Utilizando el servicio de síntesis de voz Prime Voice de ElevenLabs, Joseph Cox de Motherboard consiguió entrar en su banco con una muestra de su voz sintetizada que había creado anteriormente. Lo cual quiere decir que si alguien consigue hacerse con una muestra suficientemente buena de la voz de otra persona puede no tener problemas en crear un fake suficientemente realista como para pasar por alto algunos sistemas de autenticación. Ya lo habíamos visto venir. Y parece que funciona, a menos que tenga acento escocés, claro.

Para hacerlo simplemente tuvo que llamar al banco (el Lloyd’s Bank) y seguir las instrucciones que sistema contestador automático le iba dando: «indique su cuenta, fecha de nacimiento, frase de contraseña…» En vez de hablar, él iba tecleando los textos de respuesta en el sintetizador. Su voz clonada y depurada mediante inteligencia artificial resultó ser un fake de suficiente calidad como para que el reconocimiento biométrico no lo detectara y le dejara entrar hasta la cocina.

El mejor detalle de todo el proceso es que la frase para autenticar era «mi voz es mi pasaporte», que es exactamente la misma que utilizaban en la película Sneakers, una favorita de esta casa. Allí Mary McDonell graba en una cinta a un despreocupado directivo haciéndole pronunciar todas las palabras clave de la frase; luego el equipo de hackers corta y pega los trozos de audio para crear una rudimentaria pista de audio precisamente con «mi-voz-es-mi-pasaporte», que aunque suena a lata acaba funcionando.

He estado cotilleando un poco el servicio de ElevenLabs y la verdad es que la calidad de síntesis es bastante buena e incluye opciones gratuitas y de pago para crear nuevas voces, de momento sólo en inglés, pensando en generadores de voz de calidad para audiolibros, anuncios, narraciones, vídeos y similares, pagando por caracteres/palabras/horas según se necesite.

(Vía @minipetite + @JosephFCox + Motherboard.)

Relacionado:

• Clonar la voz de alguien con una muestra de 5 segundos. No sólo es fácil sino también «increíble y terrorífico»
• Avances en reconocimiento de voz: el problema de focalizarse
• Reconocimiento automático de voz estilo escocés
• Un algoritmo que convierte texto a voz «con emoción y sentimiento»
• Troleando al reconocimiento de voz de Google
• Háblale a ChatGPT, una extensión para Chrome tan útil como divertida

El anuncio de un grupo de investigadores de un método para romper teóricamente –que no en la práctica– la seguridad de las claves RSA-2048 mediante computación cuántica ha dejado algunos ecos resonando por ahí. El caso es que el método que explican es tan complicado, extraño y poco práctico que desde luego no parece que haya ningún problema de seguridad con el RSA a corto plazo, principalmente porque siguen sin existir ordenadores cuánticos con qubits suficientes o alternativas para reemplazarlos.

El tema es muy técnico, así que ahí va el material con algunos comentarios con los principales artículos que se han publicado al respecto para quien le interese investigar más:

• Factoring integers with sublinear resources on a superconducting quantum processor. Es el trabajo original, que los expertos no tienen muy claro ni siquiera qué explica, excepto que hace referencia al algoritmo de Schnorr (que es distinto del conocido algoritmo de Shor, aunque se llame parecido) que se utiliza para factorizar los números, mejorado con otro algoritmo llamado QAOA.
• Breaking RSA with a Quantum Computer. Donde el experto en seguridad Bruce Schneier muestra su asombro e incluso da señales de tenerle un tanto de miedo al anuncio, aunque es algo sólo ante la primera impresión, porque cuando se ha sabido más ha vuelto a tranquilizarse. (Ver nervioso a Schneier es poco habitual).
• Cargo Cult Quantum Factoring. De Scott Aaronson, uno de los mayores expertos en computación cuántica, que es el más crítico con el trabajo del grupo chino, diciendo que está lleno de irrelevancias, vaguedades y que omiten detalles importantes como si fueran a resolverse mediante un «milagro». Despacha el asunto resumiéndolo en tres palabras: No. Simplemente, no.
• Nuevo récord de factorización de números enteros usando ordenadores cuánticos con un algoritmo híbrido. Del profesor Francisco Villatoro, un resumen en castellano muy completo, con una mención a un reciente récord de factorización cuántica más humilde (261980999226229 = 15538213 × 16860433, con 10 qubits) y muchas otras referencias, apuntando a que «Sin lugar a dudas el futuro de la seguridad informática está en el cifrado cuántico y los algoritmos postcuánticos».

Sólo como recordatorio, sigue habiendo 200.000 dólares de premio para quien descomponga el número RSA-2048.

Relacionado:

• El RSA de 2048 bits tampoco es ya suficiente… ¿o sí?
• Factorizar enteros: el RSA-2048 en 177 días usando 13.436 qubits
• RSA de 1.024 bits ya no es suficiente
• El número RSA-576, factorizado
• Factorizado un número RSA de 200 dígitos
• Ron Rivest, criptógrafo y la «R» de RSA, explica el RSA‑129
• Una de protocolos criptográficos: jugar al póker y repartir cartas
• Nuevo récord de factorización de «casi-primos»: 307 dígitos
• La base matemática de los sistemas de cifrado en criptografía

Esta curiosa máquina, llamada Device 32620 es un vídeo de la emulación de un curioso chisme que se asocia con las misteriosas emisoras de números con las que se transmitían mensajes cifrados «de viva voz» en onda corta durante el final de la Guerra Fría. Esta en concreto es un modelo alemán fabricado por el ZWG (Centro de Fabricación Científica) para el Ministerio para la Seguridad del Estado (más conocido como «la Stasi»).

En el Crypto Museum hay amplia información sobre este curioso cachivache. En el vídeo puede verse uno de sus modos de funcionamiento básicos, que es simplemente teclear números y que la máquina los pronuncie. En su interior hay electrónica para realizar la síntesis de voz a partir de texto, muy limitada porque sólo tiene algunas palabras, como los nombres de los números, signos y alguno extra como «atención» o «fin».

Estos números eran importantes para transmitir mensajes secretos cifrados a cualquier lugar del mundo. Las emisoras de onda corta tenían gran potencia y si se usaban los sistemas criptográficos adecuados (como libretas de un solo uso, one-time-pads) era imposible descifrarlos aunque los interceptara el enemigo. Los espías simplemente descifraban los mensajes a partir de la hora señalada cada día, convirtiendo los números a las letras para recuperar los mensajes con instrucciones.

Además de teclear los números, la máquina 32620 también podría recitar el contenido de una cinta de papel en formato telex (en formato «cinco niveles») o incluso a través de un puerto serie mediante un módem. Y además de hablar podía transmitir en código morse. Tengamos en cuenta que esta máquina en concreto se fabricó hacia 1980 (aunque había modelos anteriores más simples) y entre 1983 y 1984 entró en funcionamiento. Según parece, la utilizaban tanto los espías de la Stasi de la República Democrática Alemana como otros países bajo la influencia de la Unión Soviética, como Cuba.

Un detalle curioso es que estaba disponible en cuatro idiomas: alemán, inglés, ruso y castellano, pero tan solo se conservan las EPROM originales en alemán y castellano; de las otras no hay nada más que algunas grabaciones. No se fabricaron demasiadas de estas máquinas, alrededor de 150 a lo largo de un par de años.

Relacionado:

• Emisoras de números
• Estaciones de números en Twitter

Twitter está sumido en el caos. Con la llegada de Elon Musk han sido fulminados de la compañía miles de empleados de todos los departamentos, una sangría importante que de un modo u otro pasará factura. Quienes hayan seguido la evolución de los acontecimientos desde la barrera, con el cubo de palomitas, han presenciado de todo: despidos en directo (por Twitter), lanzamiento de nuevos servicios (la famosa verificación por 8 dólares en el famoso Twitter Blue), la retirada de esos mismos servicios en cuestión de horas, cambios de criterio en las normas (como con las «cuentas parodia», que ahora son roja directa), dimisiones sonadas, más despidos fulminantes, despidos de contratistas externos (especialmente, moderadores) y cambios en la trastienda de alto riesgo y dudosa efectividad.

Lo más reciente es que después de obligar a todo el mundo a trabajar en la oficina ayer se cerró todo acceso físico a las oficinas. Además, los cambios en el código fuente del servicio los debe aprobar Musk en persona uno por uno y hasta se temen sabotajes. En la red están rulando tags como #RIPTwitter y #TwitterMigration que no auguran nada bueno.

La situación es tal que ya se ha bromeado hasta con la prueba de la lechuga; exempleados e ingenieros externos temen un colapso de la plataforma ya sea repentino o por la erosión de los bugs o los cambios acometidos.

Ante esa situación el sentido común sugiere tomar algunas precauciones, como son:

1. Hacer una copia de seguridad de lo que tengas publicado en Twitter, no va a ser que desaparezca.
2. Eliminar lo que no necesites, especialmente los mensajes directos.
3. Abrirte una cuenta alternativa en otro sitio.

Hacer una copia de seguridad de todo tu Twitter

Por suerte Twitter ofrece una opción para descargarse toda la información de una cuenta, y además funciona bastante bien (hasta hoy al menos). Basta solicitarlo a través del menú principal en Twitter > Más opciones > Configuración y soporte > Configuración y privacidad > Tu cuenta > Descargar un archivo con tus datos.

Para completar este pedido de información hay que introducir la contraseña de la cuenta, y verificar mediante correo o SMS la petición con un código de seguridad. [Nota: actualmente hacerlo con el teléfono móvil por SMS funciona sólo a veces, así que puede ser necesario recurrir al correo asociado a la cuenta como alternativa.] El resultado se recibe pasadas 24 horas, y es un archivo .ZIP que al descomprimirlo se puede abrir con el navegador, e incluye:

• Todos los tuits, imágenes y vídeos publicados
• Todas las respuestas, retuits, y listas
• Todos los mensajes directos
• Información sobre personalización y anuncios (curioso)
• Otros resúmenes y estadísticas

Lo que no están incluidos son las listas de seguidores, las cuentas a las que sigues o las cuentas bloqueadas. Esto sólo está disponible en el Twitter «en vivo» y no se puede descargar. Existen alternativas para quien necesite hacer esto, como ListFollowers.com y similares (no lo he probado y no sé qué tipo de límites hay, la verdad).

Eliminar lo que no sea necesario

Otra recomendación que ha circulado y tiene sentido es la de eliminar los mensajes directos (DMs) que no se necesiten. Con eso se pueden evitar problemas si el servicio es crackeado, saboteado o de repente un bug permite a cualquiera acceder a las cuentas, lo que daría mal rollito.

Esto es especialmente importante para evitar la fuga de datos y el phishing. Si por ejemplo has mantenido una conversación con tu banco, tu compañía telefónica o alguna otra empresa por el estilo –típico de quejas, consultas rápidas o por problemas con las apps– quizá hayas dado el número de teléfono, DNI o una cuenta de banco para resolver un problema (asumiendo como hasta ahora que hacerlo por DM era «seguro»). Esa información puede ser muy útil para un atacante, que puede intentar engañar usando esos mismos datos haciéndose pasar por esas entidades u otras.

La propia información acerca de con quién te has comunicado puede proporcionar muchas pistas si alguien se pone a indagar sobre ti (manual o automáticamente): quizá encuentre contactos de tu trabajo, o tu familia, a los que con toda esa información se pueda engañar mediante ingeniería social para obtener más datos sobre ti y luego lanzarte un ataque de phishing (me hace gracia que en este caso se conoce como spear phishing).

¡Ah! Y, obviamente, nada de usar la misma contraseña en Twitter que en otros sitios. Cámbiala.

Alternativas a Twitter

Aunque alternativas a Twitter hay muchas, no hay nada como el original y será muy difícil que alguna otra red social, o similar, pueda romper el doble efecto red que requiere una transición de este tipo: (1) hacer que tu red de amigos/conocidos/cuentas interesantes deje de estar en donde está (Twitter) y (2) que todas esas cuentas pasen a estar disponibles en otra nueva red tan bien conectadas como están ahora.

En cualquier caso, la que está popularizándose con más velocidad y beneficiándose de este caos es sin duda Mastodon, que es muy parecida a Twitter en look pero no tanto en cuanto a funcionamiento y configuración. Para empezar es una red social distribuida en diversos servidores (generalmente temáticos) aunque en la práctica puedes crearte una cuenta en cualquiera de ellos. Idealmente funciona como una «Federación», de modo que puedes seguir a cualquier cuenta de (casi) cualquier servidor, y como ahora mismo algunos tienen cerradas la creación de cuentas (por exceso de peticiones) tienes que encontrar un servidor que acepte nuevas altas (y tenga tu @cuenta favorita libre).

Las cuentas en Mastodon tienen doble arroba, son algo así como:

@Microsiervos@Mastodon.Cloud

donde la primera parte es la cuenta y la segunda es el servidor. (Sí: nosotros llevamos unos días haciendo pruebas y publicando tanto en Mastodon como en Twitter por si acaso.)

Quizá la forma más simple de entender cómo funciona Mastodon es pensar en que cada usuario crea una cuenta en un blog (y hay muchos sitios que hospedan blogs, agrupados por intereses) y luego te puedes suscribir a los feeds RSS de cualquier otro usuario de la red, esté donde esté. El resto es bastante parecido, la app de Mastodon [Android, iOS] funciona bastante bien y hay otros lectores alternativos.

En fin, esta es la situación; no se ha producido el hundimiento de la plataforma pero actualmente parece ir más a la deriva que navegando con buen rumbo. Para las cuentas con contenidos históricos, delicados o «corporativos» quizá sea interesante seguir estos consejos. Puede que no pase nada o puede que Twitter acabe como el Titanic, reposando en el fondo de algún datacenter oscuro y lúgubre. Por si acaso, ¡que no te pillen sin haberlo previsto!

Bonus:

• Fedifinder (es fiable, doy fe) sirve para conectar la cuenta de Twitter, ver a quienes sigues y traspasar esos usuarios a sus equivalentes (si existen) en Mastodon. Funciona bien, pero de momento sólo el ~5% de las cuentas parecen haberse movido (y muchas no tienen actividad o nunca se trasladarán).
• Las cuentas verificadas (especialmente las corporativas) encontrarán útil Fedified, que es una especie de verificador extra que mantiene un listado de cuentas de Mastodon que tienen equivalente en una cuenta de Twitter verificada. Basta seguir el paso-a-paso para asegurarse que en caso de problemas la cuenta de Mastodon es de quien dice que es. (Para las cuentas no-verificadas por Twitter no sirve.)

Otras lecturas interesantes de gente que sabe de esto:

• Sobre la muerte de Twitter por Enrique Dans
• It’s not a bug, it’s a mastodon por JL Orihuela

Relacionado:

• Twitter empieza una nueva etapa con Elon Musk al frente
• Twitter, Elon Musk, y la libertad de expresión
• Algunos consejos para tener un timeline de Twitter más limpio
• El mejor momento para publicar en Twitter