Día: 13 julio, 2018

Cómo garantizar la protección legal de software libre en México

En los últimos años, el universo de infraestructura viene pasando por una evolución tecnológica constante. La gran tendencia que era la promesa de revolución –los contenedores– que apoyaban al desarrollo ágil y la adopción de DevOps (Development Operations) dieron espacio a la computación sin servidor, que no está lejos de esas características y de la cuestión de alineación de procesos y herramientas entre los equipos de desarrollo y operaciones.

En paralelo, temáticas como Cloud Computing y Software Defined Anything (SDx) vienen ganando importancia en el mercado y están convirtiéndose en los cimientos para la infraestructura tecnológica del futuro.

El software libre ha aparecido como una opción de utilidad y como el gran cambio en esta nueva era digital. Pero ¿cómo garantizar la protección legal de software libres en México para empresas y organizaciones gubernamentales?

Antes de responder a esa pregunta, es importante mostrar claramente la diferencia entre software libre y software open source.

Un aspecto del desarrollo de software que muchas personas tienden a olvidar es cómo el software debe ser licenciado.

Una licencia de software determina cómo el código puede ser usado y distribuido por los propietarios de una licencia (los usuarios finales), lo que puede tener un impacto significativo sobre en qué es utilizada la tecnología.

La mayoría de los software modernos son vendidos bajo una licencia propietaria, que permite al editor o creador mantener los derechos de propiedad intelectual del software.

Sin embargo, hay un punto de vista alternativo que afirma que eso coloca un nivel innecesario de control en manos de los editores de software. Al impedir que los licenciatarios copien y alteren el código fuente de un software, la idea es que los editores de software propietarios sofocan la innovación e impiden el crecimiento potencial de nuevas tecnologías.

Esa postura inspiró la creación de licencias que conceden libremente a los usuarios el derecho de estudiar, alterar y compartir el código fuente del software. Generalmente, el software licenciado de esta forma es conocido por uno de estos dos nombres: “software libre” o “software de código abierto”.

La definición de software libre presenta los criterios para definir si un programa de software específico se califica como software libre. De vez en cuando, hay una revisión de esa definición –por una comunidad de desarrolladores profesionales– para esclarecerla o desarrollar cuestiones sobre puntos en particular. Ya en el caso del “Código abierto” la forma de observarlo es diferente: éste tiene una filosofía muy distinta, basada en valores diferentes a los del software libre. Su definición práctica también es diferente, pero casi todos los programas de código abierto son, de hecho, gratuitos.

Para que un software sea considerado verdaderamente “libre”, su licencia debe garantizar libertades esenciales para sus usuarios, de acuerdo con el Free Software Movement.

Estas son las siguientes:

  • Libertad de ejecutar el programa como deseas, para cualquier finalidad.
  • Libertad de estudiar cómo el programa funciona y alterarlo para que este funcione como deseas. El acceso al código fuente es una condición previa para eso.
  • Libertad de distribuir copias de sus versiones modificadas para otras personas. Al hacer eso, puedes dar a toda la comunidad una oportunidad de beneficiarse con tus cambios. El acceso al código fuente es una condición previa para eso.

La FSF (Free Software Foundation) considera que cualquier software que no atienda a cada uno de esos criterios es considerado no-libre y por tanto, antiético.

La OSI (Open Source Initiative) también posee una lista de 10 principios que una licencia de software debe cumplir para que esta sea considerada de código abierto:

  1. Redistribución gratuita.- La licencia no debe restringir a ninguna de las partes el vender o distribuir el software como un componente de una distribución de software mayor, conteniendo programas de varias fuentes.
  2. Código fuente.- El programa debe incluir el código fuente y debe permitir la distribución del código fuente, así como del formato compilado.
  3. Trabajos Derivados.- La licencia debe permitir modificaciones y trabajos derivados, así como debe permitir que éstos sean distribuidos bajo los mismos términos que la licencia del software original.
  4. Integridad del código fuente del autor.- La licencia puede restringir que el código fuente sea distribuido de forma modificada solamente si la licencia permite la distribución de “archivos de patch” con el código fuente, para modificar el programa al momento de la creación.
  5. No Discriminación contra Personas o Grupos.- La licencia no debe discriminar a ninguna persona o grupo de personas.
  6. Ninguna Discriminación contra los Campos de Emprendimiento.– La licencia no debe restringir a nadie de hacer uso del programa en un campo específico de actuación.
  7. Distribución de la licencia.- Los derechos anexados al programa deben ser aplicados a todos aquellos a quienes el programa es distribuido, sin la necesidad de ejecución de una licencia adicional por esas partes.
  8. La licencia no debe ser específica para un producto.- Los derechos asociados al programa no deben depender del hecho que el programa sea de una distribución de software específica.
  9. La licencia No debe restringir otro software.- La licencia no debe imponer restricciones a otro software que sea distribuido junto con el software licenciado.
  10. La licencia debe ser neutra en términos de tecnología.- Ninguna disposición de la licencia puede ser basada en cualquier tecnología individual o estilo de interfaz.

¿Cómo es la situación del software libre en México?

Cualquier programa, por tratarse de un trabajo escrito, implica por defecto el derecho autoral, que prohíbe la ejecución, copia, alteración o distribución del programa sin la autorización expresa del creador del trabajo. Dentro de la legislación mexicana, que sigue las directrices de la Convención de Berna Para la Protección de Obras Literarias y Artísticas, el Artículo 5 de la Ley Federal del Derecho de Autor concede la protección “a las obras a partir del momento en que fueron colocadas como soporte de material, independientemente del mérito, destino o modo de expresión”.

En tal caso, los software libres no tienen lugar en la legislación mexicana. Sin embargo, el objetivo no es negar el derecho moral del autor dentro de su concepción de software libre. La distribución del sistema operacional GNU/ Linux o Linus Torvalds es una cuestión delicada para su creador, a tal punto que los medios explícitamente la llaman de GNU/ Linux y le atribuyen autoría conjunta. El problema está más relacionado con los derechos patrimoniales y con la imposibilidad de conceder las cuatro libertades fundamentales del software libre: ejecución, modificación, reproducción y distribución.

De hecho, la reglamentación mexicana protege los derechos económicos del autor por 100 años después de su muerte, algo que en el caso del software se vuelve todavía más problemático, porque la mayoría de los programas de computadoras no son creados por un individuo sino por un grupo, lo que significa que los derechos son protegidos por 100 años después de la muerte del último miembro de este grupo.

Como se ve, todavía hay muchos puntos a ser discutidos en cuanto a la legislación de software libres, tanto en México como en el mundo. El asunto aún levanta muchas cuestiones y muchas discusiones en lo que se refiere a lo que realmente es software libre.

 

N. de P. Comstor

El papel del aprendizaje autónomo en la ciberseguridad

A pesar del escepticismo sobre el papel del aprendizaje autónomo en la seguridad, las organizaciones se pueden beneficiar de la inteligencia de las máquinas cuando combaten ataques sofisticados. Aunque algunos creen que el aprendizaje autónomo es el último gran sueño imposible de la seguridad, en Aruba, una compañía de HPE, consideran que es al contrario.

Todo depende de cómo se aplique, en este texto se explica algunas maneras en las que la inteligencia automatizada puede hacer la diferencia y permitir que los analistas de seguridad dejen de perseguir fantasmas.

 

1. El aprendizaje autónomo puede detectar anomalías con precisión, a pesar de señales débiles y atacantes inteligentes.

Las señales que hay en ataques avanzados son débiles. Al usar aprendizaje autónomo para generar alertas sobre todo aquello que pudiese ser un ataque (por ejemplo, todas las señales débiles) solo agrava el problema conocido como “ruido de alertas” que no es más que la enorme cantidad de alertas con las que tiene que lidiar una empresa hoy en día. Para producir alertas de calidad que permitan a los analistas concentrarse en los problemas verdaderos, el aprendizaje autónomo debe ser capaz de relacionar muchas señales débiles en un lapso, al nivel de un usuario o host, con una calificación de riesgo que refleje la acumulación de eventos anómalos.

Por ejemplo, técnicas de aprendizaje autónomo, que sirven como bases de la Analítica de Comportamiento de Usuarios y Entidades (UEBA por sus siglas en inglés), pueden detectar un ataque comparando el comportamiento de acceso de un usuario, contra el de un atacante que ha ganado acceso a su equipo y está intentando entrar como si fuese el usuario. Las motivaciones del atacante son muy distintas a las del usuario, en su intento por moverse por la red y robar información importante. Técnicas de aprendizaje autónomo podrían detectar la información y desviaciones en el comportamiento que podrían indicar un riesgo.

 

2. El aprendizaje autónomo facilita saber si los atacantes siguen dentro de la red.

El aprendizaje autónomo puede monitorear continuamente las grandes cantidades de datos que una organización posee, enriqueciéndola y complementándola, incluso si cierta actividad sospechosa no ha alcanzado el nivel de alerta. Esto además sucede sin la necesidad de configurar reglas, una noción predeterminada del bien y el mal, o la necesidad de producir resultados de detección en tiempo real.

Este pre-procesamiento resulta en una taxonomía de mayor nivel, que es clave en la aceleración del proceso de detección de amenazas. Comenzando con un solo trozo de evidencia, los analistas pueden usar esta nueva taxonomía para probar rápidamente hipótesis complejas y detectar ataques escondidos en la red. Estas anotaciones constantes, que ocurren “detrás de cámaras” son una razón importante por la que el aprendizaje autónomo debe ser una parte importante de una estrategia de seguridad integral.

 

3. El aprendizaje autónomo acorta el tiempo para detectar ataques.

Hoy, el tiempo promedio que toma identificar ataques dentro de la red es mayor a seis meses y una vasta mayoría de los atacantes están burlando los sistemas de prevención y detección actuales. Durante este tiempo, los atacantes usan una variedad de métodos para explotar su presencia dentro de la red, pero al hacerlo dejan un gran rastro de datos. El aprendizaje autónomo analiza automáticamente estas grandes cantidades de datos para detectar ataques. E incluso si el ataque no se detecta automáticamente con los procesos descritos en el punto 2, el aprendizaje autónomo hace mucho más fácil el proceso de detección.

El resultado es que el aprendizaje autónomo puede ayudar a reducir el tiempo que toma detectar e investigar este tipo de ataques, lo que es una victoria para las organizaciones. Esto también habla sobre la necesidad de un cambio de mentalidad fundamental en las empresas, ya que sus esfuerzos de detección y prevención fueron inadecuados para las necesidades de seguridad de hoy en día. Balancear esto con el monitoreo y la respuesta para una detección pronta de amenazas, se está convirtiendo en un requerimiento de seguridad vital.

 

Detenga las amenazas más rápidamente

Las organizaciones enfrentan un panorama sofisticado de ataques, las defensas tradicionales que dependen de reglas de correlación y firmas de tiempo real se están quedando cortas ante la mayoría de estas amenazas. Ataques sofisticados en múltiples niveles casi nunca se pueden detectar en tiempo real, y sonar las alarmas por cada variante detectada durante todas las etapas solo aumenta el problema del “ruido” causado para los analistas, en vez de aminorarlo. El aprendizaje autónomo puede ayudar a detectar ataques automáticamente Aunque tal vez no sea capaz de detectar todos los ataques, puede brindar información que apoye el trabajo humano para detectar y responder a los ataques.

 

Costos ocultos de las brechas de datos aumentan los gastos para las empresas

IBM anunció los resultados de un estudio global que examina el impacto financiero de una violación de datos en los resultados de una empresa. El estudio descubrió que los costos ocultos en las brechas de datos, como la pérdida de negocios, el impacto negativo en la reputación y el tiempo empleado en la recuperación, son difíciles y costosos de administrar.

El Estudio sobre el Costo de una Brecha de Datos de 2018, de IBM Security y dirigido por el Ponemon Institute, descubrió que el costo promedio de una violación de datos a nivel mundial es de $3.86 millones de dólares, un aumento del 6.4% con respecto al informe de 2017.

Basado en entrevistas de profundidad a cerca de 500 compañías que experimentaron una violación de datos, el estudio analiza cientos de factores de costos que rodean una violación, desde investigaciones técnicas y recuperación hasta notificaciones, actividades legales y regulatorias, y el costo de pérdida de negocios y reputación.

Este año, por primera vez, el estudio también calculó los costos asociados con “mega infracciones” que van de 1 millón a 50 millones de registros perdidos, proyectando que estas brechas les cuestan a las compañías entre $40 millones y $350 millones de dólares, respectivamente.

 

Calculando el costo de una “mega infracción”

En los últimos 5 años, la cantidad de “mega infracciones” (infracciones de más de 1 millón de registros) casi se ha duplicado, desde solo 9 en 2013, a 16 mega brechas en 2017. Debido a la pequeña cantidad de “mega infracciones” en el pasado, el Estudio sobre el Costo de una Brecha de Datos analizó históricamente infracciones de alrededor de 2,500 a 100,000 registros perdidos.

Con base en el análisis de 11 compañías que experimentaron una “mega infracción” en los últimos dos años, el informe de este año usa modelos estadísticos para proyectar el costo de brechas que van desde 1 millón hasta 50 millones de registros comprometidos. Los hallazgos clave incluyen:

  • El costo promedio de una violación de datos de 1 millón de registros comprometidos es de casi $40 millones de dólares.
  • En 50 millones de registros, el costo total estimado de una infracción es de $350 millones de dólares.
  • La gran mayoría de estas infracciones (10 de 11) se debieron a ataques maliciosos y criminales (a diferencia de fallas técnicas o errores humanos).
  • El tiempo promedio para detectar y contener una “mega infracción” fue de 365 días, casi 100 días más que una brecha de menor escala (266 días).

Para “mega infracciones”, la categoría de gasto más grande tiene que ver con los costos asociados con la pérdida de negocios, que se estimó en casi $118 millones por brechas de 50 millones de registros, casi un tercio del costo total de una infracción de este tamaño. IBM analizó los costos informados públicamente de “mega infracciones” de alto perfil y descubrió que las cifras informadas a menudo son menores que el costo promedio encontrado en el estudio. Es probable que esto se deba a que los costos informados públicamente a menudo se limitan a los costos directos, como la tecnología y los servicios para recuperarse de la infracción, los honorarios legales y reglamentarios y las reparaciones a los clientes.

 

¿Cómo afecta el costo promedio de una violación de datos?

Durante los últimos 13 años, el Instituto Ponemon ha examinado el costo asociado con las infracciones de datos de menos de 100,000 registros y ha constatado que los costos han aumentado a lo largo del tiempo. El costo promedio de una violación de datos fue de $3.86 millones en el estudio de 2018, en comparación con $3.50 millones en 2014, lo que representa un aumento neto de casi 10% en los últimos 5 años.

El estudio también examina los factores que aumentan o disminuyen el costo de la infracción, descubriendo que los costos se ven muy afectados por la cantidad de tiempo dedicado a contener una violación de datos, así como las inversiones en tecnologías que aceleran el tiempo de respuesta.

  • El tiempo promedio para identificar una violación de datos en el estudio fue de 197 días, y el tiempo promedio para contener una violación de datos una vez identificado fue de 69 días.
  • Las empresas que contuvieron un incumplimiento en menos de 30 días ahorraron más de $1 millón de dólares en comparación con las que tardaron más de 30 días ($3,09 millones frente a un total promedio de $4,25 millones de dólares).

La cantidad de registros perdidos o robados también afecta el costo de una infracción, con un costo promedio de $148 dólares por pérdida o robo.

El estudio examinó varios factores que aumentan o disminuyen este costo:

  • Tener un equipo de respuesta a incidentes fue el principal factor de ahorro de costos, reduciendo el costo en $14 por registro comprometido.
  • El uso de una plataforma de inteligencia artificial para la ciberseguridad redujo el costo en $8 por pérdida o robo de registro.
  • Las compañías que indicaron una “prisa para notificar” tuvieron un costo más alto por $5 por registro perdido o robado.

Este año, por primera vez, el informe examinó el efecto de las herramientas de automatización de seguridad que utilizan inteligencia artificial, aprendizaje automático, análisis y orquestación para aumentar o reemplazar la intervención humana en la identificación y contención de una violación. El análisis encontró que las organizaciones que implementaron ampliamente las tecnologías de seguridad automatizadas ahorraron más de $1.5 millones de dólares en el costo total de una infracción ($2.88 millones de dólares, en comparación con $4.43 millones de dólares para aquellos que no implementaron la automatización de seguridad).

 

Analítica deportiva, pase directo a la competitividad

En cada partido de fútbol soccer, béisbol, básquetbol, atletismo, fútbol americano, sin importar de qué equipo, selección o temporada se trate, lo que los dueños quieren es un estadio lleno, ya que los lugares vacíos implica pérdida de ingresos, venta de boletos baja, poco movimiento de mercancías y alimentos, aficionados insatisfechos y jugadores desmotivados.

Existen clubes visionarios que buscan sobresalir aprovechando las innovaciones tecnológicas, como la analítica, de forma exitosa para llevar a más aficionados satisfechos a estadios y arenas, así como para elevar sus ingresos.

No obstante, dar un paso de esas dimensiones no es sencillo. En primera instancia, en comparación con una empresa de otro sector, un club deportivo se encuentra rezagado en cuanto a sofisticación y uso de la analítica, a lo que se suma su incapacidad de hacer grandes inversiones iniciales.

En 2003, Michael Lewis publicó el libro Moneyball, en el que se describía de qué manera la analítica podía transformar los deportes profesionales (en este caso el equipo de béisbol, Oakland Athletics), marcó un antes y un después en la forma de aprovechar sus datos.

Los beneficios que otorga la analítica han impactado de manera positiva varias áreas estratégicas, tanto dentro como fuera del campo de juego.

Jugadores de alto desempeño. Sensores integrados a los uniformes y equipamientos generan información que los entrenadores utilizan para conocer el desempeño de cada jugador, y del equipo en su conjunto. A partir de ahí, se diseñan programas de entrenamiento y se identifican las áreas de mejora.

Simulaciones. La analítica ayuda a simular partidos antes de que sucedan, tomando en cuenta los resultados, estilo de juego y la alineación de encuentros anteriores. Los coaches pueden recibir datos en tiempo real del desarrollo de un encuentro.

Llenar estadios. Los eventos deportivos compiten con una amplia oferta de entretenimiento -incluyendo a servicios de streaming como Netflix. Los directivos se apoyan en diversas fuentes de datos que, después de procesarlas, les pueden indicar cuál será la experiencia que buscan los asistentes: mayor interacción, boletos accesibles, venta de bonos para una temporada completa, aplicaciones móviles, estacionamiento accesible, etc.

Mercancía y alimentos. Al conocer a detalle los patrones de compra de los fanáticos en el estadio se les presenta la mercancía que realmente les atraerá (gorras, camisetas, pines, memorabilia), y los alimentos que consumirán. Por ejemplo, la analítica ha revelado que el número de mujeres que asiste a estos eventos va en aumento, lo que permite ampliar el catálogo de productos dirigidos a este segmento.

Jugadas efectivas. El video y datos de ubicación se utilizan para analizar los movimientos en la cancha, como en el caso del fútbol, a fin de estudiar todos los desplazamientos de los jugadores y el balón.

Atletas con potencial. La Universidad de Carolina del Norte en Chapel Hill utiliza herramientas analíticas de SAS para reclutar y predecir el desempeño de sus atletas (a quienes se apoya con becas). De igual modo, las aprovechan para identificar a donadores, exalumnos, patrocinadores y miembros de la comunidad que contribuyan al fondo de becas para apoyar su educación y capacidad deportiva.

La aplicación de la analítica tiene un alto potencial en el campo deportivo, y sus posibilidades son infinitas.

 

Por: Kleber Wedemann, Director de Marketing, SAS Latinoamérica.

Broadcom cae en la bolsa tras compra de CA Technologies

Tras hacerse público el anuncio de Broadcom iba a proceder a la compra de una compañía especializada en software como es CA Technologies, saltaron las reacciones de sorpresa y no solo esto, ya que el movimiento representó un duro golpe para la compañía de chips que cayó con dureza en bolsa.

Tras anunciar el pacto de compra por 18.900 millones de dólares, el mercado reaccionó y no de la mejor manera, ya que las acciones de la compañía se desplomaron cayendo hasta un 19% llegando a perder una cantidad similar a la que ha ofrecido para cerrar la operación. Al cierre, cayó un 13,8%.

Los inversores han reaccionado con preocupación y la mayoría no entiende el movimiento. Por otro lado hay quien piensa que esta acción signifique, tal y como sugieren desde el medio británico The Register, que Broadcom no confíe en que a sus empresas de chips centrales les quede mucho crecimiento. Otra posibilidad es que el crecimiento de CA es lento, por lo que es una adición menos que estelar.

Durante este año todo parecía indicar que Broadcom iba a adquirir los servicios de Qualcomm pero de la noche a la mañana la historia dio un giro de 180º y la compañía de chips anunciaba el movimiento por CA Technologies sorprendiendo tanto a la competencia como a sus propios accionistas.

“Me parece una noticia muy sorprendente, no veo cuáles pueden ser las sinergias entre una compañía que se autodeclara como empresa global líder en el mercado de los semiconductores con una empresa de software tradicional” comentaba Jorge Dinarés, presidente para EMEA de Micro Focus, empresa que compite directamente con CA Technologies.

 

IDG.es