Selecciona Edición
Entra en EL PAÍS
Conéctate ¿No estás registrado? Crea tu cuenta Suscríbete
PHILIP EVANS | EXPERTO EN CIBERSEGURIDAD

“El ‘big data’ puede usarse contra ti”

El experto advierte de que los grandes volúmenes de datos pueden descubrir patrones "que ninguna información individual revelaría"

Ampliar foto
Evans posa ante las pantallas del Centro de Innovación de BBVA.

Estudió en Cambridge, se doctoró en Harvard, dirige un instituto en Oxford. Philip Evans, experto en ciberseguridad y grandes volúmenes de datos, nació en 1950 en Plymouth (Reino Unido), el escenario de uno de los episodios cruciales de la Armada Invencible, que Evans menciona con ironía para confraternizar sobre su relación con los españoles: "Todo está olvidado, me dicen los militares de la Armada aquí". Por confidencial, no detalla el contenido de su trabajo, pero asesoró al Ministerio de Asuntos Exteriores de Japón. Emplea metáforas bélicas para ilustrar las oscuras dinámicas de los ciberataques —como a los hunos empujando a los germanos a invadir Roma— sin que acierte a decir quiénes interpretarían, en la actual guerra de ciberataques, el papel de los bárbaros. Ha pasado por Madrid para presentar el libro Reinventar la empresa en la era digital de BBVA Openmind, donde escribe sobre cómo el big data transformará las empresas.

En China hay relaciones muy estrechas entre las empresas de 'big data' y el gobierno: se ayudan y se pasan información mutuamente

¿Cuál es el mayor reto tecnológico que afronta el big data? ¿La capacidad de almacenar datos, la velocidad de transmisión, la conexión entre ordenadores para que trabajen conjuntamente...?

El mayor reto no atañe a la tecnología en sí, sino a los fallos o el mal uso del hardware o el software: a la seguridad. El big data tiene un poder tremendo de hacer el bien, pero solo por lo catastróficas que pueden ser las consecuencias de un fallo —por accidente o por ataque— puede conllevar un problema muy grave. También existe el problema de la privacidad y de quién es el dueño de los datos. Aquí hay mucha ambigüedad. El coste cero de la transferencia de datos de una persona o una institución a otra implica que tus datos pueden terminar en lugares sorprendentes, que ni apruebes, y sobre los que ni siquiera tengas conocimiento o los derechos legales para impedirlo. La cuestión está en el aire. Por ejemplo, las compañías médicas agradecerían un marco legal que ahora brilla por su ausencia.

Un ciudadano de a pie podría decir "y a mí qué". ¿Cuáles son los motivos principales para preocuparse?

El primero, porque el big data puede usarse contra ti. Una compañía de seguros de coches podría usar los datos telemétricos que recoge tu coche para saber si eres un mal conductor o no. Ahora mismo eso sería bueno, porque te podrían decir: "Sabemos que eres un buen conductor y te vamos a ofrecer un descuento", y el cliente se quedaría tan contento, pero, con el tiempo, cuando ya se haya identificado a un número suficiente de personas como buenos conductores, el resto pasará a considerarse, por definición, malos. A partir de entonces el big data se usará no para premiar a los buenos, sino para castigar a los malos. Pero hay un segundo motivo de preocupación. En los datos se pueden descubrir patrones que ninguna información individual revelaría. Nuestra disposición a expresar libremente opiniones, a mantener una independencia política, se ve comprometida. Está el problema del uso de los datos por parte de los gobiernos con afán de protegernos de amenazas terroristas, sí, pero también está la gente a la que se rechaza para un empleo porque a la empresa no le gusta tu Facebook. Hace diez años lo que hubieras hecho en una fiesta de estudiantes tiempo atrás era intrascendente a efectos de tu empleabilidad. Hoy no. Eso cambia la naturaleza de las fiestas estudiantiles. La consciencia de que estamos siendo observados hará que la gente se vuelva conformista y pierda individualidad. Eso, si ocurre, tendrá un coste colosal. Así que necesitamos un marco regulatorio que nos proteja de la tecnología.

La consciencia de que estamos siendo observados hará que la gente se vuelva conformista y pierda individualidad

¿Es factible un marco legal mundial?

En teoría, sí. Hace unos treinta años la Comisión Federal de Comercio de Estados Unidos puso en marcha sus Estándares Federales de Procesamiento de la Información (FIPS en inglés) que regulaban el intercambio de datos como un contrato y que fueron la base de muchas leyes nacionales. La cuestión es que ese marco se ha quedado obsoleto con el big data. y que los gobiernos y las empresas muestran un enorme desacuerdo. Incluso dentro de la Unión Europea lo hay. De resultas de eso, te encuentras con países con leyes muy laxas y a las grandes empresas les puede interesar mover su procesamiento de datos a algún lugar del Caribe porque no le cuesta nada.

¿Una especie de paraísos fiscales, pero para los grandes volúmenes de datos?

Exactamente. Y en ese contexto las grandes empresas tienen que ser cuidadosas, tienen que verse a sí mismas como administradoras de los datos de los usuarios, no como sus dueñas. Si eres administrador tienes obligaciones, reglas éticas. Las empresas tienen que pensar en esas reglas como parte de su marca. No lo hagas porque estás obligado legalmente, hazlo porque forma parte de tu propuesta de marca.

¿Hablamos de reputación?

Sí. La gente de marketing dice "la marca es la promesa que la empresa hace a sus clientes". Apple y Microsoft subrayan que no usan datos personales. La tecnología NFC de los iPhones está diseñada solo para que se puedan transmitir los datos, pero Apple no puede conocerlos. Microsoft puso en marcha una campaña contra Google resaltando que [Microsoft] no usaba los datos. Así que se está convirtiendo en parte de la estrategia de las marcas, de la competencia entre ellas.

Asumiendo que antes o después las compañías que no sean transparentes recibirán un castigo, ¿quién lo ejercerá antes: la ley o los consumidores?

Depende de la geografía. Los países que son grandes reguladores se verán a sí mismos como adalides de los consumidores, y es probable que los consumidores dejen descansar en ellos su protección. Pero en otros países sucede justo lo contrario: nadie tiene muchas esperanzas de que los reguladores hagan algo, así que habrá movilizaciones de comunidades de consumidores. De este segundo caso, Estados Unidos es un ejemplo. Del primero, los países escandinavos.

Los mejores operadores de 'big data' serían en primer lugar, los de Estados Unidos; en segundo, los de Reino Unido; y después, aunque no sabemos mucho de ellos, Rusia e Israel

¿Qué opina del fenómeno de las compañías especializadas en proteger de ciberataques que pasan información a sus gobiernos nacionales antes que a sus clientes?

En varias partes del mundo, eso ocurre sin lugar a dudas. En Estados Unidos, donde vivo, es más bien un problema. Existe esa suposición de que allí las grandes compañías hacen lo que quieren sin la ayuda expresa del gobierno, pero en otros muchos países, como China, que es quizá el mejor ejemplo, hay relaciones muy estrechas entre las empresas de big data y el gobierno: se ayudan y se pasan información mutuamente. El gobierno tiene interés en la seguridad y espera ayuda de las empresas. Las empresas quieren obtener ventajas frente a competidores externos y quieren que el gobierno promulgue leyes a su medida. Así que no quepa duda de que esta cuestión está en marcha y de que muy probablemente se va a intensificar. Hay un ingrediente de balcanización. Por un lado, tenemos un marco económico que beneficia a los googles, los facebooks, los apples que es contrarrestado por la habilidad de las compañías nacionales en colaboración con sus gobiernos para que dicten leyes contra las compañías globales. Así es, en parte, cómo se está librando la partida.

¿Y dónde se libran las batallas de esta guerra por el big data?

Hmmm, algo sé de ese tema, pero por desgracia no puedo hablar de ello. Digamos que las mayores vulnerabilidades son para las empresas, no para las personas. Obviamente, también los gobiernos y las fuerzas militares son objetivos, pero de dónde vienen esos ciberataques, dónde está la persona que teclea, casi no importa, aunque sabemos que en gran parte están en la Europa del Este. Lo que importa son los vectores de ataque, qué vulnerabilidades podemos identificar. Lo triste es que se destinan enormes recursos para descubrirlos, pero los ataques cuentan con ventajas tácticas. Atacar es, por definición, algo más fácil —y, al final, más letal— de readaptar que sudar sangre intentando tapar los agujeros del barco. A la larga, lo que importa es saber si todo se va a pique por esto. La civilización romana cayó cuando la caballería fue más eficaz que la infantería. Aquella gente que llegaba del centro de Asia con una civilización en aparencia menos desarrollada aplastó al Imperio Romano por la incapacidad defensiva contra aquel ataque. Hoy, en tecnología, la ventaja competitiva la tienen los que atacan. La respuesta es reducir el acceso a tus datos, pero también disminuir su concentración.

Ponga un ejemplo de buena protección.

La Red de Cable de la Reserva Federal (FedWire en inglés) de Estados Unidos. Por ahí pasan todas las transacciones de los bancos de Estados Unidos. Pues es un sistema completamente cerrado, nunca ha sido violado.

¿Está diciendo que la mejor medida de protección es el total aislamiento?

Es la más drástica, pero sí, es la mejor. No hay lugar a duda.

Para usted, ¿qué compañías ofrecen más garantías?

Es una pregunta muy, muy difícil de responder. No hay estadísticas sobre los riesgos de que ocurra un desastre. Simplemente se sabe una vez ha ocurrido, de un día para otro. Con casi total seguridad los mayores proveedores de servicios en la nube, como Microsoft y Amazon, prestan una protección mucho más sofisticada que los sistemas de gestión descentralizados de los departamentos de informática normales pero ¿cómo los controlas? [Los grandes proveedores] concentran —en una organización, no en un sitio físico— la información. Si ocurre alguna catástrofe, su coste será mucho mayor.

¿Y los gobiernos nacionales? ¿Cuáles son más conscientes de los problemas de seguridad?

Creo que los mejores operadores de big data serían en primer lugar, los de Estados Unidos; en segundo, los de Reino Unido; y después, aunque no sabemos mucho de ellos, Rusia e Israel. Pero, por otro lado, en EE UU ese alto nivel de sofisticación se encuentra en la defensa y la seguridad (la Agencia Nacional de Seguridad, NSA), pero en el manejo de datos de la seguridad social o de la información de seguros, como el Obamacare, es otra historia.

"El coche sin conductor va a revolucionar la industria"

Si se le pregunta a Philip Evans por el logro tecnológico más revolucionario del big data que espera ver en los últimos años, la traslada al ámbito de los negocios: "Piense en algo como el coche sin conductor: Es una combinación de tecnología, con big data, tecnología de sensores y mucha inteligencia artificial. ¿Es revolucionario o no? Bueno, pues depende de si lo que hacemos es añadir prestaciones a los coches que ya existen y cobrar cien dólares más por ellos. Eso es sustentar un modelo negocio y hacer que la gente pague más. Pero ¿y si de lo que hablamos es de un coche que de verdad se conduce solo, como el de Google? Costaría 150.000 dólares [133.000 euros], pero puede circular 24 horas al día frente al 4% de un coche normal. Ahí sí que se revoluciona algo, la economía del transporte. Ya no tendremos coches en propiedad nunca más. Los compartiremos entre varios y si varios lo necesitamos a la vez, el big data nos indicará a qué amigo pedirle un tiempo del suyo. El cambio revolucionario no sería tecnológico, sería en el modelo de negocios. Ya no existiría el negocio automovilístico, sino el negocio del transporte".

¿Apostaría Evans por que eso va a ocurrir? "El marco legal, no la tecnología, es la clave. Podría ser algo inmensamente revolucionario pero solo cuando se alcance el punto en que el fenómeno sea autónomo por completo. Hasta entonces solo será continuista. Va a ser fascinante observar este juego".