Soy Oscar Lage, investigador en ciberseguridad, criptografía y blockchain. Me dedico a la investigación y transferencia tecnológica, ayudando a las empresas a adoptar nuevas tecnologías que les permitan crear sistemas más seguros y respetuosos con la privacidad de las personas.
Creo en un nuevo paradigma tecnológico en el que gracias a la criptografía aplicada los usuarios puedan ser soberanos de su propia identidad y datos. Una nueva web en la que los usuarios puedan ser recompensados por sus contribuciones a las plataformas y no se conviertan en un mero producto en manos de las grandes corporaciones tecnológicas que explotan su información con el único objetivo de rentabilizarla. Una nueva web descentralizada gobernada por los propios usuarios de las plataformas cuyo principal objetivo será aportar valor a la comunidad.
Jueves, 29 de octubre, a partir de las 11 de la mañana.
|
etiquetas: pregúntame , ciberseguridad , criptografía , blockchain 
Twitter, Facebook, eBay, Uber, Airbnb y similares tiene dos opciones, negar que esto vaya a ocurrir o invertir en crear ellos mismos esas plataformas descentralizadas que les amenazan. Si las crean ellos se garantizan que sus equipos aprendan sobre estas plataformas descentralizadas y sus posibilidades, y sobre todo intenten analizar cuales serán los modelos de negocio de una economía descentralizada ya que desde luego la intermediación entre dos partes, que es a lo que se dedican todas estas plataformas, parece no ser algo por lo que los usuarios vayan a pagar (ni con dinero ni con sus datos) en un nuevo ecosistema descentralizado.
¿Cuál será el rol de Twitter en estas nuevas plataformas? Pues lo desconozco, y puede que ellos también lo desconozcan todavía, pero en línea con tu comentario @yonkykong podría ser perfectamente ayudar a los usuarios de la misma a monetizar su contenido como servicio. Ellos ya tienen la plataforma y los contactos publicitarios, es algo que podrían ofrecer a los usuarios, pero esto les obligaría a compartir los beneficios
Un problema es de la censura, hay cosas que van en contra del publicitador y no se puede publicar. Puede existir una serie de ficcion con sindicalistas que reinvindiquen derechos y ganen a la patronal, cuando es patrociando por empresas?
Una revista del consumidor como se puede financiar, si un… » ver todo el comentario
Poco a poco la administración va incorporando la ciberseguridad y estamos muchísimo mejor que hace una década, pero aunque hoy por hoy se hiciera todo bien tenemos herencias muuuy peligrosas de antaño, sistemas legados que funcionalmente son perfectos y nadie se atreve a “tocar” ni hay presupuesto, pero que a día de hoy seguro que suponen riesgos en muchos ámbitos. Lo importante en este caso es conocer la deuda técnica que cada responsable tiene en sus sistemas, y realizar una auditoría para ser consciente de los riesgos e ir amortizándola poco a poco, o poner barreras perimetrales que “parcheen” el problema mientras se soluciona de raíz.
Muchas gracias.
- Ciberseguridad: principalmente en Privacy Enhancing Technologies
- Modelo democrático: democracia representativa, directa, líquida, ¿otras?
Personalmente creo que la democracia líquida puede ser el futuro, y es ahí donde además blockchain llega a convertirse en una pieza clave. El modelo de democracia representativa actual tiene sus desventajas, pero sobrevive seguramente gracias a que la democracia directa es prácticamente imposible. ¿Os imagináis leyendo miles de propuestas anuales? La democracia líquida nos permitiría delegar nuestro voto para una votación concreta, por temáticas, etc. en personas que creamos que tienen un criterio experto y alineado con nuestros intereses. Además, podríamos variar nuestro representante, ser nosotros mismos o incluso que una persona a la que le han delegado el voto para una temática delegue todos sus votos en alguien que sea experto en un ámbito muy concreto y especialista. Y todo este esquema podría gestionarlo de forma líquida y variarlo en el momento en el que yo lo considere. Gracias a ello podría delegar el voto en diferentes materias a mis amigos expertos.
Ya que estamos si tengo que mojarme en varios ámbitos seleccionaría a Pablo Oliete en Industria 4.0, Xavier Ferrás en políticas de innovación, Soraya Paniagua en Marketing y comunicación, María Saiz en Emprendimiento, Lander Rubio en Fintech, Juan Carlos Santamaría en Salud o Cris Carrascosa en legaltech.
En cualquier caso, creo que esto no puede lanzarse de un momento a otro y que se deberá ir escalando, y la participación ciudadana en ámbitos locales es seguramente el ámbito más local en el que de forma descentralizada se podría validar, y en el que la ciudadanía también podría comenzar a entender estos sistemas y su funcionamiento. Todo ello además nos daría muchísima más seguridad que los actuales sistemas de participación online que son un auténtico desastre tanto a nivel de ciberseguridad como de privacidad ☹
Fue pregunta de examen para la oposición hace más de 15 años, había que diseñar una solución, pero con cabinas al estilo USA, quien pusiera voto desde casa suspendió porque no había forma de garantizar la libertad y el secreto del voto.
Hoy día que todo el mundo tiene su propio móvil quizás se podría hacer
Por ejemplo, mucha gente depende gmail para tener su correo. Antes las compañias daban cuentas de correo,… » ver todo el comentario
Efectivamente es muy complicado, pero la descentralización creo que juega esta vez un factor clave que podría habernos ayudado anteriormente. Gracias a ello permitirá que todos los que seamos partícipes en una comunidad sufraguemos la conectividad, procesamiento, etc. sin que exista una concentración de gastos en un servidor central que luego es muy difícil de gestionar y mantener (solo hay que ver cómo la Wikipedia ha estado varias veces en serios peligros económicos).
Creo que además la identidad es el segundo factor clave y que SSI (Self-Sovereign Identity) juega un papel clave empoderando a los usuarios de su propia información, ojalá lleguemos algún día a disponer de una identidad que cumpla los 10 principios que recogía Christopher Allen en su artículo “The Path to Self-Sovereign Identity” (www.lifewithalacrity.com/2016/04/the-path-to-self-soverereign-identity)
A nivel culinario, cuando uno hace una tortilla de patata, necesita un segundo nivel de jugosidad y sabor con lo que se recomienda apostar por la cebolla para conseguir este segundo nivel de jugosidad y sabor.
¿eres partidario de añadir este grado extra a la tortilla de patata o eres un sincebollista de los que van por al vida a pecho descubierto?
No sería tan radical (tiene que haber de todo en este mundo), pero con cebolla por favor
En el segundo y tercer escalón de la innovación nos encontramos con ámbitos más interesantes y seguramente más cercanos a lo que buscas. El segundo sería la innovación en productos o servicios, crear nuevos productos/servicios innovadores, y el último al que sólo permiten llegar las tecnologías disruptivas como Internet o blockchain sería la innovación en modelos de negocio. Para mí este último es el más interesante pero también el más inmaduro porque debemos todavía entender las posibilidades de la descentralización y el cambio que esto puede suponer para la economía.
En este ámbito efectivamente son las redes públicas y abiertas las que soportan la innovación y permiten crear nuevos modelos disruptivos que son los que realmente tendrán un gran impacto en nuestras vidas y en la economía. Ahora mismo la tecnología blockchain ha generado las expectativas del tercer escalón pero la mayoría de usos corporativos siguen ubicándose en la innovación de procesos.
Afortunadamente el ecosistema de emprendedores sí que están trabajando en un cambio disruptivo de la economía. Actualmente la mayoría de empresas tecnológicas se basan en modelos de negocio de plataforma, las two-sided networks que… » ver todo el comentario
Y quizá también para temas de notarías
Primero fueron las… » ver todo el comentario
Ojo, no soy ningún neoludita ni estoy en contra de la tecnología ni nada por el estilo. Pero como muchos otros ya me conozco el percal. Todas las tecnologías nuevas siguen esto en.wikipedia.org/wiki/Hype_cycle
Big data, machine learning, la nube... Todos hemos visto como durante una temporada TODO se podía hacer con una de esas. Eran la bala mágica y la solución perfecta para TODO. Y luego cuando se pasa el hype,… » ver todo el comentario
El Cypherpunk’s Manifesto de Eric Hughes ya decía en 1993 que: “…We cannot expect governments, corporations, or other large, faceless organizations to grant us privacy out of their beneficence.
[…]
We must defend our own privacy if we expect to have any. We must come together and create systems which allow anonymous transactions to take place. People have been defending their own privacy for centuries with whispers, darkness, envelopes, closed doors, secret handshakes, and couriers. The technologies of the past did not allow for strong privacy, but electronic technologies do.
We the Cypherpunks are dedicated to building anonymous systems. We are defending our privacy with cryptography, with anonymous mail forwarding systems, with digital signatures, and with electronic money.
Cypherpunks write code. We know that someone has to write software to defend privacy, and since we can't get privacy unless we all do, we're going to write it. We publish our code so that our fellow Cypherpunks may practice and play with it. Our code is free for all to use, worldwide. We don't much care if you don't approve of the software we write. We know that software can't be destroyed and that a widely dispersed system can't be shut down.
[…]
For privacy to be widespread it must be part of a social contract. People must come and together deploy these systems for the common good. Privacy only extends so far as the cooperation of one's… » ver todo el comentario
La primera regla de un espía es que no sepan que eres un espía, Apple no tiene ninguna obligación de contarnos la verdad.
Actualmente el del bitcoin es una monstruosidad y no parece muy ecológico que digamos.
De hecho, en gran medida la seguridad de este tipo de algoritmos está basada en la ingente cantidad de recursos (HW + energéticos) que necesitaría un atacante.
Además, la descentralización en el precio de la energía es algo de que beneficia aún más a la descentralización del minado en bitcoin y por tanto del poder en la red. En países menos desarrollados que no tienen una infraestructura de transporte pero que tienen una capacidad de producción energética alta hay un excedente de capacidad de producción que es utilizado de forma local para “minar”.
Muchas veces el consumo energético de bitcoin es muy evidente y fácil de medir, pero seguramente nos sorprenderíamos si pudiéramos trazar la huella de carbono que deja una transacción financiera a través de los medios de pago tradicionales.
En cualquier caso creo que es necesario una o dos grandes cadenas que tengan una gran seguridad y sean resistentes a la censura como bitcoin y que resistan ataques globales, pero que el resto de redes que a día de hoy utilizan proof of work deberían de ir migrando (como lo hace Ethereum) a otros tipos de algoritmos de consenso que a pesar de no ser tan seguros y descentralizados nos permitirán mantener la esencia principal de blockchain pero no generar un gasto energético que podría convertirse en desproporcionado.
Creo que es algo que debemos de recordar cuando a veces criticamos algoritmos como el Proof of Stake, efectivamente no son perfectos, pero son lo suficientemente buenos como para que sea conveniente utilizar estos u otros algoritmo de consenso alternativos a proof of work que no tienen un consumo energético mayor que cualquier otra red digital.
"seguramente nos sorprenderíamos si pudiéramos trazar la huella de carbono que deja una transacción financiera a través de los medios de pago tradicionales"
¿Hay algún dato de esto? ¿No puede ser que esté más optimizado, energéticamente hablando?
Gracias de nuevo.
Estamos en un punto clave para DeFi, si no hay grandes problemas en los próximos dos años, si se resuelve favorablemente y de forma gestionada los inconvenientes que vayan surgiendo se generará la confianza necesaria y podremos comenzar a hablar de una nueva herramienta financiera descentralizada y libre.
Realmente creo que comunidades como MakerDAO están haciendo un trabajo de investigación y experimentación fabuloso, y aunque no soy ni mucho menos un experto en el ámbito financiero sí que me generan confianza.
Tú quieres que te manden los tanques a casa o qué?
***********
Contraseña: Eres imbécil
Supongo solo ves asteriscos
******
Justo estaba yo el otro día sentado al lado (con distancia social) de un par de oficinistas que se dedican a vender soluciones blockchain. Les oía hablar con sus clientes y entre ellas dos. Los comentarios eran del tipo "no necesitan blockchain para nada pero lo quieren comprar para poder decir que lo usan".
Tengo la sensación de que en cuestión de ciberseguridad, hay un 90% de gente que no conoce ni las ideas básicas, y un 10% de "entusiastas" que están (estamos) blindando sus sistemas a prueba de ataques de la NSA o el Mossad. ¿Cuál podría ser un buen término medio para recomendar a la población general? Es gente que ya tiene otras mil preocupaciones y solo va a tomar medidas básicas y sencillas ¿Hay algún modelo a seguir, por ejemplo un país donde creas que se están haciendo las cosas mejor?
Realmente cosas sencillas como las siguientes nos pueden ayudar enormemente y no tienen un gran coste para una organización: hacer copias de seguridad, controlar el acceso a aplicaciones críticas y áreas restringidas como el CPD, gestionar de forma segura toda la criptografía, formar y concienciar a los empleados (phishing, ingeniería social, etc.), monitorizar activos críticos, realizar una buena segmentación de la red, tener un firewall actualizado, activar seguridad en los endpoints y mantener al día aplicaciones y antivirus.
Pero lo dicho, eso sería lo mínimo para cualquier organización, pero a partir de ahí si nuestro riesgo es alto deberíamos auditar el software de terceros, desarrollar de forma segura el propio, SOC propio o de terceros, etc.
Yo la tuya la veo con asteriscos.
Tengo algunas dudas al respecto del futuro de la criptografía asimétrica, con motivo de la llegada de la criptografía cuántica. En particular:
¿Cómo crees que afectará a bitcoin (muy dependiente de criptografía asimétrica con algoritmos ya actualmente considerados débiles - RSA1024 -) y a otras blockchain?
¿Qué opinas del concurso del NIST para encontrar algoritmos que resuelvan esta problemática, actualmente en proyecto pero bastante avanzado (csrc.nist.gov/projects/post-quantum-cryptography)? ¿Conoces otras iniciativas similares (especialmente en el ámbito UE)?
Un saludo.
No obstante los usuarios que no generaran nuevas identidades y migraran sus activos seguirían en peligro de que dichos activos protegidos por criptografía menos fuerte pudieran ser manipulados por terceros.
Con respecto al concurso del NIST desgraciadamente a pesar de que Francia y Alemania auditan periódicamente algoritmos o que ENISA lanza periódicamente informes con respecto a la criptografía… a día de hoy en gran medida dependemos de la investigación que realizan criptógrafos en todo el mundo combinada con la neutralidad de concursos extranjeros como el del NIST que son una referencia y en el que se basan muchas decisiones políticas.
¿Qué opinas de PGP?
Un saludo
¿Y meterías en uno tus números de tarjetas bancarias y las semillas para la creación de carteras de crypto?
¿Usas algún servicio de almacenamiento en la nube, tipo Onedrive? ¿Cuál es el nivel de confianza que te aporta?
Con respecto a los servicios de almacenamiento en la nube suelen ser seguros por lo general, eso sí, en el caso de que necesites subir información sensible lo mejor es que la subas cifrada
Entonces, ¿es realmente un problema técnico, o se trata únicamente de voluntad política?
No obstante además tenemos como comentaba un problema añadido, tenemos una fragmentación en la toma de decisiones que no existe en Estonia, y software legado anterior que unitariamente funciona muy bien y cuyos responsables temen en muchos casos “modernizar” porque puede terminar convirtiéndose en un auténtico quebradero de cabeza.
www.lasexta.com/programas/enviado-especial/mejores-momentos/estonia-el
#143 Me sorprendio que… » ver todo el comentario
www.thisistherealspain.com/en/spain-in-the-world/competitiveness/spain
No sé por qué tenemos la manía de pensar que somos siempre los peores. Menos mal que fuera hay entidades neutrales que elaboran estos estudios, y aún así los ignoramos y no les damos ninguna difusión.
Podíamos seguir trasladándonos a caballo, comunicarnos por cartas, etc. pero aún así creamos el vehículo a motor, inventamos el telégrafo y no nos conformamos. Blockchain es un conjunto de tecnologías y conocimientos que permitirán un mundo más transparente, traceable, eficiente, descentralizado, seguro/confiable, etc. Es fácil encontrar en la red para distintos sectores (p.ej. construcción, seguros, logística)… » ver todo el comentario
Qué nos puedes explicar sobre los últimos hackeos de Okex y de la DeFi Protocol Harvest Finance? Cómo se realizaron y qué se podrá hacer en el futuro para evitarlos? Están en peligro todos los farmers de DeFi?
Gracias, un saludo
-¿Crees que el Esquema Nacional de Seguridad (ENS) realmente cumple su cometido?. Si pudiéramos solucionar los problemas con 15 páginas en el BOE, ¿Por qué no hay un Esquema Nacional de la Programación (ENP) para la administración pública, habida cuenta del desastre y descoordinación del software generado en las AAPP?
-¿No piensas la estrategia de ciberseguridad para la administración pública liderada por el… » ver todo el comentario
Podemos encontrar desarrollos actuales, bajo la supervisión de un buen equipo técnico por parte de la administración que cumplen todo lo que yo exigiría a la administración a nivel de seguridad, pero sin embargo siempre nos vamos a encontrar con profesionales menos sensibilizados que no perciben el impacto real de no incorporar la ciberseguridad desde el diseño e invertir en herramientas de ciberseguridad.
Creo que lo importante es pedir responsabilidades cada vez que se genere un incidente en el que se manifieste la clara ausencia de medidas de contingencia, ni planes, ni nada... en esos casos de clara desidia se debería pedir responsabilidades para también hacer justicia a los profesionales de la administración que sí invierten y trabajan duro el ámbito de la ciberseguridad y que es a día de hoy casi un lastre a nivel personal.
No hay nada malo en admitir que hay una cierta centralización que les permite una mayor facilidad para construir el sistema, ser más eficientes, etc. Seguramente para las entidades financieras que son uno de sus usuarios más activos esto sea incluso una garantía y un vínculo favorable con su cultura y concepto de seguridad. El que realmente desee un activo totalmente descentralizado seguramente opte por Bitcoin.
Lo importante como siempre es ser transparente para que cada usuario pueda seleccionar en función de sus preferencias o necesidades.
La inteligencia artificial tiene múltiples usos, y junto a la digitalización ofrece muchas oportunidades, pero también riesgos. Hemos creado unas tecnologías como las redes sociales que compiten por nuestra atención y que están creando auténtica dependencia, falta de sueño, dificultad para concentrarse, etc. en la ciudadanía. Deberíamos de crear órganos que velen por la salud de los usuarios y sus intereses ya que de momento estos algoritmos de IA han demostrado que son muy eficientes en su cometido, pero que su objetivo es la rentabilidad de sus empresas y no el bienestar de los ciudadanos.
Si no es indiscrepcion, a que pregunta te refieres que compartes curiosidad?
Por otro lado, en cuanto a ciberseguridad en la ciudadania de a pie, creo que no bastaria con la capa de transporte (internet, ni la aplicacion, ya que incluso con signal, se puede infectar el dispositivo por otro camino para hacer capturas de pantalla de lo que se escribe, (fuente:… » ver todo el comentario
Aun así, este tipo de ataques no son permanentes y todo se destapa una vez que se deja de tener esa mayoría en la red. Tampoco implican que cambies lo anterior, el punto inicial es aquel en el que comienza tu capacidad de cómputo superior a la del resto.
En cualquier caso, en redes permisionadas prácticamente no se utiliza el proof of work y por tanto lo que debemos primar es diseñar la red para que los propios participantes en la misma no tengan intereses comunes, para ello deberemos aplicar teoría de juegos y analizar los posibles conflictos a los que se puede enfrentar y ver si a los participantes les conviene de forma mayoritaria o incluso total en algunos casos alinearse para alterar el correcto funcionamiento de la red.
No soy muy favorable a ello, pero también entiendo que existen usuarios que no son sensibles sobre su privacidad y que prefieran monetizar dicha información
Lo ideal sería (sé que es utópico) que las empresas no vean esos datos como mercancía y que los usuarios no debieran cuidar constantemente su espalda.
No hay nada malo en admitir que hay una cierta centralización que les permite una mayor facilidad para construir el sistema, ser más eficientes, etc. Seguramente para las entidades financieras que son uno de sus usuarios más activos esto sea incluso una garantía y un vínculo favorable con su cultura y concepto de seguridad. El que realmente desee un activo totalmente descentralizado seguramente opte por Bitcoin.
Lo importante como siempre es ser transparente para que cada usuario pueda seleccionar en función de sus preferencias o necesidades.
La inteligencia artificial tiene múltiples usos, y junto a la digitalización ofrece muchas oportunidades, pero también riesgos. Hemos creado unas tecnologías como las redes sociales que compiten por nuestra atención y que están creando auténtica dependencia, falta de sueño, dificultad para concentrarse, etc. en la ciudadanía. Deberíamos de crear órganos que velen por la salud de los usuarios y sus intereses ya que de momento estos algoritmos de IA han demostrado que son muy eficientes en su cometido, pero que su objetivo es la rentabilidad de sus empresas y no el bienestar de los ciudadanos.
Creo que si somos conscientes de ello, desactivamos todas las notificaciones que nos activan por defecto, intentamos no centralizarnos en una única plataforma... podemos llegar a usar sus servicios sin grandes problemas. pero para lo importante.. yo siempre utilizaré Tor.
Eso sí, debemos de tener cuidado también con Tor, Signal y compañía, ya que si queremos pasar desapercibidos no son las herramientas adecuadas ya que respetan nuestra privacidad pero nos "marcan" en nuestro tráfico si hay alguien observando... así que a veces también hay que pasar desapercibido
como comentaba en otro hilo estoy orgulloso de haber creado el primer wereable de Paypal ( www.hosteltur.com/167280_paypal-entra-tecnologia-wearable-hotelera-man), de lanzar la primera aplicación de rastreo en España que lleva funcionando desde mayo en los centros de investigación del País Vasco y en diferentes empresas ( elpais.com/tecnologia/2020-09-04/menudo-marron-he-recibido-una-alerta- ) o de liderar el equipo que hace unos años investigara el caso Snowden al Parlamento Europeo (www.expansion.com/tecnologia/2015/05/23/555cc862ca474168478b45b8.html).
Tengo la suerte de trabajar con un gran equipo de profesionales con los que he compartido estas y otras muchas experiencias, sobre todo en aquellas en las que hemos ayudado a otros equipos a conseguir sus objetivos:
www.iotsworldcongress.com/agenda/ei-07-chainbus-a-global-platform-for-
www.solarnews.es/2018/11/02/acciona-cuenta-con-tecnalia-para-evidencia
www.computing.es/mundo-digital/entrevistas/1121317046601/blockchain-te
etc.
Lo más parecido que nos podemos encontrar al mismo nivel de seguridad pero con una versatilidad y funcionalidad muchísimo más limitada son los TEEs de diferentes procesadores que tienen su propio SO seguro, los HSMs y SmartCards, pero para mi RACF es un sistema que pretende ser similar a los anteriores pero multipropósito y con gran capacidad de cómputo.
Con respecto a IoT mi recomendación es siempre aislarlos en la red (segmentación) incluso hacer categorías (los que en principio son más seguros en un segmento y las cosas "baratas" de china en otro)
Ayer mi padre, con más de 80 años, me comentaba por teléfono que estaba hasta las narices, que no se aclaraba con la página de la Seguridad Social para cambiar un dato y que nadie le ayudaba desde la Administración, que se iba a una oficina, siendo… » ver todo el comentario
Me parece que las cosas informaticas se hacen como todo para que se vea que hace algo, pero sin intencion de real de dar el mejor servicio.
@OscarLage, tienes algun blog donde hables de estas cosas?