Antes del verano me contactaron desde AICAR-ADICAE para grabar una mesa redonda que se emitiría posteriormente a través de diversos canales. Grabamos en septiembre y ahora se han publicado y el resultado puede verse en:

Además, está disponible para escucharlo (nuestras caras son lo que son, seamos realistas) en:

(Creo que nunca había grabado nada que haya salido en Spotify, pero no estoy seguro)

También en:

Además nos pidieron un texto, que han publicado en su web: Claves de ciberseguridad para los consumidores y que transcribo a continuidad por archivado personal. Me costó un poco porque no tenía muy claro como enfocarlo, espero que sea de utilidad para alguien.

Parece como si en los últimos años hubieran aumentado los problemas de seguridad en internet: cada día escuchamos sobre nuevas y viejas amenazas, en algunos casos incluso afectando a personas cercanas. En esta nota vamos a hablar un poco de algunas de ellas y qué medidas podemos adoptar para vivir más tranquilos. Aunque en algunos casos no podemos hacer gran cosa, sobre otras tenemos más posibilidades y, desde luego, dedicar atención a estos asuntos va a mejorar nuestra situación sin ninguna duda. Vamos a tratar de aportar algunas ideas desde aquí.

La primera recomendación es la que haríamos con cualquier otra tecnología (más o menos avanzada) que tengamos a nuestra disposición: siempre vale la pena aprender a manejar las herramientas, comprender lo que está sucediendo y poder tomar decisiones adecuadas para nuestras necesidades. Y en caso de duda, preguntar a personas que nos puedan ayudar.

Internet nos ha traído unas posibilidades que eran impensables para nosotros: acceso a información de cualquier parte del mundo, desde la comodidad de nuestro hogar y con un coste bastante económico. Sin embargo, muchas veces tratamos de acceder solo a los beneficios, sin tener en cuenta los costes. Igual que sucede en cualquier circunstancia de nuestras vidas, estar seguros al 100% es un objetivo inalcanzable; sin embargo, mejorar nuestra seguridad puede ser una tarea abordable para cualquiera.

Normalmente todo sucede a gran velocidad, lo que probablemente sea uno de los primeros problemas: muchas veces recibimos mensajes, e indicaciones que nos fuerzan a actuar con rapidez (cuando no directamente con presión, con amenazas más o menos preocupantes). Este tipo de ataques tratan de aprovechar el comportamiento de las personas, siempre dispuestas a ayudar, resolver problemas o a responder ante estímulos alarmantes. Cuando un mensaje de este tipo nos pilla con la guardia baja, si reaccionamos rápido puede ser que actuemos con menos cuidado del debido.

En los dos últimos años la estrella está siendo la inteligencia artificial: tenemos acceso a herramientas capaces de manipulaciones impresionantes y, en particular, muy orientadas al manejo del lenguaje. Con estas inteligencias artificiales se realizan ataques mejores y más convincentes: esos mensajes que nos llegan tratando de que realicemos ciertas acciones están cada vez mejor escritos y no tienen erratas que nos permitan desconfiar de su contenido; también hay inteligencias artificiales protegiéndonos para que estos mensajes no nos lleguen. No obstante, la recomendación sigue siendo la misma de siempre: si es demasiado bueno para ser verdad, o demasiado malo para provocarnos alguna preocupación, siempre nos queda el recurso de tratar de mantener la calma y utilizar algunas estrategias:

- Copiar el texto del mensaje (o una parte) en nuestro buscador favorito y ver si alguien puede aportarnos información sobre el asunto.

- Preguntar a los supuestos remitentes; eso sí, tal vez por canales más tradicionales y no como respuesta a lo que recibimos; esto es, podemos llamar, por ejemplo, a nuestro banco, o al servicio de atención al cliente para ver si lo que estamos viendo es legítimo. O hacerles una visita.

- Preguntar a otros para que nos puedan aportar su perspectiva y conocimiento.

- Llamar a los teléfonos de ayuda que existen para estos casos (el Instituto Nacional de Ciberseguridad, INCIBE, tiene un teléfono desde hace algún tiempo de atención al público donde nos pueden ayudar y dar consejos; es el 017).

- Dejar pasar el tiempo (casi nada es tan urgente como nos quieren hacer creer los mensajes amenazantes que recibimos y es posible que mientras esperamos podamos informarnos mejor).

Vemos de vez en cuando noticias de robos de información a diversas empresas; entre la información robada puede estar la de sus clientes, y eso puede ser un problema para nosotros. Aunque no podemos hacer nada directamente contra esto, sí que podemos tratar de ser más precavidos con nuestros datos: cuando nuestros proveedores nos piden una cantidad excesiva de información personal podemos intentar asegurarnos de que si se los roban no estaremos demasiado comprometidos:

- Preguntarnos si cada dato que nos piden es necesario: hay que tener en cuenta que algunos son fáciles de sustituir en caso de que se vean comprometidos (podemos solicitar una nueva tarjeta al banco, por ejemplo), pero otros no lo son tanto (no podemos cambiar la dirección donde vivimos). En caso de que no lo sea podemos poner alguno menos comprometedor, como, por ejemplo, la dirección del trabajo.

- Evaluar el uso de direcciones alternativas para recibir los bienes, en caso de que se trate de un envío. Por ejemplo, los puntos de entrega que muchas agencias de mensajería tienen, de forma que no desvelaremos nuestra dirección.

- Tratar de elegir a proveedores que soliciten menos datos.

Finalmente, cuando queramos adquirir bienes diversos (tiendas de internet) será buena idea prestar atención a dónde lo hacemos:

- Buscar reseñas del sitio en cuestión. ¿Hay otros clientes hablando del sitio? ¿Parecen satisfactorias sus experiencias?

- Opiniones de otros usuarios. ¿Conocemos a alguien que haya utilizado el servicio? ¿Existen comparativas con otros comercios similares?

- Revisar las condiciones del servicio ofrecido. Estos sitios tienen leyes y regulaciones que deben cumplir, pero, además, debería ser sencillo encontrar esta información, y todo lo que leamos debería ayudarnos a comprender mejor los procesos, los costes, plazos, así como toda la información que nos ayude a mejorar nuestra confianza en el sitio.

En definitiva, cuando utilizamos tecnología (igual que cuando no la utilizamos): asegurarnos de que lo que se nos propone es razonable, invertir tiempo en hacer comprobaciones que nos satisfagan, preguntar, tratar de estar al día y pensar que no sucede nada si lo que estamos tratando de conseguir nos cuesta un poco más de tiempo, que es el que estamos invirtiendo en tranquilidad.

Fernando Tricas, Doctor Ingeniero en Informática y Profesor Titular en el Departamento de Informática e Ingeniería de Sistemas de la Universidad de Zaragoza

¿Cómo pueden las nuevas #tecnologías mejorar la gestión de #incidentes?

👉 @INCIBE, @guardiacivil, @policia, @tecnalia y @unizar abordan #estrategias innovadoras para reaccionar con rapidez y eficacia ante #ciberataques 🔧.

🖥️ https://t.co/Vi3mmuu3r7 #18ENISE pic.twitter.com/vqowGx56Fm

— INCIBE (@INCIBE) October 23, 2024

Este año tuve la suerte de poder acudir al ENISE (ENcuentro Internacional de SEguridad de la información), organizado por el INCIBE (Instituto Nacional de Ciberseguridad), que se celebró en León los días 21, 22 y 23 de octubre.

Pude moderar una mesa redonda, con el título “Nuevas tecnologías y estrategias al servicio de la gestión de incidentes de ciberseguridad” acompañado de:

• Erkuden Rios, Directora de proyectos / TECNALIA
• Patricia Alonso, Gerente / INCIBE-CERT
• Santiago González, Jefe de la Oficina Técnica (Cuerpo Nacional de Policía-GPO- Plan director de Seguridad) / Ministerio del Interior- Dirección General de Policía
• Juan Salom, Coronel Jefe de la Unidad de Coordinación de Ciberseguridad de la Guardia Civil / Guardia Civil

Nunca había estado en este encuentro y fue una buena oportunidad para conocerlo, saludar a algunos conocidos y hacer una pequeña visita que tuvieron la amabilidad de organizar al INCIBE. También, claro, dar una vuelta por la ciudad un probar un poco la gastronomía (funtamentalmente tapas).

No había mucho tiempo así que nos concentramos, fundamentalmente estas preguntas:

• Una toma de posición inicial de cada una de las personas que había (se habló de IA, pero también de otras tecnologías y la preocupación de cómo muchos ciberataques ni siquiera se denuncian).
• Hablamos un poquito del uso de la IA en los distintos negociados de los participantes
• Introdujimos el tema de usar nuevas tecnologías para detectar ataques, e incluso en el análisis posterior, cuando ya se ha pasado el problema, pero… ¿sería adecuado experimentar cuando estamos en pleno incidente?
• ¿Qué otras tecnologías puede haber por debajo del radar en este momento que pueden ser peligrosas en el futuro?

Muy interesante, a pesar de no disponer de mucho tiempo.

Se puede ver la mesa en (a partir de las 3 horas y 15 minutos, aproximadamente):

Es un encuentro muy bien organizado, con traducción simultánea, también para personas con dificultades auditivas. Un verdadero placer.

Además tuve la suerte de encontrarme con que se hacía un homenaje a uno de mis primeros profesores en la Universidad, Santos González Jiménez, que fue profesor en la Universidad de Zaragoza antes de marcharse a Oviedo, y que se ha dedicado a diversos temas sobre la criptografía. Pude saludarle y recordar aquellos tiempos cuando todo empezaba.

🎓🎓el miércoles vivimos un día muy emotivo durante el #18ENISE de INCIBE. Se rindió un merecido homenaje al profesor emérito santos Gonzalez jimenez, director de nuestra Cátedra.
Felix Barrio , D.G. @INCIBE Ensalzó su figura tanto profesional como personal del profesor. pic.twitter.com/nRgQ6O09H5

— Cristina Caldueño (@criscaldueno) October 25, 2024

Hace un par de semanas me contactó Oscar Espiritusanto al que conozco desde hace unos cuantos años y que participa en la ONG Cibervoluntarios. Me contó que llevaban unos años celebrando el World Encryption Day y que este año habían pensado en mi para la sesión.

La actividad se celebró el lunes 21 de octubre a las 16:30 (el anuncio en la web de la actividad: Encryption: key resource to empower people y estuvimos un rato bien agradable charlando de estos temas.

Se puede ver el resultado (dura casi una hora) en:

Hablamos de qué es la criptografía, los sistemas más conocidos (clave secreta, clave pública) y por qué es importante que las comunicaciones sean secretas aunque no tengamos nada que esconder. También cómo debilitar esa seguridad con el objetivo de capturar a pesonas que tienen comportamientos inadecuados es una medida poco efectiva:

• Porque no garantiza que vayan a encontrarlas y detenerlas (estas personas ya se saltan la ley, no tendrían problemas en saltársela para conseguir mejores sistemas de protección de sus comunicaciones).
• Aunque fueran capaces de leer absolutantemente todos los mensajes que se emitieran, necesitarían algún tipo de sistema automatizado para detectar los mensajes peligrosos y eso, en sí mismo, ya sería una tarea difícil.
• Dejar desprotegidos a los ciudadanos puede tener consecuencias para algunos de llos que son especialmente susceptibles de ser atacados y espiados por diversos motivos.
• Si alguien que no sea el gobierno (o la policía) tiene acceso a esas herramientas de acceso a la información cifrada con mecanismos más débiles puede provocar problemas a la gente.

Óscar comparaba la necesidad del cifrado con la de la salud, que solo nos damos cuenta cuando nos falta. En el caso del cifrado, añadíamos, hablaríamos de la salud en términos de enfermedades crónicas (una gripe se pasa, pero una vez que nuestra seguridad ha sido comprometida ya no hay vuelta atrás).

Hace unas semanas me invitaron desde la Cámara de Comercio de Zaragoza a moderar una sesión sobre el sector tecnológico del Foro: ‘Claves Para Entender El Nuevo Mercado Laboral’, junto con Pilar Fernández de la Cámara y Mertixell Laborda de Océano Atlántico. El encuentro se celebró el dia 10 de septiembre en la recién rehabilitada sede de la Cámara de Comercio de Zaragoza.

Participaban personas muy interesantes, algunas de ellas viejas conocidas (incluso ex-alumnos) y otras con las que no había tenido la suerte de coincidir:

• Víctor Alfaro, Director General de Podoactiva
• Santiago Sánchez, Socio Fundador de Origen Biotech
• Ruth Lázaro Torres, Directora de Taisi
• FernandO Cabeza, CEO de Océano Atlántico.
• Félix Gil, CEO de Integra Tecnología
• Emilio Gomáriz, General Manager de Global Spedition
• Enrique Villaverde, Director General y Socio Fundador Megablok.
• Ángel Pardillos, Director of Talent Strategy de Hiberus Tecnología.

Eran empresas muy variadas, desde tecnológicas puras a otras para las que su enfoque es la producción pura. Familiares, empresas con fines sociales, … Dedicándose a logística, alimentación, informática, servicios…

A mi me llamaba la atención cómo algunas empresas no se consideran tecnológicas a pesar de que su negocio depende fuertemente de las herramientas (y no me refiero solo a la gestión) y que en muchos casos la tecnología puede hacer que seamos diferenciales con respecto a nuestra competencia.

Surgió la necesidad de captar estos perfiles, para todo tipo de empresas (pero tal vez para las que no se dedican a la tecnología un poco más), se habló de los perfiles, la formación (que tiene sus propias dificultades) y un poquito de la llegada de la inteligencia artificial y cómo puede afectarnos.

La web de Foro ‘Claves Para Entender El Nuevo Mercado Laboral’ que ha tenido tres encuentros contiene algunos vídeos a modo de resumen. Se puede leer también el [PDF] documento del tercer foro, en el que participamos, y un poco de información (y fotografías) en Los desafíos TIC en la empresa: talento, irrupción tecnológica y nuevas dinámicas

Durante la sesión hice un pequeño juego (no hubo mucho tiempo para preparar la sesión) al hacer la presentación de las presonas y de sus empresas a través de lo que veía en su página web. Queda como ejercicio para el lector sacar sus propias impresiones.

💻 La actualización de un componente de ciberseguridad ha causado un fallo global en Micorsoft que ha afectado a gran número de compañías.

En Aragón, se han producido afecciones en el Salud, se han suspendido algunos juicios y se han cancelado vuelos.

▶️ https://t.co/ds4JsNUkyP pic.twitter.com/JXAonHqRRt

— Aragón Noticias (@AragonNoticias_) July 19, 2024

El viernes fue un día con mucha actividad por el fallo que se produjo el fallo en la actualización de Crowdstrike (se puede ver en su web Preliminary Post Incident Review (PIR): Content Configuration Update Impacting the Falcon Sensor and the Windows Operating System (BSOD).

Nos llamaron de Aragón TV para dar unas primeras impresiones sobre lo (poco) que sabíamos en ese momento y lo sacaron en las noticias.

Se puede ver en El fallo informático global ha causado afecciones en el Salud y se han suspendido varios juicios. También en la web de las noticias Aragón Noticias 1 - 19/07/2024 13:59.

En este caso, poco que decir: un fallo en la actualización ha provocado fallos en los clientes que usan el producto de Crowdstrike en los equipos con sistemas de Microsoft. Además, una llamada a la diversidad, porque si hubiera más sistemas operativos en uso, muchas marcas de productos como este, el impacto habría sido menor.

Este año hemos organizado el curso de verano Introducción a la ciberseguridad y la nube que no ha conseguido suficiente número de alumnos, lamentablemente.

En la emisora de radio Onda Aragonesa fueron muy amables y nos llamaron para darle difusión. Se puede escuchar la entrevista en:

Queda aquí a título de inventario.

En Aragón Noticias

La semana pasada me contactó la periodista Victoria Pascual para hablar un poco en el programa Objetivo de Aragón TV sobre espías. No es un ámbito en el que yo esté muy especializado, pero la tecnología se puede utilizar para espiar, naturalmente.

Hace unos días me contactó Teresa P. Albero de Aragón TV para hablar un poco sobre los últimos robos de datos que hemos conocido en las noticias (“Banco Santander, Telefónica o Iberdrola”). Fue una entrevista telefónica y se ha publicado el resultado en la web, en El lucrativo negocio del robo de datos a grandes empresas: extorsiones y crisis de reputación con la intervención de algún otro experto.

Por mi parte yo hablé de la importancia de compartimentalizar, minimizar los datos que se almacenan y que, muchas veces, el valor de los datos no es tanto como nos quieren hacer creer (lo que no evita que tengamos que tener cuidado) sino la pérdida de prestigio y esta modalidad de los denominados ataques a la cadena de suministro, donde el problema es que le roban tus datos (o los de tu cliente) a un tercero que los gestiona.

También, desde el punto de vista personal, aunque no podemos hacer gran cosa, porque los datos los gestionan las empresas, sí que podemos limitar el daño utilizando tarjetas de prepago, o que se pueden desconectar para las operaciones en internet.

Hablando de espionaje en Aragón TV

La semana pasada me contactó la periodista Victoria Pascual para hablar un poco en el programa Objetivo de Aragón TV sobre espías. No es un ámbito en el que yo esté muy especializado, pero la tecnología se puede utilizar para espiar, naturalmente.

Lo han publicado en Cap. 648 - 01/06/2024 13:26 y la compañía era de lujo: un espía retirado (Fernando San Agustín), la primera agente femenina del CSID (Isabel Martínez), y un periodista (Ramón J. Campo).

También lo cuelgan en YouTube, donde se puede ver el reportaje

Mi intervención, en dos líneas: la tecnología permite a los espías ser más eficientes obteniendo información, aunque los países civilizados tienen reglas sobre lo que los espías pueden (y no pueden hacer); a la gente normal no nos espían individualmente porque normalmente no somos interesantes para eso, pero nuestros datos agregados con los de otras personas parece que son bastante valiosos.

@fernand0 de @unizar
‼️“separar, aislar y pensar que las cosas han fallado, fallan y fallarán”
👉“Copias de #seguridad automáticas, estrategias adecuadas como el 3,2,1 y si no has comprobado nunca tu copia de seguridad, hazlo”
‼️" No protegemos los equipos, protegemos el negocio” pic.twitter.com/MlQdrMjYu6

— Ingenieros Industriales-Aragón y La Rioja (@COIIAR) March 14, 2024

El 14 de marzo se celebró el Congreso Industria 4.0, organizado por el Colegio de Ingenieros Industriales de Aragón y La Rioja y el Colegio de Ingenieros de Telecomunicaciones de Aragón.

Mis compañeros José Ángel Castellanos Gómez y Ángel Fernández Cuello, como directores de la Cátedra de Transformación Industrial colaboraban con el congreso y me invitaron a hablar de seguridad. Les propuse hablar de ciberseguridad industrial con algunos ejemplos que podrían permitirnos sacar algunas conclusiones y algunas recomendaciones y allí estuvimos.

en El Congreso Industria 4.0 señala que la fabricación virtual ya ha entrado en la industria hay un resumen del desarrollo y también se puede ver el vídeo (se puede ver la jornada completa; enlazo a la intervención).

Hablamos de tres ejemplos lejanos (en tiempo y en distancia algunos, otros sólo en distancia):

• El caso de STUXNET (2010)
• El ataque a las centrales energéticas de Ukrania (2015)
• El ataque a SolarWinds (2019-2020)

Todos ellos en instalaciones más o menos protegidas, más o menos lejanos, pero con aparatos, tecnología y herramientas muy parecidas a las que puede haber en cualquier fábrica de nuestro entorno. Sobre el último ataque, además se puede comentar la introducción por parte de la Presidencia de EEUU de la (Software Bill of Materials, SBOM) como una manera de, por lo menos, conocer qué problemas podemos tener ante un ataque a la cadena de suministro.

También aprovechamos para contar que todo esto ahora es un negocio, existe un mercado donde se compran y se venden las herramientas para realizar los ataques, las vulnerabilidades, … y cómo las personas somos el eslabón débil y lo fácil que es engañarnos o hacernos reaccionar en beneficio de los atacantes.

Aprovechamos para comentar un par de artículos uno de los cuales ya lo habíamos comentado en El phishing: los usuarios lo tienen realmente difícil que dicen justamente eso: es difícil para un usuario normal detectar todos los posibles fraudes que le pueden llegar.

Luego comentamos algunos ataques que están vigentes y que son especialmente en el contexto del que hablábamos: botnets con dispositivos poco vigilados, secuestro de información (RansomWare) y, ya en el contexto más de la oficina, la sustitución de facturas (que parece que es un ataque que se está produciendo bastante últimamente).

Finalmente, tres recomendaciones:

• Conocer y hacer mapas de nuestro entorno, para ver qué hay en nuestras redes.
• Compartimentalizar y segmentar, para que los fallos que pueda haber en algún sito no afecten a todos nuetros sistemas.
• Estar preparados para lo peor, haciendo copias de seguridad (y conocerlas, y comprobarlas,…).

Terminamos con una brevísima mención a que hay leyes (y que seguramente habrá más).

Un rato muy agradable en el que pudimos hablar de cosas que nos gustan en un entorno en el que creo que fueron bien recibidas.

He visto que nombran la cosa en Le Congrès Industrie 4.0 souligne que la fabrication virtuelle est déjà entrée dans l’industrie

También en El Congreso Industria 4.0 señala que la fabricación virtual ya ha entrado en la industria y en Las empresas aragonesas tienen un grado de madurez digital un 38% superior a la media.

El otro día nos contactaron del programa Buenos Días Aragón de Aragón TV, para hablar del 15 aniversario del botón ‘me gusta’ de Facebook.

Se puede ver en BUENOS DÍAS ARAGÓN - 21/02/2024 08:00 (lo quitarán pronto).

Intervino un sicólogo, Antonio Boira, hablando de los aspectos que condicionan nuestras respuestas e incluso los posibles cambios que puede ocasionar el deseo de validación por parte de los demás.

El algoritmo, como sabemos, es secreto pero parece que favorece las interacciones y en muchos casos nuestros instintos más primitivos (de agrado o de desagrado) hace que, en algunas ocasiones, obtentamos resultados que no son los más convenientes para nosotros.

Por otra parte, tratamos de explicar que estos algoritmos lo que hacen es agruparnos en colectivos de personas que tienen intereses parecidos a los nuestros y mostrarnos publicidad, o enivarles nuestros datos a empresas que los utilizan para mostrarnos determinados mensajes.