2022-08-08

El fuego purificador y devastador y los activos digitales

Lanzarote. Jugar con fuego
¿Qué sucede cuando te cortas tu propio acceso a tus recursos digitales?
Nos lo cuenta Terence Eden en I've locked myself out of my digital life.

Su casa se incenció y perdió todos sus dispositivos: portátil, teléfono, ... y otros dispositivos digitales.


Last night, lightning struck our house and burned it down. I escaped wearing
only my nightclothes.

In an instant, everything was vaporised. Laptop? Cinders. Phone? Ashes. Home
server? A smouldering wreck. Yubikey? A charred chunk of gristle.


Si tienes una vida digital normal, es posible que tengas muchas de tus cosas en alguna de las nubes disponibles, así que no hay problema.
¿Seguro?
Tienes que poder acceder a los servicios, y eso es difícil cuando las contraseñas están almacenadas en un sistema cuyo acceso dependa de los dispositivos quemados.
¿He oido autentificación en dos pasos?


In order to recover my digital life, I need to be able to log in to things. This means I need to know my usernames (easy) and my passwords (hard). All my passwords are stored in a Password Manager. I can remember the password to that. But logging in to the manager also requires a 2FA code. Which is generated by my phone.


En algunos casos se puede designar a un contacto cercano que podría darte acceso a algunas cosas, pero eso es un problema si tu contacto cercano es tu esposa y tiene los dispositivos tan quemados como los tuyos.


The wife who lives with me in the same house. And, obviously, has just lost all her worldly possessions in a freak lightning strike.


Todos estamos pensando que sería fácil conseguir una nueva SIM para el teléfono y, a partir de allí, empezar a recuperar algo a través de los típicos SMSs. Pero... hay que identificarse: los pasaportes y otros documentos también arden bien.


The only question is - how do I prove to the staff at my local phone shop that
I am the rightful owner of a SIM card which is now little more than soot?
Perhaps I can just rock up and say "Don't you know who I am?!?!"


Así que la recuperación será lenta.

Y la conclusión es que si hacemos que nuestros recursos sean muy seguros, y dependan de cosas que no podemos proteger ante cualquier problema, puede que terminemos fastidiados. Los programas serán inflexibles con nosotros.


But when things are secured by an unassailable algorithm - I am out of luck. No amount of pleading will let me without the correct credentials. The company which provides my password manager simply doesn't have access to my passwords. There is no-one to convince. Code is law.


La buena seguridad tiene que tener en cuenta todo.


Puedes enterarte de las notas nuevas en: @reflexioneseir (Twitter), Reflexiones e Irreflexiones (Página de Facebook), Reflexiones e Irreflexiones (Canal de Telegram), fernand0 (en LinkedIn), @fernand0 (en Medium), Mastodon.

2022-08-08 17:42 | 0 Comentarios | In English, please | En PDF | Para enlazar # |
| Compartir/Share | por correo | en Twitter | en LinkedIn | en Facebook | en Google+ | en Delicious |

2022-08-01

En las Cortes de Aragón hablando sobre le proyecto de ley de la nube


Desde el Gobierno de Aragón se está promoviendo una ley para regular el uso de las tecnologías en la nube. En Proceso participativo. Anteproyecto de Ley de medidas para la implantación y desarrollo en Aragón de tecnologías en la nube (Tecnologías Cloud) se pueden ver algunos de los pasos previos y el proyecto de ley.

Dentro del proceso han dado audiencia a una serie de asociaciones, organizaciones e instituciones y pidieron su opinión a nuestro departamento. Me pidieron que lo preparara yo y lo comparto aquí por si es de utilidad. Se hizo con poco tiempo (nos avisaron un par de semanas antes de la intervención), así que no ha habido una toma de opinión del Departamento como tal, aunque sí se ha comentado con algunas personas. Disponíamos de 8 minutos, que tampoco dan mucho de sí para entrar en grandes debates ni muchos matices.

La comparecencia se puede ver en vídeo en Comisión de Ciencia, Universidad y Sociedad del Conocimiento/Audiencias legislativas (la inter vención está al final, pero todas las aportaciones son interesantes):

El texto que leí:


Comparecencia de Fernando Tricas García en representación del Departamento de Informática e Ingeniería de Sistemas de la Universidad de Zaragoza relativa al proceso de audiencias legislativas del Proyecto de Ley de medidas para la implantación y desarrollo en Aragón de tecnologías en la nube (tecnología Cloud)


Buenos días,

desde el Departamento de Informática e Ingeniería de Sistemas de la Universidad de Zaragoza estamos agradecidos de que las la Comisión de Ciencia, Universidad y Sociedad del Conocimiento cuente con nosotros en relación con la tramitación del Proyecto de Ley de medidas para la implantación y desarrollo en Aragón de tecnologías en la nube (tecnología Cloud)


Sirva esta comparecencia para ponernos a su disposición para los proyectos que consideren oportunos en el futuro.


Empezaré recordando como al principio de la pandemia muchas organizaciones y empresas nos encontramos sin poder acudir a la oficina, pero con la obligación de continuar con nuestra tarea; podemos decir que gracias a la nube esto fue posible. Probablemente, con recursos propios hubiera sido muy difícil; no sólo eso, los proveedores dieron la talla y nos ayudaron en momentos muy complicados. Alguien tendrá que hacer el debido reconocimiento en algún momento.
Todo ello a lo largo del territorio, independientemente de los recursos locales concretos, siempre que las infraestructuras de comunicaciones lo permitían.


El 23 de febrero de 2021 el experto estadounidense Bruce Schneier escribía un texto titulado (traducción propia): “¿Por qué era tan vulnerable Solarwinds a un ataque? Es la economía, estúpido” (Why Was SolarWinds So Vulnerable to a Hack?) que aúna algunos temas que nos pueden interesar aquí: la ciberseguridad, los aspectos económicos (no olvidemos que la informática es un medio para conseguir los objetivos de las empresas y las organizaciones) y cómo podemos enfrentarnos a la informatización como sociedad.


Cuando hablamos de ciberseguridad, existe una importante asimetría informativa: abreviando mucho, nos decía que los compradores no siempre tienen la capacidad para juzgar adecuadamente los productos informáticos ni las prácticas de las empresas proveedoras. Existe, además, un problema de incentivos, puesto que el mercado anima a las empresas a tomar decisiones en su propio interés. La conclusión era que la única forma de forzar a las empresas a proporcionar seguridad y protección es mediante la intervención del gobierno, a través de una combinación de leyes y regulaciones.


Los gobiernos deben estar al tanto para aprovechar las ventajas socioeconómicas que aportan nuevos servicios informáticos así como garantizar la protección y acceso de la ciudadanía. En este sentido, una ley como la que se está discutiendo es oportuna a la par que necesaria.


También es oportuna por el carácter prescriptivo de las regulaciones: probablemente las empresas y organizaciones que carecen de los recursos necesarios para tomar algunas decisiones tecnológicas, o que son más conservadoras, adquieran la confianza necesaria al existir una regulación en la que fijarse.


Como hecho notable, la ley plantea la existencia de la calificación como Solución Cloud Certificada: este podría ser uno de los instrumentos que proporcionen seguridad y garantías a las posibles personas usuarias.


Comentaremos a continuación algunos aspectos de la ley.


Echamos de menos, aunque probablemente no corresponda a la ley, la recomendación de acudir a una diversidad de proveedores. De hecho, en el artículo 10, ‘Condiciones de uso de las tecnologías Cloud.’ se alude directamente a la homogeneidad, que parece contrapuesta a la diversidad, tan valiosa desde muchos puntos de vista, también en tecnología. Por falta de tiempo no lo comentaré, pero recomiendo buscar el texto sobre la monocultura informática de Dan Geer (sobre el tema: Warning: Microsoft 'Monoculture') y los problemas que estaba causando alrededor del año 2004. Por cierto, esa monocultura era tan exagerada en aquel momento que Geer fue despedido de su empresa como resultado de sus afirmaciones.

En los temas relacionados con la informática se observa con frecuencia el denominado efecto Mateo: «el rico se hace más rico y el pobre se hace más pobre» que produce una cierta tendencia a la concentración de servicios en pocos proveedores; estos pueden sentir la tentación de sacar partido de esta acumulación.
La ley alude a la portabilidad de soluciones para evitar estos problemas, pero ya hemos visto en el pasado (por ejemplo, con los sistemas operativos) que esas tendencias son muy difíciles de contrarrestar.


En el artículo 13, apartado e, se habla de la seguridad desde el diseño. Es agradable ver ese tipo de recomendaciones, que llevamos cerca de 20 años haciendo desde nuestros ámbitos de influencia. Tal vez habría que añadir que se haga siempre basado en los análisis de riesgos. Es cierto que se alude al Esquema Nacional de Seguridad y el Reglamento General de Protección de Datos que ya incorporan estas ideas, pero tal vez valga la pena recomendarlo aquí también. La seguridad perfecta no existe, y los recursos infinitos para tratar de alcanzarla tampoco. Muchas veces, ni siquiera tiene sentido prestar atención a todos los riesgos.


En el apartado IV de la ‘Exposición de motivos’ y en el artículo 21, ‘Requisitos’, apartado b, parte 2, se indica: ‘Estar en posesión de todas las certificaciones de cumplimiento de requisitos vigentes en materia de seguridad de la información, seguridad para los servicios Cloud, la protección de identificación personal en nubes públicas, y las que se determinen en cada momento.’
La última frase parece concretar un poco la exigencia pero, a priori, hacer referencia ‘todas las certificaciones de cumplimiento …’ sin concretar ninguna legislación ni marco de referencia podría ser considerado como muy exigente.


Sobre el artículo 22, ‘Procedimiento’, se dice: ‘La valoración técnica para el otorgamiento de la calificación se efectuará por una comisión técnica de evaluación …’ sin aclarar si esta valoración técnica será un informe positivo/negativo, o si existirá alguna rúbrica o instrumento similar. Tampoco si sería necesario algún tipo de acuerdo de la comisión a la hora de emitirlo (mayoría, unanimidad, …) o la posibilidad de otras particularidades, ni si la valoración es vinculante o no. Finalmente, notar que la comisión tiene un número mínimo par de integrantes


En el artículo 24, ‘Validez’ referido a la certificación se habla de dos años; nos preguntamos aquí si no será un proceso demasiado intensivo y debería pensarse en periodos más largos con la capacidad por parte de los gestores de limitarla o cancelarla en casos de incumplimiento, tal y como está previsto en el artículo 27. Esos dos años de validez y los tres meses de tiempo disponible para otorgar la calificación a un proveedor puede algo pasar más del 10% del tiempo pendiente de calificación.

Finalmente, y como riesgo externo, conocemos la celeridad en añadir legislación en algunas ocasiones relativa a los procesos administrativos y nos preguntamos si no tendría sentido indicar que la certificación lleve implícita la adaptación a los cambios legislativos que puedan suceder durante el periodo de validez. Las leyes hay que cumplirlas siempre, y seguro que los proveedores lo harán, pero tal vez convendría recordarlo en los requisitos.


Sobre el artículo 26, ‘Obligaciones’ se indica, en el apartado d, ‘Identificar y notificar a Aragonesa de Servicios Telemáticos aquellas brechas de seguridad de la información que afecten a los datos alojados o que constituyan un riesgo para los derechos y libertades de las personas.’. Puesto que la ley se aplica al sector público autonómico, tiene sentido lo que se dice. Pero cuando esta ley tenga efecto en que otras administraciones y las empresas utilicen estos servicios, convendría aclarar el alcance y los interesados en esas notificaciones. De manera similar podríamos referirnos al apartado e y el f.


Parecen muy oportunas las medidas de los artículos 32, y 33, ‘Medidas de impulso relacionadas con la capacitación profesional.’ y ‘Medidas de impulso relacionadas con la formación reglada.’ así como el artículo 31, ‘Medidas de impulso y fomento dirigidas al sector privado.’

La Universidad de Zaragoza ya ha empezado su camino formativo (más allá de la formación reglada) en las materias relacionadas con la nube. No las detallo por la limitación de tiempo, pero estaremos encantados de compartirlas con ustedes.

Se echa de menos, sin embargo, en el artículo 34, ‘Medidas relacionadas con el fomento de la confianza digital.’ la divulgación del conocimiento: no se trata de formación, pero sí de informar y concienciar a la ciudadanía sobre las soluciones, generando ese clima de confianza al que alude el título. Parece un artículo más orientado al acceso de la información en sí y tal vez sería conveniente completarlo proporcionando información sobre las tecnologías que permiten el acceso a esa información, para las personas que puedan estar interesadas.


No se detallan mucho los posibles conflictos (ya sabemos que hay leyes) técnicos y tecnológicos (interoperabilidad, protocolos, federación,...). Muchas veces la batalla por las formas de acceso se esconde detrás de la tecnología. También los judiciales y administrativos (ámbito, cuando algunas de las empresas van a ser transnacionales, consecuencias, …). Estos últimos, probablemente, serán discutidos por otras personas intervinientes.


Termino con un par de comentarios sobre el lenguaje.


Primero, un comentario menor sobre la definición de API, creo que sería Application Programming Interface (en singular).


Segundo, el uso de la palabra ‘cloud’ se hace de manera amplia a lo largo de todo el documento y parece correcto incluirlo puesto que se trata de un estándar de facto a nivel mundial. No obstante, y dado que la palabra nube es un buen equivalente para referirse a lo mismo, tal vez tendría sentido tratar de evitar el anglicismo cuando sea posible. Por ejemplo, en la Comisión para las Tecnologías Cloud que se define en el artículo 39, podría utilizarse la denominación Comisión para las Tecnologías en la Nube o similar.



Seguramente en los debates alrededor de esta ley se ha hablado de la soberanía tecnológica. Esta soberanía necesita recursos, personal técnico, compromisos y decisiones. Ojalá esta ley ayude a que el tejido industrial relacionado con la nube crezca y se desarrolle y las licitaciones del futuro puedan adjudicarse a empresas locales que encuentren el caldo de cultivo adecuado al amparo de esta ley. A lo mejor, basadas en soluciones desarrolladas o con contribuciones desde Aragón.



Muchas gracias, quedo a su disposición.


Zaragoza, 28 de julio de 2022.

Fernando Tricas García


Fue un honor representar a nuestro Departamento y tratar de contribuir a que nuestros representantes tengan más información y opinioones sobre estos temas.

Casualmente, hace unos días veía el vídeo (también de Bruce Schneier) sobre The Story of the Internet and How it Broke Bad: A Call For Public-Interest Technologists) donde nos recordaba a los tecnólogos que tenemos que intervenir en los temas de los políticos. Altamente recomendable e inspiradora.

Una buena forma de despedirnos hasta después de las vacaciones.

Ha tenido un pequeño reflejo en prensa:

Un experto de Unizar cree "oportuna y necesaria" la Ley de Tecnología Cloud

Un experto de Unizar cree "oportuna y necesaria" la Ley de Tecnología Cloud

Un experto de Unizar cree "oportuna y necesaria" la Ley de Tecnología Cloud

Esta entrada se publicó previamente en En las Cortes de Aragón hablando sobre le proyecto de ley de la nube.

Puedes enterarte de las notas nuevas en: @reflexioneseir (Twitter), Reflexiones e Irreflexiones (Página de Facebook), Reflexiones e Irreflexiones (Canal de Telegram), fernand0 (en LinkedIn), @fernand0 (en Medium), Mastodon.

2022-08-01 17:25 | 0 Comentarios | In English, please | En PDF | Para enlazar # |
| Compartir/Share | por correo | en Twitter | en LinkedIn | en Facebook | en Google+ | en Delicious |

2022-07-25

Tomar control de las herramientas y de nuestra actividad. Un experimento.

Mecanismos
Casi siempre que leemos sobre medios sociales nos dicen las mismas cosas: reducir, eliminar, malo, malo, malo... Sin embargo, para la mayoría esto no es ni realista ni práctico y eso parece demostrar un estudio (pequeñito) donde Matthew Salganick nos cuenta un experimento que hizo con sus estudiantes sobre el uso y gestión de las herramientas sociales. La idea era probar tres estrategias: restringir (sin llegar a eliminar) el uso, aumentar el uso activamente, y eliminarlo completamente.
Se puede leer en Improving Your Relationship with Social Media May Call for a Targeted Approach.

La idea era ver qué sucedía con cada uno de los grupos, claro.

Lo que esperaban era que los estudiantes que limitarn el uso (por contraposición a los que lo incrementaban) mejorarían su sensación de bienestar, soledad, productividad y calidad de sueño.


We expected that students who limited their use—as opposed to increasing it—would benefit more in terms of personal well-being, loneliness, productivity, and sleep quality.


Pero la realidad es que los que obtuvieron mejores resultados fueron los que lo diseñaron una estrategia de uso adecuada. Por ejemplo, nos dice, evitar utilizar Instagram en la biblioteca.


But it turns out that the students who saw the most positive outcomes were those who designed their social media intervention in a targeted way – like avoiding Instagram while in the library.


Parece que tratar de alcanzar objetivos realizables y no muy disruptivos es más beneficioso y alcanzable que cualquier otra estrategia.


In other words, changes that should be the easiest to try — small interventions students could stick to long-term — had the most positive effects.


Los estudiantes fijaban sus objetivos. Cosas como mejorar el sueño o perder mensos tiempo.


For example, some students were interested in improving their sleep and others were interested in wasting less time.


Lo que descubrieron fue que los estudiantes que eligieron una intervención con algún objetivo (aumentar o disminuir el uso) fueron los más beneficiados desde el punto de vista del bienestar.


Students who designed a targeted intervention—either a decrease or an increase in use—experienced the greatest benefits to their overall well-being.


Sin embargo, los que hicieron cambios genéricos (por ejemplo borrar aplicaciones) no experimentaron un gran beneficio.


Students that made untargeted changes, such as deleting apps, tended not to experience as much benefit.


Nos dice que, claro, probablemente los que hacían cambios selectivos sabían basatante bien cuáles eran los usos peores para ellos.


This difference is probably because many students already had strong intuitions about which parts of their social media use were harming them.


En cuanto a la limitación, había fundamentalmente tres estrategias: limitar el tiempo, añadir fricción (que cueste un poco más usar la herramienta), o evitar algunas caracterísiticas particulares.


limiting time (e.g., only using social media 30 minutes a day, no using Instagram after 8pm);
adding friction (e.g., moving the social media apps from their phone’s home screen); and,
avoiding specific features (e.g., not using the NewsFeed but continuing to use other parts of Facebook).


Los beneficios de estos estudiantes eran una mejora del bienestar (aproximadamente la mitad de ellos), menor sentimiendo de soledad (un tercio), mejor sueño (la mitad dormían mejor y el resto no notaron cambios), más interacción en persona (la mayoría) y uso del teléfono disminuyó (mayoría).
Muchos de ellos adoptaron las limitaciones de forma permanente, para continuar con ellas después del fin del experimento.


Many students adopted their limitation after the treatment period ended: About half stuck to their intervention, even after the class activity was over.


Los del uso incrementado también experimentaron una mejora del bienestar (más del 60%), la mitad se sentían menos estresados, ansiosos y solitarios (un tercio).
También adoptaron el nuevo uso como más permanente.


Many students adopted their intervention after the treatment period ended. Interestingly, more than 40% also continued their increased use long-term. Most of these students had increased some type of active engagement, such as direct messaging with friends or regularly posting photos and videos on Instagram or TikTok.


Entre los que eliminaron el uso de, al menos, una aplicación social no se podía observar un patrón general.

La mitad decían que no observaban cambios y de la otra mitad, unos mejoraban su bienestar y los otros lo empeoraban (aproximadamente igual). Un 70% sintío menos estrés y ansiedad, pero los restantes sentían más. La sensación de soledad empeoró o no cambió (un tercio). La productividad tampoco muestra una tendencia: la mitad dicen que mejora y la otra mitad no nota cambios. La calidad de sueño mejoró para la mitad y para un tercio empeoró. La mayoría sí que mejoró en sus interacciones personales. También decreció para la mayoría el uso del teléfono y la mayoría volvieron a sus costumbres anteriores.

En definitiva, parece que lo más eficaz es intentar una aproximación con algún objeitov.


Our main takeaway is that, if you want to reduce social media’s harmful effects on you and increase its benefits, the most effective approach may be to try a targeted intervention.


Esto, si lo pensamos, puede ser un problema porque muchas veces nos dejamos llevar. Además, la intervención puede ser diferente para cada persona. Todavía hay otra cuestión y es que los estudiantes eligieron.


We want to point out several caveats. First, this targeted invention will vary from person to person. [...] Also, because students designed their own treatment—rather than having it assigned to them—it is hard to rule out the possibility that certain kinds of students might have self-selected into targeted interventions.


Creo que ya habíamos puesto por aquí cosas en esta línea, ¿Te controlan las herramientas?.
En mi opinión, tomar el control de lo que se hace (y eso es lo que hacían, en definitiva, los que aumentaban o limitaban, pero no eliminaban) mejora nuestra vida, y elimina algunos inconvenientes.
Esto no lo verás en las noticias (como está de moda decir en Twitter ahora), que lo que les interesa es que disminuyas ciertos tipos de consumos y aumentes otros.

Puedes enterarte de las notas nuevas en: @reflexioneseir (Twitter), Reflexiones e Irreflexiones (Página de Facebook), Reflexiones e Irreflexiones (Canal de Telegram), fernand0 (en LinkedIn), @fernand0 (en Medium), Mastodon.


2022-07-20

Desunidos y peleados: ¿debemos prestar tanta atención a los extremismos?

Defensa
Me siento a ratos profundamente pesimista: la red que debería ser la herramienta para buscar (y encontrar) la verdad, conocer a los otros y buscar consensos se ha convertido en un campo de batalla: si nos descuidamos nos podemos ver inmersos en cualquier refriega ideológica, sin mucho fundamento y sin realmente calibrar adecuadamente las consecuencias de lo que apoyamos con nuestros retuits.

De esto hablan en Why the Past 10 Years of American Life Have Been Uniquely Stupid. No estoy del todo de acuerdo en echarles la cula a las redes sociales (medios sociales) porque creo que hemos entrado en una dinámica donde los propios medios de comunicación participan, vemos fuerzas políticas jugando a exagerar determinadas cosas para atraer votantes y, es posible que utilicen Twitter, Facebook, etc... Pero también tertulias, artículos de opinión, etc.
Pondré al final del texto otro enlace sobre otra historia donde nos dicen que los medios sociales no son tan responsables de todo lo malo como suele decirse.

Este es un texto largo que creo que vale la pena leer, pero pongo mis trozos 'favoritos' como es habitual.
También porque algunas soluciones que propone me parecen sensatas (otras no) y confío mucho en nuestra propia capacidad de reacción.

Los EEUU republicanos y demócratas parecen constituir dos países diferenes, en sus versiones de la constitución, la economía e incluso la historia.


It’s been clear for quite a while now that red America and blue America are becoming like two different countries claiming the same territory, with two different versions of the Constitution, economics, and American history.


En los 90 teníamos herramientas que nos ayudaban a conectar para hablar de intereses comunes.


The early internet of the 1990s, with its chat rooms, message boards, and email, exemplified the Nonzero thesis, as did the first wave of social-media platforms, which launched around 2003. Myspace, Friendster, and Facebook made it easy to connect with friends and strangers to talk about common interests, for free, and at a scale never before imaginable.


Estábamos más cerca de lo que nunca habíamos podido estar de 'los otros', incluso podíamos superar fácilmente las barreras del idioma.


We were closer than we had ever been to being “one people,” and we had effectively overcome the curse of division by language. For techno-democratic optimists, it seemed to be only the beginning of what humanity could do.


Los científicos sociales identifican al menos tres fuerzas para constituir democracias exitosas: el capital social (redes sociales amplias con niveles altos de confianza), instituciones fuertes e historias compartidas.
Pero los medios sociales han debilitado las tres


Social scientists have identified at least three major forces that collectively bind together successful democracies: social capital (extensive social networks with high levels of trust), strong institutions, and shared stories. Social media has weakened all three.


Y el problema, nos dice, es el ataque continuo a la verdad.


It’s not just the waste of time and scarce attention that matters; it’s the continual chipping-away of trust.


Cuando los ciudadanos pierden la confianza en los líderes elegidos, las autoridades sanitarias, los jueces, policía, universidades y la integridad de los procesos electorales, cualquier decisión puede ser discutida.


But when citizens lose trust in elected leaders, health authorities, the courts, the police, universities, and the integrity of elections, then every decision becomes contested;


Curiosamente, son las autocracias las que están ganando esa confianza y muchas democracias la están perdiendo (nombran a España).


... stable and competent autocracies (China and the United Arab Emirates) at the top of the list, while contentious democracies such as the United States, the United Kingdom, Spain, and South Korea scored near the bottom (albeit above Russia).


Algunos estudios sugieren que los medios sociales corrompen nuestra confianza en los gobiernos, medios de comunicación y la gente e instituciones en general.


Recent academic studies suggest that social media is indeed corrosive to trust in governments, news media, and people and institutions in general.


Resulta que, nos dice, los medios sociales amplifican la polarización política; fomenta el populismo (especialmente el de derechas) y está sociado con la difusicón de desinformación.


... the review found that, on balance, social media amplifies political polarization; foments populism, especially right-wing populism; and is associated with the spread of misinformation.


Para los jóvenes, todo esto es un problema, porque puede que ni siquiera lleguen a tener una historia coherente de quiénes somos (quiénes son) y, por lo tanto, a compartir esa historia con otras personas.


One result is that young people educated in the post-Babel era are less likely to arrive at a coherent story of who we are as a people, and less likely to share any such story with those who attended different schools or who were educated in a different decade.


Antes de los medios sociales había una sola audiencia de masas que consumía más o menos el mismo contenido y, por lo tanto, más o menos la misma visión de sí mismos como sociedad.


... he notes a constructive feature of the pre-digital era: a single “mass audience,” all consuming the same content, as if they were all looking into the same gigantic mirror at the reflection of their own society.


Podríamos estar llegando a un punto en el que nada significa nada ya, al menos de manera duradera.


But after Babel, nothing really means anything anymore––at least not in a way that is durable and on which people widely agree.


Los medios sociales han dado voz a gente que antes no la tenía y ha hecho posible pedir responsabilidades a los poderosos por sus errores.


Social media has given voice to some people who had little previously, and it has made it easier to hold powerful people accountable for their misdeeds, not just in politics but in business, the arts, academia, and elsewhere.


También han dado poder a los provocadores, y gente que juega con la opinión de los demás ('trolls'), silenciando a los buenos ciudadanos.


First, the dart guns of social media give more power to trolls and provocateurs while silencing good citizens.


La gente que no es de ese estilo (gente amigable y poco agresiva) rápidamente prefieren callar y pasar desapercibidos en la red.


... because nonjerks are easily turned off from online discussions of politics.


También parece cierto que los extramistas reciben más atención con mayor facilidad, dejando a las personas moderadas en un plano más discreto.


Second, the dart guns of social media give more power and voice to the political extremes while reducing the power and voice of the moderate majority.


Curiosamente, los extremistas son muy parecidos entre sí: los más blancos y ricos, lo que nos sugiere que estamos siendo espectadores de una batalla entre élites, que no nos representan.


These two extreme groups are similar in surprising ways. They are the whitest and richest of the seven groups, which suggests that America is being torn apart by a battle between two subsets of the elite who are not representative of the broader society.


Compara la situación con la del salavje oeste, y la nula responsabilidad en la que incurren los vigilantes ('administradores de justicia').
A veces con consecuencias en el mundo 'real'.


Platforms like Twitter devolve into the Wild West, with no accountability for vigilantes. A successful attack attracts a barrage of likes and follow-on strikes


También ocurre que conseguimos una sociedad sin contexto, proporcionalidad, piedad, ni verdad.


When our public square is governed by mob dynamics unrestrained by due process, we don’t get justice and inclusion; we get a society that ignores context, proportionality, mercy, and truth.


La diversidad es buena, y tratar de comprender al otro también. Si silenciamos a los que piensan diferente de nosotros lo que conseguimos es ser más estúpidos.


People who think differently and are willing to speak up if they disagree with you make you smarter, almost as if they are extensions of your own brain. People who try to silence or intimidate their critics make themselves stupider, almost as if they are shooting darts into their own brain.


Así que allí estamos, con las herramientas más potentes para alcanzar el conocimiento y volviéndonos tontos de remate.


In the 20th century, America built the most capable knowledge-producing institutions in human history. In the past decade, they got stupider en masse.


También habla (muy poco) de los medios de comunicación, que han permitido la trnasformación de colecciones de embustes en empresas profesionales de medios.


Newspapers full of lies evolved into professional journalistic enterprises, with norms that required seeking out multiple sides of a story, followed by editorial review, followed by fact-checking.


Y las universidades como instituciones de investigación donde el incentivo está en ganar prestigio encontrando evidencias contra lo que ya se ha publicado.


Universities evolved from cloistered medieval institutions into research powerhouses, creating a structure in which scholars put forth evidence-backed claims with the knowledge that other scholars around the world would be motivated to gain prestige by finding contrary evidence.


Pero cuando una institución no está adecuadamente gestionada y el desacuerdo interno desaparece, puede ser porque se ha alcanzado la uniformidad ideológica o porque la gente tiene miedo de disentir.


So what happens when an institution is not well maintained and internal disagreement ceases, either because its people have become ideologically uniform or because they have become afraid to dissent?


Hay un cierto tipo de estupidez que es más visible por su apoyo a diversas teorías de la conspiración (vacunas, mascarillas, manipulación de elecciones, ...)


The stupidity on the right is most visible in the many conspiracy theories spreading across right-wing media and now into Congress. “Pizzagate,” QAnon, the belief that vaccines contain microchips, the conviction that Donald Trump won reelection...


Pero también se pueden verf otros (luchas entre los moderados y más extremistas). Con el problema de que están en instituciones muy importantes con lo que sus errores pueden ser más graves, fundamentalmente porque se ha reducido la capacidad de disentir.


The problem is that the left controls the commanding heights of the culture: universities, news organizations, Hollywood, art museums, advertising, much of Silicon Valley, and the teachers’ unions and teaching colleges that shape K–12 education.


No se cuestionan las creencias de los nuestros, ni las políticas, ni las acciones.


Don’t question your own side’s beliefs, policies, or actions.


Con consecuencias nefastas, también para la vida. Por un lado, los que se han empeñado en minimizar la pandemia mundial se han convertido en sus víctimas principales.


The right has been so committed to minimizing the risks of COVID that it has turned the disease into one that preferentially kills Republicans.


Por otro lado, los otros tratando de mostrar la importancia de la pandemia han promovido una serie de medidas que son perjudiciales para la salud mental, la educación, ...


Such policies are not as deadly as spreading fears and lies about vaccines, but many of them have been devastating for the mental health and education of children, who desperately need to play with one another and go to school


Y estamos a las puertas de herramientas que van a permitir difundir desinformación creible, como los programas de inteligencia artificial relacionados con la creación de textos.


Now, however, artificial intelligence is close to enabling the limitless spread of highly believable disinformation. The AI program GPT-3 is already so good that you can give it a topic and a tone and it will spit out as many essays as you like, typically with perfect grammar and a surprising level of coherence.


Así que si no somos capaces de hacer cambios importantes ya nuestras instituciones, nuestro sistema político y nuestra sociedad podría irse a la porra.


If we do not make major changes soon, then our institutions, our political system, and our society may collapse.


Y no podemos volver atrás y prescindir de las herrmientas digitales.


We can never return to the way things were in the pre-digital age.


Pero sí que deberíamos poder fortalecer nuestras instituciones para manejar los enfados, la desconfianza y usar las herramientas de formas menos perjudiciales.


We must harden democratic institutions so that they can withstand chronic anger and mistrust, reform social media so that it becomes less socially corrosive, and better prepare the next generation for democratic citizenship in this new age.


Una medida interesante sería reducir la influencia de los extremistas enfadados y acercar a los legisladores al votante medio de su distrito.


Reforms should reduce the outsize influence of angry extremists and make legislators more responsive to the average voter in their district.


También reforzar la democracia para que no se pueda trucar el sistema para favorecer determinadas posiciones.


A second way to harden democratic institutions is to reduce the power of either political party to game the system in its favor, for example by drawing its preferred electoral districts or selecting the officials who will supervise elections


La democracia no puede sobrevivir si la gente tiene miedo a hablar y a tratar de alccanzar el consenso.


A democracy cannot survive if its public squares are places where people fear speaking up and where no stable consensus can be reached.


Sugiere, finalmente, algunos mecanismos para limitar el alcance de la rabia en los medios sociales.


Reforms should limit the platforms’ amplification of the aggressive fringes while giving more voice to what More in Common calls “the exhausted majority.”


Por ejemplo, que compartir algo sea más difícil.


For example, she has suggested modifying the “Share” function on Facebook so that after any content has been shared twice, the third person in the chain must take the time to copy and paste the content into a new post.


O la verificación de quiénes son los usuarios para conseguir que los algoritmos les presten atención.


Perhaps the biggest single change that would reduce the toxicity of existing platforms would be user verification as a precondition for gaining the algorithmic amplification that social media offers.


También hay que recordar a los niños y facilitarles la interacción diversa con otros niños.


Stop starving children of the experiences they most need to become good citizens: free play in mixed-age groups of children with minimal adult supervision.


La mayoría de las personas son, somos, miembros de la mayoría agotada y estamos hartos de las luchas y de luchar en ellas tomando partido continuamente por los extremos.


Most Americans in the More in Common report are members of the “exhausted majority,” which is tired of the fighting and is willing to listen to the other side and compromise.


Y probablemente la solución pase por formar parte de colectivos, asociaciones, que se dediquen a restablecer la confianza entre los que opinan diferente.


In recent years, Americans have started hundreds of groups and organizations dedicated to building trust and friendship across the political divide...


Sin esperar que los políticos o las tecnológicas nos salven, debemos ser nosotros quienes lo hagamos.


We cannot expect Congress and the tech companies to save us. We must change ourselves and our communities.


Lo prometido es deuda, el otro texto es: How Harmful Is Social Media?

Por no hacer más largo este texto me quedo con la idea de que exageramos mucho lo que las plataformas pueden hacer y que estamos despreciando la componente humana y la motivación de los usuarios.


.... Yes, the platforms play a role, but we are greatly exaggerating what it’s possible for them to do—how much they could change things no matter who’s at the helm at these companies—and we’re profoundly underestimating the human element, the motivation of users.”

Puedes enterarte de las notas nuevas en: @reflexioneseir (Twitter), Reflexiones e Irreflexiones (Página de Facebook), Reflexiones e Irreflexiones (Canal de Telegram), fernand0 (en LinkedIn), @fernand0 (en Medium), Mastodon.


2022-07-11

Los algoritmos, los sesgos y analizar con cuidado para no equivocarse.

Castro de Santa Tecla
Llevamos ya una (un poco larga) temporada echándole la culpa al algoritmo (el otro día en unas infames noticias hablaban -todavía- del logaritmo).
Es como si de pronto, nos hubiéramos vuelto idiotas y fuéramos a aceptar lo que el algoritmo diga sin posibilidad de recurso (que no digo que en algunos casos no sea así) o como si el humano al cargo hasta hace nada no pudiera meter la pata, o tuviera sus propios sesgos, que aplicaba con poco cuestionamiento (incluso con, ahora, añoranza de aquello).

Por eso vale la pena leer textos como How Can Algorithms Be Biased? que profundiza un poco en estos temas y nos puede ayudar a centrar el tiro.

Por un lado, nos recuerda, hay sesgos morales (o moralizados) y otros que no lo son.


One of the biggest sources of confusion in the debate about algorithmic bias is the fact that people use the term ‘bias’ in moralised and non-moralised ways.


Cualquier algoritmo se diseña pensando en conseguir un objetivo, y en ese sentido su trabajo es seleccionar unos ciertos resultados a partir de los datos de entrada. Ciertamente, parece que tienen sesgo, orientado a alcanzar una determinada solución.


Let’s start with the non-moralised sense. All algorithms are designed with a purpose in mind. [...] In each case, there is a set of possible outcomes among which the algorithm can select, but it favours a particular subset of outcomes because those match better with some goal or value (usefulness, speed etc).

In this sense it is true to say that most, if not all, algorithms are inherently biased. They are designed to be.


En este sentido parece útil que tengan ese sesgo, que les permite alcanzar una solución. No sólo eso, no parece que sea moralmente reprobable que esto sea así.


But there is nothing necessarily morally problematic about this inherent bias. Indeed, in some cases it is morally desirable (though this depends on the purpose of the algorithm).


Si pensamos en los aspectos morales, es posible que algunos algoritmos, con estos mismos sesgos tiendan a obtener resultados que tienen un impacto injusto en determinadas personas o poblaciones.


How does this contrast with the moralised sense of ‘bias’? Well, although all algorithms favour certain kinds of output, sometimes they will systematically favour outputs that have an unfair impact on a certain people or populations.


Por lo tanto, nos dice, son necesarios dos requisitos para que un algoritmo sea considerado sesgado en este segundo aspecto, el moral.

Por un lado, que el sesgo sea sistemático: de manera consistente y predecible favorece a una determinada población. Incluso si este efecto es indirecto.


Systematic output: The algorithm must systematically (consistently and predictably) favour one population/group over another, even if it this effect is only indirect.


por otro lado, un efecto injusto: trata a algunos grupos o poblaciones de manera diferente por razones moralmente arbitrarias o ilegítimas.


Unfair effect: The net effect of the algorithm must be to treat populations/groups differently for morally arbitrary or illegitimate reasons


Sin olvidar que el sesgo podría ser temporal, por alguna razón accidental; y por eso se dice que debe ser sistemático.


The systematicity condition is there in order to rule out algorithms that might be biased, on occasions, for purely accidental reasons, but not on a repeated basis.


Pero sí que es cierto que el efecto puede ser indirecto (por ejemplo, si valora especialmente el nivel educativo lo tendrá en cuenta perfectamente, pero podría afectar a poblaciones que no tienen el acceso a la educación tan fácil como otras.


Furthermore, when I say that the systematic effect on one population may be ‘indirect’ what I mean is that the algorithm itself may not be overtly or obviously biased against a certain population, but nevertheless affects them disproportionately. For example, a hiring algorithm that focused on years spent in formal education might seem perfectly legitimate on its face, with no obvious bias against certain populations, but its practical effect might be rather different. It could be that certain ethnic minorities spend less time in formal education (for a variety of reasons) and hence the hiring algorithm disproportionately disfavours them.


Cuando tenemos en cuenta la moral un algoritmo sesgado es dañino. Rompe una norma moral, produce un tratamiento injusto y posiblemente viola derechos.


One last point before we move on. In the moralised sense, a biased algorithm is harmful. It breaches a moral norm, results in unfair treatment, and possibly violates rights.


Pero hay muchas formas de daño moral que no deben contar como relevantes en estos sesgos: un sistema algorítmico que produce accidentes en determinadas condiciones, podría estar mal diseñado, pero no sería sesgado en el sentido que nos interesa, porque afectaría de la misma forma a todos los pasajeros (al menos en principio) independientemente de su pertenencia a un determinado grupo.


But there are many forms of morally harmful AI that would not count as biased in the relevant sense. For instance, an algorithmic system for piloting an airplane might result in crashes in certain weather conditions (perhaps in a systematic way), but this would not count as a biased algorithm. Why not? Because, presumably, the crashes would affect all populations (passengers) equally. It is only when there is some unfair treatment of populations/groups that there is bias in the moralised sense.


El sesgo algoritmico puede tener tres posibles causas.

Sesgo preexistente. Esto es, el algoritmo hereda un comportamiento que ya se producía antes. De manera explícita o implícita.


Preexisting bias: The computer system takes on a bias that already exists in society or social institutions, or in the attitudes, beliefs and practices of the people creating it. This can be for explicit, conscious reasons or due to the operation of more implicit factors.


Sesgo técnico. Existe alguna restricción técnica que hace que los resultados resulten sesgados. Bien por restricciones de la propia máquina (mostrar ciertos resultados en una pantalla, por ejemplo) o de los programas (se traducen de manera inadecuada las difusas motivaciones que son necesarias para tomar una decisión).


Technical bias: The computer system is technically constrained in some way and this results in some biased output or effect. This can arise from hardware constraints (e.g. the way in which algorithmic recommendations have to be displayed to human users on screens with limited space) or problems in software design (e.g. how you translate fuzzy human values and goals into precise quantifiable targets).


Finalmente, pueden existir sesgos emergentes, debidos a la implantación del propio sistema (algo tan simple como usar un conjunto de normas en una cultura diferente).


Emergent bias: Once the system is deployed, something happens that gives rise to a biased effect, either because of new knowledge or changed context of use (e.g. a system used in a culture with a very different set of values).


Nos cuenta un ejemplo de un sistema que favorecía a las aerolíneas estadounidenses porque favorecía conectar vuelos del mismo operador y eso favorecía a las que estaban implantadas allí y excluía a las extranjeras, que no operaban esos vuelos domésticos.
O el ejemplo de la pantalla, si sólo se pueden mostrar los cinco primeros resultados, estar entre estos va a ser una ventaja por cómo nos comportaremos los humanos.

En el tema del sesgo previo todavía podemos profundizar más, puesto que puede ocultar un rango amplio de causas subyacentes.

Pero a lo mejor es más útil pensar en el proceso: el desarrollo, diseño, y despliegue de un sistema algorítmico. La toma de decisiones, la especificación...


we think instead about the process of developing, designing and deploying an algorithmic system. They call this the ‘pipeline’. It starts with the decision to use an algorithmic system to assist (or replace) a human decision-maker. At this stage you have to specify the problem that you want the system to solve. Once that is done, you have to design the system, translating the abstract human values and goals into a precise and quantifiable machine language.


Y después, todavía hay un par de procesos relevantes más, la recolección de datos y su procesado; y el modelado y validación. Finalmente, se implantará de alguna forma y comenzará a afectar al mundo real.


This phase is typically divided into two separate processes: (i) data collection and processing and (ii) modelling and validation. Then, finally, you have to deploy the system in the real world, where it starts to interact with human users and institutions.


El sesgo puede aparecer en cualquiera de las fases del proceso: especificación del problema (¿identificamos bien los resultados que queremos obtener?), el modelado y la validación (¿qué criterios nos hacen aceptar una solución?), el despliegue (¿están alineadas las respuestas con lo que esperan sus usuarios/beneficiarios/perjudicados?).


Bias can arise at each stage in the process.


Muy interesante.

Para terminar, pensemos en el poblado de la foto, diseñado por y para unos determinados habitantes (sin sistemas informáticos por enmedio): ¿podríamos vivir adecuadamente allí? Y no hablo de las comodidades sino de tamaño de los huecos, alturas, ... Evidentemente hay un sesgo y el 'sistema' no estaba mal diseñado, sólo era el adecuado (o lo mejor que se podían permitir) para los habitantes de aquel momento.

Puedes enterarte de las notas nuevas en: @reflexioneseir (Twitter), Reflexiones e Irreflexiones (Página de Facebook), Reflexiones e Irreflexiones (Canal de Telegram), fernand0 (en LinkedIn), @fernand0 (en Medium), Mastodon.


2022-07-04

¿Remoto o presencial? Déjame elegir.

Cámara
Hay temas en las que las aproximaciones que adoptamos son, por decir algo, casuales: poco estudio, análisis o profundidad y bastante de nuestros sesgos personales. Aquí tenemos los nuestros, claro.
Durante la pandemia (y después) se ha comentado mucho sobre el tema de las clases en línea, si son mejores, peores, si se hacen bien o se hacen mal... pero hoy traemos Students Often Prefer In-Person Classes . . . Until They Don’t donde se habla un poco de estos temas.

Es posible que se trate de un tema de aproximaciones y gustos personales y que sea difícil llegar a una solución para todos.

Lo primero que nos dice es que los estudiantes remotos, según su investigación, tendían a tener peores resultados que los presenciales.


My own research has shown that students who participate remotely, even when offered the option of synchronous participation, tended to do less well than their counterparts who physically came to class.


Una parte de la diferenciaa se podría atribuir, simplemente, a que eran estudiantes con notas peores. Aparentemente, los estudiantes con perores notas elegirían más la participación remota.


Some of that difference, however, could be attributed to the fact that students with lower grade point averages entering the course were more likely to choose to participate remotely.Footnote


Sin embargo, nos dice, si se da a elegir a los estuddiantes la modalidad (el autor se declara a favor de la presencialidad), no prefieren asistir en persona.


But while I supported the in-person position in theory, my experience has also been that given the choice, students do not prefer attending class in person.


Y nos cuenta el caso de una asignatura donde propuso el método híbrido, permitiendo integrar a los estudiantes presenciales o no en las actividades.
El resultado fue que los estudiantes no manifestaron una mayor preferencia por la presencialidad.


So, what do students prefer, given the choice? Given reasonable options, students in my class did not prefer the in-person mode of course delivery. In fact, the number of students who physically attended class dropped precipitously to an average of around 20% by mid-semester ...


No sólo eso, sino que los estudiantes respondían que muchos más cursos deberían tener sesión en línea (simultánea, 'streaming').


... over 80% of students feel live streaming should be available in all large courses at the least.


Sobre las notas, tampoco se cumplía que los presenciales tuvieran mejores notas que los no presenciales:


I expected that students attending in person would receive the highest grades, but that was not true for this course.


El único indicador para sacar malas notas parece ser la no asistencia.

Al final parece que los estudiantes valoran y aprecian la flexiblidad.


What is clear is that students welcome the flexibility of choosing the mode of course delivery.


Y también que habría que tener en cuenta más factores que los deseos o intereses de alguien y facilitar el bienestar y la comodidad de los incumbentes.


... the availability of options to meet both students' and instructors' comfort level, wellness, and nonacademic demands is appropriate and should be encouraged, particularly in larger courses.

Puedes enterarte de las notas nuevas en: @reflexioneseir (Twitter), Reflexiones e Irreflexiones (Página de Facebook), Reflexiones e Irreflexiones (Canal de Telegram), fernand0 (en LinkedIn), @fernand0 (en Medium), Mastodon.

2022-07-04 18:03 | 0 Comentarios | In English, please | En PDF | Para enlazar # |
| Compartir/Share | por correo | en Twitter | en LinkedIn | en Facebook | en Google+ | en Delicious |

2022-06-27

Los inventos siempre nos dan miedo

No funciona!
Leía hace poco esta historia sobre le caleidoscopio y cómo algunas personas lo consideraron en su momento algo peligroso: "Se ha extendido como la peste": cómo el caleidoscopio produjo las mismas reacciones anti-tecnología que los smartphones.

Por ejemplo, el peligro de chocarse contra una pared, distraidos por el aparato (y que podría trasladarse directamente a los teléfonos de hoy en día y a esas imágenes que nos pintan jorobados y absortos mirando al teléfono).



Incluso llegó a escribirse textualmente la siguiente frase sarcástica: “todos los niños que van con su caleidoscopio por la calle terminan chocando contra una pared”.


Que no digo que no pueda ser verdad, pero esconden algo rancio de miedo a las cosas nuevas y también a la atención que pierden las nuestras.

El caleidoscopio llega hasta nuestros días y no es difícil conseguir uno.

Vale la pena leer, y recordar otros inventos que también causaron ese tipo de reacción. Un ejemplo es el libro sobre el telégrafo, del que hablamos en Libro: (#7) The Victorian Internet cuando aún hacíamos reseñas de libros.

Puedes enterarte de las notas nuevas en: @reflexioneseir (Twitter), Reflexiones e Irreflexiones (Página de Facebook), Reflexiones e Irreflexiones (Canal de Telegram), fernand0 (en LinkedIn), @fernand0 (en Medium), Mastodon.

2022-06-27 17:22 | 0 Comentarios | In English, please | En PDF | Para enlazar # |
| Compartir/Share | por correo | en Twitter | en LinkedIn | en Facebook | en Google+ | en Delicious |

2022-06-20

En la Cámara de Comercio de Zaragoza hablando de Oportunidades y consejos en ciberseguridad


La semana pasada se presentaba un producto de ciberseguridad en la Cámara de Comercio de Zaragoza. Me invitaron a dar una charla (cortita, empezó siendo más larga y por diversos motivos fue quedando más breve) hablando de consejos y oportunidades en ciberseguridad.

Por si resulta de interés para alguien aquí está la presentación que utilicé.

Oportunidades y consejos de ciberseguridad from Fernando Tricas García


Los consejos, en esta ocasión: conocer nuestra red, compartimentalizar, actualizar los programas y tener copias de seguridad.

Una tendencia: los cibercriminales también tienen servicio de atención al cliente (y en este caso, mucho mejor que algunos servicios que tenemos más a mano): Así funciona la 'atención al cliente' de los cibercriminales si pagas rescate pero sigues teniendo problemas para recuperar tu PC.

Como es habitual, busqué (me vinieron, en realidad, casi nunca tengo que esforzarme mucho en buscar ejemplos) unos ejemplos de diversas organizaciones con noticias recientes (malas) sobre ciberseguridad:

* Un estado sufriendo un ciberataque: Costa Rica under Cyberattack by Russian Conti Gang.

* El cierre de una Universidad por un ciberataque: Abraham Lincoln's Namesake College Set to Close After 157 Years.

* Finamente, cambiando un poco el enfoque, un multazo por la gestión inadecuada de un ataque: PHMSA Issues Proposed Civil Penalty of Nearly Million to Colonial Pipeline Company for Control Room Management Failures.

Pasamos un buen rato, conocimos a gente nueva y, tal vez, alguien piense un poco mejor las cosas que hace a partir de ahora.

Puedes enterarte de las notas nuevas en: @reflexioneseir (Twitter), Reflexiones e Irreflexiones (Página de Facebook), Reflexiones e Irreflexiones (Canal de Telegram), fernand0 (en LinkedIn), @fernand0 (en Medium), Mastodon.

2022-06-20 17:09 | 0 Comentarios | In English, please | En PDF | Para enlazar # |
| Compartir/Share | por correo | en Twitter | en LinkedIn | en Facebook | en Google+ | en Delicious |

2022-06-13

En el suplemento Tercer Milenio de Heraldo de Aragón, hablando de Ciberseguridad

En Tercer Milenio
Nos contactó Pilar Perla, la coordinadora del suplemento de Heraldo de Aragón sobre Ciencia y Tecnología para hablar de Ciberseguridad.

Se puede ver una parte en Ciberseguridad, un reto permanente que escribimos a cuatro manos con José Félix Muñoz Soro.

Además, escribí un texto más cortito basado en el que anunciaba hace unos días En Ronda Somontanto dando algunos consejos de ciberseguridad. Lo reproduzco a continuación por si es de interés para alguien:


Consejos de ciberseguridad para pequeñas organizaciones

Constantemente se publican datos sobre ciberataques, fraudes en línea y también información diversa sobre los riesgos a los que nos enfrentamos en la red. Un informe reciente de Arkose Lab (una las innumerables consultoras de ciberseguridad) afirmaba que el 80% de los ataques de intento de acceso a sistemas empresariales utilizaban credenciales que habían sido robadas en algún ataque previo. Esto es, los atacantes habían conseguido contraseñas a través de algún servicio o sistema sobre el que no tenemos control e intentaban utilizarlas en nuestros sistemas. Una amplia mayoría son ataques automatizados donde no hay intervención humana; esto tiene dos consecuencias: primero, el objetivo no está seleccionado a priori, sino que los atacantes tratan de obtener resultados donde sea posible, y segundo, casi nunca se trata de ataques muy sofisticados. En nuestro entorno, durante los últimos años los ataques de los que más oímos hablar son los intentos de secuestro de información (‘ransomware’).

La conclusión es que cualquiera puede verse afectado por uno de estos ataques y que podríamos protegernos con un poco de esfuerzo.

En todo caso, este no pretende ser un mensaje para asustar a nadie, sino un recordatorio para que nos pongamos (o continuemos) con la tarea de proteger nuestros recursos digitales. La mayoría de los ataques informáticos se basan en tratar de sacar provecho de vulnerabilidades que son conocidas y tienen solución. Nunca hay que perder de vista que la misión fundamental de las empresas es cumplir los objetivos para los que fueron creadas (fabricar, distribuir, vender, prestar servicios…), pero tampoco podemos obviar que si un ciberataque dejara sin funcionar los sistemas informáticos necesarios para realizar estas tareas, no podríamos cumplirlos.

Entre las acciones que deberíamos realizar, probablemente sería una buena idea realizar un inventario de nuestros activos digitales y analizar su estado desde el punto de vista de la seguridad informática: cómo se conectan unos con otros, estudiar la visibilidad que un atacante (externo ¿e interno?) podría tener de nuestra información y qué consecuencias tendría para nuestro negocio la falta de disponibilidad de un recurso…; sin olvidar revisar nuestra política de copias de seguridad, para asegurarnos de que podríamos volver a poner todo en funcionamiento tras un incidente (y en cuánto tiempo; no hay nada más desagradable que descubrir que nuestras copias de seguridad no sirven o que no podemos restaurarlas suficientemente rápido).

En otro informe reciente, esta vez de Accenture, se nos recordaba la actitud correcta para enfrentarse al problema. No se trata de tener tanto miedo que nos impida realizar nuestro trabajo por culpa de las medidas de seguridad (‘obstaculizadores del negocio’), ni tampoco despreocuparnos tanto que cualquier ataque pueda terminar afectándonos de manera grave (‘los vulnerables’). Los ‘ciberdefensores’, nos dicen, tratan de lograr un equilibrio entre ciberresiliencia y objetivos empresariales.

Por lo tanto, debemos reconsiderar nuestra estrategia de protección. Siempre en línea con los objetivos de nuestra organización (no hay una solución única para todos), con un análisis de riesgos y de la propia situación: no se puede pasar de 0 a 100 en un instante. Y sin olvidar que la seguridad es un proceso y depende de cuál sea nuestro lugar en el camino deberemos realizar unas acciones u otras.


Nota publicada originalmente en En el suplemento Tercer Milenio de Heraldo de Aragón, hablando de Ciberseguridad.

Puedes enterarte de las notas nuevas en: @reflexioneseir (Twitter), Reflexiones e Irreflexiones (Página de Facebook), Reflexiones e Irreflexiones (Canal de Telegram), fernand0 (en LinkedIn), @fernand0 (en Medium), Mastodon.

2022-06-13 17:19 | 0 Comentarios | In English, please | En PDF | Para enlazar # |
| Compartir/Share | por correo | en Twitter | en LinkedIn | en Facebook | en Google+ | en Delicious |

2022-06-06

Una historia de seguimiento, confianza y lo que puede pasar si no la hay

¿Qué puede haber en una mesa de frikis?
Un artículo curioso sobre privacidad, herramientas de seguimiento, lo que es y lo que parece en My Wife Tracked Me, for Journalism.

Trevor Timm es el marido de Kashmir Hill, que es una reportera del 'New York Times'. Es, además un defensor de la privacidad y ella le pidió permiso para hacer un seguimiento de su actividad, para realizar un reportaje.
Lo que descubrió es lo fácil que pueden interpretarse de manera incorrecta las informaciones obetenidas con este seguimiento.


When Kashmir, a technology reporter for The Times, asked for my consent to track me, I was prepared for her to violate my privacy for the sake of journalism. But what I was not prepared for was how easily my actions could be misinterpreted.


Dice, como diríamos casi cualquiera, que era un objetivo aburrido para un segumiento. Cuando se publicó el reportaje (en I Used Apple AirTags, Tiles and a GPS Tracker to Watch My Husband’s Every Move) incluía un mapa de los movimientos y, sin embargo, ya empezó a provocar sorpresa y comentarios. Incluso entre familiares.


A map of my movements would later appear alongside Kashmir’s article. The image was informative as a way to show readers how the tracking apps worked — she had successfully known my location all day — but not so much as a way for readers to figure out what I was actually doing. My sister-in-law, confused about why I had made so many stops, would later jokingly ask me, “Are you a drug dealer or something?”


Por supuesto, los lectores del artículo también hicieron sus aportaciones en los comentarios, con nuevas interpretaciones problemáticas del mapa.


Despite what some readers said in the comments section of the article and on social media, I have a trusting wife, and I was happy to play a small role in highlighting the privacy implications of emerging technology.


Pero... ¿Por qué es interesante esto?
Imaginemos que somos el objetivo de un seguimiento tecnológico de este estilo.


I couldn’t help but think of all the people who might be surveilled without their consent, whether it’s by a spouse, an employer or law enforcement.


Y la conclusión: es cierto que los dispositivos saben dónde estamos, pero no qué estamos haciendo. Estas herramientas pueden tener usos beneficiosos (no perder nunca más algún objeto valioso) pero ... no hay que olvidar que los datos se pueden malinterpretar. Y, a lo peor, ser utilizados con fines abusivos.


I have no doubt that there are plenty of legitimate uses for trackers — who wouldn’t want to never lose keys again? But this reporting also suggested the many ways surveillance can be misinterpreted — and potentially abused.


Y la esposa (la reportera) dice que, incluso teniendo acceso a la información de la localización y un fotógrafo haciendo seguimiento fotográfico, no había sido capaz de qué es lo que realmente estaba haciendo.


Even with location trackers and a photographer trailing my husband, I couldn’t figure out what he was actually doing that day.


Curioso.

Puedes enterarte de las notas nuevas en: @reflexioneseir (Twitter), Reflexiones e Irreflexiones (Página de Facebook), Reflexiones e Irreflexiones (Canal de Telegram), fernand0 (en LinkedIn), @fernand0 (en Medium), Mastodon.

2022-06-06 18:28 | 0 Comentarios | In English, please | En PDF | Para enlazar # |
| Compartir/Share | por correo | en Twitter | en LinkedIn | en Facebook | en Google+ | en Delicious |

<Agosto 2022
Lu Ma Mi Ju Vi Sa Do
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30 31