Etiqueta: Tecnologia

El paisatge cibercriminal, fragmentat i multiplicat, segons el nou informe d’Europol

Notes de seguretatDeixa un comentari

Europol acaba de publicar la 10a edició de l’Internet Organized Crime Threat Assessment (IOCTA), un informe que esdevé una avaluació en profunditat dels avenços clau, els canvis i les amenaces emergents en l’àmbit de la  ciberdelinqüència durant el darrer any.

El document destaca les tendències rellevants en àrees delictives com els ciberatacs, l’explotació sexual infantil i els delictes de frau en línia i de sistemes de pagament. També ofereix una visió del que es pot esperar en un futur proper, especialment pel que fa a les noves tecnologies, sistemes de pagament, intel·ligència artificial, criptomonedes i contingut il·lícit en línia.

Les recents operacions policials han fet que els grups de programari de segrest (ransomware) es divideixin i canviïn de marca sota diferents disfresses. A més, les eliminacions contínues de fòrums i mercats al web fosc han escurçat el cicle de vida dels espais criminals. Aquesta inestabilitat, combinada amb l’augment de les estafes existents, ha contribuït a la fragmentació i multiplicació de les amenaces cibernètiques.

El 2023, milions de víctimes a tota la UE van ser atacades i explotades en línia diàriament:

  • Els grups de ransomware es dirigeixen cada cop més a les petites i mitjanes empreses perquè tenen menys ciberdefenses.
  • Els comerços electrònics i les entitats bancàries són els objectius preferits dels atacs digitals.
  • Els usuaris continuen sent víctimes de campanyes de pesca, compromís de correu electrònic empresarial (BEC), inversions i frau romàntic.
  • Augmenta el nombre de casos d’extorsió sexual en línia adreçada a menors vulnerables.

Les tàctiques d’extorsió són cada cop més comunes a tot l’espectre d’amenaces de ciberdelinqüència, ja que les dades robades corren el risc de ser publicades i subhastades, la qual cosa fa que la revictimització sigui una amenaça. Segons sembla, els delinqüents són menors d’edat en molts casos, i alguns han començat a aprofitar la IA, que ja s’està convertint en un component de la seva caixa d’eines. L’ús de criptomonedes en una varietat més àmplia d’àrees criminals també s’ha fet més notable.

El ciberdelicte assistit per IA només ha començat: el material d’abús sexual infantil és una amenaça preocupant que necessitarà un seguiment en profunditat. Les imatges alterades per la IA i completament artificials plantejaran desafiaments creixents per a les investigacions de les forces de l’ordre, no només pel que fa al volum en circulació, sinó també a la capacitat dels investigadors per identificar la veritable identitat de les víctimes i els delinqüents.

L’ús de criptomonedes en diverses àrees de delinqüència s’ha fet més evident. Es preveu que diversos desenvolupaments d’aquest mercat tindran un impacte significatiu en l’abús de les criptomonedes per part dels delinqüents en un futur proper. Els estafadors podrien abusar de l’augment dels fons negociats en borsa relacionats amb aquests actius.

Per fer front a les principals amenaces destacades a l’IOCTA 2024 de manera ràpida i efectiva, les forces de l’ordre necessiten els coneixements, les eines i la legislació adequats. A mesura que els delinqüents s’adapten, les forces de l’ordre i els legisladors també han d’innovar per mantenir-se al capdavant i buscar capitalitzar les tecnologies noves i en desenvolupament. Això, al seu torn, requereix formació per produir les capacitats especialitzades necessàries per investigar delictes cibernètics complexos o tècnicament desafiants, com els que impliquen l’abús de criptomonedes o el web fosc.

Europol està abordant aquests reptes digitals amb la seva estratègia per oferir seguretat en col·laboració. L’agència és a l’avantguarda de la innovació en l’aplicació de la llei i actua com a plataforma de coneixement per oferir solucions policials de la UE en relació amb el xifratge, les criptomonedes i altres qüestions. En fer-ho, Europol amplia la caixa d’eines disponible per als agents que apliquen la llei a Europa i més enllà, i augmenta així les seves capacitats tècniques i forenses. El Centre Europeu de Ciberdelinqüència (EC3) d’Europol és el primer port d’escalada per als investigadors de ciberdelinqüència.

_____

Esta entrada en español / This post in English / Post en français

Europol adverteix de les dificultats de recollir evidències policials davant de tecnologies PET

Notes de seguretatDeixa un comentari

En un document d’investigació publicat recentment, Europol fa sonar totes les alarmes sobre com la tecnologia garant de la privacitat (privacy enhancing technology, PET) utilitzada en el rúter domèstic representa un seriós repte per a la intercepció legal de la informació en el context de les investigacions judicials i d’aplicació de la llei.

El rúter domèstic fa possible que un proveïdor de serveis de telecomunicacions proporcioni un servei a un client quan viatja a l’estranger. Això vol dir que quan aquest client viatja arreu del món, les seves comunicacions (trucades, missatges i dades) encara es processen a través de la seva xarxa domèstica en comptes de la xarxa del país que visita.

En conseqüència, el proveïdor de serveis a l’estranger no pot lliurar dades de comunicació a les forces de l’ordre, a petició judicial, si el servei domèstic prestat ha habilitat el PET al rúter domèstic.

El document aprofundeix en els problemes que crea el rúter domèstic a les forces de l’ordre en l’exercici de les seves funcions, així com el fet que presenti possibles vies per salvaguardar i mantenir la capacitat de les policies per protegir els ciutadans i investigar els delinqüents.

Un cop implementat el rúter domèstic, qualsevol sospitós que utilitzi una targeta SIM estrangera ja no es podrà interceptar. Aquest problema es produeix tant quan un estranger utilitza la seva pròpia targeta SIM (estrangera) en un altre país, com quan els ciutadans o residents utilitzen una targeta SIM estrangera al seu propi país. L’única excepció actual d’això és quan un proveïdor de serveis nacionals (a qui es poden enviar ordres d’intercepció domèstica) té establert un acord de col·laboració que desactiva el PET en el rúter domèstic amb el proveïdor de serveis d’un altre país.

Els delinqüents saben d’aquesta llacuna i n’han estat abusant per evadir l’aplicació de la llei. Això crea un equilibri desigual entre els actors maliciosos i les forces de l’ordre, les capacitats de les quals en aquest moment no els permeten dur a terme els deures que la societat els ha encomanat.

En el cas del rúter domèstic, no es pot fer complir una ordre nacional d’intercepció a través de les fronteres. En canvi, es pot emetre una ordre d’investigació europea, tot i que la resposta pot trigar fins a 120 dies, període que esdevé massa llarg quan es necessita una intercepció d’emergència. A més, no és desitjable dependre de la cooperació voluntària d’un proveïdor de serveis estranger per a l’exercici de poders d’investigació nacionals.

Amb aquest document de posició, Europol vol obrir el debat sobre aquesta qüestió tècnica, que actualment dificulta greument la capacitat de les forces de l’ordre per accedir a proves crucials.

S’ha de trobar una solució que permeti a les autoritats d’un país interceptar legalment les comunicacions d’un sospitós dins del seu territori, sense impedir les comunicacions segures de manera desproporcionada.

El document ofereix elements clau que s’han de considerar com a part de la resposta de la societat, tenint en compte els aspectes operatius, tècnics, de privadesa i de política.

Aquest document forma part d’una sèrie de publicacions d’Europol que són fonamentals per anticipar les innovacions tecnològiques i les modificacions resultants en el panorama de la seguretat.

_____
Esta entrada en español / This post in English / Post en français

El Consell Europeu dona llum verda a les primeres normes mundials sobre intel·ligència artificial

Notes de seguretatDeixa un comentari

El Consell Europeu ha aprovat una normativa innovadora sobre intel·ligència artificial amb l’objectiu d’harmonitzar-ne totes les reglamentacions. La legislació insígnia segueix un enfocament basat en el risc, cosa que significa que, com més gran és el risc de causar danys a la societat, més estrictes són les regles.

La normativa és la primera d’aquest tipus al món i pot establir un estàndard global per a la regulació de la IA. Té com a finalitat fomentar el desenvolupament i l’adopció de sistemes d’IA segurs i fiables al mercat únic de la UE per part tant dels actors públics com dels privats.

Alhora, pretén garantir el respecte dels drets fonamentals dels ciutadans de la Unió i estimular la inversió i la innovació en intel·ligència artificial a Europa. La normativa d’IA només s’aplica a àmbits dintre de la legislació de la UE i ofereix exempcions, com ara els sistemes utilitzats exclusivament per a l’exèrcit i la defensa, així com amb finalitats de recerca.

L’adopció de la reglamentació d’IA és una fita important per a la Unió Europea, ja que aborda un repte tecnològic global que també crea oportunitats per a les nostres societats i economies. Així Europa posa èmfasi en la importància de la confiança, la transparència i la responsabilitat a l’hora de tractar les noves tecnologies i, al mateix temps, assegura que aquesta tecnologia, en canvi, pot prosperar ràpidament i impulsar la innovació europea.

La nova normativa classifica diferents tipus d’intel·ligència artificial segons el risc. Els sistemes d’IA que presenten només un risc limitat estarien subjectes a obligacions de transparència molt lleugeres, mentre que els sistemes d’alt risc estarien autoritzats, però subjectes a un conjunt de requisits i obligacions per accedir al mercat de la UE. Els sistemes d’IA sobre la manipulació cognitiva del comportament o sobre la puntuació social, per exemple, seran prohibits a la UE perquè el seu risc es considera inacceptable. La reglamentació també prohibeix l’ús de la IA per a la policia predictiva basada en l’elaboració de perfils i sistemes que utilitzen dades biomètriques per categoritzar les persones segons categories específiques com ara la raça, la religió o l’orientació sexual.

Per garantir una execució correcta de la normativa, es constitueixen diversos òrgans de govern:

• Una oficina d’IA a la Comissió per fer complir les normes comunes a tota la UE.

• Un pànel científic d’experts independents per donar suport a les activitats d’aplicació.

• Un consell d’IA amb representants dels estats membres per assessorar i ajudar la Comissió i els estats membres en l’aplicació coherent i eficaç de la llei d’IA.

• Un fòrum d’assessorament per a les parts interessades per oferir coneixements tècnics al Consell d’IA i a la Comissió.

Abans que algunes entitats que presten serveis públics implementin un sistema d’IA d’alt risc, caldrà avaluar l’impacte dels drets fonamentals. El reglament també preveu una transparència més gran pel que fa al desenvolupament i l’ús de sistemes d’IA d’alt risc. Els sistemes d’IA d’alt risc, així com determinats usuaris d’un d’aquests sistemes que són entitats públiques, hauran d’estar registrats a la base de dades de la UE per a aquest tipus de sistemes, i els usuaris d’un òrgan de reconeixement d’emocions hauran d’informar les persones quan estiguin exposades a aquest sistema.

_____

Esta entrada en español / This post in English / Post en français

La Unió Europea identifica les principals prioritats en política digital

Notes de seguretatDeixa un comentari

La transformació digital ha demostrat que és un profund canvi en la vida dels ciutadans i les empreses de la Unió. En identificar les principals prioritats de la política digital de la UE que es desenvoluparan en el proper cicle legislatiu, les conclusions del Consell pretenen abordar tant els reptes com les oportunitats de l’esfera digital.

Abstract Earth view from space with fiber optic cables rising from major cities. (World Map Courtesy of NASA: https://visibleearth.nasa.gov/view.php?id=55167)

Les noves tecnologies han impulsat la innovació, el creixement econòmic i la sostenibilitat. No obstant, una transformació digital reeixida s’ha de basar en un enfocament segur, inclusiu, sostenible i centrat en l’ésser humà, que defensa la democràcia i els drets humans. Els drets digitals són fonamentals per a tothom. Cal garantir que ningú es quedi enrere i oferir a tots els europeus l’oportunitat de desenvolupar habilitats digitals essencials i participar activament en l’àmbit del món en línia.

Per millorar la competitivitat de la UE a l’escenari global, caldria fomentar un enfocament europeu comú de les tecnologies digitals innovadores que assoleixin l’equilibri adequat entre la innovació, la càrrega normativa i la protecció de la seguretat econòmica de la Unió. Per assolir aquests objectius, s’han d’establir objectius ambiciosos per al futur pel que fa a les competències digitals, el govern digital i la infraestructura segura i digital a tot Europa.

En les seves conclusions, el Consell subratlla que una aplicació efectiva, coherent i eficient de les lleis recentment aprovades amb la mínima càrrega administrativa per als actors públics i privats és la principal prioritat per al proper mandat.

L’enfocament europeu comú de les tecnologies digitals innovadores és d’una importància clau per a la competitivitat de la UE i per garantir la protecció de la seguretat econòmica de la Unió, alhora que es mantenen l’obertura i el dinamisme econòmics.

Els estats membres reconeixen la importància de garantir un entorn en línia més segur, responsable i fiable d’acord amb la Declaració de Lovaina, aprovada durant la reunió informal de ministres de telecomunicacions el 12 d’abril de 2024.

Els estats membres també subratllen que aquesta transformació digital hauria d’anar de la mà de la transició verda, acompanyada d’objectius ambiciosos de sostenibilitat.

El reforç de la competitivitat de la UE en la transformació digital requereix atraure i retenir una mà d’obra qualificada digitalment, en particular dones, i superar d’aquesta manera la bretxa digital.

A les conclusions del Consell se subratlla la importància de garantir una infraestructura digital segura i resilient a tota la UE. També s’hi subratlla la importància de la dimensió internacional de la política digital de la UE, que acull amb satisfacció l’enfortiment de les associacions digitals i els acords comercials digitals i insisteix en la necessitat de desenvolupar un enfocament de la Unió més proactiu i coordinat per jugar un paper clau a nivell mundial en la transformació i el govern digitals.

_____

Esta entrada en español / This post in English / Post en français

Els ciberdelinqüents poden accedir a les empremtes digitals dels navegadors

Notes de seguretatDeixa un comentari

L’empremta digital del navegador és una de les moltes tàctiques que utilitzen els delinqüents, en el phishing, per eludir les comprovacions de seguretat i allargar així, la utilitat de les campanyes d’atac malicioses.

Tot i que les organitzacions han utilitzat de manera legítima l’empremta dactilar del navegador per identificar de manera única els navegadors web durant els darrers 15 anys, ara també l’exploten habitualment els ciberdelinqüents: un estudi recent mostra que un de cada quatre actors de phishing utilitza alguna forma d’aquesta tècnica.

El director d’Intel·ligència Operacional de Fortra’s PhishLabs, Kevin Cryan, explica en l’estudi que l’empremta dactilar del navegador utilitza una varietat de comprovacions del costat del client per establir identitats del navegador, que després es poden utilitzar per detectar robots o altres visites a webs no desitjats. En aquest context, es poden recollir nombroses dades com a part de la presa d’empremtes dactilars, com ara el fus horari, la configuració d’idioma, l’adreça IP, la configuració de galetes, la resolució de la pantalla, la privadesa del navegador o la cadena d’agent d’usuari.

Molts proveïdors utilitzen legítimament l’empremta digital del navegador per detectar que els robots fan un ús indegut dels seus serveis i altres activitats sospitoses, però els autors de llocs de phishing també s’han adonat dels seus avantatges i estan utilitzant la tècnica per evitar sistemes automatitzats que puguin marcar el seu lloc web com a phishing. Mitjançant la implementació dels seus propis controls d’empremtes dactilars del navegador que carrega el contingut del seu lloc, els ciberdelinqüents poden ocultar el contingut del phishing en temps real.

Per exemple, Fortra ha observat que els malfactors utilitzen l’empremta digital del navegador per evitar el procés de revisió d’anuncis de Google. Com que el procés de revisió de Google és semiautomatitzat, la implementació de les comprovacions d’empremtes dactilars del navegador va permetre als delinqüents identificar quan el servidor estava veient les destinacions dels seus anuncis en comparació amb un usuari normal. Si l’actor de l’amenaça sospitava d’una activitat de Google, es mostrava contingut benigne. Això va provocar que els informes de phishing fossin rebutjats per Google perquè no es podia detectar contingut maliciós.

La manera en què Cloudflare lluita contra els bots serveix d’exemple d’un proveïdor legítim que utilitza tècniques d’empremtes dactilars del navegador per identificar i bloquejar robots. Cada vegada que un lloc web es carrega amb el mode de lluita contra bots, s’executa un JavaScript que envia els resultats a Cloudflare. Depenent dels resultats, es presentarà un captcha o es bloquejarà.

Si el JavaScript es descodifica, els equips de seguretat veuran que algú està investigant, i poden inferir, a partir de les cadenes que es mostren, que està sol·licitant nombroses propietats del navegador i realitzant proves per veure els resultats.

Un cop finalitzat el JavaScript, genera una empremta digital i envia tota la informació al lloc de phishing on els resultats són analitzats pel servidor. Depenent del que determini, es mostrarà contingut benigne o maliciós.

Aquesta empremta digital conté totes les propietats del navegador, inclosa informació sobre les dimensions de la pantalla, el sistema operatiu, el maquinari de la GPU, la zona horària i molts altres punts de dades. Tota aquesta informació combinada pot fer que sigui molt fàcil determinar si el navegador és real o un emulador.

En el passat, els ciberdelinqüents podien evitar fàcilment la detecció aprofitant un servidor intermedi i canviant el seu UserAgent. Tanmateix, l’empremta digital del navegador és molt eficaç per identificar aquests sistemes automatitzats: fa possible que els autors modifiqiom el contingut del seu lloc en funció dels resultats. Entendre les propietats del navegador que estan recopilant els delinqüents amb la presa d’empremtes digitals és fonamental per als equips de seguretat per evitar sospites.

_____

Esta entrada en español / This post in English / Post en français

Preocupació als EUA pels avenços en tecnologia de reconeixement facial

Notes de seguretatDeixa un comentari

Alguns usos de la tecnologia de reconeixement facial plantegen preocupacions importants que mereixerien una resposta ràpida del govern, segons expressa un nou informe de les Acadèmies Nacionals de Ciències, Enginyeria i Medicina. El document recomana tenir en compte la legislació federal i una ordre executiva, així com l’atenció dels tribunals, el sector privat, les associacions de la societat civil i altres organitzacions que treballen amb la tecnologia de reconeixement facial, i ofereix orientació per al desenvolupament i el desplegament responsable de la tecnologia.

Una eina potent i cada cop més utilitzada, la tecnologia de reconeixement facial és útil per a una àmplia gamma d’aplicacions de verificació i d’identificació, i ofereix capacitats per comprovar si algú és qui diu ser i identificar una persona en una imatge. Els sistemes utilitzen models d’intel·ligència artificial entrenats per extreure característiques facials i crear una plantilla biomètrica a partir d’una imatge, i comparar les característiques de la plantilla amb les característiques d’una altra imatge o conjunt d’imatges per produir una puntuació de semblança. Segons l’informe, la precisió i la velocitat d’aquests sistemes han avançat molt ràpidament en l’última dècada amb l’adopció de l’aprenentatge automàtic.

Amb poques excepcions, els Estats Units no disposen actualment de directrius, regulacions o lleis autoritzades per abordar adequadament els problemes relacionats amb l’ús de la tecnologia de reconeixement facial, segons detalla l’informe. També assenyala que la tecnologia de reconeixement facial pot interferir i afectar substancialment els valors plasmats en la privadesa, les llibertats civils i els compromisos amb els drets humans dels EUA, encara que no vulneri necessàriament els drets i les obligacions inclosos en els estatuts o les disposicions constitucionals.

Segons la rectora de la Universitat de Wisconsin-Madison Jennifer Mnookin, la tecnologia de reconeixement facial genera reptes legals nous i complexos i planteja una varietat de qüestions legals diferents i no resoltes. També planteja qüestions socials complicades sobre la privadesa i la vigilància pública i privada, ateses les implicacions tan personals de la tecnologia.

És crucial que els governs abordin aquestes qüestions i en facin una prioritat: el fet de no adoptar polítiques i regulacions sobre el desenvolupament i l’ús de la tecnologia de reconeixement facial cediria de manera efectiva la presa de decisions i l’elaboració de normes sobre aquestes qüestions importants de gran preocupació pública totalment al sector privat i al mercat.

La tecnologia de reconeixement facial s’ha incorporat cada vegada més a la vida quotidiana, amb un ampli espectre d’usos, segons descriu l’informe. Alguns d’aquests usos són innocus, com ara permetre que les persones desbloquegin els seus telèfons intel·ligents. Però quan s’aplica de manera àmplia i sense garanties, la tecnologia pot permetre als règims repressius crear registres detallats dels moviments i activitats de les persones i bloquejar la participació dels ciutadans a la vida pública. Molts usos potencials es troben en un punt intermedi, creant una gran àrea grisa on les avaluacions individuals de riscos, beneficis, compensacions i valors poden variar, i afectar així com s’han de regular o si s’han de permetre. L’informe reconeix el valor de la tecnologia de reconeixement facial i no advoca per una prohibició general, però afirma que una sèrie d’usos pot causar prou preocupació per prohibir-los.

L’estudi descriu que hi ha dues categories principals de preocupacions en el reconeixement facial, tot i que es podrien solapar. Una són els danys potencials per l’ús problemàtic o el mal ús de la tecnologia, que es fan més destacats a mesura que la tecnologia es fa més precisa i capaç. La segona són els danys potencials per errors o limitacions de la tecnologia en si, com ara quan els sistemes tenen diferents taxes de falsos positius o falsos negatius per a diferents grups demogràfics.

_____

Esta entrada en español / This post in English / Post en français

Acord europeu en favor de la ciberseguretat

Notes de seguretatDeixa un comentari

Per intentar una millora de la resiliència cibernètica de la Unió Europea, permetent l’adopció futura d’esquemes de certificació europeus per als anomenats serveis de seguretat gestionats, els representants dels estats membres (Coreper) van assolir una posició comuna sobre la proposta de modificació específica de la normativa sobre ciberseguretat (CSA) de la UE de 2019.

Els serveis de seguretat gestionats, prestats als clients per empreses especialitzades, són crucials per a la prevenció, detecció, resposta i recuperació dels incidents de ciberseguretat. Poden consistir, per exemple, en la detecció o la resposta a incidències, les anomenades proves de penetració o les auditories de seguretat, o la consultoria.

Presentada juntament amb una proposta d’acte de cibersolidaritat de la Unió per reforçar les capacitats de ciberseguretat a la UE, l’esmena dirigida a la CSA pretén incloure els esquemes europeus de certificació de ciberseguretat per als serveis de seguretat gestionats en l’àmbit d’aplicació del reglament CSA de 2019.

Per tant, aquesta modificació permetrà establir esquemes europeus de certificació per a aquests serveis. Ajudarà a augmentar la seva qualitat i comparabilitat, a afavorir l’aparició de proveïdors de serveis de ciberseguretat de confiança i evitar la fragmentació del mercat interior atès que alguns estats membres ja han iniciat l’adopció d’esquemes nacionals de certificació de serveis de seguretat gestionats.

La posició del Consell conté les esmenes principals següents a la proposta de la Comissió:

• Aclareix la definició de serveis de seguretat gestionats i l’alineació amb la directiva revisada de sistemes d’informació de xarxa (NIS 2).

• El text alinea els objectius de seguretat d’aquests esquemes de certificació amb els objectius de seguretat d’altres esquemes d’acord amb l’actual Llei de ciberseguretat.

• El text inclou modificacions a l’annex de la Llei de ciberseguretat, que conté una llista de requisits que han de complir els organismes d’avaluació de la conformitat.

• S’han introduït una sèrie de modificacions tècniques i de redacció per garantir que totes les disposicions rellevants de la normativa CSA vigent s’apliquen també als serveis de seguretat gestionats.

La Llei de ciberseguretat, aprovada el 2019, va establir el primer marc de certificació de ciberseguretat per a tots els estats membres. La certificació de ciberseguretat és voluntària, llevat que la legislació de la Unió o dels estats membres n’especifiqui el contrari.

La proposta de la Comissió, aprovada el 18 d’abril del 2023, té com a objectiu una modificació específica de l’àmbit d’aplicació de l’acta de ciberseguretat, que permetria a la Comissió adoptar actes d’execució sobre esquemes europeus de certificació de ciberseguretat per als serveis de seguretat gestionats, a més de la informació i la tecnologia, productes (TIC), serveis TIC i processos TIC, que estan coberts per l’actual Llei de ciberseguretat.

Com a informació complementària per a aquest acord, s’annexen els documents previs:

Reglament que modifica la CSA pel que fa als serveis de seguretat gestionats, mandat de negociació del Consell, 15 de novembre de 2023

Modificació específica del CSA (CSA+), proposta de la Comissió, 18 d’abril de 2023

Informació general de la Comissió, 18 d’abril de 2023

Directiva revisada de xarxes i sistemes d’informació (NIS 2), 27 de desembre de 2022

_____

Esta entrada en español / This post in English / Post en français

Els robotaxis: implicacions en la seguretat de la seva expansió

Notes de seguretatDeixa un comentari

Els robotaxis no són vehicles de prova experimentals, i això ja no és un simulacre. Molts dels cotxes fantasmals sense conductor de San Francisco són robotaxis comercials, que competeixen directament amb els taxis, Uber i Lyft, així com amb el transport públic. Són una part real, encara que marginal, del sistema de transport de la ciutat. I les empreses que els operen, Cruise i Waymo, semblen disposades a continuar ampliant els seus serveis a San Francisco, Austin, Phoenix i potser fins i tot a Los Angeles en els propers mesos.

Tal com va denunciar l’investigador Benjamin Schneider a la pàgina web Technology review el mes de juliol passat, hi ha una manca d’urgència en el discurs públic sobre els robotaxis. Considera que la majoria de la gent, inclosos molts decisors públics, no són conscients de la rapidesa amb què avança aquesta indústria ni de la gravetat que poden comportar els impactes laborals i de transport o seguretat a curt termini.

Agències designades com la Comissió d’Utilitats Públiques de Califòrnia prenen decisions molt importants sobre els robotaxis amb relativa foscor. Els marcs legals segueixen sent lamentablement inadequats: les ciutats no tenen autoritat reguladora sobre els robotaxis que recorren els seus carrers, i la policia no els pot denunciar legalment per infraccions relacionades amb el seu moviment.

Malauradament, no hi ha cap marc estàndard aprovat pel govern per avaluar la seguretat dels vehicles autònoms. Els vehicles sense conductor de Cruise, en particular, han mostrat una tendència alarmant a aturar-se inexplicablement al mig de la carretera, bloquejant el trànsit durant períodes prolongats de temps. Els funcionaris policials de San Francisco han documentat almenys 92 incidents d’aquest tipus en només sis mesos, inclosos tres que van interrompre els serveis d’emergències.

Aquestes històries crítiques, encara que importants, enfosqueixen la tendència general que s’ha anat creant constantment a favor de la indústria del robotaxi. Durant els darrers anys, Cruise i Waymo han eliminat diversos obstacles reguladors importants, s’han expandit cap a nous mercats i han acumulat més d’un milió de milles en funcionament relativament sense ensurts importants, realment sense conductor a cadascuna de les principals ciutats nord-americanes.

Els robotaxis són operacionalment força diferents dels vehicles autònoms de propietat personal i es troben en una posició molt més bona per al desplegament comercial. Es poden alliberar dins d’una àrea estrictament limitada, el seu ús pot ser controlat de prop per l’empresa que els ha dissenyat i es poden treure immediatament de la carretera en cas de mal temps o si hi ha un altre problema greu.

El sol fet que aquests vehicles estiguin programats per seguir les lleis de trànsit i el límit de velocitat automàticament els fa semblar conductors més segurs que un gran percentatge d’humans a la carretera.

Caldrà veure si els robotaxis estan preparats per al desplegament a una escala significativa, o fins i tot quina seria la mètrica per determinar la preparació. Però llevat d’un canvi significatiu en l’impuls, com un xoc econòmic o una tragèdia horrible, els robotaxis estan posicionats per continuar la seva expansió. Això és suficient per garantir una discussió més àmplia sobre com canviaran les ciutats i la societat en un futur immediat.

Cruise i Waymo estan a prop de ser autoritzats per oferir un servei de robotaxi comercial durant tot el dia a pràcticament tot San Francisco. Això podria tenir immediatament un impacte econòmic considerable en els taxistes i els conductors de la ciutat. El mateix passa amb totes les altres ciutats on Cruise i Waymo s’instal·len. La perspectiva d’automatitzar els conductors professionals ja no és teòrica. És una possibilitat molt real en un futur proper.

A mesura que la tecnologia s’accelera, les polítiques públiques s’han d’accelerar juntament amb ella. Però per mantenir-se al dia, el ciutadà ha de tenir una visió clara de la rapidesa amb què podria arribar el futur.

_____

Esta entrada en español / This post in English / Post en français

Augmenten als Estats Units els centres de control amb videovigilància

Notes de seguretatDeixa un comentari

Les ciutats dels Estats Units han anat establint els anomenats “centres de control a distància”, amb les sigles en anglès RTCC (Remote Tap Changer Control Panel), que, segons la policia, protegeixen els drets de les persones innocents, però, per contra, els crítics amb aquest sistema adverteixen dels excessos d’aquest tipus de vigilància.

El mes de juny passat va aparèixer publicat a la pàgina web wired.com un reportatge signat per l’investigador Zac Larkham, que explicava que a la dècada de 1990, Londres va construir l’anomenat “anell d’acer” amb una xarxa de barreres de formigó, punts de control i milers de càmeres de vídeo que envoltaven la ciutat, a causa dels bombardejos de l’exèrcit republicà irlandès. La idea era controlar tothom que entrava i sortia de la milla quadrada, el que es va acabar anomenant “urbanisme fortalesa”.

Després dels atemptats de l’11 de setembre de 2001, els urbanistes que buscaven defensar Nova York del terrorisme van recórrer a l’experiència de Londres i a l’urbanisme de la fortalesa per inspirar-se. Els anomenats “centres de fusió”, on les policies nord-americanes comparteixen intel·ligència a nivell federal per analitzar-la i construir una imatge més àmplia de la delinqüència, feia uns quants anys que existien. Però els funcionaris van començar a preguntar-se què passaria si poguessin fer localitzacions geogràfiques des d’aquests centres de fusió, què passaria si les forces de l’ordre locals poguessin analitzar i reunir dades d’intel·ligència d’una ciutat.

El 2005 van respondre amb l’anomenat “primer centre de delinqüència en temps real”, una xarxa extensa de CCTV i lectors automàtics de matrícules (ALPR) connectat a un nucli central a la seu del Departament de Policia de Nova York, que va costar més d’onze milions de dòlars. Des de llavors, des de Miami fins a Seattle, els RTCC s’han anat expandint per tots els Estats Units. L’Atles de vigilància, un projecte de l’entitat sense ànim de lucre de drets digitals Electronic Frontier Foundation (EFF), que supervisa la tecnologia de vigilància policial, ha comptabilitzat 123 RTCC a tot el país, i aquest nombre va en augment.

Cada RTCC és lleugerament diferent, però la seva funció és la mateixa: recopilar dades de vigilància a tota una ciutat i utilitzar-les per crear una imatge en directe del crim a la ciutat. Els departaments de policia tenen a la seva disposició una gran varietat de tecnologies que van des de CCTV, sensors de trets i monitorització de xarxes socials fins a drons i càmeres corporals. En molts casos, les imatges que recullen els sistemes policials s’executen mitjançant la tecnologia de reconeixement facial i les dades recopilades sovint s’utilitzen en la policia predictiva.  

Tanmateix, la majoria d’evidències sobre l’eficàcia dels RTCC són anecdòtiques i existeix una manca efectiva d’estudis sobre l’eficàcia real d’aquest sistema. A Detroit, un estudi de l’Institut Nacional de Justícia va concloure que el Projecte Green Light, on el Departament de Policia de Detroit va establir càmeres en més de 550 ubicacions, incloses escoles, esglésies, empreses privades i centres de salut, va ajudar a disminuir la violència contra la propietat en alguns casos o zones, però no va contribuir a prevenir delictes violents i altres tipus de delictes. Amb tot, els departaments de policia argumenten que els RTCC són positius per a la seva feina.

Poca gent sap que existeixen els RTCC, i molt menys l’abast de la vigilància que comporten, de manera que aquests centres de control que es van estenent poden rebre poc escrutini públic i sovint funcionen sense gaire supervisió. Fa temps que des de diversos sectors hi ha preocupació sobre com aquestes tecnologies de vigilància podrien afectar la Primera i la Quarta Esmenes.

_____

Esta entrada en español / This post in English / Post en français

Com aprofitar la intel·ligència artificial per enfortir la ciberseguretat

Notes de seguretatDeixa un comentari

El proppassat mes de juny, el director de seguretat de la informació de Crypto.com, Jason Lau, va publicar al web especialitzat en seguretat ooda.com diverses informacions per tal d’utilitzar les potencialitats que ofereix la intel·ligència artificial (IA) en benefici de la ciberseguretat.

L’autor considera que en l’àmbit de la ciberseguretat cal establir un avantatge estratègic respecte dels delinqüents mitjançant la identificació proactiva i la neutralització de les amenaces abans que provoquin danys. En aquest sentit, també creu que l’aprenentatge continu amb els incidents passats pot millorar les respostes futures, utilitzant les eines orientades i impulsades per IA per identificar, comprendre i neutralitzar les amenaces. Per això, proposa els següents passos:

• Utilitzar una plataforma automatitzada d’intel·ligència d’amenaces impulsada per IA que reconegui signatures, tàctiques, tècniques i procediments externs en temps real. Aquesta plataforma treballa per ser significativament més ràpida a l’hora d’identificar i neutralitzar el phishing, el programari maliciós i altres amenaces de punt final, evolucionant i aprenent dels mètodes d’atac.

• Implementació d’alerta i monitorització automatitzada contínua d’actius sensibles, des de l’inventari utilitzat a tota l’empresa fins a l’escaneig d’informació d’identificació personal per detectar casos concrets d’exposició de text sense format i d’alertes als equips.

• Realització de revisions contínues de codi basades en IA, cerca d’excepcions de codi, errors de llenguatge script entre llocs, injecció de codi, desbordament de memòria intermèdia i molt més, i substituir-lo automàticament per codi segur mantenint la integritat funcional del codi.

• Involucrar la IA per detectar la mateixa IA maliciosa: atacs indirectes d’injecció ràpida, que destaquen les amenaces emergents en què els adversaris intenten infiltrar-se en els grans models de llenguatge, passant per la IA que s’utilitza per detectar programari maliciós i molt més.

A mesura que ens endinsem cap a un futur cada cop més interconnectat, la IA emergeix, sens dubte, com un aliat potent, una avantguarda en primera línia, que ajuda a predir, preparar-se i prevenir ràpidament les amenaces cibernètiques imminents.

No obstant això, també s’està tornant molt clar que posseir una eina tan poderosa no és suficient. Els líders de la ciberseguretat actuals estan cridats a fer més que no només reaccionar i respondre. Han d’adoptar una postura proactiva, planificant, predint i posicionant constantment les seves defenses, fent les gestions necessàries per mantenir-se un pas per davant de l’onada implacable d’adversaris cibernètics.

No obstant això, avançant massa ràpid, sense un enfocament pensat i reflexiu, ens arrisquem a trepitjar el terreny fràgil de l’ètica. Com s’utilitza la IA en la ciberseguretat és tan crucial com per què i on triem desplegar-la. Com a líders, és imprescindible entrellaçar el fil de les consideracions ètiques amb les nostres estratègies d’IA, establint una forta brúixola moral que ens guiï pel laberint de possibilitats tecnològiques.

En aquest joc d’escacs de ciberseguretat, els reptes de demà ja han arribat a la nostra porta. Tenir un pla de ciberseguretat ja no és una opció, sinó un requisit per a la supervivència. Però una necessitat crítica a considerar és com la IA pot ajudar a capacitar els equips de seguretat perquè siguin més àgils i s’adaptin a les amenaces cibernètiques noves i emergents.

_____

Esta entrada en español / This post in English / Post en français