“Si queremos que el ciudadano medio se preocupe por su ciberseguridad, tenemos que hacerle ver cómo influye eso en su vida.” Carlos Otto, periodista tecnológico.
Hemos querido traeros a este blog a Carlos Otto, reconocido periodista de tecnología, economía, reportajes y emprendimiento. Es autor de la primera serie documental sobre ciberseguridad hecha en España, “El enemigo anónimo”. En 20 capítulos nos ha acercado a diversos temas de la máxima actualidad relacionados con la ciberseguridad. Para ello ha entrevistado a una cuarentena de expertos.
Carlos es un profesional que lleva más de 15 años ejerciendo de periodista. Desde febrero de 2010 colabora con El Confidencial.com, donde escribe sobre tecnología, emprendimiento, derechos de autor e incluso política. Pero su gran contribución al mundo de la ciberseguridad se encuentra en la serie “El enemigo anónimo”. Hablamos de todo ello en esta entrevista.
Has trabajado mucho el tema de contenidos. Pero podrías decirnos cómo llegaste a especializarte en economía y ciberseguridad?
La especialización, por norma general, no suele responder a otra cosa que a los intereses de cada cual. Siempre me han llamado la atención los temas de economía, así que mi especialización en ese sentido ha sido más o menos natural. La de la ciberseguridad quizá haya sido más circunstancial. Casi siempre he hecho periodismo tecnológico, pero curiosamente no soy excesivamente tecnófilo: no sé por qué iPhone vamos ya, no entiendo excesivamente de ordenadores, no sabría recomendarte un smartwatch… pero siempre me han interesado la tecnología e internet como ecosistemas en sí mismos; es decir, qué hacemos en internet, cómo nos relacionamos, qué actitudes tenemos, qué delitos se cometen… Y cuando hablas de delitos online, el interés por la ciberseguridad llega solo. Porque, para mí, la ciberseguridad es mucho más que los ciberataques: es la privacidad, el uso que hacen de tus datos las grandes empresas, el ciberacoso, el voto electrónico, la ciberguerra… Los ciberataques pueden ser interesantes en el mundo empresarial, pero el resto de temas pueden interesar al ciudadano medio.
Has sido pionero en nuestro país, en hacer información sobre ciberseguridad. ¿Cómo recuerdas tus inicios cuando nadie sabía nada de este tema? ¿Qué te decían los directores de los medios cuando ibas a “venderle” un tema de ciberseguridad?
Esto puede parecer falsa modestia, pero de verdad que no creo haber sido ningún pionero. Hace muchos años que gente como Chema Alonso hace contenido sobre ciberseguridad, y mucha parte de su contenido va dirigido al usuario medio, al ciudadano de a pie. También han estado medios como Bit Life Media, elhacker.net, la revista SIC… había muchos medios hablando de ciberseguridad antes de que yo llegara. En cuanto a ‘vender’ temas a directores, los que más fácilmente se ‘vendían’ a los directores eran los ciberataques, pero, contrariamente a lo que la gente suele pensar, los artículos sobre ciberataques en la prensa generalista apenas tienen visitas, salvo contadísimas excepciones. Es verdad que hubo un punto de inflexión: Wannacry. A partir de ahí, la prensa generalista se tomó más en serio estos temas, ya que vio los perjuicios que puede ocasionar un ciberataque.
De todos modos, en mi opinión, los contenidos sobre ciberataques siguen sin tener un éxito excesivo en cuanto a visitas en los medios. A mí, al menos, siempre me han funcionado mucho mejor los temas dirigidos a los usuarios: qué hacer para proteger tu privacidad en internet, qué hacen las redes sociales con tus datos, qué medidas tomar si sufres ciberacoso…
“La ciberseguridad es mucho más que los ciberataques:
es la privacidad, el uso que hacen de tus datos las grandes empresas,
el ciberacoso, el voto electrónico, la ciberguerra….”
Y cómo se vende mejor la ciberseguridad, ¿dando miedo o explicando la prevención?
Sin duda, dando miedo. Y esto puede parecer negativo, pero no creo que necesariamente lo sea. En ciertos ámbitos, las personas no actuamos ante un hecho si no conocemos sus posibles consecuencias negativas. Aprendemos a cruzar en verde porque alguien nos puede atropellar, a cerrar nuestra casa con llave porque alguien nos puede robar… en la ciberseguridad pasa exactamente lo mismo.
Otra cosa es que hagamos ‘victim blaming’, es decir, culpabilización de la víctima. Si una persona sufre un robo de datos, no podemos decirle que la culpa es suya por no cuidar su privacidad; si entran a su correo, no podemos culparla por no cambiar la contraseña; si difunden una foto suya desnuda, no podemos decirle que no tendría que haber compartido esa foto con nadie. Es lo que bajo ningún concepto se debe hacer. Hay que centrar el foco. En vez de hablar de que la gente no es consciente de los datos que le da a Facebook, ¿por qué no hablamos de que Facebook hace negocio con los datos de sus usuarios de una forma, digamos, sospechosa? Mucha gente no tiene ni idea de ciberseguridad… ni falta que les hace.
Y ahora que la ciberseguridad está en boca de todos, ¿has tenido que cambiar la orientación o el mensaje?
Si te soy sincero, no tengo tan claro que la ciberseguridad esté en boca de todos. Sí veo que está en boca de todas las empresas, sobre todo las grandes, pero eso no significa que haya un mensaje diferencial. Si te fijas en el contenido de ciberseguridad que hacen las empresas, todas dicen exactamente lo mismo: cambia tus contraseñas, vigila los permisos que das a las apps, no compres en webs que no sean seguras, no pinches en emails que supuestamente proceden de tu banco… Llevan diez años haciendo exactamente el mismo contenido.
Donde sí he visto un cambio es en la sociedad. Quien tengan más de 30 años recordarán que en Tuenti la gente se registraba con sus nombres y apellidos, aparte de que subía fotos de fiesta, en plena borrachera, etc. En la primera etapa de Facebook también pasaba. Ahora, sin embargo, ves que mucha gente pone su perfil de Instagram en privado, pone su nombre sin apellidos (o con solo un apellido), no acepta solicitudes de cualquiera, tiene más cuidado cuando habla con desconocidos, etc. Ese sí ha sido un cambio positivo, y eso es fruto del cambio de orientación/mensaje por el que me preguntabas. Si queremos que el ciudadano medio se preocupe por su ciberseguridad, tenemos que hacerle ver cómo influye eso en su vida. Nadie va a cambiar su contraseña cada tres meses por una totalmente nueva y complicadísima, pero quizá sí proteja mejor su identidad para no dejar demasiado rastro.
En tus newletters sueles incluir ofertas de trabajo. ¿Cómo y por qué decidiste incorporar estas demandas de empleo?
En mi opinión, está claro que el empleo en ciberseguridad está creciendo muchísimo. Antes solo contratan perfiles de ciberseguridad las empresas que se dedicaban a ello, pero ahora cualquier gran empresa tiene un equipo numeroso que trabaja en todas las ramas de la ciberseguridad.
Además, todas las empresas aseguran que no encuentran los profesionales que necesitan, así que parece evidente que el mercado va a crecer mucho. Otra cosa (y esto es una sensación meramente personal) es que haga falta tantos nuevos perfiles. Sé de algunas empresas que, cuando dicen “No encontramos perfiles de ciberseguridad”, lo que realmente quieren decir es “No encontramos perfiles de ciberseguridad… que quieran cobrar 20.000 euros, que es lo que pensamos pagarles”. Es evidente que, a medida que crezca el empleo en el sector, empeorarán las condiciones.
Eso te ha permitido ver más claramente lo que se está demandando. ¿Puedes hacernos una demanda tipo del sector?
Lo que más veo, a mucha distancia del resto, es demanda de consultores de ciberseguridad. Imagino que esto defraudará a los perfiles más técnicos, pero al menos es lo que yo veo.
“Estoy preparando un informe financiero completo
sobre el sector de la ciberseguridad en España:
las empresas que más facturan, las que tienen más beneficios,
las que más crecen, las que tienen inversión externa,
las que se financian con sus propios medios, las que tienen más y menos empleados…“
Hablemos de “El enemigo anónimo”. La serie ya se terminó, el último capítulo se publicó en febrero de 2021. ¿Qué valoración haces? ¿Qué tema ha suscitado más interés?
Mi valoración fue muy buena, la verdad. Sobre todo porque fuimos más allá de los ciberataques y hablamos de más aspectos que, en mi opinión, también forman parte de la ciberseguridad: hablamos de ciberguerra, del negocio que las empresas hacen con nuestros datos, de ciberacoso, de sexting, de fake news…
¿Se puede ver toda la serie? ¿Es accesible a todo el mundo?
Está 100% disponible y 100% gratuita en esta lista de reproducción.
Con la moda de la ciberseguridad, ¿has tenido conversaciones con cadenas importantes, plataformas…?
Una productora me propuso llevarlo a Amazon Prime Video, pero la cosa quedó en nada. Te soy sincero: El Enemigo Anónimo es una serie documental de divulgación y siempre tuve claro que su espacio era Youtube; un contenido así no tiene cabida en una gran plataforma. Esto puede parecer una crítica, pero en absoluto lo es: de hecho, estoy convencido de que debe ser así.
En una gran plataforma lo que debe haber son historias, que es un término que nos encanta a los periodistas y que está muy manido, pero es verdad: lo que mandan son las historias. Me invento un ejemplo: un documental sobre cómo evitar que te ciberacosen en internet no tendría cabida en Netflix; un documental sobre un tipo que lleva diez años acosando a gente en internet, sí.
¿Va a haber nuevos capítulos?
No. Es una serie en la que metí los temas de los que quería hablar, así que hacer nuevos capítulos me parecería estirar el chicle innecesariamente. A menos que un día vea una nueva serie de contenidos que realmente crea interesantes, no habrá más capítulos.
Hace años los medios estaban controlados por periodistas, pero parece que ahora son proyectos empresariales. ¿Qué opinas de la evolución que han tenido los medios?
Me temo que te voy a llevar la contraria: en mi opinión, los medios siempre han sido proyectos empresariales y han estado controlados por sus propietarios. Y es lógico que así sea. Otra cosa es que ahora haya más debate sobre la supuesta independencia de los medios, pero el control empresarial siempre ha existido.
De hecho, si ahora debatimos más sobre esa supuesta independencia es porque han surgido otros medios, más pequeños y humildes, que destapan cosas a las que no han llegado los medios grandes. Pero te digo más: precisamente ahora sí que hay algunos medios que, siendo montados casi exclusivamente por periodistas, están siendo sostenibles y rentables: eldiario.es, Civio o Maldita.es son algunos ejemplos.
Para terminar, ¿puedes hablarnos de tus planes a corto y medio plazo?
A medio y largo plazo, tengo algunos proyectos relacionados con la ciberseguridad. Para empezar, quiero consolidar Empleo en ciberseguridad, una newsletter en la que cada semana enviamos más de 100 ofertas de empleo a cerca de 700 suscriptores. Mi objetivo ahora mismo es mejorar la newsletter para seguir creciendo en suscriptores.
A medio plazo (para finales de 2022 o inicios de 2023), estoy preparando un informe financiero completo sobre el sector de la ciberseguridad en España: las empresas que más facturan, las que tienen más beneficios, las que más crecen, las que tienen inversión externa, las que se financian con sus propios medios, las que tienen más y menos empleados…). Será un informe de pago para empresas que quieran analizar a su competencia, para fondos de inversión que estén pensando en invertir en pequeñas startups de ciberseguridad, para instituciones públicas, etc.
Y a largo plazo, quizá me plantee una nueva serie documental, pero tengo que centrar el foco, ya que estoy entre 2-3 posibles ideas. ¿Una serie sobre cómo se vivió Wannacry en España, quizá? ¿O una serie para ayudar a ciudadanos corrientes a proteger sus comunicaciones y su privacidad, quizá? Si hay alguien interesado en patrocinar alguna idea, ¡que me avise!
- Publicado en Ataques / Incidencias, Empleo, Entrevistas, General, Privacidad, Protección de datos, Redes sociales, Tecnología
“El objetivo de nuestros cursos es un puesto de trabajo.” César López – Fundación GoodJob
La Fundación GoodJob es una organización sin ánimo de lucro de ámbito nacional, orientada a la inserción laboral y social de personas con discapacidad y en riesgo de exclusión social. La tecnología es uno de los temas de los que se ocupan. Por todo ello entrevistamos hoy a César López, director general de la Fundación GoodJob.
César López posee una larga experiencia laboral en empresas ordinarias y de economía social, siempre centradas en proyectos relacionados con temas de diversidad y discapacidad. En 2015 llega a la Fundación GoodJob.
¿Cuándo y cómo nace la Fundación?
La Fundación nace en 2015 como iniciativa de su presidente Jorge Albalate quien, tras una desinversión en una empresa tecnológica, decide poner en marcha un proyecto de economía social. Es en ese momento cuando nos conocemos y se pone en marcha este proyecto de economía social, con impacto real y sostenible económicamente a lo largo del tiempo por su propia actividad.
El objetivo final es la formación profesional para el empleo y la inserción socio-laboral. Pero, ¿qué otros objetivos persigue GoodJob?
El objetivo fundamental es mejorar la posición de empleo del colectivo de personas con discapacidad, tanto desde el punto de vista cuantitativo como cualitativo. Reducir su tasa de desempleo, que está 10 puntos por encima de la población general; que ocupen puestos de trabajo de valor añadido y de futuro y que lo hagan en el mercado ordinario y no en el protegido. Esperamos que no tardemos otra década en conseguirlo. Son los hitos fundamentales. La capacitación, empleo con apoyo y la gestión personalizada son herramientas para ello.
“El colectivo de personas con discapacidad tiene una tasa de desempleo
que está 10 puntos por encima de la población general.”
Hablemos de los programas de empleabilidad que tenéis. Son seis líneas distintas. ¿Nos puedes contar someramente cada una de ellas?
Los programas #IMPACT de empleabilidad están destinados a personas con discapacidad sin experiencia ni formación previas en áreas tecnológicas y tienen como objetivo conseguir un puesto de trabajo estable, en empresas ordinarias, en las actividades de ciberseguridad, cloud, analítica de datos, redes y programación fundamentalmente. También tenemos uno que dota de las DigComp (competencias digitales) a los participantes de los programas que menos base tienen. Todos ellos son capacitaciones de “impacto”, donde hay pocos conocimientos estáticos y muchos conocimientos prácticos en los que se les entrena para trabajar en los puestos base de la pirámide laboral de las actividades tecnológicas descritas.
Tras una capacitación online de 4-8 semanas, son contratados por la Fundación, pero ya inician su trabajo en los entornos laborales de las empresas colaboradoras de los programas, para posteriormente pasar a sus plantillas.
¿Qué sectores son los que tocáis? ¿Son siempre los mismos?
De forma proactiva nos centramos en sectores que tengan valor añadido, en línea con la tendencia del mercado laboral, tales como el tecnológico o el industrial. No obstante, trabajamos con empresas de muchos sectores, cualquier empresa, tenga la actividad que tenga, puede incorporar personas con discapacidad a su plantilla y nosotros hacemos planes de acción diferentes con cada uno de ellos para conseguirlo.
“Nuestros programas #IMPACT de empleabilidad
están destinados a personas con discapacidad sin experiencia ni formación previas
en áreas como ciberseguridad, cloud, analítica de datos, redes y programación.
Su objetivo es conseguir un puesto de trabajo estable.”
En el sector tecnológico hay una fuerte demanda de empleo. Vosotros tenéis varios programas relacionados con la tecnología, incluso Big Data o ciberseguridad. ¿Cómo son y se organizan estos cursos?
Son programas orientados al empleo, no formaciones al uso, el objetivo es un puesto de trabajo. Para ello, implicamos a las empresas y organizaciones del sector del que se trate, con el objetivo de que participen en la capacitación de los profesionales y se comprometan a introducirlos en sus entornos laborales y a contratarlos, todo ello con la coordinación y soporte de los especialistas de la Fundación. De esa forma, se asegura el proceso de incorporación de los profesionales en sus plantillas.
¿La titulación que dais tiene una equivalencia con algún grado de la Formación Profesional?
No, pero realmente los participantes de estos programas son personas con discapacidad sin experiencia previa en tecnología, que están en situación de búsqueda de empleo. u interés no es un título, sino que se les ayude a incorporarse a un sector que no conocen, de manera estable y acompañada, en un plazo de tiempo corto.
¿Puedes hablarnos de porcentajes de inserción laboral?
El 85% de las personas que inician la fase de capacitación, la terminan. De ellos, también el 85% están trabajando.
Un buen ejemplo de vuestro éxito es el acuerdo con Telefónica Tech, la unidad de negocios digitales de Telefónica. ¿En qué consiste exactamente el acuerdo?
Telefónica Tech es la empresa colaboradora de los programas #IMPACT de base tecnológica de la Fundación que más personas ha incorporado a sus plantillas, más de 40 en la actualidad. Cuando iniciamos el programa #include de ciberseguridad, fueron junto con Atos, las primeras empresas que apostaron por está formula de hacer recualificación e integración laboral de personas con discapacidad.
Actualmente, también tenemos un convenio con Fundación Telefónica para la participación de voluntarios en las capacitaciones de la Fundación y hemos puesto en marcha el primer programa #cloud de empleabilidad, cuya fase de capacitación termina a finales de mayo. Telefónica lo tiene claro.
¿Qué otros ejemplos de empresas que colaboren con la Fundación puedes citarnos?
En actividades de base tecnológica, hay muchas empresas colaboradoras, mencionar algunas como Atos, Entelgy Innotec, Cap Gemini, OneSeq, S21sec, Palo Alto, Fortinet, Elastic, Microsoft, Altostratus. Otras organizaciones como RootedCON, INCIBE, CCN-CERT, Agència de Ciberseguretat de Catalunya, Ciber.gal e ISACA, apoyan e impulsas los programas.
De otros sectores destacaría a Aciturri Aeroestructures en el aeronáutico, con quien tenemos una gran colaboración desde hace tiempo, con varios enclaves laborales en sus plantas de Tres Cantos (Madrid) y Boecillo (Valladolid).
- Publicado en Empleo, Entrevistas, Formación, General, Noticias
José Manuel Redondo: “la tecnología está llena de nuevos peligros.”
Publicamos hoy la segunda parte de la entrevista a José Manuel Redondo, Profesor Titular del Departamento de Informática de la Universidad de Oviedo, especialista en Ciberseguridad y en Lenguajes y Sistemas Informáticos. Entre otros temas nos explica que está desarrollando materiales de prevención contra los peligros de las nuevas tecnologías. ¡No os perdías los enlaces a sus artículos! Y pone en valor la llamada “generación de cristal”. Finalmente hace un llamamiento a que la sociedad tenga la ciberseguridad como una necesidad. Esperamos que os guste, porque nos alineamos totalmente con sus opiniones.
Se critica bastante a los gamers, se dice que viven en una nube, que no tienen recursos para enfrentarse al mundo real, pero nos olvidamos que jugar online también es una forma de comunicación. Y lo mismo pasa con los niños, que quizá no saben escribir a mano, pero sí en una pantalla. ¿Cómo ves todos estos temas? ¿Exageramos al hablar de los peligros de la tecnología?
Yo siempre he dicho que mucha gente critica lo que no entiende. No es culpa suya, es algo que siempre ha pasado. Pero fíjate, ahora hay directos en Twitch que no son muy diferentes en concepto a reunirse en un banco del parque a comer pipas, solo que ahora tus amigos pueden vivir en todo el mundo y comer pipas a lo mejor es construir un edificio o conquistar una base entre todos. Es, efectivamente, otra forma de comunicación, con sus pros y sus contras. Entre los pros, sin duda, es que puedes establecer amistad con gente de todo el mundo.
Y entre los contras, que esa gente puede no ser quien dice, que hay más opciones de que haya fraudes y problemas, y que todo es más fácil de grabar y el “pues tú dijiste hace tiempo” sea más frecuente. En este aspecto me gustaría decir dos cosas principalmente. La primera es que sí, por desgracia la tecnología está llena de nuevos peligros. Muchos son viejos timos que te podían pasar en la calle antes, pero ahora con audiencia mundial y un montón de medios nuevos para llegar a ti. Antes te espiaban por la ventana, ahora por tus fotos de Instagram. Antes había bullying, ahora también, pero se le añade el que se hace por redes sociales. Es necesario preparar a la gente joven contra eso, porque es un problema que ya está aquí, es grave y cada vez lo será más. Ellos no tienen ya que enfrentarse al mundo real sólo, también al virtual. Me imagino que el metaverso traerá consigo más problemas similares.
Parece que todo avance viene con su carga de mal adjunta. Yo estoy desarrollando materiales de prevención contra eso ya, por ejemplo, tengo uno de timos y fraudes en general el cual es publico y trata de formas de reconocer ciberestafas en la actualidad mientras que hay otro que está pensado para estudiantes de primaria que trata de como usar una red social alejándonos del mal y este para sus padres llamado: Si, las redes sociales dan miedo, pero podemos hacer algo al respecto . Y como el mundo de los videojuegos es complejo, hice este esquema para tener mejor idea de cuando una compra en un videojuego puede ser un peligro también el cual es este de aquí: Los peligros de las compras de videojuegos.
Y la segunda es que personalmente pienso de todo corazón que cuando a esta generación se la llama “generación de cristal” se la está faltando al respeto. Ellos tienen nuevos problemas (acabo de hablar de uno), y se atreven a hablar de problemas que nosotros sabíamos que existían, pero muchos elegimos ignorar, o simplemente no entendíamos, porque nadie nos habría hablado de ellos. Ellos hablan abiertamente de depresión, ansiedad, etc. van a especialistas, lo visibilizan y lo cuentan para que otros se animen a hacer lo mismo si están mal también. En mi juventud eso se “curaba” olvidando, poniéndose cada fin de semana al punto del coma etílico, por ejemplo. O se despreciaba diciendo que “no era un problema de verdad”, hundiendo más y humillando al que lo tenía. Con esa herencia del pasado, que aún está muy presente, sacar a la palestra estos problemas, hablarlos, tratarlos y normalizarlos para ayudar a otros, a pesar del estigma que la sociedad todavía tiene contra ellos, no es cristal, para mi es acero…es más, yo he aprendido bastante en ese aspecto de la nueva generación.
“Protestar por una injusticia no es tampoco ser de cristal.
A mí me gusta más esa opción que ‘tragar con todo porque así es el mercado’.
Si no hay crítica no hay mejora; si no se visibiliza el error no hay opciones de corregirlo.”
También es cierto que en esta generación hay gente que ni estudia ni trabaja. Como en la mía. ¿Son ahora más en número o es que con la visibilización masiva de cosas negativas que te da Internet ahora hacen “más ruido”? Mira, a mí la gente que me llega a la Universidad la veo mejor preparada en media para la vida en general que antes. En serio, he tenido gente trabajando y estudiando con nota, con todos los cursos del conservatorio a sus espaldas, deportistas de élite manteniendo sus marcas mientras estudian, con un dominio de idiomas envidiable…desde luego están más preparados para la vida que yo a su edad. ¿Puede haber menor nivel medio de madurez en general? No puedo afirmarlo ni negarlo, es posible, pero necesitaría datos para poder emitir un juicio…
Por lo que yo he visto personalmente, madurar a golpe de desgracias y penurias no es una buena forma de madurar, porque deja secuelas. No me vale el “yo a tu edad comía pieles de patata y no me quejaba” porque no es bueno. No te quejabas porque no podías o no te dejaban. Y eso te dejó una secuela, sino no hablarías de ello. Las historias estilo “como yo pasé por la mili tú también” en mi opinión son tristes, porque así no mejoramos nada. Se trata precisamente de que nuestra descendencia no pase por los mismos problemas que nosotros, ¿no?
Además, protestar por una injusticia no es tampoco ser de cristal. A mí me gusta más esa opción que “tragar con todo porque así es el mercado”. Si no hay crítica no hay mejora; si no se visibiliza el error no hay opciones de corregirlo. Vuelvo a repetirlo, denunciarlo no es ser de cristal, sino de acero. Pero ojo, que quede claro que esto es una opinión y no una crítica. Todo el mundo tiene derecho a ver la vida como mejor le parezca o se adapte a su experiencia. El problema es cuando un grupo de personas que tiene impacto mediático generalizan una idea que daña a toda una generación, algo que no veo justo en absoluto para ellos. Bastantes problemas tienen ya…
Quizá también debe cambiar la sociedad. ¿Por qué crees que a las empresas les cuesta tanto ver que la ciberseguridad es una inversión y no un gasto?
Tiene que cambiar, sí, y yo creo que ya lo están haciendo. Mi experiencia con la empresa privada es pequeña, pero yo creo que lo mismo pasa en la administración. En mi opinión el problema es que una inversión en ciberseguridad no tiene un retorno inmediato y/o no es fácil de ver. Si yo compro un servidor físico o en nube del doble de cores que el que tengo, mis tiempos de proceso probablemente disminuirán de forma significativa: retorno de la inversión inmediato. Si yo invierto en auditorías de seguridad, solucionar los fallos descubiertos, personal formado en el tema y equipamiento avanzado de prevención, mi retorno de la inversión puede ser un ataque menos crítico, que no haya ataques preocupantes, o que en todo el proceso haya errores que hagan que los ataques se reproduzcan igualmente. Todo esto deja una idea en la cabeza “yo para que gasté tanto dinero en esto si no veo una mejora palpable en los resultados” (y las inversiones no son baratas precisamente), y eso es en mi opinión lo que hacía que hasta hace poco estos temas se dejasen un poco de lado. Además, retrasan todo, y los plazos de entrega muchas veces es el factor sobre el que gira todo lo demás.
“La seguridad es cosa de todos.
Si falla un usuario cualquiera y su ordenador se compromete,
puede comprometer a toda la red de la empresa…
El malware funciona así, y basta que se rompa un eslabón de la cadena
para que toda ella se pueda ver comprometida.”
Pero llegó la pandemia y se vio que la falta de inversión en seguridad tiraba sistemas abajo durante mucho tiempo, rompía servicios, robaba tus datos o los destruía. Incluso negaba la atención médica en un momento en la que era clave. Se causaron tremendas pérdidas económicas y hubo negocios que incluso cerraron. Entonces la inversión sí tuvo retornos palpables para los que en su día invirtieron y creyeron, y ahora, aunque sea a las duras, los que no lo hicieron en su momento están tratando de “ponerse las pilas” ante este nuevo escenario. Por eso hacen falta tantos profesionales en estos momentos y, como yo creo que la cosa no tiene pinta de ir a mejor a corto plazo, durante mucho tiempo.
La Universidad de Oviedo ha sido un poco pionera al haber iniciado la formación de su personal docente e investigador para prevenir los ciberataques y el fraude en la red. ¿Cómo ha ido la experiencia?
¡Genial! Contaba con el hándicap de no tener un perfil de alumno concreto, porque podía ser cualquier profesor o investigador de cualquier rama de conocimientos, sea técnica o no. Y claro, uno puede ser un experto geólogo y usar el ordenador para navegar y escribir documentos, porque es lo que tiene que hacer. Pero en el mismo curso puedo tener un profesor de mi departamento que espera otras técnicas para proteger sus activos, porque las básicas (y no tan básicas) ya las sabe.
Por suerte, leo mucho sobre cómo dar clases (puedes decir que es otra de mis líneas de investigación si me apuras) y puse en práctica un tipo de curso al que llamé multi-nivel. Organicé los contenidos en bloques y dentro de ellos en bloques más pequeños. Cada contenido estaba etiquetado con uno de tres niveles (estudiante estándar, estudiante con conocimientos técnicos, estudiante con estudios de informática) y así cada persona sabría qué leer del curso que se adaptara a su perfil. O leer cosas del nivel siguiente por si las entendía y así aprendía aún más, o pedirle a alguien de perfil más técnico que haga algo de lo que propongo que le haga falta.
La experiencia fue muy buena, recientemente me llegaron las evaluaciones de los estudiantes y quedaron muy contentos. Si me apuras, el principal problema de diseñar un curso así es estructurar los contenidos correctamente, y luego concienciar a la gente de que el nivel es algo que se tienen que asignar ellos mismos, que son los que mejor se conocen, y que si uno se equivoca y lo tiene que bajar (¡o subir!) no pasa nada. Pero ninguno de estos problemas fue grave, ¡habrá una segunda edición!
¿Crees que toda la Administración debería hacer algo parecido?
Sin duda. Mira, yo en el curso que comentaba antes empecé diciendo que la seguridad es cosa de todos, desde el más al menos técnico. Si falla un usuario cualquiera y su ordenador se compromete, puede comprometer a toda la red de la empresa si no hay medidas de seguridad adicionales o estas fallan. El malware funciona así, y basta que se rompa un eslabón de la cadena para que toda ella se pueda ver comprometida.
Es cierto, como dije en la pregunta anterior, que no todo el mundo puede pretender tener conocimiento experto en seguridad porque no es lo suyo, pero sí unos mínimos de autoprotección, buenas prácticas, cuidados contra timos y fraudes y, en general, herramientas para protegerse de estas nuevas amenazas que surgen en el ciberespacio. Se debe y se tiene que conseguir, porque es posible y beneficioso para todos, tanto administración como ciudadanos en general. Yo mismo preparo e imparto cursos en esa vía, para todos los perfiles, como dije antes, y estaría encantado de impartirlos a quien los necesite. Pero como yo hay más gente, y en la administración el tema es algo mucho más sensible porque un ataque perjudica a un gran nº de ciudadanos. Para ejemplo tenemos casos como el del SEPE o el de múltiples ayuntamientos.
Hasta aquí la entrevista mantenida con José Manuel Redondo. Esperamos que os haya aportado una visión muy clara de lo que está pasando en el mundo de la enseñanza y con la juventud. Su optimismo tiene una sólida base. No en vano lleva muchos años conviviendo con estudiantes universitarios entusiastas de las nuevas tecnologías.
Si queréis leer la primera parte de la entrevista, sólo tenéis que clicar AQUÍ.
- Publicado en Ataques / Incidencias, Entrevistas, Estudios, Formación, General, Noticias, Redes sociales, Tecnología
José Manuel Redondo: “hace falta una concienciación ciudadana para prevenir los delitos comunes de ciberseguridad.”
Como sabéis, de vez en cuando nos gusta presentaros a personalidades dentro de este mundo tecnológico que a muchos de vosotros todavía os parece un extraño al que cuesta entender. En la entrevista de hoy charlamos con José Manuel Redondo López, una persona que se encarga precisamente de comunicar, formar y hacer más fácil y comprensible la ciberseguridad. Profesor Titular del Departamento de Informática de la Universidad de Oviedo, especialista en Ciberseguridad y en Lenguajes y Sistemas Informáticos, José Manuel es Ingeniero Superior Informático por la Escuela Técnica Superior de Informática de Gijón y Doctor por el Departamento de Informática de la Universidad de Oviedo. En esta primera parte de la entrevista nos habla de la universidad, de sus investigaciones en el campo del lenguaje informático y de lo que deben hacer los aficionados a este mundo para entrar en él.
Cuando tus alumnos te ven entrar en el aula por primera vez, ¿todavía piensan que un ingeniero informático es un sabio distraído que vive en un mundo irreal o eso ya ha pasado a la historia a pesar de las imágenes tópicas que nos muestra Hollywood?
Lo cierto es que cuando no te conocen sí que he detectado gente que te mira “raro” al principio. Lo primero es por ese motivo, por si tengo los “pies en la tierra” o espero que mis alumnos tengan ya muchos conocimientos previos y yo parezca que venga solo a confirmárselos (¡pobre de mí y de ellos si fuera así!). Pero yo creo que hoy en día lo que más les importa es algo que en muchos debates y noticias parece que queda en segundo plano: la habilidad para transmitirlos.
Esto no es algo trivial y, de hecho, bajo mi punto de vista es lo más importante. A nivel técnico yo puedo ser mejor o peor en según qué ramas. No hace falta ser un experto de clase mundial para dar clase de algo; sólo tener la suficiente habilidad y conocimientos teóricos para impartir los contenidos con solvencia para un perfil de alumnado concreto. Pero si lo mucho o poco que sé de algún tema no puedo transmitirlo adecuadamente, entonces la labor de un profesor queda desvirtuada totalmente. Y el perfil de público también es clave: no es lo mismo dar clase en primero que en cuarto de informática. Ni dar clase de informática a Licenciados en Historia que en Telecomunicaciones: las expectativas, experiencia previa y necesidades son completamente distintas. Y no es algo que carezca de importancia. Si no transmites los conceptos bien, si no eres capaz de llegar a las cabezas de quien te escucha, puedes causar incluso que tu alumnado odie tu asignatura y la rama de la informática que representa. Esto es muy grave, y pasa mucho más de lo que se habla. Y es una responsabilidad enorme que un profesor debe asumir. Si la ignora, entonces puede convertirse en esa imagen de Hollywood que mencionas. Pero para mí eso es una “persona contando cosas”, y un montón de otras personas tratando de descifrar “el misterio” de lo que cuenta , o buscando trucos para salir de allí cuanto antes. Y yo no quiero ser así.
“La forma de salir adelante de universidades pequeñas/medianas
es apostar por la especialización, destacar en una serie de titulaciones
que le den una identidad de ‘especialista en…’ ofreciendo titulaciones que traten aspectos mucho más específicos de una profesión para ‘hacerse un nombre’,
y tener una identidad propia en el ecosistema de universidades españolas.”
En los últimos años hemos visto como ciudades medias, como Oviedo, Málaga, León o Ciudad Real están creando polos profesionales muy interesantes, desplazando un poco a las grandes universidades de ciudades también más grandes. Háblanos de tu caso particular. ¿Por qué Oviedo?
Bueno, nací en Asturias y mi alma mater es la Universidad de Oviedo. Mi carrera universitaria está ligada a centros de esta universidad y tengo mi familia aquí, así que lo de moverme a otro sitio, aunque tuve oportunidades, al final lo descarté por decisión personal. Ojo, se que mucha gente opina que alguien que estudió en la universidad X no debería luego desarrollar su carrera en esa misma universidad, y puedo entender los motivos que se esgrimen para eso. Pero también es cierto que se criminaliza a toda la gente que elige eso para su vida, sin tener en cuenta que no pocos decidimos hacerlo porque queremos devolver a nuestra tierra, lo que nos dio al permitir formarnos hasta el punto que lo hemos hecho. Yo creo que se debería juzgar a un profesional por la calidad de su trabajo y no por su procedencia, o no asumir que su procedencia inmediatamente le hace peor profesional.
En relación a la segunda parte de la pregunta, es muy buena observación. Una universidad de tamaño pequeño/mediano como la nuestra no tiene ni los recursos ni las infraestructuras de una más grande. Esto no es una crítica en absoluto, siempre en todo negocio ha habido empresas grandes y más pequeñas, porque ambas son necesarias. Lo que no pueden hacer es pretender competir en la misma liga, porque la diferencia de medios convierte eso en una competición en la que casi siempre pierden los mismos. Por tanto, yo creo que la forma de “salir adelante” de universidades pequeñas/medianas es apostar por la especialización. No digo que una universidad grande no pueda abarcar todas o casi todas las ramas de conocimiento de una determinada disciplina, porque probablemente pueda hacerlo. Tampoco que una más pequeña no pueda ofertar títulos de disciplinas generales de calidad también (aunque no tanta variedad). Pero una pequeña en mi opinión debe apostar por destacar una serie de sus titulaciones que le den una identidad de “universidad especialista en X”, ofreciendo titulaciones que traten aspectos mucho más específicos de una profesión para “hacerse un nombre”, y tener una identidad propia en el ecosistema de universidades españolas. Si todas hacemos lo mismo, no faltarán voces que quieran cerrar algunas por “redundancia”, privando a los estudiantes de una región de un acceso a estudios superiores que no les suponga un desembolso económico quizá inasumible para ellos o sus familias.
¿Es exagerado decir que ya tenemos grandes expertos en ciberseguridad en España y que los alumnos ya apuestan por ella tras ver lo que ha pasado con la pandemia y el teletrabajo, por ejemplo?
Tenemos grandes expertos, sí. Y los alumnos están apostando por ella cada vez más, principalmente porque el teletrabajo ha traído consigo la exposición de más servicios a Internet y en consecuencia una escalada en ciberataques sin precedentes, con lo cual hacen falta profesionales que puedan lidiar con ellos. Como no son suficientes en la actualidad y, en mi opinión, hay una gran diferencia entre oferta y demanda en este aspecto, cada vez más gente se siente atraída por este mundo. Ya no solo a nivel de Universidad, sino a nivel de FP. También creo que haría falta una concienciación a nivel de ciudadanía, aunque para prevenir los delitos comunes. Hay que entender que estamos viviendo un cambio, y donde antes se decía “no vayas nunca con extraños” ahora hay que añadir “no descargues documentos o cliques en enlaces de correos extraños”, por ejemplo.
Tus principales áreas de investigación son la Ciberseguridad, Máquinas Virtuales Orientadas a objetos, la compilación JIT y la optimización de lenguajes dinámicos. Eres un ejemplo más de que se puede alcanzar una excelencia sin tener que ir a California, Madrid o Barcelona.
Sí, tuve la suerte de integrarme en un grupo de investigación oficial de mi Universidad que trabaja en técnicas punteras en el diseño de lenguajes de programación. Se han hecho muchas cosas, algunas de las cuales tuvieron impacto internacional a través de artículos de revistas, proyectos de investigación nacionales y premios de Microsoft Research. En la universidad, sin un grupo de investigación tus posibilidades de progresar académicamente disminuyen exponencialmente. Salvo que seas un auténtico genio, la investigación como “llanero solitario” es imposible, tienes que nutrirte de la experiencia de investigaciones pasadas para intentar subir un peldaño, acceder a los recursos que el grupo consigue y con ello aportar un grano de arena al enorme circulo del conocimiento, si tienes suerte, que es a lo que todo científico aspira. ¿Excelencia? No considero que sea un investigador excelente, de esos puedo darte nombres y yo no formo parte de esa lista. Pero bueno, creo que soy competente y, sobre todo, me encanta mi trabajo. Supongo que eso segundo ha suplido las carencias en lo primero, además de, como decía, formar parte de un grupo de investigación puntero que te da las herramientas y la oportunidad.
¿Puedes explicarnos tus áreas de investigación con ejemplos sobre la practicidad de ellas?
Sí puedo. Es complejo, pero si no fuera capaz de explicarlo sería contradictorio con mi primera respuesta, ¿no? Jajajaja. Mira, voy a hablarte de las últimas cosas que tengo en mente. Todo el mundo sabe o se imagina que los programas se construyen con lenguajes de programación. Lo que ya no todo el mundo sabe es que se pueden construir infraestructuras e instalar cosas en ellas con ellos también. ¿Cómo es eso? Quien tenga un mínimo interés en la informática sabe que los programas se escriben con lenguajes de programación, se ejecutan y “pasan cosas”: sale una ventana, se muestra un mensaje, se piden datos… De lo que yo hablo es de lenguajes con los que puedes programar algo que equivalga a “quiero un Ubuntu 18 con 4Gb de RAM y 80Gb de disco duro” y al ejecutar ese programa te sale una máquina virtual con esas características. U otro programa con el que dices “ahora quiero que instales WordPress, pongas esta clave de administrador y subas estas páginas a la máquina anterior” y eso ocurra. Todo puede ser construido con código, y toda la infraestructura se puede poner en marcha a través de la ejecución de programas, lo que facilita que pueda distribuirse a otros sitios en forma de simples ficheros de texto (además pequeños) y tener formas de crearlas “a gusto del consumidor” de forma automática.
No obstante, eso no es en lo que investigo yo, porque ya está inventado. Lo que yo quiero intentar es dotar a esos lenguajes de características de lenguajes más “tradicionales” (de los primeros que describí) que los hagan más “robustos”. ¿Qué quiere decir eso? Pues algo parecido a intentar dividir por un número una cadena de caracteres: el procesador del lenguaje te dirá en tiempo de compilación que eso no se puede hacer. Ahora imagina que intentas crear una máquina inválida por algún motivo: quiero que el procesador del lenguaje también te avise: no inviertas tiempo en ejecutar esto porque va a fallar por este motivo. En la actualidad te das cuenta de estos fallos mientras la máquina está en construcción, es decir, tarde, de la misma forma que la que quien programa en Python sabe que si su programa tiene un fallo va a verlo cuando lo ejecuta. Eso hace que desarrollar sea más lento, tanto en unos lenguajes como en otros. En los primeros hay muchos avances en esa vía, y mi grupo de investigación ha hecho los suyos propios. Ahora vamos a ver qué se puede hacer con los segundos.
“La autoformación es clave en temas de seguridad,
pero yo recomiendo a cualquier persona interesada en este mundo
que empiece con una formación reglada, ya sea FP o Universidad.
¿Por qué? Sin unas bases sólidas que te da una formación así,
es muy fácil “perder el hilo” autoformándote, cometiendo errores,
entendiendo conceptos de forma equivocada o incompleta
y adquiriendo “vicios” que luego son muy difíciles de quitar.”
Hablemos de formación. Tu siempre has buscado que sea más abierta y dinámica, lejos de las clases magistrales de antaño. ¿Crees que la incorporación de temas como la gamificación, las nuevas tecnologías, quizá ahora el metaverso, ofrecen unas posibilidades mayores de aprendizaje?
¡Por supuesto! Y cada vez más gente en mi profesión piensa lo mismo. El conocimiento tiene que llegar a los alumnos, y eso requiere dos piezas claves: cómo lo transmites y el valor que le das a lo que transmites (dejar claro para que sirve y lo que puedes hacer con él). Lo primero es lo más difícil, y en mi opinión tienes que adaptarlo a lo que estás tratando de explicar. Pongamos un ejemplo con mis zines o fanzines, que ofrezco gratuitamente AQUÍ.
Los fanzines son una idea que se usa mucho en otras partes y lleva ya mucho tiempo como método docente, aunque a algunas personas les causa rechazo. Yo tengo que impartir una asignatura en la cual si no se tienen claros unos conceptos básicos no se puede lograr realmente superarla. Estos conceptos (firewalls, redes, IPs, puertos, servicios…) no son complejos ni largos que explicar, pero en mi experiencia se entienden mejor con un soporte gráfico. Los zines son eso: un soporte gráfico rápido para conceptos específicos que “se atragantan” a un buen número de alumnos. No sustituyen a la lección magistral, pero la intentan complementar allí donde por mi experiencia se muestra menos efectiva. Las nuevas tecnologías para mí son el medio ideal para hacer de refuerzo.
También hay que tener en cuenta que hay lecciones magistrales… y lecciones magistrales. Yo intento no “contar el rollo” o simplemente leer las transparencias (lo que algunos de mis alumnos llaman ser un “Loquendo humano” 😊). Me apoyo en imágenes, ejemplos reales, preguntas, uso las noticias recientes para ejemplificar conceptos (por desgracia en temas de seguridad no me faltan 🙁) y lo intento hacer todo más dinámico, incluso introduciendo humor. Recientemente he empezado a grabar mis clases en el aula según las doy presencialmente (sólo las transparencias y mi voz), y luego las subo en video a la plataforma de streaming de mi Universidad para que el que quiera las repase o las escuche si no pudo venir un día, algo que se dio varias veces por el tema COVID.
Esto es posible ahora gracias a que la tecnología de grabación en vivo asequible es una posibilidad para nosotros, seguramente por el tema de la pandemia. Y a que la universidad nos da la oportunidad de dejar nuestras clases en streaming. Además, la grabación en el aula gusta más que simplemente grabar tú la clase en tu casa: algunos alumnos me dicen que queda todo más “natural” y mejora la atención. Además, de ahí a hacerlo “en vivo”, como un streamer de Twitch hay un paso jajajajaja.
La gamificación de momento la he introducido animando a mis alumnos a que compitan en CTFs para practicar (y que además le da valor a lo que explicas), y tengo por ahí algún videojuego pequeño que solo se puede vencer aplicando conceptos de ciberseguridad que aún no he introducido…así que sí, creo que esos elementos bien aplicados pueden ser un gran beneficio para los alumnos y para nosotros a la hora de explicar. No obstante, reconozco que al metaverso aún no le he visto aplicaciones en mi caso.
En nuestro sector ha habido, tradicionalmente, mucho aprendizaje autónomo. Pero ahora hay mucho margen, con la Formación Profesional, la apuesta decidida por la ciberseguridad en muchos centros y, por supuesto, la universidad. ¿Qué le recomendarías a un joven que le gusten estos temas?
La autoformación es clave en temas de seguridad, un campo en el que debes estar constantemente aprendiendo porque te lo exige. Yo ahora soy 100% autónomo formándome, aunque debo confesar que, no sé si por deformación profesional, me diseño mis propios planes de estudio a seguir. Eso es porque creo que tener una organización de los temas a estudiar, que los agrupe por su relación entre ellos, mejora la forma de estudiarlos.
Y precisamente basándome en eso último yo recomiendo a cualquier persona interesada en este mundo que empiece con una formación reglada, ya sea FP o Universidad, en función del tiempo que pueda o se vea capaz de invertir en ella y si busca algo más práctico o algo más amplio a nivel conceptual. ¿Por qué? Sin unas bases sólidas que te da una formación así, es muy fácil “perder el hilo” autoformándote, cometiendo errores, entendiendo conceptos de forma equivocada o incompleta y adquiriendo “vicios” que luego son muy difíciles de quitar. Creedme, yo estuve ahí :). Me autoformé en programación desde los 14 años y cuando llegué a la carrera tuve que “desaprender” por la cantidad de malas prácticas de programación que había interiorizado…
Otra razón es que sin una base sólida también es mucho más difícil distinguir buenos de malos materiales, y es más difícil que sigas o pagues una formación que más que ayudarte de induzca a errores. Por tanto, mi consejo honesto es que intenten formarse de forma reglada primero, y con esas bases, y sabiendo los distintos campos que se abren, profundicen en los que más les gusten (aspecto clave para mi) bien de forma autónoma, con más formaciones regladas o con un híbrido de ambas. Es como aprender a conducir: primero te enseñan y te ayudan, luego ya tú decides si necesitas más clases o te animas a ir sólo ya. Es más, nuestro curso de seguridad del grado es precisamente esto lo que pretende.
Hasta aquí la primera parte de la entrevista. Esperamos que esta mezcla de realidad universitaria, docencia vanguardista y datos de investigación de lenguaje algo complejos os haya gustado y anime a seguir la segunda parte de la entrevista que publicaremos en breve. ¡Vale la pena! Os lo podemos asegurar.
- Publicado en Entrevistas, Estudios, Formación, General, Noticias, Programacion, Tecnología
Entrevista a Fernando Mairata, presidente de PETEC (2ª parte)
Publicamos hoy la segunda parte de la entrevista que realizamos a Fernando Mairata, Presidente de PETEC, la Asociación Profesional de Peritos de Nuevas Tecnologías.
La semana pasada nos presentó esta importante asociación, así como sus objetivos y la labor de los peritos de nuevas tecnologías. También nos indicó que es necesario hacer pedagogía en los bufetes de abogados y concienciación y formación a toda la población para que todos sepamos tratar las evidencias digitales. Hoy nos adentramos en el futuro de la profesión y la visión que los jóvenes tienen de ella.
¿Hay suficientes peritos para la demanda actual? ¿Cómo veis el futuro de las causas y la pericia tecnológica?
Es una profesión muy joven y cada vez se necesitarán más profesionales de esta rama. Es una realidad, como comentabas antes, cada vez es más común que en los procesos judiciales nos encontremos con evidencias digitales, cuanto más concienciada esté la sociedad sobre este tipo de evidencias y que se debe contar con profesionales contrastados para su tratamiento más profesionales serán necesarios. Podemos decir sin miedo a equivocarnos que es una profesión de futuro y de presente.
A los jóvenes les atraen mucho las nuevas tecnologías. ¿Crees que peritar es también atractivo para ellos?
Lo que nos estamos encontrando entre los jóvenes que conocemos en las formaciones, y en los institutos en las charlas, es que se conoce la profesión y les resulta atractiva. Puede ser porque en los últimos años están apareciendo los forenses tecnológicos como referentes en series de televisión, en apariciones en la prensa…
“La pericia tecnológica es una profesión joven
y cada vez se necesitarán más profesionales de esta rama.
Cada vez es más común que en los procesos judiciales
nos encontremos con evidencias digitales.
Es una profesión de futuro y de presente.”
Quien quiera ser perito, ¿qué formación debe tener? ¿Y qué cualidades?
Lo cierto es que nuestra legislación actual no habla de los estudios que debe tener un perito informático forense, habla de la cualificación de los peritos en general. Si atendemos a los criterios exigidos por la ley, el perito es aquel profesional que tiene conocimientos avanzados de una materia que le permiten hacer pericia de la misma, ya sea por estudios o por experiencia. En el caso de las periciales tecnológicas, cada vez más, nos encontramos que el equipo pericial debe ser multidisciplinar: expertos en protección de datos, informáticos, telecos, … Las tecnologías abarcan un amplio abanico de conocimientos y, lógicamente, un perito no puede ser experto en todas las materias.
Otra cosa que marca la ley es que el perito debe tener un seguro de responsabilidad civil. También debemos tener en cuenta varias cosas a la hora de poder ejercer como peritos:
en Onda Madrid.
- La ley no dice que tengas que pertenecer a una Asociación o a un Colegio.
- No existen los peritos “judiciales” per sé, se es perito judicial cuando te nombra un juez para ese caso, cuando actúas de parte no eres perito judicial, simplemente eres perito.
- Debes estar en constante formación.
El que quiera asociarse a PETEC, ¿qué debe hacer? ¿Cómo le ayudaréis en su carrera?
El que quiera pertenecer a la gran familia de PETEC lo tiene sencillo, a través de nuestra web tiene los documentos para solicitar su ingreso, también puede contactar con nosotros a través del teléfono para que le aclaremos sus dudas. Una vez dentro de la Asociación, nuestro funcionamiento es muy familiar, los compañeros son todos muy accesibles y tienen completa disposición para ayudar a otros compañeros. Tenemos unos canales de networking muy potentes para alimentar esas relaciones entre profesionales. Nuestros asociados cuentan con toda la infraestructura material y social para avanzar en sus carreras y cuentan con muy buenas condiciones a la hora de formarse en entidades de gran reputación formativa. Además, tenemos un amplio catálogo de servicios al socio y de beneficios para ellos.
“El perito es aquel profesional que tiene conocimientos avanzados
de una materia que le permiten hacer pericia de la misma,
ya sea por estudios o por experiencia.
En el caso de las periciales tecnológicas, cada vez más,
nos encontramos que el equipo pericial debe ser multidisciplinar.”
El 23 de septiembre de este año, entregáis de nuevo, en su tercera edición, los Premios Pericia Tecnológica que tienen varias categorías. En la anterior edición se premiaron a profesionales tan importantes como Carlos Seisdedos (Isec Auditors), los miembros de la Selección Nacional de Ciberseguridad, Chema Alonso (Telefónica) o la National Cyberleague de la Guardia Civil.
Cuéntanos como surgen estos premios, como se preseleccionan a los candidatos, quienes votan, el objetivo y el alcance de los mismos, etc.
Los Premios Pericia Tecnológica nacen de la necesidad de reconocer a los profesionales de la ciberseguridad por parte de nuestros asociados, es una acción que de nuevo nace del networking entre los asociados. Con el tiempo han ido ganando en impacto y reconocimiento. Estamos muy orgullosos del funcionamiento, ya que impide que se dé ningún reconocimiento por simpatías.
La primera fase de los premios son las nominaciones, los que pueden nominar a cada una de las categorías son los asociados y los premiados de ediciones anteriores.
La segunda fase es la elección de los finalistas, votando los asociados entre la lista de nominados de cada categoría y eligiendo a los tres más votados de cada una como finalistas. Los finalistas se comunican cada año en el marco del DES (Digital Enterprise Show) este año el 16 de junio en Málaga.
Una vez que tenemos los tres finalistas de cada categoría, se convoca un jurado independiente, que no tiene nada que ver con PETEC o los finalistas, y votan en cada categoría con 3, 2 y 1 punto. Las votaciones son secretas, el Gerente de PETEC recoge las votaciones y encarga los galardones con los nombres de los premiados, hasta el día de la entrega sólo saben los ganadores el gerente, el secretario que levanta acta y el que hace los galardones.
Finalmente se celebra la gala de entrega, el 23 de septiembre, día de santa Tecla (patrona de los informáticos), en un evento solidario que recoge fondos para una ONG. La entrega de los galardones la realizan los ganadores del año anterior y alguna personalidad invitada. Ya os avanzo que este año será una gala muy especial en un lugar increíble.
Hasta aquí la entrevista a Fernando Mairata. Esperamos que os haya resultado interesante saber algo más de esta profesión imprescindible para temas judiciales en los que intervengan temas tecnológicos. Como es natural, cada vez son más.
Si queréis recordar la primera parte de la entrevista, podéis leerla AQUÍ.
También os queremos recordar que entre nuestros servicios también ofrecemos Análisis forense y consultoría legal. AQUÍ.
- Publicado en Análisis forense, Entrevistas, General, Noticias, Servicios
Fernando Mairata (PETEC): “La gente debe saber lo que no debe hacer cuando tiene evidencias digitales para evitar que se contaminen.”
Los que nos seguís desde hace tiempo, ya sabéis que de vez en cuando nos gusta publicar entrevistas para que descubráis también oficios relacionados con el sector y especialmente experiencias particulares que os puedan ayudar a entender mejor la ciberseguridad y todo lo que hay a su alrededor. Hoy os presentamos a PETEC, la Asociación Profesional de Peritos de Nuevas Tecnologías, que, como veréis tiene un papel fundamental en los temas judiciales. Para ello entrevistamos a su presidente, Fernando Mairata. Os dividimos la entrevista en dos partes. ¡Esperamos que os guste todo lo que nos cuenta, que nos parece del máximo interés!
PETEC es la Asociación Profesional de Peritos de Nuevas Tecnologías. ¿Casan bien un término tan antiguo como “perito” con “nuevas tecnologías”?
El perito es la persona que, dominando una materia, ciencia, oficio o arte, suele ser llamado para esclarecer unos hechos concretos. En nuestro caso los hechos se producen con las Nuevas Tecnologías, por lo que un término muy antiguo casa perfectamente con un ámbito tan moderno.
Director general en DLTCode y Correcta, una empresa de servicios profesionales de ciberseguridad y formación, presidente de PETEC, colaborador con otras muchas iniciativas… ¿Quién es Fernando Mairata, como llega a entusiasmarse por este sector?
Fernando Mairata es una persona normal, informático de carrera, apasionado de su profesión y enamorado de la vida, una persona familiar que disfruta de los pequeños detalles. Una persona a la que le gusta escuchar y está siempre dispuesto para echar una mano a quien lo necesite.
No sé muy bien como me entró el gusanillo de la informática y su posterior desarrollo hacia la ciberseguridad, lo cierto es que después de tantos años de carrera profesional, no encuentro horas suficientes al día para seguir avanzando en conocimientos y desarrollando proyectos. No considero mi profesión como un trabajo, sino como un hobby que comparto con mis compañeros y grandísimos profesionales de DLTCode CORRECTA y PETEC.
¿Cómo, cuándo y de quién surge la idea de crear PETEC?
La mayoría de los miembros de PETEC llevamos mucho tiempo en este mundillo y no encontramos una institución que cumpliese con nuestro sentido del asociacionismo. Así que, hace 4 años aproximadamente, tras meditarlo mucho, nos juntamos 46 profesionales y fundamos PETEC, asegurando en sus estatutos la transparencia en la gestión y el modelo de funcionamiento que soñábamos: una asociación de profesionales que es de sus asociados y para sus asociados. Durante los preparativos, nuestros compañeros decidieron que yo fuese la cara visible del proyecto durante el arranque, asumí ese honor y, gracias al fantástico trabajo de todos los asociados, hemos conseguido hacer de PETEC un referente y crecer incluso en época de pandemia. Además, tengo la suerte de contar con un gran equipo en la Junta Directiva, desde la que trabajamos muy duro por PETEC y por nuestros asociados.
“Es necesario hacer pedagogía en los bufetes de abogados,
pero también concienciaciòn y formación a toda la población,
para que la gente conozca lo que no debe hacer cuando tiene
evidencias digitales para evitar que se contaminen.”
Como peritos ayudáis en casos donde hay nuevas tecnologías, pero muchos abogados siguen creyendo que estos casos son los especiales entre empresas “raras”. ¿Todavía es necesario hacer pedagogía en los bufetes de abogados?
Realmente es necesario hacer pedagogía, concienciación y formación a toda la población sobre estos temas. En el mundo de la abogacía para que sepan cómo deben proceder cuando las evidencias son digitales o telemáticas, para que sepan cómo se deben presentar esas evidencias para usarlas como pruebas y para asesorar a sus clientes a la hora de necesitar un trabajo pericial. Pero no debemos quedarnos sólo en ese ámbito, es importante que la gente en general conozca lo que no debe hacer cuando tiene evidencias de este tipo y así evitar que se contaminen antes de ponerlas en manos de un profesional que garantice la Cadena de Custodia de las evidencias y que las trate sin alterarlas para que puedan llegar a Sede Judicial con garantías.
La realidad actual es que en casi todas las causas hay correos electrónicos, softwares de comunicación, smartphones o portátiles, etc. O sea que sigue siendo necesaria mucha formación. ¿Cómo ayuda PETEC a esta divulgación y formación entre profesionales legales?
En PETEC tenemos muy claro que debemos ser parte muy activa en la divulgación y en la formación, pero no sólo en el entorno legal, nos gusta estar allí donde se están formando los nuevos profesionales de la Ciberseguridad que se dedicarán al Forensic. Entre las acciones que llevamos a cabo desde la Asociación, podríamos enumerar:
● Participación en eventos profesionales en los que buscamos dar la mayor difusión a nuestro trabajo entre los profesionales del sector.
● Participación en eventos de formación especializados, como C1b3rWall con más de 40.000 alumnos a nivel internacional.
● Con una estrecha relación con las Fuerzas y Cuerpos de Seguridad del Estado (FCSE).
● Estableciendo convenios de colaboración con otras asociaciones como Women4Ciber para unir esfuerzos, con universidades y centros de FP para la formación de los nuevos profesionales y con la Cátedra de Pericia Tecnológica UDIMA-PETEC de reciente creación, desde la que esperamos formar a muchísimos profesionales.
● Con los martes PETEC, que se celebran el último martes de cada mes y en los que promovemos la formación de nuestros asociados en temas muy específicos dentro de nuestra profesión.
● Con un alto impacto en RRSS.
● Realizando eventos específicos para el sector…
De hecho, la formación es uno de vuestros puntos fuertes. ¿A qué colectivos dais formación y de qué manera?
Nuestros asociados son grandes profesionales muy reconocidos en el sector, unos tienen cursos de formación a través de academias online y presenciales, otros son profesores universitarios en grados y en Máster, algunos dan formación a FCSE.
Colaboramos muy activamente impartiendo Masterclass en distintos centros de formación. Pero no nos quedamos sólo en el ámbito de nuestra profesión, estoy especialmente orgulloso de la implicación de nuestros asociados en la formación orientada a toda la sociedad, impartiendo charlas y talleres en centros educativos para formar y concienciar desde los 3 años al mayor de los abuelos, buscando reducir la brecha digital dentro de las familias, buscando que nuestra sociedad sea más cibersegura.
¿Qué servicios ofrecéis?
Aquí tendríamos que distinguir entre lo que PETEC ofrece a sus asociados y los servicios que nuestros asociados ofrecen a la sociedad. PETEC nació para dar servicio a sus asociados por lo que no ofrece servicios a clientes, sino que promueve y apoya los servicios que ofrecen sus asociados dentro de sus portfolios, entre estos servicios se encuentran:
- Periciales tecnológicas.
- Servicios legales.
- Reputación online.
- Auditorías de seguridad.
- Formación y concienciación.
- Consultorías de seguridad.
- Gestión documental.
- Compliance.
- Adecuación/certificación ISO 27001 y ENS.
- Recuperación de datos
Y entre los servicios que se ofrecen desde PETEC a sus asociados, podemos enumerar:
- Inscripción en los decanatos.
- Condiciones especiales para el seguro de responsabilidad.
- Acompañamiento y asesoramiento legal.
- Networking especializado.
- Participación en formaciones con condiciones especiales.
- Credenciales profesionales.
- Soporte técnico.
- Intranet corporativa con documentación y foros especializados.
- Participación en eventos.
- Condiciones especiales en varios laboratorios forenses.
También tenéis una vertiente social, donde colaboráis con ONG’s. Este año habéis llegado a un acuerdo con Cáritas. Cuéntanos de donde salió esta idea y que hacéis exactamente para colaborar con estas entidades.
En PETEC estamos muy implicados en devolver a la sociedad parte de lo que nos ha dado a nosotros y que nos ha hecho llegar donde estamos. Todos los años, nuestros premios tienen carácter benéfico y además apoyamos todas las acciones que nuestros asociados nos proponen para colaborar con distintas entidades. Y así es como salió la oportunidad de colaborar con Cáritas, a través de nuestro compañero David SJ que nos brindó la oportunidad de ayudar en una causa tan noble. En esta ocasión, nuestra colaboración está orientada a la formación para la reinserción laboral a través de Cáritas Madrid mediante varias acciones: ponencias, talleres, eventos y becas para los cursos que se imparten desde la Cátedra de Pericia Tecnológica.
Hasta aquí la primera parte de la entrevista mantenida con Fernando Mairata. En la próxima entrega hablaremos de la profesión de perito tecnológico, si a los jóvenes les atrae esta parte de la ciberseguridad y de la formación que precisan. ¿Creéis que la ley exige alguna titulación para ser perito judicial? ¿Qué se precisa para poder ejercer como tal?
¡Podéis opinar!
- Publicado en Análisis forense, Entrevistas, General, Noticias, Servicios
Lista la plataforma QuantumPath para acceder a la computación cuántica
Poco a poco la computación cuántica deja de sonarnos a chino para convertirse en algo familiar. Aunque la mayoría todavía estamos lejos de comprender lo que significa esta tecnología y sobre todo las posibilidades que nos abre, lo cierto es que una empresa española, aQuantum, acaba de presentar una plataforma que posibilita que las empresas accedan a la computación cuántica con todo lo que ello significa.
Posiblemente los que nos seguís habitualmente ya os suene todo esto. Con razón. Nuestro CEO, Oskhar Pereira, siempre ha sido un enamorado de la ciencia y muy especialmente de la física cuántica desde que descubrió, hace ya muchos años, la popular fábula del gato.
Así que en febrero de este año publicamos una larga charla con José Luis Hevia y Guido Peterssen, dos de las personas que crearon junto a Mario Piattini una ingeniería y desarrollo de software cuántico para aQuantum.
Podéis leer la primera parte de la charla, donde nos instruyeron sobre la computación cuántica AQUÍ.
La segunda parte la dedicamos a la ciberseguridad en tiempos cuánticos.
La verdad es que nos fascinaron con sus explicaciones. Y es que un poco antes, en diciembre de 2020, ya habíamos publicado otro artículo en el que hablamos de la empresa y su producto estrella, la plataforma que ahora ya es una realidad.
¿Qué es QuantumPath?
Esta plataforma está pensada para que las empresas puedan acceder a la computación cuántica. Es un gran paso, porque esta tecnología es muy costosa y requiere de personal muy cualificado, por lo que la mayoría de empresas no se la pueden permitir. Sin embargo, al poner esta plataforma al servicio de las empresas se abre un mundo nuevo para todas ellas. Podrán crear soluciones de software cuántico profesionales y por ello de alta calidad.
La plataforma está diseñada para ofrecer un camino que permite adoptar más rápidamente las tecnologías cuánticas, liberándose de los detalles de un proveedor cuántico específico. De esta forma las empresas tendrán a mano los siguientes servicios:
- Crear sus activos de aplicación cuántica y establecer los requisitos del entorno.
- Diseñar visualmente sus algoritmos cuánticos, sus circuitos cuánticos, sus definiciones de modelos de Annealing y componer el algoritmo complejo usando flujos. En definitiva, ¡conectar los puntos!
- Dejar los detalles subyacentes al sistema (desde el modelo hasta los resultados), porque el ciclo de vida está totalmente automatizado.
- Elegir como destino de ejecución sus computadores cuánticos preferidos, los entornos de simulación escalables o ambos. Siempre guiados por el sistema de soporte de IA con procesos totalmente automáticos.
- Integrar sus aplicaciones cuánticas en su TI clásica usando el punto de integración para la integración dinámica. “Preguntar al sistema, obtener la respuesta” (ATSGTA, Ask the system, Get the answer).
- Explorar los resultados usando un esquema unificado. Podrán explorar los datos necesarios, sin tener que preocuparse por el lenguaje de los ordenadores cuánticos.
- Gestionar todos los procesos y analizar toda la telemetría almacenada. ¡La información es poder!
Podéis acceder a toda la información básica de la plataforma, así como a la complejidad técnica y sus opciones en la web QuantumPath.
Imagen principal: extraída de la web QuantumPath.
- Publicado en Cuántica, Entrevistas, General, Noticias
Raúl Renales sobre HoneyCON: “Queremos tener ponentes de todas las partes del mundo.”
En el calendario de eventos sobre ciberseguridad se ha hecho un hueco importante HoneyCON. Este año llega a la séptima edición y lo hace con los mismos objetivos con los que nació: enseñar y concienciar en el buen uso de las nuevas tecnologías. La organización de este congreso de seguridad informática de Guadalajara corre a cargo de HoneySec, una asociación sin ánimo de lucro ubicada en Guadalajara. Por todo ello hoy entrevistamos a Raúl Renales, representante de la Asociación HoneySEC.
Vuelve HoneyCON, el congreso de seguridad informática de Guadalajara (España). Será del 8 al 13 de noviembre.
El año pasado, por la pandemia, estuvo en un tris de no realizarse, pero final y felizmente se optó por hacerlo con un formato nuevo de maratón de 24 horas de duración y por supuesto on line. ¿Cómo va a ser la edición de este año?
Este año queremos volver a lo que hacíamos antes de la pandemia, tener una semana de eventos en torno a la seguridad informática que acerquen esta disciplina a todos aquellos interesados en la misma. La idea inicial es volver al presencial, pero no queremos abandonar lo que hemos aprendido durante la pandemia y queremos quedarnos con la parte buena, las retransmisiones online y sobre todo el tener ponentes de todas las partes del mundo, es por eso que la séptima edición de HoneyCon tendrá eventos presenciales y retransmisiones online.
A nivel de contenidos, ¿habrá ponencias, talleres…?
Como en ediciones pasadas, tendremos talleres durante la semana, un Hack and Beers el jueves 11 por la tarde, la tradicional jornada de charlas en el Centro Asociado de la UNED, que este año se transmitirán vía twitch y se simultanean con charlas en inglés de ponentes de varias nacionalidades. El sábado tendremos talleres prácticos y un track familiar para cerrar los eventos de esta edición.
La edición de este año será ya la séptima. En anteriores ediciones habéis intentado internacionalizar el congreso con ponentes de otros países. ¿Sigue esta tendencia este año?
Si, no queríamos renunciar a la posibilidad de tener ponentes internacionales, enriquece bastante el espíritu del congreso, y además desde el inicio creemos importante que la gente que quiera crecer en materias relacionadas con ciberseguridad adquiera la costumbre de ver charlas en otros idiomas, así como leer todo lo que puedan en inglés, en ese sentido, intentaremos que cada año podamos ampliar esa oferta y que se vaya haciendo algo cotidiano para todos los asistentes.
“La asociación HoneySEC fomenta el buen uso de las nuevas tecnologías
entre diferentes colectivos sociales, centros escolares
y todos aquellas entidades que nos solicitan colaborar.”
Hablando de ponentes: nuestro colaborador Jordi Ubach va a participar como conferenciante y TECNOideas vuelve a apoyar el congreso. ¿Cómo valoráis nuestra aportación y la de empresas como la nuestra?
Tener a Jordi siempre es un placer, desde hace 3 años que nos conocimos no ha faltado ningún año a la cita y sus charlas y talleres tienen gran aceptación. Desde el primer minuto la conexión fue total con la gente.
Por el lado del apoyo de las empresas, es muy valorado por nuestra parte, el que empresas como TECNOideas apoyen al congreso significa que podamos hacerlo más interesante y que podamos invertir más en su desarrollo, generando más actividades y mejorando la calidad del mismo. Además, con el apoyo y las aportaciones de las empresas podemos realizar proyectos durante todo el año, trabajando con diferentes colectivos sociales, centros escolares, realizando formaciones, etc. lo que nos permite estirar la actividad de la asociación durante el resto de los meses.
¿Las inscripciones están abiertas? ¿Hasta cuándo? ¿Cómo debemos hacerlo?
Por ahora las inscripciones están cerradas por el tema de la pandemia, queremos esperar lo más posible para tener claros los porcentajes de aforo de los eventos presenciales, así como, ajustarnos a los protocolos Covid que cambian de poco en poco.
La idea que manejamos es que se abran las inscripciones en la última semana de octubre, una vez cerrado el cronograma final de eventos.
**ACTUALIZACIÓN: ya se abrió la taquilla para poder adquirir las entradas AQUÍ. Por supuesto el visionado Online es totalmente gratuito
HoneyCON está organizado por la asociación HoneySEC. Aunque ya sois bastante conocidos, ¿podríais decirnos cuáles son los objetivos de la asociación?
La asociación maneja varios objetivos, entre ellos fomentar el buen uso de las nuevas tecnologías entre diferentes colectivos sociales, centros escolares y todos aquellas entidades que nos solicitan colaborar.
Otro de los objetivos importantes es mejorar la cualificación de sus socios, mediante formación y procesos de mentoring con el objetivo de acompañar y guiar a los socios que empiezan en su camino para convertirse en profesionales de la ciberseguridad. A modo de ejemplo, cuando arrancamos con la asociación, el 90% de sus miembros estaban en paro, hoy el 100% está empleado en el área de la ciberseguridad, gracias al apoyo que los socios con más experiencia están teniendo con los socios nuevos.
La asociación cuenta con miembros de varios países. ¿Estáis muy presentes en América Latina?
No, realmente es algo anecdótico, son personas que hemos ido cruzándonos en el camino y que les pareció interesante el proyecto, de tal manera que han decidido colaborar desde sus países aportando su granito de arena. Para ser más precisos la gran mayoría de la gente de HoneySEC reside en el corredor del Henares.
“Cuando arrancamos con la asociación HoneySEC, el 90% de sus miembros estaban en paro. Hoy el 100% está empleado en el área de la ciberseguridad, gracias al apoyo que los socios con más experiencia están teniendo con los socios nuevos.”
¿Cómo se puede pertenecer a ella? ¿Qué deben hacer las personas que quieran formar parte de HoneySec?
Es tan sencillo como enviar un email a la asociación solicitando el alta, una vez recibido el correo y revisado, nos ponemos en contacto con la persona para informarle de todo lo referente al alta. Todo el proceso es via correo electrónico y con un par de ellos se completa la inscripción. Lo que sí aconsejamos es que para aprovechar al máximo la experiencia la gente resida entre Guadalajara y Madrid, dado que celebramos muchos eventos presenciales a lo largo del año y es más sencillo asistir a ellos si se reside en las proximidades.
Tenéis toda la información sobre el congreso de ciberseguridad HoneyCON 2021,
con el programa, la compra de entradas, etc. AQUÍ.
- Publicado en Entrevistas, Evento, General, Noticias
Entrevista a FlagHunters by HackMadrid
Como sabéis los que nos seguís habitualmente y los que no, os lo explicamos ahora, nos encantan las conferencias donde se comparte conocimiento de y para hackers o futuros hackers. Por ello intentamos colaborar, en la medida de lo posible, en cuantas más mejor.
Hace ya un par de años que empezamos a colaborar con HackMadrid y su TechParty. Así que cada vez que se lían la manta a la cabeza, intentamos estar a su lado.
Para que no haya malentendidos y por si todavía tenemos a alguien que ignora el significado real de la palabra hacker, debéis leer este artículo de nuestro blog y su segunda parte, que tenéis AQUÍ.
Una vez ahuyentado el miedo a la palabra nos adentramos en lo que es HackMadrid. Ya os adelantábamos en la introducción que se han hecho fuertes en la organización de CTFs, tanto para ellos, (el último fue en abril), como para otras CON de España. Os recordamos que un CTF es un juego, que toma el nombre del inglés Capture the Flag.
Hoy charlamos con los responsables de la organización de estos CTFs, para que nos expliquen cómo surgió, qué hacen, cómo lo hacen y lo que nos espera en el futuro.
Para empezar, para los que todavía no os conocen, ¿qué es HackMadrid y HackBarcelona? ¿Y flagHunters?
HackMadrid es una comunidad no solo orientada al hacking sino a la tecnología y la filosofía de vida del hacker, esta orientada para todos los niveles, desde los que se quieran iniciar hasta para los mas avanzados.
Hackbarcelona parte de esa misma filosofía, buscando emular y compartir con esencia propia lo mismo de una manera regional mas arraigado en la zona de Cataluña.
Buscan compartir el conocimiento con el mismo formato, que vendría a ser charlas, talleres CTFs, etc.
Por otra parte, flagHunters nace como equipo de CTF para HackMadrid que luego, por su peculiaridad, se amplió a todo el ámbito nacional e internacional. Tenemos jugadores de casi todas las regiones de España y nuestra estrella es de Bolivia.
¿Como surgió la idea de organizar vuestro primer CTF? ¿Y lo de ayudar a otras CON?
Pues nace de la misma forma en que nace el equipo. Si se tiene un equipo para jugar, también el equipo esta en su deber formativo y de retribución de poder crear contenido para los demás, para compartir conocimiento.
Lo de ayudar a otras CONs, va de lo mismo es dentro de la misma ambicion de compartir y colaborar, es llegar y prestar servicio a aquellos que necesitan ayuda, en este caso la de nuestra especialidad.
Hemos hablado algunas veces en este blog de los CTF. Pero para los que aún no lo saben, ¿podéis explicarlo? ¿Cómo ayuda a los hackers o posibles o futuros?
El CTF para resumir, es un juego de conocimiento, en donde hay una series de retos que hay que superar para ir consiguiendo banderas dentro de los mismos. Las banderas tienen una puntuación que se va acumulando y al final gana el que tiene mas puntos.
La parte que ayuda a los demás es precisamente la parte del conocimiento, pues estos retos ayudan a compartir diferentes puntos de vista, tanto del creador como de los que resuelven el reto. Por un lado los que resuelven adquieren conocimiento nuevo, además de desarrollar ese “músculo” tan preciado que es el cerebro. Este nuevo conocimiento adquirido, si se comparte, pues se comparten diferentes soluciones a un mismo problema. Luego está el lado del desarrollador de los retos, que comparte su problema y también su solución.
Ya organizáis, y corregirnos si nos equivocamos, los siguientes CTF:
World party 2020, MorterueloCon, MoonCTF, HBSCon, World party 2021. Y además tenéis en mente PaellaCTF, que forma parte del World Party 2021 ¿Alguno más?
Pues sí, queremos como objetivo de equipo, establecer dos CTF por año. Serian el MoonCTF y el PaellaCTF (CTF que variará la temática), además de seguir colaborando con nuestras CONs amigas.
“Un CTF es un juego de conocimiento, en donde hay una series de retos
que hay que superar. Hay una parte importante de ayuda a los demás
para compartir conocimiento.
Si se tiene un equipo para jugar, también el equipo esta en su deber formativo.”
Con esta influencia a nivel de CONs y CTF, casi podríais montar una liga nacional. ¿Os atreveríais? ¿Qué ayuda necesitaríais? Nos referimos tanto a nivel organizativo como humano y económico, a ver si alguien que nos lee se anima a echar una mano.
Pues es la idea que tiene el loco de Specter metida en la cabeza. Sinceramente, la idea, no solo a nivel nacional, sino también internacional, es que si se juntan bien las cosas, pues sí somos capaces de atrevernos y creemos que podemos realizarlo con las manos adecuadas.
Lo que más necesitamos, como punto numero uno y más allá de los egos, es una unificación organizativa de empresas que quieran participar y meterse. Lo segundo que necesitaríamos es un acuerdo entre las diferentes CONs que quieran participar en el proyecto. Ambos serian sobre todo para la parte de capital dinerario, para los premios, que es lo que motiva bastante a la participación y apoyo a los equipos (transporte, mercadería, dietas, alojamiento, etc.). Pero también para la parte de difusión y atracción del publico local en las diferentes regiones. Por ultimo y no menos importante, estaría el factor humano, que sería principalmente los hacedores de retos, para que así todos pudieran disfrutar.
Soléis tener entre 200 y 300 participantes. ¿Cuál es el perfil tipo? ¿Podéis hablarnos un poco de ellos… edades, si son profesionales del hacking, qué nivel tienen, de qué países son mayoritariamente, etc.?
De los que solemos conocer en las redes las edades son muy variadas. No se puede definir un rango concreto, esto está casi como los puzles de 10 – 99 xD- El nivel de profesionalidad igual, vienen de todos los niveles, incluso gente que ni ejerce. Y del tema de países, de momento podemos hablar de todo lo que es habla hispana, cosa que quisiéramos que se ampliara.
¿Cuál es la principal barrera para que haya aficionados que no se atrevan a dar el paso e inscribirse? ¿El nivel? ¿El miedo a no estar a la altura? ¿Qué les diríais para que se animen?
Pues que no tengan miedo. Y mucho menos con nosotros, ya que aquí hay para todo y de todo. Recuerden que el conocimiento nos hace libres.
Faltan pocos días para que comience el Paella CTF 2021.
Os podéis registrar AQUÍ.
- Publicado en Entrevistas, Evento, General
“El objetivo final de IntelCon 2021 es que cada participante salga satisfecho y con sólidos fundamentos principales cubiertos tras el evento.”
Hoy empieza IntelCon 2021, el congreso de Ciberinteligencia que organiza la Comunidad GINSEG. Por ello estamos felices de presentaros a dos personas que no solo son unos de los responsables del evento, sino que han conseguido llevar la ciberseguridad a cotas muy altas, no solo de profesionalidad sino también de divulgación y comunicación. Iván Portillo es analista senior de ciberinteligencia y docente en las más destacadas formaciones relacionadas con la temática. Por su parte, Wiktor Nykiel es ingeniero de ciberseguridad, emprendedor y docente en el ámbito de la ciberinteligencia.
Quizá lo más interesante de ambos sea la trayectoria de proyectos e iniciativas que han llevado a cabo de manera conjunta, entre las que se encuentra la creación y promoción de la Comunidad de Ciberinteligencia Ginseg. Esta comunidad supone un punto de referencia imprescindible para todo profesional hispanohablante especializado en la materia. A raíz de esta iniciativa nació IntelCon. Se trata de un congreso de alto nivel, con reconocidos profesionales del sector, con ponencias que giran en torno a las diferentes fases del ciclo de inteligencia, siendo gratuito, accesible en línea y con una duración de una semana. En esta segunda edición se celebra desde hoy hasta el 3 de septiembre.
¿Cuándo y cómo empezasteis a ver que la ciberseguridad iba a ser vuestro campo de acción?
WIKTOR: En mi caso fue con mi segundo ordenador donde descubrí la “magia” que me permitía llegar a diferentes estaciones usando las vías de internet, concluyendo años después que a este recorrido se le llama ciberinteligencia en el entorno empresarial actual. Un gran punto de inflexión para ambos fue conocer a Manuel Sánchez Rubio, profesor de la Universidad de Alcalá de Henares, que gracias a sus consejos y pasión por el ámbito de la ciberseguridad nos impulsó al siguiente nivel en nuestra carrera profesional y de investigación. Durante este trayecto descubrimos diferentes packs de libros que comprábamos y consumíamos con gran interés. Cuanto más explorábamos, más cuenta nos dábamos de que nos faltaba mucho por aprender.
IVÁN: ¡Y aún tengo esa sensación! Aquí llegó también el momento de acelerar nuestro aprendizaje y desarrollo. Lo hicimos reuniéndonos en la oficina con compañeros de la empresa y otros amigos que motivamos a participar en esta iniciativa. Así cada persona o grupo de trabajo podía preparar algo interesante que contar al resto cada semana y de esta forma compartíamos y aprendíamos todos.
Al igual que Wiktor, es un participante habitual de jornadas profesionales.
WIKTOR: Este proceso nos permitió modelar soluciones reales, necesarias en el mercado, que finalmente acabaron como proyecto finalista en la aceleradora de startups del Incibe en su primera edición.
Parece que poco a poco la ciberseguridad empieza a ser tomada en serio. ¿También para los jóvenes? ¿Habéis detectado que las opciones de estudiar específicamente ciberseguridad están aumentando?
WIKTOR: La ciberseguridad es una temática muy interesante para los jóvenes, siendo el hacking la parte más atractiva de este colectivo, siendo la diferencia principal la especialización reglada que podemos encontrar en las diferentes universidades y cursos de formación frente al aprendizaje autodidacta de antes.
“En la actualidad existen multitud de másteres enfocados a la ciberseguridad
y eso es debido a la demanda de profesionales necesarios
para cubrir los puestos de trabajo que antes ni se planteaban.”
IVÁN: En la actualidad existen multitud de másteres enfocados a la ciberseguridad y eso es debido a la demanda de profesionales necesarios para cubrir los puestos de trabajo que antes ni se planteaban. Incluso han comenzado a crear ingenierías centradas en su totalidad en la ciberseguridad, como el programa emitido por la Universidad Rey Juan Carlos.
¿Y en el mundo empresarial? ¿Aun cuesta mucho que las empresas crean necesaria la ciberseguridad?
WIKTOR: Todas las medianas y grandes empresas están destinando partidas presupuestarias a implementar medidas esenciales y madurar sus procesos actuales en cuanto a ciberseguridad. Hay empresas que están haciendo bien los deberes sacando muy buenas notas y otras organizaciones que se presentaran a recuperación en la materia después de sufrir algún incidente serio. Estas últimas descubrirán que tienen que poner el foco y recursos necesarios para poder seguir existiendo en un mercado global conectado a internet donde desde el usuario ocasional hasta el actor de estado pueden suponer una amenaza para la continuidad de su actividad empresarial.
Nosotros insistimos mucho en que los mejores resultados se obtienen desde el principio, cuando se definen todas las nuevas tecnologías que implanta una empresa. ¿Por qué creéis que cuesta tanto? ¿Cuándo dejará de ser la ciberseguridad el vagón de cola?
IVÁN: Volvemos a lo mismo. Algunos directivos creen que la ciberseguridad es un complemento del negocio de la empresa y no es así, tiene que ser parte del negocio. Cada engranaje del propio negocio tiene que ser visto desde la perspectiva de la ciberseguridad para garantizar que no haya ningún tipo de vulnerabilidad que pueda jugar en su contra en el futuro. Pero no solo tenemos que pensar en vulnerabilidades que puedan tenerse a nivel de hardware o software, sino también a nivel procedimental, políticas internas, etc.
El gobierno de la seguridad es tan importante como parchear una versión obsoleta o un 0 day.
“Algunos directivos creen que la ciberseguridad
es un complemento del negocio de la empresa
y no es así, tiene que ser parte del negocio.
Cada engranaje del propio negocio tiene que ser visto
desde la perspectiva de la ciberseguridad
para garantizar que no haya ningún tipo de vulnerabilidad
que pueda jugar en su contra en el futuro.”
Hablemos de IntelCon 2021. Y empecemos por el principio. ¿Podéis explicarnos más ampliamente qué es la Comunidad GINSEG?
WIKTOR: GINSEG lo iniciamos en 2017, como un espacio donde poder aprender y compartir información relacionada con la ciberinteligencia. Analizando el ecosistema vimos que no existía ninguna comunidad centrada en la ciberinteligencia en habla hispana. Fuimos los pioneros. Al final con la Comunidad GINSEG pretendemos que sea un nexo de unión entre las diferentes disciplinas de Inteligencia (OSINT, SOCMINT, Threat Intelligence, HUMINT, etc), las técnicas relacionadas de esa área y la ciberseguridad, con el único fin de fomentar la formación de calidad, el conocimiento compartido y colaborativo.
IVÁN: Los tres pilares bajo los que se funda la comunidad son los siguientes:
• Colaboración en comunidad hispanohablante.
• Formación, desarrollo de herramientas, difusión y concienciación.
• Investigaciones retribuidas a medida por miembros de la comunidad.
¿Quién puede formar parte de ella?
IVÁN: Cualquier persona con ganas de aprender y compartir información. La comunidad esta abierta a todo el mundo, ya sea una persona con mucha experiencia en la temática o bien para aquellas personas que comienzan en este mundillo y no tienen una guía clara de cómo continuar su formación.
¿Está muy implantada en América Latina?
WIKTOR: Ahora mismo tenemos alcance en todos los países hispanohablantes: Argentina, Bolivia, Brasil, Chile, Colombia, Costa Rica, Cuba, Ecuador, El Salvador, Guatemala, Honduras, México, Nicaragua, Panamá, Paraguay, Perú, Puerto Rico, República Dominicana, Uruguay y Venezuela. Además, IntelCon nos ha ayudado mucho a llegar a otros territorios donde no teníamos tanta difusión ya que la temática está de actualidad también en ellos.
Centrémonos en el congreso: varios días, muchos ponentes y temáticas interesantes… ¿Qué destacaríais especialmente? ¿Qué es lo que no deberíamos perdernos?
WIKTOR: La ambición de IntelCon es ofrecer un programa formativo que gire alrededor del Ciclo de Inteligencia, enlazando todas las ponencias y talleres en cada una de las fases que lo componen formando parte de un todo. La idea que intentamos transmitir con el congreso es que generar un producto de ciberinteligencia es bastante complejo y no solo es ejecutar una serie de herramientas. Con el congreso queremos poner sobre la mesa una serie de recursos que ayuden a adquirir rápidamente los conceptos básicos sobre los que gira la ciberinteligencia. Tenemos que decir que sin el apoyo que ha tenido desde el principio por parte de los ponentes y su generosidad en cuanto a ofrecer contenido de máxima calidad, IntelCon no hubiera sido lo que es hoy en día, todo esto puesto a disposición de todos los usuarios de forma libre y gratuita en el canal de Youtube de IntelCon.
IVÁN: El objetivo final de esta iniciativa es que cada participante salga satisfecho y con sólidos fundamentos principales cubiertos tras el evento, como son:
• Fundamentos y conceptualización de la Ciberinteligencia.
• Diseño y planeamiento de actividades de Ciberinteligencia.
• Tácticas, técnicas y procedimientos de obtención digital de información.
• Tecnologías y procesos para el tratamiento y organización de información digital.
• Arte y técnica de análisis e interpretación de información en Ciberinteligencia.
• Productos de Ciberinteligencia para el apoyo a la toma de decisiones.
• Enfoques y estructuración de servicios de Ciberinteligencia.
Por segundo año consecutivo TECNOideas colabora con el congreso. Este año incluso ofrecemos un curso de análisis forense. ¿Cómo valoráis nuestra participación?
WIKTOR: Es un gran honor poder contar nuevamente con vuestro apoyo y patrocinio. Tanto en la edición pasada como en esta, TECNOideas nos está ayudando en la difusión del congreso por redes sociales y a través de artículos. Además, este año ofrecéis un curso de análisis forense dentro de los premios que entregaremos en el CTF IntelCon.
Y todo eso con inscripción gratuita. ¿Hasta cuándo está abierta la inscripción?
IVÁN: La inscripción tal como comentáis es totalmente gratuita y estará abierta a lo largo de la semana del congreso, por si hay algún rezagado.
- Publicado en Entrevistas, Evento, Formación, General, Noticias
Español 
Català