Notas sobre actualidad relacionada con mis asignaturas y mi trabajo en la Universidad.
El 17 de enero se celebró Jornada Anual de la Red de Cátedras de Telefónica se entregaron los premios, donde el equipo que presentó el proyecto ViveRural de la Universidad de Zaragoza quedó en tercer lugar.
Estuvimos allí y lo hemos contado en ViveRural tercer premio nacional del HackForGood.
Call for Papers
ICDSST 2023
Topic: Decision Support System in an Uncertain Word : the contribution of Digital Twins
(Download the call for paper icdsst-2023-cfp_v7) The EURO Working Group on Decision Support Systems invites you to participate in the ICDSST 2023 International Conference on Decision Support System Technology on “Decision Support System in an Uncertain World: the Contribution of Digital Twins” in Albi, France. The Conference will be hosted at the Industrial Engineering Center, IMT Mines Albi, during the period of May 30th to June 01st, 2023.
The Organizing Committee of the ICDSST 2023 invites researchers, developers and specialists in the related areas of decision making, including its methodologies and technologies, as well as application oriented practitioners directed to the implementation of solutions for DSS challenges to submit their work to the ICDSST 2023.
All founding members of the EURO Working Group of Decision Support Systems and senior Collaborators from other DSS Communities are highly encouraged and invited to submit their contributions and participate in the conference.
Contributions: We encourage submissions addressing (among others) the suggested topics listed below. Authors are requested to submit full papers, short papers or posters.
Full Papers:
Full papers should be 11-13 pages long using LNBIP template from Springer by following “Instructions for Authors”. The Latex version of the LNBIP template can be downloaded from here, while the MS Word version of the LNBIP template can be downloaded from here
Short Papers:
Short papers should have up to 6 pages and should use the Short-Paper ICDSST 2022 Template (Linked here: ICDSST-2023-short-paper-template).
Posters:
Posters should use the Poster ICDSST 2022 Template, which is set up to yield a 70 cm x 100 cm vertical poster. (Template linked here: ICDSST2023-Poster-Template). Printing of Posters for exhibition on the Conference Hall, will be at the responsibility of their own authors.
Accepted submissions will either be published in the Springer LNBIP Book (long papers) or in the ICDSST 2023 Conference Proceedings (short papers and posters).
Submissions: All papers and posters should be submitted to the ICDSST 2023 via the following EasyChair account: https://easychair.org/conferences/?conf=icdsst2023
Deadlines for Submissions:
Camera ready version: 26 March 2023
Camera ready version: 26 March 2023
Suggested Paper Topics (but not limited to):
ICDSST 2023 Publications:
As in previous EWG-DSS ICDSST Conferences, accepted long papers may be published through various means, including the conference proceedings, Springer book series – Lecture Notes in Business Information Processing (LNBIP), and Special Issues in DSS related journals for short papers (to be announced). Proceedings of the ICDSST 2023 on “ Decision Support System in an Uncertain World: the Contribution of Digital Twins ” (containing abstracts of all accepted papers, with an ISBN number) will be Guest Edited at the IMT Mines Albi – Université de Toulouse. Details about the ICDSST 2023 Publications and Guest-Editors will be updated in the Conference Homepage
El otro día me contactó por correo Christian Peribáñez, del Heraldo de Aragón, comentando sobre el 25 aniversario de las bitácoras y pidiéndome algún comentario sobre el tema.
Se publicó el otro día en Restos arqueológicos de internet: el 95% de los blogs se han abandonado y es necesaria suscripción para verlo.
Copio aquí el parrafito que le envié:
Efectivamente, los blogs que existen son muchos menos que los que llegó a haber y son, en muchos casos, de nicho (aunque discrepo en lo de webs, más bien se puede observar el fenónemo contrario en algunos casos). Algunos servicios siguen funcionando y gozan de buena salud (Wordpress, Medium, y otros más de nicho, como Dev.to). Como curiosidad, y en un ámbito más local, destacar que el servicio de Blog ciudadano que proporciona el Ayuntamiento de Zaragoza desde el año 2006 es uno de los pocos que quedan en funcionamiento y mantiene actividad por parte de sus usuarios.
Pero lo cierto es que muchas personas han desplazado su presencia (y consumo) digital a las redes sociales, donde el impacto es más inmediato y el esfuerzo por parte de las personas que los ven es mucho menor. Esto tiene sus riesgos, desde el punto de vista de la presencia en las redes, porque estos sitios pueden cancelarnos el servicio y quedanos sin seguidores con facilitad. Esto todavía es más palpable en las redes donde la presentación es algorítmica (Instagram, TikTok, …) porque ya se están abandonando las actividades de seguimiento (‘followers’) y los usuarios directamente vemos lo que nos sugiere la plataforma.
Finalmente, resaltar que está habiendo cierto movimiento hacia las plataformas de boletines (‘newsletters’) donde los modelos de negocio están más claros (se paga, en algunos casos, por la suscripción) y están siendo utilizados por consultores, periodistas independientes, autores y otras personas para difundir información. La misma motivación nos sirve para los podcasts, porque muchas plataformas los han descubierto (más de 20 años después de su nacimiento) como un mencanismo de atraer a más personas a sus plataformas, como es el caso de Spotify, Amazon, y otros.
"#AragonDIH es un servicio de digitalización de las empresas. Es un ecosistema en que se encuentran entidades públicas y privadas, que necesitan servicios o que los ofrecen, y que persiguen ser más competitivos", Pilar Molinero, DG @IAF_Aragon. #digitalizaragon #ceoe pic.twitter.com/RjJzfKp5JL
— AragonDIH (@AragonDih) November 10, 2022
La semana pasada se celebraba un encuentro en CEOE Aragón sobre Digitalización Aragón: Administraciones Públicas dentro de una serie de encuentros que están realizando. Se desarrolló en formato de mesa redonda, en la que participábamos Raul Oliván, Director General de Gobierno abierto e Innovación Social del Gobierno de Aragón; Félix Sendino, Jefe de servicio de redes y sistemas del Ayuntamiento de Zaragoza, y yo mismo. El moderador de la mesa era Manuel Pérez, Gerente del clúster TIC de Aragón, TECNARA.
Manuel fue trayendo diversos temas y debatimos y comentamos sobre ellos.
Desde la parte que me toca, creo que estamos bastante digitalizados, aunque faltan personas para avanzar y mejorar en los procesos que nos faltan o que deberíamos mejorar.
Se puede ver la jornada en:
Al acto dieron la bienvenida Jesús Arnau, Director General de CEOE Aragón y Pilar Molinero, Directora Gerente del Instituto Aragonés de Fomento.
Para conocer cómo se va desarrollando el Ciclo digitalizAragón.
El otro día me llamaron de la emisora de radio 99.9 Plaza Radio y hablamos unos minutos de privacidad en internet.
Se puede escuchar en la grabación que proporciona el propio programa, que se llama Se van a enterar, alrededor del minuto 34.
— fernand0 (@fernand0) October 27, 2022
Durante esta semana se ha estado celebrando la Semana del Emprendimiento en Aragón.
En esta ocasión la Asociación de Mujeres Empresarias de la Provincia de Huesca (AMEPHU) tuvo la amabilidad de invitarme a la sesión Ciberseguridad para tu negocio que se celebró en Barbastro (Huesca). Hubo una ponencia inaugural a cargo de Gonzalo Asensio Asensio, Director de Seguridad Digital Bankinter y luego una mesa redonda donde participamos (por el orden de la organización): Fernando Tricas García, Director de Cátedra Telefónica - Universidad de Zaragoza de Ciberseguridad. Coordinador del Programa en Ciberseguridad y Protección de datos, Raquel Oller, de Irius Risk (virtual), Rosa Vela Becerril. Inspectora jefa del Grupo de Delitos Tecnológicos - Fraudes de la BPPJ de Zaragozai, Alejandro Bernués, de la Guardia Civil, y María G. Dionis. Newtral.
A mi me pidieron que hablara de concienciación y formación, que es lo que intenté.
Las organizadoras, junto con la Feria de Barbastro han tenido la amabilidad de colgar el vídeo de la jorndada y se puede ver en:
Mi presentación comienza en el minuto 48 aproximadamente
Las ideas son parecidas a las de siempre: uno de los eslabones débiles son los usuarios y además lo tenemos realmente difícil, porque los ‘malos’ juegan con nuestros instintos más básicos, así que hay mucho trabajo por hacer.
Y el recordatorio de que internet es una herramienta sensacional que hay que manejar con las prevenciones adecuadas para no tener problemas. Son diez minutos escasos, al menos la toma de posición inicial (luego en la mesa redonda hay alguna intervención).
View post on imgur.com
A principio de septiembre se realizaron un par de ataques informáticos de distinto perfil. Por un lado, robaban los números de tarjeta (incluyendo el código de veríficación, CVV) de la compañía aérea Air Europa.
Al principio se habló de que podría haber sido un robo de la base de datos, aunque luego se dijo que podría haber sido un ataque de ‘web skimming’ (poner algún código en la web, que roba la información cuando se hacen las operaciones normales.
El segundo ataque tenía que ver con la empresa de viajes Booking, donde el ataque era algo más intersante: aparentemente robaban las credenciales a los hoteles, y luego las usaban para engañar a sus clientes solicitándoles pagos por un sistema diferente del establecido inicialmente.
Por este motivo nos llamaron de Aragón TV, para salir en dos programas:
Los consejos, los de siempre: mantener nuestros sistemas actualizados, no ceder ante la presión de la urgencia que a veces aprovechan los malos para sacar partido de ello. Sobre las tarjetas, tener alguna de esas que son para internet (a veces de prepago), o que se pueden apagar y encender. No obstante, tranquilizar a las personas en el sentido de que cualquier comercio debería redirigirnos a la pasarela de pago del banco, donde deberían pedirnos factores adicionales de autentificación.
La semana pasada se ha celebrado en Zaragoza el XXXIII Congreso de Estudios de Telecomunicación (C.EE.T.) y la organización decidió asociar a este congreso unas jornadas de orientación profesional, la ExpoTIC Zaragoza. Entre los patrocinadores figuraba Telefónica, que cedió el hueco para presentar que tenían a la Cátedra de Ciberseguridad que dirijo.
Pensando en estudiantes creímos que sería adecuado dar algunos consejos para merjorar nuestra ciberseguridad y luego comentar las posibilidades que se articulan a través de los estudias y la cátedra de mejorar sus oportunidades laborales en este ámbito. La presentación utilizada está en Consejos y oportunidades en ciberseguridad.
Hablamos un poco de habilidades ‘blandas’, también de humanismo digital y creo que esta parte resonó en algunas personas de la audiencia. Espero que fuera de utilidad y que, a partir de ahora, también lo sea para otras personas.
El director de la Cátedra Telefónica-@unizar de Ciberseguridad (@DIIS_UZ), Fernando Tricas, pone en valor que es "una ley oportuna a la par que necesaria" y destaca que Unizar "ya ha empezado su camino formativo en materias tecnológicas".
— Cortes de Aragón (@cortes_aragon) July 28, 2022
🗣️#AudienciasLegislativas pic.twitter.com/k2F3Q5YUBR
Desde el Gobierno de Aragón se está promoviendo una ley para regular el uso de las tecnologías en la nube. En Proceso participativo. Anteproyecto de Ley de medidas para la implantación y desarrollo en Aragón de tecnologías en la nube (Tecnologías Cloud) se pueden ver algunos de los pasos previos y el proyecto de ley.
Dentro del proceso han dado audiencia a una serie de asociaciones, organizaciones e instituciones y pidieron su opinión a nuestro departamento. Me pidieron que lo preparara yo y lo comparto aquí por si es de utilidad. Se hizo con poco tiempo (nos avisaron un par de semanas antes de la intervención), así que no ha habido una toma de opinión del Departamento como tal, aunque sí se ha comentado con algunas personas. Disponíamos de 8 minutos, que tampoco dan mucho de sí para entrar en grandes debates ni muchos matices.
La comparecencia se puede ver en vídeo en Comisión de Ciencia, Universidad y Sociedad del Conocimiento/Audiencias legislativas (la intervención está al final, pero todas las aportaciones son interesantes):
El texto que leí:
Comparecencia de Fernando Tricas García en representación del Departamento de Informática e Ingeniería de Sistemas de la Universidad de Zaragoza relativa al proceso de audiencias legislativas del Proyecto de Ley de medidas para la implantación y desarrollo en Aragón de tecnologías en la nube (tecnología Cloud)
Buenos días, desde el Departamento de Informática e Ingeniería de Sistemas de la Universidad de Zaragoza estamos agradecidos de que las la Comisión de Ciencia, Universidad y Sociedad del Conocimiento cuente con nosotros en relación con la tramitación del Proyecto de Ley de medidas para la implantación y desarrollo en Aragón de tecnologías en la nube (tecnología Cloud)
Sirva esta comparecencia para ponernos a su disposición para los proyectos que consideren oportunos en el futuro.
Empezaré recordando como al principio de la pandemia muchas organizaciones y empresas nos encontramos sin poder acudir a la oficina, pero con la obligación de continuar con nuestra tarea; podemos decir que gracias a la nube esto fue posible. Probablemente, con recursos propios hubiera sido muy difícil; no sólo eso, los proveedores dieron la talla y nos ayudaron en momentos muy complicados. Alguien tendrá que hacer el debido reconocimiento en algún momento. Todo ello a lo largo del territorio, independientemente de los recursos locales concretos, siempre que las infraestructuras de comunicaciones lo permitían.
El 23 de febrero de 2021 el experto estadounidense Bruce Schneier escribía un texto titulado (traducción propia): “¿Por qué era tan vulnerable Solarwinds a un ataque? Es la economía, estúpido” (Why Was SolarWinds So Vulnerable to a Hack?) que aúna algunos temas que nos pueden interesar aquí: la ciberseguridad, los aspectos económicos (no olvidemos que la informática es un medio para conseguir los objetivos de las empresas y las organizaciones) y cómo podemos enfrentarnos a la informatización como sociedad.
Cuando hablamos de ciberseguridad, existe una importante asimetría informativa: abreviando mucho, nos decía que los compradores no siempre tienen la capacidad para juzgar adecuadamente los productos informáticos ni las prácticas de las empresas proveedoras. Existe, además, un problema de incentivos, puesto que el mercado anima a las empresas a tomar decisiones en su propio interés. La conclusión era que la única forma de forzar a las empresas a proporcionar seguridad y protección es mediante la intervención del gobierno, a través de una combinación de leyes y regulaciones.
Los gobiernos deben estar al tanto para aprovechar las ventajas socioeconómicas que aportan nuevos servicios informáticos así como garantizar la protección y acceso de la ciudadanía. En este sentido, una ley como la que se está discutiendo es oportuna a la par que necesaria.
También es oportuna por el carácter prescriptivo de las regulaciones: probablemente las empresas y organizaciones que carecen de los recursos necesarios para tomar algunas decisiones tecnológicas, o que son más conservadoras, adquieran la confianza necesaria al existir una regulación en la que fijarse.
Como hecho notable, la ley plantea la existencia de la calificación como Solución Cloud Certificada: este podría ser uno de los instrumentos que proporcionen seguridad y garantías a las posibles personas usuarias.
Comentaremos a continuación algunos aspectos de la ley.
Echamos de menos, aunque probablemente no corresponda a la ley, la recomendación de acudir a una diversidad de proveedores. De hecho, en el artículo 10, ‘Condiciones de uso de las tecnologías Cloud.’ se alude directamente a la homogeneidad, que parece contrapuesta a la diversidad, tan valiosa desde muchos puntos de vista, también en tecnología. Por falta de tiempo no lo comentaré, pero recomiendo buscar el texto sobre la monocultura informática de Dan Geer (sobre el tema: Warning: Microsoft ‘Monoculture’ ) y los problemas que estaba causando alrededor del año 2004. Por cierto, esa monocultura era tan exagerada en aquel momento que Geer fue despedido de su empresa como resultado de sus afirmaciones.
En los temas relacionados con la informática se observa con frecuencia el denominado efecto Mateo: «el rico se hace más rico y el pobre se hace más pobre» que produce una cierta tendencia a la concentración de servicios en pocos proveedores; estos pueden sentir la tentación de sacar partido de esta acumulación. La ley alude a la portabilidad de soluciones para evitar estos problemas, pero ya hemos visto en el pasado (por ejemplo, con los sistemas operativos) que esas tendencias son muy difíciles de contrarrestar.
En el artículo 13, apartado e, se habla de la seguridad desde el diseño. Es agradable ver ese tipo de recomendaciones, que llevamos cerca de 20 años haciendo desde nuestros ámbitos de influencia. Tal vez habría que añadir que se haga siempre basado en los análisis de riesgos. Es cierto que se alude al Esquema Nacional de Seguridad y el Reglamento General de Protección de Datos que ya incorporan estas ideas, pero tal vez valga la pena recomendarlo aquí también. La seguridad perfecta no existe, y los recursos infinitos para tratar de alcanzarla tampoco. Muchas veces, ni siquiera tiene sentido prestar atención a todos los riesgos.
En el apartado IV de la ‘Exposición de motivos’ y en el artículo 21, ‘Requisitos’, apartado b, parte 2, se indica: ‘Estar en posesión de todas las certificaciones de cumplimiento de requisitos vigentes en materia de seguridad de la información, seguridad para los servicios Cloud, la protección de identificación personal en nubes públicas, y las que se determinen en cada momento.’ La última frase parece concretar un poco la exigencia pero, a priori, hacer referencia ‘todas las certificaciones de cumplimiento …’ sin concretar ninguna legislación ni marco de referencia podría ser considerado como muy exigente.
Sobre el artículo 22, ‘Procedimiento’, se dice: ‘La valoración técnica para el otorgamiento de la calificación se efectuará por una comisión técnica de evaluación …’ sin aclarar si esta valoración técnica será un informe positivo/negativo, o si existirá alguna rúbrica o instrumento similar. Tampoco si sería necesario algún tipo de acuerdo de la comisión a la hora de emitirlo (mayoría, unanimidad, …) o la posibilidad de otras particularidades, ni si la valoración es vinculante o no. Finalmente, notar que la comisión tiene un número mínimo par de integrantes
En el artículo 24, ‘Validez’ referido a la certificación se habla de dos años; nos preguntamos aquí si no será un proceso demasiado intensivo y debería pensarse en periodos más largos con la capacidad por parte de los gestores de limitarla o cancelarla en casos de incumplimiento, tal y como está previsto en el artículo 27. Esos dos años de validez y los tres meses de tiempo disponible para otorgar la calificación a un proveedor puede algo pasar más del 10% del tiempo pendiente de calificación. Finalmente, y como riesgo externo, conocemos la celeridad en añadir legislación en algunas ocasiones relativa a los procesos administrativos y nos preguntamos si no tendría sentido indicar que la certificación lleve implícita la adaptación a los cambios legislativos que puedan suceder durante el periodo de validez. Las leyes hay que cumplirlas siempre, y seguro que los proveedores lo harán, pero tal vez convendría recordarlo en los requisitos.
Sobre el artículo 26, ‘Obligaciones’ se indica, en el apartado d, ‘Identificar y notificar a Aragonesa de Servicios Telemáticos aquellas brechas de seguridad de la información que afecten a los datos alojados o que constituyan un riesgo para los derechos y libertades de las personas.’. Puesto que la ley se aplica al sector público autonómico, tiene sentido lo que se dice. Pero cuando esta ley tenga efecto en que otras administraciones y las empresas utilicen estos servicios, convendría aclarar el alcance y los interesados en esas notificaciones. De manera similar podríamos referirnos al apartado e y el f.
Parecen muy oportunas las medidas de los artículos 32, y 33, ‘Medidas de impulso relacionadas con la capacitación profesional.’ y ‘Medidas de impulso relacionadas con la formación reglada.’ así como el artículo 31, ‘Medidas de impulso y fomento dirigidas al sector privado.’ La Universidad de Zaragoza ya ha empezado su camino formativo (más allá de la formación reglada) en las materias relacionadas con la nube. No las detallo por la limitación de tiempo, pero estaremos encantados de compartirlas con ustedes. Se echa de menos, sin embargo, en el artículo 34, ‘Medidas relacionadas con el fomento de la confianza digital.’ la divulgación del conocimiento: no se trata de formación, pero sí de informar y concienciar a la ciudadanía sobre las soluciones, generando ese clima de confianza al que alude el título. Parece un artículo más orientado al acceso de la información en sí y tal vez sería conveniente completarlo proporcionando información sobre las tecnologías que permiten el acceso a esa información, para las personas que puedan estar interesadas.
No se detallan mucho los posibles conflictos (ya sabemos que hay leyes) técnicos y tecnológicos (interoperabilidad, protocolos, federación,...). Muchas veces la batalla por las formas de acceso se esconde detrás de la tecnología. También los judiciales y administrativos (ámbito, cuando algunas de las empresas van a ser transnacionales, consecuencias, …). Estos últimos, probablemente, serán discutidos por otras personas intervinientes.
Termino con un par de comentarios sobre el lenguaje.
Primero, un comentario menor sobre la definición de API, creo que sería Application Programming Interface (en singular).
Segundo, el uso de la palabra ‘cloud’ se hace de manera amplia a lo largo de todo el documento y parece correcto incluirlo puesto que se trata de un estándar de facto a nivel mundial. No obstante, y dado que la palabra nube es un buen equivalente para referirse a lo mismo, tal vez tendría sentido tratar de evitar el anglicismo cuando sea posible. Por ejemplo, en la Comisión para las Tecnologías Cloud que se define en el artículo 39, podría utilizarse la denominación Comisión para las Tecnologías en la Nube o similar.
Seguramente en los debates alrededor de esta ley se ha hablado de la soberanía tecnológica. Esta soberanía necesita recursos, personal técnico, compromisos y decisiones. Ojalá esta ley ayude a que el tejido industrial relacionado con la nube crezca y se desarrolle y las licitaciones del futuro puedan adjudicarse a empresas locales que encuentren el caldo de cultivo adecuado al amparo de esta ley. A lo mejor, basadas en soluciones desarrolladas o con contribuciones desde Aragón.
Muchas gracias, quedo a su disposición.
Zaragoza, 28 de julio de 2022. Fernando Tricas García
Fue un honor representar a nuestro Departamento y tratar de contribuir a que nuestros representantes tengan más información y opinioones sobre estos temas.
Casualmente, hace unos días veía el vídeo (también de Bruce Schneier) sobre The Story of the Internet and How it Broke Bad: A Call For Public-Interest Technologists donde nos recordaba a los tecnólogos que tenemos que intervenir en los temas de los políticos. Altamente recomendable e inspiradora.
Una buena forma de despedirnos hasta después de las vacaciones.
Ha tenido un pequeño reflejo en prensa:
Un experto de Unizar cree “oportuna y necesaria” la Ley de Tecnología Cloud
Un experto de Unizar cree “oportuna y necesaria” la Ley de Tecnología Cloud
Un experto de Unizar cree “oportuna y necesaria” la Ley de Tecnología Cloud
Intervención de Fernando Tricas desde la cátedra de seguridad de la @unizar ➡️ nos cuenta datos, oportunidades y consejos
— Invishield (@invishield) June 7, 2022
🗣 falta concienciación y formación técnica en este ámbito pic.twitter.com/CnaeOmcgTG
La semana pasada se presentaba un producto de ciberseguridad en la Cámara de Comercio de Zaragoza. Me invitaron a dar una charla (cortita, empezó siendo más larga y por diversos motivos fue quedando más breve) hablando de consejos y oportunidades en ciberseguridad.
Por si resulta de interés para alguien aquí está la presentación que utilicé.
Los consejos, en esta ocasión: conocer nuestra red, compartimentalizar, actualizar los programas y tener copias de seguridad.
Una tendencia: los cibercriminales también tienen servicio de atención al cliente (y en este caso, mucho mejor que algunos servicios que tenemos más a mano): Así funciona la ‘atención al cliente’ de los cibercriminales si pagas rescate pero sigues teniendo problemas para recuperar tu PC.
Como es habitual, busqué (me vinieron, en realidad, casi nunca tengo que esforzarme mucho en buscar ejemplos) unos ejemplos de diversas organizaciones con noticias recientes (malas) sobre ciberseguridad:
Un estado sufriendo un ciberataque: Costa Rica under Cyberattack by Russian Conti Gang.
El cierre de una Universidad por un ciberataque: Abraham Lincoln’s Namesake College Set to Close After 157 Years.
Finamente, cambiando un poco el enfoque, un multazo por la gestión inadecuada de un ataque: PHMSA Issues Proposed Civil Penalty of Nearly $1 Million to Colonial Pipeline Company for Control Room Management Failures.
Pasamos un buen rato, conocimos a gente nueva y, tal vez, alguien piense un poco mejor las cosas que hace a partir de ahora.