Bitácora de fernand0 Cambiando de aires

¿Seguirá tu nuevo coche funcionando en unos años?

Coches

Una buena razón para comprar aparatos (sobre todo si tienen que durar tiempo) de marcas conocidas y de una cierta trayectoria es que es posible que podamos estar más tranquilos sobre su permanencia y, por lo tanto, que lo que hayamos comprado siga teniendo posibilidades de mantenimiento, reparación … En When EV startups shut down, will their cars still work? nos hablan de algunos fabricantes de coches chinos que están dejando de enviar actualizaciones porque la empresa deja de existir. Si lo pensamos, la mayor parte del vehículo sigue allí, con nosotros, y en caso de avería algún mecánico nos podrá echar una mano pero… ¿qué sucede con los programas, las pantallas y las aplicaciones para el teléfono? Porque, como dicen continuamente en el artículo, los coches se están convirtiendo en teléfonos inteligentes con ruedas.

When one of China’s once-popular electric vehicle startups went bust, car owners encountered an unexpected problem: Their vehicles went “offline.”

Las molestias pueden ir desde no poder gestionar el aire acondicionado, la apertura desde tu teléfono, o ver los kilómetros, el estado de carga…:

... discovered that he could no longer log into WM Motor’s smartphone app, which remotely controlled the car lock and air conditioner. He also couldn’t see his car’s mileage and charging status on the dashboard.

También que el sistema de sonido deje de funcionar:

Other WM Motor owners reported that the smartphone app was unusable, and the built-in car stereo, which required an internet connection, had stopped working.

Pero quién sabe qué puede suceder con la máxima integración de los sistemas, las nubes y las acciones de los fabricantes.

... the fact that many electric cars rely on cloud services — from smartphone controls to software updates — has raised concerns about the long-term serviceability of the vehicles.

Esto siempre se puede atacar desde el punto de vista de la regulación, aunque ya sabemos que los fabricantes normalmente tienen mucha mayor capacidad de influencia que los consumidores.

China’s automobile regulations say car manufacturers must ensure the supply of hardware parts and after-sales service for at least 10 years following a model’s discontinuation.

Pero en una industria vieja (aunque las marcas y fabricantes sean nuevas) siempre hay aspectos a los que se da menos importancia, como son las actualizaciones de los programas. Tampoco ayuda que estos tienen licencias privativas, lo que impide que terceros puedan dar ese servicio cuando el proveedor no responda adecuadamente, ni que en muchos casos los servicios dependan de conexiones a servicios de internet, que también requieren su mantenimiento. Esas regulaciones deberían contemplar estos nuevos sistemas y las formas de garantizar su supervivencia, aunque el fabricante deje de prestarles atención.

EVs, however, are far more dependent on advanced software, which is not explicitly covered by China’s after-sales support requirement. Proprietary software is often used for features like charging, remote access, door keys, and even in-car entertainment. They’re also often connected to internet-based services that are reliant on the carmaker’s cloud servers.

En realidad, es posible que eso también pase con otras empresas (¿alguien tiene un teléfono móvil de alguna de las reconocidas que ya no recibe actualizaciones?) y las de automóviles hasta ahora se han ido librando, probablemente porque han sido muy conservadoras en lo que incluían en sus coches (y seguro que alguien tiene algún GPS o algún sistema de entretenimiento en un coche de hace unos años que se ha quedado completamente obsoleto).

Luego podríamos hablar de la seguridad de esos dispositivos, claro (Los vehículos, los nuevos servicios y los mismos fallos de siempre).

Juan Palomo algorítmico

Brionvega

En Man Arrested for Creating Fake Bands With AI, Then Making $10 Million by Listening to Their Songs With Bots nos hablaban de un Juan Palomo algorítmico.

El autor de la estafa creaba cientos de canciones en servicios de música en línea utilizando inteligencia artificial; posteriormente, lanzaba un ejército de bots a ‘escucharlas’, lo que se convertía en jugosas ganancias.

An alleged scammer has been arrested under suspicion that he used AI to create a wild number of fake bands — and fake music to go with them — and faking untold streams with more bots to earn millions in ill-gotten revenue.

En realidad parece que la generación de canciones las contrataba a otra empresa, con nombres como: “n_7a2b2d74-1621-4385-895d-b1e4af78d860.mp3,”

The songs that the AI CEO provided to Smith originally had file names full of randomized numbers and letters such as “n_7a2b2d74-1621-4385-895d-b1e4af78d860.mp3,” the DOJ noted in its detailed press release.

Después, el autor les cambiaba el nombre por otros más ‘civilizados’ (aunque no demasiado): “Zygotes,” “Zygotic” y “Zyme Bedewing”.

When uploading them to streaming platforms, including Amazon Music, Apple Music, Spotify, and YouTube Music, the man would then change the songs’ names to words like “Zygotes,” “Zygotic,” and “Zyme Bedewing,” whatever that is.

También creaba grupos para esas canciones con nombres como: “Calvin Mann”, “Calorie Event”, “Calms Scorching”, y “Calypso Xored.

The artist naming convention also followed a somewhat similar pattern, with names ranging from the normal-sounding “Calvin Mann” to head-scratchers like “Calorie Event,” “Calms Scorching,” and “Calypso Xored.”

Finalmente, sus propios bots se ocupaban de solicitarlas en las tiendas.

En las Mesas de Debate AICAR ADICAE sobre ciberseguridad

Antes del verano me contactaron desde AICAR-ADICAE para grabar una mesa redonda que se emitiría posteriormente a través de diversos canales. Grabamos en septiembre y ahora se han publicado y el resultado puede verse en:

Además, está disponible para escucharlo (nuestras caras son lo que son, seamos realistas) en:

(Creo que nunca había grabado nada que haya salido en Spotify, pero no estoy seguro)

También en:

Además nos pidieron un texto, que han publicado en su web: Claves de ciberseguridad para los consumidores y que transcribo a continuidad por archivado personal. Me costó un poco porque no tenía muy claro como enfocarlo, espero que sea de utilidad para alguien.

Parece como si en los últimos años hubieran aumentado los problemas de seguridad en internet: cada día escuchamos sobre nuevas y viejas amenazas, en algunos casos incluso afectando a personas cercanas. En esta nota vamos a hablar un poco de algunas de ellas y qué medidas podemos adoptar para vivir más tranquilos. Aunque en algunos casos no podemos hacer gran cosa, sobre otras tenemos más posibilidades y, desde luego, dedicar atención a estos asuntos va a mejorar nuestra situación sin ninguna duda. Vamos a tratar de aportar algunas ideas desde aquí.
La primera recomendación es la que haríamos con cualquier otra tecnología (más o menos avanzada) que tengamos a nuestra disposición: siempre vale la pena aprender a manejar las herramientas, comprender lo que está sucediendo y poder tomar decisiones adecuadas para nuestras necesidades. Y en caso de duda, preguntar a personas que nos puedan ayudar.
Internet nos ha traído unas posibilidades que eran impensables para nosotros: acceso a información de cualquier parte del mundo, desde la comodidad de nuestro hogar y con un coste bastante económico. Sin embargo, muchas veces tratamos de acceder solo a los beneficios, sin tener en cuenta los costes. Igual que sucede en cualquier circunstancia de nuestras vidas, estar seguros al 100% es un objetivo inalcanzable; sin embargo, mejorar nuestra seguridad puede ser una tarea abordable para cualquiera.
Normalmente todo sucede a gran velocidad, lo que probablemente sea uno de los primeros problemas: muchas veces recibimos mensajes, e indicaciones que nos fuerzan a actuar con rapidez (cuando no directamente con presión, con amenazas más o menos preocupantes). Este tipo de ataques tratan de aprovechar el comportamiento de las personas, siempre dispuestas a ayudar, resolver problemas o a responder ante estímulos alarmantes. Cuando un mensaje de este tipo nos pilla con la guardia baja, si reaccionamos rápido puede ser que actuemos con menos cuidado del debido.
En los dos últimos años la estrella está siendo la inteligencia artificial: tenemos acceso a herramientas capaces de manipulaciones impresionantes y, en particular, muy orientadas al manejo del lenguaje. Con estas inteligencias artificiales se realizan ataques mejores y más convincentes: esos mensajes que nos llegan tratando de que realicemos ciertas acciones están cada vez mejor escritos y no tienen erratas que nos permitan desconfiar de su contenido; también hay inteligencias artificiales protegiéndonos para que estos mensajes no nos lleguen. No obstante, la recomendación sigue siendo la misma de siempre: si es demasiado bueno para ser verdad, o demasiado malo para provocarnos alguna preocupación, siempre nos queda el recurso de tratar de mantener la calma y utilizar algunas estrategias:
- Copiar el texto del mensaje (o una parte) en nuestro buscador favorito y ver si alguien puede aportarnos información sobre el asunto.
- Preguntar a los supuestos remitentes; eso sí, tal vez por canales más tradicionales y no como respuesta a lo que recibimos; esto es, podemos llamar, por ejemplo, a nuestro banco, o al servicio de atención al cliente para ver si lo que estamos viendo es legítimo. O hacerles una visita.
- Preguntar a otros para que nos puedan aportar su perspectiva y conocimiento.
- Llamar a los teléfonos de ayuda que existen para estos casos (el Instituto Nacional de Ciberseguridad, INCIBE, tiene un teléfono desde hace algún tiempo de atención al público donde nos pueden ayudar y dar consejos; es el 017).
- Dejar pasar el tiempo (casi nada es tan urgente como nos quieren hacer creer los mensajes amenazantes que recibimos y es posible que mientras esperamos podamos informarnos mejor).
Vemos de vez en cuando noticias de robos de información a diversas empresas; entre la información robada puede estar la de sus clientes, y eso puede ser un problema para nosotros. Aunque no podemos hacer nada directamente contra esto, sí que podemos tratar de ser más precavidos con nuestros datos: cuando nuestros proveedores nos piden una cantidad excesiva de información personal podemos intentar asegurarnos de que si se los roban no estaremos demasiado comprometidos:
- Preguntarnos si cada dato que nos piden es necesario: hay que tener en cuenta que algunos son fáciles de sustituir en caso de que se vean comprometidos (podemos solicitar una nueva tarjeta al banco, por ejemplo), pero otros no lo son tanto (no podemos cambiar la dirección donde vivimos). En caso de que no lo sea podemos poner alguno menos comprometedor, como, por ejemplo, la dirección del trabajo.
- Evaluar el uso de direcciones alternativas para recibir los bienes, en caso de que se trate de un envío. Por ejemplo, los puntos de entrega que muchas agencias de mensajería tienen, de forma que no desvelaremos nuestra dirección.
- Tratar de elegir a proveedores que soliciten menos datos.
Finalmente, cuando queramos adquirir bienes diversos (tiendas de internet) será buena idea prestar atención a dónde lo hacemos:
- Buscar reseñas del sitio en cuestión. ¿Hay otros clientes hablando del sitio? ¿Parecen satisfactorias sus experiencias?
- Opiniones de otros usuarios. ¿Conocemos a alguien que haya utilizado el servicio? ¿Existen comparativas con otros comercios similares?
- Revisar las condiciones del servicio ofrecido. Estos sitios tienen leyes y regulaciones que deben cumplir, pero, además, debería ser sencillo encontrar esta información, y todo lo que leamos debería ayudarnos a comprender mejor los procesos, los costes, plazos, así como toda la información que nos ayude a mejorar nuestra confianza en el sitio.
En definitiva, cuando utilizamos tecnología (igual que cuando no la utilizamos): asegurarnos de que lo que se nos propone es razonable, invertir tiempo en hacer comprobaciones que nos satisfagan, preguntar, tratar de estar al día y pensar que no sucede nada si lo que estamos tratando de conseguir nos cuesta un poco más de tiempo, que es el que estamos invirtiendo en tranquilidad.
Fernando Tricas, Doctor Ingeniero en Informática y Profesor Titular en el Departamento de Informática e Ingeniería de Sistemas de la Universidad de Zaragoza

Entrada publicada originalmente en En las Mesas de Debate AICAR ADICAE sobre ciberseguridad.

El correo como sistema de acceso sin contraseña

Google SMS

Hace tiempo que en algunos sitios a los que no damos mucha importancia, o que no usamos demasiado no nos aprendemos las contraseñas, ni tampoco las apuntamos, ni usamos ‘la de siempre’ (que es algo que no deberíamos hacer). De eso nos hablaban en The “email is authentication” pattern

1. Get to a login page 2. Click “I forgot my password” 3. Go to their email 4. Click the recovery link 5. Type a throwaway password they won’t retain 6. Rinse, and repeat

El autor se pregunta, ¿cómo es que la gente ha llegado a ese patrón de uso?

How do you decide that using “I forgot my password” as authentication makes sense to you? Or more specifically, the most sense to you, out of all possible options?

Y llega a la conclusión de que no es una decisión, sino una consecuencia de los usos y costumbres.

I think people can’t answer why they do this because it’s not a concious decision. [...] Instead, this is a process that has coalesced over time and become rote. It offers a guaranteed, repeatable, low-effort solution (of sorts) to passphrases they don’t need to think about (there’s those brackets again).

Desde mi punto de vista también es una línea de mínimo esfuerzo: intento conectarme con la que creo que puede ser la contraseña, no lo consigo (porque no era, o porque la tecleé mal) y me cuesta menos esfuerzo reinicilizarla.

Se pregunta si no deberíamos diseñar sistemas pensando en ello.

What if we could somehow design systems so that the people who use them evolve to use them in better ways?

Pero lo cierto es que ya es así: no será la primera vez que Discord, o Slack (y alguna otra) que nos mandan directamente un enlace, en lugar de preguntarnos la contraseña. Tiene todo el sentido (salvo cuando tenemos dificultades con el correo y no podemos recibirlo adecuadamente, que también pasa). De hecho, cuando nos enfrentamos a algún sistema más ‘creativo’ donde lo de recuperar contraseña no es tan sencillo, la operación se convierte en un auténtico problema. El otro día me pasaba en un sitio de estos que para mi tienen poco valor, pero que ellos creen que tienen que proteger como si fueran las joyas de la corona:

Cuidado porque, a veces, esas contraseñas son las más importantes (no la del ejemplo), pero son de poco uso y en momentos muy concretos, así que más vale que sea fácil acceder. También me pasa, a veces, con sistemas que añaden restricciones adicionales a las contraseñas (que ya sabemos que producen contraseñas menos seguras, Why Enforced Password Complexity Is Worse for Security (and What to Do About It), pero eso es otra batalla).

No puedo asistir a la reunión, mi asistente lo hará por mi

Libreta

Después del amplio fracaso de la web, a veces por no comparecencia (Abundancia de información, difusión, y granularidad), otras por no participar más allá de mostrar lo nuestro y ya (El enlace, la atribución y el flujo de información) y, probablemente la peor, la contaminación (Las búsquedas y la contaminación de la web, ¡volvió Blogalia!) tengo algo de fe (moderada, porque los desengaños van sumándose uno tras otro) en los agentes personales (robots que hacen cosas por nosotros y nos traen la información que necesitamos) que, tal vez, sean capaces de eliminar la basura que se nos ofrece.

Pero claro, también aparecerán otros usos que igual no nos gustan tanto. en I’m Unable to Attend, But I’ll send my AI Bot podemos ver cómo nos cuentan un caso de uso (no en la web) en el que podemos sentir simpatía o antipatía dependiendo del lado en que estemos a la hora de convocar una reunión: por un lado, esas que pensamos que podrían haber sido un correo o un documento explicativo; por el otro, esas donde sentimos que la presencia es muy importante para entender bien lo que estamos hablando.

Parece que ya hay productos que permiten enviar a nuestro robot a la reunión, que tome notas por nosotros, haga un resumen y nos lo facilite.

Recently, I attended an online meeting where two persons did not turn up but sent their AI note-taker bots instead.

La cosa es que allí se discutió sobre el tema y se denegó esta forma de participación.

Me parece interesante disponer de herramientas como estas y ya digo que podemos encontrarnos en la situación de estar encantados con disponer de un buen ayudante (aunque tal vez debería haber ayudado al convocante a redactar un resumen que hubiera remitido y ya) que nos permita cosas como estas. Además, resumir es un arte que no todo el mundo hace (hacemos) bien.

Se añaden, dice, otros factores, como las regulaciones (¿grabar lo que se dice?), la comodidad que pueden sentir los participantes…. No me importaría probar uno para la próxima vez que alguien se empeñe en convocarnos a una reunión (o ‘sesión informativa’) y ver cómo toma notas, resumen y presenta algo que pueda ser de utilidad.

Yo en las reuniones soy muy de tomar notas y hacer dibujitos. Pero muchas veces más por aburrimiento que por efectividad y eficacia real porque … ¿quién convierte luego en legibles unas notas tomadas rápido y mal mientras alguien cuenta algo?