IEEE Symposium on Security and Privacy - Enciclopedia

El Simposio IEEE sobre Seguridad y Privacidad (IEEE S&P, IEEE SSP), también conocido como la Conferencia de Oakland, es una conferencia anual que se enfoca en temas relacionados con la seguridad y privacidad de las computadoras. La conferencia fue fundada en 1980 por Stan Ames y George Davida y se considera una de las principales conferencias en el campo. La conferencia tiene una única rama, lo que significa que todas las presentaciones y sesiones se realizan en secuencia en un solo lugar. La conferencia también sigue un proceso de revisión ciega doble, donde las identidades de los autores y los revisores se mantienen en secreto el uno del otro para asegurar la imparcialidad y la equidad durante el proceso de revisión por pares.

La conferencia comenzó como un pequeño taller donde los investigadores intercambiaban ideas sobre seguridad y privacidad de las computadoras, con un enfoque inicial en la investigación teórica. Durante estos primeros años, hubo una división entre los criptógrafos y los investigadores en seguridad de sistemas, con los criptógrafos que a menudo abandonaban las sesiones enfocadas en seguridad de sistemas. Este problema se abordó finalmente combinando las discusiones sobre criptografía y seguridad de sistemas en las mismas sesiones. En 2011, la conferencia se mudó a San Francisco debido a preocupaciones sobre el tamaño del lugar.

La conferencia tiene una tasa de aceptación baja debido a que solo tiene una única rama. El proceso de revisión de la conferencia tiende a evaluar los artículos en una variedad de criterios con un enfoque en la novedad. En 2022, investigadores entrevistaron a revisores de conferencias de seguridad de élite como IEEE S&P y encontraron que el proceso de revisión de las conferencias era explotable debido a estándares de revisión inconstantes entre los revisores. Los revisores recomendaron tutorar a nuevos revisores con un enfoque en la calidad de la revisión para mitigar este problema.

En 2021, investigadores de la Universidad de Minnesota presentaron un artículo a la conferencia donde intentaron introducir errores en el kernel de Linux, un componente de sistema operativo ampliamente utilizado sin aprobación del Consejo de Revisión Institucional (IRB). El artículo fue aceptado y estaba programado para ser publicado, sin embargo, después de las críticas de la comunidad del kernel de Linux, los autores del artículo retiraron el artículo y emitieron una disculpa pública. En respuesta a este incidente, IEEE S&P se comprometió a agregar una etapa de revisión ética en su proceso de revisión de artículos y a mejorar su documentación en torno a las declaraciones éticas en los artículos de investigación.

Historia
La conferencia fue inicialmente concebida por los investigadores Stan Ames y George Davida en 1980 como un pequeño taller para discutir seguridad y privacidad de las computadoras. Este taller gradualmente evolucionó en una reunión más grande dentro del campo. Se llevó a cabo inicialmente en el Claremont Resort, las primeras iteraciones del evento presenciaron una división entre los criptógrafos y los investigadores en seguridad de sistemas. Las discusiones durante estas iteraciones tempranas se centraron predominantemente en la investigación teórica, descuidando las consideraciones de implementación práctica. Esta división persistió hasta el punto de que los criptógrafos a menudo abandonaban las sesiones enfocadas en temas de seguridad de sistemas. En respuesta, las iteraciones posteriores de la conferencia integraron paneles que abarcaban discusiones sobre criptografía y seguridad de sistemas en las mismas sesiones. Con el tiempo, la asistencia a la conferencia creció, lo que llevó a su reubicación en San Francisco en 2011 debido a limitaciones de capacidad del lugar.

Estructura
El Simposio IEEE sobre Seguridad y Privacidad considera artículos de una amplia gama de temas relacionados con la seguridad y privacidad de las computadoras. Cada año, los presidentes del programa de la conferencia publican una lista de temas de interés que cambia según las tendencias del campo. En reuniones pasadas, el Simposio IEEE sobre Seguridad y Privacidad ha considerado artículos de temas como seguridad web, abuso en línea, seguridad de blockchain, seguridad de hardware, análisis de malware y inteligencia artificial. La conferencia sigue un modelo de única rama para sus procedimientos, lo que significa que solo se realiza una sesión en cualquier momento. Este enfoque se desvia del formato de múltiples rutas comúnmente utilizado en otras conferencias de seguridad y privacidad, donde múltiples sesiones sobre diferentes temas se realizan simultáneamente. Los artículos presentados para consideración a la conferencia se revisan utilizando un proceso de revisión ciega doble para asegurar la equidad. Sin embargo, este modelo limita la cantidad de artículos que puede aceptar la conferencia, resultando en una tasa de aceptación baja, a menudo en cifras de un solo dígito, a diferencia de las conferencias que pueden tener tasas en el rango del 15 al 20 por ciento. En 2023, el Simposio IEEE sobre Seguridad y Privacidad introdujo un Comité de Ética de Investigación que revisará los artículos presentados a la conferencia y marcará instancias de posibles violaciones éticas en los artículos presentados.

En 2022, un estudio realizado por Ananta Soneji et al. mostró que los procesos de revisión de las principales conferencias de seguridad, incluyendo el Simposio IEEE sobre Seguridad y Privacidad, eran explotables. Los investigadores entrevistaron a 21 revisores sobre los criterios que utilizaban para juzgar los artículos durante el proceso de revisión. De estos revisores, 19 identificaron la novedad (si el artículo avanzaba el problema de investigación o el estado de la técnica) como su principal criterio. Nueve revisores también subrayaron la importancia de la solidez técnica en la implementación, mientras que siete mencionaron la necesidad de una evaluación autónoma y completa, asegurando que se exploraran todas las áreas identificadas. Además, seis revisores subrayaron la importancia de la escritura clara y efectiva en sus evaluaciones. Basándose en estas entrevistas, los investigadores identificaron una falta de criterios objetivos para la evaluación de artículos y notaron un grado de aleatoriedad entre las revisiones proporcionadas por los revisores de la conferencia como las principales debilidades del proceso de revisión por pares utilizado por las conferencias. Para remediar esto, los investigadores recomendaron tutorar a nuevos revisores con un enfoque en mejorar la calidad de la revisión en lugar de otros métricos de productividad. Reconocieron una iniciativa de IEEE S&P que permite a los estudiantes de doctorado y postdoctorales acompañar a los revisores en el comité del programa, pero también señalaron hallazgos de un informe de 2017 que sugiere que estos estudiantes tienden a ser más críticos en sus evaluaciones en comparación con los revisores experimentados, ya que no se les califica por la calidad de la revisión.

Controversia
En 2021, investigadores de la Universidad de Minnesota presentaron un artículo titulado "On the Feasibility of Stealthily Introducing Vulnerabilities in Open-Source Software via Hypocrite Commits" a la 42ª edición de la conferencia. Su objetivo era resaltar vulnerabilidades en el proceso de revisión de parches del kernel de Linux, y el artículo fue aceptado para presentación en 2021. El kernel de Linux es un componente de sistema operativo de código abierto ampliamente utilizado que forma el núcleo del sistema operativo Linux, que es una opción popular en servidores y en dispositivos orientados al consumidor como el Steam Deck, Android y ChromeOS. Sus métodos involucraban escribir parches para errores triviales existentes en el kernel de Linux de manera que intencionalmente introdujeran errores de seguridad en el software. Los investigadores presentaron cuatro parches bajo seudónimos, tres de los cuales fueron rechazados por sus respectivos revisores de código que identificaron correctamente el código defectuoso. Sin embargo, el cuarto parche fue integrado. Durante una investigación subsequente, se descubrió que los investigadores habían entendido mal la forma en que funcionaba el código y habían presentado una corrección válida. Este intento de incluir errores se realizó sin aprobación del Consejo de Revisión Institucional (IRB). A pesar de que el artículo fue revisado por la conferencia, esta violación de responsabilidades éticas no se detectó durante el proceso de revisión del artículo. Este incidente generó críticas de la comunidad de Linux y de la comunidad de ciberseguridad en general. Greg Kroah-Hartman, uno de los principales mantenedores del kernel, prohibió a los investigadores y a la universidad realizar contribuciones adicionales al proyecto Linux, lo que llevó a los autores y a la universidad a retirar el artículo y emitir una disculpa a la comunidad de desarrolladores del kernel de Linux. En respuesta a este incidente, IEEE S&P se comprometió a agregar una etapa de revisión ética en su proceso de revisión de artículos y a mejorar su documentación en torno a las declaraciones éticas en los artículos de investigación.

Referencias