@fernand0 de @unizar
‼️“separar, aislar y pensar que las cosas han fallado, fallan y fallarán”
👉“Copias de #seguridad automáticas, estrategias adecuadas como el 3,2,1 y si no has comprobado nunca tu copia de seguridad, hazlo”
‼️" No protegemos los equipos, protegemos el negocio” pic.twitter.com/MlQdrMjYu6

— Ingenieros Industriales-Aragón y La Rioja (@COIIAR) March 14, 2024

El 14 de marzo se celebró el Congreso Industria 4.0, organizado por el Colegio de Ingenieros Industriales de Aragón y La Rioja y el Colegio de Ingenieros de Telecomunicaciones de Aragón.

Mis compañeros José Ángel Castellanos Gómez y Ángel Fernández Cuello, como directores de la Cátedra de Transformación Industrial colaboraban con el congreso y me invitaron a hablar de seguridad. Les propuse hablar de ciberseguridad industrial con algunos ejemplos que podrían permitirnos sacar algunas conclusiones y algunas recomendaciones y allí estuvimos.

en El Congreso Industria 4.0 señala que la fabricación virtual ya ha entrado en la industria hay un resumen del desarrollo y también se puede ver el vídeo (se puede ver la jornada completa; enlazo a la intervención).

Hablamos de tres ejemplos lejanos (en tiempo y en distancia algunos, otros sólo en distancia):

• El caso de STUXNET (2010)
• El ataque a las centrales energéticas de Ukrania (2015)
• El ataque a SolarWinds (2019-2020)

Todos ellos en instalaciones más o menos protegidas, más o menos lejanos, pero con aparatos, tecnología y herramientas muy parecidas a las que puede haber en cualquier fábrica de nuestro entorno. Sobre el último ataque, además se puede comentar la introducción por parte de la Presidencia de EEUU de la (Software Bill of Materials, SBOM) como una manera de, por lo menos, conocer qué problemas podemos tener ante un ataque a la cadena de suministro.

También aprovechamos para contar que todo esto ahora es un negocio, existe un mercado donde se compran y se venden las herramientas para realizar los ataques, las vulnerabilidades, … y cómo las personas somos el eslabón débil y lo fácil que es engañarnos o hacernos reaccionar en beneficio de los atacantes.

Aprovechamos para comentar un par de artículos uno de los cuales ya lo habíamos comentado en El phishing: los usuarios lo tienen realmente difícil que dicen justamente eso: es difícil para un usuario normal detectar todos los posibles fraudes que le pueden llegar.

Luego comentamos algunos ataques que están vigentes y que son especialmente en el contexto del que hablábamos: botnets con dispositivos poco vigilados, secuestro de información (RansomWare) y, ya en el contexto más de la oficina, la sustitución de facturas (que parece que es un ataque que se está produciendo bastante últimamente).

Finalmente, tres recomendaciones:

• Conocer y hacer mapas de nuestro entorno, para ver qué hay en nuestras redes.
• Compartimentalizar y segmentar, para que los fallos que pueda haber en algún sito no afecten a todos nuetros sistemas.
• Estar preparados para lo peor, haciendo copias de seguridad (y conocerlas, y comprobarlas,…).

Terminamos con una brevísima mención a que hay leyes (y que seguramente habrá más).

Un rato muy agradable en el que pudimos hablar de cosas que nos gustan en un entorno en el que creo que fueron bien recibidas.

He visto que nombran la cosa en Le Congrès Industrie 4.0 souligne que la fabrication virtuelle est déjà entrée dans l’industrie

También en El Congreso Industria 4.0 señala que la fabricación virtual ya ha entrado en la industria y en Las empresas aragonesas tienen un grado de madurez digital un 38% superior a la media.

El otro día nos contactaron del programa Buenos Días Aragón de Aragón TV, para hablar del 15 aniversario del botón ‘me gusta’ de Facebook.

Se puede ver en BUENOS DÍAS ARAGÓN - 21/02/2024 08:00 (lo quitarán pronto).

Intervino un sicólogo, Antonio Boira, hablando de los aspectos que condicionan nuestras respuestas e incluso los posibles cambios que puede ocasionar el deseo de validación por parte de los demás.

El algoritmo, como sabemos, es secreto pero parece que favorece las interacciones y en muchos casos nuestros instintos más primitivos (de agrado o de desagrado) hace que, en algunas ocasiones, obtentamos resultados que no son los más convenientes para nosotros.

Por otra parte, tratamos de explicar que estos algoritmos lo que hacen es agruparnos en colectivos de personas que tienen intereses parecidos a los nuestros y mostrarnos publicidad, o enivarles nuestros datos a empresas que los utilizan para mostrarnos determinados mensajes.

View post on imgur.com

El tema de las contraseñas me encanta. Leo todo lo que puedo sobre ello y creo que puedo dar buenas recomendaciones. Por este motivo me puse muy contento cuando me llamaron del programa de Aragón TV Conexión Aragóng para hablar un ratito sobre el tema

El fragmento con mi intervención está en:

El programa completo se puede ver en Conexión Aragón Jueves, 8 de Febrero - 08/02/2024 18:04. Lo quitarán en unos días.

Empezamos llevando la contraria a algunos consejos habituales (pero poco recomendables): es necesario cambiar las contraseñas con frecuencia. Lo cierto es que si esto se convierte en una obligación normalmente provoca que las elijamos peoros. La recomendación que dan todos los expertos es que lo mejor es tener contraseñas largas (y, si puede ser, complejas y utilizar un gestor de contraseñas. Además, cambialas de vez en cuando: por ejemplo, cuando volvemos de vacaciones o hemos tenido alguna práctica de riesgo,… Ni que decir tiene que la regla de sitios distintos, contraseñas distintas es irrenunciable, aunque allí no lo comenté. También hablamos de las tarjeas de crédito y de cómo es buena idea tener una tarjeta de esas de prepago, o bien una que se pueda ‘apagar’ para que si alguien nos la roba no pueda hacer gran cosa con ella. Nunca hay que olvidar que los datos no sólo nos los pueden robar a nosotros, sino también a nuestros proveedores, y sobre eso no tenemos mucho control.

El otro día nos llamaron de Radio Zaragoza para hablar sobre el curso de Ciberseguridad en la Nube que está a punto de empezar.

El fragmento con mi intervención está en:

El programa completo se puede escuchar en:

El otro día nos llamaron de Radio Zaragoza para hablar un poco sobre phishing.

El fragmento con mi intervención está en:

El programa completo se puede escuchar en:

Después de la entrevista hay otra a un representante de una asociación de consumidores que da algunos consejos interesantes.

En la intervención hablamos de que los usuarios lo tienen (tenemos) muy difícil a la hora de detectar estos fraudes porque a veces están bastante bien hechos y nos podemos confundir; nuestro deseo de cumplir con lo que se nos solicita, la urgencia que muchas veces nos sugieren los mensajes, la atención dispersa porque estamos ocupándonos de otros asuntos y, a veces, la coincidencia en el tiempo con nuestras actividades pueden llevarnos a caer.

Los consejos: preguntarnos si realmente eso es algo que debería habernos llegado, tomarlo con calma (será muy raro que llegue algo que tenga verdadera urgencia y que no pueda esperar un poco) y, en caso de duda, preguntar.

También aprovechamos para recordar que nuestro curso de Ciberseguridad en la nube. Tiene una parte no presencial muy importante.

View post on imgur.com

Aragón TV emitió el otro día un reportaje sobre empleo en ciberseguridad, centrado en la ciudad de Huesca. Como impartimos docencia en la temática en esa ciudad nos llamaron y puede verse en:

ARAGÓN NOTICIAS 1 - 02/01/2024 14:00 (empieza en el minuto 10, está disponible durante unos días, luego lo quitan).

En esta ocasión hablamos de que, efectivamente, hay empleo en ciberseguridad y que además se puede acceder a él en todos los sitios: en parte por las necesidades locales y en otra porque ahora hay muchas empresas que admiten el teletrabajo para perfiles especializados como estos. También hablamos de que no sólo son necesarios los perfiles más técnicos, sino que también hace falta gente de otras disciplinas (fundamentalmente leyes y comunicación, pero casi todo el mundo puede encontrar su lugar). También, que es la parte que sale, que las empresas tienen que darse cuenta de que muchos de sus procesos dependen de la tecnología, y que es buena idea proteger esos recursos de manera adecuada.

Por si a alguien le interesa, nuestro estudio está en fase de preinscripción y todos los detalles están en Programa en Ciberseguridad y Protección de Datos. Ciberseguridad en la Nube. La preinscripción se puede hacer directamente en Certificación de Extensión Universitaria en Ciberseguridad en la nube. Preinscripción.

Las fechas previstas son:

Preinscripción. Abierta hasta el 9 de febrero de 2024.

Matrícula. Desde el 12 de febrero hasta el 15 de febrero de 2024.

Inicio del curso. 19/02/2024

La primera y la última semana son presenciales y las intermedias (tres sesiones por semana, por la tarde) por videoconferencia.

Antes de empezar...

I’ve been spending some time adding features to a chatbot, which I’m using as a personal information manager (PIM). Given the fact that there are some ideas that could be useful for other people, I sent a proposal to a conference where we’ve published some work in the past, the The 37th annual European Simulation and Modelling Conference.

The conference was held at ISAE SUPAERO, Toulouse, France, Octobre 24-26, 2023.

The paper was published and you can read it now. It is availabe as a longer version at A proposal for federated chatbots for distributed information access (extended version). You can also see the slides from the conference presentation: A proposal for federated chatbots for distributed information access

Abstract:

Chatbots can be a good way to interact with IoT devices, and other information systems: they can provide information with a convenient interface for casual or frequent interaction. Sometimes there can be good reasons to have more than one chatbot: maybe we have several computers, or diverse infrastructure, with different access conditions. This work concentrates on this case, when it can be useful to establish a method for them to work in a cooperative way. In principle, coordination is a good property: each one of these chatbots can be devoted to solve different tasks and our users can have different needs when accessing to every capability of each chatbot. In this paper we are proposing an architecture for several chatbots that can interact via a command and control channel, requesting actions for other bots and collecting the replies in order to pass them to the user. The chatbot infrastructure is lightweight, and it can use public (but not publicly viewable) infrastructure providing an easy way to start a project with it.

And you can reference it (if you want) as: Tricas, F. ‘A PROPOSAL FOR FEDERATED CHATBOTS FOR DISTRIBUTED INFORMATION ACCESS’ submitted (and accepted) at the ESM®’2023 (The 37th annual European Simulation and Modelling Conference) October 2023, Toulouse, France, pp. 151–154.

La Policía Nacional ha detenido en Alicante a un ciudadano venezolano considerado uno de los supuestos líderes del aparato financiero de uno de los grupos de hackers más importantes del mundo.
👇🏻👇🏻https://t.co/PFenxNifOY

— Aragón Radio (@aragonradio) December 11, 2023

El portal de empleo Infojobs sacó una nota de prensa hablando de la cantidad de perfiles que hay actualmente disponibles para contratar y eso provocó que en en el programa Despierta Aragón Informativo de Aragón Radio se interesaran por el tema y nos llamaran.

Se puede escuchar el resultado en Ciberseguridad.

Hablamos de empleo, porque efectivamente nos llegan propuestas de vez en cuando para nuestro estudiantado, y también de las iniciativas de formación que tenemos con respecto a la ciberseguridad, tanto regladas (en la titulación de Informática) como en los títulos propios del Programa en Ciberseguridad y Protección de Datos, tanto para los perfiles más técnicos como los de inclinación legal y normativa.

Además, como siempre, algún consejillo de seguridad para todo el mundo y el aviso de que cualquiera puede ser el ‘elegido’ por un ataque de los que ahora son frecuentes.

La nota de Infojobs está en La ciberseguridad, en su gran momento: más de 5.200 ofertas de empleo vinculadas a este ámbito

El día 22 de noviembre la Cátedra de Telefónica sobre «Cognitive IoT» de las Universidades Politècnica de Catalunya y Pompeu Fabra organizaron un encuentro de expertos para debatir sobre la evolución de los perfiles profesionales en ingenierías. El impacto de tecnologías emergentes como las de ciberseguridad y ciencia de datos, impulsadas más recientemente por la inteligencia artificial generativa obliga a una profunda reflexión en cuanto a su impacto en los perfiles profesionales demandados por el sector. La sesión, en formato Ágora expertos, ha reunido una docena de profesionales de diferentes sectores así como profesores, estudiantes y responsables de la UPC, UPF y UNIZAR para debatir el futuro de los perfiles profesionales en el sector de las TIC.

Tuvieron la amabilidad de invitarme como director de la Cátedra de Ciberseguridad, porque era uno de los temas que salían en los distintos análisis de tendencias de búsqueda de personas por parte de los empleadores y estuvimos charlando un ratito por allá.

Del resumen que nos ha compartido la organización, algunas de las cosas que dije allá:

• Me declaro tecnooptimista decepcionado por los disgustos que la tecnología pero animado por el diagnóstico realizado en cuanto al futuro.
• Siguiendo diferentes congresos internacionales estamos en una situación de traspaso entre el momento en que las empresas necesitaban simplemente tecnología y el momento en que se den cuenta de que es clave para la transformación del negocio.
• Alinear y transversalizar las tecnologías es crucial para poder avanzar.
• Los tecnólogos tenemos, efectivamente, dificultades para comunicar y expresar el trabajo realizado.

Creo que resume bien mi estado de ánimo actual con esa decepción por ver todas las cosas que podríamos tener y estar haciendo, que no terminan de llegar. También con nosotros mismos como profesión, que muchas veces no somos capaces de comunicar bien las ventajas (sin olvidar los cenizos que se preocupan de recordarnos los inconvenientes, que esos sí que lo hacen bien).

Veo oportunidades en los temas relacionados con la ciberseguridad, por supuesto; y en especial la ciberseguridad pensada para las personas (seguridad usable) y la que considera los aspectos económicos (las empresas usan tecnología porque les sirve para el negocio, no porque sea más o menos moderna o interesante).

También soy un firme convencido de que muchas empresas (pero aún hay quien duda) que están pasando de usar la tecnología como algo necesario (o inevitable) a usarla para marcar la diferencia con su competencia y tener mejores resultados.

El encuentro ha tenido reflejo en las páginas de las universidades responsables de la cátedra:

• Marina Suárez (GEMCD) y Albert Domingo (UPF Ventures) participan en el Ágora expertos de Telefónica
• Els nous perfils professionals en l’enginyeria, a debat en una trobada de la Càtedra Telefónica UPC-UPF.

También lo hemos puesto en la página de la cátedra:

En el encuentro de expertos para debatir sobre nuevos perfiles profesionales

💳En España hay 88 millones de tarjetas bancarias y la mayoría de compras pasan por Redsys, intermediario entre nuestra cuenta y la de la empresa a la que pagamos.

➡️Esta plataforma ha generado dudas, ya que ha fallado dos veces en plena campaña del 'Black Friday'. pic.twitter.com/DEck1VraSq

— Aragón Noticias (@AragonNoticias_) November 27, 2023

La semana pasada hubo un par de interrupciones del servicio que proporciona redsys, como pasarela de pago (casi en exclusiva) de muchos comercios en España. La comunicación ha sido muy escasa y de poca enjundia, pero aún así los medios se han interesado por el tema y nos llamaron desde el programa Buenos Días Aragón para hablar del tema. Se puede ver (a partir de una hora, 21 minutos y un poquito más) en BUENOS DÍAS ARAGÓN - 27/11/2023 08:00.

El mensaje:

• Parece que no se trata de un ciberataque.
• Seguramente hicieron algún cambio de configuración que falló en las pruebas (primer incidente), lo resolvieron de alguna manera que se mostró inadecuada cuando empezó a llegar la carga real del Black Friday (segundo incidente).
• Hay sistemas alternativos, que podrían entrar en funcionamiento en caso de que este falle, pero probablemente ya no estamos a tiempo para ponerlos en funcionamiento para la campaña navideña.
• Casi con toda seguridad ahora sí que estarán resueltos los fallos y no veremos más incidentes en los próximos días.