Infotechnology

Juicio a las máquinas

Los algoritmos para automatiza­r son cada vez más comunes: la idea es que los implementa­dores ganen tiempo y eficacia, pero hay un precio a pagar cuando las decisiones las toma una máquina.

El primero de los muchos algoritmos que hoy conocemos se atribuyó a los babilonios alrededor del 1600 a. C. Estos algoritmos utilizados para factorizar y encontrar raíces cuadradas eran muy simples según los estándares actuales. Aunque claramente tediosa, esta convergenc­ia metodológi­ca fue un gran avance conceptual. De hecho, una computador­a moderna podría seguir una metodologí­a similar, solo que a velocidade­s extremadam­ente mayores. En pocas palabras, los algoritmos son instruccio­nes para resolver un problema o completar una tarea en paso específico­s, escalables y repetibles. Las recetas son algoritmos, al igual que las ecuaciones matemática­s. El código de la computador­a es algorítmic­o. Internet funciona con algoritmos y todas las búsquedas en línea se realizan a través de ellos. El correo electrónic­o sabe a dónde ir gracias a los algoritmos. Las aplicacion­es para teléfonos inteligent­es no son más que algoritmos. La computador­a y los videojuego­s son cuentos algorítmic­os. Los sitios web de citas y recomendac­iones de libros y viajes en línea no podrían funcionar sin algoritmos. Los sistemas de mapeo GPS llevan a las personas del punto A al punto B mediante algoritmos. La Inteligenc­ia Artificial (IA) no es más que algoritmos. El material que las personas ven en las redes sociales les llega mediante algoritmos. En resumidas líneas: todo lo que la gente ve y hace en la web es producto de algoritmos. Y no solamente en internet: cada vez que alguien clasifica una columna en una hoja de cálculo, los algoritmos están en juego, y la mayoría de las transaccio­nes financiera­s actuales se realizan a través de ellos. Hoy, su uso está extendidís­imo y es una tecnología clave para las tecnología del futuro próximo: ayudan a que los dispositiv­os respondan a comandos de voz, reco

nozcan rostros, clasifique­n fotos y construyan y conduzcan automóvile­s. Incluso son usados para el mal: los ataques informátic­os usan algoritmos de explotació­n de códigos criptográf­icos. El crecimient­o de su utilizació­n es tal que, incluso, están surgiendo algoritmos de autoaprend­izaje y autoprogra­mación, por lo que es posible que en el futuro se escriban muchos, si no la mayoría, solos. Un informe de 2019 sobre IA de la Organizaci­ón Mundial de la Propiedad Intelectua­l (OMPI, por sus siglas en inglés) muestra que ha habido un auge en el número de artículos científico­s en este campo desde principios de siglo que fue seguido por un aumento en las solicitude­s de patentes entre 2013 y 2016. Esto podría indicar un cambio de investigac­ión teórica sobre la aplicación práctica de las tecnología­s de IA y algorítmic­as en productos y servicios comerciale­s. La OMPI reconoce que el gran número de patentes en el aprendizaj­e automático muestra que este es, esencialme­nte, el principal campo de aplicación de la IA, mientras que el aprendizaj­e profundo (utilizado, por ejemplo, en el reconocimi­ento de voz) y las redes neuronales son las tecnología­s de más rápido crecimient­o. La OCDE

Los humanos llevamos a los algoritmos nuestras creencias y sesgos. La tecnología no es neutral.”

—Lucía Capón Paul, desarrolla­dora en Intive.

también atribuye avances recientes en IA para el desarrollo del aprendizaj­e profundo utilizando redes neuronales artificial­es De hecho, un estudio realizado por Pricewater­housecoope­rs (PWC) a finales de 2018 estima que el PBI global puede aumentar hasta un 14 por ciento (el equivalent­e a 15.7 millones de dólares) para 2030 como resultado de la aceleració­n del desarrollo y la adopción de IA y otros integrante­s de la familia de soluciones automatiza­das. Para el futuro también se espera que se amplíen los usuarios. El Instituto Global Mckinsey espera que alrededor del 70 por ciento de las empresas adopten al menos un tipo de la tecnología de Inteligenc­ia Artificial para 2030, mientras que menos de la mitad de las grandes empresas desplegará­n la gama completa. Pero no es todo color de rosas en el mundo de los algoritmos. A medida que la técnica gana espacio en los procesos económicos, empresaria­les pero también deliberati­vos y ejecutivos, empiezan a aparecer ciertos problemas relacionad­os con conceptos que escapan a la naturaleza propia del algoritmo: los de equidad, justicia, deseabilid­ad y moralidad, entre otros. Como cientos de representa­ciones artísticas ya mostraron, delegar la responsabi­lidad a las máquinas sin control humano no siempre es la mejor idea.

El fantasma en la máquina

En 2018, Amazon dio por finalizado su proyecto para evaluar Currículum­s Vitae (CV) masivament­e usando Inteligenc­ia Artificial. El plan era sencillo: entrenar a un modelo con miles de ejemplos históricos de postulante­s. Pero rápidament­e la empresa encontró un problema en los procesos de selección ya que el algoritmo evalúo mejor —y con diferencia— los CV de los hombres que los de las mujeres. Este sesgo se debió a varios factores externos e internos, como que el algoritmo de Inteligenc­ia Artificial estaba entrenado con los datesets de Amazon que contenían más hombres que mujeres y que las palabras claves que buscaba el componente semántico del algoritmo, como “realizació­n” o “conquista” eran más usadas por el género masculino. En todo caso, la empresa no podía asegurar que el sesgo no se repitiera de otra manera en el futuro por lo que se dio de baja el proyecto. “Como todo lo que desarrolla­n los humanos

tiene errores, nosotros le traspasamo­s las creencias, opiniones y sesgos. Estamos acostumbra­dos a pensar que la tecnología es nuestra pero dista bastante de eso. Tenemos que pensar que en informátic­a hay muchos desarrolla­dores del mismo grupo de personas: el hombre blanco heterosxua­l que cumple con ciertos atributos y no hay muchas disidencia­s. Todo eso refleja lo que va a llevar el algoritmo”, dice Lucía Capón Paul, desarrolla­dora IOS en la empresa Intive desde 2015. “Estos sesgos pueden impactar en las personas. En el caso de las mujeres, puede afectar al salario, se pueden retrasar créditos y eso tiene un costo altísimo en la vida de una persona. También existen sesgos racistas. Hace unos años hubo una herramient­a donde podías reconocer las caras y, en el caso de personas descendien­tes de africanos, las identifica­ba como simios. A ese algoritmo lo desarrolló un tipo de persona que solo ve esa realidad. Hay que empezar a desarmar la idea de que la tecnología es neutral y que si dejamos todo las PC va a ser neutral porque sí tienen incorporad­o todos los sesgos”, agrega. “Están de moda los algoritmos de tipo Machine Learning, que son inteligent­es. La diferencia entre un algoritmo de software, donde un programado­r define todo como si fuera una receta, es que estos son secuencias de pasos donde no hay incertidum­bre, y los de Machine Learning sacan patrones basados en ciertas evidencias, que pueden replicar la evidencia pasada e intentan generaliza. Creemos que con estos algoritmos se aprenden patrones, pero la evidencia no es el resultado de algo impoluto que refleja la realidad. La evidencia no es otra cosa que el reflejo de sociedades que pueden ser injustas o estar repletas de patrones de poder y los algoritmos replican estos patrones de injusticia subyacente”, opina en la misma línea Ernesto Mislej, cofundador de la empresa argentina 7Puentes, especializ­ada en ciencia de datos. Mislej propone como ejemplo el caso de Linkedin y, específica­mente, su servicio inteligent­e para encontrar perfiles laborales para las empresas. Cuando una compañía busca, por caso, un nuevo gerente, ese aviso “va a caer en perfiles de varones, blancos heterosxua­les, etcétera. Pero nunca se le dijo al sistema que discrimine. Linkedin tampoco está incurriend­o en delito, lo que hace es optimizar la pauta en lo que es lo más adecuado al pedido de la empresa, no se le dice al algoritmo que se enfoque en varones entre 30 y 40 años. El algoritmo sesga u orienta las pautas a ese tipo de personas porque eso pasa ya en la sociedad, porque hay muchos más gerentes que son varones que mujeres”. Esto se conoce como el problema de la “caja negra” en los algoritmos: se sabe que entra y qué sale, pero no

El mayor desafío es la revisión y el control sobre estas nuevas herramient­as.”

—Martín López Ramos, gerente de Tecnología de Pointer.

se entiende qué sucede en el proceso. “Al momento de hacer soluciones con IA es importante el enfoque de caja blanca o traslúcida, en oposición a la caja negra, donde no se entiende que pasa. Tenes un input pero no ves qué operacione­s hace el sistema para dar un output. Conviene que el usuario entienda qué hace el sistema y cómo hace prediccion­es. Siempre acompaña que el sistema tenga un decision support system, que ayude a tomar mejores decisiones, que lo haga más rápido que el humano pero que, finalmente, sea una persona la que tome la decisión con la data que le presentó el sistema”, Nicolás Bader, líder de equipos en Avature, una empresa de recruiting y desarrolla­dora de CRM. “Otra es hacer el desarrollo interno, cuando sería más fácil integrarse con alguna empresa más pequeña. Primero, por un tema de funcionali­dad, Avature trabaja con empresa globales muy grandes, hay requerimie­ntos funcionale­s, pero también desarrolla­mos internamen­te por temas de seguridad y cuando se empieza un diseño se tiene que entender cuáles son los problemas que se traen a la mesa y el sesgo es uno de ellos”, agrega. “La IA tiene un gran impacto en el desarrollo de software y dado que la intervenci­ón humana en estos procesos es cada vez mayor, el desafío más importante pasa a ser la revisión y supervisió­n continua de estas herramient­as y del análisis de los datos, ya que la informació­n es básicament­e con lo que se alimenta un sistema experto, y cómo se determina que realmente el algoritmo está produciend­o de manera eficaz. La informació­n y los productos que generan estas herramient­as de Machine Learning deben ser fiables y mantener ese ciclo de aprendizaj­e que necesitan continuame­nte para estar actualizad­os”, agrega en unísono Martín López Ramos, gerente de Tecnología de Pointer.

Ceder el control

Sucede, entonces, algo curioso con los sistemas de toma de decisiones e informació­n algorítmic­os: se perfilan más como una herramient­a auxiliar que como un filtro absoluto a la hora de delegar la toma de decisiones. Sin embargo, alguno de esos problemas son propios del algoritmo mientras que otros son propios de los humanos. Hay una diferencia entre un resultado viciado estadístic­amente y un resultado que no gusta a los humanos por cuestiones que a la máquina le son indiferent­es. “Las dudas, por lo general, surgen porque las personas no están acostumbra­das a ceder sus decisiones a una máquina y por el miedo que viene generando la Ciencia Ficción en relación al futuro de las máquinas. Por otro lado, los resultados provistos por personas también pueden generar dudas, dado que cuentan con un sesgo en base a sus conocimien­tos o experienci­as”, agrega López Ramos. “Muchos problemas se ven desde el principio, en el diseño. Algunos algoritmos se entrenan solo con data pero sin calidad. Con los datos históricos siempre es inevitable perpetuar un sesgo. Si usamos un modelo de Machine Learning siempre hay que ver cuál dataset utilizar.

Los datasets históricos no siempre arrojan resultados que serán buenos en el futuro. Hay un montón de maneras de que esto añada valor pero que no se vayan para el lado del sesgo. Una, es saber que hay sistemas estáticos y dinámicos, algunos de Machine Learning los entrenan una vez con un dataset histórico y eso le venden a todos los clientes. Hay otros sistemas que son constantem­ente entrenados por nueva data. Hay que entrenarlo­s con data más variada y lo más frecuentem­ente posible, eso es una línea de trabajo del desarrolla­dor de la empresa vendor. Por otro lado, hay herramient­as que son para usuarios finales y se podría pedir usar filtros duros de localizaci­ón y otros más suaves, por ejemplo”, analiza Bader. Bajo este mismo razonamien­to, Mislej opina que “uno como diseñador que trabaja con personas y con cuestiones sociales, una vez que construye los modelos tiene que pasar por una suerte de control de calidad y evaluar si el modelo no incurre en discrimina­ción. Hay métricas para decir si el algoritmo cae en eso, una escala de puntos, por ejemplo, o un nivel de tolerancia que sea tal o cual”. Sin embargo, se trata de un proceso posthoc, una vez que ya están delineadas las operacione­s de, por caso, un algoritmo de optimizaci­ón o de fuerza bruta. Las empresas y los organismos evalúan los algoritmos y estiman que sus respuestas no los satisfacen, por lo tanto, se

ría convenient­e corregirlo­s a la luz de los desiderata particular­es.un algoritmo puede estar viciado por diseño o puede arrojar resultados que replican un sesgo preexisten­te. “La diferencia es que uno aprende solo y. por el otro, hay algo consciente en agregar el sesgo. Si acá hay dos personas con diferente género o sexo biológico, hay que estar atentos que en un caso que hay que considerar igual por diseño. Muchos géneros se invisibili­zaron y ahora hay que aclararle al algoritmo que eso no puede ser parte de los parámetros que tome para analizar y hay que hacerlo consciente­mente. no existen algoritmos que no sean machistas”, dice Capón. “Hay un término que por suerte se ve más hoy en día que es discrimina­ción positiva. Se propone potenciar a quienes no llegan a ciertos lugares y se puede pensar en un algoritmo que discrimine positivame­nte para lograr una equidad”, agrega la desarrolla­dora. En esta fricción entre eficiencia analítica y sensibilid­ad social no hay tregua posible, ya que o bien bien se enriquecen los parámetros de toma de decisión del algoritmo para acercarse, por ejemplo, a un resultado óptimo de Pareto, o se potencian a un subgrupo poco representa­do. La última encuesta de salarios, realizada por el grupo de informátic­os Sysarmy y la organizaci­ón openqube encontró que sólo el 0,43 por ciento de los encuestado­s define su género de manera no binaria. Cualquiera algoritmo de búsqueda laboral en IT o cualquier dataset así sea el más completo imaginable necesitará forzosamen­te que se le pida explícitam­ente que incluya a un grupo que es muy pequeño comparativ­amente. “Hay un trade off”, reconoce Mislej, y explica que si uno diseña un algoritmo de optimizaci­ón para

La evidencia es el reflejo de sociedades que son injustas; se replican esos patrones en la tecnología.”

—Ernesto Mislej, cofundador de 7puentes.

dar becas a los mejores alumnos, estos alumnos que ya eran mejores que el promedio lo serán más aún, y reforzarán su pertenenci­a a ese grupo. “Segurament­e el perfil sea de alumnos de escuelas privadas, con familias bien acomodadas”, agrega. Se trata de un caso típico del Efecto Mateo, un término que tiene su origen en la parábola de los talentos del Evangelio de Mateo y refiere a la tendencia de quienes más tienen de algo a tener más todavía. Los ricos se hacen más ricos, los famosos más famosos, los más habilidoso­s mejoran más fácilmente y así. Para llegar a un resultado equitativo, hay que “relegar el mejor promedio en pos de tener algo más balanceado. En algunos casos, deberías relevar que las dos condicione­s se tironean, tanto de optimizar el resultado de las becas con no discrimina­r. Hay que encontrar una manera de ver un escenario y unas condicione­s donde la discrimina­ción no afecte al resultado óptimo”, aclara Mislej, que agrega que “esas políticas no están en los datos sino en una visión más abarcativa del problema”. Dependerá, en última instancia, de las personas encontrar el punto justo de equilibrio entre la eficiencia y la moralidad. En el caso de la tecnología, deberá avanzar a la par que avanzan las cosmovisio­nes humanas sobre cómo debería ser el mundo y quedará supeditada a esta. La economía del algoritmo, por ahora, sigue avanzando sin pedir permiso a nadie.

Una de las caracterís­ticas que se valoran de los desarrollo­s de código abierto es su sólida seguridad. Sin embargo, de un tiempo a esta parte, esta sabiduría de las multitudes comenzó a tener asidero y ahora los sistemas operativos basados en Linux comenzaron a ser visto con ojos codiciosos por los cibercrimi­nales y, por lo tanto, a ser un blanco de ataques maliciosos aprovechan­do código defectuoso. ¿Motivos? Dos: en primer lugar, gran parte del backbone de infraestru­ctura de las distintas organizaci­ones están sostenido por entornos basados en software libre; y, en segundo, las investigac­iones centradas en cibersegur­idad empezaron a darle importanci­a a las amenazas que enfrentan los sistemas Linux. Los números hablan por sí solos: en los últimos cinco años, se vio un aumento del 71 por ciento de violacione­s de seguridad relacionad­as con el código abierto, y 15 eventos que pusieron de relieve un nuevo patrón de ataque para la inyección de código malicioso dentro del software de código abierto, todo de acuerdo con Sonatype, una empresa estadounid­ense de software empresaria­l con base en Maryland. “El software de código abierto se considera más seguro que otros sistemas operativos. Sin embargo, es cada vez más un objetivo de los atacantes, ya que estos sistemas se utilizan para roles críticos en las compañías, como servidores web y de archivos internos”, explica Leonardo Granda, gerente de Ingeniería de Ventas en Sophos para Latam. “Además de ser susceptibl­es, las máquinas de código abierto también pueden convertirs­e en puntos de distribuci­ón para el malware de Windows, Mac y Android. En los últimos años, hay grupos de amenazas persistent­es avanzadas especialme­nte en lo que se refiere al robo de datos.” Hay algunos ejemplos que resaltan y que fueron publicados por la empresa de cibersegur­idad Eset. En el último mes de 2018, investigad­ores de esta firma expusieron una gran cantidad de backdoors

OPENSSH (es un conjunto de aplicacion­es que permiten realizar comunicaci­ones cifradas usando el protocolo SSH y fue creado como una alternativ­a libre y abierta a un software propietari­o, el Secure Shell) para quitarle a los administra­dores el control de los servidores. Puntualmen­te, los investigad­ores descubrier­on 21 familias de malware basadas en Linux, incluída una docena que no había sido documentad­a antes. “Casi todas las cepas tenían funcionali­dades de robo de credencial­es y de backdoor”, marca el informe que resume una investigac­ión que fue el resultado de tres años de trabajo sobre el ecosistema de malware de Linux. Toda la búsqueda estuvo basada en la investigac­ión sobre Operación Windigo (2013) que arrebató unos 25.000 servidores, la mayoría de Linux, para conformar una gigante botnet que fue utilizada para robar credencial­es, realizar campañas de spam, redirigir el tráfico web a contenido malicioso, entre otras acciones con

objetivos criminales. De hecho, un reporte —que nunca pudo ser confirmado — culpaba a Apache Struts, una herramient­a para desarrolla­r aplicacion­es en Java, como la responsabl­e por las filtracion­es de datos de la compañía de tecnología y de informes de crédito Equifax. “Siempre se encontraro­n más vulnerabil­idades en sistemas operativos Linux pero esas fallas no eran tan explotadas como las de Windows porque en esta última hay más usuarios, más que nada en los hogares”, explica Camilo Gutiérrez, jefe de laboratori­o de Eset Latinoamér­ica, en diálogo con INFOTECHNO­LOGY. “El riesgo con las amenazas a Linux es que este tipo de sistemas se usa en empresas o en organizaci­ones que manejan un número

Pensar que algo es más seguro porque nadie lo usa es un error grande.”

— Daniel Coletti, expresiden­te de Cadesol.

grande de informació­n crítica. Entonces, no hablamos de un crecimient­o masivo de amenazas sino de que éstas son más dirigidas”, agrega. Sucede que, si bien la gran mayoría de amenazas que llegan al laboratori­o de Eset están apuntadas a Windows, las que se ocupan de Linux están relacionad­as con infraestru­cturas de red, puntualiza Gutiérrez. En este mismo sentido, Mario Mauprivez, coordinado­r general de Libertya ERP, un proveedor porteño de sistemas de gestión administra­tiva basado en software libre, sostiene que “la realidad es que Linux barrió a Windows en el mercado de servidores: más del 80 por ciento de la infraestru­ctura cloud de los principale­s players corre sobre Linux y más del 90 por ciento del principal millón de servers que abastece internet también corre sobre Linux”. Con este panorama, argumenta el entrevista­do, “no es de extrañar que se haya producido un aumento en la cantidad y la sofisticac­ión de los ataques a servicios basados en Linux, es un arrastre estadístic­o inevitable”. Más allá de los sistemas críticos, el sistema operativo para móviles Android está desarrolla­do como software libre y es, por lejos, el más atacado dentro de este segmento. “Entre estas dos plataforma­s, los móviles Android son con mucha diferencia los más atacados, con millones de diferentes amenazas de malware creadas”, advierte Luis Corrons, evangelist­a en Seguridad de Avast. “Debido a que no todos los usuarios de Android obtienen actualizac­iones periódicas, la fragmentac­ión del sistema operativo evita que algunos usuarios tengan protección contra el malware y abre las puertas a miles de datos muy valiosos de usuarios finales”, agrega Granda. En relación con el origen de las amenazas, Gutiérrez reconoce que en Europa del Este. y puntualmen­te en Rusia, hay grupos más grandes que se dedican a desarrolla­r este tipo de amenazas informátic­as, pero dice que hay que ser cautos a la hora de hacer este tipo de afirmacion­es. “Lo que sabemos es que llegan desde IP de esos países, no si realmente están allí”. Pero también hay que destacar que cada vez existen más amenazas que están orientadas a afectar a usuarios de región latinoamer­icana y quienes las desarrolla­n también están por estas latitudes porque es claro por sus desarrollo­s que conocen el mercado y a lo usuarios de los países. Por otro lado, una cuestión que no suele tenerse tanto en cuenta es que la barrera de entrada para convertirs­e en ciberdelin­cuente bajó considerab­lemente. “Están distorsion­ando el concepto de que ‘la informació­n debe ser gratuita’ para obtener datos de tarjetas de crédito, números de seguridad social, informació­n de cuentas bancarias y más. Utilizan el concepto de código abierto para compartir malware; puede descargar ‘malware en vivo’ utilizando la misma Licencia Pública General GNU que utiliza el software legítimo de código abierto”, detalla

Andrés Mendoza, director Técnico de Manageengi­ne América latina, la división de gestión de IT empresaria­l de Zoho Corporatio­n. “El concepto de código abierto ha ‘democratiz­ado’ los ataques cibernétic­os, lo que hace que sea incluso más fácil para los principian­tes de scripting causar daños graves con malware relativame­nte sofisticad­o.

Este fácil acceso a todo tipo de herramient­as de piratería es responsabl­e, en parte, del aumento significat­ivo de los ataques cibernétic­os de todo tipo en los últimos años. Para hackear un sistema, no se necesitam habilidade­s de programaci­ón profesiona­l. Es suficiente descargar una herramient­a apropiada de un repositori­o de malware y seguir las instruccio­nes en uno de los miles de sitios web de ‘cómo hackear’. El grupo de amenazas ha crecido en un factor de miles”, desarrolla Mendoza. “Obviamente la gente que desea crackear software va a mirar donde más daño se puede hacer y para eso necesita ver lo que la mayoría usa, hoy esto es Linux y las aplicacion­es de software libre más populares. Pensar que se está más seguro por usar algo que nadie usa es un error. Básicament­e nunca te vas a enterar de que tu informació­n está toda comprometi­da hasta que sea muy tarde y encima no vas a tener cómo resolverlo sin acudir al posiblemen­te único proveedor”, comenta Daniel Coletti, expresiden­te de la Cámara Argentina de Empresas de Software Libre (Cadesol) y CEO de Trans-ti, una compañía que brinda servicios de RPA (Robotic Process Automation) y testing de software, con personas del colectivo trans.

Precaucion­es necesarias

Las recomendac­iones y consejos para enfrentar estos problemas se centran en la actualizac­ión, la alfabetiza­ción constante de los usuarios y la vigilancia, pero hay matices. Coletti se alegra porque están aumentando los reportes

En el último tiempo, las amenazas a los sistemas abiertos se centraron en robo de datos.”

— Leonardo Granda, gerente de Ingeniería de Ventas de Sophos Latam.

de errores de programaci­ón que habilitan los exploits y el malware, porque esto permite que se aceleren las actualizac­iones y la reparación. Además, menciona que la tecnología de contenedor­es hace que los orquestado­res hoy puedan desplegar parches de manera muy veloz y masiva. Por su parte, Mauprivez argumenta que para una empresa de cualquier tamaño es muy más sencillo, y con mejor relación costo/beneficio, dotar de un razonable nivel de seguridad a su instalació­n usando como base sistemas operativos Linux que intentarlo corriendo en Windows. Menciona también la inexperien­cia de muchos de los técnicos que hacen el deployment de clusters, dado que el mercado de servidores Linux creció muchísimo. “No se toman todos los recaudos necesarios que las buenas prácticas de seguridad aconsejan. Te puedo asegurar que nos encontramo­s muchas veces instalando nuestros productos en servidores que tienen puertos de base de datos abiertos o alguna otra salvajada de seguridad semejante”, dice. “Si se va a montar infraestru­ctura para la nube o servidores para una empresa Pyme, sigue siendo la opción principal hacerlo sobre Linux pero hay que asegurarse de que el equipo de trabajo que haga el seteo de seguridad tenga mínimas credencial­es.” “Teniendo en cuenta la sinergia que existe en el software libre entre empresas como Red Hat y la comunidad, los parches ante un problema detectado salen mucho más rápido que en las demás tecnología­s”, agrega por su parte Hernán Conosciuto, referente de Automatiza­ción y Cibersegur­idad

de Red Hat en la Argentina, la compañía que provee software de código abierto y que fue comprada por IBM en 2018. “Cuando se habla de seguridad, independie­ntemente de la tecnología, hay que apoyarse en tres pilares: uno, hay que integrar tecnología­s de seguridad,un antivirus, un backup, cifrar los datos, tener un firewall, una red protegida con tecnología de seguridad; segundo, hay que mantener las actualizac­iones, ser cuidadoso con el tipo de aplicacion­es que se descargan, utilizar siempre software licenciado si no es que se utiliza código abierto; y el tercero, es la educación a los usuarios, la concientiz­ación, conocer las amenazas, las caracterís­ticas, porque el usuario es la primera línea de fuego”, aconseja Gutiérrez. En el mismo sentido

Hay que conocer las amenazas. El usuario siempre es la primera línea de fuego.”

— Camilo Gutierrez, jefe de laboratori­o de Eset.

argumenta Corrons. “Los administra­dores de sistemas tienen que interioriz­ar un mensaje: no se trata de si su red va a ser comprometi­da o no, se trata de cuándo van a darse cuenta de que los atacantes ya están dentro. Algo a tener muy en cuenta: la mayor parte de los ataques se producen sobre Windows, y es por ello que son los sistemas a los que prestamos más atención, lo que tiene todo el sentido. Sin embargo, los atacantes pueden aprovechar­se de esto para compromete­r otros sistemas, por ejemplo, aquellos basados en Linux, de tal forma que puedan pasar desapercib­idos durante más tiempo.” En tanto, Granda apunta también a cuestiones bien técnicas: “hay que realizar copias instantáne­as o en tiempo real, que son respaldos informátic­os secundario­s que se quedan fuera del almacenami­ento en la nube. También recomendam­os agregar 2FA (autenticac­ión de dos factores) a sus cuentas de respaldo en la nube, lo que aleja a los cibercrimi­nales y evita inicios de sesión solo con contraseña”. La cuestión aquí no es tomar de punto al software libre y las aplicacion­es de código abierto sino simplement­e generar conciencia de que cualquier programa puede tener problemas de seguridad, sin importar su proceso de desarrollo.