Ni siquiera los automóviles con más de diez años son ciberseguros
El coche del futuro debe ser ciberseguro. Pero en España tenemos un parque móvil muy envejecido, con una media de trece años y medio. Así las cosas podríamos pensar que todos estos vehículos no pueden ser ciberatacados porque no disponen de dispositivos que lo permitan. Craso error.
Estamos teniendo una verdadera semana negra, con incidentes en Rockstar Games, el neobanco Revolut y Uber. Este gigante de la movilidad, enfrentado al medio mundo que le quiere cortar sus alas, ha sufrido un ciberataque a través de un dispositivo infectado de un proveedor de la empresa. El incidente ha hecho renacer el interés por la situación de la ciberseguridad en automóviles, un tema del que ya nos hemos ocupado en otros artículos, como el titulado “En el 2022, ¿coche eléctrico, híbrido o de gasolina? ¡Coche ciberseguro!” que podéis recordar AQUÍ. O el que publicamos en el pasado mes de febrero titulado “¿Se roban más coches por culpa de la cibertecnología?” que tenéis en este enlace.
La realidad es que los datos del Informe Anual de ANFAC, la Asociación Española de Fabricantes de Automóviles y Camiones, la edad media del parque automovilístico en nuestro país es de 13,5 años, dos más que el conjunto de la Unión Europea. Además los turismos sin ningún tipo de etiqueta medioambiental son el 64,7% del total.
Uno podría pensar que esos automóviles no pueden ser ciberatacados. Pero eso no es así, como constata Eurocybcar, el primer test que mide la ciberseguridad de un vehículo. Su CEO es Azucena Hernández. Los coches con 13 años de vida ya disponen de suficientes elementos que pueden ser vulnerables. Entre ellos destaca el OBD, un dispositivo que utilizan los talleres para conectar sus equipos de diagnosis. No está en un lugar destacado, por lo que pasa muy desapercibido, pero cualquier persona podría conectar un dispositivo que le permitiría tener acceso al control de muchas de las funciones del vehículo.
¡Cuidado con la USB que conectas! Eurocybcar también recuerda que muchos de los modelos fabricados entonces tenían la opción de conectar una llave USB. Y por lo tanto, el peligro es el mismo que cuando conectamos una USB en el ordenador.
Estos dos ejemplo son solo algunos de los que existen. Os invitamos a leer el artículo de HackerCar para encontrar más ejemplos: bluetooth, sistemas de control de la presión de neumáticos, etc. HackerCar es un medio de comunicación especializado en el mundo del motor, la ciberseguridad y las cosas conectadas. Su director es Javier García y el jefe del área de ciberseguridad es Javier Muñoz de la Torre.
HackerCar ha sido creado por el Grupo Cybentia, una consultora de investigación, concienciación y comunicación estratégica de la ciberseguridad y la movilidad.
Imagen principal: DonnaSenzaFiato en Pixabay
- Published in Ataques / Incidencias, General, Medios de comunicación, Noticias, Seguridad
La UE quiere que los dispositivos sean más ciberseguros
Adquirir teléfonos móviles, televisores, cámaras o frigoríficos que sean ciberseguros es lo que pretende la nueva normativa común que está preparando la Unión Europea. Se busca que todos los consumidores estén protegidos al adquirir un dispositivo electrónico. La responsabilidad será de los fabricantes y durará toda la vida útil de los aparatos.
Hace ya tiempo que se trabaja en esta nueva normativa, anunciada en septiembre de 2021. La novedad más interesante de la propuesta la encontramos en que la responsabilidad de los fabricantes no se circunscribirá al momento de la compra, sino que se deberá mantener durante toda la vida de los dispositivos.
La norma forma parte de la Estrategia de Ciberseguridad Europea y antes de que se convierta en ley aun tendrá que superar diversas etapas, que pueden durar años. La maquinaria europea no solo es lenta, sino que también es pesada. Pero no debemos menospreciarla por eso. Muy al contrario, lo que pretende es que los particulares y empresas dispongan de toda la información posible sobre la ciberseguridad de los dispositivos que se adquieran. Y va a tener un efecto importante en la industria, donde el IoT o Internet de las cosas afecta a dispositivos de muy larga vida.
El tema es importante, porque muchos de los ciberataques con ransomware en empresas comienzan precisamente a través de estos dispositivos. Y la Comisión Europea asegura que cada 11 segundos se produce un ataque de ransomware a una organización de cualquier parte del mundo. El coste de ello se eleva a 5,5 billones de euros.
Hace unos pocos meses ya publicamos el artículo “Ciberseguridad a golpe de ley” en el que explicábamos que la Comisión Europea había decidido reglamentar la seguridad de los rúters y dispositivos IoT conectados. Y lo hizo mediante la Ley de Resiliencia Cibernética.
Y ahora la Comisión da un paso más, interesándose por los dispositivos que más afectan al ciudadano de a pie. Podéis leer el documento en la web de la Comisión Europea AQUÍ. Pero si preferís un documento más asequible, os invitamos a enlazar ESTE ARTÍCULO de la web CyberSecurity News, como sabéis una revista líder en cibereguridad.
Imagen de OpenClipart-Vectors en Pixabay
En este contexto legal hay que recordar el interés creciente de la Unión Europea por todos los temas de ciberseguridad. Ya en diciembre de 2020 el portal de administración electrónica del Gobierno publicó un artículo con el título “La nueva Estrategia de Ciberseguridad de la UE”. Y podéis acceder a la resolución del Parlamento Europeo del 10 de junio de 2021 sobre la Estrategia de Ciberseguridad de la UE para la década digital AQUÍ.
También podéis leer un artículo sobre la directiva de los dispositivos inalámbricos publicado este año en la web de la Oficina de Seguridad del Internauta.
Nosotros no cesamos de repetiros que seáis cautos y toméis medidas para evitar en lo posible este tipo de acciones. En este blog de TECNOideas ya publicamos el año pasado el artículo “Ciberseguridad en dispositivos móviles” donde explicábamos el peligro que pueden representar si no actuamos con diligencia.
Y hoy os recordamos tres de las más sencillas y esenciales medidas de seguridad:
- Actualizar los programas. Las actualizaciones, que nos parecen tan pesadas, suelen llevar potentes herramientas de seguridad.
- Proteger las cuentas. No basta con proteger los dispositivos. Proteged vuestras cuentas con contraseñas seguras (más largas y complicadas, cambiarlas a menudo, etc.).
- Haced copias de seguridad de los datos importantes.
- Published in Ataques / Incidencias, General, Normativa, Noticias, Seguridad
El engaño, vía WhatsApp, de cromos gratis para el álbum del Mundial de Catar
Ya son muchos los usuarios que reportan una nueva ciberestafa, esta vez vía WhatsApp.
Se trata de una supuesta campaña que promete el álbum del Mundial de Fútbol de Catar de la conocida marca Panini con 400 cromos gratis.
No es un misterio que los ciberdelincuentes aprovechan hasta el más mínimo descuido para extraer datos de los usuarios de distintas plataformas. Llevan años ejerciendo estas prácticas y lo más preocupante es que, con el paso del tiempo, se van superando y mejorando sus técnicas.
Esta vez las víctimas son los entusiastas del coleccionismo de cromos y la excusa es el Mundial de Fútbol de Catar 2022. Como es tradicional, el grupo italiano Panini, líder mundial en el mercado de las colecciones y de las trading cards, ha puesto en el mercado el álbum de cromos del Mundial de la FIFA. Al contrario de lo que pueda pensarse, los verdaderos frikis del coleccionismo de cromos son adultos y no niños o chavales jóvenes. Esto es lo que ha motivado que los delincuentes hayan ingeniado una estafa vehiculizada a través de WhatsApp.
El engaño consiste enviar a los usuarios una imagen calcada de la oficial de Panini, con el mensaje “accede y gana el álbum con más de 400 cromos”. Si las personas clican en el enlace se encuentran con preguntas sobre el álbum y el editor. Además hay un contador muy visible que muestra la supuesta cantidad de álbumes que quedan a su disposición. Eso genera un sentimiento de urgencia que hace que las victimas rellenan el cuestionario cuanto antes.
Una vez se ha realizado correctamente el cuestionario, los ciberdelincuentes solicitan que la víctima comparta con sus contactos. Con ello el delito crece exponencialmente. Al fin, se redirige a varios sitios que requieren los datos personales de las víctimas. En realidad son webs de apuestas deportivas que funcionan con afiliados, con lo que también ganan comisiones.
Son muchas las personas afectadas por esta estafa que descubrieron los expertos de la empresa Kaspersky, como es sabido, una de las compañías líderes en seguridad informática del mundo.
Los fraudes cibernéticos relacionados con eventos deportivos son una práctica bastante extendida porque aglutinan a un gran número de personas. En noviembre de 2021, Kaspersky ya alertó de que la Copa del Mundo de Fútbol de 2022 era un gancho para difundir estafas. Miles de correos fraudulentos y archivos maliciosos buscaban robar datos de particulares y empresas y,por supuesto, su dinero. Imaginamos que no hace falta deciros que básicamente se trataba de phishing y spam. Podéis leer el comunicado que Kaspersky publicó en su momento sobre este tema AQUÍ.
Como podéis comprobar entre esos primeros fraudes de hace un año hasta el que os contamos hoy ha habido una sofisticación del delito considerable. El engaño, vía WhatsApp, de cromos gratis para el álbum del Mundial de Catar ha sido neutralizado, pero algunos coleccionistas ya han picado.
Os recordamos que la mejor manera de prevenir este tipo de estafas es no confiar en enlaces externos hacia fuentes principales. O facilitar los datos en ocasiones y lugares que no son realmente necesarias… ¡y sin comprobación alguna previa!
Imagen principal: Tayeb MEZAHDIA en Pixabay
- Published in Ataques / Incidencias, General, Noticias, Protección de datos, Redes sociales
Stalkerware y webs de citas: ¿pueden borrarse los datos?
Un reciente estudio revela que hasta un 16% de los españoles cree haber sufrido “espionaje” de su teléfono móvil por parte de su pareja. Esta práctica, conocida con el nombre de stalkerware, ha vuelto a poner sobre la mesa el uso de los datos de las webs de citas como Tinder o Grindr y ha recordado el famoso caso de Ashley Madison.
A veces Hollywood acierta plenamente en el planteamiento de sus guiones. Ya se sabe que a menudo la realidad supera la ficción y eso es aplicable a lo que vamos a comentar hoy. Muchas películas se basan en el hecho de descubrir infidelidades de la pareja y a veces eso ocurre a través de espiar el teléfono móvil. Se conoce con el nombre de stalkerware a las aplicaciones que permiten recopilar información de forma encubierta sobre el propietario de un teléfono. Tan importante está siendo esta práctica que Kaspersky publica desde hace 4 años informes sobre ella. El informe The State of Stalkerware 2021 revela que hasta el 16% de los españoles cree haber sido espiado por su pareja. Por países, España ocupa el sexto puesto en Europa, precedido por Alemania, Italia, Reino Unido, Francia y Polonia.
El tema es muy preocupante, porque detrás de esta práctica suele haber violencia doméstica, ya que el abuso digital suele ir en paralelo a la violencia física. Ni que decir tiene que registrar acciones de los usuarios sin su consentimiento es ilegal. Esta información se encuentra en el informe de Kaspersky que podéis leer AQUÍ.
Todo ello atenta contra la protección de datos y el derecho a la intimidad personal y la propia imagen, que reconoce la Constitución Española. Por todo ello estamos hablando de una ilegalidad manifiesta.
Ashley Madison, sexo, mentiras y ciberataques
El stalkerware y sus consecuencias ha vuelto a poner sobre la mesa el gran negocio de las webs de citas en general y muy especialmente de aplicaciones como Tinder y Grindr. Y es que un estudio realizado por la fundación Mozilla sobre la privacidad de las apps de citas sitúa a ambas entre las peores en protección de datos personales de sus usuarios.
En esta misma línea podemos situar el escándalo de Ashley Madison, una red social de parejas lanzada en 2001 y cuyo eslogan era (y continúa siendo) “La vida es corta. Ten una aventura” (Life is short. Have an affair). El éxito fue inmediato y acumularon más de 32 millones de cuentas. Sin embargo diversas mentiras (se dijo a los usuarios que sus datos había sido borrados, cobraron por ello y encima no era cierto), fallos en la seguridad y otros problemas varios hicieron que en 2015 se produjera un ciberataque y una inmensa filtración de datos que afectó a personalidades del mundo empresarial, político, deportivo, social… Podéis leer el artículo del diario El País de la época titulado “Dimite el responsable de la web de infidelidades Ashley Madison” AQUÍ.
El tema se convirtió en un monumental escándalo, hasta el punto que se realizó una película documental titulada Ashley Madison: Sex, Lies and Cyber Attracks, estrenada en 2017.
Encontraréis mucha información sobre este tema en la red, pero si queréis ver el documental, lo podéis hacer AQUÍ.
La opinión de nuestra experta Estefanía Carrera
La consultora / auditora en gestión de riesgos tecnológicos, Estefanía Carrera, comenta este tema y ofrece unos consejos para evitar estas prácticas tan nocivas.
Más allá de toda la repercusión por el filtrado de datos personales a consecuencia del ciberataque de Ashley Madison, una de las cosas que realmente llama la atención es la práctica de la empresa consistente en cobrar por el borrado de datos personales a los usuarios para posteriormente seguir conservándolos. Eso no solo dio lugar a que los cibercriminales pudieran acceder y publicar una gran cantidad de datos que no debían ya existir en los servidores de la empresa, sino que aquel servicio suponía de facto una autentica estafa en la que se realizaba el desplazamiento patrimonial (el pago) a la empresa mediante el engaño de los usuarios (el supuesto borrado de datos).
En el caso de Tinder pasa algo parecido, ya que no se cobra lo mismo a todos los usuarios, como podéis ver en este artículo de Business Insider. Además existe una versión superior, Tinder Plus. Cuando uno crea su perfil de usuario para registrase en Tinder, le preguntan datos tan sensibles como la edad, raza, género y orientación sexual. Esto podría usarse para crear “precios diferenciales” discriminatorios, tanto en los servicios de citas como en otros.
Por si todo eso fuera poco, Tinder permite a sus usuarios conectarse a través de Facebook, vincular su cuenta con Spotify y añadir su cuenta de Instagram. Quiero recordaros que enlazando Facebook con Tinder, ambas plataformas son capaces de recopilar más datos juntos que por separado. De esta forma el sistema es más vulnerable y puede dar lugar a una catástrofe como la de Ashley Madison.
Ambas situaciones podían haberse fácilmente evitado. En el caso de Ashley Madison en el pasado. Y en el presente con las aplicaciones de citas actuales. Por un lado, mediante un adecuado sistema de cumplimiento normativo que hubiera valorado el riesgo de comisión delictiva del tipo de estafa, y con ello, la implantación de controles que verificaran que efectivamente se prestaban los servicios ofertados por la empresa o se dejara de ofrecer el mismo. Y además, que efectivamente se hubieran implantado procedimientos efectivos de borrado y/o bloqueo de datos.
Por otro lado, resulta obvio que la cultura del cumplimiento normativo o la seguridad no era en modo alguno una preferencia de esta compañía. Tampoco parece serlo la de Tinder. En este punto debe considerarse el amplio alcance que tuvo en su momento, y posiblemente tendrá a futuro, la publicación ilícita de todos los datos personales de los usuarios.
Con usuarios me refiero no solo a aquellos que efectivamente hacían uso intensivo de los servicios de la web, sino incluso de aquellos que simplemente entraron a curiosear y ni siquiera llegaron a realizar ningún acto más allá de la propia web.
Esto mismo pasa con la aplicación de Tinder, donde seguramente habrá personas que se han creado un perfil habiendo enlazado Facebook. Si luego se han arrepentido y han querido eliminar sus datos, comprobarán que se han conservado de igual modo.
Sin embargo, todos estos “curiosos” posiblemente se hayan visto igualmente afectados por la consecuencias personales o sociales que puede tener para su reputación el haber accedido a este tipo de web. Y más si se considera que muchos de los usuarios de Ashley Madison de Estados Unidos pertenecían a diversas zonas muy conservadoras del país. Y es que, como digo, las consecuencias no se quedan en un asunto meramente reputacional del pasado, el cual posiblemente con el cabo del tiempo, y según la persona, pueda superarse, sino que la publicación de datos personales en la Dark Web, puede dar lugar a diversas prácticas por terceras personas ajenas a los delincuentes iniciales (The Impact Team). Éstos pueden utilizar dichos datos para otras prácticas, como la sextorsión, el phishing, y demás prácticas delictivas (usurpación del estado civil, estafa, hurtos/robos…). En definitiva, numerosos riesgos que la empresa nunca valoró ni consideró mitigar.
Por último, me gustaría exponer algunas otras medidas que podrían haber mitigado el riesgo, más allá de las ya comentadas:
• Formación y concienciación. Más del 80% de los incidentes de seguridad se deben a errores humanos.
• Encriptación robusta de datos.
• Niveles y controles de acceso de la información.
• Detectar vulnerabilidades y gestionar parches de seguridad.
• Realización de auditoría de sistemas.
• Anonimización o pseudonimización de datos, dada la sensibilidad de los mismos.
• Configurar un cortafuegos para asegurar las conexiones y prevenir intrusiones en nuestra red.
• Utilizar solo aquellas aplicaciones fiables y autorizadas.
• Proteger el correo electrónico con una potente solución antispam.
• Habilitar un filtrado web para evitar el acceso a sitios maliciosos, descargas de código, sandboxing, etc.
• Contar con un altimalware, como por ejemplo UTM, Appliance (Unified Threat Management): se trata de dispositivos de seguridad que proveen de varias funciones de seguridad a un único producto, es decir, que suelen incluir funciones de antivirus, antispam, firewall, etc.
• Por si todo lo anterior falla… Contar con un sistema de recuperación ante desastres.
- Published in Ataques / Incidencias, Estudios, General, Noticias, Privacidad, Protección de datos, Redes sociales
Las filtraciones de datos no van de vacaciones
Brechas y filtraciones de datos, ataques… los ciberdelincuentes no hacen vacaciones y durante agosto ha habido algunos casos singulares, como los que se han producido en empresas tan populares como Twitter o Signal.
Cada vez hay más empresas que no cierran por vacaciones. Hacer turnos o como máximo cerrar una semana se ha convertido en algo frecuente que viene a contradecir el tradicional “Cerrado por vacaciones”, que venía a significar que la empresa en cuestión “desaparecía” todo agosto. Sin embargo las filtraciones de datos no van de vacaciones. Y los ciberdelincuentes tampoco. Es más, suelen aprovechar que las empresas ralentizan su actividad para tener más opciones de éxito.
Signal es una aplicación de mensajería instantánea y llamadas que usa código abierto y se esfuerza en la privacidad y seguridad. Como se lee en su web, “es un programa de chat simple, potente y seguro”. Usa el cifrado de extremo a extremo “en todos tus mensajes, todas tus llamadas, para siempre”.
A pesar de todo ello ha tenido una brecha de datos debido a un phishing de ingeniería social que ha sufrido la empresa Twilio. Se trata de una compañía que ofrece una plataforma de comunicaciones y de servicios en la nube ubicada en San Francisco. Y resulta que Signal es cliente de Twilio, por lo que el ataque a esta compañía afectó a un par de miles de usuarios de Signal.
Según Signal, la brecha de datos ha afectado “a un porcentaje muy pequeño” de usuarios de la aplicación. Se han puesto en contacto con ellos y les han pedido que vuelvan a registrarse. Podéis ver el comunicado que emitió la empresa AQUÍ. Es un buen ejemplo de reacción e información sobre lo sucedido, ofreciendo soluciones concretas a sus usuarios.
También Twitter
También la popular red social del pajarito sufrió un ciberataque debido a una vulnerabilidad ocurrida un año antes, cuando efectuó una actualización de su código. Twitter solucionó esta vulnerabilidad, pero… alguien había aprovechado el tema para recopilar direcciones de correos electrónicos y teléfonos en la versión de Twitter para Android. Este verano estaba intentando vender esta filtración de datos que alcanzaba a más de cinco millones de usuarios de Twitter.
Restore Privacy, una web que se encarga de crear conciencia sobre privacidad y seguridad online y brindar a todo el mundo herramientas para mantenerse seguros en el entorno digital, dio la voz de alarma y por eso Twitter tuvo conocimiento de la filtración.
Como en el caso anterior, reaccionó correctamente. Notificó a los propietarios de las cuentas afectadas el error y publicó en su blog ESTE ARTÍCULO porque no podían confirmar todas las cuentas que potencialmente podían haberse visto afectadas y así alertar a todos sus usuarios. En el post también explicaban como proteger las cuentas, recomendando a los usuarios que habilitaran la autenticación de dos factores y ofrecían un formulario de contacto.
Está claro que las filtraciones de datos no van de vacaciones. De hecho los ciberdelincuentes están siempre atentos. Podéis comprobarlo si leéis dos artículos publicados en este blog. Uno de ellos habla de filtraciones en Safari y el otro de filtraciones en Telefónica Chile, Apple y Phone House. Lo podéis leer AQUÍ. Lo dicho: ¡nadie se libra!
Imagen principal: James Osborne en Pixabay
- Published in Ataques / Incidencias, General, Noticias, Privacidad, Redes sociales, Seguridad
Buzoneo maldito y llave USB maliciosa
El ser humano es curioso por naturaleza. Pero a veces nos olvidamos que la curiosidad mató al gato. Recibir en el buzón una memoria USB que no hemos pedido nos llevará ineludiblemente a ponerla en nuestro ordenador para ver el contenido. ¡Cuidado! Seguramente albergará un ransomware. Y el falso remitente será un avispado ciberdelincuente.
Esta práctica, que parece sacada de una película de Bond, James Bond, acaba de ser una realidad en el Reino Unido. El tema es como sigue: uno recibe un paquete en su buzón. Al abrirlo hay una supuesta copia nueva y original de Microsoft Office Professional Plus (valorado en unos 400 euros) con una llave USB. Al poner el USB aparece un mensaje en el que se informa que tienes un virus. Y aparece un número de teléfono. Se bloquea el ordenador. El ransomware ha cumplido con su razón de ser. Solo queda llamar al teléfono en cuestión. Se piden los datos y la estafa es un hecho.
Martin Pitman es un experto consultor de la empresa especializada en seguridad cibernética, defensa y sector nuclear Atheniem. Pitman ha examinado el USB y el estuche de Microsoft y ha manifestado su sorpresa por lo bien que han copiado todos los elementos del paquete. Lo que implica que los ciberdelincuentes se han molestado en crear un producto de alta calidad y por lo tanto bastante caro. Pero con solo un puñado de estafados ya les sale a cuenta. Por su parte Microsoft declaró que la estafa era real.
Hay que decir que este método no es nuevo. El buzoneo con trampas varias ya había sido usado hace años por ciberdelincuentes. Esta práctica fue cayendo en desuso, porque los buzones cada vez están más vacíos. Sin embargo, la locura de comprar por internet en plataformas tipo Amazon, ha hecho que los delincuentes la recuperen. Para saber más sobre esta estafa, podéis leer un artículo de Sky News donde explican lo que ha sucedido en Gran Bretaña. Y si lo preferís, en nuestro país ha sido Computer Hoy la que le ha dedicado un artículo que podéis leer AQUÍ.
La curiosidad mata al gato decíamos al inicio. Y es que lo sabemos a ciencia cierta porque lo hemos probado. Hace unos años, esta empresa se dedicó a dejar en las oficinas de algunos de nuestros clientes una memoria USB con el título “Importe nóminas dirección”. La tasa de apertura fue del 98%. Debemos decir que esa actuación nuestra contaba con el beneplácito de la dirección. Fue una prueba para ver el grado de sensibilización de los trabajadores ante memorias desconocidas. Y por supuesto, no había el contenido anunciado.
Una vez más insistimos en la necesidad de usar el sentido común. Pensar unos segundos antes de realizar cualquier acción desconocida como abrir correos electrónicos o sus adjuntos es una práctica que debemos recomendar.
Imagen principal: Esa Riutta en Pixabay
- Published in Ataques / Incidencias, General, Malos hábitos, Noticias, Seguridad
Hoy es el Día Internacional del Hashtag y el Día del Internauta
En el inmenso calendario de conmemoraciones y celebraciones del “dia de…” tenemos marcado en fosforito el 23 de agosto. Es la fecha en que coinciden dos celebraciones que nos afectan a todos. Porque un internauta no es más que una persona que navega por internet, según la definición de la RAE. Y un hashtag nos lleva directamente a redes sociales y más específicamente a Twitter. ¿Quién se cree exento de ambas?
Empecemos por el Día del Internauta, porque conmemora uno de los avances tecnológicos más importantes de la historia de la humanidad. El 23 de agosto de 1991 un servidor web fue accesible a todo el mundo. O lo que es lo mismo, se publicó la primera página web a nivel mundial. Detrás de todo ello se hallaba la Organización Europea para la Investigación Nuclear, el famoso CERN, que tiene su sede en Ginebra. En esta institución, un grupo de físicos encabezado por Tim Berners-Lee, habían creado el código o lenguaje HTML. Poco después tuvieron el primer cliente web, el famoso World Wide Web, que todos conocemos como www y el primer servidor web. Su idea era intercambiar información entre científicos de distintas universidades. Y en poco tiempo se convirtió en un fenómerno de masas.
Según el informe Digital Report 2022 el mundo cuenta en la actualidad con 4.950 millones de internautas. Este informe, que mide las tendencias digitales, redes sociales y mobile, lo elaboran conjuntamente We Are Social, una agencia creativa guiada por el pensamiento social y Hootsuite, líder mundial en gestión de redes sociales.
Si estáis interesados en la historia de la creación de internet, podéis leerla en este artículo de la Wikipedia.
Día Internacional del Hashtag (#)
Por su parte, el inocente y simpático Hashtag, celebra su día el 23 de agosto desde el año 2018, cuando Twitter propuso con éxito que así fuera.
Nos lo recuerda el artículo de la web Dia Internacional De que tenéis AQUÍ. En él nos explican que, aunque todos relacionamos el hashtag con Twitter, no fue esta red su inventor, sino uno de sus usuarios llamado Chris Messina. Y es que Messina tuvo la idea de compartir un mensaje con esta etiqueta, que escribió junto a la palabra barcamp. El éxito fue total, se viralizó rápidamente y dos años después Twitter lo incluyó como una de sus funciones. Es interesante recuperar la entrevista que TreceBits publicó tal día como hoy del año 2019, cuando se cumplían 12 años de la creación del hashtag. Messina comenta que “en Twitter me dijeron que el hashtag era muy complicado y que la gente nunca lo iba a usar”. Sin comentarios…
Podéis leer la entrevista AQUÍ.
El símbolo o etiqueta # representaba anteriormente al numeral en los teclados telefónicos y luego también en el de los ordenadores. Como es sabido, hoy es un símbolo que es utilizado en redes sociales, pero especialmente en Twitter, para identificar mensajes de un tema concreto.
Para finalizar os diremos que el origen etimológico es la unión de la palabra inglesa hash (función, numeral) y un nombre o etiqueta (tag). Y que en el Diccionario de la RAE no se encuentra el anglicismo. La Real Academia recomienda que se sustituya por su equivalente en español: etiqueta. Parece que la vieja denominación almohadilla ha caído en desuso.
Imagen principal: GraphicsSC en Pixabay
- Published in General, Historia, Noticias, Redes sociales, Tecnología
Herramientas de IA para abogados
Poco a poco la Inteligencia Artificial (IA) se va colando en nuestra vida y en nuestro trabajo. Ahora la colaboración de dos empresas ha posibilitado la creación de dos soluciones de software que, mediante la IA, automatizan tareas en despachos de abogados y les hace la vida mucho más fácil.
Si sois de los que visitáis con cierta frecuencia despachos de abogados, quizá habréis advertido en alguno de ellos un cierto caos organizativo. Esto puedo terminar gracias a la Inteligencia Artificial y más concretamente a dos soluciones de software denominadas Smart Tags y Legal Review.
Smart Tags clasifica de forma automática millones de documentos. Además los identifica con etiquetas, lo que hace que los abogados pueda realizar búsquedas de calidad en segundos. Esto que parece tan sencillo es una solución muy importante, ya que la búsqueda y localización de documentación e información ocupa muchas horas de trabajo a lo largo del año.
Legal Review es capaz de realizar un extenso análisis jurídico del documento del cliente y avisa de los temas de más interés para el cliente o para un compañero del bufete.
Las dos herramientas se integran, además, en el gestor documental y de correo electrónico iManage, una plataforma de trabajo muy usado por los abogados.
Detrás de estas dos herramientas está el acuerdo de dos empresas que han sabido actuar como socios estratégicos. Por un lado Lefebvre, una editorial líder en España en información jurídica y práctica para abogados. Y por otro lado la empresa Lexsoft Systems, también empresa líder en España pero en procesos de negocio y soluciones Legaltech para todo el sector de la abogacía.
La Inteligencia Artificial se va imponiendo poco a poco y sus increíbles ventajas llegan a prácticamente todos los niveles y sectores. Si estáis interesados en conocer mejor esta tecnología, que es exactamente y como se usa, os invitamos a leer este artículo publicado en la web del Parlamento Europeo.
También os queremos informar que TECNOideas está preparando, por petición de varios clientes abogados, un software que compila varias herramientas que también ayudan en el día a día de los bufetes de abogados. Entre ellas podemos citar la transcripción de audio y video a texto, búsquedas automatizadas o análisis de datos entre otras.
Imagen principal: Gerd Altmann en Pixabay
- Published in General, Noticias, Productos, Serveis, Sobre TECNOideas, Tecnología
¡Esos malditos algoritmos!
Hay palabras que a duras penas sabemos lo que significan, pero están en boca de todos. Una de las más usadas con el desarrollo de la tecnología es “algoritmo”. Y es que gobiernan totalmente nuestra vida sin que ni siquera seamos conscientes de ello. Pero… ¿qué pasa con los sistemas algorítimicos que utiliza la Administración? ¿Todo lo que averiguan de nosotros es legal? ¿Cumplen la ley?
La Real Academia Española, en su primera acepción, define algoritmo como “Conjunto ordenado y finito de operaciones que permite hallar la solución a un problema”.
Aunque la definición, lógicamente, es correcta, en los sistemas informáticos las cosas no son tan sencillas. Basta con intentar saber como actúa y posiciona el famoso “algoritmo de Google” para que nos demos cuenta de lo complejo que puede llegar a ser. En la actualidad los algoritmos gobiernan las redes sociales, los portales informáticos, las Apps, los smartphones, las puntuaciones de los videojuegos o el averigüar los asientos libres de un avión o tren al comprar un billete. Y claro, por todo ello, hay muchas familias de algoritmos. Tenéis mucha información sobre lo que es un algoritmo en la Wikipedia.
Los algoritmos de la Administración
Suele decirse que los datos son el petróleo del siglo XXI. Además de Google, seguramente quien maneja más datos de ciudadanos es la Administración. Quizá por ello y para que el manejo de esos datos fuera el adecuado, se creó el Esquema Nacional de Seguridad. A pesar de ello, pocas administraciones se han certificado, pero en la actualidad se exige a las empresas que trabajen con datos de la Administración, como podéis ver en este artículo.
No suele hablarse mucho de ello, pero las diferentes administraciones también usan, lógicamente, algoritmos. Y la Fundación Éticas, que se ocupa de la defensa de los derechos digitales, a través de su Observatorio de Algoritmos con Impacto Social (OASI), se ha ocupado de investigar los sistemas algorítmicos utilizados por distintos organismos públicos.
Así descubrimos VioGén, un sistema que detecta el riesgo de reincidencia de agresores en casos de violencia de género; Riscanvi, usado en Cataluña para calcular la probabilidad que tiene un preso en libertad de voler a reincidir o VERIPOL, que se encarga de detectar denuncias falsas.
Pero hay muchos más, que afectan a todos los ciudadanos, como es el caso de la identificación facial o el de los servicios sociales, que clasifican a las personas según sus necesidades o urgencias.
También hemos conocido que el chatbox de la Seguridad Social es ISSA, y parece que deja bastante que desear. BOSCO regula el bono social. En el ámbito laboral, los que están en búsqueda de empleo deben saber que existe el algoritmo SEND@.
Podéis leer un artículo sobre todos estos ejemplos en la web ZonaMovilidad.es un portal especializado en tecnología móvil del que ya hemos hablado en otras ocasiones. Y en la zona del OASI de la web de l a Fundación Éticas tenéis un listado de un centenar de algoritmos de diversos países con la explicación de su uso y por parte de quien.
¿Están fuera de la ley los algoritmos que usa la Administración?
Lógicamente hemos querido ir un poco más allá para ver si todos estos algoritmos cumplen la ley. Y para ello le hemos pedido a Inma Barrufet, abogada especializada en Tecnologias de la Información y la Comunicación y colaboradora habitual de TECNOideas que nos de su opinión. A continuación podeís leer sus comentarios.
La Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público regula las relaciones entre los propios órganos de la Administración pública. Entiéndase por organismo público cualquier institución que esté participada por capital público, desde un Ayuntamiento, pasando por organismos públicos hasta sociedades participadas de capital público. Dicha normativa regula la interoperabilidad y cooperación entre las propias administraciones públicas, sometidas a los siguientes principios:
- Lealtad institucional.
- Adecuación al orden de distribución de competencias establecido en la Constitución y en los Estatutos de Autonomía y en la normativa del régimen local.
- Colaboración: deber de actuar con el resto de Administraciones públicas para el logro de fines comunes.
- Cooperación: cuando dos o más Administraciones publicas, asumen compromisos en aras de una acción común.
- Coordinación: cuando una Administración pública y, singularmente, la Administración General del Estado, tiene la obligación de garantizar la coherencia de las actuaciones de las diferentes Administraciones públicas afectadas por una misma materia para la consecución de un resultado común, cuando así lo prevé la Constitución y el resto del ordenamiento jurídico.
- Eficiencia en la gestión de los recursos públicos, compartiendo el uso de recursos comunes, salvo que no resulte posible o se justifique en términos de su mejor aprovechamiento.
- Responsabilidad de cada Administración pública en el cumplimiento de sus obligaciones y compromisos.
- Garantía e igualdad en el ejercicio de los derechos de todos los ciudadanos en sus relaciones con las diferentes Administraciones.
- Solidaridad interterritorial de acuerdo con la Constitución.
Las Administraciones públicas tienen ingentes masas de datos de sus administrados y necesitan darles un uso práctico para obtener el máximo de información del contribuyente. Para ello, se han hecho acopio de la tecnología de inteligencia artificial, el big data y algoritmos muy tecnificados que entran en tromba en la privacidad de las personas y la confidencialidad de las comunicaciones. Hemos de tener en cuenta que en un mundo global como el actual, los datos solo deben usarse para fines legítimos y con expreso consentimiento de su propietario.
Los chatbots del internet de las cosas (IoT) automatizan las respuestas a las preguntas de los ciudadanos. Con un sencillo software reconocen a los individuos por sus rasgos personales, se canalizan los estados de ánimo, la ansiedad, la alegría, la depresión… Pasando por el reconocimiento facial y biométrico de las personas, en nombre de la más estricta seguridad de los ciudadanos.
Con el fin de mejorar las comunicaciones electrónicas, la seguridad de los pagos y la supuesta integridad de todo este mapa tecnológico se deja a un lado y se olvidan plenamente los derechos individuales de las personas, lo más preciado que se tiene como ser humano: la privacidad, el derecho a la intimidad y al secreto de las comunicaciones, conceptos consagrados en nuestra Constitución.
Si como sociedad estamos dispuestos a sacrificar la intimidad personal por una supuesta seguridad legal y física, entonces adelante. Pero en el momento que tal sacrificio solo se canaliza por el beneficio de unos pocos en detrimento del propio individuo, es cuando se debería hacer un parón en el camino para poner negro sobre blanco el detrimento de la más estricta intimidad personal por un falso avance social.
Existe un gran conflicto entre la recopilación de datos masivos y la privacidad. Por un lado se quiere y se necesita avanzar para no impedir el desarrollo tecnológico, que dicho sea de paso, nos aporta muchos beneficios. Pero por otro lado, con menos datos existe menos pérdida de privacidad. Es necesario investigar más profundamente salvaguardas legales que anonimicen datos estructurados que protejan al ciudadano.
Como habréis observado, no nos queda otra que exclamar ¡Esos malditos algoritmos! Pero el margen de maniobra que nos queda es prácticamente cero, cuando la Administración obliga a que cantidad de trámites se hagan online. En consecuencia todos nuestros datos pasan a estar en una nube sideral, muy dificilmente accesible a la ciudadanía. Hemos de ser conscientes que muchas decisiones importantes de nuestra vida de administrados dependen de unos algoritmos que deciden lo que las distintas Administraciones públicas van a hacer con nuestros trámites y peticiones.
Imagen principal: Gerd Altmann en Pixabay
- Published in Consultoría, Estudios, General, Normativa, Noticias, Privacidad, Seguridad, Tecnología
Mañana empieza IntelCon, el congreso online gratuito de ciberinteligencia
Un año más nos citamos con IntelCon, el importante evento que organiza la Comunidad de Ciberinteligencia Ginseg. Este año tiene lugar del 26 al 29 de julio y las inscripciones todavía están abiertas. Para hablarnos de todo ello charlamos con Iván Portillo, analista sénior de ciberinteligencia y docente y con Wiktor Nykiel, ingeniero de ciberseguridad, emprendedor y docente. Ambos son miembros destacados de la Comunidad Ginseg.
Antes de nada, si alguno de vosotros todavía no sabe lo que es IntelCon, os invitamos a ver las ponencias y talleres de las ediciones anteriores en su canal de Youtube.
Como seguro que os va a interesar, no debéis esperar más y registraros ya en el congreso de este año AQUÍ.
Y para tener toda la información, os presentamos la entrevista conjunta que mantuvimos con Iván Portillo y con Wiktor Nykiel.
IntelCon sigue siendo un congreso abierto a la participación. Ya en abril abristeis el CFP o Call for Papers, como os anunciamos en este mismo blog. ¿Cómo ha ido este año? ¿Habéis recibido muchas propuestas? ¿Estáis contentos con el nivel de las mismas?
En este punto quiero destacar la gran participación y excelente involucración de todos los ponentes. Volvemos a los dos tracks en simultáneo con una agenda llena de sorpresas y casi sin hueco para los propios descansos. Como novedad este año, aparte de las magníficas ponencias y talleres, hemos incluido mesas redondas donde expertos nos van a dar una visión desde perspectivas que se complementan, estad atentos que se abrirán los horizontes de la percepción que se puede tener sobre la disciplina.
¿Cómo hacéis la selección?
Tenemos un proceso de revisión que incluye valorar el contenido de la ponencia, la novedad o aporte a la comunidad de la temática propuesta y las referencias del ponente y participación en otros congresos. Con estos parámetros elaboramos una lista de las ponencias y talleres que consideramos aptas y confirmamos a los ponentes su participación. En la medida de lo posible involucramos a la propia comunidad Ginseg para que valore las ponencias más interesantes y se puedan priorizar los temas de más interés para todos los participantes.
¿Podéis destacarnos algunos temas que aparezcan como más interesantes o novedosos en esta edición? ¿Y algún ponente destacado?
Respondiendo a las temáticas interesantes, tenemos muchas, nos va a tocar mirar los videos después del congreso para poder revisar los que nos hayamos perdido por estar en paralelo. En lo que más se focaliza es en temáticas de OSINT, Cyber Threat Intelligence, análisis y obtención, como desinformación y relación con el conflicto de Ucrania o los tan importantes aspectos legales de las ciberamenazas.
“El objetivo de IntelCon es difundir conocimiento de calidad
en la materia de ciberinteligencia, cibervigilancia, inteligencia de amenazas,
OSINT, SOCMINT, VirtualHUMINT, DeepWeb, respuesta a incidentes,
técnicas de análisis, herramientas, ciberamenazas…”
Como ponentes destacados, no seríamos capaces de mencionar a uno o dos, porque todos tienen un valor increíble para nosotros, por la dedicación y amplio conocimiento que comparten en esta edición del congreso de ciberinteligencia.
Si tuviéramos que mencionar, destacaríamos la amplia lista, ya que gracias a ellos podemos repetir edición con más fuerza que nunca, así que gracias a Agustin Bignú, Ana Isabel Corral, Ana Páramo, Antonio Javier Maza, Antonio Maldonado, Arnaldo Andrés Sierra, Belén Delgado Larroy, Carlos Caballero, Carlos Cilleruelo, Carlos Diaz, Carlos Seisdedos, Casimiro Nevado, Claudia Castillo, David Moreno, Eduvigis Ortiz, Edwin Javier Peñuela, Eugenia Hernández, Eva Moya, Francisco Carcaño, Gemma Martínez, Gonzalo Terciado, Javier Junquera, Javier Rodríguez, Javier Valencia, Jezer Ferreira, Joan Martínez, Joan Soriano, Jon Flaherty, Jorge Coronado, Jorge Martín, José Dugarte, Josep Albors, Juan Carlos Izquierdo Lara, Juan Maciel, Julián Gutiérrez, Lennart Barke, Lorien Domenech, Malachi Cecil, Manuel Huerta, Marc Rivero, Matías Grondona, Miguel Ángel Liébanas, Mikel Rufian, Nounou Mbeiri, Pablo González, Pablo López, Pablo San Emeterio, Pino Penilla, Roberto González, Salvador Gamero, Susana Lorenzo, Tabatha Torres, Vicente Aguilera y, bueno, claro, también estamos nosotros, ja, ja, ja… Debemos dar gracias a todos por hacer posible esta tercera edición.
de la Comunidad Ginseg.
También ofrecéis talleres y otras muchas cosas. ¿Podéis explicarnos un poco más detalladamente todo el contenido? Seguro que interesa a nuestra audiencia.
Aquí según hemos comentado, se añade además de las ponencias y talleres, mesas redondas que esperamos que aporten una perspectiva diferente sobre la materia, involucrando la vista que requeriría el nivel más estratégico o ejecutivo y que esperaría de un producto de inteligencia así como la perspectiva desde el punto de vista empresarial mostrando las capacidades de empresas especialistas en el sector como la perspectiva del CISO que podría ser uno de los referentes de estos servicios.
Ya hemos hablado en varias ocasiones de la Comunidad Ginseg, organizadora del congreso. ¿Nos recordáis los puntos básicos de vuestros objetivos?
Claro. Los tres pilares de Ginseg son:
1. Colaboración en comunidad hispanohablante.
2. Formación, difusión y concienciación
3. Investigaciones y desarrollo de herramientas.
Para el primer punto, lo que hacemos es crear esta comunidad y hacerla participe de todas las iniciativas. Cada día suben las cifras de seguidores en nuestros perfiles de redes sociales y en el grupo de Telegram (https://t.me/ginseg), pero lo realmente importante es el valor humano detrás de cada una de las personas que suma para que todos podamos crecer.
Referente al segundo punto, e IntelCon es un ejemplo claro, nuestro objetivo es difundir conocimiento de calidad en la materia de ciberinteligencia, cibervigilancia, inteligencia de amenazas, OSINT, SOCMINT, VirtualHUMINT, DeepWeb, respuesta a incidentes, técnicas de análisis, herramientas, ciberamenazas entra otras.
Y en cuanto al tercero, dejaremos un punto de misterio que ampliaremos en futuras entrevistas…
La formación es uno de los pilares de la Comunidad. ¿Cómo veis los cambios que se van produciendo en la Formación Profesional, en temas como ciberseguridad, con la implicación de las empresas, etc.?
Nos parece muy positivo toda la formación, tanto reglada como no reglada, que está saliendo en torno a la ciberseguridad. Esto denota que cada vez tendremos más profesionales preparados para la demanda que se hace cada vez más evidente. En torno a ciberinteligencia, siendo una disciplina más de nicho, queda bastante trabajo por delante, pero se va viendo progreso a buen ritmo.
Desde la perspectiva de la empresa poner en práctica lo aprendido en todas estas formaciones en un entorno real es un requerido, que al final nos formamos para ser mejores profesionales, realizar nuestro trabajo de una forma más eficiente con las herramientas y metodología adecuada, incrementando nuestro valor y a la vez nuestro salario por destacar de esta forma en el mercado laboral.
Resumiendo, la formación de calidad es clave para incrementar nuestro valor y con ello subir nuestras horquillas salariales, que al final tenemos que comer y darnos nuestros caprichos.
Hablando de empresas, también en el Congreso IntelCon hay empresas implicadas. ¿Cómo conseguís mantener vuestros principios e independencia con la necesidad de tener empresas que colaboren y patrocinen el congreso?
Las empresas que participan nos ayudan a seguir impulsando y difundiendo nuestro cometido de compartir contenidos de calidad a través de marketing y anuncios patrocinados en medios especializados y redes sociales. Con esto conseguimos aún más personas que descubren la disciplina y se enamoran de la misma. Ya lo hemos vivido con varias personas que agradecen la iniciativa, afirmándonos que gracias a IntelCon, han profundizado más en la temática para finalmente reenfocar su carrera profesional y empezar en este sector. Al final estos comentarios nos ayudan a seguir impulsando esta iniciativa y a seguir haciendo el nexo entre estas empresas que buscan talento y los participantes del congreso.
TECNoideas apoya un año más este congreso. ¿Cómo valoráis nuestra aportación?
Contar con el apoyo de empresas como la vuestra, desde la primera edición y año tras año, primero nos enorgullece y segundo nos ayuda a seguir promoviendo y mejorando en el desarrollo de este punto de obligado encuentro para todos los interesados en ciberinteligencia, cibervigilancia y OSINT. Estamos enormemente agradecidos y esperamos seguir contando con vosotros en futuras ediciones.
“Cruzamos los dedos para que el uso del Kit Digital sea más utilizado en la parte ciber,
ya que se da un aporte de valor innegable que puede que de entrada se valore menos,
pero cualquier incidente serio o secuestro de datos para pedir un rescate a una pyme
puede acabar en su bancarrota o cese de actividad.”
Parece que ahora la ciberseguridad está en boca de todo el mundo. ¿Cuál es vuestra opinión del Kit Digital? ¿Vale tal y como se plantea o se queda corto?
Respecto a este punto, nos parece una excelente iniciativa apostar y apoyar el entorno digital, así a las pymes y autónomos participantes se les da un soplo de aire fresco para poder mejorar sus capacidades digitales. Creemos que para poder valorar la eficacia de este Kit Digital habría que revisar las estadísticas de uso de estos fondos, si se destinan más a hacer marketing, SEO, webs, CRM o si realmente estas cuestiones ya las tienen cubiertas las empresas que piden esta ayuda y se centran en mejorar capacidades, incluyendo la ciberseguridad como una de ellas. Aquí creemos que se está haciendo más foco y publicidad en lo primero y puede que la ciberseguridad no sea de un interés inmediato para un autónomo o una pequeña empresa si no se ha hecho la concienciación adecuada y que prefieran usar los fondos para hacerse la web y posicionarla en buscadores para intentar vender más. Cruzamos los dedos para que el uso de este Kit Digital sea más utilizado en la parte ciber, ya que se da un aporte de valor innegable que puede que de entrada se valore menos, pero cualquier incidente serio o secuestro de datos cifrando los mismos para pedir un rescate a una pyme puede acabar en su bancarrota o cese de actividad y eso, evidentemente, no se lo deseamos a nadie.
Hasta aquí esta entrevista que esperamos os haya gustado, pero sobre todo os haya despertado las ganas de seguir estos 4 días de congreso.
Todas las jornadas son de tarde y hay dos salas, así que tendréis que escoger.
Tenéis todo el programa, los ponentes, agenda, horarios, etc. AQUÍ.
Pero no olvidéis que todos los temas los tendréis después del congreso en las diferentes plataformas y canales de la comunidad, como esta plataforma de formación y recursos.
Català 
Español