Menú

Gabriel Viso

Un blog y un podcast, por Gabriel Viso

Seguridad o no: ¿hasta dónde hay que ir?

"He cambiado todas mis contraseñas por 'INCORRECTA'... así, cuando me digan 'contraseña incorrecta', me la recuerdan"

“He cambiado todas mis contraseñas por ‘INCORRECTA’… así, cuando la olvide, me dirán ‘contraseña incorrecta'”

Después de unas pocas entradas sobre conceptos y consejos acerca de seguridad en internet, toca reflexionar. En ocasiones nos preocupamos muy poco de nuestra seguridad en internet, y en ocasiones demasiado. A veces esperamos hasta que hay una brecha de seguridad en una web, o una vulnerabilidad generalizada, para darnos cuenta de que no es tan buena idea usar la misma contraseña para GMail, Twitter, LinkedIn y toda una variedad de sitios más. Otras veces, por el contrario, pecamos de exceso de celo rayando la paranoia y sobreprotegemos nuestra información, con el asociado coste en tiempo, esfuerzo y a veces dinero que eso conlleva.

En general es mejor protegerse de más que de menos, indudablemente, pero, ¿hasta qué punto nos debemos preocupar por estas cosas? Si una web no admite contraseñas de más de 6 caracteres, ¿debo estallar en ira? ¿Qué nivel de seguridad es razonable exigir? ¿Cómo saber cuánto y cuándo debemos tomar medidas? ¿Y por qué?, ¿alguien se cuestiona el porqué? Vamos a reflexionar un poco al respecto.

(más…)

Correo electrónico y privacidad: el campo CCO / BCC

Parece mentira a estas alturas de la película estar hablando de esto, pero es necesario. Hablar de privacidad hoy en día está muy de moda, y mucha gente que conozco se echa las manos a la cabeza cuando hablan de Facebook y de Google, pero lo cierto es que la privacidad va mucho más allá y empieza por que cada uno respete la privacidad de los demás al enviar un correo electrónico. No se puede criticar a los demás por jugar con la privacidad de las personas si nosotros, sea por accidente o no, no la respetamos. Y hablo de privacidad tanto en el sentido de proteger la información personal como en el de respetar la propiedad privada, como puede ser la bandeja de entrada del correo electrónico (*). Voy con la lista de consejos y me dejo de palabrerías, creo que la entrada quedará más clara.

El campo CCO / BCC (copia en papel carbón oculta / blind carbon copy) tiene dos funciones valiosas, que son:

  1. Ocultar uno o más destinatarios.
  2. Impedir que las respuestas a todos lleguen a más personas que las que están en copia (“CC”) y en el campo “Para”.

Además, como consecuencia de las anteriores, su pones varios destinatarios en CCO / BCC no se verán unos a otros, es decir, cuando reciban un correo no verán quién más está en el campo CCO / BCC. Gracias a esto no podrán ponerse en contacto entre ellos por culpa tuya o de tu correo.

Si quieres que un correo llegue a un destinatario sin que los demás se enteren, mejor reenvía (RV / FW). Si usas el campo CCO / BCC avisa antes. Supongamos que estás siendo víctima de un abuso de poder de algún tipo y quieres escalar la situación a un responsable. Si decides reenviar el correo a dicha persona, no hay problema y es la mejor opción. Si decides usar el campo CCO / BCC, asegúrate de que la persona a la que vas a copiar de forma oculta lo sabe de antemano para que no responda al correo, llámale por teléfono si es necesario. Especialmente, porque si es una persona ocupada o que consulta el correo con un móvil, el hecho de que esté en copia oculta (“CCO” / “BCC”) puede pasar desapercibido y contestar a todos, exponiendo totalmente el hecho de que has enviado un correo con alguien en CCO. Mejor reenvía.

Si vas a enviar un correo masivo a toda tu libreta de direcciones usa el campo CCO / BCC. Bueno, mejor dicho, lo primero piénsatelo dos veces. Hoy en día el correo electrónico no es algo demasiado vigente para hacer comunicaciones masivas, para eso hay otras cosas ya, llamadas redes sociales. Enviar un chiste a toda tu libreta de direcciones es una estupidez hoy por hoy, y tienes todas las papeletas para que te consideren un spammer (persona que emite correo basura). Enviar tus opiniones políticas por correo a tus contactos en lugar de abrir un blog o colgarlas en el muro de Facebook también está mal porque es disruptivo: irrumpes en su bandeja de entrada con algo que la gente no desea recibir ni leer cuando abre su correo electrónico. Pero si estás en una situación en la tienes que enviar algo valioso, o en la que no puedes usar las redes porque no llegarías a todos los contactos a los que querrías llegar, usa siempre el campo CCO para proteger la privacidad de tus contactosNadie tiene por qué conocer las direcciones de correo electrónico que tienes en la agenda, y tampoco tienen por qué saber a quién más has avisado. Habrá gente de tu agenda que no conozca a tu padre y que no tenga por qué saber su dirección de correo electrónico, y viceversa.

Si vas a enviar un correo a muchos destinatarios, usa el campo CCO / BCC. Si necesitas lanzar una consulta a un grupo grande de gente expertos en cierta materia, y quieres que sólo tú y tu equipo (3 ó 4 personas) recibáis las respuestas para no generar cantidades inmensas de correo no deseado, mete al grupo o a los grupos grandes en el campo CCO. Así, si alguien de esos grupos responde a todos, sólo las personas en CC y en el para lo recibirán. Ejemplo:

De: gabriel@ejemplo.org
Para: gabriel@ejemplo.org
CC: pepe@ejemplo.org; bea@ejemplo.org; patricia@ejemplo.org
CCO: Analistas.Negocio@ejemplo.org; Arquitectos@ejemplo.org; recursos_humanos@ejemplo.org
ASUNTO: Ayuda con la solución XXXX YYYY ZZZZ

<cuerpo del mensaje>

Supongamos que Analistas.Negocio, Arquitectos y recursos_humanos son listas de correos con 100 personas cada uno. Si Gabriel hubiera colocado esas 3 listas de distribución en el campo “Para” o en el “CC”, tendríamos un problema si uno de los integrantes de dicha lista cometiese el error de “responder a todos”. En ese caso, 304 personas recibirán la respuesta y puede estar generando correo no deseado para cientos de personas.

Estando en el CCO, nadie más que Gabriel, Pepe, Bea y Patricia recibirán la respuesta cuando alguien presione “Responder a todos”. Ese es el resultado deseable: cuando una persona en CCO responde a todos, nadie del CCO recibe su respuesta.

Como en cualquier herramienta, es necesario tener en cuenta al receptor de los mensajes y hay que tener en cuenta que a menudo una práctica inocente atenta contra la privacidad de las personas, o contra la calidad de su trabajo. No se puede publicar una dirección de correo de un contacto bajo ningún concepto, y tampoco inundar la bandeja de entrada de alguien con ruido. Todos hemos cometido este tipo de fallos en algún momento, y hay que revisar la forma que tenemos de hacer las cosas y mejorar para no generar odios (inglés).

(*) En este sentido, el correo no deseado atenta contra la privacidad en varios sentidos: porque si no conoces al emisor, es que ha obtenido tu dirección de correo de una forma irregular; porque se está usando tu dirección de correo de una forma que a ti no te gusta (para enviarte basura) y porque ensucia la bandeja de entrada, que es privada.

De lo privado y lo público (brevemente)

Decía mi profesora de finanzas del Máster (uno de esos In-Company) que hice el año pasado, que…

Las empresas se crean con el objetivo crear valor para los accionistas en el medio y largo plazo. El objetivo económico de un negocio es crear valor para sus accionistas. Es decir, desde un punto de vista económico, los negocios se crean para que sus accionistas se hagan más ricos de lo que pueden ser en otro sitio.

Así de claro: el negocio se crea para que una serie de accionistas se involucren y no se vayan al de enfrente. El en el medio y largo plazo quiere decir que ese negocio se debe convertir en sostenible, lo que implica una serie de puestos de trabajo y una actividad económica estable. Decir que “las empresas se montan con ánimo de lucro” es vulgar, injusto y poco exacto, además de que frecuentemente se usa la palabra lucro con ánimo peyorativo. Yo hago muchas cosas con ánimo de lucro, igual que tú.

Cuando la gente me pregunta desenfadadamente si soy de izquierdas o de derechas, le digo igual de desenfadadamente que depende de para qué. Digo desenfadadamente porque creo que no se tiene una perspectiva clara cuando se pregunta: mientras yo me centro exclusivamente en un tema económico, muchas personas piensan en el aborto y en los homosexuales, además de toda otra serie de cosas. Esta entrada, por si vienes despistado, va de economía y servicios sociales, no de aborto y homosexuales.

Existen cosas en la vida, como los automóviles, los videojuegos, las cosas que tienen valor añadido y que no son esenciales para la vida digna, en las que veo fundamental la empresa privada. Realmente, casi todo, y podría decir que todo lo que ofrece cierta respuesta una sencilla pregunta debería, desde mi punto de vista, estar totalmente liberalizado económicamente. Ojo, digo liberalizado: esto quiere decir también que si un Estado crea una empresa pública (de la cual sería un accionista, aunque impuesto) que me hace más rico porque es rentable, ¡adelante! La pregunta es:

¿Es el objetivo de XXXXX hacer más rico a un accionista, o garantizar uno de los siguientes aspectos de la vida: salud, seguridad, educación, protección al débil o al desfavorecido, progreso de la ciencia, justicia?

Si respondes “hacer más rico a un accionista”, entonces liberalizado total. Si respondes alguna de las otras cosas, mi forma de concebirlo es que debe estar muy controlado por un gobierno fácilmente derrocable, o directamente debe ser público y por supuesto apolítico.

Ejemplos: ¿debe un hospital crear valor para un accionista, o proteger / restaurar la salud de las personas? ¿Debe una comisaría crear valor para un accionista, o proteger / garantizar la seguridad de las personas? ¿Debe un colegio crear valor para un accionista, o garantizar la prosperidad futura de una nación (y de la raza humana) educando a sus niños? ¿Debe la exploración espacial o la epidemiología crear valor para el accionista, o …? ¿Debe un tribunal…?

Creo que es fácil saber por dónde voy. Este tipo de cosas no son negocios: de ninguna manera. Deben ser públicos o, de ser privados (nunca me inclino demasiado a excluir nada), estar férreamente regulados por los gobiernos en sus objetivos y en su nivel de servicio. Pero, siendo serios, ¿alguien imagina un tribunal privado? Yo no.

Sinceramente pienso que si un hospital público es deficitario pero cura a las personas, por mí que lo sea. Y con esto digo que no me veo como accionista de un hospital público, porque tampoco quiero percibir valor (económico) de ninguno de ellos: quiero que me curen y que curen a la gente. Son cosas diferentes. Pero, ¿fabricar un avión?, ¿en serio? Por favor, hágalo usted bien y sirva ese avión para que yo pague menos impuestos para que funcione el hospital donde iré a que me curen cuando enferme, o ponga usted el dinero de mis impuestos en otras cosas.

¿Dónde debo hacer el ceda el paso al incorporarme a una vía?, ¿por qué?

Hola. Voy a explicar algo que, aunque a muchos os parezca evidente, no debe serlo tanto a juzgar por la cantidad de coches que tengo que esquivar todos los días yendo al trabajo. ¿Dónde debo hacer el ceda el paso cuando me incorporo a un carril? Ved la maravillosa representación gráfica que acabo de hacer a mano alzada con mi ratón:

Lugar para hacer un ceda el paso en una incorporación

Lugar para hacer un ceda el paso en una incorporación (tic verde)

El tic verde indica “correcto”, el aspa roja indica “mal”.

En el primer momento en que vemos por el retrovisor (o girando la cabeza: si no tienes a nadie delante es mucho mejor girar la cabeza porque se ve mejor) el tráfico del carril al que nos queremos incorporar, debemos hacer un ceda el paso, esté pintado o no en la calzada, ¡un poquito de sentido común! Esto es, aminorar la marcha para poder examinar el tráfico del carril, y ceder el paso a los coches que vienen (si vienen). En el punto marcado con el tic verde. Incluso, si es necesario, nos detenemos. En el momento en el que sea seguro incorporarnos al carril, aceleramos de tal forma que, al final del carril de aceleración (más o menos donde el aspa roja), nos hayamos impulsado a una velocidad permitida en la vía a la que nos incorporamos, y más importante: adecuada a sus condiciones de estado, tiempo, y al estado de nuestro coche, y a nuestra experiencia. Es decir: a la velocidad adecuada, que no tiene por qué ser la máxima permitida.

¿Por qué no podemos hacer el ceda el paso en el aspa roja? Es evidente: porque no aprovechamos el carril de aceleración. Si lo hacemos en el aspa roja nos incorporaríamos en la vía a 5, 10 ó 20 km/h como máximo en una vía que, en el caso de una autopista o autovía, puede tener una velocidad máxima de 100 ó 120 km/h. Por seguir en el ejemplo de la autopista:

  1. Para empezar, en una autopista está prohibido circular por debajo de 80 60 km/h, y no es baladí: si nos incorporamos a 20 km/h, cualquier coche que nosotros veamos en el horizonte nos puede alcanzar en segundos, creando una situación extremadamente peligrosa para todo el mundo.
  2. “Eso no es cierto, porque el carril de la derecha es el de los lentos: si viene alguien, que se aparte”. Esto es una estupidez. Si es lo que pensabas, lo siento pero es estúpido pensarlo. Es obligatorio circular por el carril de más a la derecha excepto al adelantar o en situaciones en las que el tráfico es tan denso que se desvirtúa la diferencia entre circular y adelantar.
  3. “Como se debe facilitar la incorporación a la vía, que se aparten un poco que no pasa nada”. Tampoco es así. Se debe facilitar la incorporación al carril por parte de otros vehículos, pero (en la misma página del código lo pone, además) en ningún caso se debe uno cambiar de carril: tiene preferencia quien ya está circulando por la vía. Si estás circulando por la vía, puedes hacer varias cosas para facilitar la incorporación: puedes aminorar un poco la marcha dentro de márgenes permitidos y de seguridad, y si no entorpecemos el tráfico, puedes adelantar a quien se está incorporando… pero todo eso nunca lo decide quien se incorpora, sino el que está circulando ya por la vía, así que al incorporarse se debe hacer el ceda el paso: sí, o sí.
  4. A veces no se tiene más remedio. Siempre uno puede manejar un poco la situación, pero es cierto que hay carriles de aceleración que no miden más de 10 metros, otras veces las incorporaciones están puestas en lugares de visibilidad muy precaria… todo el mundo conoce salidas o entradas en la autopista “que son una mierda”. En este caso, yo intento evitar estos lugares siempre que puedo, y si no puedo evitarlos, espero el tiempo que haga falta y elevo al máximo la precaución haciendo el ceda el paso.
  5. Es que si me paro en el tic verde el de detrás me pita. Es su problema porque es un ignorante.

Todos los días (todos los días) soy testigo de frenazos, pitadas, insultos y manos por la ventanilla porque mucha gente no sabe incorporarse a una autovía.

Social Popurrí – Web social, Web 2.0, red social, cultura 2.0 y demás palabrejas

Ayer estuve investigando un buen rato un aspecto muy técnico de mi proyecto. Llegué a golpe de búsquedas en Google a un artículo bastante bien estructurado y bastante profundo en el tema, que cubrió mis necesidades. Nunca me suelo dar por convencido, así que seguí buscando otro rato más, unos 15 minutos, y llegué a una entrada en un blog que hablaba del artículo que acababa de leer. Lo ponía a caldo: más allá de una crítica de fondo, era una crítica en la forma de suponer al lector conocedor de términos como API (Application Programming Interface, interfaz de programación de aplicaciones) o MVC (Model-View-Controler, [patrón del] Modelo – Vista – Controlador).

Yo, ayer, estaba en contra de dicha entrada porque criticaba un artículo muy técnico, dirigido a programadores y arquitectos de sistemas, por no estar escrito en un lenguaje llano, que pudiese entender cualquiera. Porque faltaba un glosario. Sin embargo, hoy he tenido una sensación muy parecida a la del autor de la entrada en cuestión leyendo unas pocas noticias que trataban de redes socialesWeb 2.0 y Web social, y cultura 2.0 en general.

Y es que para mucha gente, esos términos no tienen todavía un significado claro: forman un popurrí de palabrejas que suenan muy tontas, y que parece que las dicen unos pocos gurús, muy rápido a poder ser, para dárselas de listos. Muchas veces y para mayor vergüenza, esos gurús desconocen lo que hay detrás de esas palabrejas y gracias a ello se genera en internet un murmullo de cancamusa en el que es muy difícil separar la paja del grano. Y que confunde al lector. Lo sé porque me encuentro mucha gente confusa, y si hay gente confusa es que alguien se ha explicado mal, o que hay versiones contradictorias: la gente no se confunde sola.

Me he encontrado que hay quien entiende “Web 2.0” por una Web que no es estática, sino dinámica. Es decir, en el sentido de que tiene un comportamiento fluido y potente a la vista. O, incluso, he llegado a oír que una Web es 2.0… si tiene buscador. En otros casos, simplemente asocian la coletilla de “2.0”, “3.0”,… a una mera tontería que significa “renovada”. Luego está red social. Aunque es más fácil de asimilar, la gente sabe identificar redes sociales, pero no saben definirlas. Es decir, a la pregunta “¿Qué es una red social?” no se responde con “¡Facebook! Facebook es una red social, así que, pues eso”. Cultura 2.0 es algo todavía más incógnito, “¿Cultura 2.0, dices? ¡Cancamusa, humo, tonterías!”. Con ese contexto, muchos artículos, entrevistas y entradas en blogs no consiguen el calado que persiguen entre la sociedad si simplemente hacen una referencia a “la Web social”. Otras veces, con este barullo conceptual las empresas que buscan “estar en las redes sociales” se pierden por el camino porque no tienen instalada dentro de su funcionamiento la cultura necesaria para sacarles todo el partido posible. 

Falta mucho vocabulario y, sobre todo, mucho concepto.

Aunque yo tampoco soy nadie en la materia, me han explicado todos esos términos en algún momento de mi vida reciente. Así que intentaré poner por escrito de una manera más o menos clara los conceptos con los que yo me he quedado (y si consigo atraer los comentarios de alguien más formado que yo, mejor).

Web 2.0 es un conjunto de recursos, tanto técnicos como de diseño, que permite que el contenido del World Wide Web de toda la vida evolucione, para dejar de ser un canal de comunicaciones unidireccional. Es decir: si hacemos una Web tradicional, es como un cartel: hay un(os) señor(es) que escribe(n), y otro(s) que lee(n). Y punto. La Web 2.0 surge cuando permite dejar comentarios, enviar pistas al autor para que investigue, sugerir cosas. La Web 2.0 proporciona al lector una serie de herramientas con las que puede generar una realimentación hacia el publicador.

La Web social es un fenómeno que se produce en aquellos casos en los que estamos ante comunicaciones bidireccionales en formato Web tanto entre publicadores de contenidos y sus lectores, y también entre los propios lectores, y con usuarios de otros servicios, plataformas o Webs. Y que funcionan, es decir: esas conversaciones existen de forma exitosa sobre Webs que son 2.0. Existen conversaciones generadas a partir del contenido, tanto entre los creadores de los mismos con sus comentaristas, tanto entre los propios comentaristas, y entre éstos y los usuarios de otros servicios con los que se pueden establecer referencias. Páginas que van mejorando porque permiten comentarios, relaciones entre comentaristas, que permiten que el autor conteste a sus comentaristas, que permiten que los usuarios puntúen, envíen respuestas, compartan, o incluso editen como en el caso de la Wikipedia. No es nada más metafísico que esto. Eso sí, hay que tener en cuenta que en una Web que tiene carácter social siempre hay un creador de contenidos que los pone a disposición de su comunidad de usuarios para que la critiquen, compartan en otras Webs, comenten, discutan y enriquezcan. Hay un usuario, o facción de usuarios, “fabricantes de información”, y otros que la consumen.

Una red social es algo parecido a lo anterior, a lo mejor un caso particular de lo anterior que se desprende de ello. Pero la diferencia fundamental entre Web social y red social es que en la última son los propios usuarios y no “el fabricante” quien genera el contenido, ni tampoco hay un equipo director que dirige la actividad de la red como un todo. Son los propios usuarios de la red los que generan las tendencias, las corrientes, que se organizan en grupos de intereses comunes a través de mecanismos más o menos sofisticados. Se dispone una plataforma orientada a una determinada actividad (microentradas, fotografía, vídeo, trabajo, amistad/ocio,…) y se deja que la sociedad de usuarios que se unen a ella siga su propio curso. El contenido, tanto propio como el que se genera cuando se comparten enlaces a otros sitios, se genera de forma espontánea con la interacción de unos usuarios con otros.

Cultura 2.0 es lo que las personas tienen que tener para que todo esto funcione. Se dice que alguien o alguna entidad “tiene, o se rige por una Cultura 2.0” cuando, en pocas palabras, las comunicaciones entre los distintos actores ya funcionan de partida en todos los sentidos, sin Web y sin redes sociales de ningún tipo. Cuando, dejando de lado toda burocracia y con mucha humildad, una organización es capaz de generar conversación con sus propios empleados, usuarios, seguidores o clientes, escuchando y debatiendo cualquier cosa que pueda servir para mejorar, aunque sin abandonar sus principios. Alguien que no tenga esta cultura bien arraigada tecnologías aparte, no es capaz de sacar provecho de la Web social o las redes sociales: por mucha cuenta de Twitter y página de Facebook que tenga. Atender al cliente, responder dudas, aceptar sugerencias, hablar al cliente en un lenguaje que sea capaz de entender huyendo de argots, dar soluciones a problemas, rechazarlos cuando no se comportan o no corresponde… en España hay muchas empresas (a veces muy grandes) que desde fuera percibimos que funcionan así, pero hay otras entidades que tienen una cuenta de Twitter pero no contestan en absoluto, como todos sabemos. Las primeras lo hacen bien, las segundas podrían simplemente cerrar sus cuentas de Twitter y páginas de Facebook y Google+: nadie las echaría de menos. Para saber si existe cultura 2.0 en una organización hay que buscar cosas como éstas:

  • Empleados capaces de pensar, por sí mismos, de qué forma su organización puede mejorar, y que tienen libertad de actuación dentro de sus responsabilidades. Empleados incentivados para comentar todas estas mejoras en algún foro.
  • Una jerarquía que desea escuchar lo que sus trabajadores y usuarios tienen que decir al respecto de sus normas y políticas, y que desea tenerlo en cuenta, es decir, que accede al foro donde sus empleados depositan sus comentarios, y los interioriza para ver qué puede poner en práctica de todo ello. Se trata de que la propia organización siempre esté dispuesta a someter a estrés su propia cultura para adaptarse a los cambios en la sociedad. La forma de pensar de los empleados y los clientes cambian con los tiempos, eso es así.
  • Un sector ocupado en escuchar y ayudar a sus usuarios o clientes, y que tiene potestad para decirle al resto la empresa qué es lo que está haciendo mal.

En definitiva, gente que sepa aceptar y valorar que alguien le diga que puede hacerlo mejor.

La cultura 2.0 trata de las organizaciones y las personas, no es un concepto tecnológico, sino cultural (como su nombre indica). La Web social y las redes sociales son instrumentos para ofrecer dicha cultura, y van después.