14 julio 2014

SPDY, ¿héroe o villano?

SPDY, para aquellos que aún no lo conozcan, es un nuevo protocolo desarrollado principalmente por Google que incorpora una mejora en la eficiencia de las comunicaciones y que, además, lleva asociado el cifrado por defecto de todas ellas.

De hecho, este cifrado por defecto es el que hace que merezca la pena analizar en detalle las consecuencias que tendría su implementación desde una perspectiva de seguridad, puesto que SPDY ha servido como base para los primeros borradores del futuro HTTP 2.0.

En primer lugar, y basándonos en el análisis realizado por Jorge Dávila en su artículo titulado "La Internet opaca de SPDY" publicado en el número 110 de la revista SIC (junio 2014), habría que destacar que este nuevo protocolo ya se encuentra implementado en la mayoría de los navegadores (Chrome, Safari, Firefox, Opera...) e incluso por algunos servidores (pocos, pero significativos, como Google Search, Facebook o Twitter). No obstante, mientras se realiza la transición de todos los servidores a SPDY, será necesario contactar con unos servidores que ejerzan de traductores entre HTTP 1.1 y HTTP 2.0 (habiendo sido Google [lógicamente], la primera organización en poner este tipo de servidores proxy a disposición de los usuarios).

Por tanto, para analizar las consecuencias de SPDY tendremos que tener en cuenta dos momentos muy distintos:
  • la fase transitoria durante la que unos servidores proxy nuevos conocerán todos los detalles de navegación de los usuarios, puesto que deben realizar la traducción de HTTP 2.0 a HTTP 1.1.
  • la fase final en la que todas las comunicaciones de los usuarios con los servidores a los que se conectan se encontrarán cifradas, utilizando el conocido protocolo TLS (y las cabeceras comprimidas con el algoritmo DEFLATE).


Fase transitoria

El hecho diferencial de esta fase se deriva de la existencia de unos nuevos jugadores en la arquitectura de Internet, unos servidores proxy, que a modo de pasarela canalizan todas las comunicaciones de los usuarios y que tienen conocimiento de las comunicaciones realizadas a diferencia del resto de actores (para los que las comunicaciones están cifradas) al encargarse de traducir entre versiones de protocolos HTTP.

Esta circunstancia supone, claramente, un riesgo para la privacidad de las comunicaciones, en tanto en cuanto, todas las comunicaciones llegarán en claro a dichas pasarelas que se encargarán de adaptarlo a SPDY. No obstante, no deberíamos presuponer que es una situación peor que la actual, en la que todo el mundo puede escuchar las comunicaciones de una persona. En la transición, solo serán las pasarelas, y cualquiera puede implementar pasarelas. Por ejemplo, si los ISPs crearan estas pasarelas, estaríamos en una situación idéntica a la actual. Si utilizamos otras pasarelas, entonces tendremos que "confiar" en los operadores de esas pasarelas.

No obstante, ¿podremos confiar en estos nuevos actores? ¿se les podrá imponer algún tipo de requisito a sus operadores, tipo "que no puedan utilizar la información que gestionan para otros fines distintos a los propios de la pasarela"? En ese caso, ¿quién debería hacerlo y quién podría tutelar que se cumplen?

Finalmente, esta nueva actividad no deja de ser también una oportunidad para aquellos que provean servicios con confianza, ¿por qué no crear "pasarelas" robustas y confiables en el marco de la UE que sean utilizadas por los usuarios que deseen utilizar pasarelas "de confianza"?


Fase final

En este momento, la situación mejorará claramente, puesto que todas las comunicaciones serán secretas y se podrá asegurar la privacidad de las mismas, puesto que se cifrarán punto a punto (siempre quedarán riesgos como ataques man-in-the-middle, o vulneración de los extremos de las comunicaciones - troyanos, etc.) pero al menos, todo lo relativo a las escuchas pasivas se verá reducido, siendo necesario vulnerar un extremo o la connivencia del mismo para escuchar la comunicación.

Por tanto, en general, la confianza debería mejorar puesto que los usuarios podremos estar tranquilos de que las comunicaciones que mantenemos son secretas y solo se conocen por nosotros y por aquellos con los que nos comunicamos y que no pueden ser "espiadas" de manera masiva (tipo NSA).


Reflexión final

Hablando con algunos colegas sobre el protocolo y las motivaciones de Google para impulsar SDPY creo que tengo un punto de vista quizás, un poco diferente.

En mi opinión, está claro que Google está intentando escapar del efecto negativo que el "caso NSA" está teniendo sobre la confianza de los usuarios en los servicios de Internet, asegurándose de que nadie (ni siquiera la propia Google) podrá acceder al contenido de las comunicaciones (para que tampoco el gobierno americano pueda usar la Patrioct Act) y en este sentido creo que, claramente, tendrá un efecto sobre las prácticas habituales de seguridad nacional: A partir de SPDY no se podrán hacer "escuchas pasivas" de las comunicaciones y será necesario que cuando el Estado quiera escuchar mis comunicaciones tenga que "atacar" mis dispositivos de comunicación (smartphone, tablet, PC..) - algo que, por otra parte, no les es ajeno, o eso me parece. Evidentemente esto es mucho menos "eficiente", pero también es mucho menos "intrusivo" y supondrá una acción mucho más orientada de las "escuchas" a objetivos específicos (lo que será más fácil de justificar).

¿Todavía no me sigues en twitter.com/antonio_ramosga?

12 enero 2014

Tendencias en ciberseguridad (I): Protección "pegada" a los datos

(Artículo publicado originalmente en mi página de Medium)

Desde los principios de la informática, el paradigma de la protección ha sido crear un perímetro robusto alrededor de los equipos (física y lógicamente).

Pero, en los últimos años, la emergencia de la computación en la nube y del bring your own device — BYOD ha hecho que el perímetro desaparezca. Nunca más paredes, puertas, cortafuegos, sistemas securizados... serán suficientes para mantener la confidencialidad, la integridad y la disponibilidad de nuestra información.

Hoy en día la información fluye por diferentes tipos de dispositivos, proveedores de servicios y redes de comunicaciones, todos ellos controlados y asegurados por terceras partes, completamente independientes de nosotros (de nuestras organizaciones).

Por esta razón, vamos a ver un cambio de este tipo de medidas de protección a otras "pegadas" a la propia información, con el objetivo de mantenerla segura, con independencia de los dispositivos que se usen para leerla, los servicios utilizados para almacenarla y gestionarla o las redes por las que se intercambia.

De hecho, no es ciencia ficción, tecnologías como prot-on (una start-up española) va justo en esta dirección... y vamos a ver más ejemplos en el futuro próximo... ¿conoces otros ejemplos?

¿Todavía no me sigues en twitter.com/antonio_ramosga?

18 diciembre 2013

Estrategia de Ciberseguridad Nacional 2013 (yII)

(Este artículo se publicó originalmente en n+1 tiende a infinito, el blog de n+1 Intelligence & Research)


Tras un par de semanas en el que hemos podido digerir con un poco de sosiego la Estrategia de Ciberseguridad Nacional (ECSN) [pdf] y tras mis comentarios iniciales (aquí), creo que ya podemos analizarla con un poco más de detalle.

No creo que aporte mucho repasando los objetivos y las líneas estratégicas, puesto que eso ya ha sido más que comentado, por lo que me centraré en resaltar los aspectos que para mí han sido más positivos y los que me han gustado menos. Todo ello, partiendo de la consideración de que soy de la opinión de que contando con una Estrategia de Seguridad Nacional (ESN) que ya trata la ciberseguridad, esta estrategia no era estrictamente necesaria, aunque entiendo que existen motivadores que hayan llevado a su desarrollo.

En primer lugar, si hubiera que hacer un resumen general, yo diría que es un documento que trata todo lo que tiene que tratar. Es decir, si a cualquier experto le hubieran preguntado qué incluiría, los temas que habrían salido son los que podemos encontrar en el documento: coordinación, mejora instrumentos legales, mejora de capacidades, capacitación y concienciación, impulso al I+D+i... por tanto, empezamos bien.

De hecho, incluye el que para mí es el aspecto básico, la cultura de seguridad [puesto que con una adecuada cultura, el resto de cosas vendrán solas] y también, el enfoque más adecuado para la ciberseguridad del siglo XXI, enfocarnos en detectar y responder [porque prevenir por dónde nos va a llegar el ataque es imposible].

No obstante, esto no trata de hacer un ejercicio de seguidismo, sino de dar mi opinión del documento y he de decir que he encontrado algunas cosas dignas de comentar:
  • Yo soy muy cuadriculado y que no cuadren las 6 líneas estratégicas de la ESN con la ECSN, me produce cierto desasosiego.
  • También se puede percibir una cierta relación entre las líneas de acción con ciertos actores. Por ejemplo, apostaría a que la línea de actuación primera ha sido propuesta por el Departamento de Seguridad Nacional, la segunda por el Centro Criptológico Nacional, la tercera por el Centro Nacional para la Protección de Infraestructuras Críticas, la cuarta por la Secretaría de Seguridad del Ministerio de Interior, la quina por INTECO... cuando en mi opinión necesitábamos algo más coral.
    Digamos que en lugar de hacer un traje a medida de los actores, me hubiera gustado un perfilado de la realidad al que hubieran tenido que amoldarse los actores. [wishful thinking]
  • En línea con lo anterior, hecho en falta un análisis detallado del escenario de riesgo al que nos enfrentamos. Dicho diagnóstico debería haber constituido el punto de partida para la estrategia, pero en lo que figura en el documento vemos que hay cierta confusión entre amenazas, actores, tipos de ataques...
  • Por último, no me parecen elegantes algunos deslices para que iniciativas actuales aparezcan en el documento de estrategia, como el apoyo a las certificaciones de producto... ¿acaso no debería importarnos más las certificaciones de los servicios? Los productos al fin y al cabo, son todos, por definición, inseguros (con mayor o menos probabilidad todos tendrán vulnerabilidades), ¿no?
Para finalizar, me gustaría añadir algunos aspectos que, a mi juicio, aún figurando en el presente documento deberían haber contado con un mayor respaldo / apoyo / protagonismo:
  1. Los mecanismos de detección y respuesta. Estos fundamentos de la seguridad ágil constituyen el paradigma actual de la seguridad; aunque los mecanismos de defensa siguen siendo útiles, hemos de reconocer que la posibilidad del incidente no la vamos a poder eliminar y tenemos que estar preparados para detectarlo a la mayor brevedad posible y estar preparados para responder con mecanismos ágiles para minimizar el impacto.
  2. Los incentivos para fomentar la adopción de mecanismos de seguridad. Aunque se reconoce la importancia de contar con un entorno ciber seguro, no se mencionan los mecanismos que se van a adoptar para conseguirlo, excepto desde el ámbito normativo y el cumplimiento no es la vía para conseguirlo... Quizás se podría haber iniciado el camino de explorar otras vías (incentivos fiscales, de contratación, ¿mercado de derecho de entornos inseguros?...)
  3. Consideración de la ciberseguridad como materia escolar. Está clara la apuesta de la estrategia por la capacitación, pero quizás una apuesta más clara, habría sido de agradecer; en el sentido de haberse "mojado" más.
  4. Apoyo decidido a la industria nacional de ciberseguridad. No estoy hablando de mecanismos proteccionistas, ni favoritismos, ni nada por el estilo, pero todos los países de nuestro entorno lo están haciendo (EE.UU., Francia, Alemania, Inglaterra...) y eso esta generando que dependamos de terceros para nuestra seguridad. La ciberseguridad puede ser un polo de atracción para talento, inversiones y empresas, por lo tanto, dada nuestra actual situación, podríamos haber aprovechado esta oportunidad.
Pido disculpas por la longitud de esta entrada, pero dada la importancia del documento, creo que merecía la pena.

¿Cuál es vuestra opinión al respecto?

Puedes seguirme en twitter.com/antonio_ramosga

04 diciembre 2013

Estrategia Española de Ciberseguridad (I)

Parece que, por fin, llega la Estrategia Española de Ciberseguridad. Al margen de lo que algunos podamos pensar sobre la verdadera necesidad de un documento como éste (al fin y al cabo ya tenemos una Estrategia de Seguridad Nacional que identifica las ciberamenazas como fundamentales, ¿no? - ver algunas reflexiones previas aquí y aquí), no creo que podamos esperar muchas novedades respecto al borrador que circuló hace ya muchos meses...

Quizás lo único que cabría esperar serían dos cosas y me temo que ninguna de las dos se ha resuelto:

  • ¿Quién asume las riendas de la ciberseguridad en España? (en definitiva, ¿cual es el modelo de gobierno de la ciberseguridad?)
  • ¿Qué presupuesto nos vamos a dotar para luchar contra las ciberamenazas?
Pues, o mucho me equivoco, o para las dos nos vamos a quedar como estábamos.

Para la primera, va a ser una responsabilidad rotativa anual entre los cuatro que se peleaban por ser el líder en este tema (CNI, INTECO, CNPCI y Defensa), es decir, que nadie, en un año, va a poder hacer nada. En el fondo, me parece muy triste que por no dar nadie su brazo a torcer, nos encontremos en esta situación; creo que dice muy poco por los actores implicados... ¿se imaginan una empresa con un Director General que cambie cada año?

Para la segunda, no hay ninguna dotación presupuestaria, por lo que estamos abocados a seguir tirando con lo que podamos arañar de aquí y de allá... en definitiva que, en España, vamos a volver a hacer el paripé: Vamos a publicar el documento, nos vamos a reunir "cienes y cienes" de veces y ya está... mientras tantos los chinos forman un ejército, el Reino Unido contrata (busca) a 4.000 expertos y de EE.UU., para qué vamos a hablar. Me temo que, al final, vamos a estar fuera de juego y lo peor es que ni siquiera vamos a poder alegar que es que no nos habíamos enterado, porque estando sobre aviso, no hemos sabido jugar la pelota...

Siento decirlo así, porque conozco a varias personas que están trabajando muy duro en este tema y, no les envidio por el reto que tienen por delante, con tan pocos mimbres...

¿De verdad nos vamos a sentir más (ciber)seguros a partir de ahora? ¿A alguien le parece una apuesta seria por la ciberseguridad?

Sinceramente, para haber llegado aquí, podíamos haber sacado este documento al día siguiente de la Estrategia Nacional...

Puedes seguirme en twitter.com/antonio_ramosga

07 agosto 2013

La (in)seguridad y los Estados Financieros

(Este artículo se publicó originalmente en n+1 tiende a infinito, el blog de n+1 Intelligence & Research)

En la última edición de la rooted tuve la oportunidad de participar con una ponencia titulada: "¿Y si la seguridad afectara al valor contable de la empresa?" en la que se exploraba la posibilidad de que los fallos de seguridad tuvieran reflejo en la contabilidad de las empresas, mediante una reducción del valor de su activo.

Lógicamente se trataba de un ejercicio teórico y así se comentó durante el turno de preguntas al final de la charla, pero no es menos cierto que hay más ejemplos de metodologías que están tratando de acercar la seguridad a los estados financieros. En particular, esta entrada la vamos a dedicar a comentar brevemente el Modelo de Valor de Seguridad de la Información desarrollado por Ed Ferrara (Analista Principal de Forrester en materia de riesgo y seguridad).

Básicamente el modelo trata de aportar una herramienta a los CISOs para que puedan determinar dónde invertir tomando como punto de partida la valoración de los ingresos generados por la información gestionada por la organización. Aunque no vemos muy novedoso este enfoque (al fin y al cabo, es lo que hacemos en cualquier análisis de riesgos: valorar la información y las TIC por los procesos de negocio que posibilitan), sí que nos resulta interesante la forma en la que trata la seguridad de la información como cualquier otra función de negocio y como aplica los conceptos contables a la valoración de la seguridad (depreciación, métodos de valoración, activos, pasivos, etc.). En particular respecto a los pasivos, más que considerar la información"tóxica", cuya valoración siempre resultará compleja, una estimación del pasivo como una depreciación del activo si no se encuentra bien protegido nos parece más directa y más fiable.

Lógicamente quedaría por determinar la manera en que se calcula ese nivel de inseguridad:
  • ¿Qué mecanismo de valoración se utiliza? Debe ser objetivo, verificable y consistente a lo largo del tiempo.
  • ¿En qué medida se deprecia el valor del activo? ¿Lineal, exponencial...?
  • ¿Cuál es el rol del CISO, del CFO, del auditor interno y/o externo?
  • ¿Qué ocurre con los zero days?
En definitiva, muchas incógnitas que habría que establecer / consensuar, pero que, en mi opinión, proporcionarían un esquema que, al igual que el método propuesto por Ed Ferrara, proporcionaría una guía ligada al negocio para que los CISOs pudieran tomar decisiones sobre dónde invertir en seguridad y que las áreas de negocio valoraran mejor las inversiones en seguridad.

Ya veremos cómo evoluciona la relación entre la seguridad de la información y la contabilidad de las organizaciones...

... ¿todavía no me sigues en twitter.com/antonio_ramosga?


NOTA: Para analizar en detalle el modelo propuesto por Forrester, puedes consultar los siguientes documentos:
  • "Determine the Business Value of an Effective Security Program - Information Security Economics 101", http://goo.gl/caSFOl
  • "Determine the Value of Information Security Assets and Liabilities - Information Security Economics 102", http://goo.gl/SJ1DxC

29 julio 2013

Contratos para la Nube

El objetivo de esta entrada es comentar el paper que con ese título (en realidad su título completo es "Contracts for Clouds: Comparison and Analysis of the Terms and Conditions of Cloud Computing Services") fue publicado por la Queen Mary University of London allá por septiembre de 2010 como primer documento de su Proyecto Nube Legal.

El documento cobra actualidad en estos momentos por el llamamiento para expertos de la Comisión Europea para que se identifiquen los términos contractuales justos y seguros para impulsar la computación en la nube (ver nota de prensa).

Como ya saben los que me siguen porque lo he comentado anteriormente, en mi opinión, este es uno de los aspectos más relevantes para conseguir el esperado despegue de los servicios en la nube que tan prometedor parece a todo el mundo. Cuando los usuarios son preguntados por la razón por la que no usan más los servicios de este tipo, una de las razones que siempre aducen es la falta de confianza, las dudas sobre el proveedor. Y en mi opinión, la razón principal por la que esto ocurre [además de por la falta de transparencia de los operadores sobre las medidas de seguridad que implementan] es porque no existen unas cláusulas contractuales obligatorias para este tipo de servicios.

La forma más fácil de verlo es comparando los servicios en la nube (en particular, los servicios de infraestructura) con el suministro de electricidad. Al fin y al cabo, lo que el usuario quieres es algo muy sencillo: corriente continua a 220V o, en nuestro caso, x capacidad de procesamiento. Ya sé que el mercado eléctrico es un mercado regulado, etc., etc. y que el mercado de servicios de infraestructura no lo es [¿quizás debería serlo?], pero creo que la tranquilidad que da al usuario saber que las cláusulas generales han sido "aprobadas" por la Administración, facilitaría (sin lugar a dudas) que los usuarios accedieran a dicho tipo de servicios.

Ahora bien, ¿qué cláusulas establecer? Aquí es dónde cobra interés el estudio mencionado al principio de esta entrada que, a pesar de tener casi 3 años, muestra unas conclusiones muy útiles (y actuales):
  • Identifica 20 elementos relevantes en los términos y condiciones analizados (contrato, ley aplicable, jurisdicción, arbitraje, uso aceptable...)
  • Pone de manifiesto la disparidad en la notificación a los usuarios cuando se modifican las condiciones (46 notificados versus 23 no-notificados).
  • Existen aspectos que son diametralmente tratados por los proveedores respondiendo al hecho de si se trata de servicios de pago o gratuitos, pero también dependiendo de si están gobernados por las leyes de EE.UU. o de países europeos, o del tipo de servicio (especialmente SaaS vs IaaS [de hecho, yo no veo que esto se pueda aplicar al SaaS, pero si a los IaaS]).
  • Otros aspectos son prácticamente comunes a todos como, por ejemplo, los de uso aceptable de los servicios o la limitación de responsabilidad de los consumidores.
  • Finalmente, también hay aspectos que están regulados con una gran variación como, por ejemplo, los de actuación en caso de solicitud de revelación de información del cliente o los derechos de propiedad sobre los datos de los consumidores.
También identifica el trabajo una serie de tendencias en todos los términos y condiciones que han analizado, entre los que me gustaría destacar que:
  • Los proveedores tienden a utilizar como jurisdicción el área en la que se encuentran (esto supone una clara desventaja para los europeos).
  • La mayoría de proveedores tienden a limitar y restringir su responsabilidad.
  • Muy pocos proveedores incluyen información sobre la forma en la que protegen la privacidad y la protección de los datos.
En resumen, un reto apasionante para los que se apunten al call-for-experts de la Comisión Europea...

... ¿todavía no me sigues en twitter.com/antonio_ramosga?

19 julio 2013

Plan de Confianza en el ámbito digital 2013

Hace unos días se publicó el "Plan de Confianza en el ámbito digital 2013" (PDF) como parte de los planes que desarrollan la Agenda Digital para España (ver algún análisis aquí) y me ha parecido interesante echarle un vistazo detallado.

En primer lugar, el Plan define tres objetivos principales:
  1. Experiencia digital segura. Fundamentalmente, hace referencia a medidas para fomentar la comprensión de los riesgos existentes en el mundo digital.
  2. Capacidades para la resiliencia En este caso, estaríamos tratando de acciones orientadas a mejorar las capacidades de "prevención, detección y respuesta" (que para mi, ya sabéis que tiene una relación directa con el enfoque ágil de la seguridad).
  3. Oportunidad para la industria y los profesionales. Básicamente, se trata de acciones para fomentar que industria, sector académico y profesionales aprovechen las oportunidades que ofrece la confianza digital.
Y para lograr, dichos objetivos, proponer 25 acciones en torno a cinco Ejes, cada una de ellas con un presupuesto asignado para el período 2013-2015:

Eje I. Experiencia digital segura5,809,83%
1Plan de sensibilización INTECO1,602,71%
2Plataforma de colaboración público-privada para incrementar la cofianza digital0,601,02%
3Piloto en itinerarios educativos0,601,02%
4Plan de menores en Internet1,001,69%
5Punto neutro de gestión de incidentes2,003,39%
Eje II. Oportunidad para la industria TIC4,106,95%
6Comité Técnico de coordinación0,000,00%
7Soporte especializado a las estructuras de evaluación de proyectos0,200,34%
8Refuerzo de la capacidad de detección de demanda temprana0,901,53%
9Polo tecnológico de seguridad 2,504,24%
10Foro Nacional para la Confianza Digital0,500,85%
Eje III. Nuevo contexto regulatorio0,601,02%
11Adopción de la nueva regulación europea0,000,00%
12Esquema de gestión de incidentes de seguridad0,000,00%
13Esquema de indicadores para la confianza digital0,601,02%
Eje IV. Capacidades para la resiliencia: INTECO 2.042,3071,69%
14Transformación organizativa y refuerzo36,0061,02%
15Nueva plataforma tecnológica de alerta temprana y servicios de vigilancia tecnológica3,505,93%
16Nuevos canales de comunicación para la confianza digital0,901,53%
17Cooperación con la seguridad pública y la protección de las infraestructuras críticas1,502,54%
18Colaboración en ciberejercicios0,400,68%
Eje V. Programa de excelencia en ciberseguridad6,2010,51%
19Equipo de investigación avanzada2,003,39%
20Jornadas "Espacio de Ciberseguridad"0,200,34%
21Formación especializada en ciberseguridad0,601,02%
22Máster ciberseguridad INTECO0,801,36%
23Programa de becas INTECO0,601,02%
24Evento de ciberseguridad1,001,69%
25Estudio de la viabilidad de una red de centros de excelencia en ciberseguridad1,001,69%

Algunos temas que saltan a la vista:
  • La medida que más presupuesto tiene asignado (un poco más de un 61% del total) es la destinada a la transformación organizativa y a reforzar INTECO, haciendo que el eje cuarto (capacidades para la resiliencia) sea el eje más dotado presupuestariamente.
  • Si agrupamos todas las partidas en las que se hace mención expresa a INTECO, nos vamos a un presupuesto de 49,9 millones de € (un 84,58% del total). No cabe duda de que INTECO se ha convertido en la herramienta fundamental del Ministerio, en la piedra angular, para la mejora de la confianza digital.
El gráfico siguiente resume las principales asignaciones presupuestarias a las medidas:

Y el reparto según ejes, quedaría como sigue:


Falta por saber el reparto anual de los 59 millones de € (2,80% del presupuesto de todos los planes que supera los 2.106 millones de €), pero quizás sea lo de menos... Por cierto, el reparto presupuestario del resto de planes, también es ilustrativo:
  • Plan de telecomunicaciones y redes ultrarrápidas - 200 millones de € (9,50% del total)
  • TIC en PYME y comercio electrónico - 163,7 millones de € (7,77% del total)
  • Impulso de la economía digital y los contenidos digitales - 94,43 millones de € (4,48% del total)
  • Internacionalización de empresas tecnológicas - 134,2 millones de € (6,37% del total)
  • Desarrollo e innovación del sector TIC - 1.314 millones de € (62,39% del total)
  • Inclusión y empleabilidad digital - 140,7 millones de € (6,68% del total)
Es decir, resulta que el plan de confianza es la cenicienta de los planes... 

... ¿todavía no me sigues en twitter.com/antonio_ramosga?