El pasado Lunes en el CIGTR publicaban la entrevista que Mercè Molist me había hecho unos días antes. Una entrevista muy completa, en la que tratamos por supuesto mis inicios en este mundo, pero también muchos temas que son hoy en día noticia en el apartado de la seguridad y privacidad digital.
Y para mi, todo un placer el haber podido formar parte de ese reducido grupo de entrevistados en el CIGTR, con personalidades del sector que sin lugar a duda son referentes para muchos de nosotros.
Sin más, le dejo las respuestas a las preguntas que me hacía vía email, y el enlace a la versión en español (ES) y en inglés (EN) de la entrevista.
- Hablar de ti es hablar de tu blog.
El blog nació hace algo más de 3 años y medio y ahora tiene 30.000 usuarios mensuales. Lo que me anima a seguir es la Comunidad de Nuevas Tecnologías y Seguridad de la Información, formada ya por más de 1000 miembros. Recientemente hemos habilitado un sistema de micromecenazgo para tener un contacto más directo con los patronos y mantener la objetividad en los análisis tecnológicos.
- Eres un raro espécimen: alguien que sabe de seguridad y también de redes sociales, networking, reputación… ¿vino uno después del otro? ¿cómo es eso?
¡Uy, créeme! No es la primera vez que me llaman raro. Pero te voy a contar un secreto… ¡Los raros son los demás! En serio, lo normal en pleno siglo XXI es que el individuo se interesase por cuantos más ámbitos del conocimiento mejor. Es algo que deberíamos aprender de la cultura griega clásica.
Ahora mismo la sociedad valora los perfiles especialistas por encima de los generalistas, y no debería ser ni lo uno ni lo otro. Es más, se está empezando a ver, llevándolo a nuestro sector, cómo existe ya una falta de expertise en humanidades en escenarios que a priori estaban destinados exclusivamente a ingenieros, como el de la inteligencia artificial o la seguridad informática.
De nada nos sirve un sistema puramente objetivo cuando este va instalado en un coche y debe decidir a quien pone en peligro ante un accidente. Aquí entran en juego también factores éticos que deben ser contemplados en el diseño, y para el que los ingenieros, lamentablemente, no están preparados (no es su competencia).
Por otro lado, dime de qué nos sirve tener las herramientas informáticas mejor segurizadas, si al final los malos van a aplicar ingeniería social en el usuario, vulnerando todo el sistema. ¿No sería mejor dedicar parte de ese trabajo en la formación de los usuarios, en la democratización de la tecnología?
- ¿Crees que a la seguridad informática le falta networking? 🙂
Esta pregunta hila con la anterior. No es solo que le falte networking, le falta comunicación.
Faltan más propuestas como las que hacéis en el CIGTR por acercar la tecnología a las masas. Porque al final vale que los que estamos en el ajo nos gusta “cacharrear” y dedicarle horas a solucionar problemas, pero el resto de la sociedad lo que espera es que la tecnología sea una mera herramienta para mejorar su vida, y no un problema que requiere aprendizaje previo y que dificulta aún más cualquier cosa que haya que hacer.
Y te pongo un ejemplo: La mayoría de sistemas de seguridad están basados en acciones por parte del usuario (que si mete aquí un doble factor de autenticación, que si define estas preguntas para el día que pierdas la contraseña,…). Si queremos que la seguridad informática pase a ser crítica para el negocio y asequible para el cliente, debe saber funciona a expensas de él. Dejar de ser un problema y ser una solución, algo que no es molesto, sino deseable.
- Otro tema al que dedicas mucha atención en tus artículos es la privacidad. ¿Crees que ha muerto, como dijo algún gurú ya hace mucho?
Morir nunca. Forma parte de nuestros instintos como seres humanos. La propia identidad del individuo no tendría sentido sin marcar esos límites que dibuja la privacidad.
Ahora bien, y aquí me toca hacer de abogado del diablo, lo que si va a cambiar (ha cambiado y cambiará) es el concepto de privacidad, hasta dónde llegan esos límites. Hace unos años, parecía impensable que alguien iba a aceptar de buena gana llevar en el bolsillo un chisme que 24/7 permitiera a terceros ponerse en contacto con él. También ahora nos parece imperdonable que una gran empresa explote todo nuestro historial digital para mejorar un servicio que nos ceden “gratuitamente”… Tiempo al tiempo.
Los límites de lo que consideramos privado o público son moldeables, y dependen en gran medida de la confianza que podamos depositar en esos nuevos agentes. Hoy son las redes sociales, los grandes servicios de internet, los gobiernos, pero mañana serán otros. Todo se basa, por tanto, en qué garantías nos aportan.
- Me gusta mucho tu blog porque siempre tienes una visión alternativa y profunda a la vez de los grandes temas de actualidad. ¿Puedo preguntarte por algunos y me das tu opinión en pocas líneas?
Venga va, ¡dispara!
- Primero: La monitorización electrónica de los estados a sus ciudadanos.
Empiezas fuerte, jajaja. He escrito ríos de tinta al respecto, pero por resumir, decirte que no. Por mucho que nos vendan la moto, la monitorización masiva no sirve para luchar contra el terrorismo, o para salvaguardar la seguridad de nuestros pequeños. La única razón que hay para tejer un Sistema de Control es precisamente el control de la ciudadanía.
Sea premeditado o no, cuidado. Que aquí los trabajadores de las agencias de inteligencia no son demonios. Pero se empieza con eso, y luego se continúa espiando conversaciones, y luego aprovechando ese conocimiento para pervertir el voto de los ciudadanos, o para gestionar más eficazmente el discurso que debe haber sobre un tema específico.
Al terrorismo se le combate axfisiándolo financieramente, y generando una sociedad bien educada, que sea capaz de anteponerse a los sistemas de reclutamiento de estos grupos. No con monitorización masiva, que los malos siempre van a tener herramientas para coordinarse.
- Segundo: Que se pida licencia (carnet de hacker) a las empresas de seguridad informática.
Una medida exactamente igual que la llevada por el gobierno de Rusia al obligar a cualquier blogger a identificarse en una lista con su nombre real. O la que intentó sacar adelante el gobierno de Cameron en Reino Unido pidiendo expresamente que cualquiera que quisiera consumir pornografía en su hogar se apuntara a una lista para que el ISP de turno le diera acceso a este tipo de contenido.
Solo diré una cosa. Entre 1940 y 1942 en Holanda se realizó un censo que entre otras cosas, se hacía referencia a las preferencias religiosas de cada ciudadano. El gobierno lo hizo con toda la buena voluntad del mundo (destinar más o menos recursos económicos para la construcción de iglesias o sinagogas). Cuando los nazis llegaron, ya tenían todo el trabajo de inteligencia hecho. Solo el 10% de judios holandeses sobrevivió al Holocausto.
El problema de estas listas no radica únicamente en los usos que puedan tener en la actualidad, sino en los que tendrán el día de mañana.
- Tercero: Que las herramientas de hacking se consideren armas, sometidas a tratados de exportación y penas de prisión por tenencia.
Absurdo, para variar. Como lo son algunos de los puntos del TPP, que prohibe la modificación de productos tecnológicos que ya son tuyos porque los has comprado. Lo que se busca es precisamente la criminalización del hacking en su definición más primordial: El explorar los límites de la realidad y encontrar caminos alternativos no contemplados en el sistema.
Eso en una sociedad basada en el movimiento estático (aparentar que todo cambia cuando todo sigue exactamente igual) resulta molesto. Que haya herramientas entre la ciudadanía que puedan, llegado un momento, demostrar los abusos del Sistema, es peligroso, y debe ser erradicado a toda cosa.
Por cierto, hackers, ir corriendo a apuntaros a esa lista. Ya veréis lo bien que os va a venir el día de mañana :).
- Cuarto: Google.
Jajajaja, que conste que les meto mucha caña pero soy de los primeros en usar la mayoría de sus servicios.
Google es una corporación, y como todas las corporaciones, lo que busca es ganar cada vez más dinero. Su negocio es la explotación de los datos de sus usuarios, que ellos (nosotros) cedemos a cambio de servicios que generalmente son de lo mejorcito del mercado.
Esto significa que por un lado Google favorece un escenario que pone en serios aprietos el surgimiento de alternativas a su nivel. El conocimiento que tiene de cada uno de nosotros es la mejor gasolina que existe para mejorar el resto de servicios que nos ofrece, y así se crea un círculo vicioso que acaba por hacerte explotar la cabeza.
No hay privacidad en Google, pero por ahora sí creo que Google ofrece garantías para ceder parte de esa privacidad. Porque como corporación, le interesa que el usuario sienta que tiene esas garantías, y no va a dudar en fortalecer y segurizar al máximo sus sistemas para evitar que otros (sea un gobierno, sea la competencia, sean sus propios trabajadores) se aprovechen de la mina de oro que tiene bajo su falda.
- Quinto: Adblocks, malware.. ¿qué camino le queda a la publicidad en Internet?
Mucho, muchísimo, siempre y cuando la industria sea capaz de anteponer el sentido común a lo que dicen sus departamentos de ventas.
Al usuario no le importa consumir publicidad si esta publicidad tiene como objetivo ofrecer valor, y lo hace con las herramientas y canales oportunos (no invasivos, en todo caso). La publicidad en Instagram o en Snaptchat funciona. Los artículos y vídeos patrocinados, mientras se produzcan pensando en la audiencia y no en el que pone el dinero, también.
El negocio de internet sigue y presumiblemente seguirá siendo el de la publicidad, pero esta debe encontrar maneras de no resultar molesta y de no trackear y perseguir al usuario. Por el blog daba no hace mucho algunos tips, pero este tipo de artículos no suelen interesar a los que están al otro lado.
- Por último.. existe alguna frase que aún no hayas convertido en contraseñas que guíe tu camino?
¿Qué te parece esta?
“El acceso a la información es la mejor arma que tiene el pueblo para ser dueño de su futuro”.
Antes de continuar leyendo, lei esta frase “dedicarle horas a solucionar problemas, pero el resto de la sociedad lo que espera es que la tecnología sea una mera herramienta para mejorar su vida, y no un problema que requiere aprendizaje previo” viene a recordarme de algo entre conocidos con otro tipo de personas que nos decian, para que estudiar ingenieria en el pais, mejor dejar que en lso paises grandes hagan las cosas y uno solo las disfruta..
Entonces el placer o la satisfaccion de hacer algo/crear algo y ver como funciona.. ¿no vale? que tipo de ideologia tendrian estas personas… o talves no tendrian fe en que algun dia este pais Guatemala salga al desarrollo… =(
Tienes mucha razón, y como bien sabes, comparto tu punto de vista.
Ahora bien, aquí me toca hacer de abogado del diablo, al exponer que aunque esa base de conocimiento tecnológica debería (y acabará siendo) necesaria para el buen devenir de la sociedad, eso no quita que el grueso de la misma espere que la tecnología que usa en el día a día sea una ayuda y no una carga.
Es decir, que lo que no deberíamos perder es la capacidad y el derecho de explotar la tecnología, pero que al menos, si el usuario no quiere explotarla, le sirva como herramienta convenientemente parametrizada a la mayoría de causísticas que precisa.
En el campo de la seguridad esto pasa por conocer los riesgos a los que estamos expuestos, pero intentar, en la medida de lo posible, facilitarle la vida al usuario segurizando las herramientas por nuestro lado. Al igual que pasa en el resto de tecnologías, que deberían ofrecer una configuración avanzada, pero de base, ser inmediatas para un profano.
Espero haberme explicado dbillyx. Buen punto de debate.