1

SumarioAño 22 Nº 27 - Octubre 2019

ISSN: 1688-6291

Percepciones es una publicación de

ISACA - Capítulo Montevideo, Uruguay

Cerrito 420 of. 505Telefax: 29150319CP 11000 - Montevideo, Uruguay

E-mail: info@isaca.org.uy

Internet: www.isaca.org.uy

www.facebook.com/isacamontevideo

Director Responsable

Ing. Jose Luis Mauro Vera, MBA, CISA

Consejo Editorial

A/P Fernando Yurisich, CISA, CIA, CRMA

Realización gráfica:

Mario Soto

Imagen de tapa:Copyright German Mogliani

Registro en el Ministerio de Educación y

Cultura según Art. 4º, Ley 16.099,

Tomo XI, Fojas 243

“Las opiniones expresadas en Percep-ciones representan los puntos de vistade los autores. Pueden diferir de polí-ticas o manifiestos del Capítulo Mon-tevideo Uruguay de ISACA y/o de lasopiniones de los miembros del comi-té Editorial. El Capítulo MontevideoUruguay de ISACA no realiza otra ac-ción de verificación de la originalidadde los artículos más allá de la declara-ción en tal sentido de los autores; ypor lo tanto no asume responsabilidadal respecto.”

“ISACA - Capítulo Montevideo, Uruguay es una Asociación sin fi-nes de lucro de miembros profesionales dedicados a la práctica dela Auditoría, Control y Seguridad de Sistemas de Información, ycomprometidos con la Educación, la Certificación y los Estándares”“Nuestra visión es ser el líder global reconocido en Gobernabilidad,Control y Aseguramiento de la Tecnología de la Información.”

1. Los desafíos éticos del manejo de datos.El poder de las plataformas globales debe aparecer en lamesa de discusiones de manera que las potencialidadeslibertarias y des-intermediadoras de la Internet no se veanlimitadas.

2. El desafío de ser “bueno”.Los profesionales de TI no solo deben esforzarse por com-portarse de manera ética, sino que también deben diseñarlos sistemas de una manera moralmente responsable.

3. ¿Por qué es importante el rol de ISACA para Éticaen el Data Science?Entender cómo se desarrollaron los algoritmos de análisisde datos, qué data usan, cuáles son los objetivos que bus-can y los sesgos implícitos en los outputs, es clave paragestionar los riesgos.

4. Implementación de un Sistema de Gestión deSeguridad de la Información.Las cinco claves del éxito a la hora de implementar unSGSI basado en ISO27001.

5. Pronósticos de seguridad/ciberseguridad 2020.Las cinco tendencias o pronósticos identificados para uncontexto digital e hiperconectado donde, más que en pro-babilidades, se debe pensar en posibilidades.

6. Respuesta a incidentes utilizandomachine learning.Un proyecto de grado muestra la factibilidad de utilizarsistemas basados en machine learning para potenciar laciberseguridad.

2

PresidenteIng. Jose Luis MauroVera, MBA, CISA

Vice- PresidenteSr. Maximiliano Daniel Alonzo, CISM

SecretarioA/P Ethel Kornecki, CISA, CISM

TesoreroCra. Alexandra Moyal, CISA, CRISC

VocalLic. César Ganduglia

ISACA - Capítulo Montevideo, Uruguay || Comisión Directiva 2019ISACA - Capítulo Montevideo, Uruguay || Comisión Directiva 2019ISACA - Capítulo Montevideo, Uruguay || Comisión Directiva 2019ISACA - Capítulo Montevideo, Uruguay || Comisión Directiva 2019ISACA - Capítulo Montevideo, Uruguay || Comisión Directiva 2019

Comité de MembresíaA/P Fernando Yurisich, CISA, CIA,CRMA

Comité de ProgramaciónIng. Cristina Ledesma, CISA, CISM,CRISC

Comité de Publicaciones y PublicidadA/S Miguel Galán, CISA, CRISC

Comité de NominacionesIng. Felipe Sotuyo, CISA, CISM,CRISC, PMP

Editorial

Comité de EducaciónIng. Evelyn Antón, CISA, CISM,CGEIT, CRISC

Comité de AuditoriaIng. Susana González, CISA, PMP

Comisión FiscalA/P Cristina Borrazas, CISA, CRISC,PMPIng. Fernanda Molina, MBA, CISA, PMPIng. Reynaldo de la Fuente, CISA,CISSP, CRISC, MBA

Estimados lectores,

Desde nuestra Comisión Directiva del Capítulo Montevideo de ISACA, es un honor acercarles esta XXVII edición de larevista Percepciones. Bajo la consigna “Honorando nuestro pasado, innovando nuestro futuro”, ISACA celebra sus 50años, desde su fundación en Los Ángeles, California bajo la denominación EDPAA (Electronic Data Processing AuditorsAssociation), que a partir de 1994 fue modificada a la actual denominación. Por ese entonces también se creaba nuestroCapítulo, que desde hace más de 25 años viene fomentando, aportando y facilitando conocimientos y metodologías paralos profesionales vinculados con el Gobierno Corporativo, Auditoría, Riesgo Tecnológico y Seguridad de la información.

En esa línea, les acercamos en esta revista técnica, artículos que fueron seleccionados a través de un llamado queoportunamente realizamos para la presentación de artículos, y a partir del valiosísimo aporte de profesionales de Uru-guay y de la región. Aprovechamos la oportunidad para agradecerles la gentileza de participar de nuestra revista y decompartir sus Percepciones con nuestra comunidad.

Desde hace ya 10 años, este año los invitamos a participar de la décima edición del congreso CIGRAS, que denomina-mos para la ocasión como “CIGRAS X”. Contaremos con ponencias de expositores provenientes de distintas latitudes,procurando actualizarnos con las nuevas tendencias en los temas centrales para nuestra Asociación. En este sentido,continuando con nuestro interés de sumarnos al programa SheLeads Tech de ISACA, proponemos paneles y conferen-cias que abordarán la temática de la diversidad e inclusión de la mujer en las actividades de liderazgo en tecnologías dela información y ciber seguridad. También proponemos aportar nuevas perspectivas desde el punto de vista de ciberseguridad, a través del panel sobre cómo los hackers uruguayos logran aprovechar los programas de Bug Bounty ofreci-do por distintas empresas. Esta edición será una excelente oportunidad para reencontrarnos, actualizarnos y hacernetworking con profesionales y líderes en las áreas de conocimiento de nuestra Asociación.

Este año 2019 nos encuentra acercándonos al final de la segunda década de este siglo, en períodos electorales en laregión, y nos encuentra enmarcados con distintos desafíos y oportunidades en un mundo volátil, incierto, complejo yambiguo. La transformación digital se presenta como una oportunidad para lanzarnos definitivamente en los nuevosparadigmas que definirán la educación, la economía, los modelos de negocio y el estilo de vida de las personas para lapróxima década que se viene. Según el Barómetro de Transformación Digital de ISACA de 2018, 9 de cada 10 organiza-ciones tienen planes para avanzar en las iniciativas que conforman la transformación digital. Sin embargo, el 60% de lasorganizaciones no confía en que puedan valorar adecuadamente los niveles de seguridad de sistemas basados en inteli-gencia artificial o Machine Learning. En los tiempos que vivimos y en los que se vienen, es imposible dejar de lado losriesgos (positivos y negativos) que nos trae esta transformación, y la necesidad de gestionarlos y gobernarlos. En esecamino, desde nuestro Capítulo y desde ISACA, pretendemos facilitarles a través de publicaciones como Percepciones,eventos, cursos y conferencias como el CIGRAS, darles la oportunidad de mirar hacia adelante, ayudarlos y ayudarnosa sacar el mayor valor posible de las tecnologías y de la información,

Los saluda Atte.

Ing. José Luis Mauro Vera, MBA, CISA

Presidente, ISACA – Montevideo Chapter.

3

Somos una sociedad tecnológica globali-zada, que está replanteando drásticamente lasreglas de juego de su comportamiento políti-co, económico y social de manera vertigino-sa, como consecuencia directa de la introduc-ción ciertas máquinas que potencian lo quepodemos pensar y lo que podemos hacer.

“Durante los últimos treinta años, el esta-do evolutivo y la trayectoria de la especiehumana han sido cuestionados por los rápi-dos avances conseguidos en el campo de lananotecnología, la biotecnología, las tecno-logías de la información y la ciencia cogniti-va.” (Miah, 2012: 1),

Como muy bien anticipara en su momen-to Luis Joyanes: “La tecnología es un factorde cambio, que se manifiesta en el cambiotecnológico. El cambio tecnológico suele de-cirse que es, a la vez, cambio social y se pue-de ya decir que la tecnología encarna a losvalores dominantes de la cultura industrial.”(Joyanes, 1997: 1)

Entonces hablar de tecnología no es sólohablar de artefactos tecnológicos, cualesquieraestos sean. Estos cambios tecnológicos gene-ran además cambios políticos y sociales, queusualmente reflejan los valores dominantes dela cultura y por lo tanto, no son lo que sepueda decir neutros.

Los desafíos éticosdel manejo de datos

Debemos prepararnos para enfrentar cier-tos desafíos éticos, que hasta hace muy pocono estaban en la agenda de los políticos, losempresarios y los trabajadores. Esos procesosestán poniendo en duda los paradigmas lega-dos, a un rimo que dificulta las adaptaciones.

En un mundo globalizado que opera so-bre bases capitalistas, los procesos de “des-trucción creativa” tienen efectos imponentes.Gran parte de las tecnologías emergentes sonfuente de oportunidades para aquellos queplanean entrar al mercado sin condiciona-mientos y también de amenazas, para aque-llos ya consolidados.

Las teorías de Schumpeter (1997) reafirmanciertas formas del desarrollo de los ciclos eco-nómicos, que están revalorizando la impor-tancia de la capacidad de renovación cons-tante tan propia del modelo de referencia, loque ha interpelado no sólo los sistemas pro-ductivos y comerciales, sino los sistemas po-líticos y sociales legados.

Los cambios tecnológicos tienen que vercon las reglas de juego con las que los sereshumanos se desarrollan en la sociedad. Lo queaprendemos y lo que decidimos está muy in-fluenciado por determinadas fuentes de infor-mación y conocimiento, a las que circunstan-cialmente los ciudadanos tenemos acceso.

Carlos Petrella

4

A su vez esas fuentes de información yconocimientos, están cambiando acelerada-mente sus formas de soporte, dando lugar anuevas formas de registrar, organizar y pre-sentar determinados contenidos, haciéndosecada vez más presentes en la vida diaria delas personas.

Mirando en el contexto mundial, se apre-cia que la tecnología (en sus tres dimensionesinstrumentos, recursos técnicos y procedi-mientos aplicados) ha profundizado su pene-tración en el entramado político, económicoy social en todo el planeta de la mano de unimpulso globalizador muy fuerte del uso dela Internet.

Actualmente un conjunto de tecnologíasemergentes están operando como factor decambio de las formas de informarse, funda-mentalmente a partir de la disponibilidad deenormes cantidades de datos y de ciertas pla-taformas que potencian opciones de intercam-bios a gran escala, atravesando las fronterasde los Estados.

Por otra parte, la “tercera ola” potencia latrilogía: personas, procesos y contenidos, conla tecnología de la información y las comuni-caciones como un sustento clave de las trans-formaciones. (Esains, 2011: 2) Se trata de unproceso drástico de replanteo de las formasde informarse y relacionarse, de una enormeenvergadura e impacto.

Se ha producido una combinación ex-plosiva de inventos e innovaciones que hancambiado la forma en que trabajamos, estu-diamos y nos entretenemos. La creación deloa computación personal, la telefonía mó-vil, los motores de búsqueda, las aplicacio-nes móviles y el manejo de “big data” entreotros. (Friedman, 2018)

A partir de la disponibilidad de Internet yla World Wide Web y de la evolución de pla-taformas Web cada vez más interactivas, lahumanidad dio un paso enorme para integrarredes de personas con intereses comunes, sinlas limitaciones físicas que imponían referen-

cias a un tiempo y a un lugar, para cada unode los agentes.

No cabe duda de que el desarrollo de nue-vas modalidades de intercambio sobre tododerivadas del uso de redes sociales globales,han ampliado las opciones de manejo de unaenorme cantidad de datos que actualmenteestán siendo manejados por los administra-dores de plataformas tecnológicas.

No sólo cambian los agentes y la forma derelacionarse. Las propias formas de producirel conocimiento están cambiando. MichaelGibbons entre otros sostienen que una nuevaforma de producción de conocimiento estáemergiendo paralelamente al modelo tradicio-nal organizado por especialidades.

Como en todo conjunto de tecnologíasdurante su aparición, han surgido confusio-nes en cuanto a los nuevos conceptos mane-jados y sobre todo, en lo referido al alcancede su aplicación en términos de las capaci-dades que deben tener los agentes para po-der capitalizarlas.

Han surgido gran cantidad de portaleswebs de la mano de los beneficios de desa-rrollar una economía colaborativa portátil yubicua que fomenta la participación econó-mica y social de muchos agentes, para cons-truir formas de producir y comercializar bie-nes o servicios a escala global de manera muyflexible.

Se están afirmando un conjunto de servi-cios creando un sistema que facilita la posibi-lidad de intercambiar y compartir bienes oservicios a través de plataformas electrónicasgenerando nuevas opciones para el desarro-llo de modelos de economía colaborativa queplantea nuevos procesos de intermediacióndisruptivos.

Los ejemplos ya presentes muestran quehan cambiado las reglas de juego en negociosclaves como el transporte de pasajeros o el al-quiler de viviendas, por retomar ejemplos to-talmente consolidados como UBER y Airbnbdonde algunos agentes se están adueñando delas reglas de juego de esos negocios.

5

Estas plataformas se han convertido enfuentes de creación de grandes beneficios yperjuicios para muchos agentes que han vistocomprometerse sus modelos de negocio o susfuentes de trabajo. Entre los ganadores estánlos emergentes poderes administradores deesas grandes plataformas.

Todos estos cambios en los intercambiosentre grades grupos de interés plantean desa-fíos políticos y organizativos impensados hastahace unos pocos años. (Winner, 2008) Nocabe duda de que el agente que maneje lainformación que se comparte y la forma decompartirla tendrá una posición dominantecuasi monopólica.

Hoy ya se han afirmado un conjunto deservicios creando un sistema que facilita laposibilidad de intercambiar y compartir bie-nes o servicios a través de plataformas elec-trónicas. La economía colaborativa planteanuevos procesos de intermediación disrupti-vos que han cambiado las reglas de juego ennegocios clave.

La tecnología aplicada en las organizacio-nes - como un recurso humano utilizado porhumanos por más desarrollo que haya tenidoen el pasado - mantiene ciertas limitantes. Laaplicación de la tecnología en las institucio-nes y las organizaciones depende de factorestales como la cultura.

Pero no sólo la cultura es un aspecto im-portante. Asoma primero tímidamente y lue-go con mayor vigor la necesidad de separarla paja del trigo. Esto es definir qué es lo bue-no y que es lo malo respecto a los reacomo-dos de poder derivados del uso de estas tec-nologías. Aparecen finalmente los aspectoséticos.

“De todas las creencias que nacieron enSilicon Valley, sin duda la más extraña es eltecnopopulismo; es decir, hacer falsas prome-sas sobre la base de la transformación digi-tal.” En especial promesas relacionadas conque el usuario obtendrá un poder inmediatocon el uso de ciertas plataformas. (Morozov,2018: 1)

Esas nuevas plataformas han aportado al-gunos beneficios directos de ciertos procesosde desintermediación, de la mano de acercaragentes que requieren por ejemplo un autopara trasladarse o una habitación para resguar-darse. Pero también han generado condicio-namientos muy fuertes en el manejo de lascadenas de valor.

Nos referimos a la posibilidad de que losadministradores que controlan la infraestruc-tura para administrar determinadas redes,monopolicen el uso de una enorme cantidadde datos y la posibilidad de desarrollar subsi-dios cruzados entre los diversos usuarios,manejando los modelos de negocios deriva-dos. (Srnicek, 2018)

Todo parece indicar que la utopía del de-sarrollo digital en el que el mercado se auto-rregulaba con beneficios equitativos para to-das las partes, está llegando a su fin a partirde una web, que opera de una manera cadavez más centralizada y en manos de unas po-cas plataformas dominantes. (Morozov, 2018)

Aparecen entonces necesidades de desa-rrollar aportes prescriptivos sobre el “debeser” en términos éticos respecto de lo quehacen o pueden hacer estas plataformas, paracondicionar las decisiones de los agentes quela utilizan, sin que estos agentes tengan realconciencia de estos procesos de manipula-ción.

Estas plataformas manejan enormes canti-dades de información sobre quiénes somoslos usuarios, que es lo que más nos interesa,lo que estamos actualmente aprendiendo, quénecesitamos comprar o vender, de qué ma-nera nos entretenemos y qué orientacionespolíticas o religiosas tenemos.

Alguien que maneja toda esta informacióntiene en sí mismo un enorme poder paraorientar las decisiones políticas, económicaso sociales y religiosas de los agentes e inclu-so para generar replanteos de las mismas so-lamente presentando el lado circunstancial-mente más conveniente de determinadosdatos que maneja.

6

En la actualidad ese poder de manejo deenormes cantidades de datos de los usuariosde los motores de búsqueda de información yde manejo de las relaciones dentro de las gran-des redes sociales a escala global, se ejercede manera casi discrecional, con fines queno son conocidos por los agentes afectados.

Pensamos que además de ciertas declara-ciones de principio que siempre son buenascomo orientación, respecto de cómo debe-rían manejarse esas grandes plataformas y lainformación que manejan, también hay queabordar cuestiones instrumentales relevantesde cómo se administran las relaciones, quetodavía no están claras.

Los desafíos éticos del manejo de datos,sobre todo en lo relacionado con el enormepoder de algunas plataformas globales, debeaparecer en la mesa de discusiones de mane-ra que las potencialidades libertarias y des-intermediadoras de la Internet, no se vean tanconstreñidas por el dominio de un conjuntode poderosas corporaciones.

Aparece la necesidad de replantear ciertasreglas de juego relacionadas con la discrecio-nalidad de gobierno con la que se muevenlos administradores de las redes y con la con-fiabilidad de los datos que manejan. Es nece-sario generar las condiciones para un buengobierno corporativo y para un manejo de losdatos mucho más transparente.

Parece que debería insistirse en establecercuáles son las reglas de ese buen gobiernocorporativo en relación con cómo se mani-pulan por parte de los administradores losmodelos de negocios, cuando estos están di-rigidos a manipular la competencia entre losdiferentes grupos de interés que operan sobreredes muy globales de uno genérico.

Además es importante afinar los mecanis-mos de denuncia cuando se constata que losdatos que administra una plataforma son usa-dos con otros fines que aquellos con los quefueron solicitados a los usuarios o bien cuan-do son manipulados o cambiados para influir

en las conductas de manera de cambiar loque deciden.

Ya hay muchas ideas contrapuestas pues-tas sobre la mesa a partir de los intereses enpugna y los efectos del manejo de las plata-formas. Están en juego aspectos muy relevan-tes que hacen a las decisiones de los ciuda-danos sobre la elección de sus representanteso sobre aquello que quieren comprar o ven-der en las grandes redes.

Recién estamos comenzando a entenderel enorme poder que tienen actualmente losadministradores de plataformas tecnológicasde relacionamiento. Tal vez sea prematuroanticipar cuáles serían las mejores solucionesa desarrollar. Pienso ahora es el tiempo delos debates de ideas, pero sin ser ingenuos.

Está claro que lo que hagamos o dejemosde hacer sobre la forma en que son goberna-das y gestionadas las grandes plataformas tec-nológicas que operan sobre la Internet, segu-ramente afectará centros de poder que actual-mente tienen una posición dominante sobrelo que se presenta como información y sobrelo que se decide.

Referencias

Esains, Victoria. (2011), La Gestión del Conocimientopasó la etapa infantil de las falsas expectativas. Entre-vista a Domingo Valhondo, Disponible en: (http://www.learningreview.com/gestion-del-conocimiento/articulos-y-entrevistas/366-la-gestiel-conocimiento-pas-etapa-infantil-de-las-falsas-expectativas).

Friedman, Thomas. (2018), Gracias por llegar tarde. Cómola tecnología, la globalización y el cambio climáticovan a transformar el mundo los próximos años, Bue-nos Aires, Editorial Paidos.

Gibbons, Michael; Limoges, Camilla; Nowonty, Helga;Schwartzman, Simon; Scott, Meter y Trow, Martin.(1994), The New Production of Knowledge. The dy-namics of science and research in contemporary so-cieties, Londres, Sage Publications.

Joyanes, Luis. (1997), Cibersociedad, Madrid, Mc GrawHill.

Miah, Andy. (2012), Cuestiones éticas derivadas del me-joramiento humano, Disponible en: (https://

7

www.bbvaopenmind.com/articulos/cuestiones-eti-cas-derivadas-del-mejoramiento-humano/)

Morozov, Evgeny, (2018), De Airbnb a Uber: la econo-mía colaborativa está en manos del gran capital, Dis-ponible en: (https://www.eldiario.es/theguardian/Air-b n b - c i u d a d - e c o n o m i a - c o m p a r t i d a -capital_0_840266844.html)

Schumpeter, Joseph. (1997) Teoría del desenvolvimientoeconómico, México, Fondo de Cultura Económica.

Srnicek, Nick. (2018), Capitalismo de Plataforma, Bue-nos Aires, Caja Negra Editores.

Winner, Landon. (2008), La ballena y el reactor, Barcelo-na, Gedisa Editorial.

Ing. Carlos Petrella, PhD

Investigador, docente, escritor y conferencista con másde diez libros y más de cuarenta artículos académi-cos publicados sobre su especialidad.

Docente e investigador grado 5 especializado en Di-rección, estrategia y comunicación de la Facultad deCiencias Económicas y Administración de la UDELAR.

Experto en estudios prospectivos, cambio organiza-cional, gestión del conocimiento, procesos de inno-vación, aprendizaje organizacional y coaching, consustancial experiencia en procesos de desarrollo or-ganizacional, estudios de escenarios de desarrollo yconsolidación de grandes empresas y en el asesora-miento en situación de crisis.

8

9

El comportamiento moral es, quizás, fácilhablar, pero difícil de poner en práctica. Larespuesta a la pregunta “¿Hice lo correcto?”puede que no sea inequívoca. Por otra parte,lo que yo podría considerar como lo funda-mentalmente correcto de hacer, puede queno sea reflejado exactamente (por un acto in-tencional o no) en la acción siguiente. Exis-ten, de hecho, varios factores en el trabajoque producen la diferencia entre un bien mo-ral que hay que hacer y lo que finalmente sehace. En esta columna, voy a discutir algunasde las razones de esta brecha. Si bien esto nopodría ser un examen exhaustivo sobre el de-safío de ser bueno, un ejercicio puente entre“el deber” y “el ser” ilustrará lo que necesita-mos para ver el futuro.

La cuestión moral

Para cualquier proyecto (o caso) que en-frentemos en el momento, la formulación deuna cuestión moral puede no ser una tareafácil. Si una situación se ha estado gestandodesde hace algún tiempo, es probable que eltomador de decisiones haya tenido tiempopara pensar en el caso y construir posiblesinterrogantes morales. Si la situación es inmi-nente y no dio ningún aviso previo, es difícil

de resolver “en sus pies” lo que podría seruna respuesta moralmente apropiada. Ade-más, si dos o más personas están involucra-das en el caso, existe la posibilidad de quelos individuos involucrados se transmitan supreocupación en relación con la parte éticadel proyecto general. Sin embargo, a menosque el escenario sea frecuente, simple o fami-liar, uno puede encontrar que las respuestasa, o incluso las interrogantes de la acciónmoral son difíciles de encontrar.

Si hay espacio para la reflexión sobre elaspecto moral del problema en una etapa pos-terior en la secuencia de decisiones, cierta-mente proporcionaría una oportunidad devolver a examinar la cuestión moral a la luzde los progresos realizados hasta el momen-to. Esto ayudará a determinar si el tomadorde decisiones se siente cómodo con la formaen que se identifican y abordan las cuestio-nes morales y si existe algún espacio para elcambio en el planteamiento del problema y/o método para abordarlo.

Para aumentar la dificultad está el hechode que las cuestiones morales (no materiales)no se identifican de forma aislada; ellas soninherentes al problema material y la forma enque se resuelven. Hay buenos argumentos

El desafío de ser “bueno”

Vasant Raval

10

para indicar que la inmediatez y la importan-cia de los problemas materiales de la organi-zación pueden consumir mucho tiempo yconcentración de las personas que participanen la solución del problema, que no tienenrecursos disponibles para explorar la ética dela situación1. Esta falta de atención puede lle-gar a ser aún más grave, como los compo-nentes de un gran proyecto que se transmitena los grupos encargados de resolver sólo laparte del rompecabezas proyecto. La tareamaterial asignada a un sub-equipo es guiadapor las especificaciones detalladas que acom-pañan a la carga. Por el contrario, incluso siel equipo a nivel de proyecto determina lascuestiones morales y cómo deben ser abor-dados, el espíritu de la acción moral puedeno llegar a los niveles más bajos en la imple-mentación del proyecto. Por estas razones, esprobable que los temas no materiales seandejados atrás, mientras que la tarea materialsea cumplida en el afán por ser el primero enel mercado.

En estos días, las batallas legales entre Ubery Airbnb por un lado y los gobiernos por otro,han escalado en diversas materias. Un argu-mento planteado por los reclamantes (gobier-nos) es que los nuevos modelos introducidospor Uber y Airbnb no son compatibles conlas normas existentes. Por ejemplo, Bloom-berg News informó de que las reglas del Ser-vicio de Impuestos Internos (IRS) de EEUU noson claras para la presentación de informesde ganancias mediante plataformas on-de-mand. Como resultado, Bloomberg informa,las empresas no retienen los impuestos sobrelos ingresos que ellas pagan a los proveedo-res de servicios.2 ¿Podrían Airbnb, Etsy y Lyfthaber visualizado el problema en el ecosiste-ma en que se estaban juntando? La respuesta,por supuesto, es que no sabemos. Es proba-ble, sin embargo, que un cierto grado de in-tercambio de ideas podría haber disparadopreguntas, si no respuestas, sobre el poten-cial de la falta de retención de impuestos paralos contratistas independientes. Tal reflexiónpodría haber apuntado a la pregunta de cua-les de las reglas existentes de la IRS son ambi-

guas y para cuáles la compañía necesita bus-car mayor claridad desde la agencia. A la luzde las innovaciones de los habilitadores tec-nológicos, preguntas sin precedentes han sur-gido; como resultado, la esperanza es que lapreocupación de las organizaciones sea pro-activa en la búsqueda de respuestas. Por ejem-plo, el Instituto Americano de ContadoresPúblicos Certificados (AICPA) envió a la IRSuna carta solicitando clarificación sobre la si-tuación de los impuestos de temas relaciona-dos con monedas virtuales (eCurrency3), in-cluyendo reglas para las donaciones en mo-nedas digitales.

Un par de observaciones emergen desdeel conflicto entre las nuevas plataformas emer-gentes tales como Uber y los reguladores. Pri-mero, si la regulación es un indicador de lanecesidad por mantener verdad y armonía enun sistema4, 5, entonces la presencia de regu-laciones en el actual ecosistema podría entre-gar algún entendimiento del legalmente mí-nimo mejor comportamiento. Después de fil-trar que es irrelevante para el nuevo ecosiste-ma, uno podría derivar una línea base de en-tendimiento de porque estas reglas actualmen-te existen y como ellas podrían impactar enla regulación futura de la nueva industria. Se-gundo, ambas modelos Uber y Airbnb dejanel componente de la sensibilidad humana(conductores, anfitriones) ampliamente fuerade sus propios perímetros. Dado que las cues-tiones morales son inherentes a los proble-mas humanos, uno podría haber pensado so-bre los nuevos modelos como aislados des-de, o fuera del alcance de los problemas mo-rales que preocupan a los colaboradores (con-ductores, anfitriones). Pero dado que la res-ponsabilidad por aquellos a quienes enco-miendan servicios presumiblemente descan-sa en la empresa propietaria del modelo denegocio, algún grado de análisis de las actua-les prácticas en el entorno tradicional era ga-rantizado. Una debilidad aquí ha impactadolas reputaciones de Uber y Airbnb.

Dado que no existen respuestas infaliblespara el desarrollo de cuñas entre progreso so-bre los lados materiales y morales, ayudaría

11

tener medidas establecidas para un compor-tamiento responsable. Por ejemplo, un pro-ceso integral donde preguntas morales seanrealizadas, direccionadas y documentadas enconjunto con preguntas materiales, esto ayu-daría a reconocer brechas, si existen, y a di-reccionarlas de manera oportuna.

“Ser ‘bueno’ tiene un aura de positivi-dad por las razones correctas… Pero laacción moral exige costos de todo tipo.”

¿Quién es el responsable?

Una buena interrogante moral debe clara-mente articular el problema y el estado depara quien es el problema. En una preguntageneral sobre la aceptabilidad moral de unparticular curso de acción o tecnológico, noidentificamos necesariamente para quien esel problema6. El lugar de algunos problemaspuede ser un individuo o una familia; paraotros, puede ser una organización; y para otrosincluso, puede ser la sociedad o las agenciadel gobierno. A menudo, un eslabón débil alejercer la responsabilidad recae sobre el res-ponsable7. Por ejemplo, al proteger nuestraprivacidad, tenemos que seguir ciertos pasos.De hecho, todas las seis condiciones asocia-das con la privacidad (aviso, elección, uso,seguridad, corrección y aprobación) incluyenla frase “el individuo tiene el derecho a”; sinembargo, por varias razones, la gente prefie-re hacer caso omiso de lo que tiene que ha-cer. El modo de pensar que domina la mayo-ría también determina el estado general de laintegridad en el ecosistema. Una de las razo-nes que la gente piensa de una manera y secomportan de manera diferente por razoneséticas se llama “conciencia restringida”.

“La ‘inmoralidad de silencio’ impregnaa la sociedad más allá de una medidaque uno puede imaginar.”

El concepto puede explicarse como “la ten-dencia común de excluir información relevan-te de nuestras decisiones mediante la coloca-ción de límites arbitrarios en torno a nuestradefinición de un problema, lo que resulta en

una falla sistémica para ver información im-portante”8. Además, se afirma que las perso-nas también sufren de “condición ética limi-tada” o “restricciones sistemáticas sobre nues-tra moralidad que favorecen nuestro propiointerés”9. Como resultado, surgen deficienciaséticas, las cuales se agravan a nivel de orga-nización. De hecho, las diferencias o brechasen la organización son más que la suma delas diferencias de los distintos miembros de-bido al fenómeno de pensamiento de grupo,que arrastra al grupo hacia la unanimidad einhibe de diálogo abierto sobre cuestiones éti-camente difíciles10.

Puesto que los individuos y sus familiasson responsables de ser “buenos” en sus vi-das privadas, organizaciones (con y sin finesde lucro, así como el gobierno) son responsa-bles de un gobierno responsable. En últimainstancia, que tan bien se abordan las cues-tiones no materiales en las organizacionesdepende en gran medida del clima de la or-ganización. Si el clima esté incitando un com-portamiento adecuado, lo más probable esque se hagan serios intentos proactivos paraidentificar y tratar las cuestiones morales queconllevan las cuestiones materiales.

Los investigadores advierten que debemosprestar atención a lo que no se está hablandodentro de una organización, ya que puedeproporcionar información valiosa acerca delos valores informales11, una poderosa fuerzaen la conformación de la cultura de la empre-sa. Es responsabilidad del líder el establecerel tono en la cima de la organización. Sinembargo, también es necesario para la orga-nización el evaluar continuamente la calidaddel clima. A menos que algunos signos vita-les sean monitoreados regularmente, será di-fícil buscar comodidad en el tratamiento delas cuestiones morales, como y cuando estasse presenten.

Costo de la moralidad

Ser “bueno” tiene un aura de positividadpor las razones correctas. Se hace la vida útily nos permite conservar nuestra paz interior.

12

Se propaga la calma en nuestra mente cons-tantemente agitada y nos hace felices. Pero laacción moral exige costos de todo tipo (esdecir, dinero, energía, pérdida de oportuni-dades). Por ejemplo, un estudiante puede ob-tener una baja puntuación en una prueba porno recurrir a la trampa. Sin embargo, para elprogreso académico del estudiante, sus califi-caciones podrían ser demasiado importantecomo para sacrificarlas. Actuar con honesti-dad podría costar la admisión a un programade postgrado de prestigio.

Sea usted un gerente, un estudiante, undenunciante, un líder o un auditor, no es asíde fácil hacer caso omiso de las posibles con-secuencias de sus acciones voluntarias. Elmiedo al castigo, la amenaza de la pérdidadel trabajo, otras amenazas a la persona o sufamilia, y la turbulencia esperada en la vidade uno, éstos están en juego al considerar unaacción audaz. Sumando y ordenando todocontra de lo que uno podría obtener de esaacción a menudo deja a las personas pocodispuestas a “mover el bote”. La observaciónpasiva de un hecho ilícito desde un costadoes inmoral, pero ¿cuántos saltas y combatencontra el actor de ello? La “inmoralidad desilencio”12 impregna a la sociedad más alláde una medida que uno puede imaginar. Porejemplo, si nadie cuestiona irregularidadesorganizacionales, tales como una invasión dela privacidad, la práctica de violar el derechode los demás a la privacidad podría conver-tirse en la norma.

El anonimato ha demostrado ser una me-dida de protección para alentar a la gente ahablar sobre hechos ilícitos. Si se utiliza elanonimato para preservar las libertades per-sonales, proteger los secretos comerciales omejorar la calidad de las respuestas, necesita-mos sistemas diseñados para asegurar la des-asignación13. La tecnología puede proporcio-nar soluciones, como los sistemas de denun-cia de irregularidades, que ayudan a preser-var la privacidad de los informantes.

La intervención moderada de la tecnolo-gía, si es percibida por el informante prospec-

tivo como segura, puede resultar en la detec-ción y tratamiento de la acción inmoral deforma oportuna y orgánica. Debemos teneren cuenta, sin embargo, que lo que funcionapara proteger el anonimato de manera correc-ta también puede crear problemas en otrosconceptos. Por ejemplo, el anonimato en laseCurrency puede engendrar actos ilegales delavado de dinero. Incluso en ecosistemas queotorgan anonimato, siempre existe el riesgode que alguien rompa el secretismo. El casode los Panamá Papers14 es sólo un ejemplode cómo la tecnología puede revelar los ge-neralmente invisibles malhechores y a sus so-cios.

Convicción en la causa

Los juicios éticos se basan en marcos for-males e informales. Un marco de intuicionis-mo ético (intuitivist) ayuda a uno a identificarlas acciones morales aceptables intuitivamen-te. Un marco de valor dominante identificalas acciones morales apropiadas mediante lageneración de una convicción sobre el valormás dominante entre los valores que compi-ten en un dilema moral15. Independientementedel marco utilizado, la percepción de los di-versos valores es un disparador importantepara la acción moral. Sin una fuerte identifi-cación con un valor, uno podría dejar de verla importancia de una acción que elija paraponer en práctica.

Una serie de ejemplos pueden ser obser-vados aquí: en la política (Martin Luther KingJr. y Rosa Parks), sociología (Candace Lighte-ner y Madres Contra Conductores Ebrios [Mo-thers Against Drunk Driving]), negocios (BlakeMycoskie de Tom’s Shoes), y tecnología (Ju-lian Assange y WikiLeaks, el caso de EdwardSnowden relacionado con la vigilancia y laAgencia de Seguridad Nacional de EstadosUnidos [NSA]). Independientemente de si us-ted cree en su causa, cada uno tenía una fuer-te convicción de que algo estaba mal y la ne-cesidad de corregir la situación. Es por elloque tomaron el riesgo y, tal vez en un granesfuerzo, entregaron su opinión a los demás

13

para hacer que algo suceda. Si bien la con-vicción en la causa es fundamentalmente im-portante para la acción moral, es también ne-cesario que la persona tenga la valentía dehacer lo correcto. Reunir la valentía no es unatarea fácil, debido a que las consecuenciasmundanas de desafiar las irregularidades pue-den ser devastadoras para la vida de uno. Porconsiguiente, la valentía se menciona a me-nudo en paralelo con la causa y la primera(cuando se actúa) a menudo implica un com-portamiento valiente.

La moralidad como una cualidadhumana

Por definición, la moral se refiere a los se-res humanos, no máquinas. Todos los siste-mas son esencialmente una asignación de ta-reas entre personas y máquinas; algunos tie-nen incluso un papel mucho más importantepara los seres humanos que las máquinas, otrosestán dominados por las máquinas. Entre lospapeles que siguen siendo de los seres huma-nos está el papel del agente moral. En estepapel, un profesional de TI no sólo se esfuer-za por comportarse de manera ética, sino quetambién diseña las tareas automatizadas (laparte que corresponde a las máquinas) de unamanera moralmente responsable. Por lo tan-to, el entendimiento de lo que es moral en lasmáquinas es la responsabilidad de los sereshumanos al hacerse cargo de la asignaciónde tareas hombre/máquina. Para ello, la con-sideración de los asuntos no materiales poradelantado es fundamental en la consolida-ción de un comportamiento responsable pre-decible en los sistemas automatizados.

“Desde los automóviles automatizadoshasta los aviones no tripulados (drones),toda una serie de normas de comporta-miento moral está programado en lasmáquinas.”

Curiosamente, el desarrollo en el campode la inteligencia artificial (IA) ha reducido elpapel de los seres humanos en una asocia-ción hombre-máquina en sistemas automati-zados. El disminuido papel del ser humano

en los nuevos sistemas puede parecer peque-ña, pero no es insignificante; es la parte delsistema que aún necesita del juicio humano yopciones impulsadas por valores. Las decisio-nes que el diseñador humano hace en la crea-ción del sistema automatizado tienden a serimplantadas de forma permanente en la vidade la máquina. Las máquinas pueden apren-der a cambiar su comportamiento, pero sólosi el aprendizaje automático ha sido progra-mado adecuadamente. El elemento humanoen el impacto moral en general no puede sersubestimado o ignorado. Desde los automó-viles automatizados hasta los aviones no tri-pulados (drones), toda una serie de normasde comportamiento moral está programadoen las máquinas.

Cualquier error de juicio en la etapa dediseño presagia mayor riesgo de compromi-sos morales. Las cuestiones de comportamien-to ético son fundamentalmente cuestioneshumanas. Ya sea fuera o dentro del perímetrolegal de una empresa, colaboradores huma-nos seguirán participando activamente en elecosistema. En el contexto de ‘automóvil paracontrato’, tal vez esta pregunta vaya a des-aparecer o a cambiar drásticamente cuandoUber despliegue vehículos autónomos. Y paralos drones, las reglas dominan su comporta-miento; hasta que estén diseñados para apren-der, la responsabilidad por la base moral delos drones corresponde a los tecnólogos. Conel tiempo, cuando las máquinas se vuelvancasi autónomas, la ética de la máquina sepodrá extender a lo que los robots puedenaprender.

.

Notas Finales

1 Martin, K. E.; R. E. Freeman; “The Separation of Tech-nology and Ethics in Business Ethics”,Journal of Busi-ness Ethics, vol. 53, 2004, p. 353-364

2 Bloomberg News, “Billions From Airbnb and OthersGo Unreported,” as reported in the Omaha World-Herald, 24 May 2016

3 Saunders, L.; “The Latest Stumbling Block for Bitcoin:How to Tax It,” The Wall Street Journal, 25 June 2016

14

4 Kohlberg’s moral stage development work includescompliance with the laws and regulations as one ofthe stages. See Kohlberg, L.; “Moral Stages and Mora-lization: The Cognitive Development Approach,”December 1975.

5 Kohlberg, L.; The Psychology of Moral Development:The Nature and Validity of Moral Stages, Harper andRow, USA, 1984

6 Van de Poyel, I.; L. Royakkers; “The Ethical Cycle,”Journal of Business Ethics, vol. 71, February 2007, p.1-13

7 Mims, C.; “In Securing Our Data, the Weak Link IsUs,” The Wall Street Journal, 19 January 2016

8 Bazerman, M.; A. Tenbrunsel, “Blind Spots: The Rootsof Unethical Behavior at Work,” Rotman Magazine,Spring 2011, p. 53-57

9 Ibid.10 Ibid.11 Ibid.12 Das, G.; The Difficulty of Being Good: On the Subtle

Art of Dharma, Oxford University Press, UnitedKingdom, 2010, p. 59

13 Poore, R. S.; “Anonymity, Privacy, and Trust,” Infor-mation Systems Security, vol. 8, iss. 3, 21 December2006, p. 16-20

14 Stack, L. et al.; “The Panama Papers: Here’s WhatWe Know,” The New York Times, 4 April 2006,www.nytimes.com/2016/04/05/world/panama-papersexplainer.html?_r=0

15 Op cit, Van de Poyel and Royakkers, p. 6

Vasant Raval, DBA, CISA, ACMA

Es profesor de contabilidad en la Universidad deCreighton (Omaha, Nebraska, USA). Es co autor dedos libros sobre los sistemas de información y segu-ridad, sus áreas de enseñanza e intereses de investi-gación incluyen la seguridad de la información y lagestión empresarial. Las opiniones expresadas en estacolumna son personales y no de la Universidad deCreighton. Él puede ser contactado envraval@creighton.edu

Copyright 2016 ISACA Journal.

15

16

Omnipresentes e invisibles, los algoritmosdeterminan cada vez más nuestro día: quépelículas nos propone Netflix o cuánto noscuesta una reserva de hotel. Gracias a ellosse pueden gestionar cantidades enormes deinformación de manera más eficiente. Perotambién pueden terminar discriminando porcómo han sido desarrollados.

Un ejemplo que da Marta Peirano en Elenemigo conoce el sistema1 es el de DavidDao, un pasajero al que sacaron a rastras deun avión en abril de 2017. Había pasado to-dos los controles de seguridad en el aeropuer-to de Chicago y estaba esperando el despe-gue cuando las azafatas llegaron a echarle.Se negó y los agentes de seguridad termina-ron sacándolo por la fuerza. United Airlineshabía vendido demasiados billetes y sobrabaalguien. Un algoritmo había determinado quefuera Dao y no otro el expulsado. Él no eratan valioso para la aerolínea como un titularde la tarjeta de viajero frecuente. ¿Usaron tam-bién datos socioeconómicos, religiosos o ra-ciales? Se desconoce, porque el algoritmo essecreto.

Hoy las empresas, e incluso los gobiernos,se han dado cuenta que tienen un activo muyimportante dentro de sus bases de datos, la

PPPPPor qué es imporor qué es imporor qué es imporor qué es imporor qué es importante el roltante el roltante el roltante el roltante el rolde ISACA para Ética en elde ISACA para Ética en elde ISACA para Ética en elde ISACA para Ética en elde ISACA para Ética en el

Data ScienceData ScienceData ScienceData ScienceData Science

Diego Vallarino

Data. Esta data permite a las empresas mejo-rar su competitividad. Por su parte, los go-biernos están entendiendo que el potencialde disponer de datos de los ciudadanos facili-ta la posibilidad de mejorar la calidad de vidade las personas, al igual de lo que está pasan-do en las empresas. Ya sea para brindar unconjunto de servicios, como para mejorar eldiseño de las ciudades, la seguridad, entreotras tantas cosas que hacen al derecho hu-mano de las personas.

Para lograr esto, tanto el sector privadocomo el sector público debe comenzar a pro-fundizar más cómo gestiona este activo tandeterminante. En tal sentido, en la última dé-cada la palabra algoritmo, un concepto queexiste desde la época de los babilonios, hacomenzado a tomar grandes dimensiones ennuestro diario vivir. ¿Son los algoritmos real-mente una cadena numérica solamente o in-ciden en el desarrollo ético del comportamien-to humano? ¿Exclusivamente hacen su traba-jo (en el periodismo sería ‘informar’) o inci-den en la conformación de la opinión públi-ca?

A nadie se le escapa la cantidad dealgoritmos que pueblan nuestras vidas. Soningentes. Los encontramos en multitud de si-

17

tuaciones cotidianas. Cantidad de desarrollosalgorítmicos los vemos presentes a diario nosolo en los ordenadores, en nuestros vehícu-los, en electrodomésticos, en los call centers,en la megafonía, en los sistemas de vigilan-cia…

Además, la inteligencia artificial (IA) se estáintroduciendo en un creciente número de ta-reas realizadas hasta la fecha por humanos.En ese nuevo escenario aparece, por ende, elmachine learning donde las máquinas (el soft-ware que incorporan) van aprendiendo de suserrores, capacitándose mejor para próximasintervenciones. Es lo que Sherry Turkle hadefinido como el ‘horizonte robótico’.

Quizás el concepto máquina no sea el ade-cuado para definir a todo ese complejo mun-do de los robots y los cobots (cuando tienenentidad física), pero tenemos los denomina-dos asistentes personales inteligentes. ¿Quiénno conoce a Alexa, Siri o Cortana, por ejem-plo?) o también a los bots sociales y loschatbots (cuando se trata exclusivamente deconcretar paquetes informáticos). Todos ellosalbergan algoritmos que permiten múltiplesfunciones. Incluso la interacción humana através del lenguaje.

Muchos algoritmos se han diseñado bajounas determinadas concepciones éticas… oen ausencia de ellas. Y ello es potencialmen-te peligroso. Estamos frente a un nuevo con-texto de organización donde la sociedad ne-cesita establecer un conjunto de reglas paragestionar la dinámica de esas creaciones y suafectación al comportamiento humano y aldesarrollo social.

Ya se han alzado algunas voces que tratande concretar jurídicamente la existencia delas personas electrónicas (por contraposicióna las físicas y a las jurídicas), de tal maneraque puedan ser dotadas de derechos y debe-res. Ello posibilitaría, por ejemplo, la crea-ción de impuestos y obligaciones tributarias,pero también la obligación de sus creadoresde desarrollar algoritmos ‘con alma’, que res-peten ciertas normas éticas, presentes encada sociedad.

¿Dónde está la línea que separa un buende un mal uso o abuso del poder de los da-tos y los algoritmos?, se pregunta RachelBotsman, madre filosófica de la economíacolaborativa, en su último libro Who can youtrust? How technology brought us togetherand why it might drive us apart2. Y todoesto antes de que saltara el escándaloFacebook por el uso de los datos de sus usua-rios para, supuestamente, influir en campa-ñas políticas.

La ética debe estar implícita en todo elciclo de vida del Big Data.

Empezando por su recolección: por ejem-plo, ¿son válidos los datos oficiales de unapoblación si deliberadamente se ha excluidocierta etnia? Siguiendo por lo más comple-jo, el algoritmo utilizado: ¿Puede una sim-ple traducción automatizada pecar de ma-chista3? ¿Qué validez tendría un juicio apo-yado en la alta probabilidad de volver a de-linquir que apunta el rating criminal de eseindividuo4 [sistema muy utilizado en EstadosUnidos] según unos datos sesgados? Estosejemplos ilustran que es un error pensar que,frente a la subjetividad humana, los datos, elBig Data, son siempre acertados y objetivos.Y no necesariamente. Los datos pueden es-tar sesgados, mal combinados, manipulados o, simplemente, mal interpretados porquese basaron en algoritmos que resultan erró-neos.

Pero vayamos al último eslabón de la ca-dena, el más sutil y poco evidente, el propó-sito de los datos. ¿Cómo califican el uso dedatos personales en redes sociales para influiren campañas políticas? ¿Y cambiar losalgoritmos para influir en las emociones delas personas, como reveló este experimentoque difundió Facebook en 20145?

“Las organizaciones que actúen con éticay transparencia en el uso de los datos ten-drán una valoración positiva de la sociedad.Y al contrario, quienes no se rijan por esosparámetros sufrirán una enorme pérdida ensu reputación”, señala Eva García San Luis,socia responsable de Data & Analytics de

18

KPMG. Y subraya que, “en la era digital, la confianza en una organización no se midesolo por su marca, líderes, valores o emplea-dos. También, y cada vez más, por su formade gobernar y gestionar los datos, losalgoritmos, las máquinas…”.

Un ejemplo de lo que está pasando en elmundo lo puede ejemplificar Francia. En elSenado francés se está debatiendo estos díassi se debe exigir por ley que la Administra-ción explique los algoritmos que utiliza ensus aplicaciones. Miles de estudiantes se que-jan de que la plataforma que gestiona su ad-misión en la enseñanza superior, Parcoursup,ha sido programada con criterios sesgados.Supuestamente, favorece a los estudiantes conmás información y, en definitiva, con más re-cursos. Y, aunque hace dos años que la LeyDigital exige la transparencia algorítmica enFrancia, esta no se da ni por parte del Gobier-no ni de las empresas.

A modo de cierre, en este marco de desa-rrollo de sistemas inteligentes como lo son losalgoritmos de aprendizaje dinámico, los pro-fesionales que son integrantes del capítulouruguayo de ISACA (Systems Audit and Con-trol Association), deben ser conscientes quetienen mucho para aportar en esto de enten-der cómo se desarrollaron esos algoritmos,qué data usan, cuáles son los objetivos quebuscan, y que sesgos tienen implícitamentedentro de los outputs. Esto redundará en unmayor valor para la ciudadanía y para lasempresas en su conjunto. Igualmente, seamosclaros, queda mucho por hacer…

Referencias:

1 El enemigo conoce el sistema.https://www.youtube.com/watch?v=WcP6yqf-3wc.

2 Who can you trust? How technology brought us to-gether and why it might drive us apart.https://www.tendencias.kpmg.es/2018/04/entrevista-director-cnpic-ciberseguridad-infraestructuras-criticas/

3 Google Translate might have a gender problema.https://mashable.com/2017/11/30/google-translate-sexism/#pkhtgfpmksqa

4 There’s software used across the country to predictfuture criminals. And it’s biased against blacks.https://www.propublica.org/article/machine-bias-risk-assessments-in-criminal-sentencing

5 Así manipuló Facebook las emociones de sus usua-rios. https://elpais.com/elpais/2014/06/30/icon/1404123574_764889.html

6 Eva García San Luis, KPMG.https://home.kpmg.com/es/es/home/servicios/advi-sory/risk-consulting/it-advisory/data-analytics.html

Diego Valarino

Es profesor e integrante del comité académico del Pos-grado en Sistemas de Información de la Facultad deCiencias Económicas y de Administración (UdelaR),PhD en Applied Economics/Cliometría de la Univer-sidad Torcuato Di Tella de Argentina. Posee un MScen Data Analytics en la Universidad de Barcelona yes MBA Full Time de la Universidad Adolfo Ibáñezde Chile.Es también Licenciado en Administración de Empre-sas y Contador de la UdelaR de Uruguay. Además,tiene postgrados académicos en las universidades deHarvard, Babson y Wharton en EEUU.Su área de especialización es el Análisis y Diseño demodelos analíticos avanzados enfocados en el ciclode vida del cliente (prospección, originación, reten-ción y collection), bajo una concepción de economíacomportamental de los agentes. Su foco es generarvalor diferencial a los clientes a través de combinar laInnovación con Data Engineering, Advance AnalyticsModeling y Data Reporting.Posee +5 años en responsabilidad de C-Level en em-presas multinacionales, +8 años en Advance DataAnalytics, +18 años de experiencia en el Diseño eImplementación de Nuevos Proyectos con un fuertecomponente de Innovación, Tecnología y AdvanceAnalytics. Ha liderado equipos multidisciplinarios ymulticulturales en Argentina, Bolivia, Chile, Paraguay,y Uruguay con logros destacados.Es profesor invitado “Ética y Data Science” y “DataValue Innovation” en diferentes Escuelas de Nego-cios en América Latita. Es columnista habitual de laRevista Forbes (LatAm, desde 2014). Es autor del li-bro “Innovando desde el Sur: Cómo las empresas deAmérica Latina enfrentan la nueva competencia”(2005). Es consultado habitualmente sobre temas re-lacionados con su profesión en radios y periódicosnacionales y extranjeros.

19

20

Para la implementación de un Sistema deGestión de Seguridad de la Información1, lanorma ISO27001:2013 establece los requisi-tos que debe cumplir una organización parala definición, implementación, revisión ymejora continua de seguridad de la informa-ción. Esto lo que busca es proteger apropia-damente la información frente a amenazasque puedan afectar su Confidencialidad, In-tegridad y/o Disponibilidad. Bajo este con-texto, se entiende por información todo aquelconjunto de datos organizados en poder deuna entidad que posean valor para la misma,independientemente de la forma en que seguarde o transmita (escrita, en imágenes, oral,impresa en papel, almacenada electrónica-mente, proyectada, enviada por correo, fax oe-mail, transmitida en conversaciones, etc.),de su origen (de la propia organización o defuentes externas) o de la fecha de elabora-ción.

Según las últimas estadísticas disponiblesde la International Organization for Standar-dization (ISO) al finalizar el año 2017, 39.501empresas en todo el mundo se habían certifi-cado en la norma ISO27001:20132.

El top 10 de los países con mayor canti-dad de empresas certificadas en ISO 27001

Cinco claves para laCinco claves para laCinco claves para laCinco claves para laCinco claves para laimplementación de su SGSIimplementación de su SGSIimplementación de su SGSIimplementación de su SGSIimplementación de su SGSI

está liderado por Japón, seguido por China yel Reino Unido.

Top 10 - Países certificados en ISO 27001

Posición País Certificaciones

1 Japón 9161

2 China 5069

3 Reino Unido 4503

4 India 3272

5 Estados Unidos 1517

6 Alemania 1339

7 Taiwán 994

8 Italia 958

9 Holanda 913

10 España 803

A nivel mundial, Colombia ocupaba en2017 el lugar 35 (descendió desde la posi-ción 29 que ocupaba en 2016) con 148 em-presas certificadas, siendo el tercer país deLATAM en el ranking general (superado sólopor México y Brasil). La siguiente tabla listael Top 10 de países con empresas certificadasen LATAM:

Carlos Villamizar R.

21

procedente. Luego se debe considerar un en-tendimiento de los requerimientos de seguri-dad y gestión de riesgos particulares de cadaorganización.

3. Definición apropiada del Alcance. Esimportante definir un alcance del SGSI reali-zable. El esfuerzo para implementar el SGSIno es el mismo al definir en su alcance TO-DOS los procesos de la organización, a unalcance que incluya sólo 1 o 2 procesos mi-sionales. En este sentido es mejor iniciar conpocos procesos y paulatinamente ir crecien-do el alcance del SGSI a medida que se logramayor madurez en seguridad de la informa-ción.

4. Los controles no son todo. Es un errorcreer que la implementación de los controlesde seguridad incluidos en el Anexo A de lanorma es “el todo”, sin considerar los elemen-tos clave de un SGSI como, por ejemplo, Ob-jetivos de seguridad de la información, De-claración de aplicabilidad (SOA), métricas eindicadores de seguridad para evaluar el des-empeño, información documentada, procedi-mientos de auditoría interna, no conformida-des, acciones correctivas, etc., y por supues-to concienciar a los recursos humanos de lacompañía mediante diversos medios: afiches,pendones, protectores de pantalla, videos, tri-vias, juegos, obras de teatro, etc.

5. Automatizar el SGSI. Tradicionalmen-te estas iniciativas se ejecutan con el apoyode herramientas de ofimática. Sin lugar a du-das el uso del software GlobalSUITE® Infor-mation Security3 ha sido factor crítico de éxi-to en la obtención de la certificación por par-te de nuestros clientes ya que ha reducido laduración de la consultoría en por lo menosun 25% (especialmente en las actividades deinventario de activos, gestión de riesgos yestablecimiento de métricas e indicadores),ha permitido que el cliente se involucre di-rectamente en el uso de la herramienta con-servando todos los registros y documentos delSGSI en un solo repositorio de información ysobre todo ha permitido dar autosostenibili-dad al SGSI sin dependencia directa hacia el

Top 10 - Países LATAM certificados enISO 27001

Posición País Certificaciones

23 México 315

34 Brasil 170

35 Colombia 148

50 Chile 64

52 Argentina 57

57 Perú 43

64 Uruguay 31

73 Costa Rica 21

83 Jamaica 11

87 Ecuador 8

88 Panamá 8

De acuerdo con la experiencia adquiridaen los últimos 12 años en cientos de proyec-tos de definición e implementación de SGSIsen Latinoamérica y España (algunos de elloscon objetivo final de certificación), hemosidentificado 5 aspectos básicos para la culmi-nación exitosa de estas iniciativas:

1. Compromiso de la alta dirección. Paraque la iniciativa entregue los resultados espe-rados, es requisito necesario el apoyo y laparticipación de la Alta Dirección de la em-presa. Sin su apoyo formal real, es casi impo-sible desarrollar con éxito la iniciativa y de-mostrar el logro de la conformidad en la im-plementación del SGSI. Aquellas iniciativasque provienen desde los sectores operativosy/o tácticos y no cuentan con el respaldo dela Alta Dirección tienen mayor posibilidad defracaso.

2. Cada empresa es un mundo diferente.Cada empresa es un mundo particular, asípertenezcan al mismo sector económico o aun mismo grupo empresarial. Cada una tienesu ambiente de control particular, un apetitode riesgo particular, y riesgos de seguridad dela información distintos. Lo que es bueno parauna empresa, pueda que no lo sea para otra.Copiar tal cual de una empresa a otra NO es

22

equipo de consultoría, ya que lo hemos cons-truido conjuntamente. En este sentido, Glo-balSUITE®4 cubre todo el ciclo PHVA de lanorma ISO27001 y permite la mejora y soste-nibilidad por parte del cliente de su SGSI.

Referencias:

1 Sistema de Gestión de Seguridad de la InformaciónISO 27001https://www.globalsuitesolutions.com/es/seguridad-informacion-iso-27001/

2 Fuente: https://isotc.iso.org/livelink/livelink?func=ll&objId=18808772&objAction=browse&viewType=1

3S oftware GlobalSUITE®https://www.globalsuitesolutions.com/es/seguridad-informacion-iso-27001/

4 GlobalSUITE®https://www.globalsuite.es/es/

Carlos Villamizar R.

Es Ingeniero de Sistemas y Especialista en Auditoríade Sistema de Información por la Universidad Católi-ca de Colombia. Cuenta con las certicaciones CISA,CISM, CGEIT, CRISC, ISO27001 LA e ISO22301 LI.Tiene amplia experiencia como auditor y consultoren Gobierno de TI, Seguridad de la información, Con-tinuidad y/o Aseguramiento de TI en las organizacio-nes. Es Director de Operaciones de GlobalSUITE enColombia.

23

Introducción

En un contexto digital asistido por la des-intermediación, la distribución, la desinfor-mación, la deslocalización y la desinstala-ción, los flujos de información y las platafor-mas tecnológicas operadas por terceros ad-quieren una mayor relevancia y atención, nosólo por los ejecutivos de las empresas, sinopor los adversarios. Este nuevo escenario denegocios, que no es responsabilidad exclusi-va del área de TI, establece nuevas relacionesy retos para crear experiencias novedosas enlos clientes y abrir posibilidades inexistentespara las empresas.

Lo anterior exige crear un “retorno de laexperiencia”, es decir, un nuevo ROI (Retor-no de la inversión) que consiste en mapear elviaje de compra de los clientes, aislar los pun-tos de contacto y los factores que impulsan laexperiencia (Maxwell, 2019), de tal maneraque se puedan crear patrones y condicionesparticulares para todos los participantes, conlo cual la experiencia de compra sea conve-niente, ágil y de valor para el comprador.

Este entorno donde se ha superado el usode los navegadores, por el uso de aplicacio-nes móviles (de ahora en adelante apps), es-tablece un escenario digitalmente denso don-

Pronósticos de seguridad/ciberseguridad 2020

Jeimy J. Cano M.

de la conectividad, los flujos de información,los datos personales y las personalizacioneshacen ahora parte de la cotidianidad del mun-do actual. Sin perjuicio de que algunos esténo no de acuerdo con esa nueva realidad, esclaro que habrá una mayor exposición de lascaracterísticas de las personas y sus gustos,así como el uso de algoritmos especializadospara mantener la atención y potencial de com-pra activado en cada uno de los ciudadanosde internet.

Esta dependencia en aumento de los ter-ceros de confianza, la necesidad de agilidaden el despliegue de soluciones, el uso de lainteligencia artificial para afinar las decisio-nes, la confiabilidad de la información y elingreso de la tecnología 5G como habilitadorde las futuras ciudades digitales, configura unentorno rico en propuestas de negocios y nue-vos vectores de ataques que serán diseñados,para lograr sus objetivos, basados en la eco-nomía del adversario, donde se hacen los mí-nimos esfuerzos para obtener el máximo be-neficio.

De esta manera, se presenta a continua-ción este documento con algunos pronósti-cos de seguridad/ciberseguridad para el año2020, como una excusa académica y reflexión

24

práctica, posiblemente incompleta y limita-da, que trata de explorar y conectar ciertospuntos inconexos en el espacio actual de po-sibilidades, con el fin de motivar reflexionestanto en los profesionales de seguridad/ciber-seguridad, así como en los ejecutivos de lasempresas para visualizar escenarios adversosdonde un agresor puede tomar ventaja y asíestar preparados para cambiar su ecuación deriesgos.

A continuación se presentan las cinco (5)tendencias o pronósticos identificados para uncontexto digital e hiperconectado donde másque probabilidades, se debe pensar en posi-bilidades.

1. Criptominería en IoT

La criptominería es una actividad que seha venido consolidando desde hace algunosaños como una forma de construir base mo-netaria, algunas veces de manera no autori-zada o por debajo de los radares de los regu-ladores financieros. Para ello la capacidad decómputo es un elemento fundamental, dadoque la generación de criptomoneda deman-da dicha capacidad para resolver los retosmatemáticos que implica su producción.

“Los mineros suelen crearse equipos deminería consistentes en múltiples tarjetas grá-ficas unidas a una misma placa base median-te extensores PCIe, y los fabricantes de placasbase han estado aprovechando el boom deEthereum para sacar modelos específicos paraequipos de minería” (Baños, s.f.). Sin perjui-cio de lo anterior, los mineros cada vez másdiversifican sus capacidades de procesamien-to, con el fin de contar con mayores recursosen su reto por alcanzar nuevos registros decriptomonedas.

En este contexto, con una alta densidaddigital cada vez más evidente y mayor conec-tividad de objetivos físicos con característi-cas inteligentes, se advierte una acción pro-clive de los mineros sobre dispositivos de in-ternet de las cosas, que si bien son pequeñosy con limitadas capacidades, es viable cons-truir un grid de computación amplio y den-

so de tal forma que se puedan tener “granjasde minería” en segundo plano trabajando enla generación de criptomonedas nuevas o másmaduras, como apoyo a otras estrategias yaconsolidadas con servidores y equipos decomputación caseros capturados medianteengaños a muchas personas.

Este nueva propuesta criptominera tiene laventaja de poder utilizar capacidad de proce-samiento posiblemente imperceptible para losdueños de los dispositivos, habida cuenta queno se cuenta con una práctica regular de me-dición y seguimiento de las capacidades deestos dispositivos de internet de la cosas,creando un escenario propicio para “robar”procesamiento de bajo perfil de forma no au-torizada.

2. Engaños basados en terceros deconfianza (Cadena de suministro yactualizaciones de firmware)

Con la transformación digital como funda-mento de la propuesta de valor de muchasorganizaciones a nivel global, los terceros deconfianza se convierten en los aliados estra-tégicos de muchas de ellas, como base de laconfiguración y despliegue de soluciones ypropuestas innovadoras para sorprender a susclientes. En este ejercicio, tanto las empresascomo los terceros despliegan productos y ser-vicios digitalmente modificados, que por logeneral se basan en los fundamentos de lasmetodologías ágiles, para lograr el efecto de-seado de forma efectiva y en tiempos de mer-cado.

En este contexto, las empresas delegan yconfían en sus terceros muchos de los aspec-tos de seguridad y control, dejando una bre-cha de monitorización y verificación en elproceso, comoquiera que éstos pueden o noestar certificados y/o cuenten con reportes in-ternacionales que validan sus buenas prácti-cas al interior de sus procesos y productos.No obstante lo anterior, los adversarios sabien-do que la aplicación de los estándares y bue-nas prácticas pueden generar cegueras cogni-tivas y crear una zona de confort para estos

25

actores, configuran nuevos vectores de ata-que que cambian la ecuación de riesgos de laempresa y sus aliados estratégicos aumentan-do la probabilidad de un incidentes no iden-tificado.

Dichos incidentes, generalmente basadosen la confianza y reconocimiento mutuo delos implicados, crea engaños que pueden pa-sar por actualizaciones de microcódigo ensistemas de control industrial, descarga deaplicaciones actualizadas o ajustes en confi-guraciones en puntos críticos de conexiónentre la infraestructura del tercero y la em-presa, de tal forma, que bajo la aparienciade comunicaciones y conexiones confiables(Darkreading, 2019), es posibles crear unevento no deseado que surge por la falta deejercicios de novedad o inestabilidad, quepermita mantener atenta a las partes sobrenuevas tensiones que se crean los posiblesadversarios.

Si bien esta tendencia no es nueva, si esconsistente con los eventos que se han veni-do presentando a lo largo del año y que si nose cambian las prácticas vigentes, continuarádesarrollándose y avanzando en los procesoscada vez más automatizados y menos moni-toreados, particularmente en sectores comoel industrial y manufactura, el de la salud yposiblemente el de tecnología dado el incre-mento de empresas emergentes que buscandesarrollar ecosistemas digitales con aplica-ciones y productos de apropiación rápida yexpansión viral.

3. Uso adversarial de la inteligenciaartificial

La inteligencia artificial como fenómenotecnológico que ha salido de los laboratoriospara convertirse en un producto comercial,da cuenta de una realidad de transformaciónacelerada de cambios y actividades que an-tes tomaban tiempo para realizarse. Este ejer-cicio de automatización e inteligencia basa-da en el poder de los algoritmos que apren-den tanto de manera supervisada como nosupervisada, establece una nueva frontera para

crear apuestas particulares en diferentes cam-pos y dominios de la ciencia.

El uso positivo de las capacidades de lainteligencia artificial pasa por diagnósticosmédicos, sistemas de detección de intrusosavanzadas, propuestas de pronósticos de even-tos en sistemas financieros, entre otras aplica-ciones. No se escapan los teléfonos inteligen-tes, ahora con asistentes basados en este tipode inteligencia, que atienden las dinámicasde las personas, programan citas y recuerdanaspectos propios de la vida personal y profe-sional. Los algoritmos de inteligencia artificialestán en medio de la dinámica de la sociedadactual, los cuales bien utilizados, se convier-ten en poderosas herramientas para avanzary correlacionar eventos de formas novedosas.

Cuando el atacante hace uso de esta mis-ma tecnología y la usa para adelantar sus ac-ciones contrarias, estamos en un campo don-de el incierto, el engaño y la premeditaciónse hacen presentes. Es un ejercicio donde elatacante puede crear contexto de distraccióny acciones evasivas que pueden engañar lasprácticas actuales de los sistemas más avan-zados de detección y análisis. Esto suponeaspectos como malware construido para au-togenerarse y reconfigurarse, código inteli-gente que se reescribe a sí mismo en entor-nos controlados, engaños a otros algoritmosde detección, guerras de información asimé-trica, manipulación de tendencias y merca-dos, entre otras acciones que revelan un cam-po inestable donde no tenemos reglas con-cretas para jugar o desafiar (Li, Zhao, Cai, Yu& Leung, 2018).

Avanzar frente a esta nueva amenaza im-plica desarrollar el concepto de contrainteli-gencia cognitiva, que adaptando la definiciónde Jiménez (2019) sobre contrainteligencia,definimos podemos definir como “el conjun-to de actividades que tiene como finalidadlocalizar, identificar y monitorizar, para neu-tralizar y, en su caso, contrarrestar y reportar,las actividades no autorizadas de los algorit-mos de aprendizaje automático, es decir,aquellas que rompen con las reglas inicial-

26

mente establecidas y materializan los riesgosinherentes al desarrollo y puesta en operaciónde los algoritmos de inteligencia artificial».

4. Compromiso de la integridad de lainformación

De las características de la información quehoy está más expuesta es la integridad. Laconfidencialidad y la disponibilidad, si bienigualmente son relevantes, se hace evidenteen la actualidad revisar dos atributos más pro-puestos por Parker (1998) como son la utili-dad y la posesión, los cuales son convergen-tes con la esencia de la integridad. Bajo estaperspectiva, una información es íntegra si entodo su ciclo de vida no ha sido alterada odeteriorada, y si fuese el caso, se tiene regis-tro y trazabilidad de dicha condición.

La utilidad definida como el “uso de lainformación para un propósito” y la posesión como “la tenencia o titularidad, el control yla capacidad de utilizar la información” (Par-ker, 1998, p.240) se vuelven relevantes a lahora de comprender las tendencias actualesdonde la manipulación de la información seconvierte en un arma estratégica para posi-cionar un producto o servicios, o un vec-tor de ataque que busca confundir, crear unengaño o facilitar el posicionamiento de in-tereses de actores con intenciones poco con-fiables.

Cuando se entiende la degradación o de-terioro de la información como estrategia paralimitar su utilidad y habilitar usos distintos alos inicialmente establecidos, así como moti-var un cambio de titularidad de la misma aun tercero mediante engaños o suplantacio-nes, con el fin de adelantar acciones no auto-rizadas a nombre de un intruso, es posibleadvertir tendencias que afectan la identidad,la veracidad y el control de los imaginariosde las personas en un contexto particular.Cambiar la esencia de la información con fi-nes no conocidos es una realidad que exigemás que controles de acceso para poder pro-tegerla y asegurarla.

Parker (1998) de forma visionaria estable-ció que revelar información sobre un propie-tario de forma inadvertida, en medios abier-tos o sin controles, establece un campo deacción para un adversario donde cualquieruso o utilidad se puede concretar, creandoun escenario de negligencia y gestión que sedevuelve a su dueño. En consecuencia, per-der posesión de la información, no es sólo elacceso a la misma, sino en brindarla a terce-ros de forma no intencional o inadvertida conla cual se crea conocimiento o se construyenuevas versiones de la misma que están másallá de los propósitos iniciales y legítimos quese tenían.

Enfrentar este desafío, implica pasar delcontrol de acceso al control de uso, donde sehace necesario desarrollos los atributos deposesión y utilidad propuestos hace más dedos décadas, con el fin de fortalecer no sola-mente la integridad, sino la confidencialidady la disponibilidad ahora con un propósito yfines superiores y sensibles cuando puede serutilizada y controlada fuera de un espacio decomprensión y conocimiento autorizado.

5. Redes 5G: hiperconectados yultravulnerables

El advenimiento de las ciudades inteligen-tes, la conexión masiva de objetos físicos y lanecesidad de pobladores hiperconectados,configura un escenario de alto flujo de infor-mación, de infraestructuras basadas en terce-ros y agilidad en la transmisión de los datoscon el fin de concretar la visión de una reali-dad aumentada, informada y en tiempo realpara los moradores de esas ciudades. Por tan-to, la aparición de las redes 5G es la respues-ta tecnológica que se requiere para cumplircon la promesa de ese entorno hiperconecta-do, con baja latencia de interacción entre losmóviles, la nube y los objetos, y sobremane-ra, de agilidad y eficiencia en los serviciosdispuestos en estas ciudades.

La redes 5G se configuran como la piezaclave del rompecabezas para potenciar servi-cios y productos en diferentes industrias para

27

potenciar las capacidades y oportunidades delas personas para acceder a espacios de inte-racción inexistentes con vehículos autónomos,cirugías asistidas por brazos mecánicos a dis-tancia, sistemas industriales robotizados, sis-temas de emergencias conectados y masivos,entre otras actividades. De esta forma, estasnuevas redes potenciarán el desarrollo de unaeconomía digital, donde los bienes intangi-bles y el internet de las cosas serán parte na-tural de esta nueva dinámica.

A la fecha cinco son las empresas que es-tán a la vanguardia de esta nueva tecnolo-gía: Nokia, Ericsson, Samsung, Huawei yZTE, la dos últimas representan intereses chi-nos, con lo cual se crean tensiones geopolí-ticas, donde “la posibilidad de que los fabri-cantes chinos introduzcan en sus productosdispositivos que permitan el envío de infor-mación de forma encubierta o que, sencilla-mente, puedan escapar al control del opera-dor de esos equipos poniendo en peligro laseguridad, integridad o confidencialidad delos sistemas” (Moret, 2019) de las empresasy las naciones.

Considerando que la infraestructura de lasredes 5G configura un ecosistema de ecosis-temas, dado que se virtualizan las infraestruc-turas de redes y se transforman en softwarede gestión y transmisión, que disminuyen lalatencia, reducen un 90% el consumo de ener-gía de la red, ofrecen un tasa de datos de hasta10Gbs (Gemalto, 2019), entre otras caracterís-ticas, se funda un escenario emergente de ame-nazas dado las limitadas opciones de seguri-dad y control consideradas en el diseño y de-sarrollo de esta tecnología.

Un reciente estudio del Instituto Brookings(Wheeler & Simpson, 2019) establece cincorazones por las cuales las redes 5G serán másvulnerables a ciberataques que sus predece-soras. Las razones son:

La red se ha alejado de la conmutacióncentralizada basada en hardware y ha pa-sado a un enrutamiento digital distribuidoy definido por software.

Virtualización en software de funciones dered de alto nivel que anteriormente reali-zaban los dispositivos físicos.

Gestión de la red basada en software.

Expansión del ancho banda de forma di-námica.

Conexión de miles de millones de disposi-tivos IoT.

Dado este entorno de software sobre unared distribuida, proclive a los ataques, las or-ganizaciones y naciones deben tomar sus pre-cauciones y acciones concretas para avanzaren una estrategia de protección proactiva enel despliegue de los sistemas socio-técnicossobre este nuevo ecosistema: infraestructura,aplicaciones y servicios. Surge un deber ci-bernético de cuidado de todos lo participan-tes para compartir y asegurar la dinámica deeste entorno que aún está por conocerse ydescubrirse.

Reflexiones finales

Entender estas cinco tendencias revisadaspreviamente es reconocer que es necesariosuperar el enfoque de control y cumplimien-to vigente en las empresas, para movilizar alas organizaciones y naciones hacia estrate-gias accionables que las configuren comocorporaciones y naciones resilientes, dondese privilegian las relaciones con el entorno yla generación de valor para sus clientes y ciu-dadanos (Deloitte, 2018).

La nueva generación de disrupciones tec-nológicas creará nuevos entornos desafiantespara los cuales no se puede estar preparados.Por tanto, es clave que las naciones y empre-sas emprendan con frecuencia un viaje al fu-turo desde las simulaciones y la experimenta-ción, con el fin de exponer las inestabilida-des e inciertos que se pueden presentar conel fin de encontrar patrones y tendencias so-bre las cuales poder trabajar de forma previay aprender de ellas.

Los cinco pronósticos detallados en estebreve reporte son una reflexión limitada de

28

un entorno cada vez más volátil e inestable,que busca comprender posibles vectores deataques y contextos en los cuales los adversa-rios pueden tomar ventaja para incrementarla incertidumbre en las variables de gestiónde riesgo de los analistas organizacionales.

En consecuencia, la invitación es a cons-truir y actualizar de forma permanente el mapade amenazas digitales del entorno actual, so-bre un territorio que cambia de forma diná-mica y muchas veces rizomática creando zo-nas grises y ocultas, propias de las ceguerascognitivas, para tensionar y desconectar aque-llo conocido y así, intentar descubrir los pa-trones y retos de los adversarios.

Referencias

Baños, D. (s.f.). ¿Qué es la criptominería? Revista MuyInteresante. Recuperado de: https://www.muyinteresante.es/tecnologia/articulo/que-es-la-criptomineria

Darkreading (2019). Firmware Vulnerabilities Show Su-pply Chain Risks. Darkreading. Recuperado de: https://www.darkreading.com/vulnerabilities—threats/firmware-vulnerabilities-show-supply-chain-risks/d/d-id/1335313

Deloitte (2018) Auditing the risks of disruptive technolo-gies. Internal Audit in the age of digitalization. Re-port. Recuperado de: https://www2.deloitte.com/content/dam/Deloitte/us/Documents/finance/us-rfa-auditing-the-risks-of-disruptive-technologies.pdf

Gemalto (2019). Red 5G – Características y usos de estatecnología. Recuperado de: https://www.gemalto.com/latam/telecom/inspiracion/5g

Jiménez, F. (2019). Manual de inteligencia y contrainteli-gencia. Sevilla, España. CISDE

Li, P., Zhao, W., Cai, W., Yu, S. & Leung, V. (2018). ASurvey on Security Threats and Defensive Techniquesof Machine Learning: A Data Driven View. IEEE Ac-cess. 6, 12103-12117. Doi: 10.1109/ACCE-SS.2018.2805680

Maxwell, J. (2019). ROX is the new ROI: Prioritizing cus-tomer experience. Strategy+Business. Recuperadode: https://www.strategy-business.com/blog/ROX-Is-the-New-ROI-Prioritizing-Customer-Experience

Moret, V. (2019). El despliegue de las redes 5G, o la geopo-lítica digital. Real Instituto Elcano. Recuperado de: http://www.realinstitutoelcano.org/wps/portal/rielcano_es/contenido?WCM_GLOBAL_ CONTEXT=/elcano/elcano_es/zonas_es/ari31-2019-moret-des-pliegue-de-redes-5g-geopolitica-digital

Parker, D. (1998). Fighting computer crime: a new fra-mework for protecting information. New York, USA:John Wiley & Sons.

Wheeler, T. & Simpson, D. (2019). Why 5G requires newapproaches to cybersecurity. Racing to protect the mostimportant network of the 21st century. Report. Broo-kings Institute. Recuperado de: https://www.brookings.edu/research/why-5g-requires-new-approaches-to-cybersecurity/

Jeimy J. Cano M., Ph.D, CFE

Ingeniero y Magíster en Ingeniería de Sistemas y Com-putación por la Universidad de los Andes, Colom-bia. Especialista en Derecho Disciplinario por la Uni-versidad Externado de Colombia. Ph.D en Adminis-tración de Negocio por Newport University, CA.USA. y Ph.D en Educación (Ed.D) por la UniversidadSanto Tomás, Colombia. Cuenta con más de 20 añosde experiencia como académico, profesional y ejecu-tivo en temas de seguridad de la información, priva-cidad, ciberseguridad, sistemas de información, go-bierno y Auditoría de TI. En 2016 recibió el reconoci-miento como “Cybersecurity Educator of the Year2016” para Latinoamérica por el Cybersecurity Exce-llence Awards. Es examinador certificado de fraude(CFE en inglés). Cuenta con más de 150 publicacio-nes en revistas y eventos internacionales, así comoconferencista invitado a foros y conferencias nacio-nales e internacionales en temas de seguridad y con-trol en Latinoamérica. Profesor Asociado de la Escue-la de Administración de la Universidad del Rosarioen Colombia. Profesor Distinguido de la Facultad deDerecho de la Universidad de los Andes en Colom-bia. Director de la Revista SISTEMAS de la Asocia-ción Colombiana de Ingenieros de Sistemas.http://insecurityit.blogspot.com

29

30

Resumen

El presente artículo describe un proyectode colaboración entre AGESIC y la Universi-dad de Montevideo en el que se abordó me-jorar el proceso de respuesta frente a inciden-tes de ciberseguridad aplicando algoritmos deaprendizaje automático.

En la última década, la informatización delos procesos en el ámbito empresarial, indus-trial y científico, junto con el acelerado creci-miento en el número de usuarios de Internet,producto de avances tecnológicos en los me-dios de acceso y la introducción de nueva ymás veloz infraestructura de telecomunicacio-nes, ha dejado expuestos a los gobiernos delmundo, que se encuentran a merced de lasamenazas del cibercrimen y el espionaje, tan-to por agentes dentro como fuera del Estado.

Una de las principales responsabilidadesde AGESIC, como unidad ejecutora depen-diente de Presidencia de la República, es en-cabezar la estrategia e implementación delGobierno Electrónico de Uruguay y la Socie-dad de la Información y del Conocimiento.

Mejora del proceso de respuestafrente a incidentes de

ciberseguridad aplicandoalgoritmos de aprendizaje

automáticoGastón Rial, Miguel Pérez del Castillo, Rafael Sotelo,

Máximo Gurméndez – Universidad de Montevideo

Para ello cuenta con el CERTuy y el SOC,centros dependientes de AGESIC. El primeroestá conformado por un grupo de expertos enmedidas preventivas y reactivas ante inciden-cias de seguridad en los sistemas informáti-cos, mientras que el segundo se compone deanalistas en seguridad para efectuar un moni-toreo constante de la actividad registrada enREDuy (red de alta velocidad que reúne lainformación de los entes estatales). Entre otrosobjetivos, centralizan y coordinan los proce-sos de respuesta a incidentes que comprome-tan la seguridad de la información.

Se decidió investigar la aplicabilidad y eldesarrollo de herramientas basadas en apren-dizaje automático o Machine Learning (ML,por sus siglas en inglés), el cual consiste en elproceso automatizado de extracción de pa-trones de los datos, para asistir en las laboresde los forenses de las organizaciones men-cionadas. Focalizando el trabajo en los logsde acceso a servidores web que son registra-dos en REDuy, se estudió el comportamientode los usuarios en el tiempo, y, en especial,el desarrollo de modelos predictivos que cla-

31

sifiquen la actividad de estos, de modo de sim-plificar la búsqueda de los denominados APT(Advanced Persistent Threat).

Parte de la motivación del proyecto surgióde la posibilidad de realizar un aporte a laseguridad de la información de la ciudada-nía, la cual se ve amenazada por ataques cadavez más frecuentes y de mayor impacto. La

gráfica que se ve a continuación demuestracómo, con el tiempo, los ataques a sistemasinformáticos van aumentando gracias a quelas herramientas para perpetuarlos se hacenmás comunes y fáciles de utilizar.

Las siguientes páginas resumen el trabajollevado a cabo y los principales resultados al-canzados durante el desarrollo del proyecto.

Ejemplo de Topología de RedUy

Promedio entre conocimiento del intruso y sofisticación del ataque(fuente CMU - CERT)

32

Introducción

Los trabajos del proyecto tuvieron comoprincipal objetivo el estudio de la mejora enel proceso de análisis de logs históricos decomputadoras y redes por parte del equipode respuesta de AGESIC (CERTuy) y centro deoperaciones en seguridad (SOC) frente a inci-dentes aplicando herramientas de aprendiza-je automático. Para lograrlo, se dispuso de undataset (conjunto de datos) representativo delas trazas investigadas por expertos de esteequipo. Siguiendo los lineamientos del mar-co CRISP-DM (Cross Industry Standard Pro-cess for Data Mining, por sus siglas en inglés),este fue sanitizado y preparado para las ta-reas de entrenamiento y evaluación de losmodelos inducidos por medio de diversos al-goritmos de aprendizaje automático.

Las técnicas o tipos de aprendizaje se pue-den clasificar en aprendizaje supervisado, nosupervisado, semi-supervisado y reforzado. Deellas, la investigación se centró en el primergrupo, pues han demostrado ser útiles en ta-reas de clasificación donde el dataset se en-cuentra etiquetado. Para comprender mejorla información con la que se trabajó, se toma-ron muestras de los datos entregados por par-te de CERTuy para ser etiquetadas manual-mente en trazas de actividad normales y anor-males.

El proyecto dio lugar al desarrollo de he-rramientas basadas en aprendizaje automáti-co para asistir en las labores de los forensesde la mencionada organización. Estas operansobre trazas de actividad de usuarios web, lascuales deben ser clasificadas como normaleso anormales (con cierta probabilidad), median-te el uso de un modelo predictivo. Una trazade actividad se define como el conjunto delíneas de logs de acceso a servidores web deREDuy asociadas a un origen (identificado porsu IP) en un intervalo de tiempo dado.

Evaluación de la aplicación de ML

Para determinar el éxito de las herramien-tas desarrolladas, se propuso medir su des-empeño en dos aspectos fundamentales parala labor del forense: volumen de datos aso-ciados al comportamiento sospechoso deusuarios en los servidores web y el tiempoque tarda la herramienta en procesar ciertotamaño de logs. La siguiente tabla (tabla 1.Diagrama de las etapas que comprenden

CRISP-DM

Proceso de aprendizaje supervisado

33

Valores Objetivo), resalta cuáles fueron los in-dicadores que se fijaron para determinar lautilidad de la herramienta.

A partir de encuestas realizadas al equipode CERTuy, se determinó que, ante la even-tualidad de un incidente de seguridad, el tiem-po que tarda un forense experto en analizarlos logs con herramientas de visualización dedatos es aproximadamente 50 fhoras en pro-medio y el tamaño de los logs observado du-rante ese período no supera los 7GB. Toman-do en cuenta que la mayor parte del tiempose invierte en el estudio de logs asociados ala actividad normal de los usuarios y no po-tenciales amenazas, se buscó hacer sus tareasmás rápidas y eficientes por medio de las he-rramientas desarrolladas.

Indicadores de desempeño de losmodelos

Para medir el desempeño del modelo pre-dictivo en el ambiente de producción se utili-zaron tres métricas: Precisión, Recall y F Mea-sure o F1 Score (Ver fórmulas matemáticas acontinuación).

La Precisión se corresponde a la propor-ción de flujos o trazas de actividad etiqueta-dos como sospechosos que efectivamente es-taban vinculados a tráfico anormal respectodel total de trazas clasificadas como tráficosospechoso. Mientras, se denomina Recall ala proporción de flujos o trazas de actividadetiquetada correctamente como anormalesrespecto al total que realmente están vincula-dos a tráfico de este tipo.

Por otra parte, el índice F1 Score es unamedia que combina las anteriores. Es decir,es la media armónica entre Precisión y Reca-ll. A pesar de revestir importancia a la horade evaluar cuan efectivo fue el modelo enpruebas, es utilizado para comparar entre di-ferentes algoritmos cuál se adapta mejor alcaso de uso.

Aparte de estas medias, con la tasa de ver-daderos positivos (TPR) o sensibilidad y la tasade falsos positivos (FPR) o complemento dela especificidad (1-especificidad), se logra cal-cular el índice ROC (Receiver Operating Cha-racteristic) o AUC (área debajo de la curva,por sus siglas en inglés) de la curva ROC. A

Dimensión observada Umbral

Reducción de tamaño Mayor al 25% del total actual

Tiempo de procesamiento Inferior al 10% de lo que tarda un analista

Tabla 1.- Valores Objetivo

Fórmulas de precisión y recall

Fórmulas de F1 Score

34

continuación, se muestra una figura de ejem-plo donde se puede ver que, cuando el índi-ce se mueve más hacia la esquina superiorizquierda, el clasificador es más exacto en suspredicciones. El AUC, que toma un valor en-tre 0 y 1 (incluidos los extremos), es el áreade la curva dentro de este espacio. La línearoja y los puntos sobre ella, como lo es “B”,muestra un clasificador que no es mejor ensu predicción que una elección al azar, puesla tasa de aciertos (o verdaderos positivos)iguala a la de fallos (falsos positivos).

Evaluación de los algoritmos deaprendizaje automático

A continuación, se exhiben los resultadospara 1000, 1500 y 2000 muestras o trazas deactividad usadas para el entrenamiento delmodelo. En el gráfico de barras, se muestranlos resultados del cálculo de área bajo la cur-va (AUC, por sus siglas en inglés)

ROC (Receiver Operating Characteristic) alaplicar cada uno de los algoritmos de apren-dizaje automáticos seleccionados.

Gráfico de barras del AUC para los algoritmosRFC, GNB y KNN

Del análisis anterior, se puede apreciar queel modelo con peor desempeño fue aquelaprendido con RFC (Random Forest Classi-fier), ya que el aumento en el número demuestras no implicó una mejora en su fun-cionamiento.

Por otra parte, el modelo que mejor se ade-cuó a la tarea fue el inducido mediante K-NNponderado (K- Nearest Neighbours). Es posi-ble notar una mejora en el desempeño a me-

Ejemplo de espacio de ROC

35

dida que aumenta en número de ejemplos opuntos de datos usados en el entrenamiento.Este comportamiento era esperable, de acuer-do con la descripción del algoritmo.

Finalmente, Naive Bayes supera a RFC,pero no alcanza los valores de desempeñoque logra K-NN. Además, es posible notar quesu funcionamiento es óptimo al ser entrena-do con 1500 muestras, o algún número entre1000 y 2000 ejemplos. Puesto que la imple-mentación del servicio de clasificación traba-ja por lotes (o batches) de trazas, este valor seelige como cantidad máxima a procesar poriteración.

Arquitectura del sistema declasificación

Los primeros tres meses del proyecto trata-ron con los puntos del cronograma correspon-dientes al marco teórico, la preparación delambiente de desarrollo (dentro y fuera de lasoficinas del CERTuy) y la construcción y pre-sentación de las pruebas de concepto enAGESIC. Una de las tareas necesarias, previaal desarrollo de un sistema es diseñar su ar-quitectura, es decir, cuáles son los compo-nentes dentro del clasificador, sus responsa-bilidades, dependencias e interfaces que es-tos exponen para permitir la interacción en-tre componentes.

En la etapa de diseño, se priorizó que fue-se sencillo modificar el servicio de clasifica-

ción de trazas de actividad. Para ello se orga-nizó el sistema en módulos. Cada módulo rea-liza una tarea específica y es usado y modifi-cado independientemente de los demás. Esaorganización de responsabilidades permitióque corregir o mejorar un módulo, no impli-cara modificar los demás.

Manteniendo la arquitectura modular, pro-ducto de las reuniones mantenidas juntos conlos tutores y el equipo de CERTuy, se elaboróel diseño cuyo funcionamiento se explica enlos siguientes párrafos.

La idea detrás del funcionamiento del cla-sificador es la siguiente, cuando el sistema,con su modelo ya entrenado, es usado parapredecir sobre archivos de log, el módulo co-rrespondiente al controlador/monitor prime-ro invoca al preparador de datos, que los dejaen un formato interpretable por el codifica-dor, agrupando las líneas de logs en trazas deactividad de un mismo usuario para un perío-do de tiempo dado, por ejemplo, un día, enarchivos de texto separados. Esencialmente,el preparador de datos limpia los datos deentrada y forma la denominada AnalyticalBase Table (ABT), es decir, una tabla con cam-pos predeterminados, donde cada fila repre-senta una instancia de datos (en nuestro caso,una traza de actividad) y cada columna unatributo de ellos.

Luego el codificador efectúa una transfor-mación de las instancias de datos por medio

Diagrama de bloques del sistema final

36

de lo que se conoce como “Word em-bedding”. Esta técnica consiste en realizar unmapeo de las palabras de los logs a vectoresde reales mediante el uso de un modelo dellenguaje, el cual, en la implementación delproyecto, fue previamente aprendido con laayuda de la herramienta de Google“Word2vec”. Explotando las relaciones de si-militud entre vectores asociados a palabrasque suceden en un contexto similar, es posi-ble comprimir la información de los logs den-tro de una traza de actividad a un único vec-tor perteneciente a un espacio vectorial en ,el cuál sirve de entrada al modelo predictivo.

Finalmente, el controlador inicializa elmódulo asociado al modelo predictivo. Paraque este prediga sobre la entrada, se cargalos parámetros aprendidos del entrenamien-to supervisado, con trazas previamente eti-quetadas y los hyperparámetros ajustadospor medio de varios experimentos o prue-bas. La salida o predicción separ a las tra-zas cuya probabilidad de estar asociadas aactividad anormal supera una probabilidaddel 50% del resto.

Integración al SIEM

Una vez alcanzados los objetivos inicia-les, como tarea adicional se decidió utilizarel clasificador para contribuir al flujo de tra-bajo del SOC, aportando valor a la gestión deeventos de seguridad. Sus tareas de monito-reo se basan en el uso de un SIEM (sistema degestión de información y eventos de seguri-dad) que centraliza los datos crudos prove-nientes de diversos sensores en REDuy, porejemplo, WAFs, UTMs, proxies y varios dis-positivos de red, y emplea un motor o “pro-cesador de eventos” que usa reglas estáticaspara determinar cuándo puede surgir una ofen-sa o incidente.

Por lo tanto, se optó por construir un clientesyslog, que actúe como fuente de logs o sen-sor adicional. De esta forma, se pretende quela aplicación envíe un mensaje por cada tra-za de actividad, etiquetada por el servicio cla-sificador, como anormal. Este mensaje, que

se encuentra implementado en formato JSON(JavaScript Object Notation), a la vez es iden-tificado por el SIEM como un evento a serprocesado por el CRE (Custom Rules Engine)del “procesador de eventos”, indicándole quegenere la correspondiente ofensa.

Evaluación del servicio declasificación

Asumiendo, que se conoce de antemanola cantidad de falsos positivos, falsos negati-vos, verdaderos positivos y verdaderos nega-tivos (los valores de la matriz de confusión)es posible ser específico en la medición realde este resultado. En base a las pruebas deevaluación, el clasificador se ejecutó con 150trazas (Archivos de logs de 500 MB). Segúnla matriz de confusión, de esas, 120 se clasi-ficaron como verdaderas negativas (trazasclasificadas como normales que efectivamen-te contenían actividad normal). Por tanto, lareducción en volumen de logs normales fuede 80%.

Este valor supera las expectativas del equi-po sobre la reducción de volumen, debido aque por lo menos se debía reducir el 25%. Sedebe tomar en cuenta que estos valores sola-mente aplican al contexto (sensor WAF aso-ciado al log de acceso e intervalo temporal)en el que se entrenó y probó al modelo pre-dictivo.

En cuanto a pruebas realizadas, sin cono-cer la matriz de confusión, sobre el mismovolumen de logs, al medir el tamaño de lasalida anormal (datos destinados al análisisforense) respecto al tamaño total de entrada,se encontró una reducción del 97,5% de tra-zas vinculadas a actividad normal.

Por otra parte, para evaluar el factor tem-poral, se consideró la cantidad de horas quese tarda en procesar un volumen de 1 gigaby-te de logs. Recordando que se tardan 50 ho-ras en trabajar sobre un conjunto de logs de7GB, tomando en cuenta que el volumen delos logs de acceso representa aproximadamen-te el 30% respecto al total de logs registrados

37

por la RedUY, se asume que se tardan 15 ho-ras en detectar 2 GB de logs anormales consi-derando solo los logs de acceso. Por tanto,un analista tardaría 7 horas por gigabyte. Elclasificador demora en procesar 450 MB en15 minutos, por lo que tarda 30 minutos enclasificar 1 gigabyte. Respecto la detecciónpor un analista, esto implica que el tiempo sereduciría en un 92% del total de horas quese tarda en abarcar todos los logs relevantes.

Además de las medidas realizadas en losexperimentos, se llevaron a cabo pruebas decampo con el personal de CERTuy. Ellos res-pondieron a una encuesta de satisfacción dan-do lugar a los siguientes comentarios:

Genéricos: “detecta correctamente la acti-vidad anómala y casos poco frecuentes”,“La herramienta está buena”, “está muy bienque se estructuren los logs en archivos ypermita ver toda la actividad de una IP”,“agregar el atributo de país es muy útil”,

Velocidad:” anda rapidísimo”,” compara-da con otras herramientas anda muy rápi-do”, “anda super rápido”

Todos los entrevistados tuvieron muchointerés en entender cómo funcionaba inter-namente el sistema, principalmente lo rela-

cionado al módulo que emplea el modelo pre-dictivo. También, se interesaron por sabercuáles son los criterios que infiere el algorit-mo, a partir de los datos de entrenamiento, ysi es posible conocer o modificar las varia-bles internas de decisión que utiliza el mode-lo, además de los hiperparámetros.

Conclusiones

La experiencia realizada fue calificadacomo exitosa, tanto por el equipo de la Uni-versidad de Montevideo como por el deAGESIC. Se logró cumplir con los objetivosdel proyecto y aprender cómo se pueden apli-car algoritmos de aprendizaje automático parala resolución de problemas asociados a la ci-berseguridad.

Entre los puntos a destacar, se mencionaque inicialmente, la infraestructura de opera-ciones que se manejaban (previo al comien-zo del proyecto) no se encontraba diseñadapara la integración de servicios adicionales.Por lo tanto, se tuvo que trabajar en conjuntoentre ambas instituciones para configurar elambiente de trabajo in-situ, en Torre Ejecuti-va. Además, de las diversas reuniones mante-nidas con los integrantes de los distintos equi-

Histograma de resultados finales respecto criterios especificados

38

pos, poco a poco se fueron obteniendo privi-legios de acceso a más información que per-mitió mejorar el funcionamiento del clasifi-cador. A modo de ejemplo, originalmente, elsistema trabajaba con las direcciones IP deorigen ofuscadas empleando el digesto de unafunción de hash. Posteriormente, eso cambió,dejando la IP descubierta, y se pudo derivar,mediante el uso de una base de datos local ala herramienta, el país de origen de las peti-ciones. Este campo adicional mejoró la for-ma en la que se efectuó el etiquetado de en-trenamiento y los resultados provistos por elclasificador.

Todavía restan tareas por hacer para que elservicio entregado se encuentre completamenteoperativo, como, por ejemplo, establecer unequipo de trabajo encargado de analizar susalida y el entrenamiento periódico del mode-lo predictivo requerido para mantener nivelesaceptables de precisión a lo largo del tiempo.Por ello, se deja abierta la posibilidad de con-tinuar con el proyecto en un futuro.

Referencias

KELLEHER, John. Fundamentals of machine learning forpredictive data analytics: algorithms, worked exam-ples, and case studies. 1a edición. Cambridge, Mas-sachusetts: MIT Press, 2015. 624p. ISBN: 978-0262029445.

BUCZAK, Anna. A Survey of Data Mining and MachineLearning Methods for Cyber Security Intrusion De-tection. IEEE Communications Surveys & Tutorials. Vol.18 Ent. 2. 2016. 1162-1165p. Disponible en: https://ieeexplore.ieee.org/document/7307098 ISSN: 1553-877X

BERTERO, Christophe. Experience Report: Log Miningusing Natural Language Processing and Applicationto Anomaly Detection. 28th International Symposiumon Software Reliability Engineering (ISSRE). 2017. 351-360p.

SPRING, Jonathan M., et al. Machine Learning in Cyber-security: A Guide. CMU/SEI-2019-TR-005.

TANKARD, Colin. Advanced persistent threats and howto monitor and deter them. Network security, 2011.16-19p. Disponible vía Timbó en : https://www.sciencedirect.com DOI: 10.1016/S1353-4858(11)70086-1

SKOUDIS, Edward. Counter hack reloaded: a step-by-stepguide to computer attacks and effective defenses. Se-cond edition. Stoughton, Massachusetts, EEUU: Pren-tice Hall Press, 2005. ISBN 0-13-148104-5.

Rafael Sotelo

Es Doctor en Ingeniería Telemática por la Universidad deVigo, MBA por el IEEM e Ingeniero Electricista op-ción Telecomunicaciones por la UDELAR. En la Uni-versidad de Montevideo dirige las carreras IngenieríaTelemática e Ingeniería en Informática, así como elDepartamento de Tecnologías de la Información y lasComunicaciones. Integra el Sistema Nacional de In-vestigadores de ANII. Es miembro titular de la Acade-mia Nacional de Ingeniería. Es asesor en el Ministe-rio de Industria, Energía y Minería, referente técnicoen el Centro de Desarrollo de Contenidos y Labora-torio de TV Digital. Es Profesor Adjunto en la Facul-tad de Ingeniería de UDELAR. Fue Gerente de Inge-niería de Canal 10 de Montevideo, donde trabajó en-tre 1991 y 2010. Ha sido consultor de diversas em-presas y organizaciones, entre ellas TCC, GEOCOMy LATU. Es senior member de la IEEE, habiendo parti-cipado en diversos comités y posiciones a nivel na-cional. Tiene numerosas publicaciones en revistas ycongresos científicos. Integra el comité editorial devarias revistas internacionales y el comité de progra-ma de diferentes congresos internacionales.

39