Se está hablando una barbaridad últimamente sobre Inteligencia Artificial, y razón no les falta a los que lo hacen. Si ya los motores de IA de generación de imagen nos sorprendieron a principios de 2022, estos últimos meses ChatGPT ha sorprendido a medio mundo con conversaciones que superan con creces las expectativas de los más escépticos. A estos últimos, por cierto, me uno yo también después de sufrir en mis carnes al nuevo pitoniso este que han creado en OpenAI.

Venía leyendo bastantes artículos en blogs y twits de como la IA dichosa esta respondía de forma natural a preguntas aparentemente complejas. "Los mentideros, pensababa yo, están que no paran con eso de que las IAs nos van a dejar sin trabajo. Ya será para menos." Así, una y otra vez lo dejaba pasar, pero de tanto en cuanto seguía escuchando otra vez del tema. Por fin,ayer saquñe algo de tiempo y me molesté en ver como se accedía al chat del bicho en cuestión. Y, surprise, surprise, yo también he quedado un pelín mosca con el resultado. Ahí va mi experiencia:

Esta semana ha sido durilla en cuanto a curro, así que lo primero que le he preguntado ha sido algo relacionado a la pre-venta que he realizado a toda pastilla para un pliego de un cliente. Fijaos:

Primera respuesta

Vale, venga, directo al grano para empezar. Voy a ver como responde a algo relativamente sencillo en Networking:

A ver ese listillo

¡Me cago en el oráculo! Pués es bastante correcta. Si bien no es como lo he planteado yo (lo suyo es conectar primero ambas pilas para no interrumpir el servicio y luego ir migrando conexiones), tampoco está tan mal. Oye, pues venga, algo más chungo:

Una de exámen

Vaaale, pués tampoco está mal. Se va un poco por la tangente porque esperaba que mencionase algo de un hypervisor, pero not bad. Se ve que debe de extraer la información de lugares como stackoverflow, aunque en este caso no había mucha información sobre esta cuestión. Vete a saber tu de donde lo ha sacado.

Venga va, una última:

NAC

Bueeeeno, esta vez, sin llegar a patinar, me ha a respondido de forma demasiado genérica. A ver, no es que esté mal, pero le falta un poco de chicha. Además, por alguna razón le ha dado un tarantantán en el punto 6 y se ha parado. Pese a todo, me parecen muy dignas las respuestas. No al punto de mandarme a la calle en breve, pero teniendo en cuenta que la siguiente iteración de la IA está a la vuelta de la esquina, si que da un poco de miedito. En definitiva: De momento puede ser una ayuda muy util en ciertos aspectos de mi trabajo, pero creo que aún le queda un poco, no demasiado, para llegar a sustituir a un ser humano. Te estaré vigilando de reojo, Skynet.

Skynet

Comentaba el otro día con un colega de trabajo sobre la dificultad de estar en la cresta de la ola en entornos TIC. A la que te despistas te han cambiado el nombre del Webex de toda la vida, o tu fabricante de seguridad de cabecera se ha inventado nuevas formas de venderte la moto con fantabulosas funcionalidades en sus Firewalls; o quien sabe, tal vez Elon Musk te planta una base en Marte :-P .

Ojo, no es una crítica. Bueno, en el fondo un poquito si lo es, pero no a los avances tecnológicos, sino a la rapidez con la que pasa el tren. Joder, es que a veces ni lo vemos.

Como conclusión de la conversación con mi sufrido compañero, volví a convencerme de que estamos camino a una hiper-especialización tecnológica. Pronto los integradores -sobre todo los de tamaño pequeño y medio- vamos a tener que decantarnos por un camino determinado. Ojo, esto no es nada nuevo, ya ocurrió en su día: Sistemas o Infraestructuras, Linux o Windows, Bases de Datos o Desarollo. En breve tendremos que elegir entre Networking, Seguridad, Colaboración o lo que toque.

Como Pre-venta, a veces me encuentro en una situación dificil en la que el conocimiento necesario para aportar soluciones con criterio se expande hasta el infinito. Ya lo dice el refrán, el que mucho abarca... Y aún así, creo que esto no tiene por que ser negativo desde el punto de vista del negocio. Los pequeños implantadores de soluciones probablemente no podremos competir con los grandes en cuanto a abanico de soluciones, pero si en cuando a calidad de la implantación. Se avecinan tiempos inciertos pero interesantes, y toca surfear la ola.

Creo que a estas alturas todos los que trabajamos en productos tecnológicos hemos sufrido en algún momento de Titulitis Certificatum, enfermedad que nos arrastra de forma inexorable a querer certificarnos a en la mayor cantidad de tecnologías posible. Y es que los certificados quedan muy bien en el Curriculum Vitae, y abren puertas, según dicen. Desgraciadamente, la proliferación de páginas como Examcollection, Gratisexam o Testkings a hecho que el profesional pueda parecer lo que no es, o peor aún, puede que sentemos a una persona a gestionar dispositivos críticos sin experiencia previa alguna, y claro, luego pasa lo que pasa.

No quiero ser hipócrita: las certificaciones y las páginas para ayudar a superarlas creo que son (tristemente) necesarias. Yo he hecho uso de ellas bastantes veces. Lo gracioso de todo esto es que muchos fabricantes exigen a sus resellers certificaciones y títulos para poder acceder a mejores ofertas y ser así competitivos en el mercado, creando un negocio más alrededor de las titulaciones. Si tienes la suerte de que tu empresa te pague el curso o el examen que da acceso a la certificación, estás de enhorabuena; sino, me temo que toca adquirir el conocimiento por tu cuenta, y esto en general está bastante lejos del bolsillo de la mayoría de los mortales.

Así pues, ahí va un pequeño consejo: Fórmate por tu cuenta, trastea, lee lo que puedas, trastea aún más, visualiza vídeo tutoriales en Youtube, Vimeo, o mejor aún, consigue una cuenta en la página learnflakes.net.

Learnflakes, compartir es aprender.

Learnflakes, compartir es aprender.

Learnflakes es un tracker privado de bittorrent con cientos y cientos de horas de vídeo y documentos oficiales de distintos fabricantes. Es la herramienta definitiva de formación para el ingeniero IT con pocos recursos económicos, o con empresas que no desean invertir un euro en su formación. Desgraciadamente puede ser difícil conseguir una cuenta en el tracker ya que solo se accede por invitación, pero existen lugares en internet para conseguirlas si se busca un poco.

Los días 23-24 de Junio se celebrará en San Sebastián la segunda edición del EuskalHack Security Congress, simposio dedicado a la Ciberseguridad organizado por la asociación Euskalhack.

C9eZ-T7XcAAQgad

Estaré allí durante la charlas y talleres que se impartirán ambos días. Espero poder hacer un breve resumen del evento y, si el tiempo (¡y la pasta!) me lo permite, acudir a algún taller.

Sirva este post como una pequeña reflexión ante toda esta paranoia surgida a raíz del suceso Malware acaecido el pasado 12 de Mayo.

Creo que a nadie que trabaje en el sector IT le ha pasado desapercibido el hecho de que hace un par de semanas, un Ramsomware llamado Wannacry hacía cundir el pánico en grandes empresas estatales, hasta el punto de mandar a sus trabajadores a casa ante el miedo de que se extendiese más la infección. El Payload del Malware no es nuevo. Básicamente hace lo que sus antecesores CryptoLocker o CryptoWall: dame bitcoins o te secuestro tus información sensible. Lo que hacía diferente a Wannacry, sin embargo, era su rapidez en extenderse, tanto temporal como geográficamente, hasta el punto de tener a medio mundo en jaque en menos de 24 horas. Triste pero cierto, la seguridad de empresas como Telefónica, Iberdrola o los servicios Sanitarios Ingleses quedaba en entredicho el mismo día.

A cualquier profesional IT que trabaja y da servicio a clientes sensibles tales como Banca o Sanidad, la noticia no le habrá sorprendido tanto. Lidiar con este tipo de software malicioso es el pan de cada día en las empresas tecnológicas que se dedican directa o indirectamente a las Comunicaciones. Cualquiera acostumbrado a gestionar Firewalls conoce las limitaciones a la hora de prevenir el contagio de este tipo de Malware, pese a que se conoce el modus operandi de su infección desde hace bastante.


Wannacry en plena acción chantajeante.

La forma de entrada es prácticamente siempre la misma, siendo típicamente un correo con un PDF adjunto en forma de factura no pagada, o bien un falso remitente haciéndose pasar por una empresa de mensajería que requiere autorización. El usuario abre el PDF o lanza el link en cuestión y... ¡BOOM!, se establece una conexión HTTPS entre el PC y un servidor remoto que al Firewall le va a costar mucho detectar. Lo que ocurre entre este punto y la petición de rescate es algo bastante técnico que lo explican muy bien en el blog de COMAE Technologies.

Así pues, y visto el jaleo, creo que todas las molestias que se toman las empresas IT están justificadas. Prevenir siempre antes que curar, pero se ha de dar por hecho que tarde o temprano se recibirá algún ataque o se infectará algún equipo. Es inevitable cuando el factor humano entra en juego. Ahora bien, si hay algo que he aprendido con la experiencia, es que se debería de evitar, en la medida de lo posible, las malas praxis en cuestiones de seguridad. Aquí van unos consejos aprendidos, muy a mi pesar, en el día a día:

  • Si tienes un Firewall, aprovechalo. Actualmente casi todas las empresas tienen la posibilidad de adquirir un Firewall con funcionalidades de IPS, DPL, AntisSpam o Webproxys basados en reputación y categorías. ¡Pero es que estas características no se explotan! Ya sea por desconocimiento o porque no hay personal cualificado, se quedan muchas veces sin configurar siquiera :-(
  • Asegurate de tener actualizados, en la medida de lo posible, los endpoints de los usuarios. Si hay algo de lo que estoy seguro es que el Malware entrará por uno de ellos y se propagará a los servidores críticos. A tener vigilado especialmente al personal administrativo y de gestión.
  • En relación a lo de arriba... Creo que es una medida drástica pero necesaria deshabilitar los puertos USB de los ordenadores.
  • Backups. Y Backups de los Backups, si puedes. Si estás infectado es lo único que te puede salvar el pellejo. Bueno eso y montones de pasta para pagar el rescate.

Y hasta aquí mi pequeño ensayo sobre las idas y venidas de estos no tan simpaticos programitas. En breve espero poder dar más información sobre como formarse en Ciberseguridad de forma gratuita.

Page 1 / 2 »