Maximiza la colaboración mediante el intercambio seguro de datos

Si bien muchos señalan con razón las dificultades para superar los obstáculos jurídicos y técnicos, estos desafíos no son insuperables. Entre los principales obstáculos para el intercambio eficaz de datos que existen hoy en día se encuentra el hecho de que:

1. La confianza sigue siendo esquiva. En una encuesta realizada en 2018 por la Unión Europea a empresas europeas sobre los datos relativos al comercio entre empresas (B2B), las empresas indicaron que la falta de control sobre el uso de los datos por parte de otras organizaciones (42%) constituía un obstáculo tan grande para el intercambio de datos como la incertidumbre jurídica sobre los derechos de propiedad de los datos (54%), y el 15% de los encuestados también citó como otro obstáculo la incertidumbre sobre los costos de responsabilidad en caso de daños causados por el intercambio de datos. La confianza entre las partes es imperativa, pero las arquitecturas de confianza tradicionales son incapaces de resolver este problema único de intercambio de datos, porque no protegen a las empresas contra las consecuencias extendidas que presenta; la brecha de riesgo sigue siendo demasiado grande cuando se consideran los datos sensibles.
2. El riesgo de compartir datos es desproporcionadamente mayor que el valor potencial de compartir datos, incluso en presencia de confianza. La investigación de Accenture sobre el impacto de los ingresos en las empresas después de una gran vulneración de datos públicos muestra que las empresas pueden ver una disminución de casi el 10% de sus ingresos hasta seis meses después de la vulneración, en comparación con las empresas que no sufrieron una vulneración. Peor aún, puede llevar casi dos años recuperar esa pérdida de ingresos, momento en el cual esas empresas podrían estar aún más atrasadas con respecto a sus competidores.

Sin embargo, una nueva familia de técnicas de computación para preservar la privacidad (PPC), con 30 años de preparación, está a punto de perturbar significativamente el espacio de intercambio de datos de la empresa. Estas técnicas se han establecido para hacer frente a las dos barreras clave, permitiendo que los datos sean analizados conjuntamente sin compartir todos los aspectos de esos datos. Al hacerlo, las empresas pueden recuperar el control de sus datos y los riesgos asociados a su intercambio, incluso cuando se utilizan más allá de sus fronteras.

¿Qué son las técnicas de computación para preservar la privacidad (PPC)?

Las técnicas de computación para preservar la privacidad (PPC) son una familia de técnicas de ciberseguridad muy modernas que, en lugar de centrarse en la protección de los datos contra el acceso de partes no autorizadas, estudian la forma de representar los datos de manera que puedan ser compartidos, analizados y operados sin exponer la información en bruto. Las técnicas de encriptación suelen constituir el núcleo de la forma en que las técnicas de la PPC proporcionan estas capacidades, pero se utilizan de una forma ligeramente diferente a la habitual.

Tradicionalmente, la encriptación se utilizaba para garantizar la seguridad e integridad de los datos confidenciales contra el acceso no autorizado durante el tránsito entre las partes. Aunque la encriptación proporciona un grado razonable de protección contra las interferencias externas en el tránsito, para poder procesar los datos, el receptor de los mismos debe tener acceso a las claves para descifrarlos. Sin embargo, hay dos riesgos durante este proceso que deben ser considerados:

1. El riesgo de comprometerse: Como el procesador de datos tiene acceso a la clave para desencriptar los datos, una ataque puede comprometer los datos. Además, como los datos se descifran durante el proceso, existe la posibilidad de que los datos se vean comprometidos en ese momento.
2. El riesgo de la confianza: Una vez más, como el procesador puede descifrar y ver todos los datos, hay un límite en lo que la mayoría de las empresas están generalmente dispuestas a compartir debido a una posible pérdida de ventaja competitiva. Por esta razón, el listón de la confianza tiende a permanecer muy alto antes de que una empresa comparta datos con otra.

Estos riesgos podrían limitar el valor de negocio que las empresas pueden extraer de sus datos sensibles porque dificultan las posibles colaboraciones de intercambio de datos.

Las técnicas de PPC utilizan la encriptación de manera diferente para proporcionar un mecanismo para compartir datos con otras partes, limitando al mismo tiempo cómo o dónde las otras partes pueden acceder a los datos, qué partes de los datos pueden ver o qué pueden inferir de los datos. Existen diferentes esquemas adoptados por las distintas técnicas de PPC para lograr esto, pero normalmente hacen una o más de las siguientes cosas:

1. Controlar el entorno en el que pueden utilizarse los datos
2. Obscurecer los datos para proteger la privacidad de los mismos y eliminar los rasgos de identificación
3. Proporcionar una forma que permita que se opere con los datos mientras están encriptados, es decir, procesarlos sin necesidad de desencriptarlos o verlos.

Podrías pensar en esto como cocinar una comida sin ver los ingredientes o armar un rompecabezas sin ver la imagen del resultado deseado.

A continuación se presentan algunas de las principales técnicas de PPC que están ganando importancia hoy en día. (También puedes profundizar en los detalles de cada técnica en nuestro informe completo).

1. Entorno de ejecución de confianza (Enclave Seguro): Un entorno con módulos de hardware especiales que permiten el procesamiento de datos dentro de áreas de memoria privada encriptadas y provistas de hardware, directamente en el chip del microprocesador, al que sólo se puede acceder en el proceso de ejecución.
2. Privacidad diferencial: Un mecanismo de ofuscación de datos* -a menudo utilizado con otras técnicas tradicionales de anonimización o desidentificación*- que permite reunir una amplia información estadística e inferirla a partir de los datos sin que se expongan las características específicas de cada elemento.
3. Encriptación homomórfica: Una tecnología que permite la computación de datos encriptados sin necesidad de desencriptarlos primero (o en absoluto). De esta manera, los datos sensibles son encriptados y protegidos en todas las etapas de transporte y procesamiento.
4. Computación segura multiparte (MPC): Tecnología que proporciona un mecanismo que permite a un grupo de partes compartir los beneficios de la combinación de sus datos para crear productos útiles, manteniendo al mismo tiempo los datos de su fuente real en privado.

Las técnicas de PPC están madurando para los análisis y los casos de uso de la IA

Aunque estas técnicas y tecnologías de PPC son todavía nuevas, están madurando rápidamente y se encuentran ahora en un punto en el que pueden utilizarse en casos de uso comercial reales. La seguridad de los datos en reposo, en tránsito e incluso durante la computación es ahora posible utilizando Entornos de Ejecución Confiable. Compartir públicamente los datos estadísticos sin comprometer la privacidad de los registros individuales es ahora posible con la Privacidad Diferencial. El análisis de datos encriptados es ahora posible gracias al desarrollo de esquemas de encriptación, como la Encriptación Homomórfica. A través de estas tecnologías, los datos sensibles pueden ser encriptados y protegidos en todas las etapas y pueden ser utilizados por un número de partes confiables o no confiables para generar conocimientos sin exponer los datos involuntariamente.

Con esta tranquilidad, las técnicas de PPC abren muchas nuevas oportunidades de colaboración empresarial que antes no eran posibles debido al riesgo o la regulación. Más allá de la trazabilidad y el control de las consideraciones de datos, estas tecnologías permiten a los asociados trabajar de manera descentralizada, dándoles la oportunidad de investigar conjuntamente cuestiones comerciales comunes o compartidas. Las empresas también pueden aplicar la inteligencia artificial y métodos mejorados de análisis a conjuntos de datos a los que no habían tenido acceso anteriormente. Esto significa que las colaboraciones con partes externas -incluso con competidores- son ahora posibles y, en algunos casos, están muy avanzadas.

¿Dónde están las oportunidades?

Tras un largo período de incubación, las técnicas de PPC están en la cúspide de una nueva fase de adopción por parte de la industria gracias a la alineación de las capacidades tecnológicas con las necesidades del mercado. La posible oportunidad ha llevado a la creación de un ecosistema inicial de rápida evolución y fuertemente financiado. Y las empresas e instituciones innovadoras están invirtiendo y experimentando con estas técnicas para comprender el arte de lo posible.

Lo que está pasando ahora

Por ejemplo, Google lanzó su protocolo de código abierto Private Join and Compute este año, aprovechando la Encriptación Homomórfica y MPC. Aunque todavía está en una etapa temprana en términos de solidez empresarial, el protocolo sirve para ilustrar la creciente importancia de las técnicas de PPC.

Las técnicas de PPC también se utilizan hoy en día para ayudar a los competidores que operan en el mismo mercado o para permitir colaboraciones en campos muy regulados, como el descubrimiento de medicamentos. En una de las primeras implementaciones comerciales de MPC, la industria azucarera danesa colaboró con Partisia® para desarrollar un intercambio confidencial de contratos de producción entre los cultivadores de remolacha azucarera, lo que permitió a la industria reajustarse a las nuevas situaciones del mercado. Por otra parte, en 2019, 10 grandes empresas farmacéuticas desarrollaron el consorcio Melloddy, que utiliza blockchain y el aprendizaje federado* para entrenar un algoritmo de aprendizaje de máquinas de descubrimiento de medicamentos utilizando datos compartidos.

Además, las técnicas de PPC están permitiendo que las empresas desarrollen nuevas relaciones de intercambio de datos fiables con los consumidores. Por ejemplo, Kara es una nube de datos que preserva la privacidad, aprovechando los entornos de ejecución de confianza y la privacidad diferencial para crear una forma segura de que los pacientes compartan y moneticen sus datos médicos con los investigadores, manteniendo al mismo tiempo el control total de sus datos. Kara funciona en la plataforma basada en blockchain de Oasis Labs y es la base de un ensayo médico que se está llevando a cabo actualmente en la Universidad de Stanford. Los investigadores médicos pueden someter los sistemas de IA para su entrenamiento, sin ver nunca los datos subyacentes.

Las técnicas de PPC también se están utilizando para abordar muchos problemas de reglamentación de los mercados, como la banca, mediante el acceso y el procesamiento de datos sensibles en forma codificada para obtener únicamente información. Por ejemplo, ING Bélgica utiliza el motor de computación secreto XOR de Inpher para construir modelos analíticos utilizando datos de múltiples países como Suiza y Luxemburgo que tienen normas estrictas de seguridad de datos y de privacidad. Los algoritmos patentados generados por los equipos de ciencia de datos de ING se compilan con XOR y son computados secretamente por todos los centros de datos regionales y/o proveedores de servicios de nube sin revelar ninguna información sensible; no se exporta ninguna información de identificación personal de ninguna jurisdicción.

Además, las técnicas de PPC ya han sido utilizadas por los gobiernos. En 2015, el gobierno estonio trabajó con Sharemind® para desarrollar el Proyecto de Estadísticas Privadas, que realizó un análisis de una combinación de registros fiscales y educativos identificables utilizando PPC. El proyecto PRACTICE de la Comisión Europea analizó este proyecto y estuvo de acuerdo con las conclusiones de la Agencia de Protección de Datos de Estonia de que no se habían procesado datos personales.

Incluso hay planes para usar técnicas de PPC en las próximas elecciones: El condado de Travis, Texas, está a punto de implementar STAR-Vote, un sistema de votación seguro, transparente, auditable y fiable, que utiliza el cifrado homomórfico, para supervisar el proceso de votación verificado antes de las elecciones presidenciales de 2020.

Oportunidades nacientes y emergentes

Si bien la capacidad de compartir de forma segura datos sensibles presenta oportunidades inmediatas, también hay nuevas oportunidades de disrupción de los mercados existentes mediante el efecto combinado de las técnicas de PPC y otras tecnologías como blockchain y el IoT. Actualmente, varias empresas y organizaciones están considerando estas tecnologías en áreas como:

1. Propiedad de los datos de los consumidores. MyHealthMyData (MHMD), un proyecto financiado por la UE, está estudiando cómo compartir datos anónimos para la atención médica, la investigación y el desarrollo, al tiempo que se da a las personas la propiedad de sus datos de salud. La plataforma combina blockchain, los contratos inteligentes, el consentimiento dinámico y un conjunto completo de herramientas de privacidad de datos y de análisis seguro, incluyendo la Encriptación Homomórfica y MPC.
2. Ciudades inteligentes y conectadas. En 2019, se ha informado de que el gigante automovilístico chino, Wanxiang Holding Co., Ltd., y la start up en blockchain PlatOn se unieron para desarrollar una "ciudad inteligente" en Hangzhou. Como parte del desarrollo tecnológico, PlatOn tiene previsto utilizar MPC y otras tecnologías de conservación de la privacidad para ayudar a garantizar que los datos sensibles, como las identidades digitales de los residentes y la información de los dispositivos conectados, estén seguros mientras interactúan entre sí en un libro de contabilidad compartido.
3. Servicios de datos y mercados de preservación de la privacidad. La plataforma de intercambio de datos, el Protocolo Oceánico, permite a cualquiera crear servicios de datos y mercados y proporciona un intercambio de datos seguro, de preservación de la privacidad y sin fronteras; también aprovechar blockchain y el aprendizaje federado*. Algunas de las primeras empresas en aprovechar esta red son Aviva y ConnectedLife, que están analizando -y aplicando la IA a los datos domésticos inteligentes para mejorar la atención a las poblaciones que envejecen; Roche Diagnostics, que está buscando proporcionar una mejor atención a los pacientes que están en tratamiento con anticoagulantes; y Next Billion, que está poniendo a prueba un nuevo modelo de intercambio de datos para los propietarios de pequeñas empresas en las economías emergentes.
4. Los mercados de IoT y la Economía de Máquina a Máquina. Weeve, una empresa de nueva creación centrada en la construcción de una plataforma descentralizada de IoT, se asoció con SingularityNET.io, un proveedor de soluciones de IA descentralizada de pila completa, para desarrollar un servicio de IA en mercados de datos basados en IoT. Como parte de la asociación, SingularityNET aprovechará la encriptación homomórfica y la computación multipartita para apoyar la IA habilitada para la privacidad.
5. IA descentralizada. OpenMined es una comunidad que se centra en la creación de herramientas y marcos de código abierto que permitan la implementación de aplicaciones de IA descentralizadas para siempre. Combina el aprendizaje federado*, el MPC, el cifrado homomórfico y los contratos inteligentes de blockchain para permitir la colaboración descentralizada entre empresas, propietarios de datos y científicos de datos para implementar aplicaciones de IA.

Qué está haciendo Accenture

En Accenture, estamos trabajando a través de múltiples industrias para llevar a cabo un intercambio seguro de datos y permitir una mayor colaboración.

En primer lugar, los equipos a través de Accenture Tech Labs, Liquid Studios y The Dock Innovation Centre en Dublin están calibrando nuestra comprensión para evaluar los diversos marcos de Cifrado Homomórfico y MPC y si pueden abordar los tipos de computación que cada caso de uso requiere. En este campo incipiente, los diferentes marcos se especializan en diferentes tipos de cómputo, es decir, aritmética, regresión lineal o modelos forestales aleatorios, lo que los hace muy adecuados para ciertos casos de uso y menos adecuados para otros. Estamos evaluando las diversas compensaciones con cada técnica de PPC, especialmente en términos de su impacto en el rendimiento y cómo los nuevos estilos de diseño de hardware -como los chips Field Programmable Gate Array* (FPGAs) y las CPUs de propósito general (GPGPUs)*- pueden reducir los impactos en el tiempo y el costo del uso de estas tecnologías.

A medida que identificamos oportunidades, miramos a las técnicas PPC para expandir la apertura de los datos disponibles para IA. Accenture ha estado ayudando a las compañías a adoptar la IA y Blockchain, y estamos buscando técnicas de PPC para reducir las barreras para que la IA pueda acceder a más datos, incluyendo datos de alto riesgo y confidenciales.

Por ejemplo, estamos trabajando con las partes del ecosistema de semiconductores para crear una forma confiable y distribuida de compartir datos usando MPC y blockchain. Los fabricantes de equipos necesitan datos para ofrecer mejores soluciones para sus equipos, piezas y servicios, y los proveedores necesitan proteger sus datos, así como los de los proveedores de nivel inferior y los datos restringidos a los clientes (es decir, los datos relacionados con la metrología e integración en línea y fuera de línea). Si bien blockchain permite la rastreabilidad y el control de las vistas de datos, los problemas de la propiedad intelectual son tan graves que el fabricante de equipo que opera con datos en bruto suele ser reacio a compartir los datos, incluso si el procesamiento analítico nunca sale de la red. MPC podrá resolver este problema y permitir un análisis de datos fiable y seguro.

Específicamente construyendo a partir de bolckchain, estamos personalizando las técnicas de PPC para las empresas que cooperan en un sistema de contabilidad de blockchain u otro libro de contabilidad distribuido similar. Esta combinación tiene aplicaciones en las que las empresas tienen requisitos para tratar con la privacidad y la auditabilidad al mismo tiempo. También hemos lanzado recientemente un nuevo proyecto de código abierto llamado PyHeal para ayudar a que el uso de algunos de estos marcos, como Microsoft SEAL, sea más ampliamente accesible y adoptable por los usuarios en un contexto empresarial.

Las técnicas de PPC son un gran disruptor, y Accenture está trabajando con los bancos para entender cómo tecnologías como la Encriptación Homomórfica podrían ayudar en casos de uso transfronterizo contra el lavado de dinero y el fraude. Podría ser muy beneficioso para los bancos poder hacer preguntas sobre transacciones potencialmente fraudulentas a otros bancos sin tener que exponer los datos de sus clientes o solicitar datos al otro banco, lo que a menudo es imposible debido a las leyes de confidencialidad bancaria y otras legislaciones similares. Tecnologías como el MPC y la Encriptación Homomórfica permitirían a los bancos responder a las preguntas en un conjunto de datos virtuales compartidos sin necesidad de compartir los datos reales entre sí.

¿Qué sigue?

Como lo discutimos, las empresas de innovación ya han comenzado a desplegar técnicas de PPC en escenarios del mundo real, combinando las capacidades internas con la experiencia externa de PPC. Las empresas que buscan abrazar estas posibilidades necesitan hacerlo:

• Calibrar la comprensión: Las técnicas de PPC tienen una variedad de fortalezas y debilidades y actualmente se adaptan a aplicaciones y requisitos de datos específicos. Las empresas deberían desarrollar una comprensión calibrada de lo que es realista hoy en día, dónde se pueden aplicar estas tecnologías en su industria y qué técnicas de PPC son adecuadas para sus objetivos específicos.
• Identificar oportunidades: Las empresas deberían colaborar con los asociados de los ecosistemas para identificar oportunidades de intercambio de datos anteriormente inaccesibles, o examinar los procesos de intercambio de datos de alto riesgo y complicados existentes que pueden ser adecuados para la prueba y validación iniciales. En particular, la IA impulsa estas oportunidades con las empresas que buscan obtener una visión más clara mediante un acceso más amplio a los datos más allá de lo que cada una puede proporcionar por sí misma. Dado que las técnicas de PPC funcionan sin que se revelen nunca los datos en bruto, reducen la barrera para el uso de los datos.
• Co-Crear: Las empresas deberían buscar fomentar la innovación y co-crear con socios de confianza que tengan experiencia en el área de las técnicas de PPC y tecnologías tangenciales como blockchain y la ciberseguridad para ayudar a mejorar las herramientas y tecnologías existentes y para crear nuevas herramientas en estas áreas que aún no sabemos si necesitaremos.
• Piensa a largo plazo: Con un mayor desarrollo, las técnicas de PPC tienen el potencial de ser un importante disruptor de los modelos comerciales tradicionales basados en datos, al tiempo que democratizan las materias primas de la IA, ya que pueden apoyar el desarrollo de algoritmos descentralizados en lugar de depender de unos pocos grandes proveedores de IA. Las empresas deberían empezar a pensar a largo plazo, investigando las oportunidades de utilizar estas técnicas en conjunción con otras tecnologías para crear nuevo valor.

Con el creciente argumento a favor de la colaboración de los ecosistemas y la necesidad de métodos eficaces y seguros de intercambio de datos y colaboración, las técnicas de PPC y sus sucesores serán fundamentales para un intercambio de datos eficaz y seguro. Esto, a su vez, será fundamental para que las empresas obtengan valor de sus datos y proporcionen nuevas vías de interrupción. Estamos en el camino de industrializar las ofertas de PPC para que nuestros clientes puedan aprovechar nuevas oportunidades a corto y largo plazo. Hablemos de lo que eso podría significar para su negocio.

Glosario de términos:

Ofuscación de datos: El proceso de ocultar los datos originales modificando el contenido, es decir, sustituyendo ciertas partes del contenido por un contenido sin sentido y manteniendo los datos utilizables. Normalmente se utiliza para proteger datos sensibles o identificables personalmente y también se denomina "Data Masking".

Anonimización o desidentificación: Se refiere a los tipos de ofuscación que tienen por objeto mantener la privacidad sustituyendo el contenido de identificación personal, es decir, los nombres, direcciones, números de teléfono, etc., por valores que no tienen relación directa con esa persona.

Internet de las cosas (IoT): Se refiere a la incrustación de sistemas y sensores en dispositivos y objetos físicos que les permiten interconectarse entre sí y con la Internet más amplia sin intervención humana.

Field Programmable Gate arrays: Tipos de microchips que permiten que su propia configuración interna sea configurada por los usuarios finales o integradores que permiten que los chips se configuren de una manera que se ajuste y se adapte al caso de uso exacto del propietario. Esto permite lograr un mayor rendimiento utilizando hardware adaptado para un propósito determinado sin necesidad de poner en marcha hardware personalizado.

CPUs de propósito general (GPGPUs): Chips de hardware diseñados específicamente para manejar las tareas altamente paralelas de renderizar y refrescar gráficos complejos (2D y 3D) en una pantalla. Se descubrió que estos mismos chips eran mucho más eficientes que las CPU estándar para realizar otras tareas de procesamiento con cargas paralelas. Las GPGPU son una extensión de los mismos tipos de chips pero adaptadas más hacia un procesamiento de datos paralelo más general que el procesamiento de gráficos.

Aprendizaje federado: Un enfoque de aprendizaje de máquinas para la formación de un modelo central y compartido utilizando datos que se distribuyen en múltiples lugares en lugar de estar disponibles centralmente. Tiene aplicación cuando no se dispone de todos los datos de capacitación en el mismo lugar o al mismo tiempo o cuando no es posible o conveniente llevar los datos de capacitación a un lugar central. Permite utilizar los datos donde existen sin necesidad de retirarlos de su ubicación (es decir, un teléfono móvil u otro dispositivo) y luego vincula los aprendizajes al modelo central sin tener que enviar de vuelta los datos reales.