USB Flash drives (IMAGE: EDans)Durante aproximadamente unos quince años han formado una parte prácticamente constante de nuestro escenario tecnológico. Los discos USB o flash drives fueron inventados en IBM en el año 1998 como una alternativa a los diskettes para los míticos portátiles ThinkPad: IBM publicó un disclosure al respecto el mismo año 1998, pero no patentó el invento, y contrató para su diseño y fabricación no exclusiva a la empresa israelí M-Systems, que sí registró la correspondiente patente, y algunas más en torno a ello.

Los primeros discos USB fueron fabricados con el nombre Disgo, en capacidades de 8MB, 16MB, 32MB y 64MB. Al ser un producto de diseño y fabricación muy simple, fue rápidamente copiado por fabricantes asiáticos, que empezaron a vender productos similares a precios cada vez menores. En muy poco tiempo, se popularizaron tanto que pasaron a ser un soporte habitual para merchandising, una forma de distribuir documentos y presentaciones en eventos, o un objeto que muchos llevábamos prácticamente siempre en algún bolsillo o maletín. En el IE, el primer disco USB lo llevé yo en un bolsillo en el año 2002, y tras comprobar que en aquella época, los conectores USB de las clases estaban deshabilitados por seguridad, lo llevé al departamento de soporte para que lo evaluasen, donde tomaron la decisión de habilitarlos en cuestión de pocas horas. En muy poco tiempo, se habían convertido en ubicuos: el objeto en el que la inmensa mayoría de los profesores y alumnos llevaban sus documentos y presentaciones… y el más frecuentemente olvidado en los ordenadores de las clases. En la foto, una pequeña porción de mi colección de discos USB: cada vez que llega uno a casa, lo metemos en una caja, en la que creo que debe haber tanto almacenamiento, que si los conectásemos todos, podríamos montar un pequeño datacenter :-)

En muchos sentidos, la popularización del uso del disco USB en el IE fue, realmente y visto en retrospectiva, un paso atrás: en aquella época, la infraestructura tecnológica de la casa ya ofrecía a todos los profesores un directorio accesible fácilmente desde cualquier sitio en el que almacenar sus documentos y presentaciones, que cumplía perfectamente la misma función de una manera sensiblemente más segura y sin inconvenientes dignos de mención. Sin embargo, la comodidad percibida del disco USB, su ubicuidad y su bajo coste determinó una adopción rapidísima, sin que necesariamente fuese la mejor opción o la más segura.

Ahora, la misma compañía que los inventó, IBM, acaba de prohibir su uso a sus empleados, generalizando y oficializando una política que muchos departamentos habían adoptado ya hace algún tiempo. Las razones son evidentes: los sistemas de almacenamiento portátiles suponen un riesgo de seguridad importante y muy poco controlado. La “promiscuidad” de esos aparatitos, que van por todas partes enchufándose en cualquier puerto sin precauciones, puede acarrear desde la transmisión de virus o programas maliciosos, hasta su simple pérdida, con riesgo de difusión involuntaria de documentación corporativa potencialmente sensible. Cuando alguien encuentra un disco USB, lo habitual es que lo enchufe para comprobar su contenido (sea para borrarlo y quedárselo, o para intentar proceder a su devolución), y aunque su contenido puede protegerse con contraseñas o cifrado, la realidad es que muy poca gente lo hace.

El sustituto natural de los discos USB es, lógicamente, una nube cada vez más ubicua. Cuando comenzamos a utilizar este tipo de almacenamiento, la alternativa de conectarnos a la nube era, como mínimo, comprometida: ni el ancho de banda disponible era el que es ahora, ni teníamos, en muchos casos, garantía de tener conexión cuando la necesitásemos. Hoy, en la mayoría de los casos, esos problemas están razonablemente solucionados, lo que convierte a los aún ubicuos discos USB en una solución obsoleta, que ofrece más potenciales inconvenientes que ventajas, y que en muchos casos, como en el de la última generación de portátiles Apple, que únicamente equipa conectores USB-C, obliga a utilizar un adaptador. En no mucho tiempo, veremos los discos USB como hoy vemos un diskette, un dispositivo del pasado que únicamente nos evoca una cierta ternura y al que recurrimos únicamente en caso de necesidad. Si aún los utilizas habitualmente, vete pensando en el servicio en la nube con el que podrás sustituirlos, o en alguna otra alternativa más razonable y más acorde a los tiempos.

 

Twitter password bugTwitter se destapó ayer, en pleno World Password Day, con un tweet, un mensaje de correo electrónico y una entrada en el blog corporativo de su CTO, Parag Agrawal, para recomendar a sus 330 millones de usuarios que cambiasen la contraseña que utilizan en el servicio, contraseña que, además, preferentemente, deberían abstenerse de utilizar en ningún otro sitio. La razón es un bug – un error de programación bastante impresentable, todo hay que decirlo – que, en el proceso de gestión de las contraseñas de los usuarios, que debe llevarse a cabo en todo momento con ellas completamente cifradas y no deberían poder ser vistas por nadie en la compañía, generaba inadvertidamente un listado con una copia de las contraseñas sin cifrar de cada usuario en un fichero de texto plano.

Según la compañía, nada indica que ese fichero haya podido ser accedido o copiado por nadie, pero dado que su mera existencia supone una violación flagrante de las prácticas de seguridad y podrían hipotéticamente haber sido vistas por alguien, la recomendación es cambiar la contraseña afectada y no utilizarla en ningún otro sitio.

Los comentarios al error de Twitter permiten hacerse una idea del desastroso estado de la seguridad para la mayoría de los usuarios: lo primero que hay que explicar, por supuesto, es la práctica habitual de la industria, sin entrar ya en el tan manido tema de cómo debería ser una contraseña segura porque, en realidad, hoy en día, la única contraseña segura es la que no sabes ni has sabido nunca ni tú mismo. En efecto, una contraseña de un usuario en un servicio determinado no debe ser vista nunca por absolutamente nadie en la compañía que proporciona ese servicio. Funciones de hashing como la utilizada en Twitter, bcrypt, se utilizan precisamente para que esto sea así en todo momento: un fichero con nombres de usuario y sus contraseñas en texto legible no debería existir nunca ni estar al alcance de absolutamente nadie en ningún momento.

Pero más allá de esta precaución, que ni el que opera el servicio tenga acceso a tu contraseña, deberías, en realidad, ir un paso más allá. Deberías olvidar todas tus contraseñas. Jamás hagas caso de consejos ignorantes e irresponsables como el que dio Nutella que afirman que deberías utilizar como contraseña “una palabra que ya esté en tu corazón”. No, en absoluto: lo que debes hacer es precisamente lo contrario, utilizar una palabra que no sea tal, que no sea memorizable ni por un espía especialmente entrenado para ello, que no exista, y que no conozcas. Olvídate de todo lo que sabías sobre supuestos protocolos de creación de contraseñas, y cámbialas todas, una por una, por las que te proponga un buen gestor de contraseñas. Yo sigo utilizando LastPass con un muy razonable nivel de satisfacción, pero hay otros, como 1PasswordNoMorePass y otros, y su uso no puede ser más sencillo. Hace falta algo de disciplina, por supuesto, pero tiene todo el sentido del mundo: a mí no me podrían sacar una contraseña ni torturándome con cigarrillos encendidos… sencillamente, porque ni las sé, ni las quiero saber. Todas mis contraseñas son secuencias ininteligibles de muchos caracteres que mezclan letras en mayúsculas y minúsculas, números y signos, y que no podría ni en el mejor de mis sueños aspirar a memorizar. Y no solo porque no sea seguro hacerlo, sino porque, además, tengo muchas cosas mejores en las que emplear mi memoria. Sí, LastPass ha sido hackeado en varias ocasiones porque, lógicamente, es un gran objetivo para cualquiera que quiera presumir de haber hackeado algo, pero no pasa nada: quien accede a un sistema así se lleva supuestamente un listado de contraseñas de todos tus sitios… pero, como debe ser, están perfectamente cifradas, de manera que, cuando ocurre, no tienes ni que cambiarlas. Y todavía si hubiese algún problema, tiene 2FA, autenticación mediante doble factor, algo que también deberías estar utilizando en aquellos servicios que sean verdaderamente importantes. 

El caso de la última alarma de Twitter tienes que verlo tan solo como un amable recordatorio de lo que tendrías que estar haciendo y posiblemente no hagas en términos de seguridad con tus contraseñas. No es paranoia: es pura y simplemente sentido común.  Si eres aún de los que sigue utilizando esas contraseñas mnemotécnicas, esas reglas peregrinas de sustitución o esas palabras “que están en tu corazón”… vete pensando en dejar de hacerlo, porque eres una receta para el desastre. Si en tu compañía tienes usuarios así, haz algo al respecto, porque pasa exactamente lo mismo: son una potencial fuente de problemas de seguridad que pueden llegar a salirte bastante caros. Ese idiota que pone como contraseña la palabra “contraseña”, “123456” y basuras similares, o que la apunta en un post-it en la pantalla ya no es simplemente un ignorante, es un verdadero peligro para tu negocio. Con esas prácticas, ya no se trata de si vas a tener algún problema, sino de cuándo vas a tenerlo. No sigas utilizando internet como si estuvieras en los ’90, por dios.

 

IMAGE: Tech.eu (CC BY)El cofundador de WhatsApp, Jan Koum, anuncia su salida de Facebook, la compañía que le convirtió en multimillonario y en cuyo consejo de administración ocupaba un puesto desde febrero de 2014, por desavenencias con la gestión de los datos personales y la privacidad que lleva a cabo la compañía. Según algunos analistas, esto podría suponer la llegada de la publicidad a la app de mensajería instantánea, una decisión a la que el ucraniano se oponía de manera radical desde aquel mítico memorándum recibido de su cofundador, Brian Acton.

La salida de Koum sigue precisamente a la del otro cofundador de la aplicación, que tuvo lugar en septiembre del pasado 2017. Tras su despedida, Acton aportó fondos para la constitución de la Signal Foundation, a la que se incorporó. Además, se convirtió en un acérrimo crítico de la compañía que le había dado de comer los tres años anteriores y que le había convertido en multimillonario, y ha contribuido a difundir y promover el hashtag #deletefacebook como resultado del escándalo de Cambridge Analytica.

Aunque la razón oficial de la salida de Jan Koum, según su nota en Facebook, es la de “tomarse algún tiempo libre para hacer cosas que disfruta más allá de la tecnología“, fuentes de la compañía afirman que la razón real son las crecientes disputas con respecto a la gestión de la privacidad y la información de los usuarios. La dialéctica personal de Koum siempre ha sido afirmar que el hecho de crecer en la Unión Soviética en la década de los ’80, donde la vigilancia era un hecho normal de la vida cotidiana, le había hecho darse cuenta de la importancia de la privacidad: una “historia bonita”, pero que no coincide en absoluto con el hecho de que algo así le llevase a montar una aplicación de mensajería instantánea que era, antes de la adquisición por parte de Facebook, un auténtico desastre en términos de privacidad, una aplicación que obtuvo su popularidad y crecimiento precisamente del hecho de ignorar todas las prácticas habituales de seguridad en su industria.

Antes de la adquisición, los ingenieros de WhatsApp, que presumiblemente eran buenos gestionando su backend para mantener la aplicación funcionando, habían probado ser completamente incapaces de poner en marcha un sistema de cifrado con mínimas garantías y tenían un desastroso historial de prácticas de seguridad y privacidad: ese desastre era lo que ese Koum tan supuestamente concienciado sobre su importancia había construido. La llegada de una seguridad decente a WhatsApp no se produjo hasta bastante tiempo después, ya como parte del imperio Facebook y disfrutando de todas las comodidades y dispendios que ello posibilitaba, cuando la compañía, en noviembre de 2014, recibió la ayuda del mítico Moxie Marlinspike para incorporar a la aplicación el protocolo de Signal. Antes de eso, toda la supuesta seguridad de WhatsApp era, sencillamente, una basura, un desastre, por mucho que dijese Jan Koum y sus supuestos principios al respecto. 

Que alguien con un pasado tan poco edificante como Jan Koum, que durante años ofreció una aplicación desastrosa y completamente irresponsable en términos de seguridad, abandone Facebook en un supuesto ataque de dignidad por su preocupación sobre la gestión de la privacidad y los datos personales de sus usuarios tiene, en realidad, tanto valor como que el Capitán Renault se sorprenda de que haya juego en el café de Rick en Casablanca. Lo único que podemos decir de la historia personal de Koum es que fundó una compañía basada en la ausencia total de seguridad y privacidad, que jamás podría haber llegado a ningún sitio si no hubiese sido adquirida por un tercero porque carecía de perspectiva alguna de rentabilidad, y que ahora, convertido en multimillonario, se dedica a ir de digno afirmando que no le gustan las prácticas de la compañía que le permitió convertirse en lo que es y apareciendo como el gran adalid que, con su presencia, impedía la llegada de la publicidad a WhatsApp. No, no es una cuestión de principios: es un simple “toma el dinero y corre”.

Si alguien busca héroes o militantes para la causa de la seguridad y de la privacidad en la salida de Jan Koum de Facebook, mejor que los vaya buscando en otros sitios.

 

Signature credit cardLas cuatro compañías más importantes emisoras de tarjetas de crédito en los Estados Unidos, American Express, Discover, Mastercard y Visa, se unen para anunciar que dejarán de solicitar a los establecimientos de su red que recojan la firma de los clientes en el momento de la transacción. Un gesto, el de firmar, cada vez menos utilizado y con un valor prácticamente nulo como elemento de seguridad: las posibilidades de un empleado de una tienda de comprobar la integridad o veracidad de una firma con unas mínimas garantías han sido siempre mínimas, y abundan los ejemplos de personas que firman con cualquier tipo de garabato o incluso con dibujos absurdos, y no tienen ningún problema a la hora de procesar su pago. 

Con el tiempo y la evolución de los medios de pago, la necesidad de la firma se ha visto eclipsada por el uso de elementos algo más seguros, como el número de identificación personal o la inclusión de elementos de biometría, como la huella dactilar o la cara en el caso de pagos mediante smartphone. El uso de un elemento como un bolígrafo con el que se estampa un garabato sobre un papel es cada vez más anacrónico, y empieza a no ser utilizado ni siquiera en el momento de la firma de un contrato para, por ejemplo, abrir una cuenta bancaria, sustituido por otros elementos como un selfie o la captura con la cámara de un documento de identificación.

Junto con la firma, otro elemento de seguridad cada vez más claramente destinado a la extinción es el uso de la contraseña: el uso cada vez más extendido de gestores de contraseñas lleva a que los usuarios comiencen a abandonar malas prácticas como el utilizar contraseñas fáciles de recordar o la misma contraseña para todo, escogiendo en su lugar contraseñas imposibles y aleatorias que no conocen, pero que son recuperadas en el momento de acceder a cada servicio por servicios como LastPass1PasswordNoMorePass o similares. Pero más allá de mejorar los sistemas basados en el uso de una contraseña, estos también están siendo cada vez más sustituidos por elementos biométricos tomados en el momento en que son requeridos de cualquiera de los dispositivos que un usuario maneja. Por la mañana, me levanto, me pongo el smartwatch, y este se desbloquea sin necesidad de introducir su contraseña de acceso cuando tomo el smartphone y lo desbloqueo apuntando a mi cara. Cuando abro mi ordenador portátil, ocurre lo mismo: en una curiosa secuencia, se desbloquea mediante la presencia de mi smartwatch en mi muñeca y desbloqueado, aunque mantengo la posibilidad de desbloquearlo igualmente mediante mi huella dactilar en su sensor o mediante una contraseña, que obviamente he dejado de utilizar salvo cuando lo reinicio o para algunas escasas operaciones que aún la requieren. Cuando desde el ordenador compartido de alguna clase hago login en muchas de mis cuentas, ese login únicamente se completa cuando lo confirmo en alguno de los dispositivos que llevo conmigo, proporcionándome un nivel adicional de seguridad basada en factores múltiples. Pronto, un nuevo estándar de seguridad propuesto por W3C, WebAuthn y aceptado ya por Google, Microsoft y Mozilla, se encargará de coordinar las formas en las que las personas acceden a servicios en la web y se incorporará a prácticamente todos los navegadores significativos.

No más firmas, relegadas ya al más trasnochado de los absurdos, y a la espera de ser también pronto desacralizadas por servicios aún tan necesarios en la sociedad como los notarios, las firmas de contratos y actas, o por procesos tan habituales y absurdamente redundantes como el de hacer checkin en un hotel. Asimismo, no más contraseñas, convertidas en incómodas pruebas de memoria o en cada vez más momentos de inseguridad, incomodidad y de uso habitual del botón “olvidé mi contraseña”. Elementos de seguridad que hasta hace pocos años eran exclusivos de sistemas de elevada sofisticación, convertidos en habituales gracias a la incorporación de cada vez más elementos de sensorización y captura de huella dactilar o de otros parámetros biométricos en dispositivos cada vez más ubicuos. Si aún tienes que firmar con frecuencia o que introducir contraseñas de manera habitual, o si esos elementos están aún integrados en los procesos de negocio de tu compañía, plantéate que es posible que debas repensar esos procesos para darle un impulso a tus prácticas de seguridad.

 

CloudDentro de mi colaboración con el blog corporativo de Sage, me pidieron un artículo hablando sobre las ventajas del cloud computing y la propuesta de valor de la nube en general orientado al mundo de las pequeñas y medianas empresas, artículo que publicaron ayer bajo el título “Replanteando flujos de trabajo: las pymes, la nube y la evolución de la computación” (pdf).

Básicamente, es un intento de actualizar lo que sabemos sobre el cloud computing visto de una manera histórica, desde que, hace ya bastantes años, la combinación de herramientas cada vez más adecuadas, un ancho de banda en crecimiento y una cobertura de conectividad c ada vez más ubicua nos empezaron a llevar hacia la lógica que hoy ya prácticamente todos conocemos: que el lugar ideal para los datos ya nunca es un ordenador ni ningún dispositivo en manos del usuario, sino un servidor remoto perteneciente a una compañía especializada y que nos brinda una calidad de servicio pactada. Nada que no sea perfectamente sabido y asumido por el visitante habitual de esta página, pero que he podido comprobar en numerosas ocasiones que no lo es tanto a nivel de PYMES.

Como en tantos otros temas, la PYME suele ser relativamente conservadora y renuente al cambio, lo que conlleva, en muchos casos, que bien por ignorancia, por conservadurismo o por temores infundados pierda las muchas ventajas que supone el trabajo en la nube. En el artículo, menciono concretamente la evolución de las metodologías de trabajo gracias a las herramientas en la nube, y las ventajas que puede traer consigo su adopción, tales como una mayor seguridad – no importa cómo de seria sea una PYME con sus prácticas de seguridad, un buen proveedor de herramientas en la nube siempre las superará por principio, debido a su nivel de especialización, por mucho que obviamente pueda haber, como en todo negocio, proveedores buenos, malos o regulares, – así como mayor flexibilidad y comodidad, al tiempo que posibilitan la llegada de usos más sofisticados, como la posibilidad de aplicación de técnicas de machine learning mediante herramientas de Machine Learning as a Service (MLaaS).

Hace ya casi catorce años que trasladé la mayor parte de mis metodologías de trabajo de mi actividad empresarial a la nube, aprovechando un artículo que escribí para una revista que me lo planteaba como desafío. Sin embargo, muchas compañías, particularmente PYMES, parecen seguir considerando que un ordenador es una máquina para almacenar archivos, algo que, prácticamente sin excepción corresponde, en nuestros días, a una idea ampliamente errónea. La evolución de la tecnología ha sido similar a la de muchas otras compañías: especialización y desarrollo de una oferta de servicios que lleva a que, si pretendemos utilizar los nuestros en lugar de los creados por esos competidores, implique prácticamente siempre que trabajemos de manera subóptima, tanto en términos de coste como de prestaciones o de nivel de servicio. Mientras las PYMES no sean conscientes de este tipo de ideas, no habrán dado el paso a la edad moderna de la tecnología, con todo lo que ello conlleva para una parte fundamental del tejido productivo y de la economía.