En la Jornada 'Ciberseguridad: Retos y Oportunidades' de Walqa

2017-11-13

Semana de la Ciencia en Walqa A través del Instituto de Investigación en Ingeniería de Aragón al que pertenezco me llegó una propuesta para participar en la Jornada: “Ciberseguridad: Retos y Oportunidades” que organizaba esta semana el Parque Tecnológico Walqa en el marco de su Semana de la Ciencia.

Estas intervenciones siempre dan bastante respeto porque no sabes quién va a venir y cuál sería el nivel adecuado de lo que cuentes para que sea de utilidad. Creo, sin embargo, que hay que poner todo el interés por hacerlas porque vivimos en un momento en el que es muy fácil conseguir mensajes confusos y más o menos interesados, que pueden despistar a la gente.

Enfoqué la charla tratando de motivar (serían los retos), dar unos (pocos) consejos y hablar de dónde veo yo algunas tenencias que me parecen interesantes en el mundo de la ciberseguridad (las oportunidades).

Se puede ver la presentación que utilicé en:

Te puede pasar a ti. Tres consejos y algunas tendencias from Fernando Tricas García



La titulé ‘Te puede pasar a ti. Tres consejos y algunas tendencias’ pero dije claramente que no se trata de si te va a pasar a ti o no, sino de cuándo te va a suceder algún incidente.

Empecé con el experimento que cuentan en Does dropping usb drives really work?, que fue presentado en Blackhat USA 2016. Muestra como somos los usuarios cuando nos encontramos un dispositivo USB en la calle (pista: lo metemos en el ordenador. Rápidamente).


Luego, mostré tres ejemplos de problemas de seguridad ocurridos todos en el mes de octubre recién pasado. El mensaje es doble: sucesos a todos los niveles (desde robo de información hasta efectos en el mundo físico):



Luego, los consejos (sólo tres, si alguien quiere más, que pregunte):

<ul> <li>- Actualizar los sistemas</li> <li>- Hacer copias de seguridad.  Hacerlas bien</li> <li>- Utilizar un gestor de contraseñas. Después del informe que salió este verano sobre el tema que contradice muchos de los consejos habituales sobre 'buenas contraseñas' creo que lo mejor es delegar este trabajo a una aplicación que lo haga correctamente por nosotros (<a href="https://doi.org/10.6028/NIST.SP.800-63b">[PDF] Digital Identity Guidelines.  Authentication and Lifecycle Management</a>).</li>  </ul>



Finalmente, las oportunidades. Aquí elegí un par de congresos de seguridad que ya tienen una trayectoria y que se preocupan de temas que me parecen relevantes:

<ul> <li>- <a href="http://econinfosec.org/">Workshop on the Economics of Information Security</a>. Seguridad de la información y economía: lo que cuestan las cosas, lo que cuesta asegurarlas... Y no sólo hablamos de dinero</li> <li>- <a href="http://cups.cs.cmu.edu/soups/">Symposium On Usable Privacy and Security</a>. Los artefactos de seguridad no sólo deben cumplir su objetivo principal; además deben ser cómodos, fáciles de utilizar, convenientes...</li> <li>- Finalmente, hablé de las oportunidades que proporcionan las regulaciones. En mi contexto más próximo podríamos hablar del <a href="https://www.ccn-cert.cni.es/ens.html">Esquema nacional de seguridad</a>, o del 'amenazante' <a href="http://www.agpd.es/portalwebAGPD/temas/reglamento/index-ides-idphp.php">Reglamento General de protección de datos</a>.  Pero también de buenas prácticas y estándares más o menos informales, como pueden ser los del proyecto <a href="https://www.owasp.org/">Open Web Application Security Project</a>, que llegaron a aparecer en exigencias de la industria de medios de pago (el caso de <a href="https://www.pcisecuritystandards.org/">PCI</a>, los estándares de la industria de tarjetas de pago</a>).</li> </ul> <br /> <br /> Esta entrada se publicó originalmente en <a href="http://fernand0.blogalia.com/historias/77122">En la Jornada 'Ciberseguridad: Retos y Oportunidades' de Walqa</a>.

En CINAIC 2017 moderando una mesa sobre innovación educativa

2017-10-15
En la mesa redonda de CINAIC Este año hemos (yo muy poquito, la verdad) el Congreso Internacional sobre Aprendizaje, Innovación y Competitividad, CINAIC 2017. Entre las actividades había varias mesas redondas y en una de ellas me propusieron actuar de moderador. No es una de mis tareas favoritas, pero parece que últimamente me está tocando de vez en cuando.
Se trataba de la mesa titulada: "La innovación educativa al servicio de la sociedad". El tema me desconcertaba un poco porque no tengo claro que la sciedad nos perciba como innovadores en eso (de hecho, en las jornadas anuales de innovación de la universidad una de las cosas que me atrevía a decir desde la posición privilegiada de la inauguración era precisamente eso: que no se trata sólo de hacer innovaciones, medirlas, evaluarlas y comunicarlas en las jornadas para ver si otras personas podían aplicarlas en su ámbito; se trata también de difundirlas al exterior, para que la sociedad las conozca y vea si también puede sacar partido de ellas).

Sin embargo, los meseros nos proporcionaron algunas claves que me atrevo a resumir aquí. Ellos eran:

Javier Ponce, Director Económico Financiero del CDTI. Ministerio de Economía y Competitividad.
Juan Carlos Toscano. Secretario Técnico del Área de Ciencia de la Organización de Estados Iberoamericanos.
Javier González Casado. Gerente de Innovación Educativa de la Fundación Telefónica


Por el orden de intervención, Juan Carlos Toscano habló de establecer lazos de colaboración, y cómo habían realizado experiencias de utilizar la innovación educativa para ayudar a los estudianes a descubrir la utilidad de la ciencia. Javier González Casado incidió en la diferencia que puede haber entre la obtención del título frente al aprendizaje a lo largo de la vida. Finalmente Javier Ponce nos habló de la importancia de la gestión de conocimiento, la gestión del estrés emocional (que no se enseña, pero que puede ser clave a la hora de tomar decisiones) y, la parte más alabada por la gente después: descubrir si somos inductivos (aprender a partir de los datos) o deductivos (aprender las teorías para aplicarlas después a los datos).

Naturalmente, esto son solo los titulares. Supongo que se publicará el vídeo y podremos avisar más adelante (probablemente en los comentarios).

Entrada publicada originalmente en En CINAIC 2017 moderando una mesa sobre innovación educativa

En Heraldo de Aragón hablando de rankings

2017-10-13
El reportaje Hace unas semanas me escribió David Navarro, del Heraldo de Aragón, para hablar de rankings.

Los rankings son típicamente un motivo que utilizan algunos sectores para criticar a la universidad sin darle muchas vueltas al tema. Creo que algunos articulistas dejan ya su pieza preparada para cuando salga aprovechando para hablar del estado lamentable (en su opinión, claro) de la universidad española.
Los tristes atentados de este verano en Barcelona redujeron la atención de este año hacia el tema (que sale sistemáticamente en medio del mes de agosto, en el caso del ranking de Shanghai).

No era el caso de este reportaje y el resultado salió el domingo pasado en la versión de papel del diario; puede leerse (espero), por ejemplo, en [PDF] Universidad. Modelo incomprendido.

Allí se reflejan parte de mis palabras y, como las preguntas fueron hechas y respondidas por correo me tomo la libertad de reproducir mis respuestas íntegras:

La primera pregunta era por la notable bajada en el ranking (más de cien puestos) en poco tiempo:

Parece que se debe a un cambio de los parámetros que se miden. Cuando las medidas se basan en unos pocos indicadores cambiar un indicador por otro diferente puede provocar estos cambios.
Tampoco hay que desdeñar la influencia de la financiación, que ha decrecido durante un número de años por efecto de la crisis. Un cambio de cien posiciones en una lista de 12.000-15.000 universidades que puede haber en el mundo es relativamente pequeño.


La segunda era sobre la importancia que debemos concederle a un ranking en el que aparecen universidades privadas y muy caras.

Primero decir que sí, que tenemos que tener en cuenta los ranquins. Tanto este como los otros que se publican: nos permiten conocer los aspectos que se consideran relevantes y cómo nos situamos frente a otros. Sería desastroso que en las medidas que se consideran a nivel mundial estuviéramos totalmente fuera porque significaría que ni siquiera estamos haciendo lo que se supone que tenemos que hacer. Y hay bastantes universidades que lo están, no lo olvidemos.

Sin embargo, yo creo que el no hay que fijarse tanto en el modelo privado/público, porque distintos países eligen modelos diferentes y eso no debería impedir establecer comparaciones. O caro/barato, porque hay cosas muy caras que no son buenas y otras muy baratas que son estupendas. El debate tendría que ver, en mi opinión, con la financiación y el contexto. Si miramos el ranking, algunas de las universidades de la parte alta del ranking tienen un presupuesto mucho mayor que el de nuestras univeridades. Pero esa financiación no proviene solo de esos supuestos precios de las matrículas (caros) sino también de empresas que apuestan decididamente por financiar a la universidad para que desarrolle con ellas proyectos. La financiación pública es la que es pero, desde luego, en nuestro entorno la financiación privada es casi testimonial (con excepciones).


La tercera pregunta era sobre lo que tenemos que mejorar:

Tenemos que mejorar en comunicar mejor a la sociedad el valor que tienen los rankings,lo que miden y su signficado. También ser capaces de decidir si los parámetros que miden son los adecuados para nosotros como sociedad y en cuáles queremos mejorar y cuáles no son tan importantes.
Finalmente, ser capaces de convencer a nuestro tejido empresarial de que la inversión en la universidad es beneficiosa para la sociedad en general y para las propias empresas en particular.

En los últimos años hemos mejorado en la eficiencia, aprendiendo a gestionar mejor la financiación que recibimos. Tenemos pendiente mejorar nuestra estructura, que nos permita hacer más cosas y mejor.


Además de mis respuestas aparecen las de algunos compañeros de la universidad como Javier Campos, Elías Cueto y Francisco Marco.

Aunque es un tema sobre el que se lo justo y me preocupa más la parte de 'negociar' con la sociedad estes temas, no es la primera vez que hablo de rankings, en una ocasión estuvimos hablando un rato sobre el tema con Daniel Sanz, en 101 con @fernand0 hablando sobre ranking de universidades.

Esta entrada apareció originalmente en En Heraldo de Aragón hablando de rankings.

En ReVisión: Paseando por las nubes

2017-10-03
Logo
Se acaba de publicar el número de junio de ReVisión, la revista de la Asociación de Enseñantes Universitarios de la Informática.

En este número hablamos de las modas, lo que deberíamos estar enseñando (o no) en la carrera de informática.

El resultado se puede leer en [PDF] Lo efímero frente a lo permanente: la tensión en la enseñanza de la informática

Seguimos colgando en Columnas 2.0 en GitHub el código fuente (en LaTeX) de todos los textos que hemos escrito hasta ahora. Y tenemos una sección en cocina donde vamos trabajando, poniendo ideas para futuras columnas... ¿Quiere alguien que tratemos algún tema? ¿Quiere alguien escribir una columna con nosotros?
¡Ábrenos una petición o mándanos algún esbozo de artículo y trabajamos juntos!

En TicBox. Consejos para mi yo de hace 20 años

2017-10-01
Grabando Tengo que decir que no soy muy de dar consejos, sobre todo si no me los piden. Pero en esta ocasión ese era el 'juego' que nos planteaban los amigos de Natinnova.

El 8 de junio se celebró el TicBox - Congreso de Innovación, Tecnología y Transformación Digital y, entre otras actividades, estaban preguntando a la gente que andábamos por ahí.
Veo que no lo había contado por aquí, el final del curso pasado fue particularmente intenso.
Con la ventaja de que tenían un montaje muy profesional y le han dado un acabado muy chulo.

La pregunta me pareció difícil.
Tanto, que me quedé pasmado (han tenido la gentileza de eliminar esa parte del vídeo) cuando Miriam Gállego lanzó la pregunta y sin saber qué decir: a mi poca afición a los consejos se unía la falta de posibilidad real de que el consejo tuviera sentido y/o aplicación.
En todo caso, por si tienen interés en verlo: ¿Qué le recomendaría a mi yo de hace veinte años?

¿Qué te dirías hace 20 años? Fernando Tricas en TICBOX from Natinnova on Vimeo.



Como puede verse enfoco la respuesta diciendo que elegí un buen campo de trabajo (las tecnologías de la información y la comunicación) y que eso me ha permitido hacer cosas interesantes y disfrutar con mi trabajo.

Mesa redonda Además, participé en la jornada en una mesa redonda sobre 'Grandes corporaciones y entidades públicas' junto a Helmut K. Hampp y Jordi Dalmau, moderados por David Pascual.


Historia publicada originalmente en: Consejos para mi yo de hace 20 años.

En Aragón TV hablando de seguridad informática

2017-07-18
Imagen de la tv

Ya hace unas semanas me llamaron del programa de Aragón TV 'En ruta con la ciencia' para hablar de la seguridad de internet. El formato consiste en que preguntan a unas cuantas personas por la calle y también a algún especialista. Además se escribe un pequeño texto que se les proporciona a las personas que han respondido para que conozcan la respuesta del profesional.

Se puede ver mi intervención en:



Y la repuesta que preparé fue:

¿Es seguro internet? Respuesta corta: internet es seguro. Respuesta larga: - Las empresas hacen su trabajo y actualizan los programas, sistemas y servicios en cuanto conocen los problemas, con el objetivo de que estemos protegidos. - Durante los últimos años nos hemos dotado de regulaciones y mecanismos que garantizan la seguridad de las transacciones que realizamos en internet. Los consumidores estamos protegidos y el sistema es muy garantista. No obstante, muchas veces perdemos de vista que cuando utilizamos cualquier herramienta asumimos una responsabilidad: creemos que somo más anónimos de lo que realmente somos, no hacemos el mantenimiento adecuado (actualizar el sistema y los programas, utilizar un antivirus, ...), y a veces tenemos unas expectativas demasiado altas (nos creemos casi cualquier oferta que nos llega) poniendo la guardia demasiado baja.


Creo que se parece razonablemente a lo que finalmente dije. El programa se emitió el 19 de junio y puede verse en Cap. 64 - Relaciones sociales. Por casualidad resulta que el programa completo se dedicó a un tema que hemos tratado frecuentemente aquí que es el análisis de redes sociales. Se pueden ver las respuestas de la gente (y las mías propias) a partir del minuto 10, aproximadamante.

En ReVisión: Lo efímero frente a lo permanente: la tensión en la enseñanza de la informática

2017-07-18
Logo


Se acaba de publicar el número de junio de ReVisión, la revista de la Asociación de Enseñantes Universitarios de la Informática.

En este número hablamos de las modas, lo que deberíamos estar enseñando (o no) en la carrera de informática.

El resultado se puede leer en [PDF] Lo efímero frente a lo permanente: la tensión en la enseñanza de la informática

Seguimos colgando en Columnas 2.0 en GitHub el código fuente (en LaTeX) de todos los textos que hemos escrito hasta ahora. Y tenemos una sección en cocina donde vamos trabajando, poniendo ideas para futuras columnas...
¿Quiere alguien que tratemos algún tema? ¿Quiere alguien escribir una columna con nosotros?
¡Ábrenos una petición o mándanos algún esbozo de artículo y trabajamos juntos!

Esta entrada se publicó originalmente en En ReVisión: Lo efímero frente a lo permanente: la tensión en la enseñanza de la informática.

En diversos medios hablando de seguridad informática

2017-05-21
El viernes 12 de mayo al final de la mañana saltó la noticia del ataque de 'ransomware'. A raíz de eso varios medios de comunicación contactaron con nosotros para obtener información.

En Aragón Radio hablando de WannaCry y seguridad informática
Cerradura

En general, es bueno que algunos hechos alcancen este impacto porque nos permite hablar de temas que habitualmente pasamos por alto, sin preocuparnos demasiado. Sobre todo en ocasiones como esta en la que los daños no parecen haber sido excesivamente graves.
Tiene su parte negativa y son los caras y aprovechados que seguro que haran negocios de 'limpieza', 'puesta a punto' o tratarán de timar a personas asustadas por el ruido.

Óscar Vegas de Aragón Radio nos contacto a Gabriel del Molino y a mi para hablar un ratito sobre el tema.

El resultado se puede escuchar en:

Listen to "2017-05-13 Hablando sobre WannaCry en Arangón Radio" on Spreaker.

También descargarlo directamente en [MP3] Hablando sobre WannaCry en Arangón Radio.

En este caso mi propuesta es muy sencilla: la mayoría de los problemas de este tipo tendrían un impacto muy bajo si mantenemos nuestros sistemas actualizados y contamos con copias de seguridad adecuadamente gestionadas.
Además, no olvidar que existen profesionales que nos pueden ayudar y que deberíamos llamarles si nos tomamos en serio la información de nuestra empresa.

Tampoco conviene olvidar que los ataques son contínuos y que habitualmente lo que sucede es que no alcanzan el impacto mediático: aunque no salga en las noticias todos los días, la seguridad es muy importante.

Por si alguien tiene interés el 'ransomware' consiste en cifrar nuestros documentos (o incluso nuestro disco duro) de manera que seguimos teniéndolos, pero no podemos leerlos. El atacante nos ofrece la contraseña para descifrarlos a cambio de un pago.

En general, pagar es poco recomendable porque nada nos garantiza que vayamos a obtener la contraseña y, por lo tanto, nuestra información.

En el aviso que lanzó ayer el Instituto de Ciberseguridad (INCIBE) Importante oleada de ransomware afecta a multitud de equipos nos recordaban que proporcionan un Servicio AntiRansomware en el que pueden ayudarnos.
No es raro que los expertos tengan una solución para este tipo de ataques.

Después del ruido, y con la información que tenemos ahora vale la pena leer un par de entradas que hablan del poco impacto que ha tenido el ataque (a pesar del ruido):

Un ransomware ataca a múltiples compañías.
El ataque del ransomware #WannaCry.
Everything you need to know about the WannaCry / Wcry / WannaCrypt ransomware

En particular, nos cuenta que el ataque habría sido frenado (porque encontraron el sistema de apagado) aunque eso no garantiza que pueda volver a atacar en cualquier momento.

Nota adaptada de En Aragón Radio hablando de WannaCry y seguridad informática.

El paseo continuó el lunes con un par de intervenciones en televisión.

Primero, Belén Lorente de TVE en Aragón vino a hablar sobre el tema de moda, el 'ransomware' que hemos estado escuchando en las noticias durante la última semana. Hablamos de más cosas y finalmente decidió centrarse más bien en ellas. He puesto la intervención en mi canal de YouTube:


Puede verse el programa completo en Noticias Aragón 15 de mayo de 2017, alrededor del minuto 7.40.

Luego acudí al programa (de estreno, por cierto) Puntos de Vista de Aragón TV. Se trata de un programa con tertulia y puede verse la parte en que participo en:


Si alguien quiere ver el programa completo (con la parte inicial del reportaje donde hablan diversos expertos) en Puntos de Vista 15 de mayo de 2017. La parte relacionada comienza alrededor de la hora de programa, ya terminándolo.

Segunda parte adaptada de En TV hablando de seguridad informática.

En El Periódico de Aragón hablando del ENS e incidentes de seguridad

2017-02-10
Concienciación Uno de los primeros temas en los que hemos conseguido avanzar en el trabajo es en la implantación del Esquema Nacional de Seguridad. Se ha publicado nuestra política en varios sitios y entre ellos, en el Boletín Oficial de Aragón.

Los periodistas lo ven, se interesan y nos preguntan. Como el tema legal es de interés limitado, nos preguntan por incidentes de seguridad y justo la semana anterior habíamos tenido un pequeño problema con un alojamiento de páginas web de diversos colectivos y personas que no estaba tan bien como debería.

Hablamos un rato con Jorge Otto, del Periódico de Aragón y este es el resultado: La universidad se protege.

Esta entrada apareció primero en En El Periódico de Aragón hablando del ENS e incidentes de seguridad.