Etiqueta: EEUU

Legal Hacking (XIII)

Autor de la entrada Por Roberto Espinosa Blanco
Fecha de la entrada 14/07/2022
No hay comentarios en Legal Hacking (XIII)

Casi a un post anual, a este ritmo de crucero sigue este Manual para Disruptores. En ese (fluido) esquema que tengo en la cabeza sobre cómo quería llevar esta serie de artículos, probablemente este sobre Legal Hacking habría ido un poco más atrás (al ritmo actual probablemente sería para el 2030 o así), pero la realidad manda, y esta semana hemos estado todos liados leyendo sobre Uber a través de los Uber Files.

Más allá de lo que opinemos sobre lo que ha hecho Uber, lo cierto es que será durante mucho tiempo un caso de estudio sobre el Legal Hacking y el tipo de cosas que se pueden englobar en ese concepto. Con este post, dejamos atrás la parte del Manual en la que hemos estado hablando de tipos de disrupción (no prometo no volver con alguna otra) y empezamos con la de tácticas que nos pueden ayudar a conseguir esas disrupciones.

Pero antes de empezar, ¿qué es legal hacking? La respuesta sencilla, «hackear» el sistema legal. Y basándonos en la definición de hacker, podríamos decir que es solucionar obstáculos o problemas utilizando la tecnología en maneras no estándares, en este caso, esos obstáculos o problemas están relacionados con la legislación (o su ausencia), burocracia, o en general el sistema legal.

Existe una organización global que se llama Legal Hackers. que de hecho tiene un capítulo en Madrid, que se define así: Legal Hackers es un movimiento global de abogados, legisladores, tecnólogos y académicos que exploran y desarrollan soluciones creativas a algunos de los problemas más apremiantes en la intersección del derecho y la tecnología.

Pero siguiendo con la analogía, podríamos hablar de hackeos blancos o negros. Los blancos son aquellos que lo hacen de forma ética intentando no aprovecharse de la situación y ayudar a mejorar el bien común. Mientras que los negros, además de saltarse las leyes de forma habitual (los blancos hay ocasiones en las que también), lo hacen puramente por beneficiarse personalmente del hackeo.

Claro, aquí entramos en el resbaladizo mundo de la moral. Qué es bueno y qué es malo. Y ya se sabe que la moral es cómo los culos, la moral de cada uno es siempre un poco diferente a la de al lado, aunque vivan en la misma sociedad y cultura. Así que lo que para una persona es algo perfectamente aceptable, para la que está al lado será un pecado mortal.

En el hacking legal pasa esto. Para empezar, sobre todo para muchos legalistas, cualquier acción por muy bien intencionada que sea que signifique saltarse la Ley será moralmente inaceptable. Pero después, a medida que la moral de una sociedad también cambia, cosas que antes eran inaceptables pasan a normal muy rápidamente.

Así que cuando hablamos de disrupción, acordaros de la definición que dimos, y legal hacking, estaremos siempre en una zona eminentemente gris, en la que estamos intentando cambiar de forma radical una industria, algunas veces para generar riqueza o mejorar el bienestar de la sociedad, pero siempre para beneficio propio de la startup utilizando esta táctica. ¿Moral? Pues cómo siempre, depende…

Por si fuera poco, todo esto se complica por cómo los sistemas legales de los países consideran nuevas actividades muchas veces nacidas alrededor de una nueva aplicación de la tecnología, y que por lo tanto, no está regulado. En general, en EEUU las actividades no reguladas se podría decir que están «bajo observación». No son ilegales, se espera que la industria naciente llegue a una especie de autoregulación, y luego se procede a la regulación en base a lo aprendido en esa fase. En Europa sin embargo, se asume que lo no regulado es ilegal por definición. No es de extrañar, que las startups que más utilizado esta táctica sean americanas, y que cuando salta a este lado del Atlántico entren cómo un elefante en una cacharrería.

Cómo os decía, probablemente la empresa que de forma más decidida y descarada ha utilizado el legal hacking ha sido Uber. Pero podríamos coger todas las startups de eso mal llamado economía colaborativa (airbnb, deliveroo, etc). Dicho esto, también hay ejemplos que a priori podríamos considerar «blancos», muchas startups han nacido y crecido con el propósito de ayudar a disidentes o personas que viven en regímenes autoritarios a proteger sus comunicaciones, pensad en Telegram por ejemplo.

Pero volvamos a Uber. Hace 5 años ya escribimos sobre la cultura tóxica dentro de Uber, así que nos sorprende poco lo que se ha podido leer en los Uber files. De hecho, la gran parte de lo que se ha publicado ya era público, pero es bastante impactante verlo todo así de golpe. Así que vaya por delante que vamos a utilizar el caso Uber para explicar esto del legal hacking por la amplitud y variedad de herramientas que han utilizado, no porque pensemos que está bien.

Vamos a hacer una breve lista de herramientas o mini-tácticas que se pueden englobar dentro del legal hacking:

-La primera, y más importante, es encontrar un mercado con zonas grises desde un punto de vista legal, y que la tecnología pueda permitir explotar. Hace muchos años, más de los que quiero reconocer, pero basta decir que fue el siglo pasado, visitando a unos amigos en Nueva York, me enseñaron algo que aquí en España era impensable. Cómo había mucho uso de limusinas en Manhattan, pero muy poco sitio dónde aparcar, una vez los usuarios originales de la limusina llegaban al restaurante o discoteca dónde iban a pasar la noche, los conductores de esa limusina se ponían a dar vueltas a la ciudad hasta que tenían que volver a recoger a sus usuarios originales. Ni que decir tiene, que se estableció un «mercado secundario» de limusinas. Mis amigos me enseñaron que era más fácil parar una limusina vacía para que te llevara un sábado por la noche a cualquier sitio en Nueva York que coger un taxi. Esto fue la base de Uber inicialmente. Por lo que parece, pasaba algo similar en San Francisco, así que Uber nació para ayudar a contratar a estas limusinas que estaban ociosas y compartir el trayecto entre varias personas (que podían no conocerse). Cuando esto fue escalando y hubo conductores que ya querían hacer de Uber su principal negocio, Uber empezó a explorar las zonas grises de la gestión de las licencias de taxi en EEUU.

-Es importante estar por «debajo del radar» de las autoridades lo más posible mientras generas una base de usuarios grande y contenta. Nada de grandes anuncios, marketing de guerrilla, boca a boca y si eres un marketplace, hacer ganar dinero fácil a una parte y ahorrarse dinero a la otra.

-En ese esfuerzo para estar por debajo del radar, a veces se pueden utilizar herramientas tecnológicas que te ayuden a ello. En el caso de Uber, utilizaron una herramienta desarrollada en la casa llamada Greyball. Con esta herramienta, conseguían hacer que determinadas personas vieran una versión diferente de Uber. Por ejemplo, si en una ciudad Uber no podía operar en el aeropuerto, lo que vería un usuario (un político local, un policía…) afectado por Greyball es que ningún coche de Uber llegaría al aeropuerto cuando en realidad sí que lo estaban haciendo. Más adelante, Uber también diseñó un sistema (killswitch) por el que si alguna de sus oficinas era objeto de registro por parte de las autoridades locales, en menos de 10 minutos conseguían cortar el acceso desde esa oficina a todos los documentos de la empresa… ventajas del cloud.

-Una de las claves del legal hacking es que cuando las cosas se pongan feas tengas unos usuarios que sean fans para que sean tus defensores. Una vez las autoridades empiecen a mirar el tema, y quieran regularlo, ponerle impuestos o limitarlo, los usuarios serán los que salgan en tu defensa. Y los usuarios son votos. Además, es importante posicionar al status quo existente cómo algo casposo, antiguo, lleno de rentistas y monopolistas. Si consigues eso, la batalla será más fácil.

-Y para esa batalla necesitas abogados, un montón de abogados. Y no son baratos, así que es necesario que te pille con la caja llena, por tus inversores o porque tu negocio ya es grande.

-Pero si los abogados son caros, más caros son aún los lobistas. No tenemos información del presupuesto en abogados de Uber, pero sí (es obligatorio declararlo en EEUU) del presupuesto que se gastaba Uber en lobby al gobierno federal en EEUU (ojo, esto no cubre lo que se gastaban localmente o estatalmente, ni por supuesto, fuera de EEUU).

-Hablábamos antes de lo importante que es poner a la gente de tu parte y de construir una imagen de que tú estás en una cruzada para mejorar el mundo. En el caso de Uber fue subirse al carro de la economía colaborativa. Pero hay muchos temas dónde elegir… hay que posicionarse desde el principio como una empresa con propósito (en inglés queda mejor, purpose)

Pero algo importantísimo en lo que no todo el mundo cae, es que la victoria en esta batalla del legal hacking no es que te dejen en paz, sino que te regulen. Si lo has hecho bien hasta aquí, te empezarán a regular, pero no a prohibir. Y si te regulan, lo que está pasando es que de facto se están generando barreras de entrada a otros competidores.

Por no hablar sólo de Uber, veamos lo que ha pasado en España con Airbnb. La regulación que ha surgido en muchas ciudades y CCAA sobre los alquileres turísticos ha sido muy restrictiva. Tan restrictiva que en muchos casos ya no hay hueco para más… ¿y quién estaba ya antes? Por supuesto, AirBnb que se ha quedado cómo monopolio de facto en ese mercado. Algo parecido ha pasado con los vehículos de turismo con conductor (VTC), ¿pensáis que les saldrán nuevos competidores a las existentes?

Cómo decíamos al principio, no escribimos esto para justificar ni censurar el legal hacking. Es una táctica que está ahí fuera, que es posible con los recursos adecuados, y que ha demostrado que puede ser disruptiva. Eso sí, si la vas a utilizar en tu startup, vas a necesitar mucho dinero así que ten a los inversores adecuados. Uber ha levantado más de 25000 millones….

@resbla

negocios

La DGT quiere su Google Maps

Autor de la entrada Por Roberto Espinosa Blanco
Fecha de la entrada 08/06/2022
No hay comentarios en La DGT quiere su Google Maps

Es probable que nadie se haya dado cuenta (ni echado en falta) que este blog lleva unas semanas de inactividad. Y eso a pesar de que los technobits han seguido fieles a su cita de cada semana en Capital Radio.

Pero se han juntado dos cosas. Por un lado sigo en estado de shock ante la realidad de que en pleno siglo XXI se pueda estar produciendo una guerra imperialista y colonizadora en plena Europa. Esto de hecho a absorbido mucha de mi atención estas últimas semanas. De hecho, muchos de los últimos technobits han girado alrededor del uso de tecnología en la guerra, pero dado no quería trivializar temas tan serios, he decidido que era mejor no escribir sobre ello.

Además, he cambiado de trabajo. Hace muy pocas semanas me he incorporado a Ultimaker, el líder mundial en impresoras 3D profesionales, y cómo os podéis imaginar, ando un poco liado.

Pero bueno, creo que va siendo momento de recuperar la costumbre de escribir en el blog, y a pesar de que la guerra sigue estando ahí sin ningún ápice de menor barbarie, creo que también es bueno mirar a otras cosas que pasan.

Esta semana saltaba a las noticias el Pliego de Prescripciones Técnicas para la Plataforma del Vehículo Conectado DGT 3.0 dotado con casi 4 millones de euros. De todo esto hablamos en este technobits de Capital Radio con Luis Vicente Muñoz:

https://resbla.com/wp-content/uploads/2022/06/dgt-30.mp3?_=1

Este pliego es un paso importante dentro del plan DGT 3.0 (supongo que pensaron que DGT 3.0 era más moderno que eDGT) anunciado hace un año. El objetivo según se lee en la introducción del pliego es la «utilización de una plataforma tecnológica que permita mantener conectados en tiempo real a los distintos usuarios de la vía ofreciéndoles, en todo momento, información del tráfico en tiempo real y permitiendo así lograr una movilidad más segura e inteligente».

La DGT quiere aprovechar los datos que se generan a través de apps ya existentes por los usuarios de las carreteras, pero sobre todo, los datos que generarán de forma autónoma los coches y sistemas de seguridad. Algunos de los ejemplos que cita la DGT es cómo los coches podrán dar un aviso de que se han activado los limpiaparabrisas por lluvia, o cómo las nuevas balizas de emergencia V16 darán el aviso de que se han activado y por lo tanto sus propietarios necesitan ayuda antes de que éstos puedan siquiera avisar al 112.

Con toda esta información la DGT espera tomar decisiones en tiempo real que ayuden a la circulación, y compartir todos esos datos con los diferentes sistemas conectados para que también conductores (y vehículos) puedan tomar sus propias decisiones.

La DGT se intenta adelantar a los más que obvios reparos sobre privacidad. En el pliego la DGT pide que los datos se anonimicen, sean los menos posibles, y que se disocie la información de conductores y ocupantes de la del vehículo.

Todo esto a priori suena muy bien. La DGT intentando mejorar la seguridad de los usuarios de las carreteras. Pero quizá soy demasiado quisquilloso, veo dos grandes problemas en este proyecto.

Para empezar, esto que la DGT llama DGT 3.0 ya existe, y de hecho existen versiones mejores y más completas que lo que quiere construir la DGT. Una de ellas se llama Google Maps y existe desde hace 17 años.

Google Maps no sólo es una «plataforma tecnológica que plataforma tecnológica que permita mantener conectados en tiempo real a los distintos usuarios de la vía ofreciéndoles, en todo momento, información del tráfico en tiempo real y permitiendo así lograr una movilidad más segura e inteligente», sino que hace predicciones (que comparte con sus usuarios), ofrece alternativas, permite a sus usuarios compartir información sobre el estado de las vías, y además añade información sobre alternativas al coche y demás servicios disponibles cómo parkings, restaurantes, etc…

Uno se pregunta si no sería más sencillo, rápido y barato si la DGT utilizara Google Maps. No creo que Google (y el resto de aplicaciones similares) tarde mucho en incorporar los datos que compartan coches y demás elementos de seguridad. De hecho, si tuviera que apostar algo, estoy seguro de que los fabricantes de automóviles intentarán que sus sistemas se integren antes con Google Maps que con la DGT 3.0. Así que no tengo muy claro la utilidad adicional que la DGT sacará de tener una plataforma propia, salvo que el objetivo sea otro, claro.

Y luego está el tema de la privacidad. Cómo demostró el New York Times hace unos años, es muy sencillo «desanonimizar» datos anónimos sobre traslados cómo los que quiere gestionar la DGT 3.0. El NYT consiguió monitorizar los movimientos del presidente de EEUU con esos datos, así cómo el diferentes altos cargos de seguridad.

En realidad, es bastante sencillo. Si mezclas información pública, información sobre una persona en concreto que bien puede ésta compartir a través de sus redes sociales, la prensa cómo en el caso del presidente de EEUU, o simplemente su lugar de trabajo, con información sobre movimientos anónimas pero que llevan asociados la hora a la que ocurren, no hace falta mucho más para asociar nombres a movimientos. Esto además significa exponer no sólo los traslados públicos, sino que luego es muy sencillo también identificar los movimientos que se supone que son privados.

En definitiva, por mucho que la DGT nos prometa que los datos serán anónimos, alguien con acceso a esos datos tendría muy sencillo «desanonimizarlos». Además, en ningún sitio se dice que habrá una opción de denegar el acceso a tus datos a la DGT 3.0, algo que sí que es posible con Google Maps por ejemplo.

Y aquí entramos en un debate interesante. ¿Por qué compartimos nuestros datos «alegremente» con Google y deberíamos tener reparos para hacerlo con la DGT?

Se me ocurren varias respuestas, algunas incluso para defender que la DGT tendría que tenerlos por delante de Google… Pero por resumir, por lo que sabemos del proyecto, la DGT 3.0 está más pensado para ayudar en la gestión a un burócrata que en generar valor individual a sus usuarios. No infravaloro el que nos pueda avisar de atascos, accidentes y demás. Pero es que eso ya lo tenemos…

Además, soy consciente de los riesgos que corro al compartir mis datos con empresas como Google. Pero compartirlos además con otra organización, organización que además no tiene ninguna obligación de rendir cuentas con sus usuarios (si Google Maps me defrauda, siempre puedo cambiarme de proveedor o desconectarme), es añadir otro eslabón a la cadena que además parece más débil que los otros.

Así que de nuevo, quizá soy muy pejiguero y quisquilloso, pero no me gusta el proyecto DGT 3.0

@resbla

Etiquetas 112, Capital Radio, coche conectado, DGT, dgt 3.0, EEUU, emergencias, google, google maps, IoT, new york times, nyt, privacidad, technobits, tráfico, Trump, v16

blog

Juegos de espías

Autor de la entrada Por Roberto Espinosa Blanco
Fecha de la entrada 21/01/2022
No hay comentarios en Juegos de espías

Estamos en unos días en los que no dejamos de mirar a lo que está pasando en la frontera entre Rusia y Ucrania. Impresiona el despliegue militar, que en muchos casos nos recuerda películas bélicas.

Esperemos que esto no acabe cómo una película de guerra, y sí cómo una película de espías dónde cosas que ocurren en la sombra terminan evitando el conflicto en el último momento. La semana pasada ocurrió una cosa que podría haber salido de un guion de espías de Hollywood, esperemos que sea una señal de que habrá final feliz a esta crisis.

De todo esto hablamos en este technobits de Capital Radio con Luis Vicente Muñoz:

https://resbla.com/wp-content/uploads/2022/01/revil.mp3?_=2

En mayo del año pasado, la petrolera Colonial sufrió un ataque por ransonware. La situación fue tan grave que la compañía no pudo seguir operando lo cual desembocó en una crisis enorme en gran parte de la costa oeste de EEUU con gasolineras vacías, vuelos sin poder operar y con problemas en la distribución de gas. El presidente de EEUU tuvo que declarar el estado de emergencia en 17 estados.

Colonial terminó pagando el rescate de varios millones de dólares y consiguió recuperar el control de sus sistemas. Desde el principio se sospechó de un grupo mafioso ruso especializado en este tipo de ataques que busca conseguir millonarios rescates rápidamente de empresas principalmente americanas.

La cosa parecía que se quedaría ahí, pero la semana pasada saltó la noticia. La FSB rusa, unas fuerzas de seguridad de élite, había detenido a 2 sospechosos de pertenecer a REvil, el grupo al que finalmente se culpa de estos ataques. Incluso publicaron vídeos de la detención.

Below is a video of the FSB’s REvil raids pic.twitter.com/Oh7Ef2GpQO

— Catalin Cimpanu (@campuscodi) January 14, 2022

Y esto no puede ser más raro, y más, teniendo en cuenta el momento en el que estamos. La tensión entre EEUU y Rusia no puede ser más alta. Justo cuando escribo esto están a punto de empezar una nueva ronda de negociación en las que nadie tiene ninguna esperanza. Aunque no es una sorpresa que la ciberseguridad está encima de la mesa de negociaciones. De hecho, Ucrania está siendo el objetivo de numerosos ciberataques estos días.

Que Rusia actúe contra delincuentes nacionales en territorio nacional a petición de un país extranjero es algo extremadamente raro. Parece que es la primera vez en 8 años que EEUU y Rusia colaboran en una situación así.

Y quizá otra gran sorpresa, es que aunque los rescates los cobraban en cibermonedas, su escondite estaba repleto de pilas de dinero contante y sonante. Por cierto, la denuncia contra ellos ha sido por uso de medios de pago ilícitos.

Esperemos que cómo en las películas, esto haya sido un gesto de una de las partes para rebajar la tensión, seguramente uno entre muchos otros de los que nunca sabremos nada. Para los que nos gustan las películas de espías, esto debería acabar con una ceremonia de imposición de medallas secreta a espías que consiguieron evitar la guerra en Ucrania.

@resbla

Etiquetas Capital Radio, ciberterrorismo, EEUU, espías, fsb, ransomware, revil, rusia, technobits, ucrania