Se enciende una luz amarilla por la seguridad de la urna digital en Brasil

Folha de São Paulo

Fue realizada hace pocos días la mayor conferencia “hacker” del planeta, la Defcon, que se realiza anualmente en Las Vegas, en los EUA.

En esta edición, la novedad fue que hackers investigaron por primera vez la seguridad de las urnas electrónicas. La conclusión no es animadora. Todos los modelos testeados, invariablemente, fueron facilmente invadidos en menos de dos horas.

Este experimento enciende una luz amarilla para Brasil, gran usuario de urnas digitales, especialmente de cara a las próximas elecciones (2018).

La Defcon se realiza desde 1993. En este año, atrajo a más de 20 mil personas, incluyendo a profesionales de seguridad, abogados, periodistas, agentes del gobierno y, obviamente, hackers.

La decisión de centrarse sobre las urnas electrónicas se da en un contexto en que ciberataques internacionales están tornandose cada vez más comunes en los procesos electorales de las democracias de Occidente. En este escenario, cualquier sistema digital puede ser víctima de manipulación, y las urnas no son la excepción.

Fueron probadas más de 30 máquinas, de varias marcas y modelos, incluyendo Winvote, Diebold (que fabrica a las urnas brasileñas), Sequoia o Accuvote.

Algunas fueron hackeadas sin ni siquiera tener la necesidad de contacto físico, sólo utilizando una conexión wi-fi insegura. Otras fueron reconfiguradas por medio de puertas USB. Hubo casos de aparatos con sistema operativo desactualizado, lleno de agujeros, invadidos facilmente. El hecho es que todas las urnas testeadas sucumbieron.

En las palabras de Jeff Moss, especialista en seguridad de internet y organizador de la conferencia, el objetivo del experimento fue el de “llamar la atención y encontrar, nosotros mismos, cuáles son los problemas de las urnas. Me cansé de leer información equivocada sobre la seguridad de los sistemas de votación”.

Un problema es que la manipulación de una urna digital puede no dejar ningún tipo de rastro, siendo imperceptible tanto para el elector como para funcionarios de la justicia electoral.

Una máquina adulterada puede funcionar de forma aparentemente normal, inclusive confirmando en la pantalla a los candidatos seleccionados por el elector. Sin embargo, secretamente, el voto va para otro candidato, sin ningún registro de la alteración.

Hay medidas para evitar este tipo de situación. Por ejemplo, permitir que las urnas brasileñas puedan ser ampliamente testeadas por la comunidad científica del país, en busca de vulnerabilidades. Cuanta más gente las pruebe y señale fallas en una máquina, más segura ella será. Otra medida es proporcionar más información pública sobre las urnas. En el site del TSE, el único documento sobre seguridad es un gráfico que no sirve para ningún tipo de análisis.

Ninguna de estas soluciones está en práctica hoy en Brasil. Con esto, o creemos que las urnas brasileñas son máquinas singulares, muy superiores a aquellas utilizadas en otros lugares del planeta, o constatamos que ellas son computadoras como cualquier outra, que se beneficiarían y mucho de procesos de transparencia y auditabilidad.


Lamentáblemente Ronaldo Lemos, el autor de la nota, sigue creyendo que el voto electrónico es lo mejor…
De un comentario de otro blog:

“Curiosamente el TSE asegura la total seguridad e inviolabilidad de las urnas electrónicas y siempre se esquivó de implantar sistemas de control del voto electrónico, como por ejemplo el voto impreso, en afronta a los dispositivos legales aprobados en el Congreso.

Incluso ahora el Presidente del TSE, Ministro Gilmar Mendes, presenta una versión engañosa de “problemas” para la implantación del sistema del voto impreso, aprobado en ley por el Congreso, para así mantener al sistema inauditable.

Quién garantiza dogmaticamente la seguridad de las urnas inseguras y violables? Con qué finalidad?

Medios sin máscaras

Anuncios

Es el momento para que el campo debata la protección de sus datos

Ronaldo Lemos

Folha de São Paulo

En Brasil hay tres proyectos de ley sobre protección de datos personales tramitando en el Congreso Nacional. Ellos cuidan de un asunto ya conocido mundialmente: ¿cómo regular la recolección, procesamiento, tratamiento y utilización de información obtenidas toto el tiempo de los consumidores y usuarios de internet?

Dentro de este debate hay un tema poco visible y discutido, pro no por eso menos importante. Se tratae de cómo proteger los datos relacionados con las actividades agrícolas, hoy recolectados de las más diversas formas, sea por satélites, por cosechadoras inteligentes, sensores o incluso por aparatos de la llamada “internet de las cosas”.

El conjunto de estos dispositivos lleva a lo que viene siendo llamado de “agricultura de precisión”. Se tratae de la posibilidad de gerenciar la producción agrícola en base a datos cada vez más detallados, permitiendo gerenciar las plantaciones de forma eficiente, economizando en insumos y optimizando al resultado.

Para que Brasil se mantenga líder de competitividad en este área, va a necesitar adoptar cada vez más este tipo de análisis.

El tema es la preocupación, justificable, de productores rurales sobre el abuso o “filtración” de estos datos recolectados. Como estos datos son “predictivos”, esto es, permiten proyectar resultados futuros, existe la preocupación de que puedan ser usados para obtener ventajas indebidas o incluso manipular al mercado de commodities.

Preocupados con este tema, un conjunto de productores rurales y empresas de los Estados Unidos firmó por medio de la entidad que los representa “Farm Bureau” un documento llamado “Privacy and Security Principles for Farm Data” (Principios de Seguridad y Privacidad para los Datos Rurales).

En él se defiende la adoción de una serie de principios. Por ejemplo, que los datos sean considerados como propiedad de los sojeros, que entonces son los únicos autorizados a compartirlos o no con otros interesados.

O incluso que los productores sean notificados previamente por parte de las empresas de tecnologia agrícola que sus datos están siendo recolectados y para qué finalidad.

Uno de los aspectos del debate es qué datos agricólas no se configuram como datos personales y, por lo tanto, no están sujetos a un régimen de protección especial. En principio, serían públicos, lo que permitiria que, una vez recolectados, pudiesen ser divulgados.

Otra visión intermedia es que estos datos serian análogos al secreto industrial. La ley los protege contra filtraciones, pero, una vez filtrados, no había mucho que hacer contra su divulgación.

Un tercer modelo es el que está siendo defendido por las asociaciones de productores rurales, inclusive en Brasil. La idea es que estos datos tengan un régimen de protección propia, similar a los principios propuestos por el Farm Bureau. Entre las múltiples tareas que el país tiene adelane está la necesidad de decidir sobre este tema.

La tecnologia ya transformó desde la industria de la música al transporte urbano, con respuestas regulatorias distintas.Llegó la vez que la Agricultura participe del debate.


En otros post publiqué lo que está pasando en la Argentina con este tema, con la empresa de Los Grobo y ahora Prescripciones Monsanto en la misma línea de recopilar información de los campos.

¿Qué hacer cuando el algoritmo es prejuicioso?

Folha de São Paulo Ronaldo Lemos.

Cada vez más las decisiones se toman de forma automática a través de algoritmos matemáticos, expresiones que conducen a la resolución de problemas. La mayoría de las personas pueden no haberlo notado, pero cada vez más las actividades diarias ya están o estarán gobernados por ellos.

Los ejemplos son muchos. Los precios de los boletos de avión, un día pueden ser más baratos y, otro, carisimo. El valor de un seguro de salud o del auto. La aprobación o no de una solicitud de préstamo y así sucesivamente.

Hay al menos dos desafíos importantes en esta materia. El primero es que los algoritmos pueden convertirse rápidamente “prejuiciosos”. Como son alimentados por información segmentada, las distorsiones terminan siendo frecuentes. Por ejemplo, un algoritmo entrenado para reconocer a los integrantes del directorio de una compañía llegó a creer que sólo los hombres podrían ser parte de esta categoría. Otro entendió que sólo las mujeres que trabajarían en ese cargo lo harían con salarios más bajos. Eliminar estos prejuicios electrónicos es una tarea esencial.

El segundo desafío de los algoritmos es que se están convirtiendo cada vez más incomprensibles. Con el avance de la computación basada en redes neuronales (que emulan el funcionamiento del cerebro humano), los algoritmos están dejando de ser codificados para ser “entrenados”. Para ello, son alimentados con una gran cantidad de información y se crean correlaciones entre ellos de forma autónoma. El resultado es que ni el programador del sistema entiende cómo deben ser tomadas las decisiones a partir de ahí. En otras palabras, las decisiones se convierten en el producto de una caja negra, ilegible. Si alguien pregunta específicamente por qué un préstamo fue negado por un algoritmo de este tipo recibirá como respuesta, a un verdadero,  “no lo sé”.

Sobre esta base, la Unión Europea creó en abril lo que algunos estudiosos han llamado el “derecho a una explicación.” Por él, un ciudadano tendría el derecho a “una explicación sobre la decisión tomada sobre él después de un análisis algorítmico que lo ha afectado de manera significativa”.

Este concepto promete generar un intenso debate, entre otras razones, porque se enfrenta a límites técnicos sobre qué se puede explicar de manera efectiva o no.

La controversia debe llegar a Brasil. Inspirado en el modelo europeo, el proyecto de ley 330 que está tramitando en el Senado incorporó un derecho similar al definido en Europa. El proyecto dice que “toda persona física tiene el derecho a no ser excluido, perjudicado o afectado de ninguna manera (…) por decisiones basadas únicamente [mediante algoritmos].” También dice que tales decisiones serán “susceptibles de impugnación, siendo garantizado el derecho a obtener una decisión humana con fundamento luego de la impugnación.”

Una vez más, una antigua tecnología será la principal herramienta para hacerle frente a este desafío completamente contemporáneo: El Derecho. Habrá nuevos capítulos sobre este debate.

 

Los Juegos Olímpicos deberían ser divididos entre varios países para disminuir su costo

Por Ronaldo Lemos

Vale mucho leer el libro “Circus Maximus“, del economista especializado en deportes Andrew Zimbalist. En él, el autor defiende que hay un consenso entre los economistas de que recibir un “megaevento”, como el Mundial de Fútbol o la Olimpíada, es una pésima idea.

Una Olimpíada cuesta entre US$ 10 mil millones y US$ 20 mil millones, y el retorno no es superior a US$ 5 mil millones. Además, deja costos exorbitantes de mantenimiento de las estructuras. Zimbalist defiende que sólo dos Juegos fueron realmente exitosos: Los Angeles y Barcelona.

La conseeuencia es que está se hacienndo cada vez más difícil encontrar a países interesados en recibir “megaeventos”, especialmente en el mundo desarrollado. En razón de los enormes sacrifícios, la tendencia es migrarlos más para países en desarrollo o autoritarios, donde refuerzan agendas políticas centralizadoras.

En este contexto, el mismo Comité Olímpico Internacional percibió que “algo se necesita cambiar para que todo permanezca como está”. En 2014, lanzó 40 propuestas enfocándose en temas como eficiencia, reducción de costos, transparencia y sobre todo sustentabilidad. Pero hay otras propuestas en la mesa.

La periodista Megan Greenwell escribió un artículo en la revista “Wired” proponiendo que los Juegos deberían ser divididos entre varios países. Esto permitiria una gaanancia de eficiencia y reducción de costos. Países que ya tienen infraestructura para um tipo de deporte actuarían como sedes de aquella modalidad. Un ejemplo es la Euro-2020, que se dividirá entre varios países-sede.

Desde el punto de vista de los medios, la experiencia seria la misma: una única Olimpíada. Esto es relevante porque cada vez menos personas viajan para asistir a los Juegos presencialmente (basta ver los asientos vacios en Rio). La experiencia central es la de la TV y de internet.

Otro elemento es el usar tecnologia e inteligencia para la organización de megaeventos. En vez de elefantes blancos, privilegiar el compartir infraestructura y la “economia colaborativa”. Un ejemplo es el acuerdo firmado por Airbnb, que se transformó el “proveedor oficial de alojamiento alternativo” para los juegos de Rio, listando 20 mil lugares de hospedaje. El impacto es tan relevante que la empresa fue incluída directamente en la plataforma de ingresos de Rio-2016. Este modelo permite que el dinero circule para los habitantes de la ciudad, evitando la concentración sólo en empresas y pocos proveedores.

O incluso la aplicación de transporte urbano que anunció un precio fijo de R$ 25 para ir de cualquier punto de la ciudad hacía un evento olímpico en la modalidad “pool” (compartida). Mismo precio del RioCard diario.

Por todo eso, la Olimpíada brasileña es una despedida. De aqui para adenlante los valores alrededor de los megaeventos serán muy diferentes de aquellos puestos en práctica en Rio 2016.


Ojalá sea así, recordemos que en Buenos Aires se harán los Juegos de la Juventud y que Mauricio Macri propuso que Buenos Aires sea sede de los Juegos Olímpicos del 2028!

Favelas de Río de Janeiro sin Pokemons exponen un tipo innovador de desigualdad social

Ronaldo Lemos, Folha de San Pablo

PokeMON GO es un juego en que, para progresar, es necesario capturar y mantener el mayor número posible de monstruiños japoneses. El tema es que ellos quedan diseminados por el territorio real de la ciudad. O sea, es necesario ir hasta el lugar físico donde se encuentran para capturarlos.

Idea genial, que ya se hizo fiebre en varios países, pero que en Rio presenta problemas. El espacio urbano de la ciudad está sitiado. Hay áreas donde ni el poder público ni la Fuerza Nacional consiguen entrar. Quién se lo dirá a los incautos cazadores de Pokemon. El juego expone, así, la dura realidad de vivir en una ciudad fracturada, donde los conceptos como el “derecho de ir y venir” se aplican más o menos en algunas áreas y nada en muchas otras.

La cosa queda aún más compleja. Pokemon Go utiliza la interface de Google Maps para mapear la ciudad, calles y puntos de interés, para colocar en ellos a los Pokemons. Lo que ocurre es que sólo el 0,001% del área de las más de mil favelas cariocas está mapeado. Ellas aparecen en el mapa como “áreas verdes” o grandes vacíos, a pesar de que más de 1,5 millón de personas viven en ellas. ¿Las favelas cariocas estarán completamente desprovistas de Pokemons? Ahí hay un tipo innovador de desigualdad social.

En este contexto, Pokemon Go y la Olimpíada son como los enteojos de la genial película de John Carpenter —”Viven”—, que, al ser colocados, exponen la realidad como ella es.

Esto se aplica también a la Olimpíada porque los miles de integrantes de las delegaciones olímpicas llegaron a Rio desprovistos de esta posibilidad de mirar sobre el territorio que está entrenado por años de convívencia con la violencia y la segregación. En la perspectiva de la mayoria de los visitantes, Rio será visto como uno sólo. nm enorme territorio repleto de atractivos que, con un poco de sentido común, puede ser libremente explorado.

Sin este conocimiento “adicional” de como funciona la ciudad, el período olímpico puede convertirse en una muestra del tipo de noticias que el lanzamiento de Pokemon Go producirá en Rio. Nadie se sorprenderá con las notícias de visitantes “ingenuos” que fueron al lugar “equivocado” en la hora “equivocada”. Que les fue mal al doblar una esquina en la que ningún carioca “erudito” osaria doblar.

La primera noticia de este tipo fue inaugurada con el luchador neozelandés que fue secuestrado por policías y tuvo que pagar R$ 2.000 [unos u$s 900] para ser liberado. Cualquier realidad aumentada pierde la gracia frente a esta realidad real.

¿Qué hacer en relación con esto? ¿Trabajar para que el territorio sea sólo uno? De la forma en que andand las cosas, es posible que la solución propuesta sea diferente: prohíbir Pokemon Go en el país, bloqueando a sus servidores así como sucedió con WhatsApp. Al final, el juego puede poner en riesgo a la vida de jóvenes. Vivir en Rio es peligroso. También los juegos de todo tipo.

El peligro del Solucionismo Tecnológico

Folha de São Paulo

Ronaldo lemos

En tiempos de retroceso en relación a tantos problemas humanos, es fácil caer en la tentación del “solucionismo” tecnológico. El término fue acuñado por el escritor bielorruso Evgeny Morozov en su libro “Para salvar todo, haga clic aquí.” Se refiere al deseo irracional de creer que la tecnología puede servir como una panacea para los problemas que las instituciones no han podido resolver.

Un ejemplo de solucionismo desató la polémica la semana pasada. El periodista estadounidense Shane Snow publicó un artículo proponiendo resolver el problema de las cárceles de Estados Unidos, donde el costo de un prisionero es de hasta u$s 60.000 por año (más que el ingreso anual de la mayor parte de la población). Sugirió un “experimento mental”: en lugar del encarcelamiento, los presos deberían mantenerse en un sistema de realidad virtual. Todo contacto humano sería sustituido por interacciones puramente virtuales. Esto eliminaría la violencia en las cárceles.

Por otra parte, la comida debería ser sustituida por Soylent. Un polvo de alimentos (como una comida láctea) que dice tener todos los nutrientes necesarios. El producto tiene entre su principal público a los jugadores que prefieren saltearse las comidas para no dejar de jugar. Como el Soylent es más barato que la comida habitual, la idea de Snow es que los prisioneros sean alimentados sólo con ese producto.

Son ideas tan absurdas que sugieren que Snow no está hablando en serio. El artículo podría ser una broma del día de los inocentes o una propuesta para un argumento de una película de terror como “Black Mirror”, que se especializa en distopías tecnológicas. Sea lo que sea, el profesor del MIT Ethan Zuckermann está dispuesto a escribir un ensayo en respuesta a estas propuestas con el sugerente título “Lo peor que he leído este año y lo que aprendí con eso.”

Ethan señala que las propuestas anteriores son objetables por muchas razones. Además de violar los derechos humanos, no existen estudios sobre los efectos de la exposición prolongada a la realidad virtual o al soylent.

Por el contrario, el aislamiento prolongado del contacto con otras personas genera ansiedad, pánico, paranoia y violencia. Y el problema principal: el “solucionismo” tecnológico sólo trata los efectos, sin atender las causas. El problema en los EE.UU. no sólo es la vida en prisión. El hecho es que el país tiene la mayor población carcelaria del mundo (25% de los presos en el mundo se encuentran en los EE.UU.). ¿Qué puede hacer la tecnología para reducir las detenciones en masa? El artículo de Snow no lo dice.

Aquí está mi granito de arena en esta discusión: hay otro argumento como si fuera una serie de terror en esta historia. En un mundo que anima al individuo a consumir medios de comunicación de manera cada vez más intensa en todo momento y lugar, los síntomas que Zuckermann teme que se den en las prisiones (alienación, ansiedad, paranoia) están omnipresentes del lado de “afuera” de ellas. Quizás en el futuro haya presos, que al ser liberados, se sorprenderán con la cantidad de personas conectadas a los dispositivos de realidad virtual y que se alimenten con Soylent.


Ascenso y caída de “The Dao”

Por Ronaldo Lemos

Quien cree que la era de las grandes épicas ya pasó está totalmente equivocado. O mejor, digitalmente equivocado. En este exacto momento, se está dando una de las batallas más épicas de nuestros tiempos. No dudo de que en el futuro se haga una película o incluso un mito de creación.

Se trata de la disputa alrededor del proyecto “The DAO”, que levantó US$ 160 millones — la mayor financiación colectiva de la historia — con el propósito de construir una “Organización Autónoma Descentralizada (Descentralized Autonomous Organization)”.

El nombre designa a entidades que se autoadministran por medio de instrucciones pre-programadas, sin la necesidad de la intervención humana. Una vez creadas, son imparables. Para desconectarlas, es necesario apagar a internet como un todo.

Todo iba bien hasta que un ataque hacker consiguió desviar US$ 50 millones de los fondos, siguiendo las reglas del propio sistema. El ataque fue complejo: consiguió crear divisiones y subdivisiones consecutivas del dinero, extrayendo recursos a cada interacción.

El propósito del proyecto “The DAO” era justamente financiar el desarrollo de otras DAOs, acelerando el advenimiento de este tipo de organización. Sin embargo, el hacker consiguió hacer que el dinero estuviese listo para ir a su propio bolsillo. Lo que muestra el elemento “humano” que se manifiesta incluso en la cara de una técnica y fría organización.

Hasta aqui ya tenemos un guión para una buena reflexión sobre el alma humana. Pero la historia llega a niveles shakespearianos. Apenas ocurrido el incidente, la comunidad que invirtió en el proyecto se dividió en el mejor estilo “Rey Lear”.

De un lado, un grupo proponiendo que todo el sistema volviese atrás y devolviera los recursos desviado, una bomba atómica para la propia esencia de los DAOs. Del otro, el grupo contrario a esto, defendiendo medidas menos dramáticas, como prohíbir las direcciones identificadas con el ataque. Así se inició una batalla fratricida, que continua hasta ahora.

Mientras tanto, otro grupo dejó de lado el embate existencial y partió hacía una solución práctica. Este segmento, autodenominado “Robin Hood”, decidió hacerle al hacker probar su propio remedio. Se organizó para tomar de nuevo los recursos desviados por el hacker, usando el mismo método desarrollado por él. Hasta el momento presente, la iniciativa ha tenido éxito y consiguió recuperar parte de lo pillado, que será retornada al “The DAO” original. Forma parte de este grupo “Robin Hood” el brasileño Alex Van De Sande.

La genialidad atrás de estos ataques y contraataques es de quedarse sin aliento. Hubo personas diciendo que el incidente prenuncia el fin del sueño de las DAOs. Otros afirman que este es sólo el bautismo de fuego. Para mi las DAOs tendrán un futuro promisorio si aprendieran a dialogar con otra tecnologia milenaria: el direcho, institución humana que muchos de los entusiastas de las DAOs adoran despreciar. Estas dos fuerzas, si están juntas, podrán ambicionar transformar a las organizaciones planetarias.