IMAGE: Mipan - 123RFUn falso ataque de phishing con un correo sobre contraseñas expiradas realizado como parte de una auditoría de seguridad entre los usuarios de la red de ordenadores del gobierno estatal de Michigan entrega un resultado alarmante: uno de cada tres empleados abrieron el correo, una cuarta parte hizo además clic en el enlace suministrado, y casi una quinta parte introdujo usuario y contraseña en la página resultante. Las cifras no resultan extrañas, y seguramente lo sabes: es perfectamente posible que si un ataque similar fuese llevado a cabo en tu organización, obtuviese resultados similares o incluso más elevados. De hecho, una métrica así podría ser un indicador muy razonable del nivel de cultura digital en una compañía. En la mía, una persona del departamento de Seguridad se encarga, metódicamente, de mantenernos actualizados compartiendo constantemente a través de la red corporativa ejemplos de phishing y posibles problemas de seguridad, en un intento de mantener una presencia permanente, crear un repositorio de referencia y generar una conciencia sobre la importancia de la seguridad.

El phishing es una técnica para obtener información sensible de usuarios simulando ser una entidad confiable en una comunicación electrónica. Sus orígenes se remontan a los años ’80, aunque el término como tal no se acuñó hasta mediados de los ’90 cuando comenzaron este tipo de actividades, fundamentalmente dentro de AOL. El primer ataque contra un sistema de pagos como tal tuvo lugar en junio de 2001: a lo largo del tiempo, el sistema se ha sofisticado notablemente y en muchas ocasiones llega a técnicas de ingeniería social y de personalización verdaderamente brillantes, y se estima que en la actualidad, los ataques de tipo spear phishing, esquemas personalizados diseñados contra individuos o compañías concretas son responsables de alrededor de un 91% de los ataques en la red. El ataque utilizado como prueba en la auditoría de Michigan, sin embargo, como la gran mayoría de los que suelen llevarse a cabo en este tipo de operaciones, era completamente trivial, similar en su operativa a los que se llevaban a cabo hace más de dos décadas.

¿Qué lleva a que un ataque de phishing relativamente trivial y conocido por cualquiera que utilice habitualmente internet o el correo electrónico, siga teniendo el nivel de éxito que tiene? La respuesta es muy sencilla: por más esfuerzos que hacen los departamentos de sistemas en las compañías, una gran parte de sus trabajadores y, por extensión, un porcentaje importante de la sociedad sigue estando compuesta por auténticos analfabetos digitales, por personas incapaces de reconocer un ataque de phishing aunque siga los patrones más obvios. En el caso de las compañías puede ser incluso peor: personas que, aunque puedan sospechar de un posible ataque, deciden hacer clic porque piensan que, al tratarse de su compañía, la seguridad es “cosa de otros”. O ya rizando el rizo de la irresponsabilidad… que simplemente “les da igual”, “no es su problema”.

El phishing y la seguridad, en realidad, son simplemente síntomas de un problema mucho más grave: la carencia de alfabetización digital. En muchos casos, estamos hablando de transformar digitalmente compañías cuando la dura realidad es que muchos de sus directivos y trabajadores están aún en la más dura Edad de Piedra en lo que a cultura digital se refiere. Y no solo lo están, sino que además, les trae completamente sin cuidado: desprecian lo digital, les parece “cosa de frikis” o justifican sin despeinarse su ignorancia con una simple frase del tipo “yo es que de esto de las nuevas tecnologías sé poco”. ¡¡Pero vamos a ver, alma cándida: si de “las nuevas tecnologías” (que provienen en muchos casos de hace más de dos o tres décadas) sabes poco, es muy posible que simplemente, a día de hoy, no estés a la altura para trabajar en una empresa seria!! Por alguna razón, muchos consideran que “las nuevas tecnologías” no son parte de su trabajo, son algo que aparece ahí mágicamente para que puedan llevarlo a cabo, pero que no son cosa suya, que son responsabilidades que recaen en un tercero. En general, al que hace clic en aquel correo que no debería haber abierto jamás y, para más gracia, entra en una página y facilita su usuario y contraseña como si fuese lo más normal, tendemos a mirarlo con comprensión, con cierta sensación de “le podría pasar a cualquiera”. Pues no, lo siento… no debería pasarle a cualquiera. O al menos, no a cualquiera con un mínimo de cultura digital y dos dedos de frente. No estoy diciendo que si todo el mundo tuviese ese mínimo de cultura digital, este tipo de ataques no existirían: como ya he dicho anteriormente, los hay muy sofisticados, muy personalizados y muy bien calculados, en ocasiones con diseños que, desde el punto de vista técnico o social, resultan auténticos derroches de ingenio. Cualquiera podría caer fácilmente en uno de esos: la seguridad total no existe, ni para los más formados y actualizados. Pero obviamente, ese tipo de ataques no son lo más habitual.

Para plantearse un proceso de transformación digital en una compañía, la cultura digital de sus trabajadores y directivos tiene que alcanzar un mínimo determinado, o estarás intentando construir rascacielos sin tener la cimentación adecuada. Tendrás que esforzarte por atraer y retener talento con el nivel de cultura digital necesario. Tendrás que poner las cosas muy claras: que quien diga (o sienta) eso de “yo es que de las nuevas tecnologías no sé nada”, no tiene sitio en tu compañía, en una compañía que pretende digitalizarse de arriba a abajo. Y no, no es esa persona sea necesariamente idiota: no tiene por qué ser un torpe, es posible que haya cosas de su trabajo que haga fenomenalmente bien, puede incluso que tenga un gran valor para la organización… pero no se ha preocupado de estar mínimamente actualizado, de prepararse para el entorno que le rodea. Y con esa actitud, cuando el entorno se mueve a la velocidad que se mueve, ya no se va a ninguna parte. En un mundo digital, la alfabetización digital ya ha alcanzado el nivel de cualificación necesario e imprescindible para llevar a cabo la mayoría de las tareas con un mínimo de responsabilidad: que un trabajador carezca de esa cultura no solo revela un problema en su compañía, sino que revela un problema de actitud, de concienciación en el trabajador. Cuando esa carencia tiene lugar en un directivo, cuanto más alto sea su nivel, más grave y patético resulta. La política es ya el extremo: para poder encargarse de algo tan importante como la toma de decisiones y la gestión de información que nos afecta a todos, tener un mínimo de cultura y formación digital debería ser un requisito imprescindible, que o bien tienes ya razonablemente desarrollado cuando recibes la confianza de los votantes, o tendrías que recibir obligatoriamente como formación cuando accedes al cargo, antes de comenzar a desempeñar tus responsabilidades. Tener políticos digitalmente alfabetizados eliminaría una parte de los absurdos problemas que tenemos actualmente cuando los vemos tomar decisiones en temas en los que evidencian una absoluta ignorancia.

¿Podemos dejar de considerar la falta de cultura y alfabetización digital como algo disculpable, como un detalle anecdótico, en lugar de calificarlo y considerarlo como lo que es, como un auténtico must-have de cara a la transformación digital?

 

Facebook mueve sus empleados a Office 365 de Denken Über

Siempre digo que Office 365 es un caso de reinvención y el hecho de que Facebook decida mover sus 13.000 empleados a esta plataforma es una muestra de eso…

Más interesante aún es el hecho de que Facebook tiene sus productos que compiten con algunos de los productos de Microsoft y además sigue desarrollando su propia herramienta de comunicación en el trabajo que compite con otras plataformas del mercado (ie: Slack y otras).

De hecho Facebook @ Work compite directamente con Skype for Business y Yammer, y un poco más light con el email (esa pequeña pieza de tecnología que todos dicen que está muerta pero sigue siendo clave en la comunicación) y aunque en el comunicado oficial se resalte la importancia de Excel la realidad es que email + calendario fue clave en la elección.

Muchos dirán que la única otra plataforma capaz de hacerle frente a Office 365 es Google Apps y que, como Facebook es competencia directa de Google no van a contratar al “enemigo” pero la realidad es que pasan los años y las herramientas de hojas de cálculo y procesador de texto de Google son aún peores que las de Apple (Keynote sigue siendo genial).

Pero lo clave es Office Delve (y el Microsoft Graph) que me encantaría saber como se puede apalancar en la data interna de los empleados de Facebook que ya tienen un grafo interno de conocimiento… y quizás la suma de ambos sea otro caso de estudio interesante para herramientas corporativas

WhatsApp logoWhatsApp anuncia la eliminación del pago de 0.89 céntimos, un modelo que, en realidad, era más una forma de defender sus posibilidades de generación de ingresos (planteada para la época en la que la compañía buscaba desesperadamente comprador) que de obtenerlos realmente. En la práctica, únicamente en torno a un 3% de los usuarios han realizado el pago en cuestión en alguna ocasión: a la inmensa mayoría, o bien la app no les ha demandado nunca ese pago, o bien recibían una nueva promoción al cabo de pocos días que condonaba ese pago y les evitaba que dejasen de utilizarlo. Como tal, la compañía siempre privilegió el crecimiento sobre los ingresos, lo que eventualmente fue lo que le llevó a convertirse en un objetivo atractivo de adquisición.

Casi dos años después de la adquisición de Facebook, Jan Koum, en una conferencia en el DLD de Munich, anuncia la eliminación de este pago que en realidad prácticamente no existía, y anuncia sus intenciones de competir en el mercado corporativo con una herramienta de pago. El plan responde a las escasísimas posibilidades que Facebook tiene de obtener algún tipo de ingreso de una herramienta que poseen y utilizan activamente casi mil millones de usuarios, pero que en su momento hizo una solemne promesa que decía “no ads, no games, no gimmicks”, es decir, que iba a ser mensajería y nada más que mensajería, sin anuncios, ni juegos ni chorradas de ningún tipo que distrajesen de su función principal.

En realidad, Jan Koum no había cuadrado ningún círculo, ni había encontrado el secreto de cómo ganar dinero sin molestar a nadie: simplemente, había apalancado su crecimiento para obtener una transacción ventajosa y trasladar el problema a un tercero. La idea de atacar el mercado corporativo no es en absoluto original: en la práctica, muchas compañías hoy en día son tan irresponsables e inconscientes como para estar ya utilizando WhatsApp de manera informal en su comunicación corporativa, a pesar de que los estándares de seguridad y cifrado de la aplicación son un auténtico desastre y la privacidad que ofrece es similar a la que da discutir asuntos corporativos a gritos en medio de la calle. Ahora, las pretensiones de la compañía son las de adentrarse en un mercado que aparece ya significativamente copado por ofertas de todo tipo, desde el Yammer de Microsoft – con la garantía de venir de quien seguramente ya ofrece muchos de los elementos que las compañías utilizan en sus arquitecturas de sistemas de información – a otras posibilidades como Cotap, Zula e infinidad de proveedores más.

Para una compañía que pretenda adoptar una actitud mínimamente responsable, WhatsApp no solo proviene de un historial desastroso en términos de seguridad, sino que además ahora pertenece a Facebook, que durante muchos años – afortunadamente ya no tanto – fue considerada una amenaza a la productividad que muchos bloqueaban en sus proxies corporativos. Incluso el punto fundamental que apoya la eventual elección de WhatsApp, la masa crítica y la velocidad de adopción, es poco válido en entornos corporativos, que generalmente pueden hacer que sus usuarios adopten una herramienta únicamente con convertirla en estándar, y que además, a día de hoy, no van a esperarse una resistencia en la adopción derivada de su complejidad, dado que la propia WhatsApp ha contribuido a universalizar los patrones de uso.

Puedo equivocarme, pero me extrañaría enormemente que WhatsApp consiguiese ganar un dinero significativo en un mercado corporativo en el que las decisiones de adopción se toman con un mínimo de criterio. La idea de que las empresas la usen para su comunicación interna parece poco recomendable, y la de que la empleen como mecanismo de comunicación con usuarios que sí utilizan WhatsApp parece, como mucho, un freemium que podría dotarse de analítica y de algunos servicios adiciones de valor añadido, pero que tampoco parece tener tanto recorrido como para pretender que rentabilice su adquisición. Para mí, simplemente un anuncio que trata de buscar razones que expliquen por qué Facebook se gastó nada menos que 23,000 millones de dólares en una adquisición cuando la inmensa mayoría de los usuarios que adquiría ya lo eran de Facebook, y las posibilidades de obtener ingresos eran prácticamente nulas. Sí, comprarla para que no se la lleve otro o porque simplemente estás viendo cómo tus usuarios se comunica por ahí en lugar de en tu herramienta puede ser, para quien ha visto hundirse y desaparecer a MySpace en cuestión de pocos meses, un escenario aterrador. ¿Pero tanto como para poner 23,000 millones encima de la mesa? La adquisición de Instagram por mil millones (que terminaron siendo algo más de 700 debido a la caída de valor de las acciones de Facebook en aquella época) tuvo mucho sentido: era una empresa sin modelo de negocio, a la que Facebook podía aportarle uno. Y de hecho, así ocurrió: hoy Instagram es una división sumamente rentable de Facebook, y muchos definen la operación como una de las mejor diseñadas en mucho tiempo. El caso de WhatsApp es completamente diferente: dos años después de la adquisición, la mayoría seguimos cuestionándola. Salvo el crecimiento, que efectivamente respondió a los patrones esperados, pocos elementos más permiten albergar alguna esperanza de que Facebook logre rentabilizar la operación. ¿Era tal vez simplemente el precio de llegar a evitar otros posibles escenarios?

 

123rf filtered???Ayer, mientras trataba de aprovechar un espacio entre clases para actualizar mi página, me encontré en mi navegador con el aviso que aparece en la ilustración. El sitio al que intentaba acceder, 123RF, es uno de los bancos de imágenes que utilizo habitualmente para ilustrar algunas de mis entradas, y es una página completamente justificable para un profesional de los contenidos o de la docencia. Pero ahí estaba… bloqueada por un filtro corporativo.

Las razones para el bloqueo aparecía perfectamente definida en la parte inferior de la página: “This site was categorized in: Adult Themes, Nudity, Pornography”. Por lo visto, alguien ha debido pensar que el hecho de que algunas de las imágenes existentes en todo un banco de imágenes muestren modelos desnudas es suficiente como para categorizar toda la página como pornográfica, y que eso podía, de alguna manera, interrumpir la concentración de sus empleados o hacer que se dedicasen a perder horas de trabajo contemplando imágenes de la galería (cubiertas, eso sí, con una marca de agua “tremendamente excitante”… como diría el torero, “hay gente pa’ tó“).

Pocas cosas me parecen más absurdas que utilizar el equivalente de un filtro parental en un entorno profesional. Una supuesta necesidad que los departamentos de tecnología habitualmente razonan con un “es que ni te imaginas para qué cosas utilizan los empleados la red”, mientras ilustran el caso con anécdotas convertidas en “historias de terror” en las que algunos empleados se habían dedicado a descargar películas aprovechando el ancho de banda corporativo, a ver pornografía durante su jornada laboral, o a acceder a páginas no relacionadas con su actividad profesional, en lugar de permanecer completamente concentrados en su trabajo durante las ocho horas que están obligados a mantener su culo sentado en el asiento.

Instalar una especie de “filtro parental” en un entorno profesional supone una actitud claramente paternalista, condescendiente y trasnochada. Tratar a tus empleados como si fuesen tus hijos pequeños, y tomar decisiones por ellos sobre los contenidos a los que pueden acceder y a los que no es, sencillamente, una actitud de empresa anclada en el pasado, un absurdo conceptual. Las personas que trabajan en una compañía son adultos a todos los efectos, y deben ser tratados como tales. Eso no implica, obviamente, renunciar a todo control: si alguien de manera reiterada utiliza el tiempo o los recursos corporativos para acceder a contenidos considerados inapropiados, o se pasa las horas escribiendo en Facebook en lugar de trabajar, recriminar su actitud resulta completamente razonable, como puede serlo el ponerle directamente de patitas en la calle si además esa actitud coincide con un rendimiento muy por debajo de sus objetivos. Que alguien utilice la red de la compañía para descargarse una película o para consumir pornografía de manera habitual en horas de trabajo no es simplemente un posible problema para la compañía por el hecho en sí, sino algo mucho peor: supone constatar que uno de sus empleados es un completo imbécil, y muy posiblemente no debería estar en ese puesto de trabajo. Si simplemente le ponemos un filtro contra el que estrella sus pretensiones, el problema aparentemente desaparece, pero no es así: el problema continúa, porque seguimos teniendo un empleado que sigue siendo un completo imbécil. Y trabajar con imbéciles no suele ser una buena idea.

Tampoco tiene sentido dedicar recursos corporativos a la vigilancia intensiva. Que una persona acceda alguna vez a algún recurso considerado “no adecuado” no quiere decir nada, y puede ser fruto de mil cuestiones perfectamente justificables. Espiar toda actividad en la red corporativa como si estuviésemos trabajando con una panda de delincuentes peligrosos o montar un “Tribunal de la Santa Inquisición” como si se tratase de adolescentes calenturientos supone una actitud paranoica y absurda, que no puede conducir a nada bueno. Una actitud que debería considerarse muy poco sana en un departamento de IT corporativo. Por otro lado, en el mundo en que vivimos, esos filtros son completamente ineficientes, salvo que a la compañía le dé por tratar de bloquearlo absolutamente todo y termine por convertir la experiencia de trabajo en algo absurdo. Habitualmente, basta con cambiar las DNS localmente en el ordenador a las DNS públicas de Google (8.8.8.8 y 8.8.4.4), o con agregar la dirección IP al archivo HOSTS para evitar el paso por OpenDNS. O simplemente, con acceder desde el smartphone. Quien quiera perder el tiempo en horas de trabajo con contenidos a los que se accede mediante una pantalla, lleva una en el bolsillo con un nivel de control corporativo bastante complicado, salvo que la compañía se quiera convertir en una especie de sucursal enfermiza de la NSA. 

Los filtros de contenido corporativos son, sencillamente, una mala idea que permanece ahí porque muy pocos se han planteado ponerse a reflexionar sobre su sentido. Resulta mucho más rentable y positivo implantar una política que se centre en tratar a las personas como los adultos que realmente son, y tratar de librarse de aquellos que no lo sean. Todo filtro, por aparentemente bueno que sea, termina en algún momento por filtrar de más y por generar problemas. Pero sobre todo, los filtros suponen una actitud absurda y fuera de lugar en una empresa moderna, un paternalismo injustificable que suele ser síntoma de otros problemas de gestión más profundos. Los trabajadores, en general, funcionan mucho mejor cuando se les trata como adultos.

 

123rf filtered???Ayer, mientras trataba de aprovechar un espacio entre clases para actualizar mi página, me encontré en mi navegador con el aviso que aparece en la ilustración. El sitio al que intentaba acceder, 123RF, es uno de los bancos de imágenes que utilizo habitualmente para ilustrar algunas de mis entradas, y es una página completamente justificable para un profesional de los contenidos o de la docencia. Pero ahí estaba… bloqueada por un filtro corporativo.

Las razones para el bloqueo aparecía perfectamente definida en la parte inferior de la página: “This site was categorized in: Adult Themes, Nudity, Pornography”. Por lo visto, alguien ha debido pensar que el hecho de que algunas de las imágenes existentes en todo un banco de imágenes muestren modelos desnudas es suficiente como para categorizar toda la página como pornográfica, y que eso podía, de alguna manera, interrumpir la concentración de sus empleados o hacer que se dedicasen a perder horas de trabajo contemplando imágenes de la galería (cubiertas, eso sí, con una marca de agua “tremendamente excitante”… como diría el torero, “hay gente pa’ tó“).

Pocas cosas me parecen más absurdas que utilizar el equivalente de un filtro parental en un entorno profesional. Una supuesta necesidad que los departamentos de tecnología habitualmente razonan con un “es que ni te imaginas para qué cosas utilizan los empleados la red”, mientras ilustran el caso con anécdotas convertidas en “historias de terror” en las que algunos empleados se habían dedicado a descargar películas aprovechando el ancho de banda corporativo, a ver pornografía durante su jornada laboral, o a acceder a páginas no relacionadas con su actividad profesional, en lugar de permanecer completamente concentrados en su trabajo durante las ocho horas que están obligados a mantener su culo sentado en el asiento.

Instalar una especie de “filtro parental” en un entorno profesional supone una actitud claramente paternalista, condescendiente y trasnochada. Tratar a tus empleados como si fuesen tus hijos pequeños, y tomar decisiones por ellos sobre los contenidos a los que pueden acceder y a los que no es, sencillamente, una actitud de empresa anclada en el pasado, un absurdo conceptual. Las personas que trabajan en una compañía son adultos a todos los efectos, y deben ser tratados como tales. Eso no implica, obviamente, renunciar a todo control: si alguien de manera reiterada utiliza el tiempo o los recursos corporativos para acceder a contenidos considerados inapropiados, o se pasa las horas escribiendo en Facebook en lugar de trabajar, recriminar su actitud resulta completamente razonable, como puede serlo el ponerle directamente de patitas en la calle si además esa actitud coincide con un rendimiento muy por debajo de sus objetivos. Que alguien utilice la red de la compañía para descargarse una película o para consumir pornografía de manera habitual en horas de trabajo no es simplemente un posible problema para la compañía por el hecho en sí, sino algo mucho peor: supone constatar que uno de sus empleados es un completo imbécil, y muy posiblemente no debería estar en ese puesto de trabajo. Si simplemente le ponemos un filtro contra el que estrella sus pretensiones, el problema aparentemente desaparece, pero no es así: el problema continúa, porque seguimos teniendo un empleado que sigue siendo un completo imbécil. Y trabajar con imbéciles no suele ser una buena idea.

Tampoco tiene sentido dedicar recursos corporativos a la vigilancia intensiva. Que una persona acceda alguna vez a algún recurso considerado “no adecuado” no quiere decir nada, y puede ser fruto de mil cuestiones perfectamente justificables. Espiar toda actividad en la red corporativa como si estuviésemos trabajando con una panda de delincuentes peligrosos o montar un “Tribunal de la Santa Inquisición” como si se tratase de adolescentes calenturientos supone una actitud paranoica y absurda, que no puede conducir a nada bueno. Una actitud que debería considerarse muy poco sana en un departamento de IT corporativo. Por otro lado, en el mundo en que vivimos, esos filtros son completamente ineficientes, salvo que a la compañía le dé por tratar de bloquearlo absolutamente todo y termine por convertir la experiencia de trabajo en algo absurdo. Habitualmente, basta con cambiar las DNS localmente en el ordenador a las DNS públicas de Google (8.8.8.8 y 8.8.4.4), o con agregar la dirección IP al archivo HOSTS para evitar el paso por OpenDNS. O simplemente, con acceder desde el smartphone. Quien quiera perder el tiempo en horas de trabajo con contenidos a los que se accede mediante una pantalla, lleva una en el bolsillo con un nivel de control corporativo bastante complicado, salvo que la compañía se quiera convertir en una especie de sucursal enfermiza de la NSA. 

Los filtros de contenido corporativos son, sencillamente, una mala idea que permanece ahí porque muy pocos se han planteado ponerse a reflexionar sobre su sentido. Resulta mucho más rentable y positivo implantar una política que se centre en tratar a las personas como los adultos que realmente son, y tratar de librarse de aquellos que no lo sean. Todo filtro, por aparentemente bueno que sea, termina en algún momento por filtrar de más y por generar problemas. Pero sobre todo, los filtros suponen una actitud absurda y fuera de lugar en una empresa moderna, un paternalismo injustificable que suele ser síntoma de otros problemas de gestión más profundos. Los trabajadores, en general, funcionan mucho mejor cuando se les trata como adultos.