edición general
OscarLage

OscarLage

Soy Oscar Lage, investigador en ciberseguridad, criptografía y blockchain. Me dedico a la investigación y transferencia tecnológica, ayudando a las empresas a adoptar nuevas tecnologías que les permitan crear sistemas más seguros y respetuosos con la privacidad de las personas.

En menéame desde octubre de 2020

10,15 Karma
1.299 Ranking
Enviadas
Publicadas
Comentarios
Notas

Soy Óscar Lage, investigador en ciberseguridad, criptografía y blockchain. Pregúntame [173]

  1. Muchas gracias a todos por vuestras preguntas, comentarios, sugerencias, etc. ha sido un placer pasar un rato con todos vosotros y me ha parecido realmente interesante la experiencia. Muchas gracias y recordad, la tortilla siempre con cebolla ;)
  1. #92 Sí estoy a favor de la máxima de "Code is Law" pero ahora mismo los SmartContracts en muchos casos son una auténtica "porquería" mal programada sin prácticas de ingeniería del software ni auditoría, creo que si queremos que sea una realidad debe haber buenas prácticas, testing y auditoría de terceros ya que el usuario de a pie no puede auditar estas cosas por sí mismo, y no todo el mundo es técnico.
  1. #91 Sí, pero es más complicado, seguramente para abrirte camino una buena estrategia para demostrar tu potencial es colaborar en iniciativas open-source, suele funcionar muy bien en el norte de europa esa estrategia
  1. #88 Efectivamente debemos de ser cautos con los servicios cloud, por lo general son muy útiles, pero cuando gestionamos información sensible quizás debamos añadir una capa de criptografía ;)

    Con respecto a IoT mi recomendación es siempre aislarlos en la red (segmentación) incluso hacer categorías (los que en principio son más seguros en un segmento y las cosas "baratas" de china en otro) ;)
  1. #86 Ahora mismo la comunidad está más con Hive qeu con Steem, se ha generado una nueva comunidad y habrá que esperar cómo evoluciona Steem y Hive por separado: es.cointelegraph.com/news/hive-hard-fork-is-successful-steem-crashes-b
  1. #84 jejej! el eterno dilema... el problema es más burocrático que tecnológico... sólo necesitamos que las administraciones acuerden y admintan mayoritariamente una serie de certificados que ya existen, pero todos quieren gestionar nuestra identidad ;)
  1. #78 no creo que estén intentando alimentar su IA, más bien se les están descontrolando muchas cosas, no crees?
  1. #75 es muy interesante para todo aquel que quiere privacidad o necesita desvincular sus BTC de KYC ;)
  1. #72 creo que realizar una formación práctica de Hacking ético es un buen comienzo para identificar en qué rama de la ciberseguridad te quieres profesionalizar ya que la ciberseguridad es muuuy amplia y no es lo mismo un experto en redes o comunicaciones, aplicaciones, datos... o incluso algo más core como es la criptografía... por eso los cursos y certificaciones de Hacking Ético suelen ser muy prácticos, entretenidos y nos dan pistas sobre nuestras preferencias.
  1. #51 Creo que el mundo corporativo actualmente intenta hacer el Business as usual con una tecnología disruptiva, como comentaba anteriormente creo que el paradigma va a cambiar y estas empresas deberán de comenzar a abrirse y hacer las cosas de forma diferente #102, ahí es donde blockchain tendrá un gran diferencial en la empresa, de momento es una tecnología que en algunos casos les permite eliminar fricciones, mejorar sus procesos… pero el potencial es muchísimo mayor.
  1. #46 Efectivamente la seguridad 100% no existe, ni es factible ;)
  1. #40 Estamos hablando de palabras mayores {0x1f609}
    Lo más parecido que nos podemos encontrar al mismo nivel de seguridad pero con una versatilidad y funcionalidad muchísimo más limitada son los TEEs de diferentes procesadores que tienen su propio SO seguro, los HSMs y SmartCards, pero para mi RACF es un sistema que pretende ser similar a los anteriores pero multipropósito y con gran capacidad de cómputo.
  1. #90 Efectivamente es un ámbito complicado y iniciativas como las que señalas muchas veces nacen con muy buenas intenciones pero la realidad es que el impacto que tienen muchas veces es mucho más limitado que lo que nos gustaría a todas las partes. Existen diferentes ámbitos en los que la única solución para su cumplimiento es la "multa" pero por lo general el gran problema es la disparidad de madurez que tienen los diferentes sistemas de la administración.
    Podemos encontrar desarrollos actuales, bajo la supervisión de un buen equipo técnico por parte de la administración que cumplen todo lo que yo exigiría a la administración a nivel de seguridad, pero sin embargo siempre nos vamos a encontrar con profesionales menos sensibilizados que no perciben el impacto real de no incorporar la ciberseguridad desde el diseño e invertir en herramientas de ciberseguridad.
    Creo que lo importante es pedir responsabilidades cada vez que se genere un incidente en el que se manifieste la clara ausencia de medidas de contingencia, ni planes, ni nada... en esos casos de clara desidia se debería pedir responsabilidades para también hacer justicia a los profesionales de la administración que sí invierten y trabajan duro el ámbito de la ciberseguridad y que es a día de hoy casi un lastre a nivel personal.
  1. #82 Llevo toda mi carrera profesional en la ciberseguridad, incluso antes de que lo conociéramos por ciberseguridad ;)
    como comentaba en otro hilo estoy orgulloso de haber creado el primer wereable de Paypal ( www.hosteltur.com/167280_paypal-entra-tecnologia-wearable-hotelera-man), de lanzar la primera aplicación de rastreo en España que lleva funcionando desde mayo en los centros de investigación del País Vasco y en diferentes empresas ( elpais.com/tecnologia/2020-09-04/menudo-marron-he-recibido-una-alerta- ) o de liderar el equipo que hace unos años investigara el caso Snowden al Parlamento Europeo (www.expansion.com/tecnologia/2015/05/23/555cc862ca474168478b45b8.html).
    Tengo la suerte de trabajar con un gran equipo de profesionales con los que he compartido estas y otras muchas experiencias, sobre todo en aquellas en las que hemos ayudado a otros equipos a conseguir sus objetivos:
    www.iotsworldcongress.com/agenda/ei-07-chainbus-a-global-platform-for-
    www.solarnews.es/2018/11/02/acciona-cuenta-con-tecnalia-para-evidencia
    www.computing.es/mundo-digital/entrevistas/1121317046601/blockchain-te
    etc.
  1. #76 La verdad es que hace muchos años las llegué a idolatrar, incluso me hubiera gustado trabajar para ellas y las veía como startups que estaban creando un nuevo ecosistema "gratuito" para los usuasios (hablo del resto no de Microsoft ;) ) , sin embargo a día de hoy para mí todas son aglutinadoras de poder que si bien nos brindan algunas herramientas interesantes tenemos que utilizarlas con cuidado y con conocimiento de que su objetivo principal es conocernos para influir en nuestras decisiones, compras, etc. y rentabilizar ese poder que tienen ofreciendo dichos servicios a sus anunciantes.
    Creo que si somos conscientes de ello, desactivamos todas las notificaciones que nos activan por defecto, intentamos no centralizarnos en una única plataforma... podemos llegar a usar sus servicios sin grandes problemas. pero para lo importante.. yo siempre utilizaré Tor.
    Eso sí, debemos de tener cuidado también con Tor, Signal y compañía, ya que si queremos pasar desapercibidos no son las herramientas adecuadas ya que respetan nuestra privacidad pero nos "marcan" en nuestro tráfico si hay alguien observando... así que a veces también hay que pasar desapercibido ;)
  1. #103 GRacias a tí @redscare
  1. #59 Creo que por un lado es un problema de fragmentación tecnológica que ha generado muchos silos en la administración. Estonia creó hace ya mucho tiempo (2001 creo recordar) una plataforma de interoperabilidad denominada X-Road que es previa a blockchain aunque comparte ciertas similitudes (por eso sus políticos a veces dicen que utilizan blockchain, pero esto es bastante anterior y más sencillo). X-Road permite eliminar esos silos tecnológicos, tener garantía y acuse de recibo de la información que te da el resto de sistemas de información, etc.
    No obstante además tenemos como comentaba un problema añadido, tenemos una fragmentación en la toma de decisiones que no existe en Estonia, y software legado anterior que unitariamente funciona muy bien y cuyos responsables temen en muchos casos “modernizar” porque puede terminar convirtiéndose en un auténtico quebradero de cabeza.
  1. #58 Gracias por tu comentario, la verdad es que en ResearchGate o Scholar tienes algunas publicaciones, pero realmente me siento más orgulloso como practitioner de cómo ayudamos a crear el primer wereable de Paypal como medio de pago, totalmente integrado además con los chips de apertura de cerraduras sin contacto etc. ( www.hosteltur.com/167280_paypal-entra-tecnologia-wearable-hotelera-man), de lanzar la primera aplicación de rastreo en España que lleva funcionando desde mayo en los centros de investigación del País Vasco y en diferentes empresas ( elpais.com/tecnologia/2020-09-04/menudo-marron-he-recibido-una-alerta- ) o de liderar el equipo que hace unos años investigara el caso Snowden al Parlamento Europeo (www.expansion.com/tecnologia/2015/05/23/555cc862ca474168478b45b8.html)
  1. #57 Como comentaba en #97 creo que blockchain es un complemento y que además puede llegar a ser muy útil para modelos como el de la democracia líquida.
  1. #23 Increíble reflexión @preparado, como te puedes imaginar no tengo respuestas a estas preguntas, pero comparto tu curiosidad en algunas de ellas. Realmente no sé hasta qué punto necesitamos un nuevo Internet o lo que necesitamos es cambiar la cultura a las empresas/desarrolladores y usuarios para valorar (pagar) por la seguridad y que sobre la capa actual de Internet las aplicaciones que operan sean robustas y no confíen para nada en el protocolo de transporte, asumiendo desde la capa de aplicación las responsabilidades oportunas.
    La inteligencia artificial tiene múltiples usos, y junto a la digitalización ofrece muchas oportunidades, pero también riesgos. Hemos creado unas tecnologías como las redes sociales que compiten por nuestra atención y que están creando auténtica dependencia, falta de sueño, dificultad para concentrarse, etc. en la ciudadanía. Deberíamos de crear órganos que velen por la salud de los usuarios y sus intereses ya que de momento estos algoritmos de IA han demostrado que son muy eficientes en su cometido, pero que su objetivo es la rentabilidad de sus empresas y no el bienestar de los ciudadanos.
  1. #128 Yo siempre 0000 o 1234, por supuesto ;)
  1. #21 El que va acompañado de un segundo factor de autenticación {0x1f609}
  1. #17 Entiendo que te refieres a la mensajería instantánea y a riesgos como puede ser los nuevos paradigmas computacionales comentarte que hay avances significativos a nivel conceptual de cómo aplicar criptografía post-cuántica en el protocolo Signal. Introducir CSIDH como alternativa a ECDH en el protocolo nos introduce una latencia superior en el primer intercambio de mesajes pero el resto del hilo no se ve afectado. Pasando de una media de 0,35 segundos a más de 4 segundos en esos primeros mensajes en cada sentido, manteniéndose 12-13ms para el resto de mensajes consecutivos de la conversación.
  1. #16 Creo que es un activo interesante y útil para el ámbito financiero, pero deberían de dejar de insistir en el carácter descentralizado total de la red y en la independencia de Ripple sobre el activo.
    No hay nada malo en admitir que hay una cierta centralización que les permite una mayor facilidad para construir el sistema, ser más eficientes, etc. Seguramente para las entidades financieras que son uno de sus usuarios más activos esto sea incluso una garantía y un vínculo favorable con su cultura y concepto de seguridad. El que realmente desee un activo totalmente descentralizado seguramente opte por Bitcoin.
    Lo importante como siempre es ser transparente para que cada usuario pueda seleccionar en función de sus preferencias o necesidades.
  1. #12 Creo que en el caso de Bitcoin se ha trabajado mucho en su escalabilidad directa, pero a día de hoy quizás la respuesta más prometedora de escalabilidad sea Lightning Network. Debemos esperar todavía para ver cómo evoluciona pero si demuestra una estabilidad y seguridad podría ser una segunda capa para Bitcoin que permita dar ese salto de escalabilidad que todos estábamos esperando.
« anterior1

menéame