El otro día me llamaron de la emisora de radio 99.9 Plaza Radio y hablamos unos minutos de privacidad en internet.

Se puede escuchar en la grabación que proporciona el propio programa, que se llama Se van a enterar, alrededor del minuto 34.

https://t.co/ceZn0oB7r5

— fernand0 (@fernand0) October 27, 2022

Durante esta semana se ha estado celebrando la Semana del Emprendimiento en Aragón.

En esta ocasión la Asociación de Mujeres Empresarias de la Provincia de Huesca (AMEPHU) tuvo la amabilidad de invitarme a la sesión Ciberseguridad para tu negocio que se celebró en Barbastro (Huesca). Hubo una ponencia inaugural a cargo de Gonzalo Asensio Asensio, Director de Seguridad Digital Bankinter y luego una mesa redonda donde participamos (por el orden de la organización): Fernando Tricas García, Director de Cátedra Telefónica - Universidad de Zaragoza de Ciberseguridad. Coordinador del Programa en Ciberseguridad y Protección de datos, Raquel Oller, de Irius Risk (virtual), Rosa Vela Becerril. Inspectora jefa del Grupo de Delitos Tecnológicos - Fraudes de la BPPJ de Zaragozai, Alejandro Bernués, de la Guardia Civil, y María G. Dionis. Newtral.

A mi me pidieron que hablara de concienciación y formación, que es lo que intenté.

Las organizadoras, junto con la Feria de Barbastro han tenido la amabilidad de colgar el vídeo de la jorndada y se puede ver en:

Mi presentación comienza en el minuto 48 aproximadamente

Las ideas son parecidas a las de siempre: uno de los eslabones débiles son los usuarios y además lo tenemos realmente difícil, porque los ‘malos’ juegan con nuestros instintos más básicos, así que hay mucho trabajo por hacer.

Y el recordatorio de que internet es una herramienta sensacional que hay que manejar con las prevenciones adecuadas para no tener problemas. Son diez minutos escasos, al menos la toma de posición inicial (luego en la mesa redonda hay alguna intervención).

View post on imgur.com

A principio de septiembre se realizaron un par de ataques informáticos de distinto perfil. Por un lado, robaban los números de tarjeta (incluyendo el código de veríficación, CVV) de la compañía aérea Air Europa.

Al principio se habló de que podría haber sido un robo de la base de datos, aunque luego se dijo que podría haber sido un ataque de ‘web skimming’ (poner algún código en la web, que roba la información cuando se hacen las operaciones normales.

El segundo ataque tenía que ver con la empresa de viajes Booking, donde el ataque era algo más intersante: aparentemente robaban las credenciales a los hoteles, y luego las usaban para engañar a sus clientes solicitándoles pagos por un sistema diferente del establecido inicialmente.

Por este motivo nos llamaron de Aragón TV, para salir en dos programas:

• El día 11 de octubre, en Buenos Días Aragón (no hay enlaces porque retiran los vídeos pasados unos días).
• El día 16 de octubre, en Conexión Aragón: LUNES, 16 DE OCTUBRE - 16/10/2023 18:42 (alrededor del minuto 48, no durará mucho en línea).

Los consejos, los de siempre: mantener nuestros sistemas actualizados, no ceder ante la presión de la urgencia que a veces aprovechan los malos para sacar partido de ello. Sobre las tarjetas, tener alguna de esas que son para internet (a veces de prepago), o que se pueden apagar y encender. No obstante, tranquilizar a las personas en el sentido de que cualquier comercio debería redirigirnos a la pasarela de pago del banco, donde deberían pedirnos factores adicionales de autentificación.

La semana pasada se ha celebrado en Zaragoza el XXXIII Congreso de Estudios de Telecomunicación (C.EE.T.) y la organización decidió asociar a este congreso unas jornadas de orientación profesional, la ExpoTIC Zaragoza. Entre los patrocinadores figuraba Telefónica, que cedió el hueco para presentar que tenían a la Cátedra de Ciberseguridad que dirijo.

Pensando en estudiantes creímos que sería adecuado dar algunos consejos para merjorar nuestra ciberseguridad y luego comentar las posibilidades que se articulan a través de los estudias y la cátedra de mejorar sus oportunidades laborales en este ámbito. La presentación utilizada está en Consejos y oportunidades en ciberseguridad.

Hablamos un poco de habilidades ‘blandas’, también de humanismo digital y creo que esta parte resonó en algunas personas de la audiencia. Espero que fuera de utilidad y que, a partir de ahora, también lo sea para otras personas.

El director de la Cátedra Telefónica-@unizar de Ciberseguridad (@DIIS_UZ), Fernando Tricas, pone en valor que es "una ley oportuna a la par que necesaria" y destaca que Unizar "ya ha empezado su camino formativo en materias tecnológicas".

🗣️#AudienciasLegislativas pic.twitter.com/k2F3Q5YUBR

— Cortes de Aragón (@cortes_aragon) July 28, 2022

Desde el Gobierno de Aragón se está promoviendo una ley para regular el uso de las tecnologías en la nube. En Proceso participativo. Anteproyecto de Ley de medidas para la implantación y desarrollo en Aragón de tecnologías en la nube (Tecnologías Cloud) se pueden ver algunos de los pasos previos y el proyecto de ley.

Dentro del proceso han dado audiencia a una serie de asociaciones, organizaciones e instituciones y pidieron su opinión a nuestro departamento. Me pidieron que lo preparara yo y lo comparto aquí por si es de utilidad. Se hizo con poco tiempo (nos avisaron un par de semanas antes de la intervención), así que no ha habido una toma de opinión del Departamento como tal, aunque sí se ha comentado con algunas personas. Disponíamos de 8 minutos, que tampoco dan mucho de sí para entrar en grandes debates ni muchos matices.

La comparecencia se puede ver en vídeo en Comisión de Ciencia, Universidad y Sociedad del Conocimiento/Audiencias legislativas (la intervención está al final, pero todas las aportaciones son interesantes):

El texto que leí:

Comparecencia de Fernando Tricas García en representación del Departamento de Informática e Ingeniería de Sistemas de la Universidad de Zaragoza relativa al proceso de audiencias legislativas del Proyecto de Ley de medidas para la implantación y desarrollo en Aragón de tecnologías en la nube (tecnología Cloud)

Buenos días, desde el Departamento de Informática e Ingeniería de Sistemas de la Universidad de Zaragoza estamos agradecidos de que las la Comisión de Ciencia, Universidad y Sociedad del Conocimiento cuente con nosotros en relación con la tramitación del Proyecto de Ley de medidas para la implantación y desarrollo en Aragón de tecnologías en la nube (tecnología Cloud)

Sirva esta comparecencia para ponernos a su disposición para los proyectos que consideren oportunos en el futuro.

Empezaré recordando como al principio de la pandemia muchas organizaciones y empresas nos encontramos sin poder acudir a la oficina, pero con la obligación de continuar con nuestra tarea; podemos decir que gracias a la nube esto fue posible. Probablemente, con recursos propios hubiera sido muy difícil; no sólo eso, los proveedores dieron la talla y nos ayudaron en momentos muy complicados. Alguien tendrá que hacer el debido reconocimiento en algún momento. Todo ello a lo largo del territorio, independientemente de los recursos locales concretos, siempre que las infraestructuras de comunicaciones lo permitían.

El 23 de febrero de 2021 el experto estadounidense Bruce Schneier escribía un texto titulado (traducción propia): “¿Por qué era tan vulnerable Solarwinds a un ataque? Es la economía, estúpido” (Why Was SolarWinds So Vulnerable to a Hack?) que aúna algunos temas que nos pueden interesar aquí: la ciberseguridad, los aspectos económicos (no olvidemos que la informática es un medio para conseguir los objetivos de las empresas y las organizaciones) y cómo podemos enfrentarnos a la informatización como sociedad.

Cuando hablamos de ciberseguridad, existe una importante asimetría informativa: abreviando mucho, nos decía que los compradores no siempre tienen la capacidad para juzgar adecuadamente los productos informáticos ni las prácticas de las empresas proveedoras. Existe, además, un problema de incentivos, puesto que el mercado anima a las empresas a tomar decisiones en su propio interés. La conclusión era que la única forma de forzar a las empresas a proporcionar seguridad y protección es mediante la intervención del gobierno, a través de una combinación de leyes y regulaciones.

Los gobiernos deben estar al tanto para aprovechar las ventajas socioeconómicas que aportan nuevos servicios informáticos así como garantizar la protección y acceso de la ciudadanía. En este sentido, una ley como la que se está discutiendo es oportuna a la par que necesaria.

También es oportuna por el carácter prescriptivo de las regulaciones: probablemente las empresas y organizaciones que carecen de los recursos necesarios para tomar algunas decisiones tecnológicas, o que son más conservadoras, adquieran la confianza necesaria al existir una regulación en la que fijarse.

Como hecho notable, la ley plantea la existencia de la calificación como Solución Cloud Certificada: este podría ser uno de los instrumentos que proporcionen seguridad y garantías a las posibles personas usuarias.

Comentaremos a continuación algunos aspectos de la ley.

Echamos de menos, aunque probablemente no corresponda a la ley, la recomendación de acudir a una diversidad de proveedores. De hecho, en el artículo 10, ‘Condiciones de uso de las tecnologías Cloud.’ se alude directamente a la homogeneidad, que parece contrapuesta a la diversidad, tan valiosa desde muchos puntos de vista, también en tecnología. Por falta de tiempo no lo comentaré, pero recomiendo buscar el texto sobre la monocultura informática de Dan Geer (sobre el tema: Warning: Microsoft ‘Monoculture’ ) y los problemas que estaba causando alrededor del año 2004. Por cierto, esa monocultura era tan exagerada en aquel momento que Geer fue despedido de su empresa como resultado de sus afirmaciones.

En los temas relacionados con la informática se observa con frecuencia el denominado efecto Mateo: «el rico se hace más rico y el pobre se hace más pobre» que produce una cierta tendencia a la concentración de servicios en pocos proveedores; estos pueden sentir la tentación de sacar partido de esta acumulación. La ley alude a la portabilidad de soluciones para evitar estos problemas, pero ya hemos visto en el pasado (por ejemplo, con los sistemas operativos) que esas tendencias son muy difíciles de contrarrestar.

En el artículo 13, apartado e, se habla de la seguridad desde el diseño. Es agradable ver ese tipo de recomendaciones, que llevamos cerca de 20 años haciendo desde nuestros ámbitos de influencia. Tal vez habría que añadir que se haga siempre basado en los análisis de riesgos. Es cierto que se alude al Esquema Nacional de Seguridad y el Reglamento General de Protección de Datos que ya incorporan estas ideas, pero tal vez valga la pena recomendarlo aquí también. La seguridad perfecta no existe, y los recursos infinitos para tratar de alcanzarla tampoco. Muchas veces, ni siquiera tiene sentido prestar atención a todos los riesgos.

En el apartado IV de la ‘Exposición de motivos’ y en el artículo 21, ‘Requisitos’, apartado b, parte 2, se indica: ‘Estar en posesión de todas las certificaciones de cumplimiento de requisitos vigentes en materia de seguridad de la información, seguridad para los servicios Cloud, la protección de identificación personal en nubes públicas, y las que se determinen en cada momento.’ La última frase parece concretar un poco la exigencia pero, a priori, hacer referencia ‘todas las certificaciones de cumplimiento …’ sin concretar ninguna legislación ni marco de referencia podría ser considerado como muy exigente.

Sobre el artículo 22, ‘Procedimiento’, se dice: ‘La valoración técnica para el otorgamiento de la calificación se efectuará por una comisión técnica de evaluación …’ sin aclarar si esta valoración técnica será un informe positivo/negativo, o si existirá alguna rúbrica o instrumento similar. Tampoco si sería necesario algún tipo de acuerdo de la comisión a la hora de emitirlo (mayoría, unanimidad, …) o la posibilidad de otras particularidades, ni si la valoración es vinculante o no. Finalmente, notar que la comisión tiene un número mínimo par de integrantes

En el artículo 24, ‘Validez’ referido a la certificación se habla de dos años; nos preguntamos aquí si no será un proceso demasiado intensivo y debería pensarse en periodos más largos con la capacidad por parte de los gestores de limitarla o cancelarla en casos de incumplimiento, tal y como está previsto en el artículo 27. Esos dos años de validez y los tres meses de tiempo disponible para otorgar la calificación a un proveedor puede algo pasar más del 10% del tiempo pendiente de calificación. Finalmente, y como riesgo externo, conocemos la celeridad en añadir legislación en algunas ocasiones relativa a los procesos administrativos y nos preguntamos si no tendría sentido indicar que la certificación lleve implícita la adaptación a los cambios legislativos que puedan suceder durante el periodo de validez. Las leyes hay que cumplirlas siempre, y seguro que los proveedores lo harán, pero tal vez convendría recordarlo en los requisitos.

Sobre el artículo 26, ‘Obligaciones’ se indica, en el apartado d, ‘Identificar y notificar a Aragonesa de Servicios Telemáticos aquellas brechas de seguridad de la información que afecten a los datos alojados o que constituyan un riesgo para los derechos y libertades de las personas.’. Puesto que la ley se aplica al sector público autonómico, tiene sentido lo que se dice. Pero cuando esta ley tenga efecto en que otras administraciones y las empresas utilicen estos servicios, convendría aclarar el alcance y los interesados en esas notificaciones. De manera similar podríamos referirnos al apartado e y el f.

Parecen muy oportunas las medidas de los artículos 32, y 33, ‘Medidas de impulso relacionadas con la capacitación profesional.’ y ‘Medidas de impulso relacionadas con la formación reglada.’ así como el artículo 31, ‘Medidas de impulso y fomento dirigidas al sector privado.’ La Universidad de Zaragoza ya ha empezado su camino formativo (más allá de la formación reglada) en las materias relacionadas con la nube. No las detallo por la limitación de tiempo, pero estaremos encantados de compartirlas con ustedes. Se echa de menos, sin embargo, en el artículo 34, ‘Medidas relacionadas con el fomento de la confianza digital.’ la divulgación del conocimiento: no se trata de formación, pero sí de informar y concienciar a la ciudadanía sobre las soluciones, generando ese clima de confianza al que alude el título. Parece un artículo más orientado al acceso de la información en sí y tal vez sería conveniente completarlo proporcionando información sobre las tecnologías que permiten el acceso a esa información, para las personas que puedan estar interesadas.

No se detallan mucho los posibles conflictos (ya sabemos que hay leyes) técnicos y tecnológicos (interoperabilidad, protocolos, federación,...). Muchas veces la batalla por las formas de acceso se esconde detrás de la tecnología. También los judiciales y administrativos (ámbito, cuando algunas de las empresas van a ser transnacionales, consecuencias, …). Estos últimos, probablemente, serán discutidos por otras personas intervinientes.

Termino con un par de comentarios sobre el lenguaje.

Primero, un comentario menor sobre la definición de API, creo que sería Application Programming Interface (en singular).

Segundo, el uso de la palabra ‘cloud’ se hace de manera amplia a lo largo de todo el documento y parece correcto incluirlo puesto que se trata de un estándar de facto a nivel mundial. No obstante, y dado que la palabra nube es un buen equivalente para referirse a lo mismo, tal vez tendría sentido tratar de evitar el anglicismo cuando sea posible. Por ejemplo, en la Comisión para las Tecnologías Cloud que se define en el artículo 39, podría utilizarse la denominación Comisión para las Tecnologías en la Nube o similar.

Seguramente en los debates alrededor de esta ley se ha hablado de la soberanía tecnológica. Esta soberanía necesita recursos, personal técnico, compromisos y decisiones. Ojalá esta ley ayude a que el tejido industrial relacionado con la nube crezca y se desarrolle y las licitaciones del futuro puedan adjudicarse a empresas locales que encuentren el caldo de cultivo adecuado al amparo de esta ley. A lo mejor, basadas en soluciones desarrolladas o con contribuciones desde Aragón.

Muchas gracias, quedo a su disposición.

Zaragoza, 28 de julio de 2022. Fernando Tricas García

Fue un honor representar a nuestro Departamento y tratar de contribuir a que nuestros representantes tengan más información y opinioones sobre estos temas.

Casualmente, hace unos días veía el vídeo (también de Bruce Schneier) sobre The Story of the Internet and How it Broke Bad: A Call For Public-Interest Technologists donde nos recordaba a los tecnólogos que tenemos que intervenir en los temas de los políticos. Altamente recomendable e inspiradora.

Una buena forma de despedirnos hasta después de las vacaciones.

Ha tenido un pequeño reflejo en prensa:

Un experto de Unizar cree “oportuna y necesaria” la Ley de Tecnología Cloud

Un experto de Unizar cree “oportuna y necesaria” la Ley de Tecnología Cloud

Un experto de Unizar cree “oportuna y necesaria” la Ley de Tecnología Cloud

Intervención de Fernando Tricas desde la cátedra de seguridad de la @unizar ➡️ nos cuenta datos, oportunidades y consejos

🗣 falta concienciación y formación técnica en este ámbito pic.twitter.com/CnaeOmcgTG

— Invishield (@invishield) June 7, 2022

La semana pasada se presentaba un producto de ciberseguridad en la Cámara de Comercio de Zaragoza. Me invitaron a dar una charla (cortita, empezó siendo más larga y por diversos motivos fue quedando más breve) hablando de consejos y oportunidades en ciberseguridad.

Por si resulta de interés para alguien aquí está la presentación que utilicé.

Los consejos, en esta ocasión: conocer nuestra red, compartimentalizar, actualizar los programas y tener copias de seguridad.

Una tendencia: los cibercriminales también tienen servicio de atención al cliente (y en este caso, mucho mejor que algunos servicios que tenemos más a mano): Así funciona la ‘atención al cliente’ de los cibercriminales si pagas rescate pero sigues teniendo problemas para recuperar tu PC.

Como es habitual, busqué (me vinieron, en realidad, casi nunca tengo que esforzarme mucho en buscar ejemplos) unos ejemplos de diversas organizaciones con noticias recientes (malas) sobre ciberseguridad:

• Un estado sufriendo un ciberataque: Costa Rica under Cyberattack by Russian Conti Gang.

• El cierre de una Universidad por un ciberataque: Abraham Lincoln’s Namesake College Set to Close After 157 Years.

• Finamente, cambiando un poco el enfoque, un multazo por la gestión inadecuada de un ataque: PHMSA Issues Proposed Civil Penalty of Nearly $1 Million to Colonial Pipeline Company for Control Room Management Failures.

Pasamos un buen rato, conocimos a gente nueva y, tal vez, alguien piense un poco mejor las cosas que hace a partir de ahora.

Nos contactó Pilar Perla, la coordinadora del suplemento de Heraldo de Aragón sobre Ciencia y Tecnología para hablar de Ciberseguridad.

Se puede ver una parte en Ciberseguridad, un reto permanente que escribimos a cuatro manos con José Félix Muñoz Soro.

Además, escribí un texto más cortito basado en el que anunciaba hace unos días En Ronda Somontanto dando algunos consejos de ciberseguridad. Lo reproduzco a continuación por si es de interés para alguien:

Consejos de ciberseguridad para pequeñas organizaciones Constantemente se publican datos sobre ciberataques, fraudes en línea y también información diversa sobre los riesgos a los que nos enfrentamos en la red. Un informe reciente de Arkose Lab (una las innumerables consultoras de ciberseguridad) afirmaba que el 80% de los ataques de intento de acceso a sistemas empresariales utilizaban credenciales que habían sido robadas en algún ataque previo. Esto es, los atacantes habían conseguido contraseñas a través de algún servicio o sistema sobre el que no tenemos control e intentaban utilizarlas en nuestros sistemas. Una amplia mayoría son ataques automatizados donde no hay intervención humana; esto tiene dos consecuencias: primero, el objetivo no está seleccionado a priori, sino que los atacantes tratan de obtener resultados donde sea posible, y segundo, casi nunca se trata de ataques muy sofisticados. En nuestro entorno, durante los últimos años los ataques de los que más oímos hablar son los intentos de secuestro de información (‘ransomware’). La conclusión es que cualquiera puede verse afectado por uno de estos ataques y que podríamos protegernos con un poco de esfuerzo. En todo caso, este no pretende ser un mensaje para asustar a nadie, sino un recordatorio para que nos pongamos (o continuemos) con la tarea de proteger nuestros recursos digitales. La mayoría de los ataques informáticos se basan en tratar de sacar provecho de vulnerabilidades que son conocidas y tienen solución. Nunca hay que perder de vista que la misión fundamental de las empresas es cumplir los objetivos para los que fueron creadas (fabricar, distribuir, vender, prestar servicios…), pero tampoco podemos obviar que si un ciberataque dejara sin funcionar los sistemas informáticos necesarios para realizar estas tareas, no podríamos cumplirlos. Entre las acciones que deberíamos realizar, probablemente sería una buena idea realizar un inventario de nuestros activos digitales y analizar su estado desde el punto de vista de la seguridad informática: cómo se conectan unos con otros, estudiar la visibilidad que un atacante (externo ¿e interno?) podría tener de nuestra información y qué consecuencias tendría para nuestro negocio la falta de disponibilidad de un recurso…; sin olvidar revisar nuestra política de copias de seguridad, para asegurarnos de que podríamos volver a poner todo en funcionamiento tras un incidente (y en cuánto tiempo; no hay nada más desagradable que descubrir que nuestras copias de seguridad no sirven o que no podemos restaurarlas suficientemente rápido). En otro informe reciente, esta vez de Accenture, se nos recordaba la actitud correcta para enfrentarse al problema. No se trata de tener tanto miedo que nos impida realizar nuestro trabajo por culpa de las medidas de seguridad (‘obstaculizadores del negocio’), ni tampoco despreocuparnos tanto que cualquier ataque pueda terminar afectándonos de manera grave (‘los vulnerables’). Los ‘ciberdefensores’, nos dicen, tratan de lograr un equilibrio entre ciberresiliencia y objetivos empresariales. Por lo tanto, debemos reconsiderar nuestra estrategia de protección. Siempre en línea con los objetivos de nuestra organización (no hay una solución única para todos), con un análisis de riesgos y de la propia situación: no se puede pasar de 0 a 100 en un instante. Y sin olvidar que la seguridad es un proceso y depende de cuál sea nuestro lugar en el camino deberemos realizar unas acciones u otras.

Hace algunas semanas me pidieron un texto sobre ciberseguridad para la publicación Ronda Somontano.

Se ha publicado recientemente y puede leerse en Ciberseguridad: ocuparse para no preocuparse.

Empieza así:

La pandemia nos ha demostrado dos cosas: que podemos hacer desde nuestra casa más trabajo de lo que parecíamos dispuestos a admitir y que las infraestructuras están preparadas. Ambas afirmaciones no son ciertas para cualquier trabajo y cualquier lugar, como todos sabemos, pero alcanzan a una cantidad significativa de la población.

La noticia de hace un par de semanas fue el espionaje: Pegasus, una herramienta de una empresa israelí (y alguna otra) había sido utilizara para espiar a algunos políticos catalanes; luego nos enteramos de que también había sido utilizada para espiar al Presidente del Gobierno y a la Ministra de Defensa.

Por este motivo, nos llamaron de varios sitios:

Aragón TV y el programa Aquí y Ahora, se puede ver en martes, 3 de mayo - 03/05/2022 11:01 (a partir del minuto 51, aproximadamente).

También sacaron un corte en las Noticias, se puede ver en Aragón noticias 2 - 03/05/2022 20:29 (a partir del minuto 26’45”).

Aragón Radio, en Aragón Noticias, se puede escuchar (y leer un resumen) en: Tricas: “Detectar que te han instalado un programa como Pegasus es muy complicado”.

Onda Cero Huesca, con una intervención más genérica, que se puede escuchar (y leer) en Cómo evitar ser vulnerables a través del móvil

La ciberseguridad está de moda, aunque en esta ocasión el tratamiento fue diferente del habitual cuando aparece una noticia que los medios quieren comentar. Me contactó Javier Fajarnés de El Periódico de Aragón para charlar un rato sin la presión de la actualidad. Estuvimos cerca de dos horas y la entrevista se publicó en Fernando Tricas, experto en ciberseguridad: “No somos tan privados ni tan íntimos como creemos”.

Hace falta registro para leerla, pero es gratuito.

Publicada originalmente en: En El Periódico de Aragón hablando de ciberseguridad.