jueves, 17 de agosto de 2017

Contraseñas. Si no será peor el remedio... (pues parece que yo tenía razón)

Tirando de bola de cristal.
Hace casi un año a contar desde el momento en que escribo unas líneas, publiqué una entrada en este blog manifestando mi contrariedad por la creciente complejidad de las contraseñas.

Si ya lo decía yo...

Como usuario informático tengo que manejar mis propias contraseñas teniendo siempre muy presente la necesidad de custodiarlas y, por supuesto, de atribuirlas una robustez que sea razonable.

Contraseña de lanzamiento = 1234 (espero que no)

La idea central es que si la contraseña es tan complicada al final el usuario terminará comprometiendo la seguridad por otro sitio. Claramente, peor el remedio que la enfermedad.

Al final me han dado la razón
Un gurú de la seguridad llamado Bill Burr parece que ha rectificado y le da un giro de 180º a sus propias directrices.

Bill Burr (de NIST) rectifica

Y al hilo de este, el blog Una-al-dia se ha hecho eco de la noticia. Reproduzco el artículo relacionado porque me parece muy interesante. Seguro que lo sabreis apreciar.

La respuesta definitiva a la pregunta sobre las contraseñas, la seguridad y todo lo demás

Probablemente, el nombre de Bill Burr no te suene a nadie en particular, a menos que las publicaciones especiales del NIST sean tu nicho favorito de lectura en cuanto a literatura moderna se refiere. Burr es, ni más ni menos, el “culpable” de que cuando te piden un consejo acerca de la elección de contraseñas seguras, le digas al amigo de turno: “larga, no menos de 8 caracteres y sobre todo añade caracteres especiales mezclados con mayúsculas”, para terminar, como diría Bond: “mezclados, no agitados”.

El bueno de Burr ha confesado, desde su retiro como jubilado, que esa recomendación que él mismo escribió de su puño y letra en 2003, no era ni mucho menos la más adecuada. “Me equivoqué”. La entrevista completa fue publicada hace una semana en el Wall Street Journal (paywall). Sin embargo, aunque admite que su contribución hizo más mal que bien, el artículo deja entrever el contexto en el que el entonces analista tuvo que desenvolverse: prisas y presiones por acelerar la publicación de la guía, casi nulo conocimiento práctico en aquella época sobre la gestión de contraseñas, etc.

No hay nada que culpar. La norma ha estado vigente durante años, casi década y media, hasta que el NIST ha actualizado dicha guía el pasado mes de junio, cambiando y desaconsejando este tipo de política de contraseñas. ¿Por qué? Son difíciles de gestionar, debido fundamentalmente a que una contraseña debería ser algo que “sabes”, pero si se genera de manera muy compleja, termina en un post-it; luego se transforma de “algo que sabes” a “algo que tienes”. Dad una vuelta por una oficina y veréis esos papelitos amarillos deseando confesaros la contraseña del WiFi corporativo o el acceso a un escritorio remoto (un clásico cuando desde Auditorías hacemos una visita física).

Otro problema con la guía fue lo rápido que sentó cátedra. No es para menos, una enorme cantidad de normativas, certificaciones de seguridad y políticas de seguridad han seguido letra a letra copiando el mantra de las contraseñas complejas. Una falsa concepción de seguridad que todos (o casi todos) dábamos por sentado que era el camino a seguir. Además, en la guía también se aconseja “renovar la contraseña cada 90 días mínimo”. Esto último solo complica aún más la situación, debido a que una gran mayoría de personas no utiliza un gestor de contraseñas, e incluso aun usándolo hay que ser consciente de que estamos depositando todo el llavero en un único punto de tensión. Si el gestor cae, todo se derrumba.

Un visionario de esta situación (como de tantas otras) fue el conocido ilustrador Randall Munroe, autor de la siempre sagaz tira XKCD. En la número 936 ya nos explicaba el sinsentido de elegir contraseñas complejas versus la simple elección de cuatro palabras elegidas con aleatoriedad. Todo un clásico de la temática, que incluso nos incluye la entropía de Shannon y el tiempo estimado de resistencia al ataque por fuerza bruta. Todo ello explicado de forma gráfica y sencilla.





Entonces ¿Cuál es la forma correcta?


Lo tenemos fácil. Irónicamente debemos seguir la guía del NIST, la nueva versión, y cruzar los dedos para que dentro de unos veinte años no volvamos a leer un nuevo artículo de Paul A. Grassi, uno de los autores de la revisión, diciendo aquello de “…fue un error”.

En primer lugar, la guía pone de manifiesto una de nuestras tantas limitaciones, la incapacidad de memorizar contraseñas complejas. Ante esta situación el ser humano tiende a…hacer el mínimo esfuerzo. Esto es, o elegir una contraseña trivial del tipo “12345” o apuntarlo en un papel (recordad “saber” -> ”tener”). Incluso con las reglas de composición de algunos sitios web, esas que nos hacen inventar dos millones de veces una contraseña hasta aceptar el formulario, la experiencia que se tiene tras los hackeos y volcados de hashes es negativa. La conclusión es que este tipo de contraseña no es tan segura como se pensaba y encima es nefasta para la usabilidad.

En la nueva guía se aconseja que las contraseñas sean razonablemente largas, extensas:

Users should be encouraged to make their passwords as lengthy as they want, within reason.”

Eso sí, no nos están diciendo que nuestra contraseña sea los dos volúmenes completos del Quijote en castellano antiguo. Eso sería computacionalmente ridículo, debido al gasto relativo al cálculo del hash resultante y a que podría ser fácil de adivinar si conocen nuestros habituales para la lectura.

En relación a la complejidad, clarifican muchas de las sospechas que teníamos con la experiencia. Incluso con reglas de composición de contraseñas el usuario (vuelve a) opta por el camino fácil. Por ejemplo, si ha de usar mayúsculas y números pasa de “password” a “Password1” y si tiene que meter signos vuelve a hacer de las suyas con el ya clásico: “Password1!”. Para evitar estas martingalas se recomienda la comparación con una lista negra de contraseñas que no permita pasar tamaños actos de lucidez.

En definitiva, el gran problema de las contraseñas sigue siendo el ilustre usuario, y el reto de la seguridad es aliviar el peso que supone su falta de adiestramiento o ese gran porcentaje de sentidos comunes a estrenar, impecables y sin uso. La contraseña es un reducto del pasado, pero un pasado que aún sigue siendo presente y se niega a ser jubilado. Condenados a vivir con ella, al menos un tiempo más, la nueva norma dicta que más que una excesiva complejidad tomemos una longitud considerable y una buena capacidad para generar ítems aleatorios (palabras, símbolos, …), a ser posible con una distribución uniforme que aleje a la fuerza bruta y las listas de diccionarios muy lejos de la adivinación.

Ahora y por fin, después de tantos años, ya sabemos la respuesta definitiva a la pregunta sobre las contraseñas, la seguridad y todo lo demás: 


“correcto caballo batería grapa”


 David García

domingo, 13 de agosto de 2017

Dura Lexnet, Sed Lexnet

La ley es dura, pero es la ley.
Vieja frase romana que, imagino, aprenderán todos los estudiantes de derecho en primer curso pero que también es parte del acervo popular.

Sin ley no hay estado de derecho y sin estado de derecho no puede haber, sin ir más lejos, democracia y libertad. Así que este es un tema realmente importante.

La Justicia. A ella estamos obligados, pero también nos defiende.
No es objeto de este blog irnos más allá de unos pocos bits mejor o peor pareados pero no puedo dejar de proclamar la importancia de tener una justicia INDEPENDIENTE ya que es el tercer poder del estado democrático y de derecho. Ya que nuestra justicia está parcialmente subordinada al poder ejecutivo, al menos intentemos que funcione bien.

Papeles, legajos, sentencias...
Caracterízase la justicia no sólo por un lenguaje un tanto especial y fácilmente reconocible sino por la cantidad de documentación que genera. Documentación que debe además conservarse.
Esto sería una primera aproximación al problema aunque queda bien descrito.

Un juzgado típico puede ofrecer el siguiente aspecto


Esto no solo garantiza un funcionamiento administrativo realmente poco eficaz sino que da pie a incidentes de importancia, como es la pérdida o extravío de documentos.

Por tanto, lo ideal desde un punto de vista técnico, si bien considero que la Magistratura estará de acuerdo; sería un juzgado sin papel. Un juzgado del siglo XXI ¡La digitalización de la Justicia!


¡Al fin llegó la informática!
Pues sí. Y se implementó Lex Net. Un sistema de intercambio de documentos. Más o menos eso dice en el Portal de Justicia.

De dicha página cito literamente

LexNet es una plataforma de intercambio seguro de información entre los órganos judiciales y una gran diversidad de operadores jurídicos que, en su trabajo diario, necesitan intercambiar documentos judiciales (notificaciones, escritos y demandas). Han transcurrido varios años desde su implantación y LexNet se ha convertido en un instrumento de trabajo seguro tan habitual en el ámbito de las comunicaciones judiciales, como el teléfono, el fax o el correo electrónico.

Bueno, a mí juicio (palabra más que apropiada) me parece algo positivo. No llega a esa total digitalización de la justicia que, imagino, es una tarea ímproba. Pero es, en principio, un gran avance ¡qué duda cabe!

Hasta que la liamos.

Ímprobo también sería hacer un análisis riguroso de lo que está pasando pero, superficialmente, vemos que se repite el tradicional modelo de subcontratar a lo más barato y cutre posible algo que debería haber sido desarrollado internamente.

Las empresas detrás del fiasco

Pero es que, efectivamente, la administración que pretender modernizarse parece que sigue con los manguitos, el papel secante y, afortunadamente, no usa esos pelucones blancos tan británicos que salen en todos las películas.

Nuestros jueces, por suerte, no llevan peluca. Aunque el ministro de justicia aún viva en el siglo XIX

Justicia no ha entendido nada del desastre Lexnet

Es decir, en lugar de agradecerle al "hacket ético" haberle comunicado la existencia de la brecha de seguridad ¡van contra él!

Bien, no sólo no avanzamos, sino que involucinamos.

España, sin duda, tiene la justicia que se merece porque tiene los políticos que se merece. Así nos luce el pelo aunque alguno dice por ahí que hace cosas comparables a viajar a la Luna. Sí, en la luna estamos, me parece a mí.

(Continuará)

domingo, 23 de abril de 2017

La dualidad del mercado laboral.

La dualidad del mercado laboral.
No quisiera hacer politiqueo. Este es un blog de informática, a veces en clave crítica e irónica pero siempre distendido.
Sin embargo, no me queda más remedio que hablar un poco de política, pues esto de la dualidad del mercado laboral es un concepto que escuchamos día y si y día también.

Estos señores se preocupan mucho por la dualidad del mercado laboral.
Esto de la dualidad del mercado laboral es un hecho cierto. Lo que pasa es unos (los trabajadores) preferimos que se iguale por arriba y los otros (Lagarde y ya tal...) se plantean algo mucho más ambicioso, ¿por qué tener muchos trabajadores en precario si podemos tenerlos A TODOS?

Y entonces se planteo aquello de la "mochila austriaca", el "contrato único" y otras medidas neoliberales mediante las cuales los derechos de los trabajadores pasan a llamarse privilegios. Por tanto es un privilegio tener un contrato indefinido, un sueldo digno y este tipo de cosas que tan malas son para la recuperación de la economía española que es la envidia del mundo. Ya sabemos que lo mejor es liberalizar, privatizar y mejorar la competitividad.

Si privatizamos el Canal de Isabel II podemos llevarnos la pasta de aquí, de aquí y de aquí...

Bueno, vuelvo al tema porque me he desvíado bastante.

La dualidad del mercado laboral en una organización TIC.
Hace unas semanas se incorporaron dos nuevos compañeros. Superaron su oposición, presentaron la documentación correspondiente y se les convocó para incorporarse.

Cuando hicieron acto de presencia, tenían preparados ya sus puestos de trabajo y, como es habitual, se les llevó por el conjunto del departamento para saludar a la gente.
Cuando hablamos con ellos, como es habitual, tuvimos un breve intercambio de pareceres; qué habían estado haciendo hasta ahora, qué opinaban de su nuevo departamento, cuál sería su función a partir de este momento, etcétera.
Como es natural también les hablamos sobre nosotros, les enseñamos nuestro departamento y nos pusimos a su disposición para ayudarles en lo que fuera.
En los días sucesivos aprovechamos cualquier ocasión para la coincidencia, ya fuera en los pasillos o tomando café en el office para saludarles, preguntarles que tal les iba y hacerles sentir integrados en el equipo. Integrados, esa es la palabra.

¡Ya sois parte del equipo, compañeros!

Por la otra parte tenemos otros compañeros de una empresa externa. Vienen por periodos de seis meses. Como mucho.
Algunos ni siquiera llegaron a incorporarse. Las condiciones son tan mediocres que no les costó trabajo encontrar algo mejor.
Los que sí se incorporan lo hacen sin ningún tipo de ceremonia. En realidad quienes no trabajamos con ellos ni sabemos como se llaman. Ni hacemos esfuerzos por saberlo puesto que asumimos que terminarán yéndose más pronto que tarde.
Alguna vez me ha sucedido entrar a su departamento y, ¡no conocer a nadie!
Si me los encuentro en el office o los pasillos cruzaremos un ¡hola! como mucho.

No sabemos su nombre, ni tenemos interés en saberlo. Son gente sin rostro
Así que tampoco echamos en falta a esos compañeros externos el día que no están. Sinceramente, y aunque yo esté al otro lado, no soy tan egoísta como para no pensar que ellos no están siendo tratados como se merecen.

En la otra cara de la moneda, es ingenuo pensar que su grado de dedicación y compromiso al proyecto será intenso. Ya sabemos que pa lo que me queda en el convento.

Que cada cual saque sus conclusiones. Ya sabemos quienes son los defensores de esta forma de ver el mercado laboral.




domingo, 4 de diciembre de 2016

Ya me las pagarás...

El dulce sabor de la venganza.
Quién esto escribe se considera a sí mismo como una persona no rencorosa. Claro que podría estar mintiendo...

No es bueno el rencor aunque a veces es difícil sustraerse a él al menos en caliente. Otra cosa es tener apuntado en una libreta que manolito nos robó un rotulador cuando teníamos cinco años y haber jurado odio eterno igual que hizo Anibal.



Así acabó Cartago, por cierto. Como Troya, más o menos. Pero aunque hay que perdonar y olvidar y tratar de no sentirse afectado por esas pequeñas (o no tan pequeñas) putadas acciones de las que a veces somos objeto proclamarse absolutamente libre de deseos de satisfacción creo que es imposible para la mayoría de lo mortales.

En el mundo de la informática no seríamos la excepción y más de una vez uno quiere desquitarse. Las más de las veces ¡por fortuna! la sangre no llega al río o se queda en algo, digamos, simbólico. Lo suficiente para pasar página sin llegar a la represalia propiamente dicha, aunque para todo hay gente.

Una "venganza" que no llegué a cumplir.
Yo tenía pensada una pequeña venganza contra un jefe que tuve. Nada malo, no haré incitación al odio ni apología de la violencia. Sólo algo más sutil, psicológico y divertido.
Estaba yo por aquella época buscando trabajo y, en caso de haberlo encontrado es posible que se me "olvidara" comunicar la baja voluntaria. Un fallo sin importancia.
Perdonad por el retraso. Estoy justo terminando el informe ahora mismo.

Iba a hacer algo parecido al señor de la foto de arriba pero al final no pudo ser ¡lástima!
Hubiera sido divertido ver la cara que ponía mi jefe al enviarle por correo un selfie en algún lugar del extranjero y fingir sorpresa cuando me "recordara" que debería estar en la oficina...

Venganzas que son de código penal.
De estas hay algunas versiones y, por supuesto, dejando aparte lo "graciosas" que nos parezcan, pueden constituir un delito. Entiendo que uno tenga ganas de desquite, pero se pueden causar graves perjuicios a mucha gente, empezando por tus antiguos compañeros que ninguna culpa tuvieron.

Nos contaron en un curso que un impresentable (porque profesional no podía ser) programó un crash periódicamente en unos servidores Vmware para que así tuvieran que recurrir a él pese a haber prescindido de sus servicios. Por supuesto jamás defenderé este tipo de actitudes, ilegítimas y miserables. Aún cuando -tal vez- su empresa lo mereciera.
El pantallazo rosa de Vmware es como el azul de Windows. Una verdadera faena.

El Karma.
Antes, cuando hacíamos alguna travesura nos decían nuestras madres:
- Te va a castigar Dios...
Y vaya si lo hacía. Tal vez era sugestión o tal vez hacíamos cosas que estaba claro que se iban a volver contra nosotros aunque inicialmente no lo viéramos así.

Ahora, como vivimos en un estado felizmente laico donde no se puede hablar de Dios, ni de Franco (de Don Santiago Bernabeu aún sí) ese concepto se ha sustituído por un término globalizado que no margina a nadie: El karma.

El karma viene a ser el mecanismo por el que uno sufre las consecuencias de sus malas acciones. Y si el karma es la empresa que nos ha tratado de forma desdeñosa, me iré a aquel refrán de "Quién siembra vientos recoge tempestades"

Hasta hicieron una serie "Me llamo Earl". Que gustaba mucho sobre todo por la ex-mujer del protagonista.
Sé que esto es machismo, pero la Jaime Pressly está bien buena.

Pues si.

Ejemplos de karma, venganzas divinas, o de tienes lo que te has buscado.
Despedir a la única persona que conoce/maneja un programa/dispositivo.
Empleado/a que se va a la competencia gracias a haber hecho un curso que le obligaron a hacer.
Problemas informáticos graves que surgen después de desoir innumerables veces al "cenizo" que los predijo.
Descubrir que el programa/dispositivo que has comprado no te sirve por haber escatimado.
Perder un puesto de trabajo por presionar demasiado a la empresa que te quiere contratar.
Visitar a tu antiguo jefe para contarle que ganas más de lo que él ganará nunca.

Karmas demasiado bestias.
Hubo una persona que conocí quién llegado el caso demostró ser bastante rastrero, miserable y explotador. Tuvo un tiempo después de separar nuestros caminos un gravísimo accidente de moto.
No me alegro de su desgracia, por supuesto. Si algún mal hizo, lo pagó con creces.
Espero sinceramente que, a pesar de las tremendas secuelas de su accidente, le vaya lo mejor posible.


Y una pequeña venganza que sí que hicimos.
Un antiguo jefe que tuvimos. Mal jefe y mala persona. Quizá el karma ya tuvo un encuentro previo con él y le tuvo de baja bastantes semanas.
Durante ese tiempo no sólo no hablamos mal de él (tampoco bien) ni dejamos que el servicio decayera. Mientras él no estuvo trabajamos más y mejor que nunca, mejoramos todos los indicadores de calidad y aumentamos el rendimiento más que nunca.
Cuando llegó pensando que aquello era un caos el mensaje de bienvenida que recibió fue muy claro: "Sin ti estamos mejor. Aquí sobras".

Pero, bueno, supongo que tendría un enchufe de muchos amperios.

En cualquier caso, cuidadito con lo que hacemos, que a veces tiene consecuencias.


viernes, 2 de diciembre de 2016

Una forma pecular de absentismo presencial. Pero peor.

La vigente reforma laboral impulsada por el gobierno reformista y liberal de Mariano Rajoy en 2012 ha contribuido de forma decisiva a salir de la crisis y a generar un crecimiento económico que nos permite liderar la recuperación en Europa.

La Reichskanzlerin cuando observa lo que sucede en España
¿Qué pasa? ¿He dicho algo que no sea cierto?

Fijaos que cosas pasan con la reforma laboral.

Te tomas un paracetamol y te quiero de vuelta en el tajo en diez minutos, rojo de mierda


De todas formas, si es cierto que "gracias" a la reforma laboral las bajas médicas se han reducido. En muchos cosas por miedo y en otros por convencimiento. Pero este no es un blog político, ni económico. Lo que la gente ha votado oiga. No voy a venir yo a corregirlo.

De todas formas opino que cualquier trabajador, por convicción debe faltar al trabajo lo menos posible. Porque raro es el día que no nos dolerá un pié, tendremos jaqueca, algo de gastroenteritis, resfriado, nos molestará la junta de la trócola o cosas así. Por una molestia leve no debemos ausentarnos de trabajo. ¡Va, que lo estoy diciendo en serio!

Como aquel que metió varios goles como delantero mientras estaba de baja por una lesión de rodilla. Luego le despiden y el patrón es malo. Es que alguno también ¡ya le vale!

Digámoslo con claridad: hay gente que es imbécil
Conocí yo a una compañera (que fuera mujer es irrelevante para la historia) que presumía y sacaba pecho por no haber cogido nunca una baja ¡Qué gran trabajadora! ¡Qué orgullo para la empresa! ¡Qué ejemplo para los compañeros!

Pero esta señorita era humana a pesar de todo y, como todos los humanos, alguna vez enfermaba. Enfermedades no graves ni incapacitantes. Pongamos una gripe. Y la compañera se nos presentaba en el local con fiebre, malestar general, toses, estornudos y mocos.

En realidad, aunque estuviera con nosotros, no estaba trabajando ¡no podía!

Dudo mucho que su rendimiento fuera mayor de un 30%

¿Merece la pena venir a trabajar cuando no se va a rendir sino muy por debajo de lo habitual?

- Marta, deberías irte a casa.
- ¡Que no! ¡Qué estoy bien! [toses]
- No estás bien. Seguro que tienes fiebre.
- [Tocándose la frente] Tengo un poquito de fiebre, pero no pasa nada [mocos]
- Pero, ¿cómo piensas en quedarte si tienes fiebre ¿Que te vayas. Que ya nos encargamos nosotros. Que no estás bien.
- No os preocupeis, que me encuentro perfectamente [toses aún peores]
- [Resignados] Bueno, pero mañana vete al médico que te mire.
- No, si no hace falta. Ya estoy tomando yo unas hierbas que me dio mi abuela [ojos vidriosos]
- [Con caras de asombro] Eso sólo te ayuda, pero si vas al médico te va a recetar alguna cosa...
- ¡No hace falta! Con esto me pongo bien enseguida.

Naturalmente al día siguiente Marta viene incluso peor que el día anterior pero presumiendo de no haber falta ni un sólo día al trabajo en 20 años. El resto deben (debemos) ser todos unos vagos que se escaquean en cuanto tienen 40º de fiebre.

Estoy perfectamente.
La gracia de esto es la siguiente: viene una persona que aporta poco o nada y con su irracional testarudez es bastante probable que una o dos personas sanas se contagien. Que, por supuesto, se tomarán de dos a tres días de reposo o incluso de baja.

¡Ah, tenemos que dar gracias a Marta que nos consigue vacaciones gratis!

Lo dicho, hay gente que es imbécil.

miércoles, 9 de noviembre de 2016

Internet ¿es un atraso?

Hace más de cinco años escribí una entrada en este blog sobre una persona que pensaba que Internet era un atraso

A dicha entrada remito al lector interesado aunque resumiré brevemente la historia: digamos que era alguien que se sentía amenazado por las nuevas tecnologías (ya no son tan nuevas) y que prefería moverse en un terreno en el que se sentía cómodo. Estábamos a finales del siglo XX y estas actitudes son casi impensables.

Ahora, rara es la persona que no tiene Internet en el móvil, en la nevera, en el reloj, en el coche y, por supuesto, en el teléfono. Por eso, que alguien defienda hacer un buzoneo en papel considerando que un mailing vía correo electrónico es un atraso dejaría a esa persona en un lugar incómodo.

Seguramente los fabricantes de velas consideraron que la bombilla era un atraso y el tal Edison un loco ¿porqué habrían de cambiarse las buenas viejas velas por esas cosas de cristal con un alambre dentro?
Si éste dice que Internet es un atraso, yo no se lo voy a discutir.

Con sus luces y sombras, Internet ha cambiado el mundo para bien y ha penetrado hasta las capas más humildes de la sociedad. Y de esto es en gran parte responsable del Smartphone.

No me voy a arriesgar a afirmar que Steve Jobs inventó el Smartphone porque no sería cierto. El tema es suficientemente denso como para desarrollarlo aquí. Si bien sí es cierto que el iPhone fue el primer teléfono inteligente popular tal y como lo entendemos hoy.

Sí, señores. El Primer iPhone abrió un camino hacia el futuro que apenas hemos empezado a recorrer.
No olvidemos, por supuesto, el avance en tecnología móvil, el 3G y el 4G que permiten disponer de datos en casi cualquier lugar y en cualquier momento.

Entonces, ¿Internet es un atraso?
Evidentemente no.

Pero sí que es cierto que en algunos detalles estamos perdiendo el norte completamente. Y en casos concretos sí que creo que Internet es un atraso. Pero trataré de justificar mi opinión y en ningún caso desde un punto de vista neotalibán, troglodítico o anti-tecnológico.

Empezaré por tomar la definición desde el D.R.A.E.

Superfluo: No necesario, que está de más.

Por tanto, una aplicación, utilidad o uso superfluo de internet, especialmente vía móvil, considero que es sólo un producto de intereses comerciales. Completamente legítimos, faltaría más, pero que realmente no aportan nada.
Cierto también que este tipo de cosas las terminarán corrigiendo el mercado y la costumbre porque tal vez no estemos totalmente locos.

No siempre lo más nuevo es lo mejor y aunque todo evoluciona, a veces se intenta sustituir algo sencillo, barato y fiable por otra cosa menos robusta y con mayores dependencias. Como digo, en la mayoría de los casos, es el conjunto de los usuarios quién aprueba o rechaza estos cambios.

Sustituir las llaves por el móvil
Interesante artículo en Xataka por Javier Penalva Cerradura conectada TESA

Con todos mis respetos para el autor, creo que discrepo de su planteamiento inicial

Más de una vez habrás pensado lo fácil que te resulta dejar olvidadas las llaves de casa al salir apresuradamente de ella, pero lo casi imposible que es abandonar tu smartphone sin darte cuenta. Tiene sentido, así que las soluciones que permiten usar el smartphone como llave tienen nuestra confianza ganada sin hacer nada.

Pues no, apreciado Javier. La cerradura habrá ganado tu confianza pero la mía no. No pienso sustituir unos pequeños fragmentos de acero, que no necesitan mantenimiento ni energía, que si los pierdo son inidentificables, que no se romperán si se me caen al suelo y que tienen un coste de reposición o copia realmente bajo.
Ni, por supuesto, pienso añadir a mis tareas domésticas la de cargar la cerradura no vaya a quedarse sin batería. Renuncio gustoso a esas funciones integradas que, realmente, no necesito.

Pagar con el móvil
Veo aquí también otros intereses. Unos más legítimos y otros menos. Ciertamente sustituir el dinero físico por el móvil tiene bastantes ventajas. Se reduce la manipulación mecánica de monedas y billetes lo cual supone un gran ahorro de costes... que se embolsará normalmente la entidad bancaria.

Por el otro, los gobiernos occidentales sueñan con la eliminación del dinero físico lo cual tiene algunas ventajas también muy claras como es reducir de forma brutal el fraude físcal, el dinero negro y las fugas de capitales. Y de paso tenernos más controlados. Totalmente controlados, de hecho.

A nivel de usuarios, la última barrera de entrada ha desaparecido pues ya es posible hacerlo entre particulares. Por ejemplo a través de la aplicación BIZUM.

Una vez más, pretenden que cambiémos algo fácil de transportar, que no requiere energía, completamente anónimo y de uso completamente universal y transparente por una aplicación donde intervienen terceros creando, una vez más, dependencias.

Yo no sé los lectores del blog pero cuando voy a la playa rara vez me llevo más de cinco o diez euros. Cantidades suficientes como para tomar unas Coca-Colas, pero tan pequeñas que en caso de robo o pérdida el disgusto no sería muy grande; aparte de poder manipularlas con las manos llenas de arena sin temor a dañarlas. Y que, por supuesto, puedo llevar conmigo incluso mientras me baño (como las llaves de casa, por cierto)

A ver qué móvil se puede meter en agua salada a menos que le pongamos una carcasa. De nuevo complicaciones y dependencias para no hacer nada que no llevemos haciendo miles de años sin necesidad de Smartphones. Que se lo pregunten a los fenicios.

Y seguiremos jugando al cinquillo o a las siete y media con dinero real. Faltaría más.

Conducir mejor y ahorrar combustible
Estas serían el mejor aliado para la DGT. Aunque hay varias, podría señalar esta: Drivies

No, mire usted. Ya tengo bastante con los radares fijos, móviles y aerotransportados y una legión de señores intentando pillarme a ver cuando dinero me pueden sacar como para que yo, voluntariamente, ceda mis datos a ¿aseguradoras? para conseguir supuestos ahorros.

No sé si nos damos cuenta que, en caso de infracción (pongamos, exceso de velocidad) estamos facilitando las pruebas nosotros mismos. A mí me produce, como poco, desconfianza.

lunes, 3 de octubre de 2016

Contraseñas. Si no será peor el remedio...

Sobre el tema de seguridad y contraseñas debe haber petabytes de documentación.

Como de costumbre, la cuestión de las contraseñas tiene una importancia clave y ahora más que nunca puesto que son la llave de acceso casi, casi, a la cocina de nuestra casa. O sin el casi, que ahora con la domótica seguro que hay algún tipo de malware capaz de encender a distancia nuestra cocina y provocar un incendio sin que estemos nosotros en casa. Al tiempo...

Volviendo a los orígenes, todos comenzamos en estas cosas con un pin de cuatro cifras. Algo que puede valer para bloquear un teléfono sencillo pero poco más, aunque también sirve para nuestra tarjeta de crédito. No hemos avanzado mucho.

Pero ya en un entorno informático comenzaron a surgir servicios que requerían un usuario y un password. Hasta ahí bien.

Lo que pasa es que los humanos somos muy cómodos y tenemos muy mala memoria y es una faena necesitar acceso a una web y no recordar la contraseña.


Y no todas serán tan fáciles como la que viene por defecto en el router que, por cierto, espero que mis lectores hayan cambiado.

Desde luego, aunque lentamente, nuestra cultura informática ha ido cambiando a mejor. Aunque sea a base de sustos y mucho mejor escarmentar en cabeza ajena.

Nadie se le ocurre poner como contraseña algo fácilmente reconocible. Desde el nombre del perro hasta la matrícula del coche o la fecha del cumpleaños. Ojo con la ingeniería social que a veces hay cosas que son demasiado obvias o que puede averiguar alguien que esté próximo a nosotros.

Cierto que han aparecido nuevos sistemas, especialmente en el mundo móvil, como el reconocimiento de huella dactilar o los patrones. Son avances razonables.

Pero otros servicios siguen utilizando el viejo sistema de usuario y contraseña. Sistema que no está mal por sí mismo y pese a todo es funcional. Pero los métodos de ataque han evolucionado tanto que han provocado un endurecimiento de las condiciones que puede ser perjudicial para el usuario.

Eligiendo un password razonable
La gente que como yo, pérdoneseme la inmodestia, tiene una cierta inquietud por la seguridad procura adoptar unas medidas lógicas en cuanto a la robustez de sus passwords.

Técnicas muy conocidas y triviales pero que son útiles consisten en darle la vuelta a las palabras, intercalar algún número, sustituir vocales por consonantes o viceversa pero que, en general, permiten que el password sea reconocible. Esto es importante.


p4ssw0rd

Aunque este ejemplo es demasiado conocido y no deberíamos usarlo, usar cifras y letras robustece una contraseña y hace mucho más costoso un ataque por fuerza bruta.

Podemos ser un poco más retorcidos y escribirlo al revés, dificultando igualmente un ataque por diccionario.

dr0wss4p

Aún así es una contraseña que podemos recordar con cierta facilidad. A donde quiero llegar es que podemos complicar las contraseñas pero hasta ahora siempre hemos estado (al menos yo) dentro de un límite. Y es que podamos recordar o deducir nuestras contraseñas sin demasiado esfuerzo.

El password que ya no podemos recordar
No sé si debería empezar a comer rabitos de pasa. O tomar algún preparado.
Señores de DeMemory: les estoy haciendo publicidad gratuita ¡eh, que conste!

El caso es que ahora cuando hay que crear una contraseña te dicen aquello de que tiene que tener más de ocho caracteres. Vale. Que alterne cifras y letras. Vale. Que tenga mayúsculas y minúsculas. Hay que jo... y que lleve algún carácter especial tipo ? _ } o similar que ahora mismo hasta me cuesta sacar en el teclado.

Por tanto las claves que hemos usado toda la vida empiezan a no encajar en este modelo de seguridad.
Muy robusto, pero incómodo y difícil de recordar.

Así que si yo antes usaba
p4ssw0rd

Ahora tengo que usar algo así como
_p4sSw0rD?

Esto ya es un lío porque luego ya no me acordaré cual puse en mayúscula, o si el guión bajo iba al comienzo o al final

Es más robusto
Es más seguro
Es más incómodo
Es probable que me obligue a usar algún tipo de SSO.

Esto es como para unas prisas. Luego está, lógicamente, el sistema de recuperación de contraseña que sería otra historia muy diferente porque a veces hacen unas preguntas tan obvias que es un coladero. Pero lo dejaremos para otra entrada del blog.

Así que, al final, me obligan a usar contraseñas que me costará mucho recordar y que, por tanto, me costará muchísimo utilizar.

¿Qué se puede hacer?

Pues poner contraseñas muy mecánicas que podamos recordar. Secuencias de números o letras en un orden más o menos intuitivo.

¿AaBb1234?


Esta contraseña cumple todos los requisitos de robustez pero me da en la nariz que, por diccionario, no duraría demasiado. Puede que la aplicación o web donde nos estemos registrando no nos valide la contraseña porque detecte la escasa complejidad, lo cual es una muestra de calidad pero, paradójicamente, empeora la experiencia de usuario.

Al final nos fuerzan a usar una secuencia aleatoria que podría ser así.

Oe!chv_A3i51d{gPO5

Y esto es muy seguro, desde luego. Diré más, si yo tuviera que poner esta contraseña en un servidor todos y cada uno de los días de mi vida, estoy seguro que terminaría aprendiéndola. Así que ese no es el problema.

El problema es que las contraseñas se deben cambiar periódicamente. El problema es que no se debe usar una misma contraseña para todos los servicios y accesos requeridos. Y el problema es que las contraseñas, como debe ser, suelen venir ofuscadas por asteriscos cuando las escribimos y esto lo conocerán aquellos que hayan trabajado con teclados que no están en español.

Vaya usted a buscar el guión bajo en un teclado que no está en español y cuyas pulsaciones no ve porque salen con asteriscos. O hágalo en el teclado virtual de un smartphone cuando, con dedos grandes, no estás seguro de si has pulsado la f o la g.

Por tanto me da error de password y cuando me caen los sudores fríos me pregunto si estaré metiendo mal la contraseña, si era un 5 o una S o si -como suele ocurrir más de una vez- el teclado americano me está engañando y realmente no estoy metiendo la contraseña apropiada.

¿Contraseñas muy robustas? Igual es peor el remedio que la enfermedad.

lunes, 22 de agosto de 2016

Las aventuras de buscar un empleado público - capítulo 9 y último

La incorporación.

Pues de todo hay en la viña del señor. Se supone que uno ha superado una oposición más o menos dura y ha de plantearse aprovechar como sea la oportunidad que tiene en la mano. Que ha ganado por sí mismo.

Queda a criterio del Tribunal y supongo que se llevarán el secreto a la tumba si el/los aspirante/s que aprueban la oposición eran los mejores o los menos malos. Una oposición puede quedar desierta, ¿por qué no?


 Los Tribunales, naturalmente, no son infalibles. Todos pueden cometer herrores y no sólo mecanográficos. Pero el nuevo empleado público tiene ante sí la difícil tarea de ¡incorporarse!

Y no, esto no es tan simple como parece. Aquí la casuística es inacabable. Desde la espantada sin más, al miedo escénico, al que quiere comerse el mundo o el que quiere renegociar las condiciones laborales desde el primer día.

Pero la vida sigue. Los empleados públicos, como los demás seres vivos, nacen, crecen, toman posesión y solicitan excedencias.

Y colorín, colorado... este cuando apenas ha empezado.


miércoles, 17 de agosto de 2016

Las aventuras de buscar un empleado público - capítulo 8

Los aspirantes muy aspirantes y mucho aspirantes.
Bueno, pues ya está casi todo el bacalao vendido. El aspirante ya ha escrito todo lo que tenía que escribir y ahora se enfrenta al Tribunal. Esos hombres despiadados.
Bueno, en ocasiones los jueces pueden ser benévolos.

Un mal ejercicio puede levantarse en la defensa oral. Como un buen ejercicio puede echarse abajo con un mala defensa.

En apoyo a los miembros de Tribunal hay que decir que no son profesionales de RR.HH. Que por tanto no harán las mismas preguntas gilipollas inapropiadas que podrían plantearse en una entrevista en el sector privado.


Así que no se oirán cuestiones como: - ¿qué prefiere usted trabajar sólo o en equipo?

Varios miembros del Tribunal tendrán que ser del mismo cuerpo al que se oposita. Es decir, serán tus compañeros. En algunos casos, directos. Por tanto, saben de qué va el trabajo, saben qué se necesita y saben qué clase de persona no querrían tener en el equipo.



Así que tonterías las justas. En esta etapa del proceso de selección las cosas están ya bastante definidas. Esta última parte viene a ser un último filtro, una aproximación al detalle de la persona del candidato que hasta el momento no se ha podido practicar y, naturalmente, una manera de elaborar una relación ordenada desde el mejor hasta el peor. O diría menos bueno porque, y no lo digo por quedar bien, normalmente ninguno de los candidatos que llegan aquí es malo. Evidentemente habrá matices y diferencias entre ellos y de eso se trata.

Si algún miembro del Tribunal se levanta con el paso cambiado puede apretarle las clavijas al candidato. Esto ¡ojo! no necesariamente es premeditado. Quizá una pregunta inocente y carente de segunda intención puede ser interpretada por el candidato como un desafío o ¡casi! una ofensa.

Adrede o no, puede un candidato encontrarse sin previo aviso bajo presión y de como resuelva la situación dependerán las posibilidades de tener éxito en el proceso de selección.

Puede suceder, y de hecho sucede, que el aspirante pierda los nervios totalmente. Y aquí la casuística es ilimitada. Desde desmoronarse hasta enfrentarse y discutir a gritos con el Tribunal.
En ambos casos su suerte está sellada.

Quizá un candidato que gusta comience tímidamente, pero acaba relajado, transmitiendo confianza. Si lo consigue su valoración será mejor.
Es el opositor el que se somete al Tribunal. Y es el Tribunal el que quiere que sean los opositores el Tribunal.
No importa equivocarse o no saber responder a una pregunta. No quedarse en blanco, boquiabierto en plan ¡me ha pillado! No, no, no. Hay que saber salir por la tangente, tener cintura. Ser positivo y usar todas las posibilidades del lenguaje. Y, por supuesto, el no verbal.

Si te pica la nariz, ¡ráscatela coño! No vas a estar el resto de la defensa incómodo. Te pondrás nervioso y lo harás peor. Otra cosa es que te estés rascando compulsivamente todo el rato. Eso demuestra que estás nervioso y que no puedes controlarte.

Unas pocas tilas, llegar con calma. Buena presencia, asertividad, no tener miedo y confiar en uno mismo. Con eso, las posibilidades de éxito aumentan exponencialmente.

El Tribunal se retira a deliberar.
Escuchadas todas las defensas, el Tribunal se reunirá y pondrá en común las notas, comentarios y valoraciones. Me atrevería a decir que en este proceso los miembros del Tribunal rara vez mostrarán discrepancias.
Tras varios meses trabajando juntos, es casi inevitable que surja cierta sintonía entre todos y que los puntos de vista sean relativamente próximos. No tiene por qué haber unanimidad pero sí que se detecta (y creo pensar que sucede casi siempre) una tendencia a coincidir en los criterios.

El penúltimo acto consiste en la elaboración de la lista de candidatos. Por desgracia no pueden pasar todos. En algunos organismos, superando una cierta puntuación apruebas la oposición pero no te garantizan la plaza. Puedes quedar en reserva o en bolsa de trabajo. Es algo frustrante pero ¡vaya!, has llegado muy lejos, no lo has hecho nada mal pero, simplemente alguien fue mejor.


Puede que ese alguien no llegue a presentarse. Tal vez porque encontró otro trabajo mejor (la gente suele participar en varias oposiciones en paralelo) O quién se presenta pues... no funciona. El caso es infrecuente pero no imposible.

Si hay lista de aspirantes, el turno correrá y puede que alguien que se quedó fuera llegue a incorporarse.

En otros organismos no pueden aprobar más opositores que plazas se han ofertado. Son las bases publicadas y punto. Con eso hay que jugar. Por tanto los aspirantes que no superan la oposición se tienen que ir a su casa. Seguro que la mayoría habrían cubierto de sobra el mínimo exigido para el puesto de trabajo. Pero... la vida es dura.

martes, 16 de agosto de 2016

Las aventuras de buscar un empleado público - capítulo 7

Nos acercamos al final. El supuesto práctico.
O teórico más bien, porque es por escrito. En un futuro cercano la verdad es que se podría hacer que el aspirante resolviera un supuesto en un entorno virtual. Pero de momento nos conformamos con el método tradicional.

El supuesto es la prueba mejor y más completa porque contempla el conjunto íntegro de las aptitudes (y actitudes) que el aspirante reune y es una excelente forma de evaluar su candidatura. Si el aspirante ha llegado hasta aquí, ya se le debe suponer cierta calidad profesional e intelectual. Ha pasado ya varios filtros, tiene un nivel de inglés más que aceptable y en principio podría ser uno de los elegidos.

Puede ser que algún aspirante no alcance el mínimo nivel exigido. Sucede. Sin embargo, a estas alturas de la película, por contratar al peor de los aspirantes que aún continúan en el proceso de selección probablemente seguramente se pegarían en el sector privado.

No es que tengan cerebros positrónicos pero tontos no deben ser si han llegado hasta aquí.


Lo bueno que tiene el supuesto es que no tiene una respuesta única. No hay un supuesto "correcto" como tal. Cada aspirante responderá a la situación planteada con una solución distinta. En principio el aspirante puede proponer cualquier opción siempre y cuando la justifique.

También es cierto que el ejercicio puede contener alguna condición que limite los grados de libertad de que dispone el aspirante. O que la solución propuesta deba forzosamente cumplir algún requerimiento. Entra en la mecánica de la prueba.

Cierto que profundizará más en unas tecnologías (las que domine) que en otras pero si demuestra saber más o menos un poco de todo, no tener lagunas y no cometer errores graves lo normal es que apruebe.

Luego, entre candidatos aprobados, habría que establecer un orden de prelación. Y es una putada desgracia quedarse fuera porque otro lo hizo un poco mejor. Pero puede suceder, la vida es dura.

A la hora de corregir, es cierto que los miembros del Tribunal tienen en mente "su propio ejercicio" pero no por eso van a ser reticentes ante una solución que se aleje de la que ellos habrían propuesto. En realidad puede ser que veas enfoques o estrategias diferentes a las que tú habrías empleado.
Puede que sean inaplicables por razones que los aspirantes no tienen porqué conocer. Pero sobre el papel son buenas.

También puedes leer alguna cosa que te desagrada. Digamos que subcontratar o externalizar algún desarrollo o servicio denota que el aspirante no está cómodo en ese área de conocimiento.
Es prudente porque no quiere meterse en charcos. Pero, lógicamente, al no hacerlo pierde una ocasión de sumar.
Con mucho cuidadito, que las carga el diablo neoliberal.

Naturalmente que es mejor no sumar que restar. Como decíamos antes, para un aspirante, llegar hasta aquí no es moco de pavo. Se espera de él (o ella) que no cometan errores graves. Es perdonable dejar una parte del ejercicio poco elaborada que pasarse y proponer algo temerario o directamente equivocado.

Cabe la posibilidad de que el aspirante haya querido lucirse en un apartado que al Tribunal no le parezca importante y que haya pasado por encima en otro que sí lo era. Eso no le deja fuera pero, claro, se paga a la hora de la corrección.

En general, los errores obvios suelen ser perdonables si el Tribunal no está formado por una sarta de...

Hijos de la arpía. Que son unos hijos de p...
No sería el primero el aspirante que sumase 100 + 100 = 2000. Pero es una obviedad, sólo pone de manifiesto que el aspirante iba rápido y posiblemente algo nervioso. Es un entorno laboral de verdad, para el supuesto teórico que hay que resolver en unas horas se dispondría de semanas. Ciertamente sería injusto apretarles las clavijas a los aspirantes ignorando que están bajo presión y que no disponen de herramientas ni medios de consulta que sí tendrían en una situación real.

Admitida la necesidad de ese factor de corrección, los miembros del Tribunal revisan los ejercicios y consensuan las notas que hay que poner. No hay una regla fija, esto no es como en aquellos deportes donde se quitan las notas más alta y más baja y se hace una media. Pero esto no acaba aquí. Ahora el aspirante tiene que defenderse ante el Tribunal. Sólo ante el peligro.

Si lo llego a saber, me quedo pinchando bakalao en la disco de mi pueblo
¡Nos acercamos al duelo final!