Llegamos a ustedes gracias a:



Reportajes y análisis

Cómo proteger la propiedad intelectual de los algoritmos

[15/07/2020] Ogilvy está en medio de un proyecto que combina la automatización de procesos robóticos y la IA de Microsoft Vision para resolver un problema de negocio único para la empresa de publicidad, marketing y relaciones públicas. Yuri Aguiar ya está pensando en cómo proteger los algoritmos y procesos de un robo.

"Dudo que sea material patentado, pero nos da una ventaja competitiva y reduce nuestro tiempo de comercialización de manera significativa", señala Aguiar, jefe de innovación y transformación. "Considero a los algoritmos como módulos de software modernos. Si gestionan un trabajo propietario, deberían estar protegidos como tales".

El robo de la propiedad intelectual se ha convertido en una de las principales preocupaciones de las empresas mundiales. En febrero del 2020, el FBI tenía alrededor de mil investigaciones que involucraban solo a China por intento de robo de tecnología con base en los Estados Unidos que abarcaban casi todas las industrias. No son solo los estados-nación son los que buscan robar la propiedad intelectual; los competidores, los empleados y los socios también son a menudo culpables.

Los equipos de seguridad toman medidas de forma rutinaria para proteger la propiedad intelectual, como software, diseños de ingeniería y planes de marketing. Pero ¿cómo se protege la propiedad intelectual cuando se trata de un algoritmo y no de un documento o una base de datos? El análisis propietario se está convirtiendo en un importante diferenciador, a medida que las empresas implementan proyectos de transformación digital.

Patentar y clasificar los algoritmos como secretos comerciales

Durante años, los abogados de la empresa insistieron en que las compañías no podían patentar un algoritmo. Los algoritmos tradicionales simplemente le decían a una computadora lo que debía hacer, pero la IA y el aprendizaje automático requieren un conjunto de algoritmos que permitan que el software se actualice y "aprenda" de los resultados anteriores sin necesidad de la intervención de un programador, lo que puede producir una ventaja competitiva.

"La gente se está volviendo más consciente de lo que quiere proteger", y las directrices han cambiado para adaptarse a ellos, comente Mary Hildebrand, presidenta y fundadora de la práctica de privacidad y ciberseguridad de Lowenstein Sandler. "La Oficina de Patentes de EE.UU. emitió algunas nuevas directrices e hizo mucho más factible patentar un algoritmo y los pasos que se reflejan en el algoritmo".

Las patentes tienen algunos inconvenientes y compensaciones. "Si solo proteges un algoritmo, eso no impide que un competidor descubra otro algoritmo que le lleve por los mismos pasos", anota Hildebrand.

Además, cuando una empresa solicita una patente, también debe revelar y hacer público lo que hay en la solicitud. "Si se solicita una patente, se gasta dinero en ello, y no hay garantía de que se vaya a obtener", señala David Prange, codirector de la subpráctica de secretos comerciales de Robins Kaplan LLP en Minneapolis.

Muchas compañías optan por clasificar un algoritmo como secreto comercial como primera línea de defensa. Los secretos comerciales no requieren ninguna aplicación o pago federal, "pero hay que estar particularmente atento para protegerlo", añade Prange.

Para defenderse de una posible demanda sobre la propiedad de un algoritmo, las empresas deben tomar varias medidas para mantener el secreto desde la concepción.

Adoptar un enfoque de confianza cero

Tan pronto como se concibe un algoritmo, una compañía podría considerarlo un secreto comercial y tomar medidas razonables para mantenerlo en secreto, señala Hildebrand. "Eso significaría, por ejemplo, que el conocimiento del mismo se limitaría a un cierto número de personas, o que los empleados con acceso a él firmarían un acuerdo de confidencialidad". A nadie se le permitiría llevarse el algoritmo a casa durante la noche, y debe ser guardado en un lugar seguro. "Esos son pasos de sentido común, pero también es muy importante si le impulsan a probar que algo es secreto comercial".

En el frente de TI, las mejores prácticas para proteger los algoritmos se basan en los principios de un enfoque de confianza cero, anota Doug Cahill, vicepresidente y director de grupo de ciberseguridad en Enterprise Strategy Group. Los algoritmos que se consideran secretos comerciales "deben ser almacenados en una bóveda virtual", añade. "Se debería conceder acceso a la bóveda al menor número de usuarios con el menor número de privilegios necesarios para hacer su trabajo". El acceso a la bóveda debería requerir un segundo factor de autenticación, y todo el acceso y uso debería ser registrado y monitoreado".

Acuerdos de confidencialidad para todos

Las empresas deben asegurarse de que cada empleado con acceso al proyecto o al algoritmo firme un acuerdo de confidencialidad. Hildebrand recuerda a un inventor que se reunió con tres socios potenciales que creía que representaban a la misma empresa. Pensó que estaba cubierto por un acuerdo de confidencialidad firmado por la empresa. Resultó que uno de ellos era un consultor independiente que no había firmado nada y se escapó con la P.I. El inventor perdió la condición de secreto comercial de su invención. Hildebrand siempre aconseja a los clientes que van a esas reuniones que se aseguren de que todos en la sala han firmado.

Otra razón para tomar en serio los acuerdos de confidencialidad firmados: "A los ingenieros y científicos en particular les encanta hablar con sus colegas sobre lo que están trabajando", lo cual está bien cuando trabajan en equipo y aprenden unos de otros, señala Hildebrand, pero no está bien cuando salen a cenar con los competidores o discuten su investigación en la barbacoa del vecindario.

Los equipos pequeños y la necesidad de conocer el acceso

Considere quién necesita realmente tener un conocimiento de primera mano del proyecto o del algoritmo, sostiene Prange. En las empresas más pequeñas, la gente usa más sombreros y puede necesitar saber más, pero en las empresas más grandes y diversificadas, menos gente necesita saberlo todo. Incluso con un grupo pequeño teniendo acceso, "tal vez usar autenticación de dos factores, limitar si se puede trabajar en cosas fuera de la empresa o del edificio físico. O bloqueas las computadoras para que no pueda usar las unidades de disco duro", añade.

Educar a las líneas de negocio en la protección de algoritmos

Los líderes de TI deben educar a las líneas de negocio para que entiendan qué es lo que necesitan proteger y las inversiones que la empresa está haciendo, señala Prange. Por ejemplo, "A los vendedores les gusta saber mucho sobre sus productos. Educarlos sobre qué aspectos del producto son confidenciales".

No deje que los empleados que se van se lleven los algoritmos con ellos

Asegúrese de que los empleados sepan lo que no pueden llevarse cuando se vayan a otro trabajo. "Siempre que haya un empleado que trabaje en un área sensible o tenga acceso a información sensible, debe ser sometido a una entrevista de salida para entender lo que tiene y para hacer hincapié en que tiene estas obligaciones firmadas" que le prohíben utilizar la información en su próximo trabajo, anota Prange.

Las sociedades deben ser tratadas de la misma manera, añade Prange. "Vemos muchos casos en los que una empresa está en una relación de desarrollo conjunto y se agria o se desvanece, y una o ambas empresas pueden seguir adelante de forma independiente. Entonces, de repente hay una disputa cuando una llega al mercado con la información que estaban compartiendo".

Establezca una prueba de que tiene un algoritmo

"Es evidente que se emplearán tácticas probadas y verdaderas para obtener acceso a los algoritmos, incluidos los ataques de spear-phishing diseñados socialmente para robar las credenciales de los desarrolladores a través de páginas falsas de inicio de sesión y de restablecimiento de la contraseña para obtener acceso a los sistemas que almacenan dicha propiedad intelectual", comenta Cahill.

Es difícil protegerse contra alguien con la intención de tomar un algoritmo o proceso, señala Prange. "Puede tener todo tipo de restricciones, pero si alguien tiene la intención, lo hará, pero eso no significa que no haga nada".

Para ayudar a probar la propiedad de un algoritmo y evitar el robo o el sabotaje, IBM y otros han estado trabajando en formas de incrustar marcas de agua digitales en las redes neuronales profundas de la IA, similares al concepto multimedia de las imágenes digitales con marcas de agua. El método del equipo de IBM, presentado en el 2018, permite a las aplicaciones verificar la propiedad de los servicios de las redes neuronales con consultas de la API, lo que es esencial para protegerse contra los ataques que podrían, por ejemplo, engañar a un algoritmo en un automóvil autónomo para pasar por delante de una señal de alto.

El proceso en dos etapas comprende una etapa de incrustación, en la que se aplica la marca de agua al modelo de aprendizaje de máquina; y una etapa de detección, en la que se extrae para demostrar la propiedad.

El concepto tiene algunas advertencias. No funciona en los modelos fuera de línea y no puede proteger contra las infracciones mediante ataques de "predicción API" que extraen los parámetros de los modelos de aprendizaje automático enviando consultas y analizando las respuestas.

Los investigadores de KDDI Research y el Instituto Nacional de Informática también han introducido un método de marca de agua en los modelos de aprendizaje profundo en el 2017.

Otro problema que plantean muchas soluciones de marcas de agua es que los diseños actuales no han podido hacer frente a los ataques de piratería, en los que terceros reclaman falsamente la propiedad del modelo incrustando sus propias marcas de agua en los modelos ya marcados.

En febrero del 2020, investigadores de la Universidad de Chicago dieron a conocer la "incrustación nula", una forma de incorporar marcas de agua resistentes a la piratería en las redes neurales profundas (DNN, por sus siglas en inglés) en la formación inicial de un modelo. Esta técnica crea fuertes dependencias entre la precisión normal de clasificación del modelo y la marca de agua y, como resultado, los atacantes no pueden eliminar una marca de agua incrustada o añadir una nueva marca de agua pirata a un modelo ya marcado.  Estos conceptos están en las primeras etapas de desarrollo.