No tengas miedo de la ley si no tienes nada que esconder

Un argumento recurrente que tengo que aguantar con frecuencia es que, si no tienes nada que esconder, no tienes ningún motivo para ser cuidadoso con tu información personal, ni con tus prácticas de seguridad operacional. Efectivamente, cuando exijo a alguno de mis contactos que establezca un canal de comunicaciones seguro para tratar un tema de negocios, o cualquier otro asunto donde se van a gestionar datos que permiten identificar a una persona o empresa, recibo siempre una mueca desganada. Se me dice que ellos nunca se preocupan por la seguridad de sus telecomunicaciones, porque no hacen nada interesante
con ellas, y como no tienen nada que esconder, no tiene sentido preocuparse del asunto.

El gran problema de este argumento es que, la inmensa mayoría de las veces, la gente sí que tiene algo que esconder, pero no lo sabe. Esto lleva a muchos a gestionar sus comunicaciones de forma irresponsable, porque piensa que no hay ningún problema con ello, de forma que muchos datos críticos que pueden destruir a una familia u organización son tratados como si encerrasen escasa importancia.

Por poner un ejemplo, el hecho es que nadie conoce todas las leyes del llamado Reino de España. Los políticos miden su productividad por la cantidad de leyes emitidas en una legislatura, por lo que hay una cantidad ingente de ellas. No hay abogado ni juez capaz de saberse la completa totalidad de las normativas vigentes. Dado que nadie conoce la totalidad de la ley, nadie puede asegurar a ciencia cierta que la está cumpliendo totalmente. Desde mi posición de ingeniero, puedo afirmar que, por ejemplo, muchos edificios e instalaciones industriales no cumplen diversas normativas de seguridad porque nadie las conoce, incluyendo los inspectores de la Administración pública. España está llena de edificios que tienen luces antipánico ilegales, grifos ilegales, puertas ilegales y diversas afrentas contra el Código Técnico de la Edificación, que como mínimo darían para poner un buen par de multas. Sin embargo, nadie piensa que tenga que esconder sus luces, grifos o puertas, porque nadie sabe que atentan contra la legislación pertinente. Al fin y a la poste, todos estos componentes funcionan perfectamente. ¿Por que iban a ser ilegales? A nadie se la pasa siquiera la idea por la cabeza.

faline-tarynDesgraciadamente, este mismo principio se aplica a secretos mucho más críticos. Por ejemplo, recientemente, una familia que tenía una pequeña granja en Kansas adoptó a una cierva. Esta cierva, llamada Faline en honor a la novia de Bambi, iba y venía libremente de la granja al bosque. Estaba acostumbrada a la vida doméstica, y también a dormir en la casa mientras la gente veía la televisión. Se llevaba bien con los caballos, perros y cabras de la granja y era, en definitiva, un miembro más de la familia. Un buen día, la familia publicó en Facebook un mensaje, pidiendo información para localizar a Faline, que llevaba más tiempo del acostumbrado fuera de casa. Faline regresó por sí misma. Poco tiempo después, la granja recibió una visita de las fuerzas de la Ley, y Faline fue asesinada delante de su familia por los mercenarios del Gobierno, que alegaron que la posesión de animales salvajes es ilegal. El cabeza de familia ha declarado que, en su opinión, las autoridades se enteraron de la situación de Faline gracias a la publicación que se hizo en la red social.

De ser ése el caso, nos encontraríamos ante otro ejemplo de gestión irresponsable de un secreto crítico. Nadie en la familia imaginaba que la situación de su mascota fuese un secreto a esconder, por lo que lo divulgaron libremente por doquier como si se tratase de una pedazo trivial de información. Esto puso en conocimiento de un ente hostil todo lo que necesitaba saber para causar un tremendo drama familiar. La responsabilidad de esta maldad recae sobre los mercenarios del Gobierno, pero lo cierto es que familia fracasó completamente a la hora de garantizar su propia seguridad.

Todos tenemos una Faline en nuestras vidas, un secreto crítico que no sabemos que lo es. Por eso, cuando alguien te pida que trates de un asunto de forma discreta, en vez de anunciarlo a los cuatro vientos, deberías pensártelo dos veces antes de tildarle de paranoico. Nunca se sabe cuándo va un adversario a usar tus secretos para causarte problemas.

Rubén LlorenteAcerca del autor: Rubén Llorente

Soy escritor, ingeniero y técnico informático.
Dirección de Bitmessage:
BM-2cW2L2JrWiGJdQttk2cTUeq9yYeaiBTyb1
Clave OpenPGP:
BB5A C2A2 2CAD ACB7 D50D C081 1DB9 6FC4 5AB7 92FA

 

[td_block_11 custom_title=”Rubén Llorente” header_text_color=”#ffffff” header_color=”#ada700″ post_ids=”-9335″ category_id=”76″ limit=”3″][td_block_ad_box spot_id=”sidebar”][td_block_11 custom_title=”NOTICIAS” header_text_color=”#ffffff” header_color=”#ada700″ limit=”3″]

Recuperando tu privacidad con Bitmessage

Es cada vez más complicado encontrar proveedores de servicios de email que son verdaderamente privados. Muchos grandes proveedores de servicios basan su modelo de negocio en adquirir datos de sus usuarios, para venderlos u organizar elaboradas campañas de publicidad. Otros tienen políticas de privacidad muy estrictas, pero requieren que verifiques tu identidad por teléfono o contratando sus servicios empleando un medio de pago rastreable, como una tarjeta de crédito asociada a tu identidad. Incluso si eres capaz de encontrar un proveedor de servicios de email que se comprometa a no inspeccionar tus emails, ni requiera datos personales que sirvan para identificarte, tu privacidad no esta a salvo. En cuando tengas que mandarle un email a tu abogado, el mensaje quedará automáticamente comprometido si dicho abogado está usando, digamos, Gmail.

Existen métodos para hacer que los mensajes enviados por correo electrónico sean relativamente privados, incluso frente a los proveedores del servicio, pero dichas soluciones gozan de poca aceptación entre el público. La más popular es el protocolo OpenPGP, que permite cifrar los correos y verificar que no son mensajes falsificados. Si yo le envío mis documentos a mi abogado cifrándolos con OpenPGP, dará igual que Gmail esté escaneando los mensajes para tratar de averiguar cómo venderme unas vacaciones en la playa, porque sólo encontrará en el mensaje una sopa de letras y números sin sentido. El inconveniente es que mi abogado deberá saber usar OpenPGP, y aunque no es exactamente difícil, lo habitual es que la gente no quiera oír hablar del tema.

Bitmessage surge como una alternativa experimental al correo electrónico convencional. Consiste en una red de tipo peer-to-peer, en la que todos los usuarios tienen instalado el programa en su ordenador. Si quiero mandarle un mensaje a mi abogado, abro el programa, escribo el mensaje, escribo la dirección de bitmessage de mi abogado o la selecciono de mi lista de contactos, y pulso el botón de enviar. El mensaje se cifra y se envía a la red Bitmessage. Si mi abogado está conectado, recibirá el mensaje tras un breve lapso de tiempo. Si no lo está, lo recibirá en cuanto se conecte. El cualquier caso, la misiva está cifrada y firmada digitalmente, de tal modo que sólo el receptor del mensaje podrá leerlo, y el texto es a priori infalsificable.

Dicho de forma sencilla: desde mi ordenador de escritorio, le envío un mensaje a la dirección de Bitmessage de mi abogado, y éste llega a la bandeja de entrada de mi abogado sin haber pasado por un canal de comunicaciones inseguro.

Ahora, las malas noticias.

La red Bitmessage no puede almacenar correos durante más de dos días. Esto significa que, si envío un mensaje hoy y mi abogado tarda más de dos días en verificar su bandeja de entrada, la red borrará el mensaje antes de que pueda leerlo. Si alguien se baja un mensaje antes de que expire, quedará guardado en su ordenador hasta que decida borrarlo, pero hasta que eso no ocurra, el correo quedará flotando en la red Bitmessage mientras el tiempo corre en su contra. Las versiones actuales de Bitmessage son capaces de detectar si un correo ha sido borrado sin haber sido leído, y tratan de reenviarlo con la esperanza de que el destinatario lo reciba en algún momento.

El otro gran problema de Bitmessage es que, tal y como está diseñada, la red no sería capaz de asumir grandes flujos de tráfico. Aunque no es un problema por el momento, si el número de usuarios de Bitmessage aumentase drásticamente, mi abogado y yo necesitaríamos ordenadores muy potentes y conexiones a Internet muy caras para continuar usando la red. Los diseñadores de Bitmessage están trabajando en alternativas, tales como dividir la red en subredes más pequeñas y manejables, pero actualmente hay poco esfuerzo detrás de estas medidas porque tampoco hacen mucha falta.

Como ya se ha mencionado, Bitmessage es un programa experimental, y están buscando auditores de confianza para certificar que es sólido. En cualquier caso, es sencillo de instalar y probar. Se puede encontrar más información en la página web del software.

Rubén LlorenteAcerca del autor: Rubén Llorente

Soy escritor, ingeniero y técnico informático.
Dirección de Bitmessage:
BM-2cW2L2JrWiGJdQttk2cTUeq9yYeaiBTyb1
Clave OpenPGP:
BB5A C2A2 2CAD ACB7 D50D C081 1DB9 6FC4 5AB7 92FA

 

[td_block_11 custom_title=”Rubén Llorente” header_text_color=”#ffffff” header_color=”#ada700″ post_ids=”-9264″ category_id=”76″ limit=”3″][td_block_ad_box spot_id=”sidebar”][td_block_11 custom_title=”NOTICIAS” header_text_color=”#ffffff” header_color=”#ada700″ category_ids=”-76″ limit=”2″]

Por qué los libros digitales no salvarán a los autores desconocidos

Antes de la aparición del libro electrónico, era prácticamente imposible para un autor desconocido conseguir que sus libros llegasen a los lectores. Tal proeza implicaba alcanzar un trato con una editorial, y esto implicaba a su vez convencer a la editorial de que el libro sería rentable. Esto está lejos de ser trivial. Los editores rara vez se molestan en leer más del 5% de los manuscritos que se les ofrecen. Muchos autores quedaban fuera del mercado editorial porque las propias editoriales les excluían.

Con la aparición de los libros digitales, muchos autores que estaban hundidos en el fango de la indiferencia editorial creyeron que tendrían la oportunidad de alcanzar el éxito por otros medios. Ciertas características inherentes al formato sugerían, de acuerdo a ciertas personas, que las novelas hechas de bytes estaban llamadas a cambiar el funcionamiento del sector editorial para siempre.

La principal característica de los libros electrónicos es que son extremadamente baratos de distribuir, por lo menos cuando se aplican principios de economía de escala. Los libros tradicionales son productos que tienen un peso muy elevado en comparación con su valor comercial. Al contrario que un smartphone moderno, que tiene un valor significativo por kilogramo, un ordinario libro de papel tiene un precio ridículo. Esto es un gravísimo problema, ya que el peso se traduce en grandes costes logísticos en almacenamiento y transporte que deben costearse para distribuir productos poco valiosos. Un libro electrónico requiere una infraestructura elaborada para poder ser vendido, necesitando tiendas online y plataformas de pago electrónico, pero cuando se venden suficientes copias, el coste de distribución es muy reducido.

Esta cualidad hace que, en teoría, cualquier persona con el suficiente interés pueda escribir una novela, publicarla en Internet y venderla a miles de lectores, sin necesidad de vender los derechos de propiedad intelectual a una editorial. Para un autor de tiempos pretéritos, conseguir que una editorial comprase los derechos de venta y distribución de su novela era absolutamente esencial, pues sólo una empresa con músculo puede afrontar los gastos necesarios para comercializar libros de papel con éxito. Ahora, un autor moderno puede subir un libro digital a una de las muchas plataformas de auto-publicación que existen, poniéndolo a la venta ante millones de personas por una ridícula fracción del coste. La negación de las editoriales a publicar una novela no equivale a una sentencia de muerte para la misma, ya que el autor siempre podrá publicarla en formato digital en Internet y vender copias a millares. Al menos, ésa es la teoría.

Honestamente, creo que el advenimiento del libro electrónico no ha mejorado sustancialmente el estado de la industria para los autores. Procedo, aquí, a exponer los motivos.

Un autor necesita tres cosas para vender un libro. Necesita publicidad, necesita distribuir el libro y necesita un editor capaz de convertir un manuscrito en una copia apta para la venta. Cualquier plan comercial que no tenga en cuenta esas tres necesidades resultará en un terrible fracaso. Las plataformas de auto-publicación y la facilidad con la que se distribuyen los libros electrónicos sólo solucionan uno de los problemas. Poner un libro electrónico a la venta en Internet sin la debida inversión en publicidad y edición no conseguirá que el libro sea vendido o conocido. Una editorial proporciona soluciones en los tres frentes. Un autor que actúa por su cuenta lo tiene más complicado.

Por si esto no fuese lo suficientemente malo, los libros digitales producen un nefasto efecto secundario. El coste de replicar un libro digital es prácticamente nulo. Esto implica que el suministro potencial de ejemplares de un determinado título es poco menos que ilimitado. No hace falta ser un experto en economía para saber que un bien que tiene una disponibilidad ilimitada es ilimitadamente barato. Dicho de forma sencilla: el tratado sobre cabuyería que a Clifford W. Ashley le llevó once años redactar, tras cerca de cuarenta años de investigación, tiene un valor cercano a cero. No hace falta más que revisar los catálogos de diversas tiendas de libros digitales para darse cuenta de que muchos autores están vendiendo novelas a precios insultantemente bajos. Un autor que invierta un año en escribir un libro y quiera auto-publicarlo digitalmente tendrá que competir con miles de novelas que se venden a menos de un dólar. Si la novela se difunde mínimamente, lo cuál ya sería raro, no tardará en ser pirateada sin piedad a coste nulo por los internautas. El autor estará trabajando virtualmente gratis. Las editoriales llevan ya un tiempo tratando de restringir el suministro de libros digitales artificialmente, empleando mecanismos como el DRM, pero dichas medidas, además de antiéticas, se están probando ineficaces.

Así pues, los libros digitales ayudan a los autores porque les permiten publicar sus libros sin necesidad de que una editorial se apiade de ellos y se haga cargo de los aspectos comerciales. Desgraciadamente, no solucionan por sí mismos los problemas a los que los autores deben enfrentarse a la hora de publicar un libro, y devalúan enormemente el valor de una pieza literaria. El hecho de que los libros apenas valgan nada es muy positivo para los consumidores, pero es un triste consuelo para el autor que no puede vender a más de un dólar un libro que le llevó ocho años publicar.

Rubén LlorenteAcerca del autor: Rubén Llorente

Soy escritor, ingeniero y técnico informático.
Dirección de Bitmessage:
BM-2cW2L2JrWiGJdQttk2cTUeq9yYeaiBTyb1
Clave OpenPGP:
BB5A C2A2 2CAD ACB7 D50D C081 1DB9 6FC4 5AB7 92FA

 

[td_block_ad_box spot_id=”sidebar”][td_block_11 custom_title=”Rubén Llorente” header_text_color=”#ffffff” header_color=”#ada700″ post_ids=”-9249″ category_id=”76″ limit=”4″][td_block_ad_box spot_id=”sidebar”][td_block_11 custom_title=”NOTICIAS” header_text_color=”#ffffff” header_color=”#ada700″ category_ids=”-76″ limit=”2″]

Carolina del Sur le declara la guerra al porno

Los legisladores del Gobierno Estatal de Carolina del sur han propuesto, recientemente, una polémica medida para combatir la difusión de pornografía y el tráfico sexual. Dicha medida consiste en obligar a todos los vendedores de dispositivos susceptibles de ser empleados para consumir contenido pornográfico – como, por ejemplo, ordenadores y smartphones – a instalar en los mismos un bloqueador anti-porno.

El Partido Republicano afirma que la pornografía se ha convertido en un serio problema sanitario que está destruyendo la vida de millones de personas. De la misma manera, ha hecho un llamamiento a combatir la difusión de pornografía infantil. En Abril de este mismo año, fue aprobada en Utah una resolución, según la cual la pornografía quedaba clasificada como un riesgo para la salud pública y una epidemia, que normaliza la violencia contra las mujeres y los niños, y hace improbable que los hombres contraigan matrimonio.

El sistema de bloqueo anti-porno podría ser desactivado por los consumidores, mediante el pago de una licencia de 20 dólares americanos por dispositivo. El pago de este impuesto serviría, en opinión de sus partidarios, para combatir los delitos de explotación sexual organizada. Afirman, además, que los derechos civiles de los usuarios de los dispositivos afectados por el bloqueador no serán violados, dado que podrán desactivarlo mediante el pago de esta tasa.

El Representante del Estado William “Bill” Chumley ha declarado que, mediante esta legislación, se podrá mantener la libertad, evitar subir los impuestos, y combatir un serio problema, todo al mismo tiempo.

Huelga decir que la misma naturaleza de la medida es perversa y descabellada al mismo tiempo.

En primer lugar, la efectividad de los bloqueadores comerciales de pornografía es marginal en el mejor de los casos. Incluso en el caso de que existiese un filtro que funcionase de manera fiable y precisa, tampoco hay garantías de que los usuarios no pudiesen desactivar los filtros por sus propios medios. Cantidades ingentes de teléfonos móviles son rooteados a diario, cantidades ingentes de programas con protección anti-copia son crackeados cada hora. ¿Por qué no iba a ser posible desactivar un filtro anti-porno tras rootear el smartphone en el que está instalado?

En segundo lugar, el manifiesto afán recaudatorio tras la propuesta no hace sino, virtualmente, tratar de poner un impuesto apenas encubierto a todos los dispositivos electrónicos vendidos en el Estado. Esto es, se le cobrará al usuario un impuesto Estatal por la realización de actividades que el ciudadano antes podía realizar sin permiso, a cambio de no recibir ningún valor añadido por su contribución tributaria adicional.

En tercer lugar, el Estado crea una lista de los dispositivos habilitados para consumir pornografía que obran en el poder de cada ciudadano. Dado que el Gobierno estadounidense es notorio por permitir que sus listas y bases de datos ultrasecretas sean robadas por crackers extranjeros, la existencia de este listado no inspira ninguna confianza y se convierte en una grave amenaza para la privacidad de los ciudadanos.

En cuarto lugar, no queda claro cómo instalar un bloqueador anti-porno en un smartphone de Carolina del Sur puede contribuir a combatir la pornografía infantil ni los delitos de explotación sexual. Todas estas cosas existían hace décadas, en una era en la que nadie podía consumir pornografía en Internet porque Internet no existía. Dado que, como se ha comentado ya, los bloqueadores de pornografía ni siquiera funcionan, queda claro que la protección ofrecida por los legisladores es completamente nula.

Sólo cabe esperar que los Gobiernos no se aficionen a instalar software en nuestros dispositivos para limitar qué podemos hacer con ellos, y cobrarnos una tasa de “protección” para hacer cosas que, a día de hoy, podemos hacer sin necesidad de rendirle cuentas a nadie.

Rubén LlorenteAcerca del autor: Rubén Llorente

Soy escritor, ingeniero y técnico informático.
Dirección de Bitmessage:
BM-2cW2L2JrWiGJdQttk2cTUeq9yYeaiBTyb1
Clave OpenPGP:
BB5A C2A2 2CAD ACB7 D50D C081 1DB9 6FC4 5AB7 92FA

 

[td_block_ad_box spot_id=”sidebar”][td_block_11 custom_title=”Rubén Llorente” header_text_color=”#ffffff” header_color=”#ada700″ post_ids=”-9233″ category_id=”76″ limit=”4″][td_block_ad_box spot_id=”sidebar”]

El acta Contra la Desinformación y la Propaganda

Al poco tiempo de ganar Donald Trump las elecciones, presencié una interesante discusión en un canal de chat IRC. Varias personas se estaban preguntando si, con el advenimiento de la administración Trump, se impondrían en los Estados Unidos medidas similares al famoso Muro Dorado chino.

Para quienes no lo sepan, China cuenta con uno de los aparatos censores más sofisticados que alguna vez se hayan desplegado para controlar los hábitos de navegación de una nación. El famoso cortafuegos del gigante asiático no sólo es capaz de evitar que los ciudadanos de a pie puedan visitar páginas web extranjeras contrarias al régimen chino. Esta poderosa maquinaria de opresión comunista también puede detectar los intentos más comunes de saltarse esta censura. Se dice que cuenta con una capacidad limitada de autoaprendizaje, con lo que puede detectar nuevas amenazas contra el despotismo digital practicado por el Gobierno. Cuba e Irán son también conocidos por ejercer prácticas similares.

Al parecer, los temores de los usuarios del canal IRC que nos ocupa estaban bien fundados, pero al contrario de lo que ellos esperaban, el aparato censor no vendrá impuesto por el magnate Donald Trump, sino por la administración presidida por Barak Hussein Obama. De acuerdo a un artículo escrito por Tyler Durden, el Acta de Contrainformación de Guerra aprobada silenciosamente por el Senado representa un dramático retorno a los métodos propagandísticos de la Guerra Fría. Este acta está concebida para “ayudar a Estados Unidos y a sus aliados a combatir la propaganda de países ajenos, como Rusia, China y otros”. Los proponentes de este acta afirman que su necesidad nace del hecho de que, actualmente, no existe ninguna agencia gubernamental que se ocupe de combatir las falsedades y desinformaciones emitidas por potencias extranjeras.

Tyler afirma que, en definitiva, lo que el Acta de Contrainformación de Guerra hace no es más que permitirle al Gobierno suprimir cualquier medio de comunicación que esté emitiendo “propaganda” incómoda, y proporcionar grandes sumas de dinero a equipos “contrapropagandísticos” destinados a proclamar las verdades aprobadas por el Tío Sam.

La Constitución es Estados Unidos contiene una enmienda, concretamente la primera, cuyo propósito es garantizar la libertad de expresión de los ciudadanos estadounidenses, lo que en teoría debería proporcionar a estos una cierta protección en caso de ser acusados de publicar “propaganda”. Sin embargo, esta enmienda no puede proteger a un sitio web alojado en Japón de ser bloqueado por un hipotético equipo censor. Es de presuponer que los sitios web desde los que más habitualmente se difunden documentos filtrados por confidentes anónimos (como Wikileaks), y que se utilizan para exponer los abusos y la corrupción de los miembres del gobierno y otras potencias poderosas, sean blancos fáciles una vez este acta sea firmada por Obama.

Este triste capítulo de la historia de la opresión digital no deja de ser un grave recordatorio de algo que la gente siempre tiende a olvidar. Las amenazas contra la libertad se producen desde ambos lados del espectro político. El presidente Republicano George Bush Jr. ya firmó en su momento el Acta Patriota que, entre otras cosas, condena duramente a quienes difunden información sobre los abusos perpetrados por el Estado (caso de Edward Snowden).

Rubén LlorenteAcerca del autor: Rubén Llorente

Soy escritor, ingeniero y técnico informático.
Dirección de Bitmessage:
BM-2cW2L2JrWiGJdQttk2cTUeq9yYeaiBTyb1
Clave OpenPGP:
BB5A C2A2 2CAD ACB7 D50D C081 1DB9 6FC4 5AB7 92FA

 

[td_block_11 custom_title=”Rubén Llorente” header_text_color=”#ffffff” header_color=”#ada700″ post_ids=”-9224″ category_id=”76″ limit=”3″][td_block_ad_box spot_id=”sidebar”]

Diseñado para ser promiscuo: tu navegador web

El pasado día 1 de diciembre, el equipo de desarollo de Tor publicó una actualización para su Tor Browser Bundle (Paquete de Navegación Tor). Este navegador es una versión modificada de Mozilla Firefox que emplea la red Tor para garantizar el anonimato del usuario mientras navega por la Red. La actualización que nos ocupa tenía como propósito el de parchear un defecto de seguridad que algunos sitios web maliciosos estaban explotando para tratar de comprometer a sus usuarios. El ataque en cuestión requería que el navegador descargase un programa malicioso de la página (de hecho, código JavaScript) y lo ejecutase.

La naturaleza de esta agresión no hace sino ejemplificar, nuevamente, uno de los mayores problemas que, a mi juicio, infectan la experiencia web: los programas que tu navegador descarga de Internet y ejecuta sin tu consentimiento expreso.

En sus comienzos, el universo web estaba concebido para ser una plataforma de distribución de documentos. No se esperaba que los usuarios hiciesen cosas mucho más complicadas que ir a una página y leerla. Con el tiempo, los usuarios y desarolladores comenzaron a utilizar la web como una plataforma donde se ejecutaban aplicaciones. Los usuarios ya no se limitaban a leer documentos: iban a foros en los que podían publicar su propio contenido, o a clientes web de correo electrónico mediante los cuales podían leer o enviar emails. Estos nuevos sitios no eran ya documentos, sino programas (en realidad, conjuntos de programas) muy dinámicos que interactúan con los usuarios y toman decisiones inteligentes.

Debido a sus orígenes como simple plataforma de distribución de documentos, la tecnología subyacente que sustentaba la web era muy limitada. Por eso, para poder sostener todas estas nuevas aplicaciones, se comenzó a emplear una cosa que se llama código para clientes
(client-side scripting). La idea es relativamente sencilla: para poder sobrepasar las limitaciones de la tecnología web, el navegador de los visitantes de un sitio web descarga de la página un fragmento de código y lo ejecuta. La ejecución de este código permite al navegador realizar acciones mucho más complejas e interactuar con aplicaciones web mucho
más ricas de lo que podría en otras condiciones.

El código para clientes es tan prevalente hoy día, que muchos desarolladores web apenas conciben una pagina sin él. En tiempos actuales, la práctica totalidad de los sitios web que uno visita le hace descargar un programa o varios y ejecutarlo. Y aquí surge la triste tragedia: el Internet moderno espera de ti que, cada vez que visites un sitio web, descargues y ejecutes cualquier programa que te ofrezcan y reces para que no sea código malicioso. Esto es tan seguro como hacer turismo sexual sin llevar preservativos encima. Los navegadores modernos están diseñados para pegarse un revolcón con cualquiera con quien se cruzan por Internet, y no están equipados con una caja de preservativos que sea fácil de usar o nos dé garantías.

Aunque mucho código para clientes moderno tiene aplicaciones benignas, un inmenso procentaje del mismo se emplea para aplicaciones indeseables, tales como la distribución de anuncios y el rastreo de usuarios. La mayoría de estos programas se ejecutan sin el permiso expreso de los usuarios que los están ejecutando.

Hay maneras de evitar que nuestro navegador descargue y ejecute este código indeseado. La más obvia es desactivar todas las funciones típicas de código cliente de tu navegador (JavaScript, Java y complementos similares), pero hacer esto daña irremediablemente tu experiencia web, porque muchas páginas legítimas no funcionarán sin código para clientes. Una alternativa consiste en instalar un filtro como NoScript. NoScript es un complemento para Mozilla Firefox y Seamonkey que bloquea la ejecución de código para clientes que no está expresamente autorizado. Esto hace posible autorizar la ejecución de código proveniente de sitios web en los que confías y bloquear el resto. Aunque no es un mal enfoque, requiere que el usuario configure sus filtros a mano, cosa que consume tiempo y esfuerzo. Finalmente, una solición recomendada por Snowden consiste en emplear un bloqueador de anuncios convencional. Un complemento como ublock o adblock plus diseñado para matar anuncios puede bloquear la mayor parte de código publicitario y de rastreo de usuarios. Esto reduce drásticamente la cantidad de código que tu navegador ejecutará sin permiso, y es relativamente fácil de implementar. La desventaja es que no bloqueará muchas fuentes de código indeseado o peligroso.

Rubén LlorenteAcerca del autor: Rubén Llorente

Soy escritor, ingeniero y técnico informático.
Dirección de Bitmessage:
BM-2cW2L2JrWiGJdQttk2cTUeq9yYeaiBTyb1
Clave OpenPGP:
BB5A C2A2 2CAD ACB7 D50D C081 1DB9 6FC4 5AB7 92FA

 

[td_block_11 custom_title=”Rubén Llorente” header_text_color=”#ffffff” header_color=”#ada700″ post_ids=”-9095″ category_id=”76″ limit=”3″][td_block_ad_box spot_id=”sidebar”][td_block_11 custom_title=”NOTICIAS” header_text_color=”#ffffff” header_color=”#ada700″ post_ids=”-9095″ limit=”3″]

El proyecto de ley de poderes de investigación británico es aprobado

La Cámara de los Lores del Reino Unido ha dado de paso, recientemente, al proyecto de ley de poderes de investigación (Investigatory Powers Bill), también conocido como la Autorización del Espía (Snooper’s Charter) debido a su propósito.

El proyecto de ley es extenso. En esumen, es una formalidad que le proporciona al Estado británico permiso legal para espiar el tráfico de Internet de sus ciudadanos, algo que, de acuerdo con Snowden, ya venía haciendo desde hace un tiempo. De acuerdo con el documento, el Gobierno se asigna una serie de prerrogativas e impone una serie de obligaciones a las industrias informáticas y de telecomunicaciones para hacerle el espionaje más sencillo.

Entre las obligaciones impuestas, se cuenta la exigencia a los proveedores de servicios de Internet de guardar los registros de las conexiones de sus usuarios durante un año como mínimo, con el propósito de que las autoridades puedan consultar dichos registros. Los proveedores de servicios de comunicaciones también estarán obligados a asistir a la hora de realizar ataques informáticos contra objetivos establecidos por el Gobierno. Adicionalmente, estarán obligados a rendir sus tecnologías de cifrado que puedan obstaculizar las tareas de espionaje. Por último, los proveedores de servicios y sus empleados estarán obligados a guardar silencio sobre el alcance total de las actividades del Estado, considerándose una ofensa criminal el revelar datos sobre quién está siendo espiado de forma particularmente activa y por qué.

Las prerrogativas que el Gobierno se concede a sí mismo incluyen permitir a sus agentes consultar los registros de las conexiones de los usuarios sin necesidad de una orden judicial, así como la realización de recogidas de datos masivas en Internet y la realización de ataques
informáticos contra blancos específicos.

Como es de esperar, estas prácticas y otras parecidas han despertado severas críticas entre los defensores de los derechos civiles y las empresas de la industria de las telecomunicaciones. Apple ya ha criticado el hecho de que el proyecto de ley debilite el derecho al uso de cifrado por parte de los poderes civiles, argumentando que usar tecnologías de seguridad débiles beneficia a los crackers criminales y pone a los ciudadanos ordinarios en posición de desventaja. Asimismo, no han faltado quienes critican el proyecto de ley sobre bases éticas. “¿Quiere el Reino Unido el dudoso honor de concederse poderes considerados demasiado intrusivos por todas las demás democracias relevantes, uniéndose a países como Rusia o China a la hora de espiar los hábitos de navegación de todo el mundo?”, ha preguntado Anne Jellena, líder de la World Wide Web Foundation.

Si no eres ciudadano británico o no tienes intereses en el Reino Unido, puedes sentirte tentado de pensar que este proyecto de ley no te afecta, y cierto es que no te afectaría directamente. Por otra parte, que este tipo de espionaje gubernamental sea introducido en la eurozona abre las puertas a que otros países adopten medidas similares. Además, Reino Unido se considera un país seguro a efectos de la aplicación de la Ley Orgánica de Protección de Datos, lo que permite a las empresas españolas almacenar información de sus clientes en instalaciones británicas sin demasiadas complicaciones legales – por ejemplo, en centros de datos alquilados. No es audaz suponer que algunos españoles no verán con buenos ojos que su información clínica o financiera se almacene en un país donde el derecho a la privacidad de los datos está severamente degradado.

Rubén LlorenteAcerca del autor: Rubén Llorente

Soy escritor, ingeniero y técnico informático.
Dirección de Bitmessage:
BM-2cW2L2JrWiGJdQttk2cTUeq9yYeaiBTyb1
Clave OpenPGP:
BB5A C2A2 2CAD ACB7 D50D C081 1DB9 6FC4 5AB7 92FA

 

[td_block_11 custom_title=”Rubén Llorente” header_text_color=”#ffffff” header_color=”#ada700″ post_ids=”-8825″ category_id=”76″ limit=”3″][td_block_ad_box spot_id=”sidebar”]

¿Está espiándote tu tarjeta gráfica?

Nvidia, célebre fabricante de tarjetas gráficas, ha sido acusado recientemente de estar espiando a sus clientes a través de una aplicación telemétrica. Dicha aplicación telemétrica formaría parte del software “GeForce Experience”, que los usuarios utilizan para mantener actualizados los controladores de la tarjeta y para configurarla de acuerdo a sus necesidades.

De acuerdo a la sección de preguntas y respuestas dedicada a este software, “La aplicación recolecta los datos requeridos para recomendar una configuración óptima y las actualizaciones de software adecuadas, incluyendo la configuración del hardware, sistema operativo, idioma, juegos instalados, configuración de los juegos, estadísticas de uso de los juegos, estadísiticas de rendimiento de los juegos y versión de los controladores. Si el usuario está conectado a una cuenta Nvidia, los datos están asociados a una identidad.” Nvidia ha emitido un comunicado oficial en el que afirma que la compañía comparte datos estadísticos con sus socios de negocios, pero nunca datos personales de usuarios particulares.

Algunos usuarios manifiestan que no se quedan tranquilos con estas afirmaciones. Una vez que los datos son enviados a la empresa, sus clientes no tienen mucho control sobre lo que Nvidia hace con ellos. Según Timothy Tibbetts, los controladores de las tarjetas Nvidia instalan componentes telemétricos en el sistema operativo incluso si GeForce Experience no está instalado. “He instalado los últimos controladores seleccionando la opción de Sólo Controladores, y la telemetría permanece absolutamente incluida. Al contrario de lo que algunos opinan, la telemetría es instalada independientemente de si usas GeForce Experience o no.”

El señor Tibbetts, además, ha señalado en Reddit que los datos recopilados por Nvidia estarían siendo enviados a través de canales inseguros, esto es, sin emplear cifrado de ningún tipo ni garantía alguna de que los datos no caen en manos no autorizadas. Esta práctica sólo habría cesado recientemente, con la implementación por parte de Nvidia de cifrado TLS durante la transmisión de datos.

Las quejas no se han hecho esperar. No han sido pocos quienes han señalado que GeForce experience es de una antiguedad notoria, pero que sólo recientemente se ha hecho obligatorio proporcionarle a Nvidia datos identificativos (como direcciones de email o cuentas de Facebook) para usarlo. Se ha tardado poco tiempo en empezar a escuchar amenazas por parte de ciertos clientes, que aseguran que dejarán de consumir productos de Nvidia y empezarán a utilizar tarjetas de AMD u otros fabricantes, aunque la seriedad de estas declaraciones no puede ser verificada.

Por otra parte, no hay evidencia de que Nvidia recolecte información personal alguna de los usuarios que se limiten a instalar sus controladores, y luego no se den de alta con el servicio de Experience. Quien se limite a descargar e instalar los controladores debería estar relativamente seguro. Tampoco hay evidencia de que existan componentes telemétricos en las versiones de los controladores para los sistemas operativos Linux o FreeBSD.

Steve Burke ha publicado un artículo en Gamers Nexus en defensa de Nvidia, en el que publica los resultados de analizar el tráfico de red generado por el software de Nvidia. “Creemos que es desesperante que GeForce Experience requiera registrar una cuenta de usuario, porque es molesto, pero no porque esté espiándonos […] los datos compartidos parecen ser los puramente necesarios para que GeForce Experience funcione. Nvidia asegura que sólo comparte datos agregados con sus socios de negocios y nunca datos de usuarios identificables. Nosotros no podemos verificar esto, así que hemos de asumir que Nvidia está actuando de acuerdo a su política de privacidad y a la licencia del software.”

No es la primera vez que un vendedor de software es criticado por recopilar información de sus usuarios a través de aplicaciones telemétricas. Microsoft recibió un trato similar tras publicar una serie de actualizacines para Windows que habilitaban servicios telemétricos en el sistema operativo.

Rubén LlorenteAcerca del autor: Rubén Llorente

Soy escritor, ingeniero y técnico informático.
Dirección de Bitmessage:
BM-2cW2L2JrWiGJdQttk2cTUeq9yYeaiBTyb1
Clave OpenPGP:
BB5A C2A2 2CAD ACB7 D50D C081 1DB9 6FC4 5AB7 92FA

 

[td_block_11 custom_title=”Rubén Llorente” header_text_color=”#ffffff” header_color=”#ada700″ post_ids=”-8820″ category_id=”76″ limit=”3″][td_block_ad_box spot_id=”sidebar”][td_block_11 custom_title=”NOTICIAS” header_text_color=”#ffffff” header_color=”#ada700″ limit=”1″]

Lo que las redes sociales no pueden hacer por ti

Uno de los grandes mitos de nuestros días es la omnipotencia publicitaria de las redes sociales. Cuando un individuo le pregunta a sus amigos, a su agente o a su editor cómo debería empezar a darle publicidad a su último proyecto personal, las redes sociales aparecen como uno de los primeros medios recomendados.

Las redes sociales digitales no son otra cosa que plataformas de dispersión de información. Mediante estas, una persona puede publicar cualquier contenido y conseguir que todos sus contactos se vean expuestos al mismo. No sólo eso, sino que estos contactos pueden transmitir este contenido a terceras personas, y estas terceras personas a otras. Una persona bien relacionada en el mundo de las redes sociales puede publicar un mensaje publicitario y conseguir que lo vean setecientas personas en menos de dos días. No es difícil atar cabos y darse cuenta de que el potencial de las redes sociales para realizar campañas promocionales es inmenso.

Lo que los forofos de las redes sociales como medio de difusión de anuncios no suelen ver es que, cuando se analiza fríamente, las redes sociales no son más que una versión informatizada de un modelo de promoción muy antiguo: el boca a boca. Fulano está contento con su compra de La Espada Vengadora, así que le cuenta a sus amigos lo bueno que es ese libro. Sus amigos lo leen y quedan satisfechos, así que se lo cuentan a sus propios amigos. Las redes sociales únicamente sirven como plataforma para que esto ocurra sin que la gente tenga que desplazarse hasta el bar para hablar del asunto con sus contactos.

Desgraciadamente, el boca a boca no es un verdadero modelo de promoción, si no más bien el resultado de aplicar otros medios publicitarios.

Para que la gente empiece a hablarle de tu producto a otra gente, los requisitos indispensables son haberles encasquetado el producto en primer lugar, y conseguir que les guste lo suficiente como para que empiecen a tratar de convencer a sus amigos para que lo prueben. Fulano no va a contarle a Mengano que La Espada Vengadora es el mejor libro de todos los tiempos si no se lo lee y no le gusta lo suficiente como para recomendarlo. Además, el hecho de que el producto llegue a una persona y le guste no garantiza que esta persona vaya a recomendarlo. Al fin y a la postre, tus clientes tienen cosas mejores que hacer que andar haciéndote publicidad gratuita. En la práctica, todo esto significa que, para que se produzca el efecto de publicidad encadenada, necesitas reclutar a un número muy elevado de Fulanos. Sólo un pequeño porcentaje de ellos va a dar la cara por ti, así que necesitas una cantidad masiva para que ese pequeño porcentaje se traduzca en una cifra sustancial en términos absolutos.

Una vez que hay suficiente gente hablando de tu producto en las redes sociales, y se ha reunido una masa crítica de seguidores, tus propios seguidores se encargan de reclutar nuevos clientes para que te hagan publicidad. Sin embargo, alcanzar esta masa crítica no es ninguna trivialidad, y requiere emplear métodos publicitarios clásicos en primer lugar. Y esto es tan cierto en el carnespacio como en el ciberespacio.

Lo verdaderamente impactante es que muchos profesionales del mundillo no se han percatado de que las redes sociales son de la naturaleza descrita. Esta verdad me golpeó cual maei-gari en los dientes cuando mi primer libro fue publicado en los Estados Unidos. Mi editor me envió bastante material con métodos e ideas para mantener una presencia online con la que darme publicidad. En esencia, era un conjunto de directrices sobre cómo mantener contentos a los fans y generar contenido para tenerles entretenidos, pero faltaba el elemento clave: ¿Cómo generas a los suficientes fans en primer lugar? Cuando las cifras de ventas hicieron evidente que el plan promocional no estaba funcionando muy bien, tanto la gente de Route 11 como varios amigos insistieron en que ampliase mi presencia online, esto es, que hiciese algo que estaba claro que no estaba funcionando, pero con más intensidad. Ni qué decir tiene que los resultados resultaron francamente desastrosos.

En resumen, las redes sociales son poderosas herramientas, pero no se puede pretender usarlas como algo para lo que no funcionan bien y esperar tener éxito alguno. Son medios útiles con los que mantener activos a tus seguidores para que difundan tu publicidad, pero no van a generar por sí mismas seguidores para ti. Es muy importante tener esto presente para que tu producto no se estrelle debido a que el mundo te ha convencido de que las redes sociales son lo único que necesitas para venderlo.

Rubén LlorenteAcerca del autor: Rubén Llorente

Soy escritor, ingeniero y técnico informático.
Dirección de Bitmessage:
BM-2cW2L2JrWiGJdQttk2cTUeq9yYeaiBTyb1
Clave OpenPGP:
BB5A C2A2 2CAD ACB7 D50D C081 1DB9 6FC4 5AB7 92FA

 

[td_block_11 custom_title=”Rubén Llorente” header_text_color=”#ffffff” header_color=”#ada700″ post_ids=”-8713″ category_id=”76″ limit=”4″][td_block_ad_box spot_id=”sidebar”]

Mirai se cobra una nueva víctima

El pasado 21 de octubre, Internet se estremeció a lo largo y ancho del mundo cuando un grupo no identificado de crackers lanzó un ataque indiscriminado contra una de las infraestructuras críticas que sostienen la red moderna. Este ataque ha afectado a millones de usuarios, y las pérdidas económicas generadas por el mismo aún están por calcularse. El objetivo de este ataque fue nada más y nada menos que el sistema DNS del gigante de las telecomunicaciones Dyn.

Cuando un usuario de Internet quiere acceder a un servicio en Internet, como por ejemplo una página web, su ordenador debe ser capaz primero de encontrar dicho servicio. Los servidores que alojan dichos servicios están identificados por una dirección IP, que viene a ser una suerte de número telefónico para ordenadores. Estos números no son aptos para ser
memorizados y empleados directamente por seres humanos. En su lugar, los usuarios emplean nombres de dominios más fáciles de memorizar, como “example.com”. Cuando un internauta quiere visitar example.com, su navegador web acude a unas páginas amarillas para computadores y les pregunta cuál es la dirección IP de esa página. Estas páginas amarillas son los servidores DNS de compañías de telecomunicaciones y otros organismos.

Cuando un usuario no puede acceder a ningún servidor DNS por el motivo que sea, será incapaz de acceder a ninguna página web. Su ordenador sencíllamente no podrá preguntarle a nadie cuál es la dirección IP de las páginas a las que el internauta desea acceder, y por tanto no podrá establecer una conexión.

La relación entre servidores DNS es compleja. Habitualmente, cuando un navegador web le pregunta a un servidor DNS por la dirección IP de una página, la respuesta será “No lo sé, pero ése servidor DNS de allí lo sabe”. En otras palabras, los DNS no tienen un registro completo de todos los dominios de Internet, pero si te conectas a un DNS que no tiene registros muy completos, éste aún puede ayudarte a encontrar lo que buscas. Desgraciadamente, si el servidor DNS de tu compañía de teléfono te dice que el que sabe dónde encontrar lo que buscas es un servidor de Dyn, y el servidor de Dyn está muerto, tu búsqueda ha resultado en un fracaso.

El golpe contra los equipos de Dyn ha sido efectuado por agentes desconocidos y por motivos desconocidos. Consistió en un ataque distribuido de denegación de servicio, en el que un ente malicioso realiza miles de conexiones concurrentes hacia un sistema con la esperanza de sobrecargarlo. Dyn ha confirmado que una red botnet Mirai, de la que he tratado previamente en este diario, ha sido la fuente primaria del tráfico hostil que han recibido. El ataque se realizó en tres oleadas, causando un aumento de entre el 4000% y el 5000% de la carga de red del servicio.

“Aunque no es extraño que el Centro de Operaciones de Redes de Dyn tenga que hacer frente a ataques de denegación de servicio distribuidos, pronto nos quedó claro que este ataque era diferente,” ha declarado Kyle York, oficial estratégico de la organización. “Podemos confirmar, con la ayuda del análisis de Flashpoint y Akamai, que una fuente del tráfico fueron dispositivos infectados por la botnet Mirai. Observamos que decenas de millones de direcciones IP asociadas a Mirai estaban involucradas en el ataque”.

De acuerdo a los representantes de Dyn, los usuarios más damnificados por los ataques fueron los estadounidenses de la costa Este, que perdieron durante el ataque la posibilidad de acceder a muchos servicios de Internet, incluyendo algunas de las páginas más emblemáticas.

Rubén LlorenteAcerca del autor: Rubén Llorente

Soy escritor, ingeniero y técnico informático.
Dirección de Bitmessage:
BM-2cW2L2JrWiGJdQttk2cTUeq9yYeaiBTyb1
Clave OpenPGP:
BB5A C2A2 2CAD ACB7 D50D C081 1DB9 6FC4 5AB7 92FA

 

[td_block_11 custom_title=”Rubén Llorente” header_text_color=”#ffffff” header_color=”#ada700″ post_ids=”-8553″ category_id=”76″ limit=”3″][td_block_ad_box spot_id=”sidebar”]