Smart Grids: el papel clave de las redes inteligentes en la transición energética

Antonio Moreno Aranda    21 enero, 2021

“La mejor energía es la que no se consume”: ésta fue una de las reflexiones que se escuchó en el VII Congreso Smart Grids, que se celebró, de forma virtual, el pasado 16 de diciembre.

Durante el encuentro se subrayó que estamos en un momento de máxima relevancia, cinco años después del Acuerdo de Paris y con nuevos marcos normativos enfocados a impulsar la recuperación económica tras la pandemia, con la transición energética como uno de los puntos clave. Pero ¿cómo?, ¿qué tiene de inteligente un enchufe?

El Acuerdo de París y el PNIEC: Europa y España, alineadas

La sesión sobre Smart Grids arrancó con una revisión a cargo del IDAE de las metas de Europa y España. Los objetivos nacionales se plasman en el Plan Nacional Integrado de Energía y Clima 2021-2030 (PNIEC). Éste recoge los objetivos sobre reducción de emisiones de gases de efecto invernadero (GEI), incorporación de energías renovables, descarbonización de la demanda (electrificación) y medidas de eficiencia energética.

Quedó clara la relevancia de las redes inteligentes en la transición energética en España, donde la electrificación de la demanda y la descarbonización de la economía son objetivos primordiales.

El Acuerdo de París de 2015 fue un punto de inflexión por dos aspectos clave: el primero, fijar un objetivo concreto para tener una economía de emisiones CO2 nulas en 2050, y el segundo, situar a la ciudadanía en el centro de la transición energética. Nos enfrentamos como sociedad a un reto muy ambicioso y todos somos necesarios.

Europa quiere ser líder mundial en la transición a las energías renovables y la descarbonización, y España se siente cómoda en esa senda de cambio, como muestra el último PNIEC, que incluso supera en ambición los retos de la UE y los de otros estados.

Con la pandemia se ha pisado el acelerador

Y en este contexto surge la duda de qué hacer durante la pandemia: si frenar todo o acelerar aún más. La decisión ha sido acelerar. Tiene sentido, ya que numerosos estudios indican que la recuperación del PIB será más relevante con las medidas de transición energética implementadas. Se pone de manifiesto, por ejemplo, con los Fondos europeos, que exigen destinar porcentajes muy elevados para la transición verde (37%) y la transformación digital (20%).

Un cambio radical para unos objetivos muy ambiciosos

No es un camino sencillo. Nos enfrentamos a un cambio radical en los mercados energéticos y en los modelos de generación -con  las energías eólica y fotovoltaica como grandes protagonistas. En este recorrido también asistiremos al cierre ordenado de la energía nuclear y la salida completa del carbón. Sin olvidar que el hidrógeno renovable sustituirá al de origen fósil. Todo ello implicará una flexibilidad desconocida hasta el momento por parte de la demanda.

Ejes de desarrollo

En resumen, hay tres ejes claros de desarrollo:

  • Eficiencia energética: Como decíamos al inicio, la mejor energía es la que no se consume. En el sector residencial, en especial, hay mucho potencial.
  • Electrificación. Tendremos que aprovechar la electricidad de bajo coste que seamos capaces de producir de forma renovable. Hay un enorme recorrido en ámbitos como la calefacción/refrigeración y en el transporte, con la llegada del vehículo eléctrico.
  • Creación de un modelo mucho más integral. A diferencia de los antiguos modelos, en los que unas pocas grandes centrales repartían de forma más o menos predecible la energía por la red, vamos hacia una generación más distribuida.

Y todo esto con un empeño cada vez mayor. Este año se revisarán los objetivos desde la UE con metas cada vez más ambiciosas para la descarbonización y la lucha contra el cambio climático.

Las redes inteligentes, fundamentales

En este contexto las redes inteligentes (Smart Grids) son fundamentales. También se hacen necesarias reformas para que se produzca la casación entre demanda y generación. Y no hay que olvidar otra palanca clave como es el almacenamiento energético y la creación de nuevos modelos de negocio para posibilitar una mayor integración sectorial.

Hacia un modelo energético distribuido y con prosumidores

Durante la jornada se hizo hincapié, además, en tres aspectos:

  • Digitalización de la baja tensión y su integración en las smarts grids. Y es que es necesario que el último eslabón, el que conecta con los consumidores, también esté preparado. Sin esta parte de poco sirve que el resto de la cadena esté lista. En un contexto de transición energética las redes de baja tensión cobran protagonismo en los nuevos modelos de generación distribuida en los que los consumidores pasan de pasivos a activos.
  • Nuevos modelos de consumo compartido. Hablamos de poner al consumidor en el centro, pero hasta hace muy poco no ha habido una legislación adecuada. Esta situación ha cambiado para que los consumidores tengan el derecho a producir, consumir y almacenar su propia energía: son los nuevos prosumidores.
  • Retos y oportunidades del almacenamiento en las redes eléctricas inteligentes. El almacenamiento de la energía es un tema muy relevante para alcanzar los retos planteados en el PNIEC y en la estrategia de descarbonización a largo plazo. Existen diferentes tecnologías – complementarias, no excluyentes- en el sistema eléctrico. Muchas tecnologías de almacenamiento en baterías están muy relacionadas con el vehículo eléctrico, pero no olvidemos el uso del hidrógeno renovable o el bombeo hidroelectrico (bombear agua en embalses cuando sobra electricidad para luego volver a producirla cuando hace falta). Todo esto es necesario para dotar de flexibilidad a un sistema basado en fuentes renovables, ya que no podemos hacer que llueva, sople el viento o haga sol a nuestro antojo…

Plan de actuación en política energética

En definitiva, la figura del distribuidor de energía eléctrica va a ir cobrando importancia y complejidad, con flujos variables y bidireccionales. Las redes inteligentes tendrán un papel fundamental dentro de la política energética. En concreto se requerirán acciones en cuatro grandes ejes:

  • Nueva arquitectura de red (Smart Grids) con recursos energéticos distribuidos (la fotovoltaica favorece la aparición de la figura del prosumidor en el mercado eléctrico).
  • Incorporación de nuevos activos y modelos de negocio (nuevos agentes y roles)
  • Profunda digitalización y automatización gracias al IoT y la inteligencia artificial.
  • Desarrollos legislativos y normativos específicos para la nueva situación.

Conclusiones del VII Congreso Smart Grids

El reto para las smart grids será pasar del viejo modelo centralizado y con demanda pasiva a un nuevo modelo disperso con redes de distribución variable y una demanda activa. Todo un desafío que implica una relación mucho mayor entre los actuales agentes del mercado y los nuevos, como los agregadores.  

En este escenario mucho más complejo las TIC jugarán un papel clave y facilitarán, además, la transición energética. De esta forma podremos cumplir los objetivos de descarbonización y electrificación de la demanda que nos exigen los planes gubernamentales y el propio planeta.

Imagen: Kevin Gill

Detectando los indicadores de un ataque

Diego Samuel Espitia    21 enero, 2021

En seguridad siempre optamos por implementar mecanismos de prevención y disuasión, más que de contención. Sin embargo, la implementación de estos mecanismos no siempre son eficaces o sencillos de configurar o mantener. En el mundo físico podemos ver muchos ejemplos de esto, como son las celdas fotovoltaicas, las puertas trampa o las cámaras de vídeo. Todas esas medidas previenen o disuaden a los delincuentes a entrar a una propiedad, pero para que cumplan su función requieren una configuración previa y un mantenimiento o monitoreo constante.

Adicionalmente, estos mecanismos no pueden detectar por sí mismos si un delincuente está estudiando las posibles debilidades que pueda aprovechar para su objetivo criminal. Por lo que, para que puedan ser realmente preventivas, es necesario que estén bajo un monitoreo constante y una investigación de las anomalías o comportamientos sospechosos almacenados en los vídeos o en los eventos de los mecanismos instalados.

Configurando sistemas para prevenir y disuadir

Esto mismo sucede con los sistemas de seguridad de la información, dónde todos los recursos técnicos que se configuran buscan prevenir o disuadir, para lo cual toman como base de configuración las características que permiten detectar los ataques que se van conociendo y que, dependiendo de cada mecanismo de protección, se van configurando dentro de los motores de detección y alerta, para que los sistemas de monitoreo puedan ser avisados de la presencia de una amenaza.

Por lo tanto, al igual que como sucede en la seguridad física, son mecanismos que si no se mantienen monitoreados y actualizados en sus configuraciones de detección, se convierten en sistemas que pueden ser analizados por delincuentes para la detección de fallas que puedan ser aprovechadas.

Para mantener estas actualizaciones, cada tecnología dispone de formas automáticas o manuales de actualización de los sensores de detección Por ejemplo, los sistemas tradicionales de antivirus reciben constantemente actualización de las formas de detección, y los sistemas actualizados que utilizan Machine Learning aprenden a detectar las amenazas usando muestras de diferentes tipos de malware, como las que tenemos en nuestra herramienta CARMA de las amenazas de Android.

Indicadores de compromiso (IoC) como mecanismo de actualización

Sin embargo, uno de los mecanismos que más se ha propagado para mantener una constante actualización de las configuraciones son los indicadores de compromiso (IoC), los cuales son piezas de evidencia forense que se han recolectado tras un incidente y que permite identificar patrones comunes como direcciones IP, dominios o hashes que hayan sido utilizamos previamente y actualizar así los sensores de detección para que califiquen como amenaza a cualquier acción dentro de la red que contenga una de estas piezas de evidencia.

Una de las técnicas de prevención es realizar investigaciones sobre alertas de los sistemas de monitoreo que permitan determinar si las acciones recolectadas se pueden relacionar con incidentes previamente reportados en el mundo, este método en seguridad de la información es conocido como Threat Hunting, siendo la metodología más completa y compleja para la detección de posibles intrusiones que hayan saltado los controles establecidos, usando los IoC como base de comparación.

De detectores reactivos a detectores proactivos

Pero, ¿qué pasa si el delincuente usa mecanismos totalmente desconocidos?, ¿qué pasa si el malware no toca el disco y los antivirus no pueden comparar con sus firmas?, ¿qué pasa si el IPS no tiene ese trama de datos dentro de sus comparaciones de alerta? Lo que sucede es que nada se alerta, el monitoreo por más que sea persistente no va a recibir ninguna alarma de anomalía y, el delincuente, tras un riguroso análisis de nuestros sistemas de seguridad, habría encontrado la brecha o la técnica para esconderse y conseguir su objetivo.

En muchas ocasiones, esto es lo que esta sucediendo en los incidentes cibernéticos que se han reportado este año, por lo que es necesario que las áreas de seguridad de la información empiecen a cambiar el enfoque de detectores reactivos, como los IoC, a detectores proactivos, que permitan poder detectar amenazas o incidentes en el mismo momento que suceden y que no dependan del conocimiento previo de otros incidentes.

Indicadores de Ataque (IoA)

Esto es lo que se ha denominado como Indicadores de Ataque (IoA), que permite a los equipos de detección (Blue Team) identificar sucesos por patrones de comportamiento, por ejemplo un escaneo de red, una comunicación a un C&C o cualquier comportamiento que entregue señales de que algo saltó las defensas de la red.

Debido a esta particularidad, es complicado tener un listado o una base de datos común de IoA’s, pues están atados a las tácticas mostradas en la matriz de ATT&CK de Mitre y a las características de seguridad propias de cada empresa, usando el contexto para determinar cuando una acción es o no un indicador de ataque.

Por este motivo, la implementación no es sencilla y requiere de un conocimiento a profundidad de las actividades TI normales de todos los departamentos de una organización, de la implementación de sistemas de Zero Trust Network Access e implementación de controles de trafico de red en todos los sistemas que gestionen información, para así poder tener las actividades básicas que se mencionan a continuación para la detección de los IoAs:

  • Análisis de todas las conexiones cuyo destino sea fuera de la red corporativa, dando prioridad a destinos marcado como maliciosos o a lugares donde no se debería hacer comunicaciones desde la empresa.
  • Todo intento de trafico en la red por puertos no convencionales o de servicios que se hayan habilitado dentro de la red o en horarios fuera de oficina.
  • Cualquier equipo que tenga múltiples conexiones activas o intentos de conexión con equipos dentro de la red a los cuales no tienen permiso o que no tenga dentro de su historial de conexiones.
  • Reporte de eventos repetidos, como malware o trafico malicioso, en uno o varios equipos por los sistemas de detección.
  • Procesos de autenticación de los usuarios, que impliquen cualquier conexión simultanea o intentos fallidos.

Con estas investigaciones permanentes se inicia la generación de la base de conocimiento de los IoA y los procesos de respuesta de incidentes mejoran. De esta manera el sistema se basa no en datos que han sucedido y que pueden ser evadidos por los atacantes, si no en actividades y técnicas asociadas tanto a las tácticas de ataque como a las características propias de la red de la organización.

Emprendimiento regional: Open Future, la puerta de entrada de los emprendedores a Telefónica

Inês Oliveira Ribeiro    21 enero, 2021

Open Future es la puerta de entrada de los emprendedores a la estrategia de innovación abierta de Telefónica. Somos la principal aceleradora de startups de dimensión global con capilaridad regional y contamos con más de 35 hubs en España, Argentina, Perú, Venezuela y Costa Rica. Nuestro programa tiene un impacto regional, desarrolla la innovación más allá de las principales capitales económicas o centros de decisión y democratiza el emprendimiento.

Por eso, Open Future tiene su red de hubs en lugares como Segovia, Badajoz, Córdoba, Sevilla, Almería, Málaga, Ceuta, Melilla, Cartagena, Alicante, Tarragona, Cornellà, Terrassa, Zaragoza, Vizcaya, Gipuzkoa o Santiago de Compostela, además de en Madrid.  Un total de 18 ciudades en 11 Comunidades Autónomas en España. Con ello, contribuimos también a la lucha contra la despoblación y ayudamos a generar empleo de calidad por todo el territorio. En un mundo digital e interconectado, no es necesario ir a la gran ciudad para innovar y tener un impacto global.

Más de 8.000 startups y más de 4.000 puestos de trabajo

Apoyamos el desarrollo de empresas que se encuentran en fases tempranas y cuyo modelo de negocio se basa en tecnologías innovadoras, siendo ya capaces de monetizar sus servicios o productos y que cuentan con un equipo profesional dedicado a tiempo completo. Asimismo, desarrollamos el talento de los emprendedores a través de mentores y sesiones de formación, generando relaciones entre el ecosistema de la innovación y facilitando el acceso a Telefónica.

Desde 2014, Open Future ha recibido más de 8.000 aplicaciones de proyectos para participar en nuestro programa de aceleración y ha trabajado con más de 800 startups que han generado más de 4.000 empleos. En España, y solo en 2020, Open Future ha apoyado a 81 startups que han originado 705 puestos de trabajo. Es un orgullo para nosotros haber contribuido a la historia de éxito de decenas de emprendedores en un momento de tantas dificultades.

Alianzas con empresas, administraciones o universidades

En Open Future también impulsamos el crecimiento del ecosistema del emprendimiento a través de alianzas entre el sector público y privado, ayudando a empresas, administraciones o universidades a generar su propios hubs de innovación y a partir de nuestro conocimiento desarrollado desde nuestra creación en el año 2014 y avalado por la trayectoria de una compañía como Telefónica.

Open Future colabora con instituciones como la Junta de Andalucía, la Xunta de Galicia, la Junta de Extremadura, el Ayuntamiento de Segovia o la Universidad de Alicante, como ejemplo de las más de 150 alianzas impulsadas por nuestra compañía. Estas instituciones son agentes insustituibles del ecosistema local que representan y conocen sus territorios y sus necesidades específicas y que, con nuestra ayuda, han logrado construir un ecosistema de emprendimiento y de impulso de su tejido empresarial y tecnológico.

Una sociedad capaz de unir esfuerzos entre el sector público y privado a favor de la innovación es una sociedad que piensa en su futuro. Desde Open Future, estamos a vuestra disposición para impulsar juntos más historias de éxito en el ámbito del emprendimiento y contribuir al desarrollo de la economía en todo el territorio.

Tendencias 2021 en la gestión de personas

Raúl Alonso    20 enero, 2021

Lo que parecía imposible ocurrió, e incluso funcionó. La tradicional fiesta navideña de empresa convocó a miles de empleados conectados a la pantalla y, una vez asumido lo peculiar de la situación, muchos lo pasaron en grande.

Estos encuentros virtuales cumplieron con su objetivo de cerrar una etapa, y también de inaugurar un año en que se testearán muchas de las decisiones sobre gestión de personas que se han tomado durante la pandemia.

Digital, flexible, liderazgo a distancia, derecho a desconexión, cambio en el modelo retributivo… Estas son algunas de las claves que gobernarán la relación empresa-empleado. En la mayoría de los casos tendencias apuntadas desde hace años, pero que la COVID-19 parece acelerar.

Sin embargo, la experiencia dice que nuestra percepción actual es solo una forma de ver las cosas. Cuando la arrasadora marea de la pandemia se retire, es probable que muchas de sus consecuencias, más de las que pensamos, vuelvan al que era su cauce.

Pero habremos aprendido que hay otra forma de hacer las cosas. Nos detenemos a observar qué cambios se asientan de modo irrevocable en la gestión de las personas; cuáles podrían consolidarse y algunos de los retos que unos y otros plantean a la empresa y al profesional de los recursos humanos.

Hechos que transforman la gestión de recursos humanos

Asumido que “el cambio es la única cosa inmutable”, lo dijo Arthur Schopenhauer, identificamos tendencias en la gestión de Recursos Humanos que difícilmente darán un paso atrás:  

  • Modelos mixtos de trabajo: una mayoría de empresas avanza hacia una combinación flexible de trabajo presencial y en remoto. Un escenario mucho más probable que el de la jornada laboral dominada por el teletrabajo en casa, por mucho que la actual tecnología lo permita.    
  • Desconexión digital: la regulación del derecho a no tener que responder a un correo electrónico de trabajo fuera del horario laboral, ya forma parte de los baremos básicos de la política de conciliación laboral. 
  • Digitalización de la relación con el empleado: el proceso vivido en los últimos años se aceleró en 2020. El portal del empleado o Intranet no solo canaliza la relación para atender las necesidades del día a día, ahora también se implementan herramientas para medir la productividad del empleado, su motivación y aprendizaje.
  • Selección digital de personal: los procesos de reclutamiento y criba de candidatos de empleados hace tiempo que son casi exclusivamente online y automatizados. Ahora la videoconferencia se consolida en la fase de entrevista de candidatos, reservando el contacto personal para la entrevista final.
  • Aula virtual: los programas de formación continua y las iniciativas para incentivar en el empleado la adquisición de nuevas competencias también se digitalizan.

La nueva formación aporta flexibilidad, no solo horaria, para que cada empleado elija la opción de aprendizaje que más le motiva.  Se avanza en modelos como los de microlearning, ludificación o tutorización online por parte de otro empleado.  

Hacia dónde camina la gestión de personas

El pintor de las vanguardias Francis Picabia decía que “nuestra cabeza es redonda para permitir a los pensamientos cambiar de dirección”.

Relación laboral flexible

La relación contractual entre la empresa y su plantilla y colaboradores será cada vez más heterogénea. Las empresas se abren a modelos muy diferentes como los de tiempo parcial, jornadas irregulares o por obra, etc. Se profundiza en la subcontratación con otras empresas, la «economía gig» y los colaboradores freelance

Los nuevos modelos laborales avanzan de modo inexorable en la empresa. El problema es que lo hacen sin una regulación que contemple estas nuevas realidades.

Entornos colaborativos

Las herramientas de redes colaborativas fomentan el intercambio de ideas, de información y trabajo. Unas redes que pueden ser externas y, cada vez más, internas.

En esta ocasión la sombra para su consolidación la despliega una cultura del reconocimiento y la gratificación individual asentada durante décadas.

Bienestar emocional del empleado

Ha sido uno de los temas de moda entre los expertos en gestión de personas durante 2020, pero el control del estrés laboral no es sencillo.

Oímos hablar de programas para combatir el acoso laboral, fomentar la actividad deportiva o la meditación en el puesto de trabajo. Pronto veremos hasta dónde puede llegar la empresa en el cuidado de la salud mental de sus empleados.

Líder integrador para una estructura sin jerarquía

La falta de escalas de poder cambia el organigrama de la empresa, pero nadie duda de que ante la falta de jerarquía se hace más importante el liderazgo.

Se buscan líderes empáticos con altas competencias en inteligencia emocional, para sacar lo mejor de cada empleado respetando su individualidad. Un cambio radical y profundo aún muy discutido.  

Cambio del modelo retributivo

Conceptos fijos como el de la antigüedad en el puesto de trabajo forman parte de la política de incentivos retributivos de muchos sectores y empresas. Pero lo que es un incentivo para algunos, se convierte en una barrera para muchas organizaciones interesadas en atraer talento.

Un problema sobre todo presente en las posiciones más estratégicas de la empresa. Para solucionarlo se imponen políticas salariales basadas en variables como la aportación de valor real a la cuenta de resultados y el compromiso con la empresa.  

Preguntas que cuestionan el cambio

“Solo cuando baja la marea, se sabe quién nadaba desnudo”. La frase del polémico y multimillonario inversor Warren Buffett da pie a plantear algunas de las incógnitas que se despejarán en este nuevo escenario de la gestión de las personas:     

  • ¿La política de recursos humanos pasará a ser otra moneda de promoción al servicio del departamento de marketing?
  • ¿Cuántos de los actuales ejecutivos van a saber motivar al equipo en un escenario de liderazgo a distancia?  
  • ¿Los seguros médicos de empresa van a convertirse en el segundo aliciente retributivo, como ya ocurre en muchos mercados?
  • ¿En un momento de cambio, las organizaciones apuestan por preservar o expulsar el talento senior?
  • ¿Van a ser las  empresas capaces de generar modelos de acogida (onboarding) totalmente digitales, capaces de integrar al nuevo personal en contextos de semipresencialidad?

La automatización inteligente despega

Fernando Rodríguez Cabello    20 enero, 2021

En el marco del impulso a la digitalización, 2020 también ha supuesto un importante avance para la automatización inteligente. Así lo recoge el informe de Deloitte Automation with intelligence”.

Frente al 58 por ciento de 2019, el 73 por ciento de las empresas ya utiliza tecnologías de automatización inteligente. La cifra casi se ha duplicado. Es un mercado que crece un 40,6 por ciento anual y se espera que mueva 25.660 millones en 2027, según la consultora.

Dos de cada tres organizaciones han utilizado e implantado la automatización en respuesta a los desafíos de la pandemia. El 23 por ciento de ellas lo ha hecho priorizando aquellas automatizaciones que mejoran la resiliencia de su organización.

La automatización en la nube, tendencia al alza

Como consecuencia del COVID-19 también el 31% de las grandes organizaciones ha acelerado su inversión en la automatización en la nube. Por la escalabilidad, rapidez en su implementación y el menor coste que supone ésta será una tendencia al alza en los próximos años.

Pero, aunque en esto aún queda camino por recorrer, el verdadero valor de la automatización inteligente está en su poder transformador. Para ello su implantación debe abordarse desde una visión estratégica de negocio. Se trata de contemplar en una visión integral el trabajo conjunto de personas y máquinas inteligentes e imaginar procesos no existentes que generen nuevos flujos de beneficio.

La aplicación de tecnologías analíticas y de inteligencia artificial a RPA junto a cambios en los roles, tareas y formas de trabajar de las personas, con énfasis en las habilidades humanas, permite formar “superequipos” y pasar de la ejecución de tareas rutinarias a la innovación.

La siguiente infografía recoge todas las claves del informe de Deloitte:

Infografía: Fernando Rodríguez y Manuel Carballo

Imagen: Matt Biddulph

CVE 2020-35710 o cómo tu RAS Gateway Secure revela el espacio de direccionamiento interno de tu organización

Amador Aparicio    20 enero, 2021

Parallels RAS (Remote Application Server), es una solución de entrega de aplicaciones e infraestructura de escritorio virtual (VDI) que permite a empleados y clientes de una organización acceder y utilizar aplicaciones, escritorios y datos desde cualquier dispositivo, gracias a las capacidades de virtualización que ofrece.

Hace unas semanas se publicaba mi descubrimiento de esta vulnerabilidad, calificada como CVE-2020-35710, asociada a esta arquitectura. En este artículo explico en qué consiste exactamente.

Arquitectura RAS

La siguiente figura muestra un escenario en el que el RAS Secure Gateways HTML5 Portal se implementa en la DMZ. El RAS Secure Gateway reenviará las peticiones vía HTTP a un host de sesión de escritorio remoto, RAS RD, que tendrá instalada la función de Servicios de Escritorio Remoto (RDS). Como se aprecia, el host RDP se encuentra dentro de la LAN de la organización, aunque también cabría la posibilidad de que estuviese dentro de una DMZ, reduciendo así la superficie de exposición de los activos de la red interna de la organización.

Figura 1. Arquitectura de red para una infraestructura Parallels RAS Secure Gateway y RAS RD

Búsqueda de Parallels Remote Application Server

Buscar dispositivos RAS HTML5 Gateway accesibles desde Internet es relativamente sencillo. Basta consultar una guía de administración del dispositivo para poder extraer patrones de las URLs.

Figura 2. Guía de administración del  dispositivo con información de las URL de acceso

Como se ve en la imagen, las URLs de acceso a estos dispositivos tienen presentes las singularidades “/RASHTML5Gateway/” y “/RASHTML5Gateway/#/login”, lo que facilita en gran medida la localización del formulario de acceso de estos dispositivos conectados en Internet haciendo un poco de Hacking con Buscadores.

Figura 3. Resultados de las búsquedas con las singularidades en la URL

Se observa que, sin mucho esfuerzo en la realización de un dorking, Google ofrece un buen número de resultados relacionados con el formulario HTML5 de acceso al portal web de los dispositivos.

Análisis del tráfico HTTP generado por el RAS de Parallels

Uno de aspectos más importantes en cualquier pentest o auditoría relacionada con sistemas web, sean del tipo que sean, es analizar las peticiones y respuestas HTTP para ver si el dispositivo revela información interesante que, a simple vista, y sin la ayuda de un proxy HTTP, podría pasar desapercibida. Para ello, se selecciona uno de los resultados devueltos por Google y se observa que el formulario del RAS solicita en el campo del login un usuario centralizado un Active Directory (user@domain) y un password.

Figura 4. Formulario de acceso al RAS de Parallels

Utilizando ZAProxy, se observa como al pulsar directamente sobre el botón login, sin la necesidad de introducir un user@domain con contraseña, el RAS Secure Gateway genera una petición HTTP por POST al RAS RD donde releva cuál es su dirección IPv4.

Figura 5. Dirección IPv4 del RAS RD que recibe las peticiones de los recursos de virtualización

Si el RAS RD se encuentra en la red interna de la organización, el espacio de direccionamiento IPv4 de la organización estaría quedando expuesto. En el mejor de los casos, si el RAS RD se encuentra en una zona desmilitarizada (DMZ), su espacio de direccionamiento IPv4 estaría quedando expuesto.

Cómo minimizar la fuga de información

Consultando la información ofrecida por el fabricante, cabe la posibilidad de que el RAS Secure Gateway pueda realizar las funciones de RAS RD dentro de la misma máquina. Como la  máquina es la misma, todas las peticiones HTTP hacia los recursos virtualizados podrían realizarse sobre localhost. El resultado para este escenario sería el siguiente:

Figura 6. Petición HTTP desde el servicio del RAS Secure Gateway hacia el servicio RAS RD en la propia máquina

La dirección IPv4 del RAS RD no estaría siendo revelada, pero sí que se estarían revelando los puertos TCP relacionados con el servicio RAS Secure Gateway (8080/TCP) y el RAS RD (8081/TCP).

En el caso de que el RAS Secure Gateway y el RAS RD se encuentren en redes diferentes, parece muy complicado eliminar la fuga de información presentada en este artículo, debido a que el RAS Secure Gateway tiene que realizar una petición HTTP por POST para comunicarse con el RAS RD.

Figura 7. Opciones de configuración del RAS Secure Gateway para referenciar al RAS RD

Una solución para adaptar la flota de vehículos frente a la COVID-19 y la tormenta Filomena

AI of Things    20 enero, 2021

La movilidad es un aspecto clave tanto en el día a día de las ciudades como en las situaciones excepcionales que hemos experimentado en el último año por la COVID-19 o el reciente temporal “Filomena”. En ambos escenarios hemos comprobado que saber adaptarse y anticiparse nos pueden evitar muchos problemas y que la tecnología cumple una función esencial para mejorar la prestación de servicios esenciales en las ciudades.

Entonces, ¿Cómo nos adaptamos y anticipamos?

Desde mi punto de vista, la respuesta es clara: transformación digital de la mano de tecnologías como IoT y Big Data. Y esto precisamente es en lo que Ferrovial Servicios llevamos trabajando desde hace años. Estas tecnologías nos permitieron ofrecer servicios eficientes durante el confinamiento general en marzo de 2020. Durante este periodo, gracias a la digitalización de nuestros procesos, nuestra actividad no paró y pudimos prestar servicios esenciales en más de 600 municipios a más de 25 millones de ciudadanos en España. También ha ocurrido algo parecido con el temporal Filomena.

Gracias a la solución tecnológica ‘Fleet Optimise‘ de gestión inteligente de flota de vehículos hemos podido continuar, a pesar de todas las adversidades, prestando servicios críticos como son la recogida de residuos y limpieza viaria. Esta tecnología nos ha permitido organizar en ciertos contratos rutas dinámicas de recogida de residuos en función de los acuerdos con los clientes y saber en qué calles teníamos que ir a recoger los residuos. La plataforma IoT de Telefónica y las capacidades de big data nos han ofrecido flexibilidad y rapidez para adaptarnos a cada situación.

https://youtu.be/o75eiybVYBE

Y todo esto ¿Cómo lo conseguimos?

Contamos con una flota de más de 4.000 vehículos sensorizados de los cuales se recoge información en tiempo real. A través de un dispositivo que se conecta a la electrónica del vehículo, conseguimos extraer este tipo de información: conocer en tiempo real dónde está cada camión, lo que está haciendo, a qué velocidad va o dónde para. Toda esta información se procesa para poder predecir qué va a pasar. De tal forma que conseguimos ofrecer a los ayuntamientos y administraciones públicas la información que nos demandan en cada momento y dar una solución en tiempo real a nuestros clientes. En definitiva, las tecnologías IoT & Big Data permiten capturar en tiempo real toda la información, procesarla y a partir de ahí tomar las mejores decisiones.

¿En qué ha beneficiado a nuestro negocio?

Gracias a ‘Fleet Optimise’ hemos conseguido ofrecer un servicio de mayor calidad a los ciudadanos. También nos ha impactado en la eficiencia y sostenibilidad, puesto que ahora utilizamos los recursos adecuadamente de tal manera que hacemos más eficiente el proceso y reducimos desplazamientos lo que impacta en el medioambiente por la reducción de la huella de carbono. Además, podemos guiar al conductor al punto de recogida para reducir distancias a la hora de recolectar los residuos, de tal forma que impacta en el ahorro de tiempo y combustible. El poder agregar y comparar nos proporciona información clave para los planes de mejora continua de la compañía.

Todo esto se traduce en una gran ayuda al conductor que al fin y al cabo es el eje del que pilota toda la flota. Y, por último, en el aumento de la seguridad en todas nuestras operaciones. Por ejemplo, en caso de accidente proporciona información para analizar mejor lo que ha ocurrido.

En definitiva, conseguimos información para mejorar nuestros patrones de comportamiento.

Nadie cuestiona hoy en día que las plataformas de IoT y Big Data formen parte de nuestro catálogo de servicios, igual que nadie se cuestiona que tengamos un PC o un teléfono móvil. Nuestros clientes dan por hecho que lo tenemos. Las plataformas digitales son esenciales para prestar los servicios.

Escrito por Paco Gimeno, Director de Transformación Digital y Sistemas de Ferrovial Servicios.

#CyberSecurityReport20H2: Microsoft corrige muchas más vulnerabilidades, pero descubre bastantes menos

Área de Innovación y Laboratorio de Telefónica Tech    19 enero, 2021

Existen muchos informes sobre tendencias y resúmenes de seguridad, pero en ElevenPaths queremos marcar una diferencia. Desde el equipo de Innovación y Laboratorio acabamos de lanzar nuestro propio informe sobre ciberseguridad que sintetiza lo más destacado de la segunda mitad de 2020. Su filosofía es ofrecer una visión global, concreta y útil sobre los datos y hechos más relevantes sobre ciberseguridad, y está pensado para ser consumido tanto por profesionales como aficionados de una manera sencilla y visualmente atractiva.

El objetivo de este informe es resumir la información sobre ciberseguridad de los últimos meses tomando un punto de vista que abarque la mayoría de los aspectos de esta disciplina, para así ayudar al lector a comprender los riesgos del panorama actual.

La información recogida se basa, en buena parte, en la recopilación y síntesis de datos internos, contrastados con información pública de fuentes que consideramos de calidad. Extraemos a continuación algunos puntos que nos resultan importantes.

#CyberSecurityReport20H2: datos generales

Con respecto a Microsoft, el número total de fallos descubiertos y corregidos es de más de 600 durante el semestre, igual que el anterior. Entendemos que la mayoría de los fallos no acreditados pueden provenir de vulnerabilidades encontradas en 0-days u otras circunstancias en las que no se conoce al autor y no ha sido reportada de forma anónima. En estos casos, Microsoft no acredita a nadie en particular. Esta diferencia entre vulnerabilidades acreditadas y “no acreditadas”, que no es lo mismo que anónimas, se ve reflejada en el siguiente gráfico:

Comparados con el semestre anterior, los datos sobre quién descubre vulnerabilidades en Microsoft resultan muy diferentes. La larga cola de “otros” es la que lidera la lista. Esto quiere decir que son descubiertas por investigadores con menos de 5 fallos acumulados. La iniciativa ZDI, sigue siendo (cada vez más) la fórmula favorita para los investigadores. Se cuela este trimestre Zhiniang Peng como un actor muy relevante con 66 fallos. Llama igualmente la atención que Qihoo, responsable de cientos de fallos descubiertos habitualmente en años anteriores, haya desaparecido por completo este semestre de la lista.

Interesante la comparación con el semestre anterior:

Vulnerabilidades en móviles

El 2020 se ha cerrado con 187 vulnerabilidades parcheadas en el sistema operativo iOS, de las cuales, 37 son consideradas de alto riesgo, con posibilidad de ejecutar código arbitrario. Algunas de ellas afectan al propio núcleo del sistema.

En Android, este ha sido el segundo año con más vulnerabilidades declaradas.

Con respecto al informe de transparencia de Apple de este año, se muestran algunos datos interesantes. Por ejemplo, se producen estas peticiones cuando las fuerzas del orden actúan en nombre de clientes que requieren asistencia relacionada con actividad fraudulenta de tarjetas de crédito o tarjetas regalo que se han usado para comprar productos de Apple. En este sentido España es de los países más activos solicitando datos a la compañía.

Con respecto el número de vulnerabilidades por fabricante, Microsoft, Google y Oracle siguen liderando. Si bien este número debe verse bajo la perspectiva de la gravedad, número de productos, etc.

Otras conclusiones

En el ámbito de la seguridad para móviles, el número de vulnerabilidades en iOS sigue su tendencia al alza desde el bajón en 2018. En el marco de Android, 2020 ha sido el segundo año con más vulnerabilidades declaradas, tras el histórico 2017.

Con respecto al semestre pasado, se cuelan en la lista CWE-89 basado en la inyección SQL, y CWE-287 que explica una autenticación pobre. Problemas de hace años que nunca terminan de desaparecer de entre las causas de las vulnerabilidades más graves conocidas. Los primeros puestos de la lista siguen intactos en comparación con el primer semestre.

Los grupos APT, por su parte, no han detenido su actividad. Kimsuky (Aka“Velvet Chollima”) y Fancy Bear, continúan al pie del cañón, mientras que OceanLotus Group han sido desenmascarados por parte de Facebook.

En un semestre donde de nuevo casi todos los meses Microsoft ha rebasado las 100 vulnerabilidades solucionadas, Qihoo esta vez no aparece en la lista de fabricantes que más fallos han encontrado. Sigue siendo ZDI la fórmula favorita para comunicar (y recompensar) los fallos graves.

Puedes acceder al informe completo desde nuestra página web.

Rodríguez Zapatero: «Hay que usar la tecnología para mejorar el mundo»

Raúl Salgado    19 enero, 2021

Javier Rodríguez Zapatero, uno de los mayores expertos españoles en el mundo digital, analiza todo lo que hay que hacer para que España deje atrás el siglo XX y se convierta en una potencia del siglo XXI.

«La digitalización es una cuestión de vida o muerte. Es ahora o nunca», asegura. Como no habrá más oportunidades como la que supone el reparto de los fondos europeos, Rodríguez Zapatero ha escrito “Por una España Digital” (Deusto), un libro que desde el optimismo refleja la angustia porque se acaba el tiempo.

A lo largo de 250 páginas, el autor traza la hoja de ruta que Estado y empresas han de seguir para saltar, con garantías, a la economía digital. Y no es un autor cualquiera. Presidente ejecutivo y cofundador de la escuela de negocios ISDI, entre 2008 y 2016 fue director general de Google España, Portugal y Oriente Medio, y desempeñó previamente varios cargos ejecutivos en Yahoo.

P.- ¿Qué debemos hacer para ser una economía digital?

Cambiar el modelo educativo para sacar partido a la revolución digital, en la que todo ocurre de manera distinta y en la que no estamos formando talento capaz de aprovecharlo.

La economía digital está basada en la capacidad de aumentar nuestra inteligencia para crear, innovar y desarrollar nuevas ideas. En eso los españoles somos buenos, pero debemos entender el entorno, lo que comienza en la educación primaria. Y basarnos en el talento.

Pero en España lo estamos desperdiciando, porque tenemos una educación pública incapaz de dar oportunidades al talento que sale a la luz. El talento no es de derechas ni de izquierdas, de ricos ni de pobres. Estamos ante una buena oportunidad de tener una educación pública radicalmente distinta.

Javier Rodríguez Zapatero

P.- ¿Cómo convertir España en un país digital?

Mi deseo es estar entre las grandes economías del mundo. Si hacemos los deberes, tenemos una oportunidad única e histórica. Si no lo creyera, no habría escrito el libro, me habría dedicado a quejarme, que es lo que hace la mayor parte de los españoles. Y, la verdad, me queda poca energía para quejarme. En el libro hago un diagnóstico, no una queja. Propongo soluciones.

La publicación de “Por una España Digital” estaba prevista para el mes de marzo. Pero la necesidad de reconstruir cuanto antes el país tras la pandemia llevó al autor a acelerar los plazos. Máxime teniendo en cuenta que casi el 33% de los fondos se destinarán a la digitalización de la economía. Y que si bien es cierto que los recursos podrían ser suficientes, lo importante es cómo ejecutarlos.

“Hay que invertir los 140.000 millones de euros para luego repartir riqueza. Si distribuimos la renta, luego repartiremos miseria”.

Rodríguez Zapatero considera que hay que invertir los fondos de manera inteligente y quirúrgica e insta a capacitar a las personas, para que puedan sacar el máximo provecho de sus negocios en el mundo digital. “La gente no sabe de Internet. Hay que enseñar”, remarca.

P.- ¿Cuál ha sido el impacto de la pandemia en la digitalización?

Nos hemos dado cuenta de que la digitalización ha salvado las relaciones sociales y está evitando a mucha gente caer en la locura absoluta. Las infraestructuras que hay en España lo han permitido, pero no es cierto que las compañías se han digitalizado en estos meses.

Empezar a usar Zoom o Teams, o trabajar desde casa no es digitalizarse. Se requiere un cambio cultural.

No obstante, la pandemia sí ha demostrado a muchos dirigentes que el trabajo que tendrían que haber hecho antes, ahora lo tendrán que realizar mucho más rápido, porque en el futuro no habrá cabida para empresas que quieran dar una vuelta atrás.

El ecommerce se ha incrementado en torno a un 70% en Amazon, algo sin precedentes. El consumo de medios online se ha cuadruplicado… Los negocios que más éxito tendrán serán los que sepan entender los dos mundos.

P.- ¿Cree que desaparecerán todas las barreras entre lo físico y lo digital?

«No sé en cuánto tiempo, pero en el futuro no habrá diferencias ni barreras entre ambos mundos».

En su libro Rodríguez Zapatero defiende que el Estado debería ofrecer Internet de alta velocidad gratis a todos los españoles. Según él, es una posible solución con la que pretende provocar reflexiones. «Para aprovechar tecnologías del futuro, como la inteligencia artificial, la computación cuántica o el blockchain, necesitamos una red con más capacidad».

«Existe un paralelismo con la inversión que se hizo en infraestructuras en los 90 y que logró que ahora tengamos la mejor red de autopistas y de alta velocidad de Europa, con su consecuente impacto en el crecimiento económico».

P.- ¿Por qué un pacto para la España digital?

Porque entender el modelo es crucial para generar riqueza y empleo. España no puede perder más oportunidades. Lo más urgente es el Pacto por la Educación. No hay nada más importante para una sociedad a la hora de crecer que aprender más rápido que los países del entorno.

En este sentido, a Rodríguez Zapatero le abochorna la retahíla de leyes educativas elaboradas simple y llanamente con una visión cortoplacista y, quizás, distorsionada.

“Es imposible que no se puedan poner de acuerdo en el contenido de una ley que ayude a España a dar el salto a la siguiente fase. En lugar de hablar sobre este tema, la gente prefiere debatir sobre otros asuntos y nos estamos polarizando”, reflexiona.

P.- ¿Desde cuándo es usted una persona digital?

Soy un inmigrante digital al que siempre encantaron los ordenadores. El primero me lo compré con 12 años en Inglaterra y con él aprendí a programar. Ya en 1996 miraba Internet como algo que cambiaría y mejoraría el mundo.

P.- ¿No echa de menos algo del mundo físico?

Durante esta pandemia he echado de menos el contacto humano, la interacción, ver a mis padres… Pero por lo demás, no.

P.- Por último, ¿qué es lo más importante que aprendió en Google?

Que se puede construir una sociedad mejor con humildad y agilidad en el aprendizaje. Google está lleno de gente humilde con buenas intenciones. La tecnología no da miedo, puede ser amiga. Hay que usarla para mejorar el mundo.

Competencias digitales… para hacer vida normal

Mercedes Núñez    19 enero, 2021

Según la Unión Europea, una de cada dos ofertas de trabajo en España ya son empleos digitales y para el año que viene el 45 por ciento de las ofertas de trabajo tendrá relación con el entorno digital. Esto supone la creación de 200.000 puestos de trabajo en nuestro país y de 900.000 en toda la Unión Europea. Pero, según datos de Fundación Telefónica, solo el 31 por ciento de los españoles tiene las competencias digitales necesarias.

«Lo digital» ya no es algo al margen de «lo otro»

En el evento “Creamos contigo la educación del futuro”, que Telefónica Empresas celebró a finales del año pasado, Mª Jesús Almazor, consejera delegada de Telefónica España, destacaba que “es clave la transformación del modelo educativo para su adaptación a la nueva realidad. El mercado laboral demanda nuevas profesiones -algunas que ni siquiera conocemos todavía- pero los perfiles de siempre también cambian”. Y exigen competencias digitales. Pensemos, si no, en la eSalud, la industria 4.0 e incluso en el sector primario con la revolución del smart agro.

Es una obviedad decir que lo digital ya no es algo al margen de “lo otro”. Nuestra vida es cada vez más digital (ha estado circulando por las redes durante la pandemia, como señalaba José María Álvarez-Pallete), la economía avanza en ese sentido y, en mayor o menor grado, todas las profesiones pasan por esta transformación. Algunas desaparecerán, sustituidas por otras que exigen nuevas competencias digitales.

Reciclarse como objetivo prioritario

El informe “Flexibility at work”, de Randstad, señala que «la tecnología cambiará el 30 por ciento de los empleos tras el COVID-19». De ahí la importancia de adquirir competencias digitales, de la formación continua, del upskilling y reskilling. Según un estudio de EY, el 61 por ciento de las empresas en España tendrá el reciclaje como objetivo prioritario tras la pandemia. No hay tiempo que perder.

Recuerdo que en 2012 ya escribía sobre la proliferación de nuevas formas de trabajar y que solo sobrevivirían aquellos que tuvieran la habilidad y agilidad para adaptarse. Lo cierto es que la cada vez mayor incertidumbre del mercado laboral hace que un número creciente de trabajadores sienta la necesidad de reinventarse.

Ya vemos las orejas al lobo con las competencias digitales

Hace casi una década que la consultora Fast Future hablaba del granjero farmacéutico, el nanomédico, los controladores de datos basura o el gestor de la personalidad como algunos de los oficios con más futuro hasta 2030. Ya no nos parece algo de ciencia ficción. Estamos cada vez más familiarizados con los científicos de datos, los expertos en soluciones de inteligencia artificial para bots o el desarrollo de órganos humanos en laboratorio…

EdTech, InsurTech o abogados digitales: el nuevo trabajo

Pero, como señalaba Chus Almazor, basta con que pensemos en la transformación digital de la educación (EDtech), los seguros (insurtech) o los “abogados digitales” que se abren paso. Los nuevos nichos de negocio de estos últimos engloban blockchain, impresión 3D o realidad extendida, entre otros.

Letrados y despachos también tienen que actualizar sus competencias digitales. Un informe del Consejo General de la Abogacía Española (CGAE) pasa revista a las futuras áreas de trabajo.

Es una exigencia que viene impuesta no solo por la evolución de las necesidades de los clientes (la inteligencia artificial ya habita entre nosotros, IoT abre un mundo de posibilidades pero los riesgos relacionados con la privacidad y seguridad de la información crecen…), sino también por las mejoras que pueden suponer para la prestación de sus servicios algunas de estas innovaciones. Las firmas ya están implementando los smart contracts, por ejemplo, y el informe prevé que más del 20 por ciento de ellas se beneficiará de los chatbots.

Y es que vivimos en smart cities, los hogares son cada vez más inteligentes, se abren paso los vehículos conectados, usamos wearables, la telemedicina se ha normalizado…

El entorno VUCA posCOVID

Todo ha cambiado tanto que últimamente hemos podido leer que el Banco de España buscaba un coach o la Junta de Andalucía project managers.

¡Si hasta la CIA acude a las redes sociales para localizar talento! La realidad supera a la imaginación y por eso no nos extraña que una empresa contrate guionistas de ciencia ficción para repensar sus productos.

Ante este horizonte solo podemos procurar estar cada vez mejor preparados para adaptarnos con la mayor flexibilidad y agilidad posibles a un entorno VUCA+, VUCA posCOVID, o hiperVUCA.

Imagen; damn_unique