29 marzo 2010

Ilegalidades de la DGT

Siento no postear más a menudo, pero la verdad es que el primer trimestre del año está siendo mucho más ajetreado de lo que esperaba, sobre todo a nivel profesional. Pero bueno, como en estos tiempos parece que no está demasiado bien visto quejarse por exceso de trabajo, sólo diré que me quejo por el poco tiempo libre que me queda últimamente. :-)

Hoy me ha sorprendido un post publicado por Samuel Parra en el que habla de que el sistema de consulta de puntos de la DGT es ilegal, pero no lo van a cambiar. Lo que más me ha llamado la atención son las declaraciones efectuadas por el responsable de informática, en las que se justifica que la organización no está dispuesta a cambiar el sistema porque "el organismo no se ve obligado desde un punto de vista jurídico ". Una afirmación con la que, sin ser abogado, creo que no puedo estar de acuerdo.

En la web de la DGT hablan de sí misma como Organismo Autónomo adscrito al Ministerio del Interior. Por tanto, entiendo que a la DGT le aplica por completo la Ley 11/2007, que en su Artículo 2 indica que dicha ley le será de aplicación a las Administraciones Públicas, entendiendo por tales la Administración General del Estado (...), así como las entidades de derecho público vinculadas o dependientes de las mismas. Así que, si consideramos que la consulta de puntos no es una actividad que la DGT desarrolle en régimen de derecho privado, que es la única excepción que preve la ley en este punto, yo entiendo que tanto dicha Ley como toda la reglamentación que se desprenda de ella le aplica por completo. De hecho, una de las disposiciones finales habla específicamente de temas de tráfico...

Siguiendo con ese razonamiento, entiendo que también le son aplicables el Real Decreto 1671/2009, que en su Artículo 1 indica que dicho real decreto "tiene por objeto desarrollar la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los servicios públicos en el ámbito de la Administración General del Estado y los organismos públicos vinculados o dependientes de ésta, en lo relativo a la transmisión de datos, sedes electrónicas y punto de acceso general, identificación y autenticación, registros electrónicos, comunicaciones y notificaciones y documentos electrónicos y copias". Y por último, creo que también le es aplicable el Esquema Nacional de Seguridad, puesto que en su Artículo 3 indica que el ámbito de aplicación de este real decreto será "el establecido en el artículo 2 de la Ley 11/2007, de 22 de junio´", y no creo que se pueda aplicar en este caso la excepción de los secretos oficiales.

En definitiva, no sólo creo que no es cierto que no exista obligación jurídica de subsanar las graves deficiencias encontradas, sino que considero que la obligación jurídica es completamente la contraria. Considero que existe una obligación jurídica bastante sólida de que dicho sistema ofrezca garantías reales de seguridad, y no sólo desde el punto de vista de la LOPD sino también desde un punto de vista más amplio, tal y como establece la Ley 11/2007. Así que esperemos que alguien se lo cuente a la DGT y se pongan a trabajar antes de que expiren los plazos establecidos por estas leyes y con ellos las excusas para no cumplirlas...

22 marzo 2010

El papel de la tecnologia

Hoy me he vuelto a encontrar, un poco por casualidad, con un artículo de Enrique Dans que en su día me llamó bastante la atención. En él, el autor criticaba el despido de un profesor por haber uitlizado un blog como motor de una asignatura. Más allá de las aseveraciones que hace el autor, que no voy a entrar a valorar, sí que quiero destacar uno de los argumentos que se utilizan en él, y es el de la capacidad que tiene a día de hoy la tecnología para cambiar la forma de hacer las cosas. Un argumento que también se repite una y otra vez en el libro que estoy terminando de leer, The Long Tail, y que en el fondo es el origen del post en cuestión.


La tecnología nos abre un mundo completamente nuevo y diferente. Un mundo virtual en el que, a diferencia del mundo físico, las reglas no están escritas, y podemos definirlas a nuestra conveniencia. Esa es su principal ventaja, pero también su principal riesgo. Porque no podemos desenvolvernos en el mundo virtual con las reglas del mundo físico sin correr el riesgo de equivocarnos, y no podemos perder de vista que la gravedad de nuestra equivocación viene determinada por lo diferentes que sean las reglas en uno y otro mundo.


El ejemplo de la pizarra digital es fácil de entender. Es una pizarra, y como tal se puede utilizar, sencillamente escribiendo sobre ella. Se puede pintar con colores, no mancha, y como lo escrito son sólo líneas en una pantalla se puede borrar por completo con un simple gesto. Es decir, que la pizarra digital puede seguir siendo sólo una pizarra moderna. Pero también es una pantalla táctil multimedia, y como tal permite muchas otras posibilidades: desde "traer la pizarra escrita" en una presentación, hasta utilizar vídeos o la navegación por Internet como herramientas lectivas, o muchas otras que a mí ni siquiera se me ocurren. El problema de este segundo caso es que el método clásico de clases magistrales quizás no sea el más apropiado para sacar provecho de este tipo de herramientas. Y si tratamos de forzar ese encaje, puede que el resultado no sea el óptimo.


Si bien el caso de la pizarra digital puede ser anecdótico, podemos ampliar el papel de la tecnología y confrontar el formato de enseñanza tradicional con el del e-learning. ¿Es válida la misma metodología de enseñanza para ambos casos? ¿Un profesor en ambos casos necesita tener las mismas aptitudes y conocimientos? ¿De hecho, el propio perfil del profesor es equivalente en ambos casos?

El ejemplo de la enseñanza no es un caso aislado. En todos los ámbitos de nuestra actividad, la utilización de la tecnología puede cambiar (y de hecho, ya lo ha hecho en muchos casos) la forma de entender nuestra sociedad y nuestro mundo. La comunicación, el trabajo, el transporte... Sin darnos cuenta hemos ido integrando el uso de la tecnología en nuestras vidas, en unos casos de forma natural y en otros de manera más traumática. El problema actual es que los cambios tecnológicos son tan rápidos que no estamos siendo capaces de asimilar las consecuencias de su uso, los cambios de fondo que provocan. No somos capaces de elaborar las reglas del mundo virtual a la velocidad adecuada, y la adaptación de las reglas físicas nos juega malas pasadas.

En el fondo, quizás estemos simplemente ante una brecha generacional, y la generación Y (o Z, ya no tengo muy claro cuál es cuál) pueda afrontar estos retos de forma natural. O puede que no. En el fondo, la gran duda es si la sociedad será capaz de afrontar los riesgos tecnológicos de forma correcta, o si llegaremos a asumir riesgos excesivos por no ser conscientes de ellos o por no saber cómo reducirlos. ¿En qué quedará todo? El tiempo lo dira...

11 marzo 2010

Mi vecino es un zombi

Quien más quien menos, y seguro que así lo han hecho todos los lectores de este blog, se ha podido enterar de que estos días ha caído una importante botnet de 13 millones de equipos zombi, de los que unos 200000 eran españoles. Cifras bastante impresionantes, sobre todo si tenemos en cuenta que detrás de ellas sólo hay 3 personas que ni siquiera son grandes hackers ni nada parecido, sino simples compradores de un software que fueron capaces de distribuir 13 millones de agentes (el troyano) en máquinas de todo el mundo. El "mérito" de la operación, y por tanto lo que a todos nos debería preocupar, es la relativa facilidad con la que cualquiera parece poder montar y explotar una red de este tipo. ¿Si sólo 3 personas han sido capaces de tener bajo su control 13 millones de equipos, cuál puede ser el volumen real de equipos zombi que hay distribuidos por el mundo?

La probabilidad de que un vecino (o nosotros mismos, aunque creamos que las cosas malas siempre le pasan al de al lado) tenga un equipo zombi me temo que no es nada despreciable. Y sobre todo me preocupa lo difícil que es que cualquiera se entere. ¿A cuánta gente habéis oido estos días, en relación a la noticia, pensar que su ordenador podría ser uno de los afectados? ¿Y a cuántos, en cambio, les habéis visto confiados de que eso a ellos no les pasaría? Que el usuario común crea que sabe lo suficiente de informática es un obstáculo para la seguridad bastante difícil de superar, y me temo que no sólo en Bilbao hay usuarios de esos...

Mi propuesta de solución es de difícil aplicación y a largo plazo, pero creo que sería una forma de atajar el problema de verdad, de raíz. Yo apostaría por un cambio radical en las asignaturas de informática de colegios e institutos, sobre todo teniendo en cuenta que a las nuevas generaciones no les aporta nada que un profesor que sabe menos que ellos les intente enseñar a utilizar un navegador o un procesador de textos, y su transformación en asignaturas que les enseñen a ser ciudadanos digitales. Estoy hablando de "educación vial" en Internet, de hablar de privacidad en la red, de que sepan lo suficiente de seguridad informática como para encontrar indicios de que su ordenador puede estar infectado. Es cierto que para conseguirlo los primeros que deberían tener una formación adecuada son los profesores, pero también es cierto que ahora que los políticos están pensando en reformar por enésima vez el programa educativo podría ser un buen momento para modernizar los temarios de algunas asignaturas. Y al ritmo al que se producen este tipo de cambios, el tiempo no creo que sea el problema... En definitiva, estaría bien que no tuviésemos que llegar en el futuro a tener la sensación de estar rodeados de zombis invisibles que vigilan todos nuestros actos electrónicos, no?

03 marzo 2010

El reto de la seguridad movil

No es ninguna noticia que la informática móvil cada vez está más extendida en la sociedad. Ya no es sólo que los ordenadores portátiles sean un producto cada vez más demandado, o que la tasa de penetración de la telefonía móvil llegue a ofrecer resultados de más de un móvil por persona, sino que a día de hoy el límite entre lo fijo y lo móvil cada vez es más difuso, y todo lo que ayer era fijo mañana casi seguro que terminará siendo móvil. Además, a esta evolución imparable se va uniendo la progresiva fusión e hibridación entre el mundo de la telefonía y el de la informática, en el que smartphones y blackberrys ya casi son el pasado y todavía nadie se atreve a pronosticar cómo serán los iPads del futuro.


No obstante, no es la evolución tecnológica la que me parece preocupante. Es cierto que hay nuevas plataformas, nuevas soluciones HW o SW sobre las que centrar las soluciones de seguridad, pero ese tipo de cambios es precisamente al que saben hacer frente los fabricantes de productos de seguridad. Lo más preocupante no es la movilidad, sino los nuevos hábitos que permite dicha movilidad. Conectividad permanente, ubicua, desde cualquier lugar y en cualquier momento. Sin las fronteras físicas ni lógicas que tanto facilitan la vida a la hora de aplicar soluciones de seguridad. Y por si eso fuera poco, estamos dejando atrás la filosofía asíncrona y entrando a toda velocidad en un mundo síncrono, en el que el real-time es un valor que puede llegar a colisionar con uno de los principios más básicos de la seguridad: pensar las cosas antes de hacerlas.


Por estos motivos, cuando leo reportajes que hablan de la seguridad en los móviles (I, II, III y IV), siempre me llevo la misma desilusión. Se habla de software anti-malware, de la seguridad de los distintos sistemas operativos para móviles o de securizar la navegación desde estos terminales, pero siempre desde el punto de vista de la tecnología utilizada y sin pensar en los riesgos derivados de estas nuevas filosofías de uso. Es cierto que hay artículos que van un poco más allá y analizan, por ejemplo, la posibilidad de reaparición de los dialers (dialers 2.0, obviamente), pero no dejan de ser reinterpretaciones "técnicas" de las nuevas tecnologías. Lamentablemente, repensar las soluciones de seguridad desde 0 y con una nueva óptica basada en el comportamiento no es algo que se haga todos los días...


Por eso, este post sirve para crear una nueva categoría en el blog, y para iniciar un debate que, espero, pueda resultar constructivo para todos los que lo utilizáis, con el objetivo (quizás un poco utópico, pero en el fondo la utopía es parte de la esencia de la seguridad) de que las reflexiones que aquí podamos ir haciendo puedan servir para acercarnos, a poder ser con algo menos de retraso que a lo largo de la historia, a una seguridad 2.0 que sea capaz de adaptarse a las necesidades actuales de una sociedad móvil.