Reflexiones e Irreflexiones
11 subscribers
403 links
Canal del blog 'Reflexiones e Irreflexiones' http://fernand0.blogalia.com/
Download Telegram
En Ronda Somontanto dando algunos consejos de ciberseguridad
Hace algunas semanas me pidieron un texto sobre ciberseguridad para la publicación Ronda Somontano.

Se ha publicado recientemente y puede leerse en Ciberseguridad: ocuparse para no preocuparse [0].

Empieza así:


La pandemia nos ha demostrado dos cosas: que podemos hacer desde nuestra casa más trabajo de lo que parecíamos dispuestos a admitir y que las infraestructuras están preparadas. Ambas afirmaciones no son ciertas para cualquier trabajo y cualquier lugar, como todos sabemos, pero alcanzan a una cantidad significativa de la población.
"La pandemia nos ha demostrado dos cosas: que podemos hacer desde nuestra casa más trabajo de lo que parecíamos dispuestos a admitir y que las infraestructuras están preparadas. Ambas afirmaciones no son ciertas para cualquier trabajo y cualquier lugar, como todos sabemos, pero alcanzan a una cantidad significativa de la población."

Publicado originalmente en En Ronda Somontanto dando algunos consejos de ciberseguridad [1].
[0] Ciberseguridad: ocuparse para no preocuparse
https://rondasomontano.com/revista/170564/ciberseguridad-ocuparse-para-no-preocuparse/
[1] En Ronda Somontanto dando algunos consejos de ciberseguridad
http://webdiis.unizar.es/~ftricas/blog/enlosmedios/2022-05-25-10-45.html
¿Cada cuánto cambias el teléfono? ¿Cada cuánto deberías cambiarlo?
Es natural que cuando nace una tecnología, los primeros años sean confusos: pruebas que no funcionan, parámetros imprevistos, y otras dificultades. Sin embargo, cuando llega la consolidación uno espera poder comprar productos que duren tiempo y resuelvan los problemas igual que cuando los adquirimos.
En Google Is Forcing Me to Dump a Perfectly Good Phone [0] un propietario de teléfono Pixel 3 se queja de que la empresa Google ha dejado de proporcionar actualizaciones a su teléfono. Por poner en contexto, es un teléfono que se lanzó en octubre de 2018 y según el autor, hae tres años era el último y mejor de los teléfonos de Google.


Three years ago, my Pixel 3 was the latest and greatest Google phone. Now, the company has stopped providing software updates, making it a security risk to use.
"Three years ago, my Pixel 3 was the latest and greatest Google phone. Now, the company has stopped providing software updates, making it a security risk to use."

El Autor puede considerarse afortunado, porque el teléfono sigue cumpliendo sus necesidades, no está cargado de la porquería habitual que añaden las operadoras a los teléfonos que proporcionan. Por comparar, yo tengo un teléfono de gama baja de un fabricante chino, que es más o menos de la misma época y me siento parecido: la batería dura suficiente todavía, no es muy potente y que recibió la última actualización del fabricante en mayo de 2021. Mediado, eso sí, por la operadora.

La cosa es que con los teléfonos está pasando como con los ordenadores en su momento: ya no evolucionan tanto y es posible vivir razonablemente bien con modelos más antiguos, porque los nuevos no traen tantas diferencias (leía el otro día de un caso, que no encuentro, en el que el modelo del año anterior era incluso más sencillo que el del año anterior).
Y, al final, un teléfono es como un refrigerador o una lavadora: los fabricantes han optado por darnos un ordenador sobre el que tenemos muy poco control y, por lo tanto, las características técnicas han de ser suficientes para lo que solemos hacer y ya.


I think of phones in much the same way I think of refrigerators or stoves. It’s an appliance, something I need but feel no attachment to, and as long as it keeps fulfilling that need, I don’t want to spend money replacing it for no real reason.
"I think of phones in much the same way I think of refrigerators or stoves. It’s an appliance, something I need but feel no attachment to, and as long as it keeps fulfilling that need, I don’t want to spend money replacing it for no real reason."

También es cierto que nos pasamos la vida recomendando actualizar los dispositivos por motivos de seguridad y eso es un problema cuando el fabricante deja de preocuparse por ellos.


nstalling security updates is the one basic thing everyone needs to do for their own digital security. If you don’t even get them, then you’re vulnerable to every security flaw discovered since your last patch.
"nstalling security updates is the one basic thing everyone needs to do for their own digital security. If you don’t even get them, then you’re vulnerable to every security flaw discovered since your last patch."

Es un problema del ecosistema Android (el otro día leíamos La tétrica foto de las actualizaciones en Android: la mayoría no tiene ni Android 11 [1] que abunda en esta idea.).


Android has long blamed this obvious issue on the fact that updates need to run through the cellphone company and phone manufacturer before being pushed to the user.
"Android has long blamed this obvious issue on the fact that updates need to run through the cellphone company and phone manufacturer before being pushed to the user."

No me gusta mucho hablar de obsolescencia programada, porque creo que tenemos alguna responsabilidad los usuarios, que la promovemos (preferimos, casi siempre, comprar antes que reparar/actualizar), pero el autor la nombra:


The planned obsol ...
... scence is frustrating enough, and I’m certainly annoyed that I have to spend hundreds of dollars on a new phone when I really shouldn’t have to.
"The planned obsolescence is frustrating enough, and I’m certainly annoyed that I have to spend hundreds of dollars on a new phone when I really shouldn’t have to. "

Sin olvidar la parte de sostenibilidad, reciclaje y aprovechamiento de materias primas.

Ojalá esto cambie y, tal vez, la Comunidad Europea tenga algo que decir porque han prometido legislación al respecto: Designing mobile phones and tablets to be sustainable – ecodesign [2]. Y también algunos fabricantes, tal vez, estén empezando a tomarse en serio este asunto, al menos desde el punto de vista de las reparaciones, The era of fixing your own phone has nearly arrived [3].
[0] Google Is Forcing Me to Dump a Perfectly Good Phone
https://www.vice.com/en/article/dypxpx/google-is-forcing-me-to-dump-a-perfectly-good-phone
[1] La tétrica foto de las actualizaciones en Android: la mayoría no tiene ni Android 11
https://www.xataka.com/aplicaciones/tetrica-foto-actualizaciones-android-mayoria-no-tiene-android-11
[2] Designing mobile phones and tablets to be sustainable – ecodesign
https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/12797-Designing-mobile-phones-and-tablets-to-be-sustainable-ecodesign_en
[3] The era of fixing your own phone has nearly arrived
https://www.theverge.com/23017361/ifixit-right-to-repair-parts-google-samsung-valve-microsoft
Una historia de seguimiento, confianza y lo que puede pasar si no la hay
Un artículo curioso sobre privacidad, herramientas de seguimiento, lo que es y lo que parece en My Wife Tracked Me, for Journalism [0].

Trevor Timm es el marido de Kashmir Hill, que es una reportera del 'New York Times'. Es, además un defensor de la privacidad y ella le pidió permiso para hacer un seguimiento de su actividad, para realizar un reportaje.
Lo que descubrió es lo fácil que pueden interpretarse de manera incorrecta las informaciones obetenidas con este seguimiento.


When Kashmir, a technology reporter for The Times, asked for my consent to track me, I was prepared for her to violate my privacy for the sake of journalism. But what I was not prepared for was how easily my actions could be misinterpreted."When Kashmir, a technology reporter for The Times, asked for my consent to track me, I was prepared for her to violate my privacy for the sake of journalism. But what I was not prepared for was how easily my actions could be misinterpreted"

Dice, como diríamos casi cualquiera, que era un objetivo aburrido para un segumiento. Cuando se publicó el reportaje (en I Used Apple AirTags, Tiles and a GPS Tracker to Watch My Husband’s Every Move [1]) incluía un mapa de los movimientos y, sin embargo, ya empezó a provocar sorpresa y comentarios. Incluso entre familiares.


A map of my movements would later appear alongside Kashmir’s article. The image was informative as a way to show readers how the tracking apps worked — she had successfully known my location all day — but not so much as a way for readers to figure out what I was actually doing. My sister-in-law, confused about why I had made so many stops, would later jokingly ask me, “Are you a drug dealer or something?”
"A map of my movements would later appear alongside Kashmir’s article. The image was informative as a way to show readers how the tracking apps worked — she had successfully known my location all day — but not so much as a way for readers to figure out what I was actually doing. My sister-in-law, confused about why I had made so many stops, would later jokingly ask me, “Are you a drug dealer or something?”"

Por supuesto, los lectores del artículo también hicieron sus aportaciones en los comentarios, con nuevas interpretaciones problemáticas del mapa.


Despite what some readers said in the comments section of the article and on social media, I have a trusting wife, and I was happy to play a small role in highlighting the privacy implications of emerging technology.
"Despite what some readers said in the comments section of the article and on social media, I have a trusting wife, and I was happy to play a small role in highlighting the privacy implications of emerging technology. "

Pero... ¿Por qué es interesante esto?
Imaginemos que somos el objetivo de un seguimiento tecnológico de este estilo.


I couldn’t help but think of all the people who might be surveilled without their consent, whether it’s by a spouse, an employer or law enforcement.
"I couldn’t help but think of all the people who might be surveilled without their consent, whether it’s by a spouse, an employer or law enforcement."

Y la conclusión: es cierto que los dispositivos saben dónde estamos, pero no qué estamos haciendo. Estas herramientas pueden tener usos beneficiosos (no perder nunca más algún objeto valioso) pero ... no hay que olvidar que los datos se pueden malinterpretar. Y, a lo peor, ser utilizados con fines abusivos.


I have no doubt that there are plenty of legitimate uses for trackers — who wouldn’t want to never lose keys again? But this reporting also suggested the many ways surveillance can be misinterpreted — and potentially abused.
"I have no doubt that there are plenty of legitimate uses for trackers — who wouldn’t want to never lose keys again? But this reporting also suggested the many ways surveillance can be misinterpreted — and potentially abused."

Y la esposa (la reportera) dice que, incluso teniendo acc ...
... so a la información de la localización y un fotógrafo haciendo seguimiento fotográfico, no había sido capaz de qué es lo que realmente estaba haciendo.


Even with location trackers and a photographer trailing my husband, I couldn’t figure out what he was actually doing that day.
"Even with location trackers and a photographer trailing my husband, I couldn’t figure out what he was actually doing that day."

Curioso.
[0] My Wife Tracked Me, for Journalism
https://www.nytimes.com/2022/03/06/insider/my-wife-tracked-me-for-journalism.html
[1] I Used Apple AirTags, Tiles and a GPS Tracker to Watch My Husband’s Every Move
https://www.nytimes.com/2022/02/11/technology/airtags-gps-surveillance.html
En el suplemento Tercer Milenio de Heraldo de Aragón, hablando de Ciberseguridad
Nos contactó Pilar Perla, la coordinadora del suplemento de Heraldo de Aragón sobre Ciencia y Tecnología para hablar de Ciberseguridad.

Se puede ver una parte en Ciberseguridad, un reto permanente [0] que escribimos a cuatro manos con José Félix Muñoz Soro.

Además, escribí un texto más cortito basado en el que anunciaba hace unos días En Ronda Somontanto dando algunos consejos de ciberseguridad [1]. Lo reproduzco a continuación por si es de interés para alguien:


Consejos de ciberseguridad para pequeñas organizaciones

Constantemente se publican datos sobre ciberataques, fraudes en línea y también información diversa sobre los riesgos a los que nos enfrentamos en la red. Un informe reciente de Arkose Lab (una las innumerables consultoras de ciberseguridad) afirmaba que el 80% de los ataques de intento de acceso a sistemas empresariales utilizaban credenciales que habían sido robadas en algún ataque previo. Esto es, los atacantes habían conseguido contraseñas a través de algún servicio o sistema sobre el que no tenemos control e intentaban utilizarlas en nuestros sistemas. Una amplia mayoría son ataques automatizados donde no hay intervención humana; esto tiene dos consecuencias: primero, el objetivo no está seleccionado a priori, sino que los atacantes tratan de obtener resultados donde sea posible, y segundo, casi nunca se trata de ataques muy sofisticados. En nuestro entorno, durante los últimos años los ataques de los que más oímos hablar son los intentos de secuestro de información (‘ransomware’).

La conclusión es que cualquiera puede verse afectado por uno de estos ataques y que podríamos protegernos con un poco de esfuerzo.

En todo caso, este no pretende ser un mensaje para asustar a nadie, sino un recordatorio para que nos pongamos (o continuemos) con la tarea de proteger nuestros recursos digitales. La mayoría de los ataques informáticos se basan en tratar de sacar provecho de vulnerabilidades que son conocidas y tienen solución. Nunca hay que perder de vista que la misión fundamental de las empresas es cumplir los objetivos para los que fueron creadas (fabricar, distribuir, vender, prestar servicios…), pero tampoco podemos obviar que si un ciberataque dejara sin funcionar los sistemas informáticos necesarios para realizar estas tareas, no podríamos cumplirlos.

Entre las acciones que deberíamos realizar, probablemente sería una buena idea realizar un inventario de nuestros activos digitales y analizar su estado desde el punto de vista de la seguridad informática: cómo se conectan unos con otros, estudiar la visibilidad que un atacante (externo ¿e interno?) podría tener de nuestra información y qué consecuencias tendría para nuestro negocio la falta de disponibilidad de un recurso…; sin olvidar revisar nuestra política de copias de seguridad, para asegurarnos de que podríamos volver a poner todo en funcionamiento tras un incidente (y en cuánto tiempo; no hay nada más desagradable que descubrir que nuestras copias de seguridad no sirven o que no podemos restaurarlas suficientemente rápido).

En otro informe reciente, esta vez de Accenture, se nos recordaba la actitud correcta para enfrentarse al problema. No se trata de tener tanto miedo que nos impida realizar nuestro trabajo por culpa de las medidas de seguridad (‘obstaculizadores del negocio’), ni tampoco despreocuparnos tanto que cualquier ataque pueda terminar afectándonos de manera grave (‘los vulnerables’). Los ‘ciberdefensores’, nos dicen, tratan de lograr un equilibrio entre ciberresiliencia y objetivos empresariales.

Por lo tanto, debemos reconsiderar nuestra estrategia de protección. Siempre en línea con los objetivos de nuestra organización (no hay una solución única para todos), con un análisis de riesgos y de la propia situación: no se puede pasar de 0 a 100 en un instante. Y sin olvidar que la seguridad es un proceso y depende de cuál sea nuestro lugar en el camino deberemos realizar ...
... nas acciones u otras.
"Consejos de ciberseguridad para pequeñas organizaciones

Constantemente se publican datos sobre ciberataques, fraudes en línea y también información diversa sobre los riesgos a los que nos enfrentamos en la red. Un informe reciente de Arkose Lab (una las innumerables consultoras de ciberseguridad) afirmaba que el 80% de los ataques de intento de acceso a sistemas empresariales utilizaban credenciales que habían sido robadas en algún ataque previo. Esto es, los atacantes habían conseguido contraseñas a través de algún servicio o sistema sobre el que no tenemos control e intentaban utilizarlas en nuestros sistemas. Una amplia mayoría son ataques automatizados donde no hay intervención humana; esto tiene dos consecuencias: primero, el objetivo no está seleccionado a priori, sino que los atacantes tratan de obtener resultados donde sea posible, y segundo, casi nunca se trata de ataques muy sofisticados. En nuestro entorno, durante los últimos años los ataques de los que más oímos hablar son los intentos de secuestro de información (‘ransomware’).

La conclusión es que cualquiera puede verse afectado por uno de estos ataques y que podríamos protegernos con un poco de esfuerzo.

En todo caso, este no pretende ser un mensaje para asustar a nadie, sino un recordatorio para que nos pongamos (o continuemos) con la tarea de proteger nuestros recursos digitales. La mayoría de los ataques informáticos se basan en tratar de sacar provecho de vulnerabilidades que son conocidas y tienen solución. Nunca hay que perder de vista que la misión fundamental de las empresas es cumplir los objetivos para los que fueron creadas (fabricar, distribuir, vender, prestar servicios…), pero tampoco podemos obviar que si un ciberataque dejara sin funcionar los sistemas informáticos necesarios para realizar estas tareas, no podríamos cumplirlos.

Entre las acciones que deberíamos realizar, probablemente sería una buena idea realizar un inventario de nuestros activos digitales y analizar su estado desde el punto de vista de la seguridad informática: cómo se conectan unos con otros, estudiar la visibilidad que un atacante (externo ¿e interno?) podría tener de nuestra información y qué consecuencias tendría para nuestro negocio la falta de disponibilidad de un recurso…; sin olvidar revisar nuestra política de copias de seguridad, para asegurarnos de que podríamos volver a poner todo en funcionamiento tras un incidente (y en cuánto tiempo; no hay nada más desagradable que descubrir que nuestras copias de seguridad no sirven o que no podemos restaurarlas suficientemente rápido).

En otro informe reciente, esta vez de Accenture, se nos recordaba la actitud correcta para enfrentarse al problema. No se trata de tener tanto miedo que nos impida realizar nuestro trabajo por culpa de las medidas de seguridad (‘obstaculizadores del negocio’), ni tampoco despreocuparnos tanto que cualquier ataque pueda terminar afectándonos de manera grave (‘los vulnerables’). Los ‘ciberdefensores’, nos dicen, tratan de lograr un equilibrio entre ciberresiliencia y objetivos empresariales.

Por lo tanto, debemos reconsiderar nuestra estrategia de protección. Siempre en línea con los objetivos de nuestra organización (no hay una solución única para todos), con un análisis de riesgos y de la propia situación: no se puede pasar de 0 a 100 en un instante. Y sin olvidar que la seguridad es un proceso y depende de cuál sea nuestro lugar en el camino deberemos realizar unas acciones u otras."

Nota publicada originalmente en En el suplemento Tercer Milenio de Heraldo de Aragón, hablando de Ciberseguridad [2].
[0] Ciberseguridad, un reto permanente
https://www.heraldo.es/noticias/sociedad/2022/06/07/ciberseguridad-un-reto-permanente-1579851.html
[1] En Ronda Somontanto dando algunos consejos de ciberseguridad
http://fernand0.blogalia.com/historias/78539
[2] En el suplemento Tercer Milenio de Heraldo de Aragón, hablando de Ciberseguridad
http://webdiis.unizar.es/~ftricas/blog/enlosmedios/2022-06-07-09-00.html
En la Cámara de Comercio de Zaragoza hablando de Oportunidades y consejos en ciberseguridad
Intervención de Fernando Tricas desde la cátedra de seguridad de la @unizar [0] ➡️ nos cuenta datos, oportunidades y consejos🗣 falta concienciación y formación técnica en este ámbito pic.twitter.com/CnaeOmcgTG [1]— Invishield (@invishield) June 7, 2022 [2]"ntervención de Fernando Tricas desde la cátedra de seguridad de la @unizar ➡️ nos cuenta datos, oportunidades y consejos🗣 falta concienciación y formación técnica en este ámbito pic.twitter.com/CnaeOmcgTG— Invishield (@invishield) June 7, 202"
La semana pasada se presentaba un producto de ciberseguridad en la Cámara de Comercio de Zaragoza. Me invitaron a dar una charla (cortita, empezó siendo más larga y por diversos motivos fue quedando más breve) hablando de consejos y oportunidades en ciberseguridad.

Por si resulta de interés para alguien aquí está la presentación que utilicé.

Oportunidades y consejos de ciberseguridad [3] from Fernando Tricas García [4]

Los consejos, en esta ocasión: conocer nuestra red, compartimentalizar, actualizar los programas y tener copias de seguridad.

Una tendencia: los cibercriminales también tienen servicio de atención al cliente (y en este caso, mucho mejor que algunos servicios que tenemos más a mano): Así funciona la 'atención al cliente' de los cibercriminales si pagas rescate pero sigues teniendo problemas para recuperar tu PC [5].

Como es habitual, busqué (me vinieron, en realidad, casi nunca tengo que esforzarme mucho en buscar ejemplos) unos ejemplos de diversas organizaciones con noticias recientes (malas) sobre ciberseguridad:

* Un estado sufriendo un ciberataque: Costa Rica under Cyberattack by Russian Conti Gang [6].

* El cierre de una Universidad por un ciberataque: Abraham Lincoln's Namesake College Set to Close After 157 Years [7].

* Finamente, cambiando un poco el enfoque, un multazo por la gestión inadecuada de un ataque: PHMSA Issues Proposed Civil Penalty of Nearly Million to Colonial Pipeline Company for Control Room Management Failures [8].

Pasamos un buen rato, conocimos a gente nueva y, tal vez, alguien piense un poco mejor las cosas que hace a partir de ahora.
[0] @unizar
https://twitter.com/unizar?ref_src=twsrc%5Etfw
[1] pic.twitter.com/CnaeOmcgTG
https://t.co/CnaeOmcgTG
[2] June 7, 2022
https://twitter.com/invishield/status/1534222756300079109?ref_src=twsrc%5Etfw
[3] Oportunidades y consejos de ciberseguridad
http://www.slideshare.net/fernand0/oportunidades-y-consejos-de-ciberseguridad
[4] Fernando Tricas García
http://www.slideshare.net/fernand0
[5] Así funciona la 'atención al cliente' de los cibercriminales si pagas rescate pero sigues teniendo problemas para recuperar tu PC
https://www.genbeta.com/seguridad/asi-funciona-atencion-al-cliente-cibercriminales-pagas-rescate-sigues-teniendo-problemas-para-recuperar-tu-pc
[6] Costa Rica under Cyberattack by Russian Conti Gang
https://dialogo-americas.com/articles/costa-rica-under-cyberattack-by-russian-conti-gang/
[7] Abraham Lincoln's Namesake College Set to Close After 157 Years
https://lincolncollege.edu/home
[8] PHMSA Issues Proposed Civil Penalty of Nearly Million to Colonial Pipeline Company for Control Room Management Failures
https://www.phmsa.dot.gov/news/phmsa-issues-proposed-civil-penalty-nearly-1-million-colonial-pipeline-company-control-room
Los inventos siempre nos dan miedo
Leía hace poco esta historia sobre le caleidoscopio y cómo algunas personas lo consideraron en su momento algo peligroso: "Se ha extendido como la peste": cómo el caleidoscopio produjo las mismas reacciones anti-tecnología que los smartphones [0].

Por ejemplo, el peligro de chocarse contra una pared, distraidos por el aparato (y que podría trasladarse directamente a los teléfonos de hoy en día y a esas imágenes que nos pintan jorobados y absortos mirando al teléfono).



Incluso llegó a escribirse textualmente la siguiente frase sarcástica: “todos los niños que van con su caleidoscopio por la calle terminan chocando contra una pared”.
"Incluso llegó a escribirse textualmente la siguiente frase sarcástica: “todos los niños que van con su caleidoscopio por la calle terminan chocando contra una pared”."

Que no digo que no pueda ser verdad, pero esconden algo rancio de miedo a las cosas nuevas y también a la atención que pierden las nuestras.

El caleidoscopio llega hasta nuestros días y no es difícil conseguir uno.

Vale la pena leer, y recordar otros inventos que también causaron ese tipo de reacción. Un ejemplo es el libro sobre el telégrafo, del que hablamos en Libro: (#7) The Victorian Internet [1] cuando aún hacíamos reseñas de libros.
[0] "Se ha extendido como la peste": cómo el caleidoscopio produjo las mismas reacciones anti-tecnología que los smartphones
https://www.xataka.com/historia-tecnologica/se-ha-extendido-como-peste-como-caleidoscopio-produjo-mismas-reacciones-anti-tecnologia-que-smartphones
[1] Libro: (#7) The Victorian Internet
http://fernand0.blogalia.com/historias/50210
¿Remoto o presencial? Déjame elegir.
Hay temas en las que las aproximaciones que adoptamos son, por decir algo, casuales: poco estudio, análisis o profundidad y bastante de nuestros sesgos personales. Aquí tenemos los nuestros, claro.
Durante la pandemia (y después) se ha comentado mucho sobre el tema de las clases en línea, si son mejores, peores, si se hacen bien o se hacen mal... pero hoy traemos Students Often Prefer In-Person Classes . . . Until They Don’t [0] donde se habla un poco de estos temas.

Es posible que se trate de un tema de aproximaciones y gustos personales y que sea difícil llegar a una solución para todos.

Lo primero que nos dice es que los estudiantes remotos, según su investigación, tendían a tener peores resultados que los presenciales.


My own research has shown that students who participate remotely, even when offered the option of synchronous participation, tended to do less well than their counterparts who physically came to class.
"My own research has shown that students who participate remotely, even when offered the option of synchronous participation, tended to do less well than their counterparts who physically came to class."

Una parte de la diferenciaa se podría atribuir, simplemente, a que eran estudiantes con notas peores. Aparentemente, los estudiantes con perores notas elegirían más la participación remota.


Some of that difference, however, could be attributed to the fact that students with lower grade point averages entering the course were more likely to choose to participate remotely.Footnote
"Some of that difference, however, could be attributed to the fact that students with lower grade point averages entering the course were more likely to choose to participate remotely.Footnote"

Sin embargo, nos dice, si se da a elegir a los estuddiantes la modalidad (el autor se declara a favor de la presencialidad), no prefieren asistir en persona.


But while I supported the in-person position in theory, my experience has also been that given the choice, students do not prefer attending class in person.
"But while I supported the in-person position in theory, my experience has also been that given the choice, students do not prefer attending class in person."

Y nos cuenta el caso de una asignatura donde propuso el método híbrido, permitiendo integrar a los estudiantes presenciales o no en las actividades.
El resultado fue que los estudiantes no manifestaron una mayor preferencia por la presencialidad.


So, what do students prefer, given the choice? Given reasonable options, students in my class did not prefer the in-person mode of course delivery. In fact, the number of students who physically attended class dropped precipitously to an average of around 20% by mid-semester ...
"So, what do students prefer, given the choice? Given reasonable options, students in my class did not prefer the in-person mode of course delivery. In fact, the number of students who physically attended class dropped precipitously to an average of around 20% by mid-semester ..."

No sólo eso, sino que los estudiantes respondían que muchos más cursos deberían tener sesión en línea (simultánea, 'streaming').


... over 80% of students feel live streaming should be available in all large courses at the least.
"... over 80% of students feel live streaming should be available in all large courses at the least."

Sobre las notas, tampoco se cumplía que los presenciales tuvieran mejores notas que los no presenciales:


I expected that students attending in person would receive the highest grades, but that was not true for this course.
"I expected that students attending in person would receive the highest grades, but that was not true for this course. "

El único indicador para sacar malas notas parece ser la no asistencia.

Al final parece que los estudiantes valoran y aprecian la flexiblidad.


What is clear is that students welcome the flexibility of choosing the mode of course delivery.
"What is clear is that students welco ...
... e the flexibility of choosing the mode of course delivery."

Y también que habría que tener en cuenta más factores que los deseos o intereses de alguien y facilitar el bienestar y la comodidad de los incumbentes.


... the availability of options to meet both students' and instructors' comfort level, wellness, and nonacademic demands is appropriate and should be encouraged, particularly in larger courses.
"... the availability of options to meet both students' and instructors' comfort level, wellness, and nonacademic demands is appropriate and should be encouraged, particularly in larger courses."
[0] Students Often Prefer In-Person Classes . . . Until They Don’t
https://er.educause.edu/articles/2022/3/students-often-prefer-in-person-classes-until-they-dont
Los algoritmos, los sesgos y analizar con cuidado para no equivocarse.
Llevamos ya una (un poco larga) temporada echándole la culpa al algoritmo (el otro día en unas infames noticias hablaban -todavía- del logaritmo).
Es como si de pronto, nos hubiéramos vuelto idiotas y fuéramos a aceptar lo que el algoritmo diga sin posibilidad de recurso (que no digo que en algunos casos no sea así) o como si el humano al cargo hasta hace nada no pudiera meter la pata, o tuviera sus propios sesgos, que aplicaba con poco cuestionamiento (incluso con, ahora, añoranza de aquello).

Por eso vale la pena leer textos como How Can Algorithms Be Biased? [0] que profundiza un poco en estos temas y nos puede ayudar a centrar el tiro.

Por un lado, nos recuerda, hay sesgos morales (o moralizados) y otros que no lo son.


One of the biggest sources of confusion in the debate about algorithmic bias is the fact that people use the term ‘bias’ in moralised and non-moralised ways.
"One of the biggest sources of confusion in the debate about algorithmic bias is the fact that people use the term ‘bias’ in moralised and non-moralised ways."

Cualquier algoritmo se diseña pensando en conseguir un objetivo, y en ese sentido su trabajo es seleccionar unos ciertos resultados a partir de los datos de entrada. Ciertamente, parece que tienen sesgo, orientado a alcanzar una determinada solución.


Let’s start with the non-moralised sense. All algorithms are designed with a purpose in mind. [...] In each case, there is a set of possible outcomes among which the algorithm can select, but it favours a particular subset of outcomes because those match better with some goal or value (usefulness, speed etc).

In this sense it is true to say that most, if not all, algorithms are inherently biased. They are designed to be.
"Let’s start with the non-moralised sense. All algorithms are designed with a purpose in mind. [...] In each case, there is a set of possible outcomes among which the algorithm can select, but it favours a particular subset of outcomes because those match better with some goal or value (usefulness, speed etc).

In this sense it is true to say that most, if not all, algorithms are inherently biased. They are designed to be."

En este sentido parece útil que tengan ese sesgo, que les permite alcanzar una solución. No sólo eso, no parece que sea moralmente reprobable que esto sea así.


But there is nothing necessarily morally problematic about this inherent bias. Indeed, in some cases it is morally desirable (though this depends on the purpose of the algorithm).
"But there is nothing necessarily morally problematic about this inherent bias. Indeed, in some cases it is morally desirable (though this depends on the purpose of the algorithm). "

Si pensamos en los aspectos morales, es posible que algunos algoritmos, con estos mismos sesgos tiendan a obtener resultados que tienen un impacto injusto en determinadas personas o poblaciones.


How does this contrast with the moralised sense of ‘bias’? Well, although all algorithms favour certain kinds of output, sometimes they will systematically favour outputs that have an unfair impact on a certain people or populations.
"How does this contrast with the moralised sense of ‘bias’? Well, although all algorithms favour certain kinds of output, sometimes they will systematically favour outputs that have an unfair impact on a certain people or populations."

Por lo tanto, nos dice, son necesarios dos requisitos para que un algoritmo sea considerado sesgado en este segundo aspecto, el moral.

Por un lado, que el sesgo sea sistemático: de manera consistente y predecible favorece a una determinada población. Incluso si este efecto es indirecto.


Systematic output: The algorithm must systematically (consistently and predictably) favour one population/group over another, even if it this effect is only indirect.
" Systematic output: The algorithm must systematically (consistently and predictably) favour one population/group over anot ...
... er, even if it this effect is only indirect."

por otro lado, un efecto injusto: trata a algunos grupos o poblaciones de manera diferente por razones moralmente arbitrarias o ilegítimas.


Unfair effect: The net effect of the algorithm must be to treat populations/groups differently for morally arbitrary or illegitimate reasons
" Unfair effect: The net effect of the algorithm must be to treat populations/groups differently for morally arbitrary or illegitimate reasons"

Sin olvidar que el sesgo podría ser temporal, por alguna razón accidental; y por eso se dice que debe ser sistemático.


The systematicity condition is there in order to rule out algorithms that might be biased, on occasions, for purely accidental reasons, but not on a repeated basis.
"The systematicity condition is there in order to rule out algorithms that might be biased, on occasions, for purely accidental reasons, but not on a repeated basis. "

Pero sí que es cierto que el efecto puede ser indirecto (por ejemplo, si valora especialmente el nivel educativo lo tendrá en cuenta perfectamente, pero podría afectar a poblaciones que no tienen el acceso a la educación tan fácil como otras.


Furthermore, when I say that the systematic effect on one population may be ‘indirect’ what I mean is that the algorithm itself may not be overtly or obviously biased against a certain population, but nevertheless affects them disproportionately. For example, a hiring algorithm that focused on years spent in formal education might seem perfectly legitimate on its face, with no obvious bias against certain populations, but its practical effect might be rather different. It could be that certain ethnic minorities spend less time in formal education (for a variety of reasons) and hence the hiring algorithm disproportionately disfavours them.
"Furthermore, when I say that the systematic effect on one population may be ‘indirect’ what I mean is that the algorithm itself may not be overtly or obviously biased against a certain population, but nevertheless affects them disproportionately. For example, a hiring algorithm that focused on years spent in formal education might seem perfectly legitimate on its face, with no obvious bias against certain populations, but its practical effect might be rather different. It could be that certain ethnic minorities spend less time in formal education (for a variety of reasons) and hence the hiring algorithm disproportionately disfavours them."

Cuando tenemos en cuenta la moral un algoritmo sesgado es dañino. Rompe una norma moral, produce un tratamiento injusto y posiblemente viola derechos.


One last point before we move on. In the moralised sense, a biased algorithm is harmful. It breaches a moral norm, results in unfair treatment, and possibly violates rights.
"One last point before we move on. In the moralised sense, a biased algorithm is harmful. It breaches a moral norm, results in unfair treatment, and possibly violates rights."

Pero hay muchas formas de daño moral que no deben contar como relevantes en estos sesgos: un sistema algorítmico que produce accidentes en determinadas condiciones, podría estar mal diseñado, pero no sería sesgado en el sentido que nos interesa, porque afectaría de la misma forma a todos los pasajeros (al menos en principio) independientemente de su pertenencia a un determinado grupo.


But there are many forms of morally harmful AI that would not count as biased in the relevant sense. For instance, an algorithmic system for piloting an airplane might result in crashes in certain weather conditions (perhaps in a systematic way), but this would not count as a biased algorithm. Why not? Because, presumably, the crashes would affect all populations (passengers) equally. It is only when there is some unfair treatment of populations/groups that there is bias in the moralised sense.
"But there are many forms of morally harmful AI that would not count as biased in the relevant sense. For instance, an algorithmic system for piloting an airplane might result in crashes in certain weather condit
Desunidos y peleados: ¿debemos prestar tanta atención a los extremismos?
Me siento a ratos profundamente pesimista: la red que debería ser la herramienta para buscar (y encontrar) la verdad, conocer a los otros y buscar consensos se ha convertido en un campo de batalla: si nos descuidamos nos podemos ver inmersos en cualquier refriega ideológica, sin mucho fundamento y sin realmente calibrar adecuadamente las consecuencias de lo que apoyamos con nuestros retuits.

De esto hablan en Why the Past 10 Years of American Life Have Been Uniquely Stupid [0]. No estoy del todo de acuerdo en echarles la cula a las redes sociales (medios sociales) porque creo que hemos entrado en una dinámica donde los propios medios de comunicación participan, vemos fuerzas políticas jugando a exagerar determinadas cosas para atraer votantes y, es posible que utilicen Twitter, Facebook, etc... Pero también tertulias, artículos de opinión, etc.
Pondré al final del texto otro enlace sobre otra historia donde nos dicen que los medios sociales no son tan responsables de todo lo malo como suele decirse.

Este es un texto largo que creo que vale la pena leer, pero pongo mis trozos 'favoritos' como es habitual.
También porque algunas soluciones que propone me parecen sensatas (otras no) y confío mucho en nuestra propia capacidad de reacción.

Los EEUU republicanos y demócratas parecen constituir dos países diferenes, en sus versiones de la constitución, la economía e incluso la historia.


It’s been clear for quite a while now that red America and blue America are becoming like two different countries claiming the same territory, with two different versions of the Constitution, economics, and American history.
"It’s been clear for quite a while now that red America and blue America are becoming like two different countries claiming the same territory, with two different versions of the Constitution, economics, and American history."

En los 90 teníamos herramientas que nos ayudaban a conectar para hablar de intereses comunes.


The early internet of the 1990s, with its chat rooms, message boards, and email, exemplified the Nonzero thesis, as did the first wave of social-media platforms, which launched around 2003. Myspace, Friendster, and Facebook made it easy to connect with friends and strangers to talk about common interests, for free, and at a scale never before imaginable.
"The early internet of the 1990s, with its chat rooms, message boards, and email, exemplified the Nonzero thesis, as did the first wave of social-media platforms, which launched around 2003. Myspace, Friendster, and Facebook made it easy to connect with friends and strangers to talk about common interests, for free, and at a scale never before imaginable."

Estábamos más cerca de lo que nunca habíamos podido estar de 'los otros', incluso podíamos superar fácilmente las barreras del idioma.


We were closer than we had ever been to being “one people,” and we had effectively overcome the curse of division by language. For techno-democratic optimists, it seemed to be only the beginning of what humanity could do.
"We were closer than we had ever been to being “one people,” and we had effectively overcome the curse of division by language. For techno-democratic optimists, it seemed to be only the beginning of what humanity could do."

Los científicos sociales identifican al menos tres fuerzas para constituir democracias exitosas: el capital social (redes sociales amplias con niveles altos de confianza), instituciones fuertes e historias compartidas.
Pero los medios sociales han debilitado las tres


Social scientists have identified at least three major forces that collectively bind together successful democracies: social capital (extensive social networks with high levels of trust), strong institutions, and shared stories. Social media has weakened all three.
"Social scientists have identified at least three major forces that collectively bind together successful democracies: social capital (extensi ...
... e social networks with high levels of trust), strong institutions, and shared stories. Social media has weakened all three."

Y el problema, nos dice, es el ataque continuo a la verdad.


It’s not just the waste of time and scarce attention that matters; it’s the continual chipping-away of trust.
"It’s not just the waste of time and scarce attention that matters; it’s the continual chipping-away of trust."

Cuando los ciudadanos pierden la confianza en los líderes elegidos, las autoridades sanitarias, los jueces, policía, universidades y la integridad de los procesos electorales, cualquier decisión puede ser discutida.


But when citizens lose trust in elected leaders, health authorities, the courts, the police, universities, and the integrity of elections, then every decision becomes contested;
"But when citizens lose trust in elected leaders, health authorities, the courts, the police, universities, and the integrity of elections, then every decision becomes contested;"

Curiosamente, son las autocracias las que están ganando esa confianza y muchas democracias la están perdiendo (nombran a España).


... stable and competent autocracies (China and the United Arab Emirates) at the top of the list, while contentious democracies such as the United States, the United Kingdom, Spain, and South Korea scored near the bottom (albeit above Russia).
"... stable and competent autocracies (China and the United Arab Emirates) at the top of the list, while contentious democracies such as the United States, the United Kingdom, Spain, and South Korea scored near the bottom (albeit above Russia)."

Algunos estudios sugieren que los medios sociales corrompen nuestra confianza en los gobiernos, medios de comunicación y la gente e instituciones en general.


Recent academic studies suggest that social media is indeed corrosive to trust in governments, news media, and people and institutions in general.
"Recent academic studies suggest that social media is indeed corrosive to trust in governments, news media, and people and institutions in general."

Resulta que, nos dice, los medios sociales amplifican la polarización política; fomenta el populismo (especialmente el de derechas) y está sociado con la difusicón de desinformación.


... the review found that, on balance, social media amplifies political polarization; foments populism, especially right-wing populism; and is associated with the spread of misinformation.
"... the review found that, on balance, social media amplifies political polarization; foments populism, especially right-wing populism; and is associated with the spread of misinformation."

Para los jóvenes, todo esto es un problema, porque puede que ni siquiera lleguen a tener una historia coherente de quiénes somos (quiénes son) y, por lo tanto, a compartir esa historia con otras personas.


One result is that young people educated in the post-Babel era are less likely to arrive at a coherent story of who we are as a people, and less likely to share any such story with those who attended different schools or who were educated in a different decade.
"One result is that young people educated in the post-Babel era are less likely to arrive at a coherent story of who we are as a people, and less likely to share any such story with those who attended different schools or who were educated in a different decade."

Antes de los medios sociales había una sola audiencia de masas que consumía más o menos el mismo contenido y, por lo tanto, más o menos la misma visión de sí mismos como sociedad.


... he notes a constructive feature of the pre-digital era: a single “mass audience,” all consuming the same content, as if they were all looking into the same gigantic mirror at the reflection of their own society.
"... he notes a constructive feature of the pre-digital era: a single “mass audience,” all consuming the same content, as if they were all looking into the same gigantic mirror at the reflection of their own society."

Podríamos estar llegando a un punto en el que nada significa nada ya, al menos de manera duradera.
Tomar control de las herramientas y de nuestra actividad. Un experimento.
Casi siempre que leemos sobre medios sociales nos dicen las mismas cosas: reducir, eliminar, malo, malo, malo... Sin embargo, para la mayoría esto no es ni realista ni práctico y eso parece demostrar un estudio (pequeñito) donde Matthew Salganick nos cuenta un experimento que hizo con sus estudiantes sobre el uso y gestión de las herramientas sociales. La idea era probar tres estrategias: restringir (sin llegar a eliminar) el uso, aumentar el uso activamente, y eliminarlo completamente.
Se puede leer en Improving Your Relationship with Social Media May Call for a Targeted Approach [0].

La idea era ver qué sucedía con cada uno de los grupos, claro.

Lo que esperaban era que los estudiantes que limitarn el uso (por contraposición a los que lo incrementaban) mejorarían su sensación de bienestar, soledad, productividad y calidad de sueño.


We expected that students who limited their use—as opposed to increasing it—would benefit more in terms of personal well-being, loneliness, productivity, and sleep quality.
"We expected that students who limited their use—as opposed to increasing it—would benefit more in terms of personal well-being, loneliness, productivity, and sleep quality. "

Pero la realidad es que los que obtuvieron mejores resultados fueron los que lo diseñaron una estrategia de uso adecuada. Por ejemplo, nos dice, evitar utilizar Instagram en la biblioteca.


But it turns out that the students who saw the most positive outcomes were those who designed their social media intervention in a targeted way – like avoiding Instagram while in the library.
"But it turns out that the students who saw the most positive outcomes were those who designed their social media intervention in a targeted way – like avoiding Instagram while in the library."

Parece que tratar de alcanzar objetivos realizables y no muy disruptivos es más beneficioso y alcanzable que cualquier otra estrategia.


In other words, changes that should be the easiest to try — small interventions students could stick to long-term — had the most positive effects.
"In other words, changes that should be the easiest to try — small interventions students could stick to long-term — had the most positive effects. "

Los estudiantes fijaban sus objetivos. Cosas como mejorar el sueño o perder mensos tiempo.


For example, some students were interested in improving their sleep and others were interested in wasting less time.
"For example, some students were interested in improving their sleep and others were interested in wasting less time."

Lo que descubrieron fue que los estudiantes que eligieron una intervención con algún objetivo (aumentar o disminuir el uso) fueron los más beneficiados desde el punto de vista del bienestar.


Students who designed a targeted intervention—either a decrease or an increase in use—experienced the greatest benefits to their overall well-being.
"Students who designed a targeted intervention—either a decrease or an increase in use—experienced the greatest benefits to their overall well-being. "

Sin embargo, los que hicieron cambios genéricos (por ejemplo borrar aplicaciones) no experimentaron un gran beneficio.


Students that made untargeted changes, such as deleting apps, tended not to experience as much benefit.
"Students that made untargeted changes, such as deleting apps, tended not to experience as much benefit."

Nos dice que, claro, probablemente los que hacían cambios selectivos sabían basatante bien cuáles eran los usos peores para ellos.


This difference is probably because many students already had strong intuitions about which parts of their social media use were harming them.
"This difference is probably because many students already had strong intuitions about which parts of their social media use were harming them."

En cuanto a la limitación, había fundamentalmente tres estrategias: limitar el tiempo, añadir fricción (que cueste un poco más usar la herramienta), o ...
... evitar algunas caracterísiticas particulares.


limiting time (e.g., only using social media 30 minutes a day, no using Instagram after 8pm);
adding friction (e.g., moving the social media apps from their phone’s home screen); and,
avoiding specific features (e.g., not using the NewsFeed but continuing to use other parts of Facebook).


Los beneficios de estos estudiantes eran una mejora del bienestar (aproximadamente la mitad de ellos), menor sentimiendo de soledad (un tercio), mejor sueño (la mitad dormían mejor y el resto no notaron cambios), más interacción en persona (la mayoría) y uso del teléfono disminuyó (mayoría).
Muchos de ellos adoptaron las limitaciones de forma permanente, para continuar con ellas después del fin del experimento.


Many students adopted their limitation after the treatment period ended: About half stuck to their intervention, even after the class activity was over.
"
Los beneficios de estos estudiantes eran una mejora del bienestar (aproximadamente la mitad de ellos), menor sentimiendo de soledad (un tercio), mejor sueño (la mitad dormían mejor y el resto no notaron cambios), más interacción en persona (la mayoría) y uso del teléfono disminuyó (mayoría).
Muchos de ellos adoptaron las limitaciones de forma permanente, para continuar con ellas después del fin del experimento.


Many students adopted their limitation after the treatment period ended: About half stuck to their intervention, even after the class activity was over. "

Los del uso incrementado también experimentaron una mejora del bienestar (más del 60%), la mitad se sentían menos estresados, ansiosos y solitarios (un tercio).
También adoptaron el nuevo uso como más permanente.


Many students adopted their intervention after the treatment period ended. Interestingly, more than 40% also continued their increased use long-term. Most of these students had increased some type of active engagement, such as direct messaging with friends or regularly posting photos and videos on Instagram or TikTok.
"Many students adopted their intervention after the treatment period ended. Interestingly, more than 40% also continued their increased use long-term. Most of these students had increased some type of active engagement, such as direct messaging with friends or regularly posting photos and videos on Instagram or TikTok."

Entre los que eliminaron el uso de, al menos, una aplicación social no se podía observar un patrón general.

La mitad decían que no observaban cambios y de la otra mitad, unos mejoraban su bienestar y los otros lo empeoraban (aproximadamente igual). Un 70% sintío menos estrés y ansiedad, pero los restantes sentían más. La sensación de soledad empeoró o no cambió (un tercio). La productividad tampoco muestra una tendencia: la mitad dicen que mejora y la otra mitad no nota cambios. La calidad de sueño mejoró para la mitad y para un tercio empeoró. La mayoría sí que mejoró en sus interacciones personales. También decreció para la mayoría el uso del teléfono y la mayoría volvieron a sus costumbres anteriores.

En definitiva, parece que lo más eficaz es intentar una aproximación con algún objeitov.


Our main takeaway is that, if you want to reduce social media’s harmful effects on you and increase its benefits, the most effective approach may be to try a targeted intervention.
"Our main takeaway is that, if you want to reduce social media’s harmful effects on you and increase its benefits, the most effective approach may be to try a targeted intervention."

Esto, si lo pensamos, puede ser un problema porque muchas veces nos dejamos llevar. Además, la intervención puede ser diferente para cada persona. Todavía hay otra cuestión y es que los estudiantes eligieron.


We want to point out several caveats. First, this targeted invention will vary from person to person. [...] Also, because students designed their own treatment—rather than having it assigned to them—it is hard to rule out the possibility that certain kinds of students might have self-selected into targeted interventions.
"We want to point ou
En las Cortes de Aragón hablando sobre le proyecto de ley de la nube
El director de la Cátedra Telefónica-@unizar [0] de Ciberseguridad (@DIIS_UZ [1]), Fernando Tricas, pone en valor que es "una ley oportuna a la par que necesaria" y destaca que Unizar "ya ha empezado su camino formativo en materias tecnológicas". 🗣️#AudienciasLegislativas [2] pic.twitter.com/k2F3Q5YUBR [3]— Cortes de Aragón (@cortes_aragon) July 28, 2022 [4]"l director de la Cátedra Telefónica-@unizar de Ciberseguridad (@DIIS_UZ), Fernando Tricas, pone en valor que es "una ley oportuna a la par que necesaria" y destaca que Unizar "ya ha empezado su camino formativo en materias tecnológicas". 🗣️#AudienciasLegislativas pic.twitter.com/k2F3Q5YUBR— Cortes de Aragón (@cortes_aragon) July 28, 202"
Desde el Gobierno de Aragón se está promoviendo una ley para regular el uso de las tecnologías en la nube. En Proceso participativo. Anteproyecto de Ley de medidas para la implantación y desarrollo en Aragón de tecnologías en la nube (Tecnologías Cloud) [5] se pueden ver algunos de los pasos previos y el proyecto de ley.

Dentro del proceso han dado audiencia a una serie de asociaciones, organizaciones e instituciones y pidieron su opinión a nuestro departamento. Me pidieron que lo preparara yo y lo comparto aquí por si es de utilidad. Se hizo con poco tiempo (nos avisaron un par de semanas antes de la intervención), así que no ha habido una toma de opinión del Departamento como tal, aunque sí se ha comentado con algunas personas. Disponíamos de 8 minutos, que tampoco dan mucho de sí para entrar en grandes debates ni muchos matices.

La comparecencia se puede ver en vídeo en Comisión de Ciencia, Universidad y Sociedad del Conocimiento/Audiencias legislativas [6] (la inter vención está al final, pero todas las aportaciones son interesantes):

El texto que leí:


Comparecencia de Fernando Tricas García en representación del Departamento de Informática e Ingeniería de Sistemas de la Universidad de Zaragoza relativa al proceso de audiencias legislativas del Proyecto de Ley de medidas para la implantación y desarrollo en Aragón de tecnologías en la nube (tecnología Cloud)
"Comparecencia de Fernando Tricas García en representación del Departamento de Informática e Ingeniería de Sistemas de la Universidad de Zaragoza relativa al proceso de audiencias legislativas del Proyecto de Ley de medidas para la implantación y desarrollo en Aragón de tecnologías en la nube (tecnología Cloud) "

Buenos días,

desde el Departamento de Informática e Ingeniería de Sistemas de la Universidad de Zaragoza estamos agradecidos de que las la Comisión de Ciencia, Universidad y Sociedad del Conocimiento cuente con nosotros en relación con la tramitación del Proyecto de Ley de medidas para la implantación y desarrollo en Aragón de tecnologías en la nube (tecnología Cloud)
"Buenos días,

desde el Departamento de Informática e Ingeniería de Sistemas de la Universidad de Zaragoza estamos agradecidos de que las la Comisión de Ciencia, Universidad y Sociedad del Conocimiento cuente con nosotros en relación con la tramitación del Proyecto de Ley de medidas para la implantación y desarrollo en Aragón de tecnologías en la nube (tecnología Cloud) "

Sirva esta comparecencia para ponernos a su disposición para los proyectos que consideren oportunos en el futuro.
"Sirva esta comparecencia para ponernos a su disposición para los proyectos que consideren oportunos en el futuro."

Empezaré recordando como al principio de la pandemia muchas organizaciones y empresas nos encontramos sin poder acudir a la oficina, pero con la obligación de continuar con nuestra tarea; podemos decir que gracias a la nube esto fue posible. Probablemente, con recursos propios hubiera sido muy difícil; no sólo eso, los proveedores dieron la talla y nos ayudaron en momentos muy complicados. Alguien tendrá que hacer el debido reconocimiento en algún momento.
Todo ello a lo largo del territorio, independientemente de los recursos locales concretos, ...
... iempre que las infraestructuras de comunicaciones lo permitían.
"Empezaré recordando como al principio de la pandemia muchas organizaciones y empresas nos encontramos sin poder acudir a la oficina, pero con la obligación de continuar con nuestra tarea; podemos decir que gracias a la nube esto fue posible. Probablemente, con recursos propios hubiera sido muy difícil; no sólo eso, los proveedores dieron la talla y nos ayudaron en momentos muy complicados. Alguien tendrá que hacer el debido reconocimiento en algún momento.
Todo ello a lo largo del territorio, independientemente de los recursos locales concretos, siempre que las infraestructuras de comunicaciones lo permitían."

El 23 de febrero de 2021 el experto estadounidense Bruce Schneier escribía un texto titulado (traducción propia): “¿Por qué era tan vulnerable Solarwinds a un ataque? Es la economía, estúpido” (Why Was SolarWinds So Vulnerable to a Hack? [7]) que aúna algunos temas que nos pueden interesar aquí: la ciberseguridad, los aspectos económicos (no olvidemos que la informática es un medio para conseguir los objetivos de las empresas y las organizaciones) y cómo podemos enfrentarnos a la informatización como sociedad.
"El 23 de febrero de 2021 el experto estadounidense Bruce Schneier escribía un texto titulado (traducción propia): “¿Por qué era tan vulnerable Solarwinds a un ataque? Es la economía, estúpido” (Why Was SolarWinds So Vulnerable to a Hack?) que aúna algunos temas que nos pueden interesar aquí: la ciberseguridad, los aspectos económicos (no olvidemos que la informática es un medio para conseguir los objetivos de las empresas y las organizaciones) y cómo podemos enfrentarnos a la informatización como sociedad."

Cuando hablamos de ciberseguridad, existe una importante asimetría informativa: abreviando mucho, nos decía que los compradores no siempre tienen la capacidad para juzgar adecuadamente los productos informáticos ni las prácticas de las empresas proveedoras. Existe, además, un problema de incentivos, puesto que el mercado anima a las empresas a tomar decisiones en su propio interés. La conclusión era que la única forma de forzar a las empresas a proporcionar seguridad y protección es mediante la intervención del gobierno, a través de una combinación de leyes y regulaciones.
"Cuando hablamos de ciberseguridad, existe una importante asimetría informativa: abreviando mucho, nos decía que los compradores no siempre tienen la capacidad para juzgar adecuadamente los productos informáticos ni las prácticas de las empresas proveedoras. Existe, además, un problema de incentivos, puesto que el mercado anima a las empresas a tomar decisiones en su propio interés. La conclusión era que la única forma de forzar a las empresas a proporcionar seguridad y protección es mediante la intervención del gobierno, a través de una combinación de leyes y regulaciones."

Los gobiernos deben estar al tanto para aprovechar las ventajas socioeconómicas que aportan nuevos servicios informáticos así como garantizar la protección y acceso de la ciudadanía. En este sentido, una ley como la que se está discutiendo es oportuna a la par que necesaria.
"Los gobiernos deben estar al tanto para aprovechar las ventajas socioeconómicas que aportan nuevos servicios informáticos así como garantizar la protección y acceso de la ciudadanía. En este sentido, una ley como la que se está discutiendo es oportuna a la par que necesaria."

También es oportuna por el carácter prescriptivo de las regulaciones: probablemente las empresas y organizaciones que carecen de los recursos necesarios para tomar algunas decisiones tecnológicas, o que son más conservadoras, adquieran la confianza necesaria al existir una regulación en la que fijarse.
"También es oportuna por el carácter prescriptivo de las regulaciones: probablemente las empresas y organizaciones que carecen de los recursos necesarios para tomar algunas decisiones tecnológicas, o que son más conservadoras, adquieran la confianza necesaria al existir una regulación en la que fijarse."

Como hecho notable, la ley plante
El fuego purificador y devastador y los activos digitales
¿Qué sucede cuando te cortas tu propio acceso a tus recursos digitales?
Nos lo cuenta Terence Eden en I've locked myself out of my digital life [0].

Su casa se incenció y perdió todos sus dispositivos: portátil, teléfono, ... y otros dispositivos digitales.


Last night, lightning struck our house and burned it down. I escaped wearing
only my nightclothes.

In an instant, everything was vaporised. Laptop? Cinders. Phone? Ashes. Home
server? A smouldering wreck. Yubikey? A charred chunk of gristle.
"Last night, lightning struck our house and burned it down. I escaped wearing
only my nightclothes.

In an instant, everything was vaporised. Laptop? Cinders. Phone? Ashes. Home
server? A smouldering wreck. Yubikey? A charred chunk of gristle."

Si tienes una vida digital normal, es posible que tengas muchas de tus cosas en alguna de las nubes disponibles, así que no hay problema.
¿Seguro?
Tienes que poder acceder a los servicios, y eso es difícil cuando las contraseñas están almacenadas en un sistema cuyo acceso dependa de los dispositivos quemados.
¿He oido autentificación en dos pasos?


In order to recover my digital life, I need to be able to log in to things. This means I need to know my usernames (easy) and my passwords (hard). All my passwords are stored in a Password Manager. I can remember the password to that. But logging in to the manager also requires a 2FA code. Which is generated by my phone.
"In order to recover my digital life, I need to be able to log in to things. This means I need to know my usernames (easy) and my passwords (hard). All my passwords are stored in a Password Manager. I can remember the password to that. But logging in to the manager also requires a 2FA code. Which is generated by my phone."

En algunos casos se puede designar a un contacto cercano que podría darte acceso a algunas cosas, pero eso es un problema si tu contacto cercano es tu esposa y tiene los dispositivos tan quemados como los tuyos.


The wife who lives with me in the same house. And, obviously, has just lost all her worldly possessions in a freak lightning strike.
" The wife who lives with me in the same house. And, obviously, has just lost all her worldly possessions in a freak lightning strike."

Todos estamos pensando que sería fácil conseguir una nueva SIM para el teléfono y, a partir de allí, empezar a recuperar algo a través de los típicos SMSs. Pero... hay que identificarse: los pasaportes y otros documentos también arden bien.


The only question is - how do I prove to the staff at my local phone shop that
I am the rightful owner of a SIM card which is now little more than soot?
Perhaps I can just rock up and say "Don't you know who I am?!?!"
"The only question is - how do I prove to the staff at my local phone shop that
I am the rightful owner of a SIM card which is now little more than soot?
Perhaps I can just rock up and say "Don't you know who I am?!?!""

Así que la recuperación será lenta.

Y la conclusión es que si hacemos que nuestros recursos sean muy seguros, y dependan de cosas que no podemos proteger ante cualquier problema, puede que terminemos fastidiados. Los programas serán inflexibles con nosotros.


But when things are secured by an unassailable algorithm - I am out of luck. No amount of pleading will let me without the correct credentials. The company which provides my password manager simply doesn't have access to my passwords. There is no-one to convince. Code is law.
"But when things are secured by an unassailable algorithm - I am out of luck. No amount of pleading will let me without the correct credentials. The company which provides my password manager simply doesn't have access to my passwords. There is no-one to convince. Code is law."

La buena seguridad tiene que tener en cuenta todo.
[0] I've locked myself out of my digital life
https://shkspr.mobi/blog/2022/06/ive-locked-myself-out-of-my-digital-life/