Criptólogo de referencia a nivel nacional, lidera además iniciativas como Criptored, red temática de criptografía y seguridad de la información, es ponente habitual en congresos de todo el mundo y por falta de espacio no podríamos citar ni una milésima parte de sus publicaciones y trabajos en la materia :)
1. Jorge, en primer lugar agradecerte tu colaboración en esta entrevista; es un lujo contar con tu opinión en este blog. La primera pregunta que nos gustaría hacerte es casi obligada. Eres una persona que lleva muchos años en el mundo de la seguridad y podemos considerarte uno de los principales referentes en Criptología a nivel nacional. ¿Cómo has visto la evolución en seguridad en nuestro país durante estos años? ¿Vamos a mejor? ¿Vamos a peor? ¿Seguimos igual?
Hola Toni, es un verdadero placer que de vez en cuando se acuerden de ti y haya gente que se interese por lo que algunos estamos haciendo, o al menos intentamos hacer, en este mundillo de la seguridad de la información. No obstante, primero que nada una aclaración necesaria: suena muy hermoso eso de criptólogo y referente a nivel nacional, pero no llegamos a tanto ni mucho menos. Es más que suficiente indicar que soy un estudioso y trabajador de la seguridad y de la criptografía y que, efectivamente y eso es verdad, llevo más de 15 años dedicado a la seguridad.
Ante todo, me considero un profesor universitario dedicado a la difusión y a la concienciación en seguridad de la información, tanto en España como en Latinoamérica. Ahí están por ejemplo, mi libro electrónico gratuito de Seguridad Informática y Criptografía acercándose a las 100.000 descargas, la red temática Criptored creada en 1999 y que ha cumplido once años en los que se han descargado ya dos millones de documentos, los congresos CIBSI que organizo cada dos años en Latinoamérica, los congresos DISI, seminarios y conferencias que organizo desde la Cátedra UPM Applus+ que dirijo y, por último, ese nuevo proyecto innovador y de amplia difusión que es la Enciclopedia de la Seguridad de la Información intypedia.
Hecha esta aclaración, te contesto. La respuesta a tus preguntas es muy simple. Estamos mejor, muchísimo mejor, que hace 16 años que fue cuando me inicié en esto de impartir una asignatura de seguridad informática en la universidad, allá por el año 1994. En aquel entonces éramos una centena de profesores que comenzábamos a impartir asignaturas de seguridad en la universidad; eso sí, antes de ese año 1994 había ya algunos colegas que llevaban unos cuantos años en esta línea y no hace falta nombrarlos porque son de sobra conocidos, y posiblemente cometería más de alguna injusticia al no nombrar a alguno de los pioneros de la seguridad informática en España. Pues bien, tres lustros después, en la universidad española somos cerca de 500 profesores trabajando en seguridad de la información, la gran mayoría de ellos con grado de Doctor. Se han creado, además, muchos grupos de investigación, muy buenos y competitivos a nivel internacional.
Pero este enfoque sólo desde el punto de vista académico, que es el que más domino lógicamente, sería muy sesgado. Lo importante es que podemos decir que algo similar ocurre a nivel de organismos y empresas, un buen número de ellas haciendo desarrollo e investigación. Contamos con un congreso de investigación ya consolidado como es la RECSI de carácter bienal con 11 ediciones celebradas, el congreso anual Securmática que lleva 22 ediciones celebradas, existen dos revistas (RedSeguridad y SIC) de gran calidad dedicadas íntegramente a la seguridad, destacados profesionales nos representan a nivel mundial en organismos internacionales de normalización en temas de seguridad, contamos con un Esquema Nacional de Seguridad que muy pocos países pueden presumir de ello, y tenemos en marcha la LOPD y su posterior Reglamento, por nombrar sólo algunos hitos.
Lo dicho, estamos infinitamente mejor. Quizás aquí en España no lo sabemos apreciar porque ya nos hemos acostumbrado a ello, pero en mi caso que tengo el privilegio y el placer de visitar varios países de Latinoamérica al año por cursos de posgrado o congresos, te puedo decir que se observa una sana envidia hacia la situación en que nos encontramos en España en cuanto a concienciación y aplicación de la seguridad de la información. Cuando comento a algunos de mis colegas o alumnos la cantidad de profesores y asignaturas relacionadas con la seguridad informática en nuestras universidades, simplemente se quedan asombrados porque en muchos de aquellos países los profesores dedicados a la seguridad no llegan a la veintena, y mucho menos con posgrado.
En mis conferencias por aquellos países muchas veces hago el siguiente comentario, que puede o no ser del todo cierto pero que sinceramente lo creo así: el punto de inflexión en el espectacular desarrollo de la seguridad de la información en España lo marca la implantación de la Ley Orgánica de Protección de Datos. Luego han venido otros desarrollos, es verdad, pero la implantación de LOPD significa, bajo mi humilde punto de vista, un antes y un después.
2. Si no me equivoco, tu trabajo se focaliza principalmente en investigación y docencia. En este contexto, siempre se habla del “gap” entre la universidad y la empresa en todos los ámbitos, pero concretando en seguridad… ¿estás de acuerdo con la existencia de este “gap”? Si es así, para corregirlo, ¿qué echas en falta actualmente y por parte de quién?
Efectivamente, me dedico principalmente a la docencia, y en vez de investigación sería más propio decir que mi segunda línea de trabajo se centra en el desarrollo y la innovación, la D y la i pequeña en I+D+i, si bien en este caso hablamos principalmente de innovación educativa en seguridad. Participo en algún proyecto de investigación y colaboro, además y bastante a menudo, en la evaluación de proyectos con organismos gubernamentales españoles y en algún caso con países latinoamericanos.
Ese gap del que hablas, el dichoso gap entre lo que enseñamos en la universidad y lo que demanda la empresa, es algo que se viene arrastrando en muchas universidades españolas y en donde otros países nos llevan años de ventaja; pero esto también depende de la especialidad de la que hablamos.
Si la seguridad de la información, que es un concepto mucho más amplio que el de seguridad informática, puede considerarse una especialidad -al menos yo la entiendo así-, resulta claro que se trata de una especialidad muy reciente y que tiene una cierta relevancia desde hace tan sólo algunas décadas y, por tanto, se encuentra aún en evolución y cambio. Ante ello, no resulta nada fácil intentar adecuar lo que enseñamos en la universidad con lo que el mercado demanda.
Es casi una pescadilla que se muerde la cola. Como universidad debemos tender a ser algo generalistas para poner en el mercado de trabajo a un ingeniero todoterreno, y en algunos casos no es eso lo que se demanda en el mercado laboral. Más aún, quienes llevamos en esta línea de la seguridad unos cuantos años, ya nos gustaría que el plan de estudios tuviese un abanico mayor en estos temas, pero ello es imposible. En su momento, año 2001, presenté en un congreso de Palma de Mallorca un artículo en el que hacía una primera aproximación a lo que podría ser una titulación en ingeniería muy vinculada a la seguridad de la información.
Resumiendo, se proponía una nueva ingeniería, hoy sería un grado, en que el alumno tuviese un plan de estudios que a partes iguales tratase sobre informática, telemática y seguridad de la información. Obviamente puede considerarse una especie de divertimento porque era sólo eso, una primera propuesta. No obstante y aunque 10 años después cambiaría varias cosas en aquel documento, sigo pensando que ese perfil de ingeniero podría ser muy interesante para nuestro mercado laboral: administradores de red, gestores de contenidos, auditores de seguridad, consultores de seguridad, desarrolladores de software seguro, etc.
Creo que el alto número de posgrados en seguridad de la información que hay actualmente en España, preferentemente orientados hacia la gestión de la seguridad y muchos de ellos con notable éxito de alumnos, se debe a la falta de formación en estos temas con la que salen nuestros ingenieros de la universidad, incluso habiendo cursado en su carrera en algunos casos hasta 4 asignaturas directamente relacionadas. Llama la atención, además, que ninguno de estos Máster -en algunos de los cuales participo como profesor- tiene el carácter de máster universitario. Por el alto coste de la matrícula, el alumnado está formado preferentemente por profesionales que ya están trabajando en la empresa y no por alumnos que terminan un grado y que buscan cursar luego un máster para tener una titulación de mayor nivel y acceder con mejores condiciones al mercado laboral.
Posiblemente la universidad que oferte una primera titulación más o menos en esta línea podría llevarse el gato al agua. ¿A qué chico o chica no le fascina a los 17 ó 18 años cuando va a entrar a la universidad todo esto de la seguridad, las redes, los secretos, el hacking, etc.? Si además se aprecia una salida laboral diversificada en estas tres facetas “informática + telemática + seguridad”, pienso que podría ser una apuesta interesante. Lo que sucede en la universidad es que mover a los profesores de lo que ya están haciendo habitualmente, por muy atractiva que pueda ser esta nueva línea o que incluso se incentive, es imposible; al menos en una universidad pública.
Por tanto, para solucionar este gap la receta supongo debería ser la de siempre, la existencia de una mayor colaboración entre universidad y empresa. Ya sé que eso es muy fácil decirlo y que de la teoría a la práctica hay una gran distancia, como muchas veces suele suceder. Si de algo sirve, coordino desde hace 7 años una asignatura llamada Temas Avanzados en Seguridad y Sociedad de la Información TASSI, en la que destacados expertos de empresas, centros de investigación y organismos del Estado imparten conferencias a los alumnos, entregando información sobre lo que hay “ahí afuera” como se decía en aquella serie de TV y luego ellos debaten estos temas a través de un foro. Las conferencias se graban y se suben luego al canal YouTube de la UPM.
Debería haber una mayor colaboración, es verdad, pero sinceramente no sé cómo abordarlo sin contar con un presupuesto, y no bajo, para ello. Por ejemplo un plan de prácticas sistemáticas desde los primeros años de estudio de la universidad, sacar al alumno del aula y llevarlo al mercado laboral, que alguna asignatura fuese totalmente práctica y desarrollada en una empresa, traer a los expertos de empresas, industrias y organismos del Estado a la universidad, potenciar el desarrollo entre universidad y empresa no sólo en la investigación sino en el desarrollo y en la innovación tecnológica, etc. Pero para todo ello hace falta dinero, sólo con la buena voluntad de ambas partes se puede aportar como mucho un grano de arena como lo de TASSI que te comentaba antes, pero ello no deja de ser anecdótico.
Una reflexión final. Si desde el Estado, y me refiero al Estado español y no el gobierno de turno, sea de un color o de otro me da igual, se recorta de forma sistemática el presupuesto para investigación y nuestros investigadores por muy buenos que sean tienen como único horizonte llegar a ser mileuristas durante algunos años, en el mejor de los casos, muy mal vamos como para pedir ahora una ayuda en este otro sentido. Es un tema de Estado: apostar preferentemente por el ladrillo, por el turismo, por la industria pesada, por la mano de obra, por el conocimiento, etc. Algunos países han hecho una apuesta fuerte por el conocimiento y la información y parece que no les está yendo tan mal; es más, se están llevando la materia gris española con interesantes ofertas de trabajo. España, desgraciadamente para quienes estamos en esto de la I+D+i, parece no ir en esa dirección.
3. En estos días en los que tanto se habla de information sharing, colaboración y similares, a veces no nos damos cuenta de que iniciativas como Criptored pretenden objetivos similares desde hace más de once años. ¿Los niveles de colaboración, publicaciones, etc. en la red temática han mejorado o empeorado con el tiempo? ¿Hay diferencia entre la filosofía universitaria y la empresarial en cuanto a intercambio de conocimiento?
Es verdad; ahora está de moda la nube como antes lo era la filosofía cliente servidor. Supongo que, como todo, pasada la euforia quedará lo que de verdad tenga sentido subir y gestionar en esa nube. El caso de Criptored ha sido un poco el de esa nube aunque haya arrancado en el año 1999; esto es, una comunidad virtual en la que se han ido depositando documentos durante 11 años hasta superar los 600 y que han sido descargados ya dos millones de veces, que se dice pronto. Son datos públicos que pueden contrastarse con las estadísticas AWStats del propio servidor Web.
El nivel de colaboración es similar. Es verdad que hay años con una mayor cantidad de documentos aportados por los miembros que en otros, pero no dejan de ser estadísticas que sólo cuando se ven a lo largo de muchos años permiten sacar alguna conclusión o tendencia. No debemos perder de vista que la aportación de documentos por parte de los miembros de la red (por cierto, ser miembro es gratuito) es algo voluntario y muchos de ellos no envían sus publicaciones simplemente por falta de tiempo, no de interés.
Si hubiese un mayor presupuesto por parte de patrocinadores en la red temática, podríamos tener por ejemplo a un becario, convenientemente retribuido, que se encargase entre otras cosas de crear ese gran repositorio de información rastreándola en la Red, contactando con sus autores, etc. Con un becario a menos de media jornada y durante pocos meses en este último año, no se puede hacer mucho más. Demás está decir que los colaboradores en la red, excepto ese becario, trabajamos ad-honorem. Es verdad que existe la posibilidad de postular a programas como el Plan Avanza 2 y otros, pero me niego a rellenar decenas de papeles para pedir una ayuda, demasiada burocracia.
Esto de la red temática no es algo que podría hacerse, que se venda como un proyecto futuro. Es una realidad y ahí están sus datos; debería bastar con un informe de lo que se ha hecho durante estos 11 años para que expertos externos lo evaluasen y decidiesen si esta red merece o no recibir una ayuda gubernamental. Es muy simple, pero ya sé que nunca recibiré una ayuda de ese sector estatal porque las reglas del juego son otras. Mi filosofía es distinta: si una empresa puede y quiere apostar por el proyecto porque ello le da una visibilidad que le interesa, sin que por ello debamos llenar de banners todo lo que hacemos, bienvenida sea. Y así lo ha hecho GMV Soluciones Globales Internet, que nos ha venido apoyando económicamente en estos últimos años, especialmente en el proyecto intypedia.
En cuanto a la diferencia entre la colaboración de miembros de la red que están en un entorno universitario y los que pertenecen al medio empresarial en el envío de documentos y publicaciones, podemos concluir que ésta no existe, su contribución es muy similar tanto en cantidad como en calidad.
4. Iniciativas que lideras, como las ya citadas Criptored o Intypedia, tienen un gran éxito y una difusión extraordinaria, demostrando el interés en seguridad por parte de diferentes públicos… ¿Satisfecho con el trabajo realizado, o aún queda mucho por hacer? ¿Algún nuevo proyecto que nos vaya a sorprender a corto plazo?
Tienes razón, han tenido éxito, pero ello es gracias a la colaboración de muchas personas, tanto dentro del proyecto a través de colegas de la universidad como del exterior. Es vital tener un servidor convenientemente configurado y protegido, así como un buen canal de distribución de la información que se genera en la red temática. En ello contribuyen de forma muy importante, por una parte el administrador del sitio Web Daniel Calzada, en un trabajo ad-honorem digno de elogio, y por otra, portales como Hispasec Sistemas, por nombrar sólo a uno de ellos, con su servicio una al día en la divulgación del resumen mensual de la actividad de la red, lo que permite hacer llegar esta información a decenas de miles de internautas.
La información que se genera dentro de la red temática tiene un perfil que interesa más a profesionales de la seguridad (informes, convocatorias de congresos, seminarios y cursos, papers, etc.), en tanto que intypedia tiene, además, una gran aceptación dentro un espectro de público muy amplio, y ese es precisamente el objetivo del proyecto, que aparece además en el primer párrafo de su entrada en Wikipedia: “El proyecto persigue difundir conocimientos sobre esta temática mediante lecciones en vídeo desarrolladas por destacados expertos usando un lenguaje accesible por un amplio público”.
Evidentemente no puedo estar más que muy satisfecho por el trabajo desarrollado y por los frutos que hemos cosechado. Pero para ello es mejor que hablen los datos, que son más fríos y claros que las personas.
En Criptored se han descargado en once años más de dos millones de documentos, sobre una oferta superior a los 600. Mensualmente esto se traduce en una media de 20.000 documentos descargados, 33.000 accesos y un tráfico superior a 30 Gigabytes. Se han realizado 5 Congresos Iberoamericanos de Seguridad Informática CIBSI en diversos países de Latinoamérica y dentro de unos meses, del 2 al 4 de noviembre de 2011, celebraremos la sexta edición en Bucaramanga, Colombia.
En cuanto a intypedia, el proyecto cuenta como te decía con un importante patrocinio de GMV, lo que permite tener prácticamente asegurada la producción de un vídeo al mes durante este año 2011, ya que todo ello tiene un coste, hay profesionales que trabajan para que esto salga bien. Es importante recalcar que para producir un vídeo de las características de intypedia, con versiones en español e inglés, hay mucha gente que trabaja cumpliendo funciones muy específicas como puede leerse en esa entrada del proyecto en Wikipedia.
Sus datos en sólo seis meses son éstos: 50.000 reproducciones de sus vídeos, valores en YouTube EDU sólo comparables al material multimedia producido por universidades de tanto renombre y poder económico como pueden ser UCLA, Harvard, Stanford, MIT, Berkeley, Yale, etc., y ninguna otra institución de habla hispana, muchos miles de entradas en Google y una red social Facebook con más de 520 seguidores.
Son poquísimos los vídeos en español que alcanzan la primera página de estadísticas mundiales de reproducciones al mes en YouTube EDU. Los siete vídeos que se han producido en intypedia, la presentación y sus 6 primeras lecciones, han llegado siempre a esa primera página al superar fácilmente las 1.500 reproducciones en su primera semana. Desgraciadamente, aquí nos encontramos con una política muy extraña de YouTube EDU, por llamarle de una forma, y es que cuando un vídeo en español, en nuestro caso uno de intypedia, alcanza esa primera página y se posiciona entre los grandes del mes, por arte de magia desaparece y pueden pasar muchos días hasta que deciden -en el mejor de los casos- ponerlo otra vez en la posición que le corresponde, o lisa y llanamente el vídeo deja de existir para esas estadísticas mensuales.
Obviamente he enviado mis quejas por estas extrañas prácticas, que no sé a ciencia cierta qué objetivo persiguen, pero de nada han servido porque ni siquiera puedo enterarme si algún humano las ha leído en tanto es un robot quien te contesta. Es increíble que existan este tipo de acciones que eliminan la visibilidad directa de un trabajo como intypedia, pero que afecta a otros vídeos de la propia UPM y de otras universidades españolas, pero no queda más remedio que aceptar las condiciones que impone YouTube-Google. Por ello hemos tenido que incluir nuestras propias estadísticas públicas AWStats de lecturas en el servidor de la red temática donde se aloja intypedia ya indicadas.
Como muestra un botón. Te comento un ejemplo reciente del que tengo todo su historial diario con capturas de pantalla. El vídeo de la lección 6 sobre malware que nos escribió Bernardo Quintero de Hispasec y que, por cierto, ha patrocinado también ESET, alcanza esa primera página de estadísticas de YouTube EDU el 3 de abril pues a los seis días llega a las 1.200 reproducciones, pero sólo permanece ahí tres días dado que el 6 de abril extrañamente desaparece. El 9 de abril vuelve a aparecer en las estadísticas, pero al día siguiente desaparece nuevamente; alguien lo elimina definitivamente y ya no se sabe nada más de él en esa ventana de un mes de estadísticas. En cambio otros vídeos de universidades norteamericanas, siguen ahí durante todo su mes de vigencia o por lo menos durante gran parte de él.
No existe una misma vara de medir para los vídeos producidos por la universidad A que para los vídeos producidos por la universidad B, una manipulación de los datos simplemente alucinante. Es decir, un vídeo como el de Malware, que debería haber permanecido en esa primera página de estadísticas mundiales nada menos que 25 días y con el logo de la UPM que es la universidad que lo produce además siempre visible entre todas esas grandes universidades de Estados Unidos, un galardón que muy pocos vídeos educativos en español pueden presentar, finalmente sólo aparece 4 días. Eso tiene un nombre, resulta increíble pero es cierto. No voy a incluir esas capturas de pantallas aquí, pero quien las desee no tiene más que escribirme y encantado le entrego todo ese historial.
Y existe otro tema también desagradable relacionado con las estadísticas de YouTube, que por lo demás está suficientemente documentado en Internet. Cuando un vídeo tiene éxito nada más salir, como es el caso de intypedia, y sus reproducciones pueden contarse por muchas decenas a la hora, cuando este valor se encuentra en torno a las 300 reproducciones, YouTube pone al vídeo en cuestión en cuarentena y se detienen las estadísticas , por mucho que se siga solicitando su reproducción. Así lo ha confirmado Google de forma oficial contestando a esta cuestión en la Red.
Me parece algo lógico ese proceder para evitar intentos de crecimientos artificiales de ese valor estadístico. Lo que sucede es que esta situación puede durar horas, incluso días, y lo más triste es que todos esos datos de visitas acumuladas en ese intervalo que dura la cuarentena y nuestro vídeo está en el limbo, simplemente se pierden.
Moraleja: es mejor que el ritmo de reproducciones de tu vídeo vaya muy despacio porque así perderás menos reproducciones en YouTube. Pero eso no podemos hacerlo con intypedia pues cuando se publica la noticia de una nueva lección disponible, es una verdadera avalancha de internautas que acceden en un solo día a ver el vídeo. En media para nuestro caso esto ha significado una pérdida de datos en YouTube entre 1.000 y 2.000 reproducciones durante el primer mes, en función de la lección y del éxito que tenga ese tema entre los internautas.
Por la cuenta que me trae como director de intypedia, ya que informo periódicamente a los patrocinadores sobre la marcha de cada vídeo, he seguido día a día estos dos comportamientos de YouTube y tengo infinidad de datos, capturas de pantallas de históricos, etc. Quien esté interesado en ello, o bien le haya sucedido algo similar y desea tener más información, gustosamente se la puedo aportar.
Bueno, vamos al trabajo actual. Intypedia es un proyecto con mucho futuro; no hay nada similar en la Red de momento y por tanto todo lo que vayamos haciendo en este sentido es un poco abrir camino. Hemos ido paulatinamente aumentando la calidad de los avatares y de las escenas y en un futuro añadiremos nuevos escenarios en esa biblioteca virtual. En cuanto a los guiones, aquí tenemos la gran suerte de contar con excelentes profesionales, colegas que son verdaderos expertos y que hacen un esfuerzo y nos entregan esa materia prima, que es sin duda el valor añadido más importante del proyecto. Queda mucho por hacer pero no hay prisa; el presupuesto alcanza para terminar este año 2011 con una docena de lecciones en esa enciclopedia. Tenemos varias ideas en mente pero de momento sólo las estamos analizando dentro del equipo del proyecto, es decir con el director técnico Alfonso Muñoz, el infógrafo Ángel Castillo y el colaborador Miguel González.
Y en Criptored, el trabajo actual se centra principalmente en preparar el congreso CIBSI de noviembre en Colombia, sin lugar a dudas la actividad más importante de esta red temática. Para el futuro ya estamos trabajando con un par de colegas de la UPM en otro proyecto educativo multimedia sobre seguridad, también gratuito como los otros dos, que si todo sale bien verá la luz en este verano, pero del que aún no podemos decir nada.
(Continuará…)
[…] poder hablar del tema tomando un café pero por supuesto sin poder ir más allá. Vamos, que cuando Jorge Ramió habla de ataques complejos sobre el algoritmo lo-que-sea me quedo con la boca abierta :) Así, tras […]