domingo, septiembre 22, 2019

El e-mail ha muerto. ¡Larga vida al e-mail! (Parte 1 de 4)

El correo electrónico, o e-mail, es un caos maravilloso. Esa es una de las frases que solía utilizar yo cuando hablaba de cómo funcionaba y cómo había evolucionado, durante las charlas que di en el año 2009 con mi querida Informática 64 en la charla "Hay una carta para ti". Un caos maravilloso que usamos a diario, pero que tiene muchas lagunas de funcionamiento y apaños, de los que os voy a comenzar a hablar por aquí.

El e-mail ha muerto. ¡Larga vida al e-mail! (Parte 1 de 4)

En este artículo, que he dividido en cuatro partes, voy a intentar hacer un recorrido didáctico y somero, sobre todas las vicisitudes que ha ido pasando, y las cosas que hemos ido construyendo sobre él y alrededor de él para terminar con alguna idea nueva. Espero que os guste, y sobre todo que os entretenga la lectura.

La necesidad de comunicación

Comunicarse es una necesidad humana. Lo utilizamos para todo. Para planificar la caza de un animal  que diera sustento a toda la banda de Homo Sapiens en tiempos de nuestra etapa de cazadores-recolectores, o para establecer una cita amorosa con una pareja que nos ha estimulado el sistema químico a través de una app de contactos en la que nos hemos dado de alta. Necesitamos comunicarnos para trabajar, para demostrar afecto, cariño, y hasta para estar enfadados con el mundo en Twitter.

El ser humano se comunica, y necesitamos hacerlo por cualquier nuevo medio en el que haya otros como nosotros, nos conozcamos o no. Es por eso que, en cada medio en el que nos hemos ido desenvolviendo a lo largo de nuestras vidas hemos desarrollado sistemas de comunicación en él. Desde mensajes en los árboles, señales de humo, o cartas escritas enviadas por mensajeros a caballo.

En la era moderna, ya con la tecnología de los computadores aquí, también lo hemos hecho. Cuando aparecieron los primeros sistemas de tiempo compartido, en los que muchos usuarios podían utilizar un mismo servidor para ejecutar sus algoritmos, apareció la necesidad de comunicarse entre los usuarios de ese ordenador central. El administrador del servidor debía enviar comunicaciones a los usuarios, tales como normas de comportamiento, periodos de indisponibilidad por mantenimiento, o actualizaciones de información sobre nuevas características en el servicio.

Por supuesto, entre los propios usuarios también aparecieron estas necesidades de comunicación. Estos podrían trabajar en grupos, dentro de proyectos que realizaban conjuntamente, para los que necesitaban compartir ideas, resultados o propuestas. Había que comunicarse a través del medio común, es decir, el servidor que daba vida a ese ecosistema creado alrededor de él.

Del e-mail al Webmail, pasando por SMTP, POP3, IMAP

Los primeros servicios de correo eran muy sencillos. Los requisitos eran bastante sencillos, ya que todos los usuarios estaban en el mismo servidor, así que no intervenían para nada las redes de comunicación en ese momento. Un usuario se conectaba al servidor por medio de un terminal para tener un shell, por lo que todo lo que hacía se producía directamente en el propio servidor. Al final, su terminal no era más que el equivalente a tener una pantalla y un teclado conectado al servidor desde una ubicación remota. Pero para el software del servidor, una vez el usuario iniciaba sesión, era como si el usuario estuviera sentado físicamente al lado de él.

Para crear un sistema de comunicaciones entre usuarios no había que hacer nada especial que incluyera ubicaciones remotas, múltiples servidores, o redes complejas de interconexión con federación de identidad. La autenticación y el enrutamiento de las comunicaciones se simplificaba al estar todos los usuarios en el mismo servidor. Para resolver el problema de comunicación bastaba con crear un pequeño programa que corriera en el servidor y al que decías a qué usuario querías enviarle el mensaje, por ejemplo a a p0344, cuál era el asunto por el que abrías esa comunicación, y cuál el cuerpo del mensaje.

En ese momento se generaba un fichero y el servicio de e-mail que corría en el servidor creaba un fichero con esta información en la carpeta de ese usuario p0344 - dentro del árbol de ficheros de ese usuario - destinada a recibir el correo. Es decir, el buzón de cada usuario era una carpeta con permisos de escritura para el servicio de “e-mail” donde se le depositaban ficheros de texto con los datos de qué usuario le escribía, cuándo lo hizo, cuál era el asunto y el cuerpo del mensaje. Metadatos que enriquecieran la comunicación electrónica.

Para enviar mensajes el proceso requería hacer algo similar. Había una carpeta de mensajes de salida que el programa, por medio de un “daemon” en el servidor leía periódicamente para ver si había algo nuevo. Cuando aparecía un nuevo mensaje, el servicio de “e-mail” lo borraba de esa carpeta, lo ponía en la carpeta de mensajes enviados para que quedara un copia, y el mensaje era copiado también a la carpeta de entrada del usuario destinatario en su estructura de ficheros particular. Sencillo y funcional.

La cosa se complicó cuando aparecieron más computadores. Ya no teníamos solo un mundo sino un ecosistema de servidores en red y teníamos la necesidad de comunicar usuarios de un servidor, por ejemplo llamado “Albeniz” con otro, por ejemplo llamado “Zipi”. En ese caso había que hacer un protocolo para que el servicio de e-mail de del servidor Albeniz, fuera el que fuera, supiera dónde tenía que enviar el mensaje cuando el usuario no existiera en su mundo y fuera de otro ecosistema, como por ejemplo del servidor "Zipi".

Para poder identificar a qué ecosistema pertenecía cada destinatario de las comunicaciones, inventamos las direcciones con la @servidor y creamos un protocolo que comunicaba el enrutamiento de mensajes entre servidores. El famoso y popular SMTP (Simple Mail Transfer Protocol) que habilitaba cada servicio de e-mail utilizando un puerto, ahora sí, en la red, en este caso el puerto 22. Así, un usuario “chema@albeniz.eui.upm.edu” podía enviar un mensaje a “chema@zipi.fi.upm.edu”. Los servicios de correo electrónico se enviaban los mensajes uno a otro a través de mensajes de red encapsulados en SMTP.

Pero un día los usuarios dejaron de utilizar plataformas de tiempo compartido como si estuvieran sentados en ellas, es decir, dejaron de conectarse a través de sesiones de terminal, y empezaron a usar sus propias estaciones de trabajo. Eso quería decir que el usuario chema@albeniz.eui.upm.es tenía en su despacho otro mundo, en el que había otro usuario, otro sistema operativo, y otras funcionalidades. Había una estación de trabajo y no un terminal, donde se ejecutaba un mundo tipo Solaris, o un MSDos, o un DRDOS, un OS2/Warp o lo que fuera.

Es decir, era otro sistema informático distinto, por lo que si quería enviar correo electrónico utilizando su identidad de chema@albeniz.eui.upm.edu debía actuar como un servidor remoto más y utilizar el protocolo SMTP para conectarse con el servicio de enrutamiento de correos electrónicos en su servidor, pero eso no valía para poder leer sus mensajes recibidos. Había que crear un nuevo protocolo para que pudiera conectarse a ver los mensajes que le habían entrado en su buzón. Y así nació POP3 (Post-Office Protocol v.3), corriendo en la red por el puerto 110.

Al final un puerto no es más que una zona de memoria que comunica a un programa que corre en un servidor con los mensajes que llegan por la red. Cuando arrancamos un programa que enruta mensajes con SMTP en un servidor, lo que hace este programa es hablar con servicio que recibe el tráfico de red en host y decirle:
"Oye, estoy corriendo en el servidor y esperando mensajes. Si te llega algún paquete que venga con el número 22 como destinatario me lo pones en esta zona de memoria". 
Esto mismo hace el protocolo POP3, pero diciendo algo como:
"Oye, estoy corriendo en el servidor y esperando mensajes. Si te llega algún paquete que venga con el número 100 como destinatario me lo pones en esta zona de memoria". 
Cuando los mensajes le llegan al servicio que gestiona las comunicaciones de red en el servidor, este va colocando los mensajes en diferentes direcciones de memoria para enviárselo a los servicios adecuados en función del número de puerto que venga en el destinatario. Es decir, es como el portero de un edificio en el que viven muchos vecinos y reparte los paquetes de Amazon en los distintos casilleros de los vecinos en función del puerto, que en ese caso serán 2º A, 3º C o Bajo C. Como podéis ver por los números de los puertos de los protocolos, la necesidad de conectar servidores nació tiempo antes de la necesidad de descargar el correo del buzón a la estación de trabajo.

Y funcionó. Y se masificaron los usuarios de estos servicios. Cada vez más personas utilizaban el e-mail para todo. Ya no solo trabajo, sino también para socializar entre ellos, lo que hizo que se vierna las limitaciones de estos protocolos creados hasta el momento. SMTP y POP3 tenían que ser extendidos y su arquitectura y concepto inicial ya no eran los requisitos de hoy en día. Estos protocolos eran una evolución de la idea inicial de transferir mensajes en texto plano entre carpetas, y por eso no tenían gran funcionalidad.

Pero con la masificación de su uso se requería enviar comandos para hacer cosas en el buzón remotamente sin necesidad de descargar y enviar ficheros de texto. Si necesito crear una carpeta para organizar el correo y mover un mensaje de una carpeta a otra, descargarse mensajes de textos y volver a subirlos no tenía sentido. Por ello se creó una evolución completa para gestionar los buzones de correos, y entre las muchas propuestas, comenzó a emerger el protocolo IMAP (Internet Message Access Protocol), con una cantidad de evoluciones.

Por supuesto, desde la primera concepción del servicio e-mail en los servidores de tiempo compartido, los clientes de correo electrónico fueron evolucionando. Desde un interfaz basado en comandos, a un interfaz modo texto corriendo en sesiones de terminales, para llegar a los clientes de hoye en día. Con la creación de SMTP y POP3 aparecieron las herramientas de gestión de e-mail en estaciones de trabajo como (Microsoft Outlook – que no es de las primeras ni mucho menos) para tener clientes de correo electrónico con interfaces gráficos, y con la llegada de HTTP y las páginas web aparecieron los primeros servicios como Hotmail o Gmail. Estos, pasaron rápidamente a utilizar IMAP y hoy en día es posible gestionar tu buzón de Gmail con comandos IMAP, como hice yo hace ya muchos artículos.

Los problemas de seguridad

Como os podéis imaginar, con el aumento de la popularidad del correo electrónico, la evolución de la potencia de cómputo de los equipos en clientes y en servidores en Internet, además de la masificación del número de usuarios conectados y la velocidad de las redes de comunicación, los problemas de seguridad con el correo electrónico fueron infinitos.

SMTP y POP3 nacieron como protocolos para mover ficheros de texto plano que estaban en carpetas de un servidor. El esquema de amenazas que había cuando todos los usuarios estaban dentro del mismo servidor era mucho más pequeño que cuando tenemos dos o más servidores. Ya hay un medio por el que los mensajes deben pasar. Y deberían estar cifrados. Así que primero intentamos cifrar las conexiones entre los servidores usando un protocolo como SSL (Secure Socket Layer) para crear un túnel de cifrado servidor a servidor que impidiera que alguien pudiera interpretar el tráfico si interceptaba la señal en el medio. Así, creamos SMTP-S y POP3-S por puertos de rede distintos que la gente ya no se conoce tan de memoria.

Pero también sucedía que el esquema de identificación de remitente y de identificación del host cuando todos los servidores eran confiables y no era fácil conectarse a la red, tampoco valía. Se empezaron a suceder los ataques de suplantación de direcciones IP en los que una estación de trabajo se hacía pasar por un servidor de correo electrónico, usando técnicas de Spoofing o atacando al servidor DNS para cambiar los servidores autorizados para recibir los mensajes de correo de una organización. El esquema de cifrado era inútil frente a ellos, ya que se estaban cifrando las comunicaciones contra el propio atacante, que estaba haciendo un “man-in-the-middle”, así que pasamos a utilizar sistemas como Mutual-TLS donde tenemos no solo que cifrar las comunicaciones, sino también firmarlas por los servidores que están allí.

Figura 2: Libro de Cifrado de las Comunicaciones Digitales:
"De la cifra clásica a RSA (2ª Edición)"

Pero este proceso de enrutamiento de comunicaciones por la red solo por tramos cifrados no es obligatorio para que el e-mail funcione, y una vez que el usuario ha recibido un mensaje de correo electrónico no sabe realmente si el mensaje va a acabar cifrado en el buzón del destinatario o no, y si la comunicación por la que ha venido era un canal cifrado o no. Y por supuesto, ya que se puede suplantar a un servidor de correo electrónico con una estación de trabajo, se puede suplantar a cualquier dirección de remitente que estuviera en ese servidor. Es decir, podrían aparecer mensajes como chema@albeniz.eui.upm.edu que no hubieran sido enviados ni desde albeniz.eui.ump.edu, ni desde luego por chema.

Para ello, sería necesario que el cifrado y la firma de los correos electrónicos fuera extremo a extremos y robusta. Necesitamos no solo garantizar la comunicación de los servidores, sin la comunicación entre remitente y destinatario, para lo que utilizamos sistemas de firma digital como PGP o los certificados digitales de e-mail S/MIME.

Por desgracia, estos sistemas de certificados digitales son bastante poco usados, ya que tienes que  generar certificados en entidades confiables, configurarlos en los diferentes clientes de e-mail que uses (computadoras, ordenadores portátiles, tabletas, diferentes navegadores de Internet) , hay que renovarlos, hay que intercambiarlos antes de establecer una comunicación segura, etc... Demasiadas barreras de usabilidad para la gran mayoría de las personas que utilizan mensajería e-mail por Internet,  por lo que la mayoría de la comunicación por medio de correos electrónicos ni se cifra ni se firma.

Google intentó avisar a los usuarios cuando los correos venían cifrados en tránsito o no, con un candadito rojo como respuesta a las filtraciones de Edward Snowden en las que descubrió que la NSA estaba capturando el tráfico sin cifrar. Y, además, todos los clientes de correo electrónico marcan con un icono especial si el mensaje viene cifrado y/o firmado desde el emisor.

Figura 3: El intento del candado rojo de Gmail. Mucho candado rojo, mejor quitarlo.

Al final, como la realidad es que casi ningún mensaje llega firmado y cifrado extremo a extremo, los usuarios ven normal que un banco o su jefe les envíen un mensaje sin cifrar o firmar. Con lo que se abre el campo para los ataques de suplantación del remitente y de Phishing o los más peligrosos Spear-Phishing que se utilizan en los ataques dirigidos a personas concretas.

A todo esto hay que sumar problemas inherentes al sistema de correo electrónico más, y es que, al ser un sistema de comunicación de coste cero, se ha aprovechado para hacer captura masiva de clientes por medio de mensajes publicitarios, para hacer campañas de estafas masivas engañando a víctimas (Scam), para dar de alta sin autorización en listas de correos, o para simplemente molestar.

Necesitamos más seguridad pero... ¿Será suficiente?

Tras la creación del servicio de e-mail, vimos que la necesidad de usabilidad nos llevó a crear SMTP, POP3 e IMAP, y que las primeras amenazas nos llevaron a aplicar capas de seguridad como SSL, y mecanismos de firma digital y cifrado extremo a extremo sobre sobre el servicio de e-mail, como PGP o S/MIME, pero aún estamos lejos de que poder proteger al servicio de correo electrónico de todos los problemas que se fueron creando, así que hay que hacer más.

En la siguiente parte de este artículo veremos cómo se empezaron a intentar soluciones como Sender Policy Framework, Sender ID, DKIM, o los Filtros Anti-Spam basados en todo tipo de algoritmos, desde listas blancas y listas negras, hasta Inteligencia Artificial pasando por los Filtros Bayesianos o la colaboración de usuarios para detectar Scams, Spam, Spear Phishing, y otros ataques a las personas. Pero aún así... no será bastante, así que habrá que ver qué alternativas han aplicado personas y empresas para lidiar con el e-mail.

Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)

********************************************************************************************************
- El e-mail ha muerto. ¡Larga vida al e-mail! (Parte 1 de 4)
- El e-mail ha muerto. ¡Larga vida al e-mail! (Parte 2 de 4)
- El e-mail ha muerto. ¡Larga vida al e-mail! (Parte 3 de 4)
- El e-mail ha muerto. ¡Larga vida al e-mail! (Parte 4 de 4)
********************************************************************************************************

sábado, septiembre 21, 2019

Las fechas del calendario para la próxima semana [23 al 27 de Septiembre]

Este fin de semana solo voy a dejaros un artículo, y solo con el calendario de eventos. Ha sido una semana larga e intensa para mí, y pienso aprovechar este fin de semana para descansar. La próxima viene de aupa, y me calendario ya me avisa que no voy a tener mucho tiempo para nada. Os dejo las citas de eventos de esta semana, que no son pocas.

Figura 1: Las fechas del calendario para la próxima semana [23 al 27 de Septiembre]

23 de Septiembre: Tendencias AI [Madrid]
El Evento tendrá lugar el día 23 de septiembre (lunes) de 2019, a las 9.00 AM . El encuentro terminará a las 11.30 AM. La sede del evento es la Sala Valle-Inclán del Círculo de Bellas Artes (Calle de Alcalá, 42, 28014 Madrid) Executive Forum organiza esta Jornada con la finalidad de que las empresas participantes expongan su visión y experiencia sobre esta tecnología y cómo su desarrollo e implantación crea nuevas oportunidades para la aparición de nuevas empresas y negocios. 
Figura 2: Tendencias AI en Madrid el 23 de Septiembre
También se presentarán cuestiones sobre el impacto de la IA en la productividad empresarial y en la eficiencia de los servicios públicos y su impacto económico y social. En esta participa nuestro compañero de Telefónica Alfonso Ibáñez.
24 y 25 de Septiembre: Telecoms World [Dubai]
Este par de días en Dubai - si te pilla bien ir - hay un congreso centrado en el mundo de las telecomunicaciones en el que participará nuestro compañero de LUCA, el Dr. Richard Benjamins para hablar de nuestros proyectos. Más info en la web del congreso.
24 al 27 de Septiembre: Simposio OEA [Santiago de Chile]
La OEA celebra un nuevo Simposio de Ciberseguridad en Santiago de Chile los días 24-27 de septiembre, y desde ElevenPaths no hemos querido perdérnoslo. Nuestro CSA Gabriel Bergel participará en estas jornadas. Y yo,  esta vez sí, no voy a poder ir por problemas de agenda. La tenía marcada en el calendario a fuego, pero el deber es el deber y al final me tengo que quedar en Madrid.
Figura 3: Simposio de Ciberseguridad de la OEA

24 de Septiembre: Cómo detectar patologías con Deep Learning [Online] [G]
En este webinar impartido por Pablo Duque, Data Scientist en LUCA, hablaremos de la segmentación de diferentes patologías en imágenes médicas con uso de inteligencia artificial y las diferentes partes y herramientas de las que se componen estos procesos.
Figura 4: LUCA Talk sobre cómo detectar patologías con Deep Learning
Además de "técnicas tradicionales", hablaremos del uso de redes convolucionales para la resolución de estos problemas, con ejemplos prácticos basados en la segmentación de "hiper-intensidades" en la materia blanca, una patología que se presenta en resonancias magnéticas del cerebro.
25 y 26 de Septiembre: Secure Summit Latam [México]
Doble participación de nuestros CSAs de ElevenPaths en este evento, con Carlos Ávila y Gabriel Bergel, con sendas charlas sobre inseguridad en sistemas PACS y DICOM y ciberseguridad en el siglo XXI. Toda la info con los horarios y el resto de ponentes en la web del evento.
Figura 5: ISC Secure Summit /Latam

25 de Septiembre: Curso de Hacking Ético Experto [Online]
Este día comienza la formación más larga de The Security Sentinel, que con 240 horas de formación prepara a los alumnos para comenzar a trabajar de forma profesional en el mundo del pentesting y el Ethical Hacking. Es una buena opción para hacer a tu ritmo y desde tu casa durante varios meses si estás trabajando ya en algo y lo que deseas es explorar un cambio al mundo de la seguridad informática.
Figura 6: Curso de Hacking Ético nivel Experto Online
Tienes todos los contenidos, los módulos y la metodología en la web del curso. Además, todos los alumnos recibirán gratis el libro de Pentesting con PowerShell que escribió nuestro compañero Pablo González en 0xWord.
Figura 7: Libro de Pentesting con PowerShell en 0xWord

27 de Septiembre: Hack & Beers Vol. 6 [Málaga] [G]
Nuestro querido Marcos Arjona, del equipo de Innovación y Laboratorio de ElevenPaths, participa en la sexta edición de este popular evento que tiene lugar en la capital de la Costa del Sol, justo donde tenemos nuestra base de operaciones para crear cosas nuevas.
Figura 8: Hack & Beers Vol. 6 [Málaga]

Y para terminar las citas, un par de citas de mis amigos Despistaos, que está esta noche en Azuqueca de Henares tocando gratis para todo el público, y el día 25 en Madrid, pero para esta fecha están todas las entradas vendidas, así que espero que ya tengas la tuya.

Saludos Malignos!

viernes, septiembre 20, 2019

"V" de Viernes. "V" de Vídeos.

Y sin darnos cuenta ya ha llegado el viernes de esta semana. No está mal el ritmo de combate al que nos movemos - o al menos al que me marca mi apretada agenda -. Para hoy os traigo un resumen de los vídeos que no te puedes perder de esta semana, para que no se te escape nada.

Figura 1: "V" de Viernes. "V" de Vídeos.

En primer lugar, desde ElevenPaths tienes tres vídeos que nos cuentan diferentes cosas. El primero de ellos es la CodeTalk For Developers que nos trae cómo se ha hecho y cómo funciona la ParanoidBox, un TFM que han dirigido nuestros compañeros.


Figura 2: CodeTalk For Developers: ParanoidBox

El segundo de los vídeos es realmente una nueva edición de 11Paths Radio, en esta ocasión con una entrevista de lujo a la gran Paloma Llaneza que habla de muchas cosas interesantes que tienen que ver con el mundo de los datos, la privacidad, y la economía digital. Más que recomendable escucharlo.


Figura 3: ElevenPaths Radio con Paloma Llaneza

Y por último, un vídeo cortito, de menos de dos minutos, en el que se presentan algunos de nuestros ElevenPaths CSE (Chief Security Envoy), para que conozcas más de ellos.


Figura 4: Conoce a los ElevenPaths CSE

Por otro lado, os dejo el vídeo en el que se explica el acuerdo entre Telefónica y Prosegur que hemos hecho esta semana para desarrollar los servicios de seguridad en el hogar desde una manera conjunta y más ambiciosa.


Figura 5: Acuerdo entre Telefónica y Prosegur

A estos vídeos, que están muy centrados en seguridad, hay que sumar el que han hecho nuestros compañeros de Home as a Computer en el que explican algunas de las nuevas funcionalidades de Movistar Home, para escuchar radio con los servicios de Ivoox, acceder a información del tiempo, y seguir la actualidad con Twitter Moments


Figura 6: Nuevas funcionalidades de Movistar Home

Y como llega el fin de semana, y hay que escuchar algo de música, os dejo este vídeo que han publicado mis amiguetes de Despistaos en el que se puede ver el espíritu de sus conciertos. Merece la pena que vayas a verlos si no has tenido la ocasión.


Y esto es todo, ahora a terminar la semana que se nos acaba el verano y tenemos que llevarnos puesto todo lo que podamos. 

Saludos Malignos!

jueves, septiembre 19, 2019

LUCA Innovation Day 2019: Artificial is Natural

Ayer fue un día intenso para nuestra estrategia de servicios digitales en el hogar. Primero tuvimos el anuncio de la operación que tanto tiempo llevábamos trabajando en Telefónica junto con Prosegur, y además ya se completó el despliegue de la nueva versión de Movistar Home en toda la planta de clientes con las integraciones de Twitter, Ivoox, el tiempo, y más servicios como Living Apps.

Figura 1: LUCA Innovation Day 2019: Artificial is Natural

Toda este trabajo avanza la visión que so compartí en el artículo que escribí durante el pasado Mobile World Congress 2019 dedicado a nuestro trabajo en la plataforma B2B2C "Home as a Computer" donde desplegamos las Living Apps de empresas.


Figura 2: Algunas novedades de Movistar Home

Y vamos a continuar trabajando en ese camino, por lo que en el próximo LUCA Innovation Day 2019, nuestra unidad LUCA de Big Data e Inteligencia Artificial, hablará, no solo de cómo sacar el máximo partido de las técnicas de Machine Learning e Inteligencia Artificial en los negocios, sino también de cómo llevar los servicios a experiencias en el corazón de la casa de las personas usando las Living Apps.

"Artificial is Natural": El evento de Inteligencia Artificial para empresas

La diferencia entre “artificial” y “natural” pierde importancia cuando el fin es facilitarnos la vida a las personas, tanto en el entorno social como empresarial, y es por ello que creemos que la IA ya es natural. Las tecnologías tienen un peso mayor que nunca en la forma en cómo vivimos en sociedad y en la propia naturaleza de las empresas; cada vez más conectadas y con mucha vida en el mundo digital.

Desde LUCA, la Unidad de datos e Inteligencia Artificial de Telefónica, te queremos demostrar cómo la Inteligencia Artificial ya está al alcance de tu mano y la de tu empresa. Resérvate el próximo 16 de octubre en tu agenda, y descubre cómo hacemos accesible la IA a nuestros clientes.

Mostraremos los diferentes usos y aplicaciones más innovadores desarrollados en este último año, para dar respuestas a las necesidades de tu negocio con soluciones para todos los sectores como el Financiero, Retail, Media, Turismo, Transporte, Industria 4.0, entre otros, donde podrás escuchar de primera mano la experiencia de nuestros clientes.



Figura 3: Presentación de Movistar Living Apps

Además, este año lanzamos al mercado español Movistar Living Apps; el nuevo canal de llegada a tus clientes. Porque Telefónica lleva años llevando la mejor tecnología al hogar. Nuestra transformación se basa en la conectividad inteligente, los servicios digitales en el hogar y ahora aprovechando este rico ecosistema, hemos creado nuevas experiencias accesibles a una frase de distancia gracias a Aura. Algunos de nuestros partners ya se han sumado y tú, puedes ser el siguiente. ¿Quieres saber más?

¿Por qué asistir al LUCA Innovation Day 2019?

Sabemos que es momento de grandes desafíos, y queremos ayudarte de la forma en que mejor sabemos hacerlo; habilitando tecnologías necesarias para que puedas optimizar tu propuesta al mercado y afianzar la relación con tus clientes, de persona a persona.



Figura 4: Presentación de Living App de Air Europa

Conoce las soluciones de IA que mejor se adapten a tu sector de actividad, tamaño y objetivos. Escucha testimonios de clientes de diferentes industrias que ya se apoyan en nosotros como partner tecnológico. Para ver, tocar y experimentar con nuestras soluciones IA y  multisector en directo junto a nuestros expertos. Descubre Movistar Living Apps, el nuevo canal inteligente que lleva tu negocio al hogar de nuestros millones de clientes.


Figura 5: Ponentes del LUCA Innovation Day 2019

Creemos que hoy la barrera entre lo artificial y lo natural se difumina a medida en que las tecnologías evolucionan y aprenden a comunicarse con nuestro lenguaje. La incorporación de Inteligencia Artificial dentro de la estrategia corporativa es hoy la evolución natural en la transformación de cualquier compañía. Te invitamos a que seas parte de este cambio y que nos acompañes a una jornada donde verás desarrollo humano y mucha tecnología creada para maximizar las capacidades de tu negocio. ¿Te lo vas a perder?

Reserva tu plaza en la web del LUCA Innovation Day 2019. Recuerda que siempre se llena y tenemos que dejar a gente fuera, así que cuanto antes reserves mejor que mejor.

Saludos Malignos!

miércoles, septiembre 18, 2019

WordPress Stored XSS: Nueva vulnerabilidad para tu CMS. Actualiza.

En este blog tratamos mucho los temas que afectan a la seguridad de WordPress. Aquí se ha hablado varias veces de los grandes problemas de seguridad a los que se enfrenta la plataforma, el CMS más utilizado para la publicación de páginas web hoy en día. Hemos llegado hasta el punto de crear un WordPress en Modo Paranoico, incluso implementado en Docker para ponerlo aún más fácil y 0xWord ha publicado un libro dedicado íntegramente a la seguridad de WordPress que se ha convertido en una auténtica referencia, llamado “Máxima Seguridad en WordPress”.

Figura 1: WordPress Stored XSS: Nueva vulnerabilidad para tu CMS. Actualiza.

Nos preocupamos porque localizar y solucionar vulnerabilidades de seguridad en esta plataforma no es una tarea sencilla, que requiere una actualización constante. No sólo hay que analizar el código fuente de la aplicación principal, también se suman (y posiblemente este sea el principal problema hoy día) las vulnerabilidades que puedan aparecer en los miles de plugins que existen para WordPress.

Figura 2: Libro de "Máxima Seguridad en WordpPress"

Exactamente de eso habla este artículo de Chema Alonso donde también se da a conocer un paper llamado “Detección y estimación de vulnerabilidades en plugins de WordPress”, dedicado exactamente a esta función, donde además se muestran varios CVE generados a partir de vulnerabilidades que se descubrieron a raíz del mismo.


Incluso desde el punto de vista profesional, ElevenPaths ofrece una solución orientada a empresas para proteger la infraestructura WordPress. Esta aplicación se llama FAAST para WordPress y permite de una manera sencilla, realizar todas estas tareas de detección de posibles problemas relacionados con la seguridad de la plataforma. Como queda claro en este artículo, nos preocupamos mucho por WordPress. Y no es de extrañar, ya que seguimos viendo noticias que afectan a su seguridad, como esta reciente vamos a comentar en profundidad.

Stored XSS en WordPress

Hace unos días, se solucionó un problema de seguridad en WordPress el cual permitía ejecución remota de código (RCE). En concreto, la vulnerabilidad era del tipo XSS o Cross-Site Scripting. Para ser más exactos del tipo “stored XSS” o también llamada “persistente”, que luego veremos en detalle. Este tipo de ataques a tecnologías web se basa en sacar el máximo de los Client-Side Attacks, que tanto daño hacen a las plataformas de Internet.

Figura 4: Libro de Hacking Web Technologies: Client-Side Attacks
(XSS, CSSP, SSRF, XSPA, SSJS)

Este fallo de seguridad, con CVE-2019-16219 afectaba a la versión 5.0 o posterior. En concreto, el código que provocaba dicha vulnerabilidad se encontraba localizado en el editor incorporado en WordPress llamado Gutenberg. Al parecer, existía un problema relacionado con los “Shortcodes”, que veremos a continuación. Ejemplo de Shortcode para incrustar un documento de SlideShare:
[slideshare id=8874930&doc=sotw2011-as-delivered-110816213106-phpapp01&w=650&h=500]
Los “Shortcodes” son básicamente una serie de comandos (atajos) que pueden utilizar los usuarios para incrustar ficheros o crear objetos en una sola línea (vídeo, audio, imágenes, documentos, etc). Estos códigos se pueden incorporar a una página Wordpress simplemente utilizando el botón de “Añadir bloque” que está presente en el editor Gutenberg.

Figura 5: Información de Shortcodes en WordPress

El problema aparece cuando se añaden ciertos caracteres como por ejemplo “<” (sin las comillas) cuando se está subiendo un bloque. Esto provoca un error (y muestra una pre-visualización) ya que Wordpress traduce “&lt;” como “<” y aunque Gutenberg tiene un detector de ataques XSS, este puede se puede engañar fácilmente añadiendo el siguiente código:
"><img src=1 onerror=prompt(1)>
A partir de este momento, cuando cualquier usuario visite la página web con esta publicación, el código XSS se ejecutará en su navegador. Es decir, cualquier usuario con simplemente con accesos de nivel “Contributor” o superior, permitiría ejecutar este ataque e inyectar código JavaScript/HTML en el navegador de la víctima. El rol de “Contributor” es importante, ya que es el nivel mínimo para que este ataque se pudiera materializar.

El término “stored XSS” significa, simplificando mucho el término, que el código inyectado se almacena en el mismo código fuente de la aplicación principal, aunque el objetivo final son los usuarios que visitan la página y no la aplicación (aunque se podría atacar el servidor web como veremos a continuación).

Figura 6: Código insertado en el bloque de los Shortcodes.

OWASP trata este tipo de ataques como uno de los más peligrosos del tipo XSS. Pero este puede ser aún incluso más devastador. Si el atacante consigue una cuenta tipo "administrador", es posible incluso poner en riesgo el servidor web donde se aloja la aplicación. Este sería más o menos el procedimiento (en este enlace de Fortinet se describe en profundidad):
1. El atacante envía una petición GET a la siguiente URL:
/wordpress/wp-admin/user-new.php
2. Se obtiene el valor actual “nonce” (un token de seguridad en forma de hash de una duración limitada).

3. Utilizando este valor nonce, se podría programar una query POST para crear un usuario y una contraseña (ambas aleatorias) del tipo administrador. 
4. De esta forma, el atacante podría modificar el fichero existente php a una webshell, lo que permitiría ejecutar acciones sobre el servidor y de esa forma tomar control sobre el mismo.
Este no ha sido el único problema solucionado relacionado con XSS y WordPress. También aparecieron otros de un funcionamiento similar asociados a la sección de comentarios, subida multimedia o incluso el dashboard.

Figura 7: Código XSS para añadir una cuenta administrador.

Wordpress es el CMS más popular, llegando al 60% de utilización (Joomla! es el segundo con sólo un 5,2%). Por lo tanto, su securización y control de vulnerabilidades es algo no debemos dejar de lado. Tener una solución para analizar tanto el código principal como los plugins es una tarea que se convierte en crítica para mantener seguro tu servicio WordPress. En esta charla, Chema Alonso cuenta algunos procedimientos que implementamos nosotros para Fortificar WordPress like a Hacker!


Figura 8: Faast For WordPress de ElevenPaths

Mantener la seguridad de nuestro sitio WordPress es una prioridad absoluta, pero como hemos podido observar, no podemos centrarnos sólo en la seguridad del CMS exclusivamente. Los plugins se están convirtiendo en el mayor problema relacionado con la seguridad de WordPress. De nada sirve tener nuestra web al día si no realizamos un seguimiento e incluso auditorías, de los plugins instalados.


Figura 9: Faast For WordPress de ElevenPaths

Si necesitas una solución profesional para auditar y mantener segura tu página WordPress, recuerda que ElevenPaths ofrece la solución Faast For WordPress, un servicio de pentesting persistente para sitios con dominio WordPress.

Happy Hacking Hackers!

Más Referencias:

[Libro] Máxima Seguridad en WordPress
[Libro] Hardening GNU/Linux
[Paper] WordPress in Paranoid Mode (Parte 1)
[Paper] WordPress in Paranoid Mode (Parte 2)
[Paper] Detección y estimación de vulnerabilidades en WordPress
[Vídeo] Proteger WordPress con Latch
[Vídeo] Proteger WordPress con Latch Cloud TOTP
[Vídeo] MyWordPress in Paranoid Mode (conferencia Chema Alonso)
[Vídeo] MyWordPress in Paranoid Mode (ElevenPaths Talks de Pablo González)
[Vídeo] Ejemplo de uso de Latch en WordPress
[Vídeo] Hardening WordPress like a hacker
[Vídeo] WordPress Demo XSS en WP-UserAgent
[BlogPost] My WordPress in Paranoid Mode
[BlogPost] Máxima Seguridad en WordPress
[BlogPost] Hackear un WordPress con Network Packet Manipulation
[BlogPost] Fortificar comunicación entre WordPress y MySQL
[BlogPost] WordPress Latch Enforcement
[BlogPost] WordPress aún más seguro con Latch Lock After Request
[BlogPost] Fortificar WordPress frente a ataques de fuerza bruta
[BlogPost] Ataques (al corazón) de tu WordPress
[BlogPost] Cómo robarle las contraseñas a los administradores de WordPress
[BlogPost] Agrupar el control de varios WordPress con un solo Latch
[BlogPost] WordPress: Time-Based XSPA (Cross-Site Port Attack)
[BlogPost] Cómo debería ser un WordPress un poco más seguro
[BlogPost] WPHardening: Automatizar fortificación de WordPress
[BlogPost] Protege los borradores de los artículos de tu WordPress
[BlogPost] Registro de cuentas en WordPress públicos
[BlogPost] Riesgos en la ejecución de tareas de Cron
[BlogPost] WordPres: XSS en plugin WP-UserAgent
[BlogPost] Listar los plugins de WordPress en un pentest
[BlogPost] WordPress: SQL Injection en Scarcity Builder Plugin
[BlogPost] Docker WordPress in Paranoid Mode
[BlogPost] Faast for WordPress
[BlogPost] Cómo buscar {y encontrar} 0days en plugins de WordPress
[BlogPost] WordPress Stored XSS: Nueva vulnerabilidad para tu CMS. Actualiza.

Autor: Fran Ramírez, (@cyberhadesblog) es investigador de seguridad y miembro del equipo de Ideas Locas en CDO en Telefónica, co-autor del libro "Microhistorias: Anécdotas y Curiosidades de la historia de la informática (y los hackers)", del libro "Docker: SecDevOps", Machine Learning aplicado a la Ciberseguridad” además del blog CyberHades.

martes, septiembre 17, 2019

Un viaje por el fin de semana: RootedCON, TechParty y una visita a El Pardo con mucho honor

Volver de vacaciones el 9 de septiembre, tras un par de semanas lejos de todo y casi de todos, y tener que enfrentarse a la vuelta al trabajo y a los eventos acordados. Llegó el día 13 de septiembre y, por sexto año, tuve el RootedLab en Valencia. En las seis ediciones de RootedVLC he tenido un Lab y eso para mí es un verdadero honor. Cada año me repito lo mismo: “Venga Pablo a por otro más, a dar lo mejor de ti”.

Figura 1:Un viaje por el fin de semana: RootedCON, TechParty
y una visita a El Pardo con mucho honor

Fue un taller especial, como lo son todos, con gente con muchas ganas de aprender, de sacar el máximo aprovechamiento de un día que, como siempre, pasa volando. Uno piensa que ocho horas son muchas, pero siempre pasan rápido, necesitamos más horas.

RootedCON Valencia, TechParty y una charla de Phishing

El día 14 de septiembre, siguiente al del RootedLab, tenía una pequeña maratón. Y es que primero exponía en la Rooted Valencia, donde hablaba sobre uac-a-mola^2, y presenté uac-a-mola^3, que ha llegado en los últimos días a estar listo a tiempo. De esta nueva versión hablaré en el post de hoy para contar el funcionamiento.

Pero mi odisea continuaba después de la presentación, ya que ese mismo día, debía estar por la tarde en la TechParty 2019 en La Nave, Vicálvaro. La charla en esta conferencia fue un enfoque sobre cómo investigar manualmente y qué herramientas utilizar para obtener bypasses de UAC.

Por último, hoy lunes 16 de septiembre un amigo nos invitó a participar en una charla sobre la evolución del phishing hasta la llegada de la inteligencia artificial. Contaré algo un poco más tarde. Así que vamos a comenzar por el principio.

UAC-a-Mola^3

La charla de uac-a-mola mostraba un repaso sobre lo que es la herramienta UAC-A-Mola, publicada en 2017 y que fue presentada en BlackHat Europe 2017. La utilidad evolucionó en 2018 en una “spin off” en la que queríamos llevarla a Powershell - ya sabéis mi afición al Pentesting con Powershell - y orientarla a complementar los bypasses de UAC que otras herramientas no implementaban. La idea era poder ejecutarla siempre desde memoria y poder hacer uso de las funcionalidades necesarias con el objetivo de evadir protecciones.


Con esta razón nace uac-a-mola^2. Esta herramienta se presentó en 8dot8 2018 en Chile. En el siguiente video se puede ver una demo del uso de la herramienta. Es cierto que aún no se ha publicado esta función de Powershell, que se utiliza en la demo con Meterpreter, pero lo haremos pronto, junto a la publicación de uac-a-mola^3.

Figura 3: Demo de UAC-a-mola thin client

Esta solución buscaba una serie de cosas que yo tenía en la cabeza, para integrarla más con Powershell y con Metasploit, del que ya sabéis que me ha quitado tanto el sueño como para sacar dos libros: Metasploit para Pentesters y Hacking con Metasploit.
• Descarga directa a memoria, evitar en la medida de lo posible el uso del disco. 
• Integrar el entorno de uac-a-mola en memoria y en Powershell. 
• Detectar y explotar bypasses de UAC desde Powershell y complementar otras soluciones de frameworks como Metasploit o Empire. 
• Utilizar desde el Meterpreter.
Este thin client nos llevó a evolucionar la solución y buscar una integridad más amigable, ya que sabíamos que no era todo lo usable que un pentester quiere o necesita. Para ello pensamos que la mejor solución era integrarlo como una extensión de Meterpreter real. Para ello, estudiamos el framework y fue nuestro compañero Josué Encinar el encargado de poner las piedras a estos pensamientos. Hay que recordar que Josué trabajó en un TFM que llevé desde la UEM dónde nació el proyecto Boomer.

Figura 4: Libro de Hacking con Metasploit: Advanced Pentesting

La idea era la extensión para cualquier Meterpreter, pero uac-a-mola^3 presenta la extensión para el Meterpreter de Python. Tendremos que seguir trabajando para cubrir el resto de Meterpreter que se pueden ejecutar en Windows. Por tanto, es disponible que la víctima o la máquina comprometida disponga de Python en Windows. Los comandos y las posibilidades que ofrece la extensión hace que sean sencillas de usar y ejecutar.

Probando de UAC-a-mola^3

Un ejemplo de funcionamiento de la extensión es el siguiente en el que podemos ver cómo haciendo uso del comando load se puede cargar la extensión. Una vez cargada, si ejecutamos la opción help podemos encontrar las opciones y comandos de la extensión. Solo tiene un comando que es start_uacamola.

Cuando se ejecuta el comando start_uacamola obtenemos una shell dentro del proceso. Esa consola es nuestro uac-a-mola integrado, con diferentes módulos. El comando help puede ayudarte a encontrar lo que necesitas. La capacidad que se tiene para poder integrar nuevos bypasses de UAC es rápida, por lo que puedes encontrar algunos bypasses que no encontrarías con Metasploit o con Empire.

Figura 5: cargando uacamola como extensión de Meterpreter

La charla de Valencia tuvo cinco demos en directo que mostraban lo que era un bypass de UAC, lo que era uac-a-mola y todo lo que había evolucionado después. Pronto estará listo para ser publicado y os iremos informando. Estará en el repositorio de Github de ElevenPaths en el apartado de uac-a-mola. Seguiremos trabajando para que podáis utilizarlo y saquéis el máximo jugo a uac-a-mola.

Una historia de UAC en TechParty

Después de la charla de Rooted en Valencia, el AVE me llevó a Madrid a la carrera. Próxima parada La Nave en Villaverde. En la TechParty me encontré con más de 90 ponentes en un día, con más de 9 salas y con bastante gente. Un evento grande en un espacio grande. Blockchain, Inteligencia Artificial, Ciberseguridad, Legalidad, diferentes ámbitos que empujaban el mundo actual y con ponentes de diferentes sectores que, estoy seguro, disfrutaron y dieron lo mejor de sí.

Figura 6: De charla en Valencia a charla en Madrid

El título de la charla: “The UAC Story: How-Tos for bypass research”. Un paseo por cómo abrir investigaciones para detectar nuevos bypasses de UAC en diferentes versiones del sistema operativo Windows. La idea, siempre, mejorar la calidad de la seguridad del sistema, y conocer técnicas nuevas que poder usar en proyectos de Ethical Hacking que tengan que pasar por un Hacking de Windows.

Figura 7: Libro de Hacking Windows: Ataques a sistemas y redes Microsoft

Se pudo ver los resultados que uac-a-mola sacó en el paper que hicimos para publicarlo, respecto a las posibilidades que los investigadores tienen para lograr encontrar, con técnicas conocidas, nuevos bypasses. Un tema interesante para los que nos dedicamos a esto.

Y ahora algo de Phishing con Inteligencia Artificial

Ayer lunes 16 teníamos una cita en El Pardo para mostrar la evolución de las técnicas de Phishing, desde el engaño clásico hasta el uso de Inteligencia Artificial, pasando por las nuevas amenazas a las que nos enfrentamos. En este repaso, lo primero que vimos fue cuáles eran las creencias de la sociedad en cuanto al Phishing más clásico, las medidas importantes que debíamos tener en cuenta, como por ejemplo usando 2FA con Latch, y vimos la evolución de ataques como:
• Bar Spoofing. 
• Punycode. 
• QRLJacking. 
• OAuth Apps.
• WebView embebidas en apps. 
• Rogue Apps.
Posteriormente tocó hablar de la Inteligencia Artificial y su irrupción en el mundo de la ciberseguridad para lo bueno, pero también para lo malo. A lo que nos enfrentamos no solo las empresas, si no la sociedad y los estados. El ejemplo más claro era la evolución de una estafa del CEO/CDO que se mostraba en vídeo y con audio de la persona suplantada. Se explicó lo que había por detrás. Lo contamos mi compañero Enrique Blanco y yo en RootedCON. Hablamos de Machine Learning, de Inteligencia Artificial, de redes neuronales, de Autoencoders, de GANs, etcetera.

Con las GANs jugamos y mostramos como la estafa del CEO podía llegar a límites visuales y auditivos más que interesantes. ¿Cómo combatirlos? También expusimos trabajos que han salido para detectar DeepFakes, pero, ¿quizá sea necesario un dataset de esto para poder detectarlas? Parece que algunas empresas ya trabajan en esa idea.

Figura 8: Una placa para el equipo de Regimiento de Guerra Electrónica 31

La sorpresa vino al final de la charla, cuando nos entregaron esta placa para el equipo de Ideas Locas y la gente de Telefónica Digital. Un agradecimiento con el que estamos muy contentos y queremos compartir. Trabajo de todos.

Y en cuanto toque... más aún

Como podéis ver, un fin de semana y un lunes de mucho trabajo y de buenos resultados que hacen que todo este “trajín” merezca la pena. Gracias al equipo de Ideas Locas por todo su esfuerzo y por toda la pasión que se pone en todo lo que se hace. Seguiremos, y espero que, por mucho tiempo, al pie del cañón.

Saludos,

Autor: Pablo González Pérez (@pablogonzalezpe), escritor de los libros "Metasploit para Pentesters", "Hacking con Metasploit: Advanced Pentesting" "Hacking Windows", "Ethical Hacking", "Got Root" y “Pentesting con Powershell”, Microsoft MVP en Seguridad y Security Researcher en el equipo de "Ideas Locas" de la unidad CDO de Telefónica.

lunes, septiembre 16, 2019

La felicidad como forma de seguridad siendo una robot rata #IA #robotica #scifi

Cuando lees muchas cosas que tienen que ver con el futuro, la imaginación no deja de explotar en tu cerebro, y eso me ha pasado este verano a mí con la lectura de algunos libros. Y hoy me apetece contaros alguna de ellas. En concreto, lo que tiene que ver con las "Robo Ratas" y los interfaces cerebro-computador que llevan años diseñándose.

Figura 1: La felicidad como forma de seguridad siendo una robot rata

Todavía no se conoce del todo el cerebro humano, ni de ningún animal, completamente. Todavía es difícil de entender bien eso que llamamos consciencia, y leyendo el libro de Homo Deux, el capítulo que habla del fin del humanismo, me dejó bastante pensativo.


Al final, el libro habla de tres cosas que rompen las bases del humanismo, y que son relevantes. La primera de ellas, pone en duda el famoso "libre albedrío" que hace que todo funcione en el mundo de hoy en día. Este "libre albedrío" supone que los humanos tomamos decisiones porque tenemos capacidad de elección. Y parece que no es tan así.

El segundo de los puntos al que hace referencia es al "individuo". ¿Realmente somos solo una persona o somos más de uno? No, no estoy hablando de los Géminis y el horóscopo. Estamos hablando de que nuestro cerebro es capaz de tener opiniones diferentes al mismo tiempo según qué centro tenga el poder de tomar esa decisión. Podemos pensar algo y hacer lo contrario. Y mucho peor.

El tercer problema es que los humanos pueden pasar a ser "irrelevantes" para el futuro si seguimos definiendo la vida como la hemos definido hasta hoy. Es decir, para producir riqueza, tomar decisiones o pelear guerras. Esto puede dejar de ser importante en el futuro, y puede que tengamos que redefinir muchas cosas en el humanismo.

Ni libre albedrío, ni relevantes, ni únicos y especiales

No os quiero romper el libro, porque merece la pena que lo leáis y descubráis sobre todo los puntos dos y tres que os he citado. El punto dos porque habla de los experimentos con humanos a los que se ha separado el hemisferio derecho del cerebro del hemisferio izquierdo, con resultados asombrosos de cómo somos más de una persona en el cerebro. Es como si tuviéramos varias CPUs en la cabeza con tomas de decisiones y opiniones totalmente distintas. A mí me dio escalofríos pensar que somos "dividuos" en lugar de "individuos".

El tercer problema, el de que los seres humanos pasemos a ser irrelevantes por tener que delegar las decisiones en sistemas de Inteligencia Artificial más capaces que nosotros por su capacidad de procesar datos y generar conocimiento, además de que junto a la robótica, la importancia de los ser generadores de riqueza nos dejará fuera de muchas competiciones.

Este es un debate interesante, ya que las probabilidades de que muchos trabajos sean sustituidos por robótica e IA en la próxima década es muy alta. Desde Contact-Centers, hasta conductores, pasando por camareros, recepcionistas, peluqueros, jardineros, etc, etc... Un debate que debemos ir teniendo ahora para pensar en cómo queremos que sean nuestras sociedades en el futuro.

Pero quería hablaros de la parte de las Robo-Ratas, que es más que interesante. Es verdad que os he dicho al principio que conocemos poco del cerebro humano, pero no que no conozcamos nada. Al contrario, y cada día conocemos más. Sabemos que hay determinadas sustancias que influyen en nuestra forma de ser y sentir. Por eso a veces recurrimos a la química para controlar nuestros estados de ánimo, las euforias, las depresiones, o los trastornos bipolares. Mantener un cerebro en un estado de felicidad constante y controlado se puede hacer a base de química.

La felicidad como forma de seguridad siendo una robot rata

Esto lo contaba ya el libro de Un Mundo Feliz con su querido Soma. Primero te cuento cuál va a ser tu lugar en la sociedad. Te hago una "narrativa" que haga que tu vida sea plena y tenga sentido - tal y como se explica en Sapiens - en tu rol de alfa, beta o delta. Pero si la narrativa que da sentido a tu vida - para la que te he condicionado desde el principio, falla - no te preocupes, tengo una pastilla que se llama Soma que te va a dejar como nuevo. Hoy en día, tienen otras marcas, pero se usan para cosas similares.

Pero el tema de las Robo Ratas es aún más allá. ¿Qué pasa si puedo incidir en tu toma de decisiones estimulando zonas de tu cerebro? ¿Y si puedo hacer que ir a la izquierda sea o que quieras hacer? ¿Y si puedo hacer que ir a la derecha sea tu decisión personal? Pues en esto consiste. El cerebro toma decisiones en "libre albedrío" porque quiere tomarlas, pero la realidad es que antes de tomarlas hay unos estímulos que hacen que la persona quiera tomar esa decisión. En las ratas sucede lo mismo, y lo que hicieron hace ya mucho tiempo es poner unos cascos con interfaces directos al cerebro para hacer que la rata quiera subir las escaleras, girar a la izquierda, girar a la derecha. El vídeo es antiguo, pero lo explica bien.


Figura 3: Robo Ratas

Por supuesto, se está trabajando también con las personas. En el libro de Homo Deux cuenta casos de cómo se utilizan estos sistemas para conseguir la concentración de franco-tiradores, o controlar la depresión de militares en situaciones de estrés post-traumático. ¿Pero podría llegar a ser obligatorio su uso para controlar la felicidad de todos los humanos?

Hace unos años, en una conferencia en Madrid, la entonces alcaldesa de a ciudad decía que la mejor forma de luchar contra la violencia era la educación de los más jóvenes. Si educamos a los más jóvenes, los estamos "programando" para que cuando tengan que tomar una decisión en el futuro a lo largo de su vida adulta, tomen una decisión no violenta. La educación, como forma de "condicionamiento" consciente que planteaba Aldoux Husley en "Un Mundo Feliz".

¿Qué quieres que te diga que quieres ser?

Pero ¿y si vamos más allá? El libro de "¿Sueñan los androides con ovejas electrónicas?" que dio origen a la mítica Blade Runner comienza con una escena maravillosa en la que el protagonista charla con su mujer sobre que código marcar en su "mood organ" o "teclado de estado de ánimo" para ese día. Si marcar el de felicidad, el de tener ganas de ser aventurera, o el de tener un estado de ánimo de "hombre de negocios". Es decir, está configurando la química de su cerebro para tener un estado de ánimo diferente.


Pero... ¿y si los interfaces humano-computador y el conocimiento del cerebro se desarrolla un poco más? Podría darse el caso de que se condenara a un atracador a llevar un casco que mediante un algoritmo de AI controlase su comportamiento para que fuera "bueno". O a un inmigrante se le podría imponer como forma de entrar en el país a llevar un casco para garantizar y controlar que lo que "le apetezca" sea hacer cosas que la gente de ese país decida. O podría ser que ese casco con control de lo "que te apetece" se aplique por seguridad a la gente que trabaja en una empresa. O a todos los ciudadanos de un país. O a toda la humanidad, y lo controlamos por una IA que nos hace ser buenos y felices a todos, porque todos queremos cosas buenas para todos.

La verdad es que la ciencia-ficción me deja siempre un poco tocado, pero ver a la velocidad a la que se están desarrollando los conocimientos científicos y tecnológicos, hace falta preguntarse muchas cosas. ¿Y si realmente el humanismo está llegando a su fin y tenemos que dejar que la IA nos gobierne?

Ya Neil Stephenson hablaba en su novela "Interface" de controlar a un presidente del gobierno de USA por medio de un sistema que conectaba el cerebro del candidato con un equipo informático que controlaba un grupo de expertos en política. ¿Y si al final, como decía ese capítulo de "Love, Death & Robots" en Netflix, tenemos que dejar que "Un yogurt tome el control de la humanidad" y ser simplemente felices y seguras Robo Ratas? Feliz lunes.

Saludos Malignos!

Entrada destacada

Seis recomendaciones personales de libros de @0xWord para disfrutar y aprender

Este verano pude disfrutar de la lectura de un libro que me encantó. El libro de Factfulness que me había regalado mi compañera Beatriz Ce...

Entradas populares