Leyes muy lentas
Que la política en general va por detrás de la sociedad, no es algo nuevo. Y lo mismo ocurre con las leyes. Cada vez que los políticos se ponen a legislar sobre un tema, o este lleva ya varios años activo en la sociedad, o bien cuando requieren investigaciones se quedan con informes de años atrás, ya obsoletos o simplemente yerran el enfoque. Leyes muy lentas significa mala legislación.
APUNTE: los que generan riqueza e innovación son las empresas privadas, con la ayuda de las administraciones, que aplican las leyes y planes que aprueba el gobierno. Hay varios tipos de ayudas, pero en nuestro ámbito, por ejemplo, si una empresa realiza I+D, suelen ser, sobre todo, ayudas de financiación, de facilidad en la contratación o de seguros sociales.
Lo que no debería hacer nunca la administración es molestar con leyes que no se adapten al modelo actual, o que monte empresas públicas para innovar, porque eso es lo mismo que la “música militar”: una contradicción.
Todo esto viene a cuento porque el Plan de Recuperación, Transformación y Resilencia contra la COVID-19 del Gobierno de España va a destinar 500 millones de euros para fomentar la Inteligencia Artificial (IA) durante los años 2021-2023. Se trata de un 0,7% de los 72.000 millones de fondos europeos que corresponden a España y se encuentra en el llamado “Componente 16” del Plan, cuyo título es “Estrategia Nacional de Inteligencia Artificial” (ENIA).
Podéis ver la información del Plan y sus líneas directrices que publica la web del Gobierno AQUÍ, donde también podéis descargaros el PDF. Hasta aquí la teoría.
Pero la práctica no pinta tan bien. Algunos especialistas han avisado que muchos de los puntos que contiene el Plan ya están desfasados. Recuerdan que el documento en cuestión ya lo había presentado Pedro Sánchez en diciembre del 2020 y que es un documento trabajado en la Secretaría de Estado de Digitalización e Inteligencia Artificial, dependiente del Ministerio de Asuntos Económicos y Transformación Digital.
El Gobierno calcula que por cada euro público invertido, el sector privado invertirá otros tres euros.
Espera que esas ayudas consigan un retorno de 3.000 millones sobre el PIB y cree que se pueden crear unos 16.000 puestos de trabajo.
En el “Componente 16” se habla del marco ético y legal, que tendrá que seguir el que anunció la Comisión Europea, que pretende impedir algunos usos de alto riesgo de la Inteligencia Artificial si no se cumplen algunos estándares. Y amenaza a las empresas que no los cumplan con multas de hasta 20 millones de euros o de un 4% de sus ingresos.
Todo esto junto a opiniones de expertos lo podéis leer en un artículo publicado por Business Insider AQUÍ.
En el fondo, la gran problemática del tema es el uso de sistemas de vigilancia masiva que la IA puede traer, por lo que toda esta normativa viene a considerar que la IA atenta contra la privacidad.
También podéis ver lo que dice al respecto EDRi, una asociación internacional sin ánimo de lucro que agrupa organizaciones de derechos civiles de toda Europa y que defiende los derechos y libertades en el entorno digital.
- Publicado en General, Noticias, Tecnología
Amador Aparicio: “estamos exportando jóvenes formados en España con puestos de responsabilidad”
Segunda parte de la entrevista a Amador Aparicio que iniciamos la semana pasada. Amador es ingeniero informático y docente y es uno de los profesionales más reconocidos de España. Tras hablarnos de la situación de la enseñanza de la ciberseguridad hoy abordamos temas más específicos. ¡Esperamos que os guste!
Terminamos la primera parte de la entrevista hablando de tus libros. Hoy damos un paso más en tu carrera y nos gustaría comenzar por tu trabajo como miembro del Comité CTN 320 de ciberseguridad y protección de datos personales en la Asociación Española de Normalización. ¿Qué objetivos persigue esta asociación?
Cierto, desde enero de 2021 formo parte de este comité. El trabajo es más de asesoramiento para la normalización de actividades, que técnico. El principal objetivo es la normalización de los métodos, técnicas y directrices en el ámbito de la ciberseguridad, la seguridad de la información, las comunicaciones y las TI, lo que incluye las siguientes áreas:
• Metodología para la captura de requisitos.
• Técnicas y mecanismos de seguridad, incluidos los procedimientos para el registro de los componentes de seguridad.
• Gestión de la ciberseguridad, la seguridad de la información, las comunicaciones y las TI.
• Documentación de apoyo a la gestión, incluyendo las normas relativas a la terminología, la evaluación de la conformidad y los criterios de evaluación de la seguridad.
• Los requisitos y directrices para la protección de los datos personales y la privacidad de las personas, incluyendo los aspectos de gestión y requisitos de privacidad por diseño y por defecto.
Formas parte del equipo de captación de talento de Telefónica, Talentum Startups desde 2013. Los jóvenes tienen la mirada puesta en California, pero ¿tenemos mucho talento en España? ¿Hay futuro para los jóvenes que deseen quedarse y no salir al extranjero?
Sí, formo parte del Programa de Captación de Talento de Telefónica desde diciembre de 2013 y me ha permitido conocer a gente de todas las universidades españolas durante todos estos años. Las universidades en España están haciendo un buen trabajo porque estamos exportando jóvenes formados en España al extranjero con puestos de responsabilidad que exigen un alto conocimiento técnico y capacidad. Sin ir más lejos, el responsable de seguridad de Google es o era un chico de Valencia, Fermín Serna, lo que indica que en España las universidades tienen un buen nivel y que la gente sale bien preparada de ellas.
“Lo que buscamos en las universidades
es gente con actitud y con capacidad y
habilidades tecnológicas
que se apasionen haciendo cosas y
no los mejores expedientes.”
Lo que buscábamos (y buscamos) en las universidades (y fuera de ellas) era gente que hubiera hecho cosas por su cuenta en forma de proyectos tecnológicos, no sólo que tuviese buenas ideas, sino que tuviera la capacidad tecnológica de transformar esa idea en producto, gente que tuviese pasión por la tecnología y que hiciera cosas por su cuenta. No buscábamos los mejores expedientes (aunque los ha habido), sino gente con actitud y con capacidad y habilidades tecnológicas que se apasionase haciendo cosas, que hubiera hecho pequeños proyectos que pudiéramos ver.
Sobre lo que planteas de si hay talento es España, conozco a grandes profesionales del sector, pero la COVID-19 ha revelado información al respecto: se ha producido un incremento en el desempleo mayor al de la oferta de puestos de trabajos especializados, y esa es una de las razones por la que hay más ofertas de empleo, por ejemplo en ciberseguridad, frente a la demanda de empleo, lo que podría indicar que en España no hay tanto talento digital como aparece en los medios y redes sociales y donde más ha crecido el número de empresas que ofrecen trabajo a expertos en nuevas tecnologías, de ahí que sea complicado cubrir toda la demanda de profesionales. Sobre este tema os propongo leer este artículo del diario El País Financiero.
Para acabar este bloque sobre tu aportación en varias instituciones, debemos hablar también del programa CSE (Chief Security Envo) de ElevenPaths, del que formas parte. ¿En qué consiste realmente el programa?
Desde ElevenPaths, la Unidad de Ciberseguridad de Telefónica, se creó un programa similar a los MVP de Microsoft, pero en este caso aplicado al mundo de la ciberseguridad. La idea del programa es doble, por un lado hacer un reconocimiento público a profesionales del sector y por otro realizar aportaciones de ciberseguridad para llegar a más lugares.
En mi caso, si me preguntas quién tuvo la culpa, te diría que Pablo González, que fue quien me puso en contacto con el programa en diciembre de 2018. Después, Pablo San Emeterio fue quién realizó el proceso de selección y al final quedamos seleccionados 10 personas en España y 6 personas en Ecuador. Por cierto, este año también he vuelto a recibir el reconocimiento y para mí es muy motivador poder estar relacionado con ElevenPaths porque podemos probar algunos de sus productos, proponer mejoras, tener acceso a tecnología disruptiva en algunos casos y poder estar presentes en foros especializados.
La verdad es que las opciones de la ciberseguridad van alcanzando cotas importantes en diversos sectores. En este blog ya hemos hablado de la importancia de que los coches sean ciberseguros. ¿Puedes hablarnos del Hacking Car y por qué está tan de moda?
Creo que estuvo más de moda hace 2 ó 3 años. En congresos de seguridad hubo ponencias relacionadas con Car Hacking, de hecho, Jordi Serra y yo estuvimos en Navaja Negra y en las Jornadas CCN-CERT en 2018 con ponencias sobre Car Hacking. En nuestro caso estudiamos técnicas para leer las tramas que viajaban por la red CAN BUS de los coches, modificarlas y volver a inyectarlas al coche para que éste hiciera cosas y cambiar así su comportamiento.
Las ponencias de Car Hacking estaban relacionadas con las comunicación interna de la red del coche sobre el bus CAN, y sobre radiofrecuencia aplicada en llaves sin contacto y el sistema de monitorización de presión y temperatura de las ruedas.
Los estudios de Charlie Miller y Chris Valasek en ese campo fueron tremendamente impactantes con el hackeo del Jeep, pero ellos tenían toda la información de los fabricantes de los distintos dispositivos del coche.
Sobre los coches ciberseguros:
“La Unión Europea hará cumplir la norma a partir de julio de 2022 y
afectará a todos los vehículos nuevos a partir de julio de 2024.
Para lograr el certificado de ciberseguridad,
los fabricantes deberán demostrar que sus modelos
están protegidos frente a 70 vulnerabilidades.“
Ahora es más complicado encontrar ponencias de este tipo porque una de las conclusiones a las que llegamos es que los fabricantes no aportan ningún tipo de información, hay que disponer de un buen laboratorio y material de medición y monitorización de datos y, sobre todo, hay que tener coches para hacer pruebas, y eso no está al alcance de cualquiera, de ahí que sea complicado avanzar por ese campo si no es con el apoyo de un fabricante interesado que te proporcione el material para realizar todas las pruebas necesarias.
Y no debemos olvidarnos del cine, en muchas películas puedes ver como hackean un coche y toman el control total sobre él…. Y eso es prácticamente imposible por la segmentación que existe en las redes internas de los automóviles.
¿Puedes hablarnos de la legislación al respecto? El 1 de enero de 2022, ¿todos los coches deberán ser ciberseguros? ¿Solo los nuevos, los de segunda mano no?
Cierto, la Unión Europea ya ha anunciado que hará cumplir la norma a partir de julio de 2022 y afectará a todos los vehículos nuevos a partir de julio de 2024. Para lograr el certificado de ciberseguridad, los fabricantes deberán demostrar que sus modelos están protegidos frente a 70 vulnerabilidades. Ese listado de riesgos a evitar incluye posibles ciberataques durante el desarrollo, producción y posproducción del vehículo, por lo que aquellos modelos que logren el certificado estarán protegidos a lo largo de todo su ciclo de vida. Además, se especifica que debe ser una entidad autorizada e independiente del fabricante la que acredite si el vehículo analizado cumple esos requisitos.
En el caso de que algún fabricante ponga a la venta en la UE un vehículo que no cumpla con la normativa ONU / UNECE WP.29 o se demuestre que engañaron a la entidad autorizada para obtener el certificado de manera irregular, se enfrentaría a sanciones de hasta 30.000€ por vehículo y se podría retirar o suspender la homologación de los modelos afectados, lo que impediría que se pudiesen vender.
La normativa no detalla qué medidas deben tomar los fabricantes para hacer frente a esas 70 amenazas. Tampoco indica qué tipo de pruebas se deben realizar para saber si un vehículo puede obtener el certificado APTO de ciberseguridad.
Este sector avanza muy rápido, gracias a que la tecnología no tiene freno. ¿Cómo te imaginas el sector de aquí a veinte años?
Ni idea, creo que tendría que preguntárselo a mis hijas dentro de unos años… (risas).
¿Habéis aprendido muchas cosas? Esperamos que os haya gustado esta entrevista. Si todavía no habíais leído la primera parte, os lo ponemos fácil: sólo tenéis que clicar AQUÍ.
Para todos los que queráis conocer más y mejor a Amador,
os invitamos a visitar este enlace.
- Publicado en Entrevistas, Formación, General, Noticias, Seguridad
Alternativas a sistemas operativos en smartphones
A veces insistimos mucho en los temas de seguridad en Internet y en nuestros dispositivos. Pero actualmente un smartphone es prácticamente una oficina completa y quizá no le prestamos la atención necesaria. Hoy queremos adentrarnos en este complicado mundo de los teléfonos móviles seguros y hablaros de las alternativas libres en sistemas operativos para smartphones.
Para empezar queremos ser muy sinceros y deciros que inicialmente este post se titulaba “Diferentes soluciones en teléfonos encriptados”, pero al final lo hemos cambiado, porque hemos preferido seguir el rumbo que ha cogido nuestra experiencia en esta área.
La idea era hacer un repaso a diferentes soluciones comerciales y opensource de encriptación. Pero nuestra experiencia ha visto que algunas son muy caras o muy complejas. Otras tienen una muy mala fama, ya que han salido a la luz como “distribución maligna hecha por delincuentes”. Y vale, de acuerdo en que no sea realmente así, pero ahí debemos luchar contra los medios generalistas, que cuando se refieren a este tipo de temas se nota que no son expertos. Sin embargo, su influencia en los consumidores es considerable y revertir este tipo de opiniones es muy difícil. Pasa lo mismo con la palabra Hacker, cuyo significado ha sido siempre tergiversado en los medios, haciéndola sinónimo de ciberdelincuente, cuando no es así, como hemos explicado mil veces en TECNOideas.
Pero volvamos al tema que nos ocupa. Os proponemos leer un artículo que tiene el llamativo título de “Siete teléfonos que la CIA no puede espiar. Cómo crear un celular cifrado desde cualquier teléfono inteligente”, publicado en noticiasdeseguridad.com y que aporta varias soluciones.
Sin embargo, para probar algo de verdad y no solo la instalación, hay que usarlo a diario, en un entorno real. Así que vamos a hablar de Ubuntu Touch instalado en un Xiami Redmi Note 7, que era uno de los 10 dispositivos con mayor compatibilidad para este sistema.
La instalación cuesta, no os vamos a engañar. Hay que rootear el teléfono (el proceso que permite obtener un control del aparato y modificar algunas funciones que vienen por defecto), y desprotegerlo. Pero los de Xiaomi se lo toman en serio. Necesitáis una cuenta con ellos, daros de alta con el dispositivo, bajar una aplicación de escritorio para Windows y realizar el proceso.
Luego es algo más fácil, ya que Ubports, que desarrolla Ubuntu Touch, tiene aplicación de escritorio para varios sistemas: Windows, Linux, Mac… A través de este programa identifica o le decís el dispositivo a cargar la imagen, y os dirá cual tenéis que descargaros.
A partir de aquí es más o menos un proceso sencillo, de aceptar/descarga/transferencia de archivos, etc. semi automático.
Todo hay que decirlo: a nosotros nos costó este proceso por el cable. No sabemos bien lo que ocurría, y después del tercer fallo lo tuvimos que cambiar por otro igual, misma marca y modelo, y finalmente nos funcionó.
Aquí es donde se prueba un elemento, usándolo día a día, y hay que ser sincero: si estáis acostumbrados a otro dispositivo, ya sea Android o iPhone, Ubuntu Touch de momento no es lo mismo. Si queréis desconectar y tener un aparato para ir consultando de vez en cuando, esa es vuestra solución.
Hay Apps nativas, pero no para todo lo que se usa a diario. Ejemplos: ProtonMail, Telegram y Gmail. Son todas aplicaciones web, que son funcionales, pero no son iguales, no dan avisos, no hay pop-ups (o a nosotros no nos han funcionado), son versión web, y difíciles de ver e interactuar, etc.
Se supone que hay conexión nativa con Google para calendario, contactos y demás, pero lo mismo, como el navegador de pop-ups, que no se puede cambiar, no lo acepta Google, no deja conectar.
Otra de las opciones, que usamos nosotros, es Nextcloud. Pues, venga, solo sincroniza el calendario, aunque viene como cuenta de opción básica.
Tuvimos que importar datos a la antigua usanza, con acciones export/import a ficheros, pero no es la solución del día a día, claro está.
Seguimos probando, y no nos desanimamos, ya que es un buen sistema, consume pocos recursos y poca batería, pero si estáis acostumbrados a alertas, avisos, a que lo haga todo y dicte vuestro ritmo de vida, no es para vosotros.
Tened muy en cuenta estas cuestiones. Al comprar un nuevo smartphone,
casi todos lo usuarios de fijan en la calidad de los materiales, el número de cámaras fotográficas, el diseño… pero no olvidéis la seguridad del dispositivo:
¡debería ser vuestra principal preocupación!
- Publicado en Consultoría, General, Hazlo tu mismo, Mobile, Sistemas operativos
Amador Aparicio, ingeniero informático y docente: “hay que introducir la Seguridad Informática de manera transversal”
Ya sabéis que de vez en cuando nos gusta traer a este blog personajes que tienen una relevancia especial en nuestro sector. Hoy queremos acercarnos a Amador Aparicio, una persona muy reconocida en diversos ámbitos, porque además de ser ingeniero informático y tener un postgrado en Seguridad de las Tecnologías de la Información y Comunicación, ha querido siempre dedicarse a la enseñanza. En la actualidad es profesor de Formación Profesional en el Centro Don Bosco de Villamuriel de Cerrato (Palencia), profesor en el Máster de Ciberseguridad y Seguridad de la Información de la Universidad de Castilla la Mancha y en el Máster Universitario en Seguridad de Tecnologías de la Información y las Comunicaciones de la Universidad Europea de Madrid. Hoy os ofrecemos la primera parte de una entrevista que tendrá continuidad la próxima semana.
No es muy frecuente encontrar un perfil tan especializado y que escoja la docencia como actividad principal. ¿Por qué la docencia? ¿Es algo vocacional?
Bueno, es verdad, pero he de decir que desde el año 2016 llevo haciendo auditorías de seguridad de manera profesional, aunque bien es cierto que mi actividad profesional fundamental sigue siendo la docencia en Formación Profesional y en diferentes universidades españolas relacionadas con másteres de ciberseguridad.
En mi caso, la docencia es vocacional, es más, pienso que muchos de los que somos docentes y esa es nuestra principal actividad de ingresos, es porque en nuestra etapa estudiantil hemos tenido referentes en este sentido, en forma de profesores o incluso de amigos. Es cierto que cuando yo estudiaba prácticamente nadie se planteaba ser profesor. Lo habitual era terminar la carrera y automáticamente entrar en una empresa de desarrollador de software, pero no teníamos ni las referencias actuales de diversas salidas profesionales ni las alternativas tecnológicas actuales porque no había la misma tecnología y todo “estaba mucho menos conectado”. En mi caso, destacaría dos referentes, el Dr. Javier Pérez Turiel que me dio Redes de Computadores en 3º de Ingeniería Informática y mi mujer Cristina, que ya era profesora cuando la conocí y me animó a ello.
Hace tiempo que los estudios de informática están presentes y con fuerza en el sistema educativo español. Pero ¿en qué lugar se encuentra la formación en ciberseguridad?
Ahora hay más alternativas formativas que antes y, en materia de ciberseguridad, cada vez hay más opciones para poder cursar un máster, certificación, o incluso módulos específicos dentro de los ciclos formativos de Formación Profesional. Además, este curso, en diversas comunidades autónomas, las consejería de Educación han aprobado y lanzado el curso de Especialización en Ciberseguridad en el marco de la Formación Profesional. En algunos másteres oficiales, que no son puramente de Seguridad Informática, existen ya asignaturas de ciberseguridad para tener al menos un contacto y dar una visión muy genérica de esta disciplina.
Como veis, la formación en ciberseguridad va cobrando un peso específico, que el algunos casos puede ser transversalmente, pero que en otros es todo un eje vertebrador de estudios muy focalizados en ese área, sobre todo en relación con los másteres y las certificaciones.
En muchos campos se aboga por la especialización. En la ciberseguridad, ¿dónde estará la especialización? ¿Qué le recomiendas a tus alumnos, qué camino deben escoger?
Les pregunto dónde les gustaría estar de aquí a cinco años y les comento que hay conceptos que deben tener muy claros y conocer para poder dedicarse de manera profesional a la seguridad, en las rama que ellos escojan después. Les digo que tienen que saber de redes, direccionamiento IP (si no saben qué es una IP no podrán ni atacarse a sí mismos), enrutamiento, configurar una interfaz de red en cualquier sistema operativo, conocer protocolos a nivel de transporte, lo que es un puerto, un servicio… tienen que conocer algo de SQL, de sistemas operativos, programación en la parte de frontend y backend, administración de sistemas, y si tienen conocimientos de programación pues mejor que mejor. Al final, poner todo esto en común puede posibilitar ganarte la vida con la Seguridad Informática.
Les recomiendo también que se animen a escribir artículos relacionados con la Seguridad Informática para intentar que sean publicados en blogs con buena reputación, que investiguen qué congresos de seguridad existen, quiénes van y qué perfiles sociales tienen para que les empiecen a seguir y vean qué cosas investigan y publican, que se animen porque algún día puede que ellos se vean como ponentes en los principales congresos de Seguridad Informática, les digo que la Seguridad Informática no es una herramienta de botón gordo, que eso tiene las piernas muy cortas. Les digo que hagan lo que hagan o estudien lo que estudien, intenten pensar cómo introducir la Seguridad Informática de manera transversal, porque yo lo hago en mis clases y me obligo a investigar para podérselo explicar.
Les digo a qué congresos voy, qué es lo que hago para poder estar allí, o las cosas que me encuentro en una empresa cuando hago Auditorías de Seguridad.
Les animo a que no se autolimiten y que intenten estudiar todo lo que puedan, ya sea en forma de certificaciones profesionales, másteres, o ingeniería, que después es posible que tengan otro tipo de responsabilidades y ahora tienen un recurso muy valioso que es el tiempo y después van a dejar de tenerlo.
Pero sobre todo, les digo que para dedicarse a la Seguridad Informática, el único atajo que existe es leer, practicar y ser constante, esa es la clave. Y que tienen que tener algo diferente al resto de gente como ellos, que responda a la pregunta: ¿qué cosas has realizado que yo pueda ver?
Poco a poco se va reconociendo el trabajo de los Hackers. Por lo menos TECNOideas siempre lo ha reivindicado. Incluso el Diccionario de la RAE ha cambiado su definición, ajustándola a la realidad. ¿Te definirías como Hacker?
Bueno, me alegra ver que en la pregunta lo has escrito con la misma importancia que tienen los nombres propios, la primera letra en mayúscula… Ufff, el término Hacker es una carga muy pesada, y hay que estar a la altura de todo lo que engloba, implica, y el compromiso social que suscita, al menos en sus orígenes.
“Para dedicarse a la Seguridad Informática,
el único atajo que existe es leer, practicar y
ser constante, esa es la clave.”
Considero que una persona no se puede autodefinir como Hacker, es un reconocimiento que te tienes que ganar en función de tus investigaciones y aportes, y tiene que ser la comunidad quién te otorgue ese reconocimiento. Cuando escucho alguna vez que alguien se autodefine como Hacker pienso, con lo complicado que es y todo lo que implica, ¿será consciente de lo que está diciendo?
Tengo una anécdota, la RootedCON de 2019. Fue la primera vez que asistí a Rooted como ponente y recuerdo que allí, antes de empezar la ponencia, me saludaron entre otros Raúl Siles y Mónica Salas (ver la entrevista que les hicimos AQUÍ), José Picó y entre el público estaba Berta Sheila. Recuerdo muchas veces esta anécdota entre mis amigos. Para mí fue muy parecido a cuando un torero recibe la alternativa.
Además, otra cosa en la que siempre me he fijado y me causa mucho respeto, son las personas con las que he compartido cartel en las diferentes CONs. La mayoría de ellas han sido referencias y lo siguen siendo cuando empezaba en el mundo de Seguridad Informática. Recuerdo ir de espectador a RootedCON en 2012 y verlos a todos ellos como ponentes (por eso iba). Imagina lo que significa para mí, unos años más tarde, compartir cartel con buena parte de ellos. A día de hoy me sigue dando un gran respeto.
En tu haber también tienes un par de libros: Hacking web y Raspberry para Hackers. ¿Representan un paso más en tu área docente? ¿Puedes hablarnos de ellos?
Bueno, por lo menos representa un hito muy importante a nivel personal, y cada uno de ellos tienen una historia detrás. El primero, Hacking Web Technologies, fue muy especial. El 25 de marzo de 2015 estuve en Telefónica, en Gran Vía, como jurado de la final nacional del programa Talentum Startups. El jurado lo formábamos Antonio Guzmán, Raimundo Alcázar, Chema Alonso y yo. Recuerdo que al volver a casa, estaba en la estación de Chamartín y recibí un correo de Chema invitándome a participar en el proyecto de la elaboración del libro, imagínate. Los autores del libro fuimos Ricardo Martín, Pablo González, Chema Alonso, Enrique Rando y yo. Para mi fue una oportunidad para escribir sobre temas nuevos que no había tocado hasta el momento, como ZAProxy, inyecciones NoSQL sobre MongoDB, inyecciones de tipo XML y JSON, y algún tema que ya no recuerdo…. Han pasado más de 5 años. Lo que sí que recuerdo fue la sensación que tuve al poder participar en un proyecto como ese con todos esos referentes en el sector.
El segundo libro, Raspberry Pi para Hackers fue diferente, ya sabes, si haces o participas en la elaboración de uno, es más fácil poder participar en la elaboración de más libros, y así fue. Pasadas las navidades de 2017 Pablo González me comentó la idea y me gustó, poder elaborar un libro lo suficientemente práctico que fuese una guía a base de proyectos para que cualquiera con una Raspberry Pi pudiese practicar. Los tres autores somos de Palencia, Héctor Alonso, Pablo Abel Criado y yo, y buenos amigos. Es más, ellos han terminado trabajando en Telefónica en el entorno de ElevenPaths. Recuerdo que nos costó terminar la publicación del libro, pero que fue algo muy bonito que celebramos después.
Tener esas dos publicaciones reconozco que me ha abierto puertas, pero, sobre todo, cuando tú escribes algo, es un ejercicio muy bueno de síntesis que te ayuda a afianzar conceptos. Y, es más, me han pedido varias veces alguna firma y dedicación en diferentes congresos… y siempre llena de satisfacción (risas).
Esperamos que os haya gustado esta primera parte de la entrevista de Amador. Los que queráis empezar estudios de ciberseguridad ya tenéis unas cuantas pautas. ¡Aprovechadlas!
Para todos los que queráis conocer más y mejor a Amador,
os invitamos a visitar este enlace.
- Publicado en Entrevistas, Formación, General, Noticias, Seguridad
¿Archivos en la nube? Sí, pero de forma segura y cumpliendo la RPGD
Las populares marcas del mundo informático no dejan de proponernos que guardemos nuestros archivos en sus servidores. Y poco a poco frases como “Guárdalo en la nube”, “Súbelo a la nube”, “Migra al iCloud” han pasado a formar parte de nuestro lenguaje habitual, casi en el mismo ámbito de “estar en el limbo”. Y del uso particular al empresarial. Uno de los puntos fuertes de la digitalización de las empresas, en general, sean del sector que sean, es el tener una “nube”. ¿Archivos en la nube? Sí, pero de forma segura y cumpliendo la RPGD.
Aunque técnicamente nube o cloud, pueden ser muchas cosas, la gente lo asocia, casi mayoritariamente, a tener sus archivos subidos a un servidor, y puede que compartidos con el equipo o terceros, como gestores, asesores financieros, etc.
Es aquí donde empiezan los problemas de ciberseguridad y protección de datos. Pero hay que saber que no es solamente una cosa nuestra, sino que las plataformas son así, y hay leyes de por medio, que dictan donde y cómo debemos tener nuestros datos empresariales.
El problema aumenta con las diferentes alternativas de nube que hay en el mercado, porque son muchas. Las más conocidas: Google Drive, Microsoft OneDrive, Dropbox, etc. Pero lo que deberíamos preguntarnos antes de sucumbir a la presión de los sistemas informáticos de nuestros ordenadores es: ¿Están encriptadas? ¿Cumplen la RPGD/LOPD? ¿Son fáciles de usar? ¿Tienen medios para poder auditar rápidamente? Y así, muchas más preguntas.
Antes de continuar, os recordamos las siglas: RPGD es el Reglamento Europeo de Protección de Datos y LOPD es la Ley Orgánica de Protección de Datos.
Bien, ya nos hemos formulado esas preguntas y entonces averiguamos que las nubes comunes y de pago no cumplen todo esto. ¡Tenemos que buscar otro tipo de soluciones!
Desde TECNOideas os diremos que hay una muy reconocida, muy recomendada y que además es opensource, o sea de código abierto. El tener código abierto es muy ventajoso, porque significa que cualquier persona puede ver el código del software. Y eso nos lleva a que podemos buscar proveedores de pago o montarnos nuestra propia plataforma. Tomad nota: estamos hablando de Nextcloud. Y si alguno de vosotros, que no nos conoce mucho, puede llegar a pensar que tenemos un interés especial en Nextcloud, os lo sacaremos de la cabeza diciendo que hasta el CCN-Cert lo recomienda. Lo podéis leer en ESTE enlace.
Pero… ¿qué es Nextcloud?
Nextcloud, es una herramienta completa orientada a empresas y particulares, cuya función es actuar como un servidor de almacenamiento en la nube de fotos, datos, archivos… ¡y mucho más! Está desarrollado con el objetivo de ofrecer rentabilidad y productividad a empresas, aunque su uso es completamente útil para particulares. Por ello permite una gran personalización a través de la instalación de Apps o módulos, que permite ampliar funcionalidades más completas, según las necesidades.
Eso es lo que reza en su página web, y realmente es eso y mucho más. Comienza con los archivos en la nube, encriptados, para que nadie pueda verlos, por mucho que entre a la fuerza.
Tiene aplicación de escritorio, “como las mejores”. Esto es algo que nos solicitan muchas empresas. Y también, la comunicación entre el escritorio y el servidor es encriptada. Pero por supuesto, puedes trabajar solo contra navegador.
Y además… muchas otras cosas: calendario, webmail de correo, mensajería instantánea, videoconferencia, y multitud de herramientas más, ya que al ser opensource, o sea, el código abierto a todo el mundo, se pueden realizar añadidos muy interesantes.
Nosotros por ejemplo, siempre usamos, e intentamos convencer (y casi “obligar”) a nuestros clientes, a que usen un gestor de contraseñas, como Keepass o variantes. Pues efectivamente, hay una aplicación para poder integrar este software, y gestionar todas nuestras contraseñas en la suite de Nextcloud, porque ya es eso, una suite.
Los temas de control y auditoría, por ejemplo, son todo facilidades. Un log de actividad, tanto reciente como histórico, ver archivos compartidos y con quien, etc.
Ahora lo de siempre ¿es gratis? Es opensource, eso quiere decir que os lo podéis descargar, y a partir de ahí, depende de lo “manitas informático” que seáis. Si tenéis un mínimo de conocimientos, vosotros mismos podéis instalarlo, configurarlo, mantenerlo y hacerlo funcionar.
Pero si no es vuestro caso, tenéis varias opciones, como contratarlo a un proveedor externo, que hay unos pocos en Europa (tema RPGD) o, mucho más fácil, nos lo podéis pedir a nosotros. TECNOideas os contratará un VPS solo para vuestra empresa, os lo instalaremos y lo pondremos en marcha. ¡Fácil!
Este es un ejemplo más de los servicios añadidos que TECNOideas puede ofreceros. Porque lo mejor en este mundo es adaptarse a las necesidades reales de cada empresa. Y eso significa que podemos recomendaros soluciones concretas para cada necesidad. Por eso cuando os pregunten ¿Archivos en la nube? La respuesta debería ser siempre “Sí, pero de forma segura y cumpliendo la RPGD”.
¡Contactadnos y solicitadnos un presupuesto!
Imagen principal: 200 Degrees en Pixabay
- Publicado en Consultoría, General, Noticias, Productos, Seguridad, Software libre
Los “grandes” no se libran: filtraciones en Telefónica Chile, Apple y Phone House
Aunque no nos cansamos de repetirlo, nos parece adecuado de vez en cuando mostraros que los ciberdelincuentes pueden con todo. Por eso hoy queremos hablaros de tres filtraciones recientes de tres empresas de las consideradas “grandes”, conocidas por todo el mundo. Y para colmo de males una de ellas es Eleven Paths, la compañía de ciberseguridad de Telefónica, que ha sufrido una fuga de información en Chile.
¿Cómo puede ser?, os preguntaréis con razón. No hay respuesta para explicarlo, pero lo cierto es que hace unos días un ciberdelincuente ha puesto a la venta cuatro bases de datos de la división chilena de Elevan Paths y Telefónica. Parece ser que en estas bases de datos había todas las peticiones que se habían realizado desde el SOC de Eleven Paths. Pero no acaba ahí la cosa, porque también había varias VPNs (Red Privada Virtual) de otras compañías, clientes, base de datos bancarios (con números de cuentas corrientes), etc.
Podéis leer la noticia en el medio digital especializado en ciberseguridad Derecho de la red.
Apple también sufre un robo de información y le piden ¡50 millones de dólares!
Otro gigante como Apple también ha sido protagonista en los últimos días porque unos ciberdelincuentes atacaron con un ransomware a la empresa de Taiwan Quanta Computer, que se encarga de fabricar dispositivos de Apple, por lo que tenía mucha información confidencial sobre los productos de la empresa.
Quanta Computer Incorporated es el mayor fabricante de portátiles del mundo y tiene también como clientes otras conocidas marcas, como Hewlett-Packard, Amazon, Fujitsu, Lenovo, Sony y un largo etcétera.
Parece ser que detrás del ataque está el grupo de ciberdelincuentes rusos REvil.
Si queréis saber más de esta red, que también ha hecho de las suyas con cantantes como Madonna o Lady Gaga, podéis ver la información superactualizada (a 25 de abril) en la Wikipedia.
Los ciberdelincuentes ha solicitado un rescate de 50 millones de dólares, la misma cantidad que solicitaron a ACER por un ataque similar hace unas semanas.
Podéis leer la noticia de las filtraciones de Apple que publicaba el diario ABC AQUÍ.
Phone House sufre un ataque pero da la cara y está a la altura
El 11 de abril Phone House sufrió un ciberataque con ransomware que ha podido filtrar datos de 13 millones de clientes y empleados de la cadena. Detrás del ataque se halla el grupo responsable del ransonware Babuk, que pudieron acceder a una copia completa de diez bases de datos de Oracle.
Phone House ha reaccionado con ejemplaridad: ha notificado los hechos a la Agencia Española de Protección de Datos y ha denunciado los hechos ante la Brigada Central de Investigación Tecnológica (BCIT) de la Policía Nacional. Por supuesto, no ha caído en el chantaje y no ha pagado el rescate, tal y como recomiendan los organismos de ciberseguridad.
Pero además de todo esto, que es de obligado cumplimiento, ha publicado una nota en su página web, dirigida a todos sus clientes, con toda la información de lo ocurrido. Podéis leer su comunicado AQUÍ.
También podéis leer la noticia del ataque en el periódico Cinco Días AQUÍ.
Imagen principal: mohamed Hassan en Pixabay
- Publicado en Ataques / Incidencias, General, Noticias
Seguros de ciberriesgo, una herramienta más y no un elemento sustitutivo
Hace unas semanas, el concurso de licitación de un seguro de ciberriesgo de una administración pública de Cataluña, quedo desierto. Ninguna compañía aseguradora se atrevió a hacer una oferta para un seguro que debía cubrir la seguridad en las redes, la privacidad de datos y la responsabilidad civil derivada de la protección de datos. ¿Por qué?
Esta administración no contaba ni tan siquiera con el Esquema Nacional de Seguridad validado por el CCN Cert, así que cuesta poco saber si su nivel es como el que tenía el Sepe o similar. ¿Recordáis nuestro post a raíz de la problemática con la web del Sepe y el proyecto #websegura? Lo podéis leer de nuevo AQUÍ.
Así que la respuesta a la pregunta del por qué quedó desierta esa licitación empieza a estar clara y lo es más aún si añadimos otra pegunta: ¿Cómo una empresa de cobertura de riesgos los va a asumir si la propia entidad no pone suficientes esfuerzos en protegerse?
Algunas veces ya hemos comentado que un seguro es la guinda del pastel, pero no el pastel en sí mismo. Lo primero siempre debe ser una buena política de seguridad, que pasa por una serie de temas: auditoría, revisión de activos en posibles vulnerabilidades, endpoint / antivirus de última generación o monitorización activa de la red, políticas estrictas en materia de seguridad de la información y tecnologías de la información, hacer una mínima formación a todos los trabajadores, etc.
La seguridad en sistemas de gestión de la información no es infalible, de manera que lo que hoy es seguro, mañana puede no serlo porque puede descubrirse una vulnerabilidad. Y con el caso que hacen la mayoría de las empresas proveedoras, son los malos los primeros en aprovechar la más mínima vulnerabilidad. Así que ese 100% nunca esta cubierto, hemos de ser muy conscientes de esto. Pero una buena política de seguridad, en la que se incluyen todos los puntos mencionados anteriormente es absolutamente necesaria para minimizar el riesgo. Si logramos cubrir, por ejemplo un 95%, al añadir un seguro de ciberriesgo, dormiremos mucho más tranquilos. Pero nunca podemos esperar que el seguro, por sí solo, nos vaya a solucionar la vida.
TECNOideas facilita también seguros de ciberriesgo, como complemento a todos los demás servicios que ofrecemos, como auditorías, CISO externo, consultoría, planes anuales, etc. Pero siempre informamos y les hacemos ver a nuestros clientes, o posibles clientes, que no pueden dejarlo todo en manos de un seguro, ya que si no hay acciones preventivas y de mantenimiento, la aseguradora, tras la investigación por un perito, se negará a pagar.
Además hay que tener claro que no todas las empresas necesitan el mismo tipo de seguro, por lo que hay que huir de los seguros convencionales que se ofrecen. Lo suyo es ver la situación de la empresa, las medidas de ciberseguridad que ha adoptado y entonces y solo entonces, buscar el tipo de seguro más adecuado a sus necesidades. Un servicio que difícilmente pueden ofrecer las compañías aseguradoras, porque deben ser los técnicos de ciberseguridad que prestan sus servicios a las empresas, los que actualizan los sistemas, conocen, analizan y proponen soluciones, los que van a saber exactamente el tipo de seguro que necesitan para poner la guinda al pastel.
Imagen principal: Steve Buissinne enPixabay
- Publicado en General, Noticias, Protección de datos, Seguridad
TECNOideas impartirá cursos de ciberseguridad en Chile gracias al acuerdo con CIDES
¿Os animáis a cruzar el charco con nosotros? Hace ya tiempo que tenemos clientes de América Latina y siempre nos animan a que vayamos más allá. Ahora hemos dado este paso gracias a que hemos sellado un acuerdo de colaboración con CIDES, un Organismo Técnico de Capacitación muy reconocido en el país andino.
Estamos francamente contentos de haber llegado a este acuerdo. Así que lo queremos compartir con todos vosotros y explicaros como se ha ido fraguando nuestro desembarco en Chile y cómo hemos contado con el soporte de ACCIÓ.
El punto de arranque fue saber que en Chile, en plena pandemia del coronavirus, hubo un aumento del 40% de ciberdelitos y empezamos a leer noticias relacionadas, como la que publicó el periódico de negocios DIARIO ESTRATEGIA que titulaba “Ransomware se duplica en Chile mientras ciberdelincuentes continúan creando nuevas estrategias”. Decidimos entonces contactar con ACCIÓ, porque entre sus 40 oficinas exteriores se encontraba una en Santiago de Chile.
ACCIÓ es la agencia pública para la competitividad de la empresa catalana y está adscrita al Departamento de Empresa y Conocimiento de la Generalitat de Cataluña. Su objetivo es impulsar la competitividad y el crecimiento del tejido empresarial catalán a través del fomento de la innovación, internacionalización y atracción de inversiones.
Tras varias exitosas reuniones telemáticas empezaron a proponernos contactar con algunas empresas chilenas.
Podéis ver la web de la oficina de Santiago de Chile AQUÍ.
Sabedoras de que TECNOideas también tiene un importante área de formación, nos recomendaron hablar con CIDES.
CIDES CORPOTRAINING es un Organismo Técnico de Capacitación que hace más de 30 años que se dedica a la formación de ejecutivos y profesionales de las más importantes empresas y organizaciones de Chile y América Latina. Las áreas temáticas de su formación alcanzan todo tipo de cursos de capacitación, como finanzas, logística, medio ambiente, negociación y gestión estratégica, liderazgo, gestión de activos, etc.
Así que el entendimiento fue inmediato y el resultado ya es bien visible: TECNOideas va a impartir cuatro cursos de ciberseguridad a los alumnos de CIDES.
Los cursos serán en modalidad online, por lo que también están abiertos al público de España, así que si alguno de vosotros aún no ha accedido a nuestros cursos, ahora tiene una nueva oportunidad de hacerlo.
• Ciberseguridad en el Teletrabajo. 28 de mayo, de 9:00 a 13:00.
• Ciberseguridad Industrial. Del 1 al 4 de junio, de 9:00 a 13:00.
• Forense Informático. Del 21 al 24 de junio, de 9:00 a 13:00.
• Hacking Ético. Del 12 al 15 de julio, de 9:00 a 13:00.
El horario de 9:00 a 13:00 en Chile corresponde al de 15:00 a 19:00 de España.
Las inscripciones a estos cursos ya están abiertas en la web de CIDES. ¡Os esperamos!
Imagen principal: Kurious en Pixabay
- Publicado en Formación, General, Noticias, Sobre TECNOideas
La Comisión Europea anima a denunciar las estafas en Internet
Los fraudes online no dejan de acecharnos, tanto a nivel empresarial como a nivel personal. La Comisión Europea ha querido poner números a estos engaños y ha calculado que hasta un 56% de los ciudadanos adultos ha sufrido un fraude en los últimos dos años. Sin embargo solo uno de cada cinco las denuncia.
Son muchas las acciones delictivas que sufren los ciudadanos europeos, desde falsas promesas de amistad hasta delincuencia financiera. Esta última cuenta con una buena información en la web de la Interpol que podéis ver AQUÍ.
La lista de delitos que ofrece la Comisión es también amplia y recuerda que “un clic puede cambiarlo todo”.
Como algunas de las estafas más comunes cita:
• Premios falsos
• Suplantación de identidad
• Falsos problemas informáticos
• Solicitudes de pago por problemas con la cuenta bancaria
• Promesas diversas a cambio de transferir dinero
La Comisión también recuerda algunas de las cosas que hay que tener en cuenta para evitar estos fraudes. Por ejemplo que antes de comprar online hay que verificar que la web de compra sea realmente segura. Recuerda que hay una legislación europea que ofrece una seguridad para las compras en línea. En este apartado se incluye desde la identidad del vendedor al contenido del pedido y las condiciones de compra, método de pago, etc.
Para minimizar estos ataques y animar a los ciudadanos a denunciar, la Comisión Europea ha creado una campaña de concienciación sobre los riesgos de Internet. Bajo el lema general “Tu futuro. Tu decisión” pretende que los usuarios tengan más información sobre los riesgos de seguridad y sean más conscientes de la importancia de la privacidad de datos.
En realidad esta campaña sobre los riesgos de Internet forma parte de una campaña más global que intenta alertar a los consumidores europeos y darles más información sobre sus problemas. Hay cuatro vídeos sobre educación financiera, seguridad en Internet, protección de datos y consumo sostenible. Los podéis ver AQUÍ.
El tema general de la campaña en redes sociales tiene el siguiente hashtag: #EU4Consumers
La Comisión Europea anima a denunciar las estafas en Internet y posiblemente muchos de vosotros pensaréis que entrar en temas de denuncia y jurídicos es complicado. Sin embargo debéis recordar que TECNOideas también ofrece consultoría legal y además somos peritos judiciales, por lo que os podemos ayudar en todos estos procesos.
Y si queréis seguir los consejos populares, y estáis de acuerdo en que más vale prevenir, TECNOideas puede formaros para que muchos de los errores que comenta la Comisión Europea no los hagáis nunca.
¡Contactadnos y solicitad un presupuesto!
- Publicado en General, Noticias, Protección de datos
La vulnerabilidad en Microsoft Exchange termina con una operación del FBI y se acusa a China
Hace unas semanas Microsoft admitió un ataque a los servidores de Microsoft Exchange en sus versiones de los años 2016 y 2019 y se acusó a un grupo de ciberdelincuentes chinos. Ahora, el FBI ha intervenido por orden judicial y ha conseguido neutralizar y eliminar cientos de shells maliciosos instalados en servidores vulnerables y que podrían haber llegado a acceder a datos y funciones restringidas.
Microsoft ya puso parches para solventar la vulnerabilidad del Exchange y en abril de este año ha publicado actualizaciones de seguridad para vulnerabilidades que se encuentran en Exchange Server 2013, 2016 y 2019.
Sin embargo reconoció que hasta un 8% de las direcciones IP vulnerables aún no se habían actualizado. Debido a esto y a que también podría haber alguna afectación en servidores del Pentágono y de la Casa Blanca, el FBI obtuvo una orden judicial para actuar y se ha centrado en neutralizar los webshells maliciosos. Estos shells atacaban servicios de correo electrónico de diversas empresas.
La actuación del FBI ha consistido en eliminar los webshells introducidos maliciosamente en estos servidores, para así terminar con la vulnerabilidad. La complejidad de esta acción viene dada porque la ruta de estos scripts era única y diferente en cada servidor afectado. Sin embargo el Departamento de Justicia de Estados Unidos ha admitido que la eliminación total no ha sido posible, por lo que recomiendan a los usuarios afectados instalar las actualizaciones que Microsoft ha creado.
Un shell es un intérprete de órdenes o de comandos cuya misión principal es iniciar otros programas. Actúa directamente con la interfaz de usuario, es decir, la forma con que el usuario puede comunicarse con la máquina.
Microsoft apunta a China
Desde el primer momento se sospechó que el ataque provenía de China. Incluso se culpó directamente al grupo Hafnium o Hafnio, un grupo de ciberespionaje que opera desde China pero que utilizan servidores privados virtuales situados en Estados Unidos. Microsoft también ha asegurado que Hafnium tiene vínculos con el gobierno chino, lo que sin duda avivaría la guerra tecnológica entre los dos colosos tecnológicos. Pero el gobierno chino ha negado con insistencia cualquier vinculación con este grupo.
Podéis ver la información de Wikipedia sobre Hafnium AQUÍ.
Podéis ver el comunicado del Departamento de Justicia de Estados Unidos AQUÍ.
Este ataque es una muestra más de que debemos hacer las cosas bien y no ser perezosos en los temas informáticos. Todavía son muchas las empresas y directivos a los que les cuesta realizar actualizaciones, ya sea por pereza, por desconocimientos técnicos o por trabajo, lo que conlleva aplazar en el tiempo una decisión que debería ser inmediata. ¿La solución? Poned vuestra seguridad y la de vuestras empresas en manos profesionales.
TECNOideas 2.0 puede ayudaros en estos temas, porque también somos consultores de seguridad. Podéis consultar nuestros servicios en esta área AQUÍ.
- Publicado en Ataques / Incidencias, General, Noticias
Español 
Català