Bitácora de fernand0 Cambiando de aires

¿Eres humano? La web cada vez más difícil de usar

Robot

Seguimos con algunas consecuencias de los avances en la inteligencia artificial y son los CAPTCHAS, esos inventos que utilizan algunos sitios web para comprobar que somos humanos. La idea es evitar que se utilicen herramientas automatizadas para realizar ciertas acciones (crear cuentas, por ejemplo), porque esto puede suponer que nuestra web termine estando ‘habitada’ por robots, que no es el objetivo para la mayoría (aunque hay algunas que los admiten y los favorecen, siempre que se utilicen para actividades ‘saludables’; un ejemplo serían Slack, Reddit, o incluso la Wikipedia, donde estos programas realizan diversas tareas; en el último caso, principalmente por parte de la propia organización).

En Welcome to CAPTCHA Hell nos avisan, probablemente ya hemos notado que estos sistemas son cada vez más difíciles de resolver.

You’ve probably noticed that CAPTCHAs are getting more difficult. What started as weird strings of letters to type out without much thought has turned into images that are harder and harder to identify.

Ahora nos encontramos con rotaciones de animales en 3D y otras ‘diabluras’.

And that’s before we get into animal rotating, which I’ve yet to get right on the first try.

El problema es que los ‘bots’ que navegan por internet (un montón, si hacemos caso a las estadísticas que se publican por ahí) ya son bastante ‘listos’ y son capaces de resolver las pruebas a las que ya estábamos resignados y acostumbrados.

... which means this torture device has been designed specifically because bots can solve other CAPTCHAs. That you have to rotate the animal is the result of a world in which AI can do even more human tasks.

Ya el año pasado podíamos leer An Empirical Study & Evaluation of Modern CAPTCHAs donde nos avisaban de que:

  • Había mucha variabilidad en la velocidad de resolución de estas pruebas.
  • Las preferencias de los usuarios no tenían mucho que vre con la velocidad a la hora de resolverlas.
  • El contexto es muy importante cuando se realizan los experimentos.
  • A la gente mayor le cuesta más resolverlos.
  • Hay una tasa elevada de abandono cuando aparecen.

Pero no solo eso, también nos decían que los bots eran más rápidos que los humanos, y resolvían estas pruebas con mayor precisión.

The machines are already better and faster than us at most kinds of CAPTCHAs, the study found, and that’s before considering just how quickly AI is advancing.

Algunos sistemas ya han dejado de usar esas pruebas (o las incluyen adicionalmente), y utilizan la observación de nuestra navegación (Google, por ejemplo) previa, básicamente porque un humano raramente irá directo a realizar una acción, sino que tendrá ciertos patrones de navegación previa.

... primarily noninteractive tactics to detect bots. “A legitimate user may typically visit the homepage, click on a sign-in button, enter their credentials, and then, for example, go to pay their bill,” Leroy said. “An attacker, on the other hand, either via hiring humans or writing bots, will try many different email-and-password combinations.”

Las inteligencias artificiales, la confianza y quién nos la devolverá cuando la perdamos

El carillón

Ahora estamos empezando a leer que el interés por la inteligencia artificial se enfría y hasta se habla de bancarrotas (OpenAI, Home Of ChatGPT, May Lose $5B This Year – Report) así como de enfriamiento inversor (Investors Are Suddenly Getting Very Concerned That AI Isn’t Making Any Serious Money) y, enfriamiento por las vía legales (Meta Halts AI Training in EU, Brazil Amid Regulatory Concerns). Y aún peor ya empezamos a ver los émulos de los ‘Amazon locales’, las ‘IA locales’ (Madrid usará inteligencia artificial en estos nuevos semáforos: qué significa exactamente y para qué se van a usar. Incluso campañas para no permitir el entrenamiento de las inteligencias artificiales con nuestros datos: Cómo evitar que Twitter use tus datos para entrenar su IA.

También anuncios de algo que más o menos teníamos claro: los buscadores van a cambiar (Search as we know it is officially over.)

Sin embargo, y desde la misma prudencia que hace meses, vale la pena comentar otras noticias. Hace ya unos meses Bruce Schneier ponía su dosis (de prudencia) con AI and Trust.

Comienza recordándonos que nuestra vida se basa en la confianza: el teléfono nos despertará, la empresa de transporte nos proporcionará un medio de transporte, el conductor nos llevará de forma segura a nuestro destino, el resto de conductores no la liarán, ….

I trusted a lot today. I trusted my phone to wake me on time. I trusted Uber to arrange a taxi for me, and the driver to get me to the airport safely. I trusted thousands of other drivers on the road not to ram my car on the way.

Así que la confianza es esencial para que la sociedad funcione. Y además, nos dice, hay dos tipos de confianza: la interpersonal y la social, que habitualmente confundimos.

In this talk, I am going to make several arguments. One, that there are two different kinds of trust—interpersonal trust and social trust—and that we regularly confuse them.

Además esta confusión se va a aumentar con las inteligencias artificiales, porque las confundiremos con algo amistoso, en lugar de lo que son, servicios.

We will make a fundamental category error. We will think of AIs as friends when they’re really just services.

En tercer lugar, las empresas propietarias de estos productos sacarán partido de estas confusiones y, por lo tanto, de nosotros.

Three, that the corporations controlling AI systems will take advantage of our confusion to take advantage of us. They will not be trustworthy.

Finalmente, esto nos lleva a que deben ser los gobiernos los que nos ayuden, regulando estos temas en beneficio de la confianza. Pero, nos dice, no regulando la propia IA, sino a las organizaciones que la controlan.

And four, that it is the role of government to create trust in society. And therefore, it is their role to create an environment for trustworthy AI. And that means regulation. Not regulating AI, but regulating the organizations that control and use AI.

Luego desarrolla los puntos con calma suficiente, vale la pena leerlo.

Crowdstrike: hacer las cosas (más o menos) bien y aún así...

Estoy hablando aquí desde el punto de vista del usuario: trabajas para una empresa, contratas los productos que todo el mundo usa/recomienda, y aún así se lía y se te complica un viernes cualquiera. Lo de más o menos lo digo porque todo es matizable y mejorable, claro.

El viernes fue un día con mucha actividad por el fallo que se produjo el fallo en la actualización de Crowdstrike (se puede ver en su web Preliminary Post Incident Review (PIR): Content Configuration Update Impacting the Falcon Sensor and the Windows Operating System (BSOD).

Nos llamaron de Aragón TV para dar unas primeras impresiones sobre lo (poco) que sabíamos en ese momento y lo sacaron en las noticias.

Se puede ver en El fallo informático global ha causado afecciones en el Salud y se han suspendido varios juicios. También en la web de las noticias Aragón Noticias 1 - 19/07/2024 13:59.

En este caso, poco que decir: un fallo en la actualización ha provocado fallos en los clientes que usan el producto de Crowdstrike en los equipos con sistemas de Microsoft. Además, una llamada a la diversidad, porque si hubiera más sistemas operativos en uso, muchas marcas de productos como este, el impacto habría sido menor.

En todo caso, me interesa para este sitio hablar del proceso completo, tal y como lo viví (desde la barrera).

Nos depertábamos con un inicio del follón, donde algunas empresas españolas tenían algún problema indeterminado:

Aunque rápidamente veíamos que la cosa podía ser más grave, porque los australianos (y otros países de la zona) ya habían alertado del problema:

Y también veíamos como algunas organizaciones más cercanas también estaban afectadas.

Los medios de comunicación españoles empezaban a hablar de la cosa, aunque algunos estaban bastante despistados.

Hablaban de un problema de Azure.

O, directamente, de Microsoft (que algo tenía que ver, desde luego), pero no era una caída suya.

Un poco más tarde, llegaban los efectos a EEUU (básicamente cuando es por la mañana y la gente empieza a trabajar, aunque hay quien no para por la noche).

Al mediodía la empresa empezaba a hablar del problema:

Y veíamos que algunas empresas tenían que dar servicio con medios rudimentarios. Fundamentalmente, porque lo tienen previsto y reaccionan ante los problemas.

Algunas ideas:

  • Las cosas pueden fallar y fallarán, tal vez deberías tener previstos mecanismos para recuperarte cuando eso suceda, o poder proporcionar tus servicios de otra forma.
  • La diversidad es buena, las personas que no eran clientes de Crowdstrike o de Microsoft no se vieron afectadas en sus instalaciones. Buen momento para recordar a Dan Geer y sus avisos sobre los monocultivos informáticos.
  • Como decíamos arriba, los responsables han hecho ‘bien’ su trabajo (recordando aquella vieja frase de “Nobody gets fired for buying IBM”, no despiden a nadie por contratar a IBM, que hoy se actualizaría con otras marcas y empresas), y aún así las empresas se han visto afectadas. Hay que planificar que estas cosas pueden suceder y ser capaces de reaccionar, o tal vez establecer diferentes niveles de actualización para distinos equipos en distintos momentos por lo que pueda suceder.

Finalmente, un pequeño homenaje al personal de IT que se ha visto obligado a reaccionar a una situación sobre la que tenían poco control pero en la que todo el mundo les estaba mirando.

Esta entrada es un resumen de lo que publicamos ese mismo día y el siguiente en:

En la web de Aragón Noticias, de Aragón TV, hablando sobre robos de datos

En Aragón Noticias

La semana pasada me contactó la periodista Victoria Pascual para hablar un poco en el programa Objetivo de Aragón TV sobre espías. No es un ámbito en el que yo esté muy especializado, pero la tecnología se puede utilizar para espiar, naturalmente.

Hace unos días me contactó Teresa P. Albero de Aragón TV para hablar un poco sobre los últimos robos de datos que hemos conocido en las noticias (“Banco Santander, Telefónica o Iberdrola”). Fue una entrevista telefónica y se ha publicado el resultado en la web, en El lucrativo negocio del robo de datos a grandes empresas: extorsiones y crisis de reputación con la intervención de algún otro experto.

Por mi parte yo hablé de la importancia de compartimentalizar, minimizar los datos que se almacenan y que, muchas veces, el valor de los datos no es tanto como nos quieren hacer creer (lo que no evita que tengamos que tener cuidado) sino la pérdida de prestigio y esta modalidad de los denominados ataques a la cadena de suministro, donde el problema es que le roban tus datos (o los de tu cliente) a un tercero que los gestiona.

También, desde el punto de vista personal, aunque no podemos hacer gran cosa, porque los datos los gestionan las empresas, sí que podemos limitar el daño utilizando tarjetas de prepago, o que se pueden desconectar para las operaciones en internet.

Entrada publicada originalmente en En la web de Aragón Noticias, de Aragón TV, hablando sobre robos de datos.

En Objetivo, de Aragón TV hablando sobre espionaje

Hablando de espionaje en Aragón TV

La semana pasada me contactó la periodista Victoria Pascual para hablar un poco en el programa Objetivo de Aragón TV sobre espías. No es un ámbito en el que yo esté muy especializado, pero la tecnología se puede utilizar para espiar, naturalmente.

Lo han publicado en Cap. 648 - 01/06/2024 13:26 y la compañía era de lujo: un espía retirado (Fernando San Agustín), la primera agente femenina del CSID (Isabel Martínez), y un periodista (Ramón J. Campo).

También lo cuelgan en YouTube, donde se puede ver el reportaje

Mi intervención, en dos líneas: la tecnología permite a los espías ser más eficientes obteniendo información, aunque los países civilizados tienen reglas sobre lo que los espías pueden (y no pueden hacer); a la gente normal no nos espían individualmente porque normalmente no somos interesantes para eso, pero nuestros datos agregados con los de otras personas parece que son bastante valiosos.

Publicado originalmente en En Objetivo, de Aragón TV hablando sobre espionaje.