25 octubre 2016

Opinión sobre el ataque a DYN

(Cross-posted con el blog de ISACA Madrid, aquí)

El incidente de estos días con el servicio DNS de DYN ha puesto de manifiesto algunos aspectos relacionados con la ciberseguridad que deberían hacernos reflexionar sobre cómo la tecnología evoluciona y las garantías que incorpora. En esta ocasión lo “único” que ha pasado es que no se ha podido acceder a algunos servicios que, al fin y al cabo, no eran esenciales (redes sociales, periódicos online, servicios de streaming, etc.) pero podría haber sido diferente, qué duda cabe.
Pero, como decíamos, al margen de los detalles del incidente, lo que ha pasado y cómo ha pasado, hay algunos elementos de fondo sobre los que es necesario reflexionar:
  • Se lleva mucho tiempo hablando de la seguridad en entornos industriales y, por extensión, sobre los dispositivos del denominado “Internet de las Cosas” (o IoT por sus siglas en inglés, Internet of Things). Pero parece ser que, inútilmente, porque este incidente ha puesto de manifiesto que siguen siendo dispositivos que cuentan con medidas de seguridad muy básicas y que, desde luego, no se han diseñado teniendo en cuenta la seguridad como uno de sus elementos fundamentales. Es contradictorio observar como los equipos industriales, en general, son diseñados, fabricados e instalados observando altísimas medidas de seguridad (resistencia a presiones, temperaturas, etc., funcionamiento en modo de fallo, apagado seguro…) pero el software de estos mismos equipos no pasa por un proceso equivalente de securización (recomendamos la lectura del documento publicado por ISACA hace unos meses titulado: Sistemas de Control Industrial: Un Manual Básico para el Resto de Nosotros).
    Evidentemente, se impone la evolución tecnológica y probar todos los avances con la mayor rapidez posible, pero este incidente debería enseñarnos que estos dispositivos pueden llegar a ser tremendamente peligrosos: (i) porque interactúan con los elementos físicos de nuestro alrededor pudiendo llegar a causar daños físicos; o (ii) su elevado volumen hace que puedan llegar a ser utilizados, como ha sido el caso, como canal para lanzar ataques a terceros objetivos. Por este motivo, tanto usuarios como Administraciones deberían ser consciente de estos riesgos para utilizar / permitir solo aquellos dispositivos que les ofrezcan garantías de seguridad suficientes. De lo contrario, estaremos contribuyendo a crear una sociedad tecnológicamente insegura que puede afectar al deseo de la sociedad de utilizar dicha tecnología.
  • Por otra parte, la utilización masiva de dispositivos incluye aquellos que están instalados en grandes corporaciones, pero también en pequeñas empresas e incluso en los hogares. Queremos resaltar este aspecto, puesto que, en muchas ocasiones, cuando las Administraciones piensan en establecer medidas de ciberseguridad existe la tendencia a dirigirlas únicamente a grandes corporaciones (véase sino la recién aprobada Directiva NIS que excluye explícitamente a las PYME) cuando éstas pueden ser utilizadas, tanto como un fin en sí mismo (puesto que por ser pequeñas no significa que no gestionen recursos importantes) como un medio para acceder a terceros (ya que pueden estar prestando servicios a grandes compañías o incluso a la Administración).
    Desde un punto de vista de gestión del riesgo, es evidente que el impacto de las PYME puede que sea indirecto pero, desde luego, no es despreciable y su impacto puede llegar a ser muy significativo, por lo que no parece un criterio relevante para decidir si una empresa tiene que tomar medidas de ciberseguridad o no. Por ejemplo, en el ámbito de la seguridad vial, el elemento discriminador es la posesión de vehículos industriales: Aquellas empresas que utilicen vehículos industriales han de someterlos a las verificaciones de seguridad oportunas cada 6 meses, ¿por qué no un enfoque parecido en el ámbito de la ciberseguridad? (recomendamos la lectura del documento de ISACA, “Transformando la Ciberseguridad con COBIT5” para un análisis más detallado de estos temas).
  • Y, abundando en algo que introducíamos en el punto anterior, este incidente también debería hacernos pensar con mucho más detalle sobre la dependencia que tienen los servicios con terceros (en este caso del proveedor del servicio de DNS). A estas alturas de la evolución de Internet, todo está conectado. Nuestras comunicaciones dependen de una compañía de telecomunicaciones, posiblemente un tercero nos ayuda a mantener y administrar nuestros sistemas, los desarrollos son ejecutados por terceros, incluso puedo que algún proceso corporativo sea ejecutado por un experto externo, etc… en definitiva, nuestra seguridad es tan fuerte como el más débil de todos ellos, o dicho de otra forma, no sirve de nada que nuestra parte sea más robusta si no lo son el resto de piezas del engranaje. Por este motivo, es necesario trabajar sobre la ciberseguridad en la cadena de suministro como una de las piezas clave en los próximos años para asegurar la ciberresiliencia de nuestra organización (para una mayor información, de nuevo recomendamos la lectura de un documento de ISACA, “La Empresa Ciberresiliente: Lo que el Consejo de Administración Tiene que Preguntar”).
  • Finalmente, algo que ya sabíamos, pero que vuelve a ponerse de manifiesto es que no hay enemigo pequeño. La asimetría de los ataques de ciberseguridad es más que evidente y el enemigo, por muy pequeño que sea, puede infligir un daño de dimensiones incalculables… por este motivo, cuando en los análisis de riesgos tratamos de estimar las probabilidades de los escenarios no debemos perder de vista que hay impactos que por muy improbables que nos parezcan no podemos obviarlos simplemente por su baja probabilidad, porque los cisnes negros existen, así que, trabajemos todos los escenarios y en ciberseguridad, sobre todo, los de baja probabilidad y alto impacto porque nadie quiere que su sistema desaparezca porque no consideró que algo altamente improbable acabe sucediendo. Quizás en nuestro mapa de riesgos pueda aparecer como ‘despreciable’ pero debemos tener un plan B por si acaba sucediendo… la continuidad de la organización nos lo acabará agradeciendo; máxime cuando muchos de estos ataques no responden, en absoluto, a hechos aleatorios, sino a ataques intencionados y completamente dirigidos. Esto hace que debamos replantearnos esa “baja” probabilidad, con el tiempo la persistencia, malicia y complejidad de los ataques terminan elevando notablemente su probabilidad (también para saber más sobre este tema, recomendamos la lectura de un par de documentos de ISACA: “Advanced Persistent Threats: How to Manage the Risk to your Business” y “Responding to Targeted Cyberattacks”).
En definitiva, veamos el lado positivo de las cosas y pensemos que este incidente servirá para mejorar nuestra preparación y capacidad de respuesta a este tipo de ataques en el futuro.

...¿Todavía no me sigues en twitter.com/antonio_ramosga?

09 septiembre 2016

Lectura: Los 88 Peldaños del Éxito

Tuve la fortuna de conocer a Anxo Pérez (@anxo) en el evento anual de ISACA Madrid de hace un par de años en el que participó como ponente de cierre. La verdad es que fue una manera inmejorable de terminar las jornadas porque todos nos marchamos de allí con un subidón importante, gracias a la alegría, simpatía y optimismo de Anxo.

Como ya he comentado alguna vez, ISACA Madrid suele obsequiar a los asistentes a sus eventos con un libro que, por algún motivo, consideran interesante y en aquella ocasión fueron "Los 88 peldaños del éxito" y, desde entonces, tenía pendiente su lectura [ya me vale, ya lo sé...]. De hecho es curioso que justo ayer leí que Anxo anunciaba que lanzaba un nuevo libro, justo ahora que acabo de leerme los 88 peldaños... :)


No voy a descubrir nada comentando el carisma de Anxo, así que voy a limitarme a hacer una de las cosas que pide a sus lectores, compartir lo que más no ha gustado de su libro... no voy a desvelar mi máxima de oro, pero casi...
"Los que menos se arriesgan, fracasan poco, pero son los que menos triunfan"
"Lo importante no es la visibilidad ni el reconocimiento que recibas, sino la realización que tú sientas. Los pozos de petróleo son, por encimad de todo, pozos de realización, y lo importante no es cuánto te hacen sentir valorado por fuera, sino cuánto te hacen sentir realizado por dentro"
"Inicia tu bola de nieve no tanto para construir tu huella, sino para inspirar a otros a que construyan la suya"
"Igual que de vez en cuando un piano necesita ser afinado, las ruedas del coche alineadas, o los músculos estirados, tu ego necesita un chequeo que lo mantenga cerca de la realidad y le permita sensibilizarse con otros y a ti apreciar qué tienes, por qué lo tienes y si realmente lo valoras. Ésa es la magia del voluntariado"
"[...] en el éxito se vuela con la autoconfianza unida a la humildad"
"Una persona arrogante busca brillar. Una persona humilde busca crecer"
"El reto de la vida consiste en saber emparejar el tiempo y las prioridades" // [...] la clave del éxito está en hallar el equilibrio, no dando a todos los ingredientes la misma importancia, sino a cada uno la que le corresponde"
"Valora tu tiempo y tu vida. Regálaselo sólo a quienes realmente se lo merezcan. Cada vez que regalas una hora a alguien que no la valora, se la estás negando a alguien que podría merecerla mucho más"
"La intensidad estira el tiempo" // "[...] si lo que vives en un año lo repites durante diez años más, te sobraban los últimos nueve" [esta mención va dedicada además a un viejo amigo: Bienvenido]
"La falta de claridad y concreción en las cosas que hacemos es uno de los principales enemigos del éxito. No definir de antemano por qué estamos en esta reunión, qué nos reportará exactamente este acuerdo [...] significa dejarnos distraer por la manzana en lugar de buscar la pepita"
"En el mundo existen dos grupos, los que hacen que el mundo sea un poco mejor y los que hacen que el mundo sea un poco peor. Este segundo es el grupo de los grises, gente que está descontenta con su vida y que lo único que está dispuesta a hacer para cambiar ese hecho no es mejorar su entorno, sino empeorar el tuyo." [Es triste, pero yo he experimentado este tipo de relaciones]
"El éxito no está en minimizar las pérdidas sino en maximizar las ganancias" [seguro que Goldratt estaría de acuerdo ;) ]
"Mantenerte fiel a tu idea significa perder dinero por honrar una visión y perder en el corto plazo para ganar en el largo, que es aquél en el que el éxito reside"

...¿todavía no me sigues en twitter.com/antonio_ramosga?

02 septiembre 2016

Lectura: Democracia Electrónica

Llega el turno de este ensayo que he de agradecer a uno de los autores, mi buen amigo, José Antonio Rubio que es coautor, junto a David Ríos Insua (@davidrinsua), Jesús María Ríos Aliaga y José Manuel Vera. La verdad es que tenía ganas de leerlo, porque era algo sobre lo que había escrito ya en el blog.

Ahora puedo decir, después de leer el ensayo que me puedo definir como tecnoutópico ya que veo "la red como un medio para propagar globalmente los ideales [...] del ágora ateniense, por medio de la discusión y la votación electrónica. Cualquier decisión podría votarse y podríamos vivir en un sistema de referendo permanente, sugiriendo, incluso, la posibilidad de obviar el sistema de democracia representativa."

El origen es la propia Internet y su eliminación de los costes de transacción, ya que "nuestras actuales institucionales democráticas proceden [...] de tiempos en los que las comunicaciones y los transportes eran difíciles y costosos en tiempo y dinero. Los políticos han desarrollado, en consecuencia, un estilo en el que, salvo en tiempos de campaña, mantienen escasa relación con los ciudadanos".

Los autores son más partidarios de otra visión, más orientada a que la tecnología apoye a la democracia participativa, pero no coincido en los puntos fuertes que le ven:

  • No veo que la democracia participativa sea un sistema en el que el diálogo y la discusión provoquen cambios de opinión ni una supuesta racionalidad; los partidarios de un partido se encuentran igual de convencidos de los que participan en un chat.
  • Y si hablamos de simplismo... Los mensajes de los partidos no es que sean el colmo de la complejidad.
  • El argumento de que solo el 10% de los ciudadanos se involucra tampoco es válido, porque, quizás no se involucran porque perciben/percibimos que involucrarse tampoco sirve para mucho, puesto que son los partidos los que deciden.
  • Es cierto que el ciudadano medio no tiene tiempo para dedicarle a analizar información, pero tampoco creo que los políticos estén más formados "por definición" para opinar sobre cuestiones cada vez más complejas.
  • Y sobre el asunto de las responsabilidades por las decisiones en la democracia directa, creo que tampoco los políticos se "responsabilizen" por sus decisiones.
Pero no quiero que penséis que no me ha gustado... :) simplemente que soy un poco más utópico. El ensayo es una pasada, es un compendio alucinante en poco más de 150 páginas de todo lo escrito en esta materia, con referencias a casos reales, herramientas y otros ensayos, estudios y teoría. Una obra imprescindible para todos los interesados en la democracia electrónica.

¡Gracias, José Antonio, por el regalo!

... ¿todavía no me sigues en twitter.com/antonio_ramosga?

25 agosto 2016

Lectura: Hay Vida Después de la Crisis

En mi proceso veraniego de leer todo lo que tengo atrasado, le ha tocado el turno a este libro que fue, además un regalo de mi madre... así que ya me vale no haberlo leído hasta ahora por dos motivos: uno, porque era un regalo y, dos, porque es el típico estudio que hay que leerlo en el momento, porque está muy contextualizado a 2013 y el momento económico que se vivía entonces. Aunque leído con un poco de perspectiva también tiene su puntillo para ver si lo que el autor dice se ha cumplido o no.

La obra es del economista, José Carlos Díez (@josecdiez) que también escribe en su propio blog y participa como ponente en múltiples eventos.

Como economista [de formación aunque no de profesión] me ha servido este repaso por la situación española sus causas y sus similitudes con otras crisis pasadas para desoxidar algunos conceptos y para darme cuenta como se pierde aquello que no usas: algunos párrafos he tenido que leerlos un par de veces para asimilar bien lo que el autor decía [más por demérito mío que por falta de claridad del autor, puesto que hay que reconocer lo claro que explica los conceptos para no-economistas].

Aunque no soy, para nada, un experto y sesudo economista, he de reconocer que la visión que aporta el autor coincide en gran medida con mis sensaciones sobre esta crisis que hemos pasado / estamos pasando. Sobre todo, coincido con él en algo que dice claramente casi al final de su análisis, "...si quieres crear opinión y tener credibilidad, tu relato debe ser realista. Y desde el realismo más crudo y el análisis de los problemas sin anestesia, el mensaje es que hay vida después de la crisis. La clave es minimizar el daño y las cicatrices que quedan."

Como mi intención no es ahora hacer una reflexión sobre la crisis española-europea [más que nada porque no estoy capacitado], voy a compartir algunas de las reflexiones y visiones del autor [mucho más preparado que yo] que más me han gustado:

En primer lugar, también creo que el sector financiero está en el origen de la crisis y que la especulación se nos ha ido de las manos, la función del sistema bancario está clara y tiene que dedicarse a eso; el resto es otra cosa que, claro que puede existir pero sin afectar al ahorro.
"El sistema bancario gestiona los depósitos y el ahorro de las familias y tiene un aval del Estado para funcionar. En consecuencia, todas sus operaciones deben hacer con luz y taquígrafos. Hay que volver a poner los bueyes delante del carro y priorizar la canalización del ahorro a los proyectos de inversión de empresas de la economía real. Para ello, tendremos que reformar el sistema financiero internacional y hacerlo más pequeño y menos complejo..."
Supongo que al venir de una familia de trabajadores, como la del autor del libro, es difícil no coincidir en que un reparto más equitativo de la riqueza favorece a todas las partes y a la economía en general [esto me recuerdo que tengo pendiente de leer todavía a Piketty].
"Otro ciclo que debe revertirse es la pérdida de peso de los salarios en la distribución de la renta mundial, así como la diferencia entre las rentas altas y las bajas, que actualmente se ha situado en máximos históricos. [...] no se trata de subsidiar, sino de garantizar la igualdad de oportunidades."
Para cualquiera que haya seguido la actualidad estos últimos años y, si además, como es mi caso, te ha tocado "lidiar" con las instituciones europeas está claro que Europa tiene que dar un paso al frente si quiere ser un jugador en el siglo XXI... por ahora, parafraseando a Ángel Garó (@AngelGaro_), "somos los juegos reunidos Geyper"... 
"En Europa, [...] la Gran Recesión ha puesto al descubierto las debilidades institucionales de la unión económica." // "Los europeos tenemos que avanzar en el desarrollo institucional para acabar con los temores de ruptura del euro. La unión bancaria y la creación de un supervisor único ya están en marcha. Faltaría la creación de un fondo de garantía de depósitos único y una entidad liquidadora europea de bancos en crisis."
Y claro, como no iba a salir el tema del austericidio... y es que, al igual que pasa en cualquier empresa [aunque tampoco es algo que se aplique con la generalidad esperada], lo más importante es aumentar la cifra de ingresos, básicamente porque tiene potencial infinito, mientras que la reducción de gastos tiene un límite muy claro, ya que hay un punto por debajo del cual no se puede bajar [y para el que no lo tenga muy claro, le recomiendo investigar un poco sobre el concepto del throughput relacionado con la Teoría de las Limitaciones].
"[...] un ajuste fiscal excesivo profundiza la depresión, empeora la capacidad de pago del país y aumenta el temor de los inversores y la prima de riesgo. [...] Asimismo, los países con tipos de deuda pública próximos al 0% y margen fiscal deben aprobar medidas de estímulo; especialmente Alemania, que supone un 30% del PIB de la Eurozona y compensaría el ajuste fiscal en los países con problemas." porque "En nuestra situación es muy importante que nuestros clientes europeos crezcan para poder compensar con exportaciones la debilidad de nuestra demanda interna. Por lo tanto, hasta que Europa no salga de la recesión, la crisis en España no tiene solución."
"[...] debemos  acometer una reforma fiscal en profundiad [...]. Y, por supuesto, hay que reforzar la lucha contra el fraude fiscal. Asimismo, tendremos que abordar una reforma de la administración que mejore la eficiencia y elimine las duplicidades."
Una de las cosas que más me ha llamado la atención es el hecho de reconocer abiertamente que será necesario asumir quitas en los niveles de deuda, porque es "imposible" que se pague... y además, no sólo para la deuda de los países, sino también la deuda privada, incluyendo aquí las deudas de las familias [esta propuesta me ha parecido tan obvia y viable que no entiendo que no se esté llevando a cabo].
"Faltaría reestructurar las deudas que no se pueden pagar y recapitalizar después los bancos europeos, empezando por los alemanes y luego con los franceses y los holandeses, cuya exposición en los países más afectados por la crisis del euro es elevada."
"Es urgente parar la morosidad en el origen renegociando la deuda de las familias y aplicando una quita para conseguir que puedan quedarse en las casas. [...] es mucho más eficiente reestructurar la deuda que ejecutar el embargo y desahuciar." [El autor explica en detalle esta medida y, por ejemplo, clarifica que no sería para todos, pues habría que identificar cuando estamos ante una situación problemática frente a un abuso de especulación]
Y, sobre todo, un mensaje positivo: "tu estado de ánimo es tu destino"... y de fomento de la mentalidad empresarial.
"[...] con una tasa de paro camino del 30%, no hay sitio para la complacencia. Debemos sentirnos orgullosos de nuestras empresas de éxito y de sus trabajadores, pero necesitamos muchas más para bajar la tasa de paro a niveles moral y socialmente aceptables. [...] Para ello, hay que proteger a las nuevas empresas innovadoras como si fueran linces ibéricos en peligro de extinción. Hay que eliminar barreras legales en muchos sectores que favorecen a las empresas ya establecidas y penalizan a las nuevas firmas más emprendedoras e innovadoras. Es preciso acabar con el desmantelamiento de la educación y la investigación de calidad [...], la única estrategia de éxito debe basarse en el conocimiento y el capital humano."
"Los españoles nos hemos convertido en una fábrica de excusas y de lamentos. Los de los millones de personas que han perdido su empleo [...] están justificados [...], el resto tenemos la obligación moral de trabajar hasta la extenuación para sacar el país adelante."

Para finalizar, un gran descubrimiento, la hipótesis de inestabilidad financiera de Hyman Minsky: "dado que el negocio bancario tiene escasa capacidad de diferenciación en los créditos y los depósitos que comercializa, cuando una entidad apuesta por el crecimiento orgánico, lo hace reduciendo sus márgenes de beneficio. Esta reducción de márgenes afecta negativamente a sus accionistas, por lo que se buscan negocios de mayor rentabilidad que llevan aparejados riesgos más elevados, que ponen a su vez en peligro la viabilidad futura del banco y del sistema." Quien no crea que Minsky tiene razón, sobre todo después de Lehman Brothers, Fannie Mae, Freddie Mac, bankia, etc. es que ha estado en otro planeta... Por eso es ineludible asegurar que "el sistema financiero está al servicio de la economía real y ésta tiene que ser su principal función" y, para ello, habrá que "mejorar la regulación y la supervisión y conseguir reducir el tamaño del sistema bancario hasta el mínimo necesario para que cumpla su función principal, canalizar el ahorro a la inversión empresarial."

... ¿todavía no me sigues en twitter.com/antonio_ramosga?

18 agosto 2016

Lectura: Start-up Nation

Supongo que el hecho de haber iniciado una empresa a partir de una idea despertó mi interés por el emprendimiento y, en particular, por las start-ups de seguridad o ciberseguridad. Y ambos fenómenos conducen indefectiblemente a lo que sucede en Israel en materia de emprendimiento en ciberseguridad, con claros ejemplos de pequeñas empresas punteras que han nacido en este pequeño territorio. Y, sobre todo, ¿por qué este fenómeno no se reproduce en otros lugares [como, por ejemplo, en España]?

Y, en este tema, la obra de Dan Senor (@dansenor) y Saul Singer (@saulsinger) sobre la historia y las causas de este fenómeno es obligatoria. Las casi 300 páginas son una recopilación exhaustiva de citas y referencias para aquellos que, como yo, quisieran aprender y entender por qué tantas start-ups en Israel.

Como digo, la lectura no tiene desperdicio pero destacaría algunas citas que, además, creo que sirven como resumen de la explicación de los autores al fenómeno de emprendimiento israelí (la traducción es mía, así que si hay algún error, ya sabéis a quien culpar):
"Hoy, Israel lidera el mundo en porcentaje de su PIB que va a investigación y desarrollo, creando tanto una ventaja tecnológica crítica para la seguridad nacional, como un sector tecnológico civil que es el principal motor de la economía." 
"... la estrecha proximidad de grandes universidades, grandes empresas, start-ups, y el ecosistema que las conecta -incluyendo todo lo necesario desde proveedores, una reserva de talento de ingenieros, a capital-riesgo." 
"... lo que se echa en falta en otros países es un núcleo cultural construido sobre una rica combinación de agresividad y orientación al equipo, en aislamiento y conectividad, y en ser pequeño y querer ser grande." 
"... lanzar una start-up o entrar en alta tecnología se ha convertido en la cosa más respetada y "normal" para un joven israelí ambicioso. [...] Lo que en la mayoría de los países es algo excepcional, en Israel se ha convertido en casi una carrera estándar, a pesar del hecho de que todo el mundo sabe que, incluso en Israel, las posibilidades de éxito para las start-ups son bajas. [...] El éxito es mejor, pero el fracaso no es un estigma; es una experiencia importante para tu curriculum." 
"El secreto, por tanto, del éxito de Israel es la combinación de los elementos clásicos de los clusters tecnológicos con algunos elementos únicos de Israel que mejoran las habilidades y experiencia de los individuos, haciéndoles trabajar juntos más efectivamente como equipos, y proporcionándoles contactos próximos y fácilmente disponibles en una comunidad establecida y creciente." 
"... el reto al que se enfrenta cada país desarrollado en el siglo XXI es convertirse en una factoría de ideas, lo que incluye tanto generar ideas en casa como aprovecharse de las ideas generadas en cualquier otro lugar."

Por tanto, tratar de establecer clusters para fomentar el ecosistema de emprendimiento está bien, es condición necesaria, pero no es suficiente. Como los propios autores reconocen, los clusters en Israel no crean las condiciones para el fenómeno de emprendimiento, sino que actúan como facilitador. Así que, mucho me temo que, o trabajamos el aspecto cultural o "montar" clusters solo va a ser un tremendo desperdicio...

Y, siento decirlo, pero en el tema cultural tenemos muuuucho trabajo que hacer, en un país donde lo que primamos no es, precisamente, el esfuerzo sino la cultura del pelotazo... nos queda mucho por hacer...

...¿todavía no me sigues en twitter.com/antonio_ramosga?

06 agosto 2016

Lectura: Kryptos

Este libro [como algún otro que he comentado por aquí] llegó como obsequio de ISACA Madrid. Y es que esta Asociación, normalmente, regala a los asistentes a sus jornadas anuales con un libro relacionado con el evento.

De hecho, el ejemplar que tengo está firmado por el propio Blas Ruiz Grau (@BlasRGEscritor), autor de la novela, puesto que tuve la oportunidad de conocer al autor ya que participó en el evento para compartir su experiencia personal y compartir por qué ha decidido destinar el 100% de los beneficios obtenidos a la ONG Educo y su programa de Becas comedor.

Y entrando en la obra, decir que se trata de una novela corta que surge de un experimento propuesto por el autor a sus seguidores de twitter que le enviaron tweets para que formaran parte de la misma... y además, algunos capítulos están escritos por otros autores... en fin, un planteamiento muy innovador y con un resultado muy interesante.

Para los que trabajamos en seguridad, siempre tiene su puntillo leer una novela en la que se incluyen aspectos relacionados con nuestro trabajo/hobby y en este sentido, aunque entiendo las licencias literarias, la verdad es que leer sobre un programa de hacking que lo mismo se salta los sistemas de cifrado [yo sigo prefiriendo cifrar aunque soy consciente de que el uso de encriptar está admitido], que accede a la agenda de un móvil o lo posiciona geográficamente o incluso es capaz de hacer sonar una canción concreta en un equipo específico sin más información que verlo en una sala... quizás sea demasiado...

Por lo demás es una trama que te atrapa, que al principio quizás recuerde un poco a Mercury Rising, pero que luego tiene giros bastante inesperados... sobre todo el desenlace... que tras una gran sorpresa, es capaz de superarse y volver a sorprendernos hasta la última página... ¡enhorabuena!

Y, para finalizar, fiel a la tradición de las citas, incluyo un par que me han gustado; la primera, sobre la declaración que hace la protagonista sobre su ética hacker:
"Creo que lo has entendido. No todo es el dinero, mucho menos para una buena hacker. En muchos casos sólo buscamos el reconocimiento y, créeme, con estas cosas llega [publicación de herramientas]. No todos somos así, por supuesto, pero sí los, digamos, auténticos."
Y la segunda en relación a cómo, para abordar un proceso de regeneración algunos países...
"[...] se nombraron comisiones para tratar de restablecer el orden. Tardaron años en conseguirlo a base de transparencia en las gestiones y cientos de acciones sociales."

¿...todavía no me sigues en twitter.com/antonio_ramosga?

04 agosto 2016

Lectura: El Quinto Elemento


Tuve la suerte de conocer al autor de la obra hace unos meses por motivos profesionales, así que no podía no comentar la lectura de "El Quinto Elemento" de Alejandro Suárez Sánchez-Ocaña (@alejandrosuarez).

Yo diría que se trata de una obra periodística que realiza un repaso bastante exhaustivo por la historia reciente de casos e incidentes relacionados con la ciberseguridad que, al final, consigue el objetivo que yo creo que tiene la obra: "Concienciar sobre la importancia de tener en consideración el riesgo que supone la ciberseguridad en el contexto actual de imparable evolución tecnológica".

Y que contiene, como no podía ser de otra forma, algunas citas que me han gustado por distintos motivos y que resumo en los siguientes párrafos.

La primera trata sobre el efecto que ha tenido Internet sobre el mundo del crimen, que no deja de ser la misma que ha tenido en todos los ámbitos de la sociedad: la reducción de los costes de transferencia y la consecuente eliminación de intermediarios y la democratización de la tecnología.
"El gran cambio y la gran diferencia que aporta la era cibernética es que permite un espionaje masivo, sin apenas coste y, desde luego, sin riesgos."
"Otra de las características de esta nueva carrera de armamentos es que el uso de las nuevas armas da lugar a una rápida propagación de las mismas, poniendo fin enseguida a la ventaja competitiva que el desarrollador tenía antes de lanzarla. Mientras que los secretos de fabricación de una bomba atómica no son revelados con su detonación, los de un arma digital como Stuxnet sí, ya que su código es puesto al descubierto tan pronto como se libera en la red."
"[...] las armas nucleares estaban únicamente en posesión de los gobiernos de los Estados mientras que ahora no hay forma de controlar la limitación de ciberarmas, ya que cualquiera puede desarrollarlas o comprarlas."
También hay algunas citas históricas muy interesantes...
"Lord Palmeson, primer ministro británico en el siglo XIX, pasó a la posteridad por su pragmática frase 'Inglaterra no tiene amigos ni enemigos. Inglaterra tiene intereses'".
Y una reflexión muy interesante y que comparto en gran medida en relación al tratamiento que deberían tener las medidas de protección en las compañías y las empresas de ciberseguridad en relación a la seguridad nacional como comenté en esta entrada de octubre de 2011, en la que hablaba de "equiparar la seguridad de los sistemas de información a la seguridad patrimonial".
"De hecho, por ley, determinado tipo de compañías deberían estar obligadas a contar con los servicios de estas empresas [de seguridad informática], y esto no debería ser una opción, ya que su dejadez pondría en riesgo el sistema. [...] No debe estar en manos de empresas privadas la decisión del grado de protección más adecuada, ya que puede caer en la tentación de ahorrar en recursos en seguridad informática, o de poner en manos de personal no formado (por ejemplo, el mismo responsable tradicional de seguridad física de la compañía) la protección de sus sistemas".
"Cada país debe construir su tejido de seguridad que dé servicio a sus compañías críticas, donde el riesgo de guerra económica es real." 
"Si la seguridad de los datos, del centro y de los servidores, por la información que se maneja, es crítica, debería serlo también la de los alrededores del edificio. Y esa parte debería estar en manos de las fuerzas de seguridad del Estado."
Así como, su derivada sobre lo que debería ser considerado un arma o un ciber-arma.
"La cuestión es si, a estas alturas del siglo XXI, alguien duda ya de que un ordenador es un arma. Y puede ser de las más peligrosas. Un equipo con conexión, sobre todo si es manejado por alguien sumamente formado, puede hacer hoy en día exponencialmente más daño que cualquier arma de fuego por masiva que esta sea".
Finalmente, reflexiona sobre la consecuencia indeseada del progreso tecnológico, la dependencia de la tecnología.
"Ya en 1998, dos coroneles chinos [...] publicaron un artículo llamado "Guerra ilimitada", en el que destacaban que la excesiva dependencia de Estados Unidos de las tecnologías informáticas aplicadas a la defensa debía ser explotada para conseguir una "ventaja asimétrica". 
"Cuando la IoT [Internet de las Cosas] se desarrolle plenamente, la distinción entre el mundo virtual y el mundo físico se habrá evaporado para siempre, los dos mundos se habrán fundido en uno solo de forma indisoluble"
Y, desde un punto de vista personal, me ha "gustado" ver las referencias a empresas muy conocidas para mi (S21sec o Eleven Paths), así como a algún buen amigo (Vicente Díaz, alias @trompi) y, como no, a la importancia de controlar el riesgo-proveedor.
"[...] también hay un gran riesgo en nuestros proveedores de servicios. Si usas correo electrónico y tienes un proveedor de telefonía móvil, otro de cable..., entonces tienes decenas de posibilidades de que los empleados de estas compañías puedan acceder a tus posiciones. Bien por algún interés, bien sólo por diversión."

... ¿todavía no me sigues en twitter.com/antonio_ramosga?