Lo que aprendí el verano que me catalogaron como malware: una fábula de IA y automatización

Cuando llegó el final de julio me las prometía muy feliz: por primera vez en 5 años tenía unas vacaciones en condiciones. Nada de formaciones, mis proyectos iban en plazo, tenía todo escrito… en fin, ese lujo que tenemos pocas veces las personas que trabajamos por cuenta propia (y nos da por meternos a cursos en los ratos libres). Sin embargo, poco dura la alegría en la casa del pobre autonomo y unos días después la cosa se complicó. Aunque llevaba un tiempo con algunas personas diciéndome que tenía problemas para acceder a este blog, mi incapacidad (y la de mi hosting) de encontrar indicios, hacía descartar el problema.

Sin embargo, cuando llegué a España encontré que con mi red de datos tampoco podía entrar, pero con el wifi de donde me alojaba (facilitado por otro proveedor) entraba sin problemas. Ahí empezó todo a cuadrar. Ahora os cuento no tanto mi aventura como lo que he aprendido en un verano movidito y algunas reflexiones sobre lo que nos puede suponer a futuro.

El cuadro  de un barco pirata de Garneray ilustra este post sobre malware e IA
El blog de Analítica Pública según algunos proveedores digitales. Fuente

Es difícil saber sobre decisiones que otros toman sobre ti

Lo primero que hay que señalar es que, como os decía, esto no era nuevo. Ya desde finales de mayo había personas que me decían que el blog les daba un error de DNS. Por si no estáis al tanto de qué significa esto, un montón de personas (al principio unos pocos, luego la cosa fue creciendo) al intentar entrar recibían un mensaje de que el blog no estaba ahí. Esto es un problema porque, por un lado, ellos no saben qué es lo que pasa (a priori parecería que hubiera cerrado el blog) y yo no puedo saber que pasa algo (nunca llegan a mi servidor para tener un log que da error).

Captura de pantalla de un error de DNS genérico de un navegador
Mensaje de error de DNS

Es decir, me tiré cerca de dos meses sin tener ni idea de que pasaba algo porque alguien (en último término determinados operadores) habían decidido que Analítica Pública no era seguro y, por ello, impedían a los navegadores llegar al blog.

Hay un sistema automático que decide tomar una decisión sobre mí sin decirme nada y genera efectos ante otros.

La transparencia protege a cualquier persona

El problema de los mensajes de error es que, cuanto más imprecisos son, más difícil es encontrar un error. En principio, gracias al hecho de que ya yo con mi móvil conectado o no a dos operadores distintos tuviera diferentes resultados fue crucial. Si no hubiera pasado esto, no habría podido averiguar qué es lo que había sucedido.

Entiendo que un operador quiera hacer un internet más seguro y quiera bloquear sitios que sean peligrosos. Lo que ya no entiendo tanto es que el mensaje sea el mismo que si ese sitio directamente no estuviera, ni que el propietario de un dominio reciba el aviso de que se cortaba. Tengo el dominio registrado, estoy en el whois, y tengo un proveedor, entiendo que notificar de alguna manera que está teniendo una actividad sospechosa no solo me permite poder defenderme si es injusto, sino que, además, me permite actuar si es cierto.

El bloqueo a nivel de DNS sin notificación ni orden judicial será legal por el tema de la piratería y todo esto, pero al menos avisar al propietario sería un detalle.

Ese automatismo que ha generado efectos no explica que esos efectos son fruto de una decisión automática, ni a mi, ni a quien no puede acceder.

¿Cómo puedes saber si tu sitio ha sido utilizado para la distribución de Malware?

Porque claro, tras hacer algunas indagaciones (gracias a los consejos de Marc Almeida), encontré que había compañías de seguridad (6 en concreto) que consideraron en torno a abril y mayo que Analítica Pública colaboró en un ataque de Malware.

¿Es esto cierto? La verdad es que todo lo que puedo decir a día de hoy es que ni yo ni mi hosting hemos encontrado registros irregulares en el log del servidor. Tengo herramientas de seguridad en el blog (ahora unas pocas más) y tengo limitados los usuarios y los sistemas de acceso tanto al backoffice como al servidor vía FTP.

¿Significa esto que no haya pasado? Me temo que no. Analítica Pública tiene una parte muy atractiva para «los malos» (publico profesional que trabaja en AAPP), y las brechas de seguridad son siempre más rápidas que las medidas de detección y seguridad. Solo puedo decir que no tengo constancia de que haya sido así y, donde me han pedido que haga comprobaciones de disfunciones, no ha aparecido nada.

Un sistema de IA puede tomar decisiones sobre parámetros, algunos de los cuales tu mismo ni conoces pero te afectan

Tampoco lo puedes demostrar

¿Cómo demuestras que hace tres meses no estabas en una red de equipos que distribuyen malware? Pues me temo que es complicado. Como digo, no hemos encontrado ni yo ni mi hosting nada que podamos catalogar con nuestro conocimiento como sospechoso, ni entonces ni ahora. A esto tenemos que sumarle que tienes que enterarte de que ha sucedido, porque a mi nadie me ha dicho en ningún momento «tienes este problema relacionado con este elemento». Lo más, algún usuario de antivirus me ha dicho «mi antivirus me ha dado una alerta de que tienes malware», pero la única manera de demostrar que no lo eres, es sabiendo qué comportamiento es el que lleva a esa catalogación.

¿Si no conoces ese parámetro que ha servido para tomar esa decisión sobre ti, como puedes demostrar que no se cumple?

Pedir correcciones no es fácil

Cuando una compañía de seguridad te mete en su lista negra, ella se encarga de meterte, pero no de sacarte. Esto es más o menos lógico. No van a estar mirando siempre qué páginas tienen riesgo, si no lo tienen, ya lo reclamarán en caso de enterarse. Una vez que averigüé cuáles me habían catalogado, empezó el rosario de ir una a una pidiendo una corrección. Si hay suerte, tienen un formulario para ello. Si no hay suerte, tienes que buscar y mandar correos a lo que te parezca más adecuado.

Dentro de este mundo he encontrado tres tipos de compañías:

  • Las que tienen un sistema de catalogación más o menos automático y sobre hechos. Les dices que ya eres bueno, lo revisan y corrigen. Si no lo ven claro (e insistes) te piden que compruebes algunos logs y te lo cambian.
  • Las que tienen esa práctica tan discutible en la que catalogan y corrigen. En este caso, puedes pedir la revisión y te dicen si sí o si no, pero si es que no y les pides más pistas, te hacen un presupuesto. No voy a decir que haya mala fe, pero es relativamente rentable catalogar y cobrar por descatalogar.
  • Las heurísticas… Estas te dicen que su IA ha decidido que eres peligroso y que bueno, te quitan, pero si su IA dice otra vez que lo eres, te aguantas. No te dicen qué parámetros ni condiciones llevan a ello. Es lógico porque hay secreto industrial. En todo caso, apuntaros esto por lo de la IA aplicado a la vida en general.

En un sistema en el que los resultados de los algoritmos se venden (o se suscriben) resulta enormemente complicado tener controlados todos los actores que pueden intervenir en una decisión y pedirles reclamaciones

Y a veces ni siquiera tienes derecho a ello

Cuando ya sabía que no había nada raro o sospechoso, tocó pedir a los proveedores de internet que me quitaran del rincón de pensar. Lo hice con mi operador de móvil y, tras un par de días, corrigieron. Esto entiendo que es lógico, porque no van a dejarte libre si te han considerado peligroso sin comprobar que no lo eres.

El problema es que, más allá de ahí, no podía hacer nada. Parece ser que el bloqueo por criterios de seguridad solo se puede quitar a partir de la petición de clientes de la red. Esto me resulta curioso, porque, por un lado, puedo entender que no se fíen del dueño de la página sospechosa (es como cuando te iban a atracar y te decían lo primero «ven, que no te va a pasar nada»), pero también entiendo que esos dos o tres días de comprobaciones hacen irrelevante quién lo reclama.

En todo caso, hay que decir que, por un lado, esto garantiza el derecho de las personas a consultar una web, pero afecta de alguna manera el derecho de una web (de sus responsables) a expresarse y tener algún mecanismo (ya no digo judicial, digo alguno) para poder corregir una situación que, en el peor de los casos, ya no se da.

En un modelo básicamente clientelar, quienes tienen derechos son los clientes y no quienes son objeto de las acciones tomadas por los operadores

La gente puede ser estupenda

Hay que decir que todo esto ha sido posible por ayuda de muchas personas. Toni Zaplana, Marc Almeida, Juan Antonio Frías, Lucas Ferrera, Julián Moyano, Borja Adsuara y otras cuantas personas más me han ayudado, en diversos puntos y situaciones.

A esto tengo que sumar cada vez que he tenido que ir pidiendo a alguien que me haga el favor de pedirle a su proveedor que me elimine de la lista negra. Por cierto, si no puedes acceder al blog por un error de DNS, te agradecería que hablaras con tu proveedor para arreglarlo. Aprecio mucho la ayuda de esta gente porque cualquiera sabe que hablar con un operador de telefonía es una experiencia generalmente poco placentera.

Los temas relacionados con los datos, IAs y demás son multidisciplinares y rara vez un solo perfil te va a ayudar a conocer y entender toda la situación

Aprender a manejarse en una crisis

Cuando se habla de aprender de las crisis hay aprendizajes a dos niveles. El primer nivel, el más fácil y evidente, es el de hacer cosas para salir de la crisis. He aprendido a mirar la catalogación de seguridad de mi web, a pedir rectificaciones y, desde luego, he aprendido bastante de controles de seguridad, programas y rutinas en el blog. De nuevo, soy bastante escéptico respecto a la capacidad de evitar que este tipo de cosas se puedan repetir. Solo puedo confiar que, si lo pongo lo bastante complicado, quien quiera entrar tenga más sencillo ir a otro lado antes que a analítica pública.

En todo caso, a diferencia de otras crisis más inmediatas, esta ha sido una crisis de constancia y paciencia. Empecé en julio y todavía hay operadores que bloquean y que voy encontrando gracias a la colaboración de la gente.

Decisiones que se toman de manera automática requieren rectificaciones largas y complejas

Re-evaluar la relación con el entorno a raíz de una crisis

Por último, el segundo nivel de aprendizaje es el que te habla de tu relación con el entorno. Hay cosas que varían poco, soy muy descreído sobre la seguridad en el mundo digital y soy bastante optimista en que la gente, en términos generales, ayuda si puede. Sin embargo, si que te lleva a valorar posibles cuestiones como las relaciones entre la protección de derechos digitales (como digo, la seguridad es un derecho que tiene mucho de colectivo) y cómo a veces las implementaciones más simples van a buscar más parches que respuestas.

Tenemos un modelo que permite bloquear sin avisar (y por tanto, sin capacidad de rectificar), basado muchas veces en actores terceros que no explican claramente sus criterios de decisión ni hacen una corrección proactiva. En definitiva, este tipo de situaciones son similares a lo que podemos encontrar en el mundo digital y que cada vez tendrá más frecuencia gracias a IA’s, algoritmos predictivos y demás.

No sólo tenemos que hacer un sistema que sea ético y evite sesgos y problemas, sino que, además, debemos facilitar que las personas que son evaluadas, catalogadas o directamente impactadas por cualquiera de estos elementos (incluso cuando no son de titularidad pública) tengan capacidad de conocerlo, identificarlo, ver como funcionan y solicitar revisiones no sólo en la raíz, sino en los sitios en los que tengan repercusiones.

Comparte este artículo

Share on facebook
Share on twitter
Share on linkedin
Share on whatsapp
Share on email

Acerca del autor

Regístrate y consigue los últimos artículos en tu mail.

icono mail suscribete
SUSCRIBIRME

Deja una respuesta

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.