha salido Grupo BBVA en los periódicos, nadie se había ido a la nube. Pero realmente, hasta el 80-90% de pequeñas asesorías, despachos de abogado, etc. tienen su correo en la nube. Regular, regularán. Y si mañana descubren que Facebook ha incumplido con la LOPD, ¿harán que los ISPs del país le corten el acceso?

Rafael Ortega García. En España, de todos modos, hay un problema. ¿Cómo es posible que los asesores que trabajan en regulaciones de seguridad sean empresas de servicios de consultoría? El primer reglamento de protección de datos lo hicieron gente de la Universidad y empresas de servicios, que, con todos mis respetos, no saben del negocio. Como los sufridores de la regulación –bancos, operadoras…– no se unan y forme grupos de interés, la cosa irá por mal camino.

Luis Saiz Gimeno. Ah, pero, ¿es que hay asesoría?

Veo que la mesa se está centrando en ataques externos; pero a mí me preocupa que las grandes empresas estén externalizando toda la informática, y podamos tener enemigos dentro de casa…

Rafael Ortega García. Ya no existe un entorno genérico de seguridad; y aunque hay cosas comunes, hay especialidades que se han

puesto de moda, y debemos convivir con eso. Estamos hablando de infraestructuras críticas, ciberseguridad, fraude y compliance, por resumirlo de algún modo. La parte interna es muy importante, y está siempre ligada al fraude.

Cuando se intercepta/roba una tarjeta, el cliente o el banco se dan cuenta. Pero cuando se llevan una base de datos para venderla en el mercado negro, ¿quién se da cuenta?

Rafael Ortega García. Es lo que decía antes, la preparación y la resiliencia. Si alguien se lleva una base de datos, aunque sea un usuario privilegiado, es que tu nivel de seguridad no era el correcto.

Juan Jesús León Cobos. Al final, la percepción de la seguridad es vital. Y lo que cierra ese bucle es la publicidad o no de los incidentes. Los ataques internos no se dicen. Como nadie los ve, la estrategia es decir que no se ha sufrido ningún ataque. Y así se ocultan problemas de seguridad.

Víctor Chapela. No creo que eso cambie. Para mí lo fundamental es el vínculo contractual con la compañía, porque en una empresa de 50.000 empleados habrá una muestra de la población idéntica: habrá hackers, defraudadores, etc. En la ley de protección de datos de México tratamos separadamente a los “terceros”, porque tienen un riesgo mayor, no porque no los controlemos, sino porque ellos se perciben como amparados por un mayor anonimato. Eso es, al menos, lo que se desprende de algunos estudios que hemos analizado.



Luis Saiz Gimeno. Desde mi punto de vista es indiferente quién pague la nómina, si contamos con los niveles de seguridad adecuados. Tú puedes hacer que sean menos anónimos.

Juan Jesús León Cobos. Otra cosa es el interés que pueda tener la empresa en poner un control. Tienes que traspasar el riesgo. O si traspasas el riesgo traspasas la autoridad. Disociar el problema de la autoridad es un asunto básico.

Víctor Chapela. Esto responde a lo que decía Luis Saiz. hay un estudio que analiza la situación de fraude en bancos de Inglaterra –donde se pasaba el peso de la prueba al cliente, teniendo que demostrar que no fue él– y EE.UU. –donde se eximía al cliente de prueba alguna y se resarcía el dinero–, que demostraba que los bancos americanos gastaran en promedio menos dinero y tenían mucha mejor protección ante el fraude que los ingleses.

Por otro lado, quería decirle a Rafael Ortega algo que descubrimos con la legislación de protección de datos en México, en la línea de alinear incentivos. La legislación no está hecha para proteger a los bancos o las grandes empresas, sino a los ciudadanos y sus datos. Entonces, si todos vamos a poner los mismos controles, cada industria tiene que especializar su problemática al tipo de datos que maneja. Y esto no está considerado en la LOPD española. Y en México, sí. La seguridad ha de estar adaptada.

También hay que mencionar el tema de la seguridad teórica contra la seguridad práctica. Después del atentado de las torres gemelas, los

aeropuertos obligaron a quitarse los zapatos a los pasajeros después de que a una persona se le ocurriera utilizar esa vía para introducir algo prohibido. Si ahora quitaran la medida, será el primer lugar donde metamos cualquier cosa, porque ya nos han dicho que se puede.

Juan Jesús León Cobos. En la misma línea, EE.UU. dedica mucho menos dinero a proteger contra el crimen organizado que contra el terrorismo –mucho más improbable–. Y es un problema de percepción.

¿Cómo nos hará más seguros la nube?

Luis Saiz Gimeno. Ya lo está haciendo para todas las miles de empresas pequeñas que han externalizado su seguridad, y ya no la hace el amigo o el cuñado, dicho sea en sentido figurado. Otra cosa somos las empresas grandes, que tenemos que tener más cuidado.

Víctor Chapela. Si partimos de la base de que sistemas como Gmail han estado en la nube más de 10 años luchando contra ataques, no hay duda de los beneficios de ese proceso de refinamiento. Gmail, por ejemplo, tiene pocos incidentes porque lleva mucho tiempo trabajando en la seguridad. Además, uno de los grandes beneficios es la disociación y segmentación de la información, que depende de un único punto para su reconstrucción, un único punto de fallo. Solo uno. Además, el dar acceso solo al usuario legítimo reduce el riesgo en la mayoría de los casos.

Rafael Ortega. Por su parte, los proveedores de herramientas para la nube, tipo Salesforce



o Amazon, harán un esfuerzo inimaginable en temas de seguridad porque, si no, se les cae literalmente el negocio.

Juan Jesús León. No estoy de acuerdo. El modelo de negocio no se les cae, simplemente transfieren el riesgo hacia un problema de disponibilidad. Si pierdes Gmail durante una semana, o pones una contraseña ridícula a Google no le pasa nada. La disponibilidad y la seguridad son dos caras de la misma moneda.

Víctor Chapela. En el vector de accesibilidad está, por un lado, la disponibilidad; y, por otro, la confidencialidad. Y cuando alguien dijo que la seguridad era confidencialidad, integridad y disponibilidad generó el peor problema de gestión que tenemos en la actualidad. Porque un cortafuegos se cierra por defecto, y un switch se abre por defecto; con lo que tenemos dos criterios básicos contradictorios: el área de sistemas tiene que generar cosas disponibles; y el de seguridad cerrar todo si fuera necesario. A nosotros nos pasó cuando trabajamos con una tesorería, que confundimos seguridad con disponibilidad. Les desarrollamos una solución muy segura, pero no tan disponible, que terminamos modificando en aras de la disponibilidad, que era el principal activo de esa organización.

Pregunta a Rafael Ortega a raíz de su énfasis en la monitorización. ¿Cómo puede monitorizar algo tan disperso y tan deslocalizado como la nube? Además, quería saber su opinión sobre si la seguridad en la nube va a suponer algún cambio de paradigma en Internet, en el cual se requiera algún tipo de concentración previa para

las comunicaciones dispersas, a través de un proxy que provea esos servicios de seguridad que, por sí mismos, esas nubes tendrán de manera heterogénea.

Rafael Ortega García. Sigo diciendo que la clave en la nube es la monitorización, verificar que los proveedores están cumplimiento con tus estándares de blindaje. Cierto que habrá algún punto que será una caja negra, y tendrás que creer en el modelo de negocio y en que tienen la seguridad implantada. Eso sí, el proveedor podrá darte la alarma, pero la gestión de incidentes será del cliente, porque es su core. Aquí el tema ha de avanzar, inexorablemente, hacia la capa de aplicación y hacia la autenticación, que será responsabilidad del cliente en todo caso. hay que tener claro, no obstante, qué es nube y qué no lo es. El cloud de infraestructura, el de aplicación y el hosting que dicen que son nube, en realidad no lo son. Por ejemplo, el tan de moda cloud broker, como intermediario entre los proveedores de nube y los usuarios, será un mero administrador.

Por otro lado, preveo que se van a migrar muchos servicios de seguridad a la nube y los clientes pedirán que se cobre por servicio. Y esa será la mentalidad de quienes queramos prestar servicios de seguridad, y no solo de consultoría. El reto, en todo caso, es si existirá integración en los servicios en la nube. Esa sería la gran innovación. La gestión de identidades lleva 25 años lidiando con el provisioning, y sigue dando los mismos problemas de integración.

En cuanto a los servicios gestionados en este ámbito de seguridad, no es algo que esté



muy experimentado frente a problemas y vulnerabilidades…

Rafael Ortega García. Aquí he de decir que a ver si aprendemos un poco de nuestros compañeros de otras áreas de la compañía, aprovechando lo que están haciendo para aplicarlo en seguridad. Por ejemplo, en temas de cuadro de mandos seguimos siendo autónomos, cuando en la organización tienen unas herramientas perfectas para ello. Eso sí, cuando el de seguridad sepa qué quiere medir y los objetivos, que ese es otro cantar. O la gente de sistemas que conoce muy bien los SLAs. Casi todo ya está inventado, así que miremos dentro y aprovechemos el conocimiento interno.

Teniendo en cuenta que la materialización de todos los algoritmos matemáticos de cifrado se hace o bien en software o bien en hardware, ¿quién asegura que estas materializaciones son las correctas y no contienen errores?

Juan Jesús León Cobos. Partiendo de que no conozco ningún ejemplo de software donde no se hayan encontrado vulnerabilidades; hay que tener en cuenta también que el problema no son

los algoritmos. El asunto clave está en la forma de

hacer software. En GMV, por ejemplo, hacemos

software espacial, que se diferencia del corriente

en que cuesta 20 veces más. Tiene 400.000

líneas de código y en prueba no se detectó ningún

error. Como el software para un avión, que no se

hace igual. Es mucho más difícil y mucho más

caro. No sé si alguien algún día se planteará hacer

software de seguridad de esta manera.

Víctor Chapela. En mi opinión, hay dos formas de

hacer aplicaciones. Considero que los algoritmos

siempre van a fallar, y que no se puede proteger

todo, así que lo que necesitamos es entender qué

es más valioso y protegerlo.

¿Qué está haciendo Intel o va a hacer para evitar que haya errores en la materialización de los algoritmos en los chips?

Jaime Forero. Le puedo decir que el principal

valor de nuestras tecnologías es que están

basadas en estándares muy probados de la

industria.



oy a hablar de reconocimiento facial no invasivo en un entorno controlado, como un aeropuerto. Y para ello nos adentraremos en el proyecto que

realizamos para el aeropuerto de Barajas, y veremos sus características. Pero antes, quisiera presentar nuestro grupo de investigación dentro de la Universidad Rey Juan Carlos, para posteriormente hablar de cómo está el ámbito del reconocimiento facial en España y en el mundo.

Quiénes somos y qué hacemos

Somos un grupo de investigación, dentro de la Escuela Técnica Superior de Ingeniería Informática; y nuestra labor está enfocada

al estudio del reconocimiento facial y la visión artificial. La naturaleza del grupo es multidisciplinar, sumando profesionales de distintas áreas: informáticos, estadísticos, etc. En nuestro mejor momento hemos llegado a formar un grupo de 13 personas, aunque ahora con los recortes hemos visto reducido el personal.

Nuestro estudio de la visión artificial con reconocimiento de caras lo hacemos en base a cuatro aplicaciones diferentes: videovigilancia inteligente, sistemas bio-inspirados, seguridad aeroportuaria y transportes inteligentes. Dentro del primer escenario, lo que hacemos es utilizar cámaras ya disponibles en instalaciones externas,

Enrique Cabello(Profesor titular del Departamento de Arquitectura y Tecnología de Computadores de la Universidad Rey Juan Carlos)

RECONOCIMIENTO FACIAL NO INVASIVO EN AEROPUERTOS



como, por ejemplo, aparcamientos, y detectar en esas zonas personas y elementos con el fin de poder comprobar si los hemos visto antes o no.

En lo que respecta a los sistemas bio-inspirados, trabajamos con una retina especial, que se fija en el movimiento de una persona –únicamente se fija en lo que está en movimiento– para luego analizar las características de ese movimiento y poder identificar qué se ha movido exactamente. En el área de los sistemas inteligentes de transporte, nuestro cometido es examinar todos los datos en cuanto al riesgo de conducción y a partir de ahí obtener un nivel de riesgo con el que trabajar.

Finalmente, en seguridad aeroportuaria, nos centramos en trabajos de reconocimiento facial. Aquí hemos desarrollado diversos sistemas de reconocimiento, tanto en entornos controlados (quioscos para permitir la entrada a un país mediante el DNI digital) como no controlados (donde, por ejemplo, había problemas de iluminación).

En esencia, en los cuatro ámbitos, el objetivo es obtener información que nos represente lo que está sucediendo en el entorno. Y una vez tenemos todas las características asociadas a cada caso, lo que hacemos es establecer identificadores para poder definir la situación que representamos: si es un sujeto, una situación de riesgo o lo que sea. Dicho de otro modo, a partir de unas imágenes o un entorno buscamos representarlo de forma numérica y luego aplicar clasificadores o distintos sistemas.

Este es, básicamente, nuestro trabajo académico. Pero nuestra labor no se acaba ahí, porque si una

empresa nos pide ayuda para realizar un proyecto concreto, que es lo que ocurrió con el aeropuerto de Barajas, damos el salto desde el laboratorio de la Universidad al mundo real y empezamos a trabajar en un entorno menos controlado.

Una compañía busca cosas muy distintas a nuestros propósitos en el laboratorio, donde jugaríamos con los parámetros. En el mundo “real” no se va a esperar a ver el ajuste a 30 parámetros a la vez, por ejemplo. También se nos pide que la técnica resulte lo menos invasiva posible, que no molestemos al usuario, que apenas se dé cuenta de qué está pasando, que no perciba que hay un sistema que le está autenticando cuando está en la zona de embarque. Y, por último, otra cosa que en el entorno de la empresa es vital, y no tanto en el laboratorio de la Universidad: que se emitan las menores alarmas posibles, porque si no el operario apagaría el sistema.

Y todo ello, acompañado de que un proyecto en el mundo “real” está más dimensionado en todos los casos, hay más personas implicadas y más cámaras y sistemas con los que trabajar; y que mientras que en la Universidad nuestro objetivo es publicar el estudio, en la empresa se busca patentar el resultado.

El mundo de la biometría

En los últimos años ha crecido significativamente el número de patentes en lo que respecta a sistemas biométricos, al tiempo que han ido aumentado los valores de retorno de la inversión. Paralelamente, también han crecido los sistemas de huella dactilar y reconocimiento



de voz. Destacaría, entre los sistemas que se han patentado últimamente, sistemas de análisis de retina, geometría de la mano, dinámica de tecleo, análisis de la firma y escritura, reconocimiento vascular de venas, análisis de iris y de reconocimiento facial.

En este contexto, no hay duda de que asistiremos a una explosión de tecnologías emergentes en el terreno de la biometría para cubrir distintas aplicaciones; sobreviviendo la tecnología que mejor se adapte a cada caso concreto, por coste, por menor intrusión, etc. El reconocimiento facial se podría expandir a nuevos entornos, como, por ejemplo, el de los dispositivos móviles, que, al contar ya con una cámara, resultaría muy sencillo añadirles una herramienta de reconocimiento facial –más barato que meter un lector de huella dactilar, que requiere incorporar hardware–.

Problemática de la biometría facial

En el ámbito de la biometría facial nos encontramos con dos problemas: uno, la identificación (a modo de “dónde está Wally”), donde tengo que localizar a una persona entre un número alto de usuarios; y otro, la verificación: tengo un sujeto y quiero identificarle; tengo sus características base (una foto, por ejemplo), y quiero comparar la correlación con la “muestra” real. En algunas situaciones resulta mucho más útil trabajar con la foto o el modelo del sujeto y comprobar si responde a estos parámetros; que buscar al sujeto dentro de una base de datos.

Sobre los porcentajes de acierto en biometría, muchas veces ese porcentaje de acierto es

irrelevante, no es el dato más importante. Importa más el dato sobre falsos positivos (dejar pasar a un sujeto incorrecto, por ejemplo) y falsos negativos (no dejar entrar a uno autenticado). Por eso, a la hora de mostrar resultados, se suele mostrar más el porcentaje de falsos positivos y falsos negativos.

Nuestro proyecto en Barajas

hecha ya esta foto del escenario, quisiera adentrarme ahora en el proyecto que realizamos en el aeropuerto de Barajas para reconocimiento facial de viajeros. El objetivo del mismo era hacer una evaluación sobre si era o no factible instalar un sistema de biometría facial no controlado dentro de sus instalaciones. Los responsables de seguridad del aeropuerto querían conocer el estado actual de las opciones tecnológicas, y nosotros les ayudamos a materializar las posibilidades, prestándonos nosotros mismos como sujetos del estudio, por cumplimiento de la legislación sobre protección de datos personales.

En este ámbito, empezamos a trabajar utilizando cámaras de videovigilancia en un entorno no controlado. hicimos dos experimentos: en uno utilizamos imágenes tipo carné de identidad, donde el sujeto se identifica con su DNI y después se procede a analizar si es la misma persona que está efectivamente en el aeropuerto justo en este momento; y en el otro, imágenes obtenidas por el propio aeropuerto, que luego utilizábamos para identificar a un determinado sujeto. En este último caso, por ejemplo, partíamos de imágenes obtenidas en el momento del check-in, para comprobar después en la zona de embarque que



era la misma persona que se había registrado con anterioridad.

Así, partíamos de una base de datos de imágenes, que no suelen ser recientes (las fotos del DNI o pasaporte pueden ser de hace varios años), y que además tienen el inconveniente de tener distintas condiciones de iluminación y calidad de la imagen. También hicimos imágenes en 3D, y vimos ligeras variaciones, porque las fotos son en 2D. Además, el escáner también daba ciertos problemas, por ejemplo si teníamos vello facial.

Algo importante a tener en cuenta en este tipo de proyectos es lo que se denomina “análisis lineal discriminante”, que se basa en maximizar la diferencia entre dos clases y minimizar la variación entre una misma clase, o sujeto. Como nos encontramos con grandes variaciones dentro de cada sujeto –la cámara está en sitios distintos, hay distinta luz, etc.–, intentaremos que las variaciones sean las menos posibles. Y al mismo tiempo, como nos interesa reconocer un sujeto separándolo del resto, maximizaremos las diferencias que pueda haber entre los distintos sujetos del estudio.

Por otro lado, teníamos técnicas que dependen de 2D y otras que lo hacen en 3D. Y de entre las dos técnicas a elegir (globales, y locales, además de híbridas), en nuestro estudio nos decidimos desde el primer momento por utilizar la técnica de rasgos globales; es decir, grandes rasgos de la cara, su forma y disposición, fijarnos en los detalles globales si estoy lejos; en contraposición con las técnicas locales, que lo que buscan son detalles concretos de la cara.

Visto todo esto, lo primero que teníamos que determinar era qué cámaras íbamos a utilizar de todas las que tiene el aeropuerto. hicimos una elección que se ajustaba a nuestras necesidades, pero nos enfrentamos a una dificultad: las imágenes eran de poca calidad, porque había zonas poco contrastadas, poco iluminadas,… Al final, elegimos un par de cámaras, en dos cintas de pasajeros distintas.

Por último, dedujimos que lo más parecido que íbamos a encontrar a un control de acceso era el arco de detectores; y se nos ocurrió hacer un estudio multicámara –coger varias cámaras para ver varios sujetos a la vez–, ya que la mayoría de los sistemas de videovigilancia no tienen muchas cámaras en la misma zona.

Tres elementos del reconocimiento facial

Una vez definidos los detalles, abordamos las tres fases del proceso de reconocimiento facial: localizar la cara del sujeto, representarla en forma de número frente al resto de caras, y clasificarla después para ver a qué sujeto pertenece.

En el primer apartado, en la parte de detección de la cara, anteriormente muchos sistemas estaban basados en patrones como el tipo de piel, etc.; pero ahora, casi todas las implantaciones se basan en un método que se llama Viola & Jones. Tras la detección de la cara, generamos una base de datos, creando un número suficientemente grande de imágenes con nuestras propias fotos.

Una vez localizada la cara, lo siguiente era representarla, extraer algunos rasgos



característicos de la misma. Aquí hay varias técnicas. Una de ellas es la de análisis de componentes principales. Consiste en que si tenemos un objeto con una determinada forma, como si fuera una elipse, lo que haremos será poner uno de los ejes de la imagen en el eje más largo de la elipse, de tal forma que lo que vamos a hacer es representar la nube de puntos de la cara y vamos a buscar los ejes en los cuales la variación es mayor para trabajar después en ese espacio. Esta técnica funciona bastante bien, pero el problema al hablar de caras es que la cara no es un objeto que funcione de determinada forma, y su información en dos dimensiones es muy importante. Así que en lugar de utilizar este método de componentes principales, utilizamos un método que nos permitiera incorporar mayor información bidimensional del rostro.

Como he comentado antes del análisis lineal discriminante, lo que hacemos aquí es maximizar la diferencia entre dos clases y minimizar la variación entre una misma clase. De nuevo, lo podemos hacer con cualquier clasificación, pero la cara tiene una estructura 2D muy importante, por lo que el análisis será en dos dimensiones. Intentamos, por eso, quedarnos con el menor número posible de números asociados al rostro –como referencia, si tomara una foto, la imagen de la cara podría ser un recuadro de 100x100 píxeles, lo que me llevaría a procesar hasta 10.000 números. Y son muchos–.

Una vez representada la cara, llegamos a la fase de clasificación, donde elegimos entre distintos métodos, como redes neuronales, reglas, etc. Por el que finalmente nos decidimos fue el que se

llama “máquina de vector soporte”. Su principal ventaja es que permite, gracias a los vectores soporte, poner una frontera para separar unas clases de otras y poder distinguirlas. Así, para trazar esa frontera solo se necesita tomar a un representante de cada clase, para después concluir que los que estén a la derecha de ese representante son de una clase, y los que estén a la izquierda, de otra.

En último término, y una vez que tuvimos todo el sistema perfeccionado, y definidas las imágenes a utilizar, el número y la forma de clasificación, empezamos a hacer pruebas y gráficas. Para representar el funcionamiento, no utilizamos el porcentaje de aciertos, porque hubiera sido muy elevado. Preferimos el de falsos positivos y falsos negativos. Lo representamos y obtuvimos el porcentaje de igual error, que es el porcentaje donde los falsos positivos se iguala con el de falsos negativos, que es el que sirve para representar todas las gráficas.

Resultados obtenidos

El resultado fue un proyecto que reportó al usuario la información requerida. El aeropuerto de Barajas quería saber si podía recurrir a esta tecnología, con qué coste y en qué condiciones. Y comprobaron que era una opción factible.

hicimos las pruebas en días de funcionamiento normal; sin resultar invasivo en ningún momento para los sujetos, apenas conscientes de que estábamos probando el sistema. Utilizamos infraestructura real, y así el coste fue mínimo.



Diré que estos sistemas serán cada vez más numerosos en el futuro. Resultan menos intrusivos que otros como la huella dactilar o el reconocimiento vía iris. Y, además, y tal y

como demostramos con nuestro proyecto, son perfectamente capaces de funcionar en tiempo real.



caba de hacerse pública nuestra tercera ronda de financiación, por valor de 22,4 millones de dólares, liderada por las firmas Kleiner Perkins Caufield

& Byers y Sigma Capital, y con la participación de los actuales inversores Trident Capital y Adara Venture Partners, que sostendrá la ampliación de nuestras capacidades de venta, marketing y atención al cliente, así como el incremento de la inversión en I+D.

Es, por tanto, un buen momento para compartir con ustedes nuestro viaje; y para, como decía Steve Jobs en su famoso discurso, conectar todos los puntos, todas las decisiones que nos llevaron, fase tras fase, hacia justamente donde estamos ahora.

Lo más importante de esta noticia no es tanto el valor monetario y cuantitativo, sino el trasfondo de la operación y la relevancia de estos nombres propios que han decidido apostar por nosotros. A Kleiner Perkins se le considera el mayor fondo de inversión del mundo en el ámbito de TI. Participa en compañías tan conocidas como Apple, Sun Microsystems, Intel, Facebook y Amazon.

Madrid, �0.000 euros

Lo que me gustaría es poder explicarles cómo una startup de dos personas, creada en Madrid con solo 40.000 euros de capital, ha logrado ir paso a paso hacia su consolidación en un mercado que, aparentemente, era ya muy maduro. No voy a

Julio Casal(Fundador de AlienVault)

VIAJE A SILICON VALLEY DE UNA START UP



hablar de tecnología. hablaré de lo que hay detrás de ella para que termine resultando atractiva en todo el mundo y cómo se consigue un desarrollo empresarial sostenido. Lo que, en todo caso, quisiera recalcar es que, aparte de innovaciones tecnológicas, lo que más necesitamos son innovaciones de mercado, que nos remitan a una mayor definición y un establecimiento más sólido desde nuestro país.

En su libro, Joffre Moore decía que la mayoría de las startups se estrellan en un abismo en el salto de lo que es una venta emocional –en un círculo cercano de conocidos, en ventas a los entusiastas del producto, etc.– a otra más funcional y basada en precio y producto, donde ya solo te compran por el producto en sí y no por tus esfuerzos, el contexto y el entorno. Y nos preguntábamos si no nos pasaría a nosotros también esto. Si no sería también que nuestro business plan podría ser también fácilmente denominado como “plan de calzoncillos”. hay una historia de un gnomo al que, en su ímpetu por ganar mucho dinero, se le ocurre robar muchos calzoncillos para lograrlo. Y le preguntan cuál es exactamente su plan y qué fases se plantea, a lo que responde que en la fase 1 robará calzoncillos, en la fase 2 robará más calzoncillos y en la fase 3 ganará mucho dinero. Y cuando le preguntan qué pasa entre la fase 2 y la fase 3, él contesta que no sabe, que está muy ocupado robando calzoncillos.

En este contexto, cuando tú le has contado a una firma de venture capital tus productos y tus capacidades, llega un momento en que te pide que ya no le hables más de producto y le expliques por qué crees que vas a ser tú uno de

los tres ganadores del mercado de entre las 50 compañías que hacen lo mismo que tú en todo el mundo. Quiere saber cómo vas a hacer pruebas de conceptos, cómo vas a dar a conocer tus desarrollos, etc.

Y aquí, una empresa como la nuestra, que no sabía nada de nada de go to market cuando empezamos en 2003-2004, tiene que tener alguna intuición en la que confiar, porque de lo contrario será imposible seguir avanzando. En nuestro caso –siempre hemos querido hacer productos– nos preguntamos, quizá obsesivamente, por qué íbamos nosotros a sobrevivir en un mercado endogámico y siendo tan pequeños. Nuestros comienzos fueron los servicios, pero queríamos evolucionar al mundo del producto. Nos pasamos alrededor de 10 años haciendo servicios, primero como empleados y luego como empresarios. Y en aquella época, vivimos el florecer de los servicios de seguridad perimetral, cortafuegos, IDSs, etc.

Esa empezó y continuó siendo la gran pregunta: ¿cómo conseguiremos sobrevivir en un mercado tan grande y endogámico? ¿Qué valor diferencial aportaremos? No dejamos de preguntarnos por eso; y, en un principio, no conseguimos ninguna respuesta. Vale, nos decíamos: si soy muy bueno, puedo hacer un IDS, pero… ¿cómo hago que se venda más que los de las competencia?

El mundo SIEM

En los años 90 surgieron los UTM (Unified Threat Management), que ya no eran, precisamente, una propuesta tecnológica, sino una de valor.



Proponían la unificación de distintas tecnologías en una única caja; y ofrecían sencillez de uso y operación, y bajos costes.

Después llegó el año 2000, y como pioneros de servicios de seguridad, lanzamos un servicio de seguridad gestionada, montando un SOC. Fue justo en ese momento cuando nos dimos cuenta de que faltaba un producto que asistiera en ese proceso, porque se intentaba hacer una foto mental de millones de logs al día y era absurdo. Era necesario un producto nuevo que unificara todo esto. Y aquí visualizamos el SIEM, vimos un producto nuevo que más tarde tendría este nombre. Podríamos recolectar logs, correlacionarlos a través de diferentes algoritmos, cruzarlos y luego reportarlos de diversas formas. Y aquí, en este punto, la idea que nos hizo decidirnos finalmente fue hacerlo en open source. El resultado lo llamamos OSSIM (Open Source Information Security Management).

Y esta fue nuestra apuesta diferencial. hicimos un producto unificado, unimos al SIEM un componente llamado “sensor”, que se gestionaba desde el SIEM y donde agrupamos muchos componentes open source dispersos, que en esa época no tenían capacidad de gestión, no tenían consolas (IDSs, sistemas de monitorización de red, de detección de anomalías, etc.). Buscamos un producto muy ambicioso, un sistema completo de monitorización de seguridad, que permitía a una empresa unas fabulosas capacidades de visión y gestión.

Esta propuesta de valor en 2003 era, absolutamente, excepcional. Recuerdo las primeras

conversaciones con firmas de venture capital. Nos decían que el open source solo aplicaba a mercados maduros y unificados, pero no en nuestro caso. Y se preguntaban cómo era posible que aún no hubiera nacido el producto y ya estuviéramos haciendo un lanzamiento de ese tipo.

Así las cosas, nos pasamos cuatro años vendiendo servicios. Y desarrollando producto y ofreciéndolo de forma gratuita en la comunidad open source.

200�: una empresa de producto

Ya en 2007 vimos que la comunidad tenía un tamaño importante y nos lanzamos a la aventura de crear AlienVault como una empresa de producto. Nuestro objetivo: desarrollar un producto enterprise por encima de open source para aquellas implantaciones que requirieran capacidades de despliegue mayores, y más altas funcionalidades de performance y reporte. La empresa nació con muy poco capital, pero con un activo enorme. Y con la idea de empezar la comercialización en nuestro entorno de confianza y dentro de las fronteras nacionales.

Cuando presentábamos nuestra propuesta de valor destacábamos dos hechos muy relevantes para nosotros: nuestro awareness –éramos conocidos por el 90% de los técnicos en todo el mundo. Y eso con poquísimo dinero–; y la propia de ser open source, y haber sido una plataforma unificada, donde el 95% de su código era externo. Esto le daba a nuestra propuesta un valor muy alto. La relación funcionalidad/coste era excepcional.



En la comunidad no tuvimos muchas contribuciones en cuanto al código, pero sí contamos con un beneficio enorme a nivel de testing, puesto que había miles de empresas en todo el mundo que probaban nuestros productos cuando hacíamos un desarrollo nuevo. Esto nos resultaba muy beneficioso porque nos suponía un importante ahorro de costes. Mientras las pruebas de concepto son caras y nosotros en aquel momento no podíamos pagar pruebas en China, por ejemplo; en la comunidad open source los usuarios lo bajaban, lo probaban, y cuando el producto les gustaba, venían a nosotros. No éramos líderes del mercado, pero nuestros productos sí eran los más utilizados. Aunque gratuitamente.

En lo referente al tema de los leads fuimos más lentos. En 2007 recuerdo que teníamos muchísimas descargas, pero solo 6 ó 7 leads. Pero ya en 2009 empezamos a ver cómo se incrementaba la demanda y cómo el mercado empezaba a vernos como una propuesta cada vez más creíble. Con todo, la pregunta era la de siempre: ¿Conseguiremos de verdad vender el producto?

En medio de todo esto, AlienVault creó un modelo de negocio de conversión, modelo propio de open source, que ahora está muy de moda y es lo que más le gusta a un venture capital. Se llama freemium y propone la oferta de servicios básicos gratuitos, mientras se cobra por otros más avanzados o especiales.

El modelo funcionó muy bien. Estaba basado en la creación de un código, que nos daba, sobre

todo, awareness. Generaba visitas, y un porcentaje alto de ellas eran descargas del mismo; mientras otro porcentaje terminaba convirtiéndose en oportunidades. Y a un porcentaje de esas oportunidades se les terminaba haciendo una oferta; para luego conseguir que otro porcentaje de este último se transformara en ventas.

2010: una llamada de Yakarta y Silicon Valley

El 7 de mayo de 2010 nos llamaron los representantes de una firma de telecomunicaciones de Yakarta y nos mandaron una orden de compra de producto por valor de 16.000 dólares. habíamos hablado con ellos un par de veces por teléfono, y de repente querían comprar nuestro producto sin conocernos y sin que mediara una venta emocional. Para mí todo cambió en aquel momento.

hablamos con los socios y les dijimos que había que irse a EE.UU. Los inversores nos dijeron que estábamos locos, que en España teníamos contratos mucho mayores. Pero para mí todo había cambiado. Con el tiempo aprendí que lo que había pasado era que habíamos cruzado el abismo de Moore, habíamos vendido a un cliente sin ningún vínculo emocional, no era amigo de nadie, no le habíamos visto la cara, no le habíamos convencido. había sido el propio producto quien le había convencido. Y estaba dispuesto a enviarnos 16.000 dólares desde Yakarta. Esa decisión nos llevó a concluir el año con 62 clientes en más de 25 países. Y todas, ventas por teléfono. Y con marcas de primerísimo nivel. Ventas pequeñas, pero el comienzo de las ventas mayores que vendrían después.



El 10 de noviembre de 2010, Dominique Karg y yo aterrizamos en Silicon Valley con nuestras familias. Y ahí empezó una nueva etapa. Aquello era un océano de oportunidades de negocio. También lleno de predadores. El cuadrante de Gartner de esa época del mercado SIEM hablaba de un total de 29 jugadores, y nosotros no conocíamos de nada a 27, porque solo operaban en EE.UU. Y todos vendían cerca de 30 millones de dólares, mucho más que nosotros. Y esto nos preocupó.

Crisis de identidad

La estancia en Silicon Valley, llena de oportunidades, también tuvo sus sombras. Tuvimos una crisis de identidad por no saber cómo colocarnos exactamente en un mercado tan maduro. Y para complicar aún más la situación, ocurrió lo propio de los mercados maduros, empezaron las adquisiciones. hP compró ArcSight por 1.500 millones de dólares; IBM compró por Qlabs, por algo más de 500 millones; e Intel se hizo con NitroSecurity por algo menos de 500 millones.

Se nos acercaron algunos fabricantes, como Fortinet, Cisco u Oracle; incluso alguno lanzó alguna cifra de compra. Pero dudamos y volvimos a pensar. Pensamos que ahora era fácil posicionarse, porque nuestro producto era mejor y más barato que el de los demás. Aunque también había gente “micro” más barata que nosotros.

Pensamos si no sería demasiado tarde, si no habíamos perdido el tiempo. Y justo entonces

llegó el modelo unificado, el Unified Security Management (USM), que proponía unir el SIEM y las herramientas de monitorización… y vino el rescate. Vimos una foto del mercado SIEM basada en tres categorías: los vendors, que venden en otro espacio; los SIEM puro, que están especializados en correlar, como RSA, ArcSight…; y luego otra serie de fabricantes que intentan agregar valor al SIEM, agregando nuevas funcionalidades y haciéndolo un único sistema. Y en este vertical, en el unified, nos vimos con el derecho a ser los líderes. Cierto que algunos como NitroSecurity y Qlabs estaban añadiendo funcionalidades, pero lo hacían poco a poco. Además, nuestro sistema era, también, mucho más completo; sin olvidar que desde 2003 nuestro plan siempre ha sido ese, el modelo unified.

Y llegó Trident Capital

Con este mensaje de vernos líderes fuimos a los venture capital. Lo entendieron y funcionó. Nuestro primer venture capital fue Trident Capital, especializado en empresas de nicho. Lo primero que nos dijeron es que teníamos que tener gestores americanos. A nosotros nos costó, porque no fue fácil ceder nuestro “bebé” a un tercero que apenas conocíamos. Contratamos a siete ejecutivos de hP de golpe, gestores de seguridad que habían creado una empresa llamada Fortify, que acababa de ser vendida por un poco menos de 500 millones de dólares.

Ahí comenzó la etapa de crecimiento o growth, que siguió a aquella primera de experimentación y creatividad. Empezamos a pensar más en el



equipo, apostamos por una estructura vertical, por la especialización, por la madurez de los procesos y un estricto plan operativo. No obstante, el equipo de desarrollo lo mantuvimos, y lo seguimos manteniendo, en España, con 25 personas en Madrid y Granada. Y se quedaron alucinados con el talento.

La integración no fue fácil. Y por eso mi mayor esfuerzo desde entonces estuvo dedicado precisamente a eso, a lograr esa integración. Lo primero que hicieron nuestros nuevos socios fue hablar con Gartner, quienes nos dijeron que el mercado estaba evolucionando más allá del SIEM, hacia la inteligencia de seguridad.

Luego los americanos hablaron con Kleiner Perkins y con el fundador de ArcSight. Y de ahí surgieron nuevos retos: responder a por qué íbamos a ser el ganador del nuevo mercado de ciberinteligencia, y a por qué nuestra empresa iba a mejorar el mundo –si queríamos que el fondo invirtiera en nosotros–. Empezamos otra etapa de análisis de nuestros objetivos, buscando una nueva identidad.

Llegamos a nuestros orígenes open source, y desde ahí creamos una red de inteligencia: Open Treath, que fue la definición para la nueva identidad. Y esto es lo que convenció a Kleiner Perkins. Y aquí llegamos al punto inicial, cuando

este gran fondo de inversión culmina con su elección nuestro periplo empresarial; y desde donde unimos hoy todos los puntos del camino.

Nuevas fórmulas para España

Nuestra singladura ha sido un viaje de transformación y adaptación: de servicios a productos, de un mercado nacional al salto internacional, de una organización startup flexible y creativa a una organización consolidada de ventas. Pero, sobre todo, de innovación, del mundo SIEM, del entorno open source y del modelo unified.

Para terminar, mi mensaje sería que competir trabajando desde España es una batalla desigual mientras haya un grupo de empresas americanas vendiendo a escala global con más financiación que tú. Creo que este país tiene que buscar fórmulas que nos hagan más productivos y competitivos en el mercado global. Y, mientras, desde luego, no queda otra opción que triunfar en EE.UU. si quieres hacer un producto global.

Al final, y en esencia, diría que la clave es innovar. Buscar caminos propios, muchas veces basados solo en la intuición, pero salirse de los caminos prescritos y las ideas preconcebidas y utilizar toda la creatividad disponible. Y no asustarse cuanto te dicen que estás loco. Quizá hay que estarlo un poco.



ÁLBUM FOTOGRÁFICO

Centro de Investigación para la Gestión Tecnológica del Riesgo


I



II

Inauguración del Curso. (De izq. a dcha.): Francisco García Marín, Innovation for Security de Grupo BBVA; Santiago Moral Rubio, Director de Riesgo IT, Fraude y Seguridad del Grupo BBVA; y Pedro González-Trevijano, Rector de la Universidad Rey Juan Carlos y Presidente de la Fundación Universidad Rey Juan Carlos.

Más de cien alumnos se matricularon en este segundo Curso, que tuvo lugar en la sede de la Universidad Rey Juan Carlos, situada en Aranjuez.



III

Víctor Chapela, Chairman of the Board de Sm4rt Security, y Regino Criado, Catedrático de Matemática Aplicada de la Universidad Rey Juan Carlos, demostraron que las ciencias de la computación y las matemáticas aplicadas a la gestión de riesgos intencionales no están reñidas con la diversión y el aprendizaje.



IV

Simon Leach, Director de Preventa para EMEA de HP Enterprise Security, lo dijo bien claro: “Ya no hay ‘buenos’ en Internet, sino distintos niveles de maldad”.



V

Santiago Moral, Director de Riesgo IT, Fraude y Seguridad del Grupo BBVA, un experto siempre comprometido con el fomento de la innovación como factor indispensable para mejorar.



VI

Gonzalo Álvarez Marañón, científico y conferenciante. Nadie como él para enseñar a los alumnos que hoy, además de tener conocimientos profundos en una disciplina, hay que dominar también el arte de comunicarlos.



VII

(Arriba de izda. a dcha.) Fernando Esponda, Director de Investigación

de Sm4rt Predictive Systems, y Luis Vergara, Catedrático del

Departamento de Comunicaciones de la Universidad Politécnica de

Valencia. Ambos pronunciaron una brillante conferencia sobre

predicción de fraude.

Julio Casal, Fundador de AlienVault, un emprendedor español que ha triunfado en

Silicon Valley.



VIII

La aplicación de Teoría de Juegos a la gestión de riesgos es uno de los campos en los que investiga Jesús Palomo, Profesor Titular de Economía de la Empresa de la Universidad Rey Juan Carlos.

Enrique Cabello, Profesor titular del Departamento de Arquitectura y Tecnología de Computadores de la Universidad Rey Juan Carlos, explicó el proyecto de reconocimiento facial de viajeros realizado en el

aeropuerto de Barajas (Madrid).



IX

Los participantes en la mesa redonda sobre nuevas tendencias en tecnologías para gestión de riesgo y seguridad IT, junto a algunos profesores . (De izda. a dcha.) Rafael Ortega, Director General de Innovation 4 Security; Luis Saiz, Director de Gestión Global del Fraude en BBVA; Ana Arenal, Directora de Seguridad de Mnemo; Esperanza Marcos, Catedrática de Lenguaje y Sistemas Informáticos II de la Universidad Rey Juan Carlos (moderadora); Jaime Forero, Director de Desarrollo de Negocio para Banca y Utilities de Intel; Víctor Chapela, Chairman of the Board de Sm4rt Security; Juan Jesús León, Director de productos y nuevos desarrollos de GMV Soluciones Globales Internet SA; y Francisco García Marín, de Innovation for Security de Grupo BBVA.



X

El animado debate durante la mesa redonda concitó la atención de la nutrida asistencia.



XI

El Curso de Verano proporcionó un espacio inmejorable para cultivar las relaciones sociales entre alumnos y profesores.



XII

Entre clase y clase, hace su aparición el networking.



XIII

Aranjuez durante el Curso de Verano, un lugar en el que la gestión de riesgos, la prevención del fraude y la seguridad IT se funden con los buenos momentos y la gastronomía popular.



XIV

Innovacion para la seguridad TIC

Technology

Transcript of Innovacion para la seguridad TIC