Bitácora de fernand0 Cambiando de aires

Juan Palomo algorítmico

Brionvega

En Man Arrested for Creating Fake Bands With AI, Then Making $10 Million by Listening to Their Songs With Bots nos hablaban de un Juan Palomo algorítmico.

El autor de la estafa creaba cientos de canciones en servicios de música en línea utilizando inteligencia artificial; posteriormente, lanzaba un ejército de bots a ‘escucharlas’, lo que se convertía en jugosas ganancias.

An alleged scammer has been arrested under suspicion that he used AI to create a wild number of fake bands — and fake music to go with them — and faking untold streams with more bots to earn millions in ill-gotten revenue.

En realidad parece que la generación de canciones las contrataba a otra empresa, con nombres como: “n_7a2b2d74-1621-4385-895d-b1e4af78d860.mp3,”

The songs that the AI CEO provided to Smith originally had file names full of randomized numbers and letters such as “n_7a2b2d74-1621-4385-895d-b1e4af78d860.mp3,” the DOJ noted in its detailed press release.

Después, el autor les cambiaba el nombre por otros más ‘civilizados’ (aunque no demasiado): “Zygotes,” “Zygotic” y “Zyme Bedewing”.

When uploading them to streaming platforms, including Amazon Music, Apple Music, Spotify, and YouTube Music, the man would then change the songs’ names to words like “Zygotes,” “Zygotic,” and “Zyme Bedewing,” whatever that is.

También creaba grupos para esas canciones con nombres como: “Calvin Mann”, “Calorie Event”, “Calms Scorching”, y “Calypso Xored.

The artist naming convention also followed a somewhat similar pattern, with names ranging from the normal-sounding “Calvin Mann” to head-scratchers like “Calorie Event,” “Calms Scorching,” and “Calypso Xored.”

Finalmente, sus propios bots se ocupaban de solicitarlas en las tiendas.

En las Mesas de Debate AICAR ADICAE sobre ciberseguridad

Antes del verano me contactaron desde AICAR-ADICAE para grabar una mesa redonda que se emitiría posteriormente a través de diversos canales. Grabamos en septiembre y ahora se han publicado y el resultado puede verse en:

Además, está disponible para escucharlo (nuestras caras son lo que son, seamos realistas) en:

(Creo que nunca había grabado nada que haya salido en Spotify, pero no estoy seguro)

También en:

Además nos pidieron un texto, que han publicado en su web: Claves de ciberseguridad para los consumidores y que transcribo a continuidad por archivado personal. Me costó un poco porque no tenía muy claro como enfocarlo, espero que sea de utilidad para alguien.

Parece como si en los últimos años hubieran aumentado los problemas de seguridad en internet: cada día escuchamos sobre nuevas y viejas amenazas, en algunos casos incluso afectando a personas cercanas. En esta nota vamos a hablar un poco de algunas de ellas y qué medidas podemos adoptar para vivir más tranquilos. Aunque en algunos casos no podemos hacer gran cosa, sobre otras tenemos más posibilidades y, desde luego, dedicar atención a estos asuntos va a mejorar nuestra situación sin ninguna duda. Vamos a tratar de aportar algunas ideas desde aquí.
La primera recomendación es la que haríamos con cualquier otra tecnología (más o menos avanzada) que tengamos a nuestra disposición: siempre vale la pena aprender a manejar las herramientas, comprender lo que está sucediendo y poder tomar decisiones adecuadas para nuestras necesidades. Y en caso de duda, preguntar a personas que nos puedan ayudar.
Internet nos ha traído unas posibilidades que eran impensables para nosotros: acceso a información de cualquier parte del mundo, desde la comodidad de nuestro hogar y con un coste bastante económico. Sin embargo, muchas veces tratamos de acceder solo a los beneficios, sin tener en cuenta los costes. Igual que sucede en cualquier circunstancia de nuestras vidas, estar seguros al 100% es un objetivo inalcanzable; sin embargo, mejorar nuestra seguridad puede ser una tarea abordable para cualquiera.
Normalmente todo sucede a gran velocidad, lo que probablemente sea uno de los primeros problemas: muchas veces recibimos mensajes, e indicaciones que nos fuerzan a actuar con rapidez (cuando no directamente con presión, con amenazas más o menos preocupantes). Este tipo de ataques tratan de aprovechar el comportamiento de las personas, siempre dispuestas a ayudar, resolver problemas o a responder ante estímulos alarmantes. Cuando un mensaje de este tipo nos pilla con la guardia baja, si reaccionamos rápido puede ser que actuemos con menos cuidado del debido.
En los dos últimos años la estrella está siendo la inteligencia artificial: tenemos acceso a herramientas capaces de manipulaciones impresionantes y, en particular, muy orientadas al manejo del lenguaje. Con estas inteligencias artificiales se realizan ataques mejores y más convincentes: esos mensajes que nos llegan tratando de que realicemos ciertas acciones están cada vez mejor escritos y no tienen erratas que nos permitan desconfiar de su contenido; también hay inteligencias artificiales protegiéndonos para que estos mensajes no nos lleguen. No obstante, la recomendación sigue siendo la misma de siempre: si es demasiado bueno para ser verdad, o demasiado malo para provocarnos alguna preocupación, siempre nos queda el recurso de tratar de mantener la calma y utilizar algunas estrategias:
- Copiar el texto del mensaje (o una parte) en nuestro buscador favorito y ver si alguien puede aportarnos información sobre el asunto.
- Preguntar a los supuestos remitentes; eso sí, tal vez por canales más tradicionales y no como respuesta a lo que recibimos; esto es, podemos llamar, por ejemplo, a nuestro banco, o al servicio de atención al cliente para ver si lo que estamos viendo es legítimo. O hacerles una visita.
- Preguntar a otros para que nos puedan aportar su perspectiva y conocimiento.
- Llamar a los teléfonos de ayuda que existen para estos casos (el Instituto Nacional de Ciberseguridad, INCIBE, tiene un teléfono desde hace algún tiempo de atención al público donde nos pueden ayudar y dar consejos; es el 017).
- Dejar pasar el tiempo (casi nada es tan urgente como nos quieren hacer creer los mensajes amenazantes que recibimos y es posible que mientras esperamos podamos informarnos mejor).
Vemos de vez en cuando noticias de robos de información a diversas empresas; entre la información robada puede estar la de sus clientes, y eso puede ser un problema para nosotros. Aunque no podemos hacer nada directamente contra esto, sí que podemos tratar de ser más precavidos con nuestros datos: cuando nuestros proveedores nos piden una cantidad excesiva de información personal podemos intentar asegurarnos de que si se los roban no estaremos demasiado comprometidos:
- Preguntarnos si cada dato que nos piden es necesario: hay que tener en cuenta que algunos son fáciles de sustituir en caso de que se vean comprometidos (podemos solicitar una nueva tarjeta al banco, por ejemplo), pero otros no lo son tanto (no podemos cambiar la dirección donde vivimos). En caso de que no lo sea podemos poner alguno menos comprometedor, como, por ejemplo, la dirección del trabajo.
- Evaluar el uso de direcciones alternativas para recibir los bienes, en caso de que se trate de un envío. Por ejemplo, los puntos de entrega que muchas agencias de mensajería tienen, de forma que no desvelaremos nuestra dirección.
- Tratar de elegir a proveedores que soliciten menos datos.
Finalmente, cuando queramos adquirir bienes diversos (tiendas de internet) será buena idea prestar atención a dónde lo hacemos:
- Buscar reseñas del sitio en cuestión. ¿Hay otros clientes hablando del sitio? ¿Parecen satisfactorias sus experiencias?
- Opiniones de otros usuarios. ¿Conocemos a alguien que haya utilizado el servicio? ¿Existen comparativas con otros comercios similares?
- Revisar las condiciones del servicio ofrecido. Estos sitios tienen leyes y regulaciones que deben cumplir, pero, además, debería ser sencillo encontrar esta información, y todo lo que leamos debería ayudarnos a comprender mejor los procesos, los costes, plazos, así como toda la información que nos ayude a mejorar nuestra confianza en el sitio.
En definitiva, cuando utilizamos tecnología (igual que cuando no la utilizamos): asegurarnos de que lo que se nos propone es razonable, invertir tiempo en hacer comprobaciones que nos satisfagan, preguntar, tratar de estar al día y pensar que no sucede nada si lo que estamos tratando de conseguir nos cuesta un poco más de tiempo, que es el que estamos invirtiendo en tranquilidad.
Fernando Tricas, Doctor Ingeniero en Informática y Profesor Titular en el Departamento de Informática e Ingeniería de Sistemas de la Universidad de Zaragoza

Entrada publicada originalmente en En las Mesas de Debate AICAR ADICAE sobre ciberseguridad.

El correo como sistema de acceso sin contraseña

Google SMS

Hace tiempo que en algunos sitios a los que no damos mucha importancia, o que no usamos demasiado no nos aprendemos las contraseñas, ni tampoco las apuntamos, ni usamos ‘la de siempre’ (que es algo que no deberíamos hacer). De eso nos hablaban en The “email is authentication” pattern

1. Get to a login page 2. Click “I forgot my password” 3. Go to their email 4. Click the recovery link 5. Type a throwaway password they won’t retain 6. Rinse, and repeat

El autor se pregunta, ¿cómo es que la gente ha llegado a ese patrón de uso?

How do you decide that using “I forgot my password” as authentication makes sense to you? Or more specifically, the most sense to you, out of all possible options?

Y llega a la conclusión de que no es una decisión, sino una consecuencia de los usos y costumbres.

I think people can’t answer why they do this because it’s not a concious decision. [...] Instead, this is a process that has coalesced over time and become rote. It offers a guaranteed, repeatable, low-effort solution (of sorts) to passphrases they don’t need to think about (there’s those brackets again).

Desde mi punto de vista también es una línea de mínimo esfuerzo: intento conectarme con la que creo que puede ser la contraseña, no lo consigo (porque no era, o porque la tecleé mal) y me cuesta menos esfuerzo reinicilizarla.

Se pregunta si no deberíamos diseñar sistemas pensando en ello.

What if we could somehow design systems so that the people who use them evolve to use them in better ways?

Pero lo cierto es que ya es así: no será la primera vez que Discord, o Slack (y alguna otra) que nos mandan directamente un enlace, en lugar de preguntarnos la contraseña. Tiene todo el sentido (salvo cuando tenemos dificultades con el correo y no podemos recibirlo adecuadamente, que también pasa). De hecho, cuando nos enfrentamos a algún sistema más ‘creativo’ donde lo de recuperar contraseña no es tan sencillo, la operación se convierte en un auténtico problema. El otro día me pasaba en un sitio de estos que para mi tienen poco valor, pero que ellos creen que tienen que proteger como si fueran las joyas de la corona:

Cuidado porque, a veces, esas contraseñas son las más importantes (no la del ejemplo), pero son de poco uso y en momentos muy concretos, así que más vale que sea fácil acceder. También me pasa, a veces, con sistemas que añaden restricciones adicionales a las contraseñas (que ya sabemos que producen contraseñas menos seguras, Why Enforced Password Complexity Is Worse for Security (and What to Do About It), pero eso es otra batalla).

No puedo asistir a la reunión, mi asistente lo hará por mi

Libreta

Después del amplio fracaso de la web, a veces por no comparecencia (Abundancia de información, difusión, y granularidad), otras por no participar más allá de mostrar lo nuestro y ya (El enlace, la atribución y el flujo de información) y, probablemente la peor, la contaminación (Las búsquedas y la contaminación de la web, ¡volvió Blogalia!) tengo algo de fe (moderada, porque los desengaños van sumándose uno tras otro) en los agentes personales (robots que hacen cosas por nosotros y nos traen la información que necesitamos) que, tal vez, sean capaces de eliminar la basura que se nos ofrece.

Pero claro, también aparecerán otros usos que igual no nos gustan tanto. en I’m Unable to Attend, But I’ll send my AI Bot podemos ver cómo nos cuentan un caso de uso (no en la web) en el que podemos sentir simpatía o antipatía dependiendo del lado en que estemos a la hora de convocar una reunión: por un lado, esas que pensamos que podrían haber sido un correo o un documento explicativo; por el otro, esas donde sentimos que la presencia es muy importante para entender bien lo que estamos hablando.

Parece que ya hay productos que permiten enviar a nuestro robot a la reunión, que tome notas por nosotros, haga un resumen y nos lo facilite.

Recently, I attended an online meeting where two persons did not turn up but sent their AI note-taker bots instead.

La cosa es que allí se discutió sobre el tema y se denegó esta forma de participación.

Me parece interesante disponer de herramientas como estas y ya digo que podemos encontrarnos en la situación de estar encantados con disponer de un buen ayudante (aunque tal vez debería haber ayudado al convocante a redactar un resumen que hubiera remitido y ya) que nos permita cosas como estas. Además, resumir es un arte que no todo el mundo hace (hacemos) bien.

Se añaden, dice, otros factores, como las regulaciones (¿grabar lo que se dice?), la comodidad que pueden sentir los participantes…. No me importaría probar uno para la próxima vez que alguien se empeñe en convocarnos a una reunión (o ‘sesión informativa’) y ver cómo toma notas, resumen y presenta algo que pueda ser de utilidad.

Yo en las reuniones soy muy de tomar notas y hacer dibujitos. Pero muchas veces más por aburrimiento que por efectividad y eficacia real porque … ¿quién convierte luego en legibles unas notas tomadas rápido y mal mientras alguien cuenta algo?

En ENISE, moderando una mesa sobre ciberseguridad

Este año tuve la suerte de poder acudir al ENISE (ENcuentro Internacional de SEguridad de la información), organizado por el INCIBE (Instituto Nacional de Ciberseguridad), que se celebró en León los días 21, 22 y 23 de octubre.

Pude moderar una mesa redonda, con el título “Nuevas tecnologías y estrategias al servicio de la gestión de incidentes de ciberseguridad” acompañado de:

  • Erkuden Rios, Directora de proyectos / TECNALIA
  • Patricia Alonso, Gerente / INCIBE-CERT
  • Santiago González, Jefe de la Oficina Técnica (Cuerpo Nacional de Policía-GPO- Plan director de Seguridad) / Ministerio del Interior- Dirección General de Policía
  • Juan Salom, Coronel Jefe de la Unidad de Coordinación de Ciberseguridad de la Guardia Civil / Guardia Civil

Nunca había estado en este encuentro y fue una buena oportunidad para conocerlo, saludar a algunos conocidos y hacer una pequeña visita que tuvieron la amabilidad de organizar al INCIBE. También, claro, dar una vuelta por la ciudad un probar un poco la gastronomía (funtamentalmente tapas).

No había mucho tiempo así que nos concentramos, fundamentalmente estas preguntas:

  • Una toma de posición inicial de cada una de las personas que había (se habló de IA, pero también de otras tecnologías y la preocupación de cómo muchos ciberataques ni siquiera se denuncian).
  • Hablamos un poquito del uso de la IA en los distintos negociados de los participantes
  • Introdujimos el tema de usar nuevas tecnologías para detectar ataques, e incluso en el análisis posterior, cuando ya se ha pasado el problema, pero… ¿sería adecuado experimentar cuando estamos en pleno incidente?
  • ¿Qué otras tecnologías puede haber por debajo del radar en este momento que pueden ser peligrosas en el futuro?

Muy interesante, a pesar de no disponer de mucho tiempo.

Se puede ver la mesa en (a partir de las 3 horas y 15 minutos, aproximadamente):

Es un encuentro muy bien organizado, con traducción simultánea, también para personas con dificultades auditivas. Un verdadero placer.

Además tuve la suerte de encontrarme con que se hacía un homenaje a uno de mis primeros profesores en la Universidad, Santos González Jiménez, que fue profesor en la Universidad de Zaragoza antes de marcharse a Oviedo, y que se ha dedicado a diversos temas sobre la criptografía. Pude saludarle y recordar aquellos tiempos cuando todo empezaba.

Esta entrada se publicó en primer lugar en En ENISE, moderando una mesa sobre ciberseguridad