La semana pasada me contactó la periodista Victoria Pascual para hablar un poco en el programa Objetivo de Aragón TV sobre espías. No es un ámbito en el que yo esté muy especializado, pero la tecnología se puede utilizar para espiar, naturalmente.
Lo han publicado en Cap. 648 - 01/06/2024 13:26 y la compañía era de lujo: un espía retirado (Fernando San Agustín), la primera agente femenina del CSID (Isabel Martínez), y un periodista (Ramón J. Campo).
También lo cuelgan en YouTube, donde se puede ver el reportaje
Mi intervención, en dos líneas: la tecnología permite a los espías ser más eficientes obteniendo información, aunque los países civilizados tienen reglas sobre lo que los espías pueden (y no pueden hacer); a la gente normal no nos espían individualmente porque normalmente no somos interesantes para eso, pero nuestros datos agregados con los de otras personas parece que son bastante valiosos.
@fernand0 de @unizar ‼️“separar, aislar y pensar que las cosas han fallado, fallan y fallarán” 👉“Copias de #seguridad automáticas, estrategias adecuadas como el 3,2,1 y si no has comprobado nunca tu copia de seguridad, hazlo” ‼️" No protegemos los equipos, protegemos el negocio” pic.twitter.com/MlQdrMjYu6
— Ingenieros Industriales-Aragón y La Rioja (@COIIAR) March 14, 2024
El 14 de marzo se celebró el Congreso Industria 4.0, organizado por el Colegio de Ingenieros Industriales de Aragón y La Rioja y el Colegio de Ingenieros de Telecomunicaciones de Aragón.
Mis compañeros José Ángel Castellanos Gómez y Ángel Fernández Cuello, como directores de la Cátedra de Transformación Industrial colaboraban con el congreso y me invitaron a hablar de seguridad. Les propuse hablar de ciberseguridad industrial con algunos ejemplos que podrían permitirnos sacar algunas conclusiones y algunas recomendaciones y allí estuvimos.
Hablamos de tres ejemplos lejanos (en tiempo y en distancia algunos, otros sólo en distancia):
El caso de STUXNET (2010)
El ataque a las centrales energéticas de Ukrania (2015)
El ataque a SolarWinds (2019-2020)
Todos ellos en instalaciones más o menos protegidas, más o menos lejanos, pero con aparatos, tecnología y herramientas muy parecidas a las que puede haber en cualquier fábrica de nuestro entorno.
Sobre el último ataque, además se puede comentar la introducción por parte de la Presidencia de EEUU de la (Software Bill of Materials, SBOM) como una manera de, por lo menos, conocer qué problemas podemos tener ante un ataque a la cadena de suministro.
También aprovechamos para contar que todo esto ahora es un negocio, existe un mercado donde se compran y se venden las herramientas para realizar los ataques, las vulnerabilidades, … y cómo las personas somos el eslabón débil y lo fácil que es engañarnos o hacernos reaccionar en beneficio de los atacantes.
Aprovechamos para comentar un par de artículos uno de los cuales ya lo habíamos comentado en El phishing: los usuarios lo tienen realmente difícil que dicen justamente eso: es difícil para un usuario normal detectar todos los posibles fraudes que le pueden llegar.
Luego comentamos algunos ataques que están vigentes y que son especialmente en el contexto del que hablábamos: botnets con dispositivos poco vigilados, secuestro de información (RansomWare) y, ya en el contexto más de la oficina, la sustitución de facturas (que parece que es un ataque que se está produciendo bastante últimamente).
Finalmente, tres recomendaciones:
Conocer y hacer mapas de nuestro entorno, para ver qué hay en nuestras redes.
Compartimentalizar y segmentar, para que los fallos que pueda haber en algún sito no afecten a todos nuetros sistemas.
Estar preparados para lo peor, haciendo copias de seguridad (y conocerlas, y comprobarlas,…).
Terminamos con una brevísima mención a que hay leyes (y que seguramente habrá más).
Un rato muy agradable en el que pudimos hablar de cosas que nos gustan en un entorno en el que creo que fueron bien recibidas.
Intervino un sicólogo, Antonio Boira, hablando de los aspectos que condicionan nuestras respuestas e incluso los posibles cambios que puede ocasionar el deseo de validación por parte de los demás.
El algoritmo, como sabemos, es secreto pero parece que favorece las interacciones y en muchos casos nuestros instintos más primitivos (de agrado o de desagrado) hace que, en algunas ocasiones, obtentamos resultados que no son los más convenientes para nosotros.
Por otra parte, tratamos de explicar que estos algoritmos lo que hacen es agruparnos en colectivos de personas que tienen intereses parecidos a los nuestros y mostrarnos publicidad, o enivarles nuestros datos a empresas que los utilizan para mostrarnos determinados mensajes.
El tema de las contraseñas me encanta. Leo todo lo que puedo sobre ello y creo que puedo dar buenas recomendaciones.
Por este motivo me puse muy contento cuando me llamaron del programa de Aragón TV Conexión Aragóng para hablar un ratito sobre el tema
Empezamos llevando la contraria a algunos consejos habituales (pero poco recomendables): es necesario cambiar las contraseñas con frecuencia. Lo cierto es que si esto se convierte en una obligación normalmente provoca que las elijamos peoros.
La recomendación que dan todos los expertos es que lo mejor es tener contraseñas largas (y, si puede ser, complejas y utilizar un gestor de contraseñas.
Además, cambialas de vez en cuando: por ejemplo, cuando volvemos de vacaciones o hemos tenido alguna práctica de riesgo,…
Ni que decir tiene que la regla de sitios distintos, contraseñas distintas es irrenunciable, aunque allí no lo comenté.
También hablamos de las tarjeas de crédito y de cómo es buena idea tener una tarjeta de esas de prepago, o bien una que se pueda ‘apagar’ para que si alguien nos la roba no pueda hacer gran cosa con ella.
Nunca hay que olvidar que los datos no sólo nos los pueden robar a nosotros, sino también a nuestros proveedores, y sobre eso no tenemos mucho control.
El otro día nos llamaron de Radio Zaragoza para hablar un poco sobre phishing.
El fragmento con mi intervención está en:
El programa completo se puede escuchar en:
Después de la entrevista hay otra a un representante de una asociación de consumidores que da algunos consejos interesantes.
En la intervención hablamos de que los usuarios lo tienen (tenemos) muy difícil a la hora de detectar estos fraudes porque a veces están bastante bien hechos y nos podemos confundir; nuestro deseo de cumplir con lo que se nos solicita, la urgencia que muchas veces nos sugieren los mensajes, la atención dispersa porque estamos ocupándonos de otros asuntos y, a veces, la coincidencia en el tiempo con nuestras actividades pueden llevarnos a caer.
Los consejos: preguntarnos si realmente eso es algo que debería habernos llegado, tomarlo con calma (será muy raro que llegue algo que tenga verdadera urgencia y que no pueda esperar un poco) y, en caso de duda, preguntar.
También aprovechamos para recordar que nuestro curso de Ciberseguridad en la nube. Tiene una parte no presencial muy importante.
Aragón TV emitió el otro día un reportaje sobre empleo en ciberseguridad, centrado en la ciudad de Huesca. Como impartimos docencia en la temática en esa ciudad nos llamaron y puede verse en:
En esta ocasión hablamos de que, efectivamente, hay empleo en ciberseguridad y que además se puede acceder a él en todos los sitios: en parte por las necesidades locales y en otra porque ahora hay muchas empresas que admiten el teletrabajo para perfiles especializados como estos. También hablamos de que no sólo son necesarios los perfiles más técnicos, sino que también hace falta gente de otras disciplinas (fundamentalmente leyes y comunicación, pero casi todo el mundo puede encontrar su lugar).
También, que es la parte que sale, que las empresas tienen que darse cuenta de que muchos de sus procesos dependen de la tecnología, y que es buena idea proteger esos recursos de manera adecuada.
I’ve been spending some time adding features to a chatbot, which I’m using as a personal information manager (PIM). Given the fact that there are some ideas that could be useful for other people, I sent a proposal to a conference where we’ve published some work in the past, the The 37th annual European Simulation and Modelling Conference.
The conference was held at ISAE SUPAERO, Toulouse, France, Octobre 24-26, 2023.
Chatbots can be a good way to interact with IoT devices, and other information systems: they can provide information with a convenient interface for casual or frequent interaction. Sometimes there can be good reasons to have more than one chatbot: maybe we have several computers, or diverse infrastructure, with different access conditions. This work concentrates on this case, when it can be useful to establish a method for them to work in a cooperative way. In principle, coordination is a good property: each one of these chatbots can be devoted to solve different tasks and our users can have different needs when accessing to every capability of each chatbot.
In this paper we are proposing an architecture for several chatbots that can interact via a command and control channel, requesting actions for other bots and collecting the replies in order to pass them to the user. The chatbot infrastructure is lightweight, and it can use public (but not publicly viewable) infrastructure providing an easy way to start a project with it.
And you can reference it (if you want) as:
Tricas, F. ‘A PROPOSAL FOR FEDERATED CHATBOTS FOR DISTRIBUTED INFORMATION ACCESS’ submitted (and accepted) at the ESM®’2023 (The 37th annual European Simulation and Modelling Conference) October 2023, Toulouse, France, pp. 151–154.
La Policía Nacional ha detenido en Alicante a un ciudadano venezolano considerado uno de los supuestos líderes del aparato financiero de uno de los grupos de hackers más importantes del mundo. 👇🏻👇🏻https://t.co/PFenxNifOY
El portal de empleo Infojobs sacó una nota de prensa hablando de la cantidad de perfiles que hay actualmente disponibles para contratar y eso provocó que en en el programa Despierta Aragón Informativo de Aragón Radio se interesaran por el tema y nos llamaran.
Hablamos de empleo, porque efectivamente nos llegan propuestas de vez en cuando para nuestro estudiantado, y también de las iniciativas de formación que tenemos con respecto a la ciberseguridad, tanto regladas (en la titulación de Informática) como en los títulos propios del Programa en Ciberseguridad y Protección de Datos, tanto para los perfiles más técnicos como los de inclinación legal y normativa.
Además, como siempre, algún consejillo de seguridad para todo el mundo y el aviso de que cualquiera puede ser el ‘elegido’ por un ataque de los que ahora son frecuentes.
El día 22 de noviembre la Cátedra de Telefónica sobre «Cognitive IoT» de las Universidades Politècnica de Catalunya y Pompeu Fabra organizaron un encuentro de expertos para debatir sobre la evolución de los perfiles profesionales en ingenierías. El impacto de tecnologías emergentes como las de ciberseguridad y ciencia de datos, impulsadas más recientemente por la inteligencia artificial generativa obliga a una profunda reflexión en cuanto a su impacto en los perfiles profesionales demandados por el sector. La sesión, en formato Ágora expertos, ha reunido una docena de profesionales de diferentes sectores así como profesores, estudiantes y responsables de la UPC, UPF y UNIZAR para debatir el futuro de los perfiles profesionales en el sector de las TIC.
Tuvieron la amabilidad de invitarme como director de la Cátedra de Ciberseguridad, porque era uno de los temas que salían en los distintos análisis de tendencias de búsqueda de personas por parte de los empleadores y estuvimos charlando un ratito por allá.
Del resumen que nos ha compartido la organización, algunas de las cosas que dije allá:
Me declaro tecnooptimista decepcionado por los disgustos que la tecnología pero animado por el diagnóstico realizado en cuanto al futuro.
Siguiendo diferentes congresos internacionales estamos en una situación de traspaso entre el momento en que las empresas necesitaban simplemente tecnología y el momento en que se den cuenta de que es clave para la transformación del negocio.
Alinear y transversalizar las tecnologías es crucial para poder avanzar.
Los tecnólogos tenemos, efectivamente, dificultades para comunicar y expresar el trabajo realizado.
Creo que resume bien mi estado de ánimo actual con esa decepción por ver todas las cosas que podríamos tener y estar haciendo, que no terminan de llegar.
También con nosotros mismos como profesión, que muchas veces no somos capaces de comunicar bien las ventajas (sin olvidar los cenizos que se preocupan de recordarnos los inconvenientes, que esos sí que lo hacen bien).
Veo oportunidades en los temas relacionados con la ciberseguridad, por supuesto; y en especial la ciberseguridad pensada para las personas (seguridad usable) y la que considera los aspectos económicos (las empresas usan tecnología porque les sirve para el negocio, no porque sea más o menos moderna o interesante).
También soy un firme convencido de que muchas empresas (pero aún hay quien duda) que están pasando de usar la tecnología como algo necesario (o inevitable) a usarla para marcar la diferencia con su competencia y tener mejores resultados.
El encuentro ha tenido reflejo en las páginas de las universidades responsables de la cátedra:
