A través del Instituto de Investigación en Ingeniería de Aragón al que pertenezco me llegó una propuesta para participar en la Jornada: "Ciberseguridad: Retos y Oportunidades" que organizaba esta semana el Parque Tecnológico Walqa en el marco de su Semana de la Ciencia.

Estas intervenciones siempre dan bastante respeto porque no sabes quién va a venir y cuál sería el nivel adecuado de lo que cuentes para que sea de utilidad. Creo, sin embargo, que hay que poner todo el interés por hacerlas porque vivimos en un momento en el que es muy fácil conseguir mensajes confusos y más o menos interesados, que pueden despistar a la gente.
Enfoqué la charla tratando de motivar (serían los retos), dar unos (pocos) consejos y hablar de dónde veo yo algunas tenencias que me parecen interesantes en el mundo de la ciberseguridad (las oportunidades).

Se puede ver la presentación que utilicé en:


La titulé 'Te puede pasar a ti. Tres consejos y algunas tendencias' pero dije claramente que no se trata de si te va a pasar a ti o no, sino de cuándo te va a suceder algún incidente.

Empecé con el experimento que cuentan en Does dropping usb drives really work?, que fue presentado en Blackhat USA 2016. Muestra como somos los usuarios cuando nos encontramos un dispositivo USB en la calle (pista: lo metemos en el ordenador. Rápidamente).

Luego, mostré tres ejemplos de problemas de seguridad ocurridos todos en el mes de octubre recién pasado. El mensaje es doble: sucesos a todos los niveles (desde robo de información hasta efectos en el mundo físico):

• Terror threat as Heathrow Airport security files found dumped in the street (robo/pérdida de información; cercana, porque aparece en el mismo sitio al que pertenece la información)
• Equifax to be investigated by FCA over data breach (robo de información a través de internet)
• DDoS Attacks Cause Train Delays Across Sweden (la influencia de los sistemas informáticos en el mundo 'real')

Luego, los consejos (sólo tres, si alguien quiere más, que pregunte):

• Actualizar los sistemas
• Hacer copias de seguridad. Hacerlas bien
• Utilizar un gestor de contraseñas. Después del informe que salió este verano sobre el tema que contradice muchos de los consejos habituales sobre 'buenas contraseñas' creo que lo mejor es delegar este trabajo a una aplicación que lo haga correctamente por nosotros ([PDF] Digital Identity Guidelines. Authentication and Lifecycle Management).

Finalmente, las oportunidades. Aquí elegí un par de congresos de seguridad que ya tienen una trayectoria y que se preocupan de temas que me parecen relevantes:

• Workshop on the Economics of Information Security. Seguridad de la información y economía: lo que cuestan las cosas, lo que cuesta asegurarlas... Y no sólo hablamos de dinero
• Symposium On Usable Privacy and Security. Los artefactos de seguridad no sólo deben cumplir su objetivo principal; además deben ser cómodos, fáciles de utilizar, convenientes...
• Finalmente, hablé de las oportunidades que proporcionan las regulaciones. En mi contexto más próximo podríamos hablar del Esquema nacional de seguridad, o del 'amenazante' Reglamento General de protección de datos. Pero también de buenas prácticas y estándares más o menos informales, como pueden ser los del proyecto Open Web Application Security Project, que llegaron a aparecer en exigencias de la industria de medios de pago (el caso de PCI, los estándares de la industria de tarjetas de pago).

Esta entrada se publicó originalmente en En la Jornada 'Ciberseguridad: Retos y Oportunidades' de Walqa.