En Buenos Días Aragón.

La Unión Europea ha estado intentando proponer legislación para detectar contenidos perjudiciales en las redes mediante sistemas de vigilancia e inspección masiva de mensajes.

Llamaron al abogado D. Francisco García Berenguer, que habló de los aspectos legales y a mi para hablar un poco de la parte técnica.

Se puede ver en BUENOS DÍAS ARAGÓN - 15/11/2023 08:00 durante unos días (luego lo quitan). El bloque empieza alrededor del minuto 36 y mi intervención a partir del minuto 45.30 o así.

Las ideas fundamentales son:

• Tenemos tecnología, pero inevitablemente aparecerían falsos positivos (avisos de que algo es nocivo sin serlo). Además del coste computacional que tendría ese escaneo masivo.

• Una vez que los estados tienen acceso a este escaneo, la tentación puede ser muy fuerte de utilizarlo para otros fines diferentes. Nuestros datos dependen en internet del cifrado, y no sólo se accede a nuestra información acerca de lo que están buscando, sino nuestras comunicaciones íntimas, datos bancarios, …

• Una vez que se permite hacer este tipo de escaneos por indicación de Europa, ¿qué impedirá que otros estados u organizaciones grandes pidan lo mismo para ellos?

Valderrobres.

Hace unas semanas me contactaron de la Dirección General de Consumo del Gobierno de Aragón para hablar de “Criptomonedas y otras inversiones en la red: oportunidades y riesgos.”. Como sé que me dejan hablar de lo que creo que es más interesante y llevo una temporada intentando incluir contenidos de este tipo en mis cursos pensé que sería una buena idea hacerlo.

Las jornadas se celebraron en Valderrobres (cada año se van moviendo a distintos lugares) y el 19 de octubre me fui allí y hablé del tema desde un punto de vista escéptico y precavido.

Se puede ver la presentación que utilicé en Criptomonedas y otras inversiones en la red: oportunidades y riesgos..

Hablé de la cadena de bloques (blockchain) y algunos de sus usos fundamentales: las criptomonedas, contratos ingeligentes (smart contracts) y fichas no dungibles (non fungible tokens, NFT) así como algunos ejemplos que me han parecido intersantes en los últimos años.

De paso, Valderrobres fue un descubrimiento. No había estado y me quedé con ganas de visitarlo con más calma.

View post on imgur.com

A principio de septiembre se realizaron un par de ataques informáticos de distinto perfil. Por un lado, robaban los números de tarjeta (incluyendo el código de veríficación, CVV) de la compañía aérea Air Europa.

Al principio se habló de que podría haber sido un robo de la base de datos, aunque luego se dijo que podría haber sido un ataque de ‘web skimming’ (poner algún código en la web, que roba la información cuando se hacen las operaciones normales.

El segundo ataque tenía que ver con la empresa de viajes Booking, donde el ataque era algo más intersante: aparentemente robaban las credenciales a los hoteles, y luego las usaban para engañar a sus clientes solicitándoles pagos por un sistema diferente del establecido inicialmente.

Por este motivo nos llamaron de Aragón TV, para salir en dos programas:

• El día 11 de octubre, en Buenos Días Aragón (no hay enlaces porque retiran los vídeos pasados unos días).
• El día 16 de octubre, en Conexión Aragón: LUNES, 16 DE OCTUBRE - 16/10/2023 18:42 (alrededor del minuto 48, no durará mucho en línea).

Los consejos, los de siempre: mantener nuestros sistemas actualizados, no ceder ante la presión de la urgencia que a veces aprovechan los malos para sacar partido de ello. Sobre las tarjetas, tener alguna de esas que son para internet (a veces de prepago), o que se pueden apagar y encender. No obstante, tranquilizar a las personas en el sentido de que cualquier comercio debería redirigirnos a la pasarela de pago del banco, donde deberían pedirnos factores adicionales de autentificación.

View post on imgur.com

La semana pasada me contactó Alberto Rillo a raíz de las inciativas de formación que tenemos relacionadas con la temática para hablar de ciberseguridad. El resultado se ha publicado en Aragón se defiende como el avestruz de la amenaza ‘hacker’ y parece que todas las personas que hablamos en el reportaje coincidimos en que muchas empresas siguen viendo la ciberseguridad más como gasto que como inversión.

Para Tricas, «conviene insistir en que esto es una inversión, como la de mantener los vehículos y las instalaciones de una empresa, para minimizar los riesgos y, en caso de que llegue un ataque luego la información sea fácil de recuperar en un tiempo razonable».

Y otro parrafito:

En ese mar abierto, los piratas se lanzan como hienas a por los más débiles y utilizan a los usuarios menos prudentes como caballo de Troya: «El fallo humano es una de las puertas de entrada más habituales para los ciberataques y ya podemos poner todas las barreras de protección que queramos que, si no nos manejamos con prevención, acabarán afectándonos», alerta Tricas quien, sin embargo, no quiere cargar las tintas sobre «las víctimas». «Para eso trabajamos los sistemas, las redes, los programas y protocolos y nuestra voluntad es sacar de la ecuación el fallo humano tanto como nos sea posible porque cuando este ocurre y no se ha adoptado ninguna medida, el desastre es inevitable», sentencia.

Además publicaron una segunda nota sobre los seguros asociados a estas temáticas, Algunas pólizas cubren el daño de un ciberataque por el pago del rescate.

Un sitio que no conozco ha traducido la nota al francés, Aragon se défend comme l’autruche contre la menace des hackers.

Al principio del verano me contactó Emel ZENGİN desde Turquía a través de una compañera de la Universidad, Tatiana Iñiguez para proponer la idea de acudir a impartir unas sesiones sobre ciberseguridad para profesores a través de un proyecto Erasmus+ de l Dirección Nacional de Educación del Distrito de Odunpanzari. Se trataba de acudir a la ciudad de Eskişehir. La paga no era muy buena, pero nos daba la excusa para preparar unas sesiones en inglés (con traducción después al turco, la vida es emocionante a veces) y también la oportunidad de visitar una ciudad no habitual en los recorridos turísticos de la mano de personas que viven allí. El viaje directo no era sencillo, lo mejor era llegar en tren desde Estambul, que le añadía sabor a la experiencia (y la oportunidad de volver, aunque fuera un poquito, a visitar sus lugares principales).

Allí hemos estado hace un par de semanas pasada y ha sido toda una experiencia: la hospitalidad y el buen trato, las clases y, como decía arriba, la posibilidad de estar en un país, primero como turistas (Estambul merece la pena) y luego medio turistas, medio visitantes en una ciudad que ha resultado ser bastante bonita y en la que hemos pasado buenos ratos. La comida estupenda y con ganas de pensar, quién sabe, en nuevas oportunidades como esta.

El contenido, el habitual (pero con más tiempo) hablar de contraseñas, la web, los sistemas, las redes,….

Se pueden ver algunas fotos en:

Merkezimizin Erasmus+ Proje Başarısı

Una sorpresa adicional ha sido la aparición en diversos medios locales, que recopilo aquí a título de inventario:

Yetişkin eğitiminde dijital dönüşüm

Siber güvenlik temalı ‘Güvenli İnternet Kullanımı’ eğitimi.

Siber Güvenlik Temalı ‘güvenli İnternet Kullanımı’ Eğitimi

Eskişehir’de ‘Güvenli İnternet Kullanımı’ eğitimi düzenlendi.

Eskişehir’de vatandaşlara önemli eğitim

İspanyol uzman isimden Eskişehirlilere eğitim.

Eskişehir’de yetişkinlere güvenli internet eğitimi.

‘Güvenli İnternet Kullanımı’ Eğitimi.

Odunpazarı Halk Eğitimi Merkezi tarafından Türkiye Ulusal Ajansı’na sun….

Siber güvenlik temalı ‘Güvenli İnternet Kullanımı’ eğitimi.

Siber güvenlik temalı ‘Güvenli İnternet Kullanımı’ eğitimi

Siber Güvenlik Temalı ‘Güvenli İnternet Kullanımı’ Eğitimi

Siber güvenlik temalı ‘Güvenli İnternet Kullanımı’ eğitimi

Actualización: me indican que también salió en:

Siber Güvenlik Alanında Türk Öğretmenlere İspanyol Dokundu

En Objetivo de Aragón TV hablando de la seguridad de WhatsApp

Hace unas semanas llamaron de Aragón TV porque estaban preparando un reportaje sobre WhatsApp y querían hablar sobre ls seguridad del sistema. Se emitió la semana pasada y puede verse en Objetivo. Cap. 612 - 16/09/2023 13:24 hasta que lo quiten. El reportaje empieza alrededor del minuto 10 y se puede ver la intervención casi a continuación.

El programa abordará también un sistema de comunicación que usan más de 2.000 millones de personas en todo el mundo y ha cambiado nuestra forma de relacionarnos. Desde su creación en 2009, WhatsApp ha seguido creciendo, incorporando nuevos servicios a la aplicación y manteniendo su terreno frente a otros competidores. ‘Objetivo’ analiza cómo Whastapp nos obliga a estar ‘Disponible 24 horas’.

Tres ideas fundamentales (para mi):

• La plataforma es segura a la hora de transmitir los mensajes, puesto que utiliza cifrado punto a punto y sería bastante difícil interceptar y poder leer los mensajes.
• La plataforma tiene acceso (si le damos permiso) a nuestros contactos, imágenes, y otros datos. Además, por el simple hecho de usarla, siempre tendrá acceso a la información sobre con quién hablamos, a qué horas, cuándo miramos mensajes,…
• Finalmente, que la información sea cifrada no significa que no esté disponible en los terminales y, en particular, los documentos y las imágnes fácilmente accesibles por otras aplicaciones en la galería y el sistema de ficheros del terminal.

Un placer empezar el curso tratando de ayudar a comprender mejor la tecnología.

En colaboración con Sergio Ilarri y con el trabajo del estudiante Arturo Calvera (resultado de su TFG) envíamos un artículo a las XXVII Jornadas de Ingeniería del Software y Bases de Datos (JISBD 2023) . Se trataba de aplicar algunas técnicas de minería de datos a la detección de intrusiones.

Las jornadas se han celebrado entre los días 12 al 14 de septiembre en Ciudad Real y comparto aquí el resumen y el enlace a la publicación.

Detección de Intrusiones en Redes de Comunicaciones Usando Minería de Datos

Resumen:

Los ciberataques son una importante amenaza a la cual los/as ciudadanos/as están expuestos/as diariamente. En el contexto del proyecto NEAT-AMBIENCE, se aborda el diseño de técnicas de gestión de datos para ayudarles a enfrentarse a problemas modernos y mejorar sus vidas diarias. Por ello, en este trabajo en concreto, consideramos cómo ayudar a usuarios/as de sistemas informáticos a protegerse de ciberataques mediante técnicas de minería de datos. En particular, realizamos una evaluación experimental comparando el rendimiento de diversas técnicas de minería de datos, que muestra que dichas técnicas pueden ayudar a detectar diversos tipos de intrusiones. Además, hemos desarrollado una herramienta de apoyo a la evaluación y dos aplicaciones de detección de intrusiones, habiendo evaluado con una prueba de concepto su potencial utilización en un entorno real. El trabajo muestra cómo con las técnicas de gestión de datos apropiadas es posible proporcionar asistencia a los usuarios en la difícil tarea de proteger sus sistemas.

Este año pensamos que sería buena idea intentar acercar la ciberseguridad a personas no técnicas. Para ello, y con la complicidad del Ayuntamiento de Huesca propusismos el Curso de Verano Introducción a la ciberseguridad y la nube.

El curso ya terminó y el balance es positivo (aunque no hayamos conseguido todas las personas matriculadas que nos hubiera gustado).

En la inaguración nos acompañaron algunas autoridades y ha tenido eco en diversos sitios:

• El programa formativo en Ciberseguridad del Campus de Huesca clausura su primer curso de verano (Unizar).
• Informativo de Aragón TV. Noticias 1 (minuto 24 aprox.).
• Huesca sigue trabajando en Ciberseguridad (Cadena SER).

View post on imgur.com

Hace unas semanas me contactó Rafael Sanz para proponerme una sesión sobre Inteligencia Artificial en el Instituto de Educación Secundaria Andalán de aquí, de Zaragoza. La audiencia sería un grupo o dos de estudiantes del centro, y profesorado interesado en la temática. Todo ello enmarcado en un proyecto de innovación que tienen allí.

Le avisé de que no soy un experto en el tema, aunque el año pasado había preparado una sesión (En el Aula de Consumo del Gobierno de Aragón hablando de Inteligencia Artificial) y este año la había mejorado un poco para una de mis asignaturas. Además, con el mundo de la IA en ebullición me podía dar el empujón necesario para darle una vuelta más al tema.

A ellos les pareció bien y la sesión se celebró el jueves pasado y se puede ver la presentación que preparé (con ayuda de una IA en algunas partes) en Inteligencia Artificial. Le puse un título alternativo, para despistados: “Algunas ideas en positivo sobre Inteligencia Artificial de un no experto. Con algo de ayuda de algunas inteligencias artificiales”.

Traté de empezar con algunos ejemplos motivadores (y también centrar esa motivación para no crear expectativas demasiado altas), luego un repaso histórico, una parte más tecnológica (con más ejemplos) y finalmente algunos comentarios y críticas que podemos leer por ahí. Siempre con un tono positivo y un poco retador, que para malas noticias y desgracias ya tenemos los medios habituales.

Por cierto, voy añadiendo pruebas que hago con las inteligencias artificiales en hilo sobre pruebas con IAs.

El martes se celebró en la sede de CEOE Aragón una jornada sobre ciberseguridad. Una empresa del grupo Santander, Factum, colabara con la organización empresarial e impartía un par de ponencias. Después estuve en una mesa redonda con Mayte Ortín, Directora Gerente de Aragonesa Servicios Telemáticos AST-CERT (Centro de Operaciones de Seguridad Autonómico) y Enrique Martín, Capitan Jefe de la Unidad Orgánica de Policía Judicial de la Comandancia de la Guardia Civil de Huesca, y experto en lucha contra la cibercriminalidad, moderada por David López, Director de Operaciones de FACTUM.

Se puede ver la jornada en vídeo en:

Entre las ideas: formación, concienciación, ciberseguridad como inversión y no como gasto, …