Estoy viendo que llevo más de un mes sin escribir por aquí (En internet (casi) nadie te echará de menos.) pero es que mis horarios en esta primera parte del año son un poco raros y colisionan claramente con mis otras rutinas. A ver si retomamos la actividad, de momento con una intervención en casa de otros. Me (nos) escribió Henry, de tecnolocuras tratando de reproducir una idea que ha estado flotando por la blogosfera (aunque el formato era más de autoentrevista). En mi caso el resultado salió en #2 Conversaciones con blogueros: Fernando Tricas García y fue una buena oportunidad para reflexionar sobre esta actividad. Se pueden ver el resto en Entrevistas con blogueros donde seguramente podamos encontrar algún sitio nuevo para nuestro lector de RSS.

Por conservación del contenido, reproduzco aquí el texto:

El entrevistado es Fernando Tricas García, la persona detrás de https://elmundoesimperfecto.com

Entrevista
¿Qué te motivó a iniciar tu blog?

Yo era uno de los editores de un sitio de noticias y debates sobre software libre, que se llamaba BarraPunto. En algún momento se permitió a la gente tener su propia página con sus propios contenidos y lo llamamos las bitácoras. Poco después mi amigo Víctor Ruiz programó el sistema para publicar en Blogalia.com y allí empecé a tomarme más en serio lo de tener un blog. Ahora he pasado a un blog con mi propio dominio que es la continuación de ese (https://blog.elmundoesimperfecto.com/).

¿Cuáles consideras que son los principales desafíos a los que se enfrenta un bloguero en la actualidad?

Los desafíos no han cambiado mucho: encontrar tiempo y ganas de escribir en tu sitio con la frecuencia que se ajuste a ti. Es cierto que hubo algún momento en el que había mucha gente escribiendo y leyendo blogs y mucha de esa actividad pasó a las redes sociales pero eso no cambia demasiado la dinámica de un bloguero, salvo que su objetivo sea ser famoso o vivir de su sitio.

¿Cómo seleccionas los temas sobre los que escribes y cuál es tu proceso creativo?

Yo leo mucho, de temas variados, algunos por interés profesional y otros por interés personal. De esas lecturas guardo las que me parecen más interesantes (en realidad las guardo todas, soy un maniático de la conservación de información en digital; las que me motivan más las marco para escribir sobre ellas en algún momento). A veces son temas de actualidad (aunque nunca demasiada, el tiempo de comentar noticias del día y pasó) y otras veces temas más de fondo y de largo recorrido. Siempre (o casi) motivadas por la lectura de algo que ha llamado mi atención y donde creo que vale la pena señalar las ideas que me interesan. En algunas ocasiones, con algo de mi opinión personal.

¿Qué estrategias utilizas para captar a tu audiencia?

Soy bastante malo en eso. Tengo la impresión de que nadie (o muy poca gente) lee lo que escribo, pero creo que eso está bien. Ha sido una sorpresa agradable ver tu interés. Si después de tanto tiempo manteniendo una cierta regularidad no hay muchos lectores es porque seguramente no es tan interesante. En cualquier caso, mi motivación para escribir es guardar esas lecturas que llamaron mi atención, comentarlas y quién sabe si en el futuro volver a mirarlas. Lo importante para mi es el proceso: leo, selecciono, comento y es un círculo que se va realimentando.

¿Qué herramientas o plataformas consideras indispensables para la gestión de tu blog?

Un editor de texto (yo uso vim) y un sistema de gestión de versiones (ahora mismo estoy publicando fundamentalmente utilizando un generador de sitios estáticos, Jekyll, en GitHub pages). A la vez es muy importante para mi (aunque espero que no me suceda) tener la capacidad de reconstruir el sitio en otra parte (e incluso con una tecnología diferente) con poco esfuerzo. También considero indispensable el lector de RSS (utilizo feedly) para poder seguir un buen montón de fuentes de información; las redes sociales también me proporcionan enlaces a buenas lecturas en muchas ocasiones. Finalmente, utilizo Pocket para guardar los enlaces que quiero leer (raramente veo un enlace y lo leo, los guardo para leerlos más tarde) y un lector de tinta electrónica (ahora un Kobo, que me permite leer con comodidad lo que he guardado en Pocket).

¿Cómo manejas las críticas o comentarios negativos en tu blog?

Hace mucho tiempo que quité los comentarios del blog: no porque fueran negativos, sino porque fundamentalmente eran de spam. El tiempo invertido en rescatar los pocos comentarios interesantes no merecía la pena.

¿Has integrado alguna herramienta de inteligencia artificial en tu proceso de escritura? Si es así, ¿cómo la usas y qué impacto ha tenido en tu trabajo?

No. Estuve un tiempo generando un boletín de enlaces diario donde empecé a jugar con inteligencia artificial (antes del chatGPT) para clasificarlos y no descarto retomar el proyecto de nuevo cuando encuentre la herramienta adecuada (en aquel momento lo hacía con Revue, que la compró Twitter y luego la cerró).

¿Cómo crees que la inteligencia artificial afectará el futuro de los blogs y la creación de contenido en línea?

Ya les está afectando. Se ve en los sitios más comerciales cómo usan las inteligencias artificiales para generar textos, imágenes,... y en ese sentido seguimos con una tendencia ya consolidada de tratar de obtener el máximo beneficio con el mínimo esfuerzo. No me gusta mucho, pero nadie me obliga a leerlo, así que supongo que está bien para alguien y ya está. Para alguien que tiene un sitio personal, veremos herramientas que nos ayudarán en determinadas tareas y quién sabe cómo se integrará en nuestras rutinas. Yo no estoy cerrado en absoluto a añadir herramientas, pero de momento no he dedicado tiempo suficiente a pensar en ello.

¿De qué manera monetizas tu blog, si es el caso, y qué consejos darías a quienes buscan hacerlo?

No lo monetizo. Para mi el blog es una actividad que integro en mi vida profesional y personal sin más, y que no tenga monetización me da bastante libertad a la hora de escribir.

¿Cuál es el costo de mantener tu blog?

En este momento muy poquito: el coste del dominio y poco más (bueno, como siempre, hace falta un ordenador, leo en el kobo, la conexión a internet,...). Utilizo servicios gratuitos externos (GitHub Pages) y fácilmente reemplazables en caso de que dejen de serlo. Me seduce la idea de hacer una aproximación 'low cost' que cualquiera podría utilizar. Manteniendo, eso sí, un cierto control de los posibles daños en caso de que algún servicio gratuito deje de funcionar o empiece a tener coste.

¿Qué blogs o blogueros te inspiran y por qué?

Sigo un montón de sitios y presto atención a unos cuantos amigos de toda la vida: sin orden especial Consultoría artesana en la red (https://www.consultorartesano.com/), Torres Burriel (https://torresburriel.com/), entre los cercanos. También algunos como el de Simon Willison (https://simonwillison.net/); este además lleva un par de años de máxima actualidad por su apuesta divulgativa en temas de IA, o el linklog de Stephen Downes (https://www.downes.ca/); el de Jon Udell (https://blog.jonudell.net/). También algunos sitios de noticias como Slashdot (https://slashdot.org/), InfoQ (https://www.infoq.com/), OSNews (https://www.osnews.com/), o Hackaday (https://hackaday.com/), entre otros.
Esto es una selección apresurada y seguro que en un par de días veo en el lector de RSS alguno que no he dicho ahora.

¿Cómo ves el futuro del blogging en el mundo hispanohablante?

Afortunadamente, escribir un blog sigue siendo igual que siempre: sencillo, cómodo y accesible. En ese sentido seguirá habiendo personas que encuentren esta forma de publicar en internet adecuada y seguirá existiendo. No creo que de pronto vaya a convertirse en un medio de publicación para mucha gente, como sucedió hace unos años, aunque creo que no soy especialmente bueno pronosticando el futuro.

¿Qué consejo le darías a alguien que está pensando en crear su propio blog?

Que se lo tomen con calma, elijan alguna de las herramientas disponibles y prueben. Esto no es un matrimonio ni un contrato, así que si no les funciona, no hay problema. La calma la necesitarán porque es bastante probable que no tengan muchos lectores, así que más vale que les sirva a ellos para algo. Puede parecer pesimista, pero veintipico años después allí seguimos escribiendo, así que creo que tener un blog, e ir escribiendo me parece una buena idea.

Un nuevo éxito en #Ciberseguridad360º, esta vez en #Madrid. ¡Gracias por acompañarnos! 👏
🔒 Hemos reunido a grandes profesionales para compartir estrategias, buenas prácticas y experiencias sobre los desafíos de la #ciberseguridad. ¿Has estado?

¡Nos vemos en la próxima edición! pic.twitter.com/Xp1PJtmywC

— Sarenet (@Sarenet) February 11, 2025

Hace unas semanas me contactó un conocido de Sarenet para participar en 2ª Edición Encuentro Ciberseguridad 360º. Me pedían si podía hacer una pequeña panorámica históricas de lo sucedido en ciberseguridad. No soy historiador, así que mi aproximación es de aficionado, pero sí que me gusta traer y recordar historias para contextualizar lo que vamos viendo y tratar de aprender algunas lecciones, así que el otro día estuvimos por allí hablando un ratito del tema.

Empezamos hablando de cuando casi ni había internet y de cómo en los EEUU ya se preocupaban por la seguridad de los programas, y la ligaban a la complejidad, con los experimentos que ya hemos comentado alguna vez CHAPERON 1 y 2 (Penetrate, Exploit, Disrupt, Destroy: The Rise of Computer Network Operations as a Major Military Innovation).

Luego recordábamos a principios de siglo se hablaba de la complejidad de Linux frente a Windows, Windows vs Linux Server (versión archivada), Why Windows is less secure than Linux (versión archivada). Ya estaba a punto de dejar de usar esta información por obsoleta, pero el año pasado nos regalaron esta imagen que ‘revive’ la historia:

FreeCAD's build dependency graph in Debian, made using the `debtree` tool pic.twitter.com/hWP19AolUv

— Kurt WK (@thekurtwk) March 12, 2024

La complejidad es enemiga de la seguridad (y de más cosas), pero allí estamos.

A continuación recordamos el primer gusano, Morris Worm Tunnels Through Internet y cómo la causa era un desbordamiento de memoria (buffer overflow).

Pero si miramos la base de datos de vulnerabilidades, overflow CVE encontramos que es un fallo que sigue apareciendo con frecuencia (uno al día en diversos productos, desde principios de este año, por ejemplo), así que en esto tampoco hemos mejorado.

Luego recordamos aquellos años de virus, troyanos y otros programas maliciosos en general, con nombres como: CIH, Melissa, ILOVEYOU, Code Red, … y cómo dejaron de oirse estas cosas. Pero no es porque hubieran desaparecido, sino porque su creación se había profesionalizado y continuaron creándose, pero con efectos más discretos y más provechosos para sus creadores. De hecho, hay todo un mercado de compra venta de fallos de seguridad (los de día cero, esto es desconocidos para todo el mundo, los preferidos) y sitios para comprar y vender como Zerodium.

A continuación vino el caso de STUXNET y una de las primeras acciones de ciberguerra importantes, These Olympic Games Launched a New Era of Cyber Sabotage con nuevas lecciones aprendidas: da igual lo protegido que esté un sistema, siempre aparecen formas de introducir problemas (Dutch man sabotaged Iranian nuclear program without Dutch government’s knowledge: report una noticia del año pasado que lo devolvió por un momento a la actualidad).

Pero este caso es interesante porque una vez que se despliega una ‘solución’ de este tipo es muy difícil que sólo afecte a quienes motivaron la acción y pudimos ver cómo afectaba a otros, en W32.Stuxnet.

Esto nos da para pensar un poco:

• ¿Gobiernos como creadores de programas maliciosos?
• Mercados de compra y venta de estos programas
• Fallos de día cero utilizados en lugar de informar a los fabricantes
• ¿Los fallos para defender a tu gente, o para atacar a otros?

Acercándonos un poco en el tiempo recordamos el reciente caso del ataque The Solarwinds cyberattack’ donde se comparten algunas características con el anterior (tiempo dilatado de preparación, fallos de día cero, …) pero donde aparece una novedad que puede resultar muy peligrosa: en lugar de atacar a una empresa u organización atacan a sus proveedores. De esta manera pasan desapercibidos por los sistemas de defensa habituales y además el ataque se puede lanzar a mucha mayor escala. Tal y como nos mostraban en [PDF] Open Source Software Supply Chain Security - Why does it matter? fueron afectados incluso algunos organismos gubernamentales muy imporantes.

Con estos ataques, incluso aunque hagas bien las cosas en tu casa te puedes llevar la sorpresa a través de uno de tus proveedores. Les han dado el nombre de ataques a la cadena de suministro, y han provocado la aparición del Software Security in Supply Chains: Software Bill of Materials (SBOM), esto es, una descripción de las componentes que se incluyen con un programa informático, para poder conocer el problema si alguna de ellas tiene un problema de seguridad. En un país en el que, recordemos, no es obligatorio indicar en la etiqueta del agua embotellada los minerales que contiene (TRANSCRIPT The Bottle vs. Tap Battle Finale).

Para terminar con las historias y acercándonos todavía más en el tiempo hablamos del caso de los ataques a las personas de las que dependen algunos programas muy importantes para todo el mundo: What we know about the xz Utils backdoor that almost infected the world. Un desarrollador un poco cansado, que sigue manteniendo el programa porque lo ha hecho siempre. Pero, de pronto, se encuentra gente que le empieza a ayudar, luego a presionarle para que se eche a un lado y terminan infectando un producto que podría haber terminado en muchos sitios con efectos muy peligrosos.

Me gusta comentar siempre Why Was SolarWinds So Vulnerable to a Hack? It’s the economy, stupid sobre cómo algunos de estos problemas solo se arreglarán con regulación (bien aplicada y entendida) porque los incentivos están claramente en el lugar equivocado y no defienden a la gente. También, porque hace un par de años volvió a la actualidad, la [PDF] National Strategy to Secure Cyberspace (versión archivada) que promovió George Bush en 2003 y que Joe Biden relanzó/reformuló en 2023 [PDF] National Cybersecurity Strategy (versión archivada). Está por ver si el nuevo presidente hará algo en esta línea o no.

Para terminar, recordamos que la seguridad es un tema complicado porque te pueden dar un golpe por cualquier vía, como puso en evidencia el asunto de los buscas y Hezbollah el año pasado, What we know about the Hezbollah device explosions.

Me lo pasé bien preparando esta presentación, creo que a los asistes les interesó y aprovechamos para ver a viejos conocidos y, como siempre, conocer a nuevas personas. Ya que está preparada y ha alcanzado cierta madurez (diversos fragmentos se van contando a lo largo del tiempo en diversas versiones) estaré encontado de contársela a quien quiera.

Originalmente publicado en En la 2ª Edición del Encuentro Ciberseguridad 360º.

👉 Hoy estamos en el espacio Xplora de @ibercaja, en Zaragoza, hablando sobre cómo la IA transforma la ciberseguridad, sus desafíos y ventajas estratégicas. pic.twitter.com/2KDSAt5QxD

— GFT España (@gft_es) January 22, 2025

Durante las vacaciones me contactó Milagros Jordán, de la consultora GFT para participar en la jornada que estaba organizando sobre Ciberseguridad en la era de la IA: retos y oportunidades.

Además de un servidor, participaba en la jornada:

• Leandro Hermida, Director de Tecnología, Resiliencia Digital y Continuidad Ibercaja
• Carlos Rubio Manero, Director de Arquitectura y Soluciones de Ciberseguridad en GFT
• Maite Blasco, Delivery Executive Manager en GFT Consulting, Directora de la oficina de GFT Zaragoza y moderadora
• Adrián Feliu Gonzalez, Responsable de Consultoría Cyber en Howden Iberia
• Lorena Arcega Rodríguez, Directora del grado en Ingeniería de la Ciberseguridad en la Universidad San Jorge
• Jordi Murgó, Especialista en Seguridad e IA en GFT
• Eduvigis Ortiz, President & Founder Women4Cyber Spain / Cybersecurity AI Innovation Digital Leader

La idea era participar en una mesa redonda y aportar alguna opinión sobre estos temas.

La jornada se celebró el otro día y, como siempre, conocimos gente nueva, saludamos a gente conocida (me hizo especial ilusión encontrar estudiantes que terminaron y que ya están trabajando por ahí) y aprendimos algunas cosas.

Me preguntaron sobre las habilidades que deben adquirir los profesionales de la ciberseguridad para trabajar con la IA de forma efectiva.

Yo creo que en este momento los profesionales deben (debemos) probar, experimentar y, si se me permite, jugar con la tecnología para conocerla y familiarizarnos con ella. Pero también adaptarse a los compañeros (que los habrá muy aventajados y otros no tanto) y tratar de ayudarles para que desarrollen sus trabajos con la IA sin ser el freno (por aquello de la seguridad) pero tampoco que se hagan las cosas a lo loco y sin asumir riesgos innecesarios.

La pregunta se completaba con la forma en que los sistemas eduativos pueden integrar la IA y ciberseguridad en sus programas de formación.

Allí yo recordaba que vivimos en un entorno altamente regulado, donde los cambios son costosos y además continuamente hay novedades que nos ‘invitarían’ a estar cambiando continuamente los programas. Eso es poco realizable pero, sin embargo, sí que podemos utilizar esa información que tendremos gracias a nuestra exploración de la que hablábamos antes para compartirla con nuestros estudiantes de diversas formas (alguna clase, comenarios, discusiones, trabajos, …) y también con las empresas y quién nos lo pida.

Posteriormente me preguntaron sobre los ataques que pueden ser más dañinos de los que se pueden realizar con inteligencia articial.

Yo estoy muy preocupado, fundamentalmente, con dos cuestiones:

• Alguien va a tener, en algún momento y en algún lugar la tentación de sacar a los humanos de la cadena de decisión y eso va a provocar algún desastre. Seguramente no serán empresas grandes, ni a lo mejor en nuestro contexto más cercano pero será bastante fácil que ocurra en alguna parte del mundo. Y que nos afecte.

• La verdad. Vivimos en un mundo en el que la verdad ha dejado de ser importante para casi todos los que la defendían y en este momento es cada vez más fácil generar imágenes e incluso vídeos que nos pueden hacer creer cosas porque estamos habituados a interpretar esos formatos y darles credibilidad. Ante la ausencia de contraste, porque incluso los medios tradicionales se han lanzado a la guerra de publicar antes lo que sea, cada vez lo tenemos más difícil.

Quedó en el aire la pregunta de si la IA es aliada o enemiga y para mi es una pregunta que no es correcta del todo, porque da igual: la IA está aquí y va a ayudar a los malos y a los buenos. Por eso mismo no podemos esconder la cabeza debajo del ala y esperar a que vengan tiempos mejores, porque si hacemos eso lo que vendrán, seguramente, serán los problemas. Esto es especialmente relevante para muchas empresas pequeñas que se resisten a la tecnología sin darse cuenta de que el miedo les está colocando en una posición peor para competir contra aquellas otras que sí que utilizan (y sacan partido) la tecnología, con sus riesgos.

Publicado originalmente en En la Jornada sobre Ciberseguridad en la era de la IA: retos y oportunidades.

No es que sea un fanático de mantener las webs a cualquier precio; de hecho el sitio anterior a este apenas tenía acceso desde Google y no pasaba nada. No sólo eso, estuvo caído varias semanas y la vida siguió. Pero eso no me impide asombrarme cuando muchas organizaciones e instituciones tienen tan poco aprecio por su página: miras el historial de actividades y no existe (utilizan la web para publicitar algo, pero lo borran cuando ya pasó, como si el rastro que dejaran les preocupara).

El tema de la persistencia del contenido web está siendo tratado últimamente y me dejó preocupado (aunque ya lo estaba) leer When Online Content Disappears que resumen un informe que ha elaborado la consultora Pew Research y que nos da unas cifras llamativas:

• Una cuarta parte de las páginas que existían entre 2013 y 2023 ya no están disponibles.

A quarter of all webpages that existed at one point between 2013 and 2023 are no longer accessible, as of October 2023. In most cases, this is because an individual page was deleted or removed on an otherwise functional website.

• Para contenido más antiguo, el porcentaje es peor, un 38%.

For older content, this trend is even starker. Some 38% of webpages that existed in 2013 are not available today, compared with 8% of pages that existed in 2023.

• Un 23% de las páginas tienen, al menos, un enlace roto.

23% of news webpages contain at least one broken link, as do 21% of webpages from government sites.

• El 54% de las páginas de Wikipedia contienen algún enlace en ‘Recursos’ que apunta a una página que ya no existe.

54% of Wikipedia pages contain at least one link in their “References” section that points to a page that no longer exists.

En las redes sociales la cosa no es mucho mejor:

• Casi uno de cada cinco tuits ya no son visibles públicamente solo unos meses después de publicarse.

Nearly one-in-five tweets are no longer publicly visible on the site just months after being posted.

• Algunos tipos de tuits desaparecen más rápido que otros (por ejemplo, más del 40% de los que están escritos en turco o árabe ya no son visibles tres meses después).

Certain types of tweets tend to go away more often than others. More than 40% of tweets written in Turkish or Arabic are no longer visible on the site within three months of being posted. And tweets from accounts with the default profile settings are especially likely to disappear from public view.

El texto proporciona algunos detalles más pero creo que los titulares ya nos hacemos una idea.

Yo entiendo que haya gente que tenga miedo a su pasado (no te pueden atacar por algo que no se puede encontrar en tu web, o en tus redes sociales) pero como sociedad vamos a tener un problema si el medio elegido de publicación es la web y lo que ponemos luego desaparece.

Es cierto, como dicen en How to disappear completely que a veces se trata simplemente de un cambio de dirección (URL).

This happens because pages are taken down, URLs are changed, and entire websites vanish, as in the case of dozens of scientific journals and all the critical research they contained.

Y me recuerda lo frívolas que son algunas organizaciones con estas cuestiones.

Como decíamos, esto es particularmente preoupante para organizaciones gubernamentales, bibliotecas, pero también revistas científicas… Si no guardamos recuerdo de algunas cuestiones estamos perdiendo algo que en el futuro puede ser valioso.

Historical content can be an incredibly informative resource, telling us how people lived and thought. But we must remember that it’s a small fraction of contemporaneous material that survives, even as we hope, of course, that it’s our own existence that is ultimately memorialized.

¿Deberíamos estar pensando mejor cómo archivar alguna información digital valiosa (o no tanto) en previsión de que sus creadores decidan eliminarla o la pierdan por cualquier motivo?

Aún iré más allá y es otro defectillo que tiene la información digital: si solo está en el sitio del proveedor puede que tenga la tentación de modificar cosas, cambiar versiones y que en su web empiecen a perderse ‘detalles’ que eran relevantes pero que por algún motivo no interesa preservar. ¿Estaremos viendo en los sitios de series y películas las versiones que hicieron sus autores o terminaremos teniendo esas versiones recortadas y adaptadas que eliminan los detalles que pueden perjudicar su difusión a públicos más amplios?

A mediados del año pasado se publicaban estos datos: ChatGPT Statistics 2024All the latest statistics about OpenAI’s chatbot que tal vez ya estén un poco anticuadas, pero creo que vale la pena guardar por aquí. Y tal vez me sirvan para otras cosas.

• Consiguieron un millón de usuarios en la primera semana y en abril de 2024 se estima un número de visitas a la página web de 1800 millones (1.8 billion) con un número de usuarios activos estimado de 100 millones.

• Está disponible en 163 países y donde no está es en China, Rusia, Ukrania, Bielorusia, Venezuela, Afganistán e Irán.

• Funciona en inglés, pero parece que entiende cerca de 100 idiomas.

• Está escrito en Python, aunque también es capaz de comprender otros lenguajes, entre los que se encuentran los más habituales.

• De los 1000 sitios más importantes un 12% bloquea al bot que recorre la web buscando información.

• El coste de su funcionamiento se estima en unos 700000 dólares al día. Corre sobre 3500 servidores en Azure y utiliza alrededor de 30000 GPUs (procesadores gráficos).

• Alrededor del 70% de las personas han oido hablar de estos sistemas y solo un 30.7% los han probado.

Esto es solo una selección de datos que me han llamado la atención, hay muchos más en el artículo.