Sinologic

Etiqueta: opinion

  • Suspenso general en las telecomunicaciones tras el apagón

    El pasado día 28 de abril ocurrió un apagón general en toda España y por extensión, también en Portugal debido a la cercanía y la interconexión eléctrica entre ambos países. A las 12:30 del mediodía, un corte general de electricidad afectó a todo aparato conectado a la red eléctrica y durante unos minutos reinó la confusión y los nervios. Durante esos minutos, todas las conexiones de fibra empezaron a apagarse lo que provocó que, algunos pocos afortunados con Sistemas de Alimentación Ininterrumpida (generalmente conocidos como SAI) pudieran aprovechar aún para conectarse a alguna página web de información y darse cuenta que el apagón era más grande de lo que parecía inicialmente.

    Desgraciadamente los SAI apenas duran unos minutos, suficientes para aguantar un vaivén eléctrico o para apagar con seguridad los servidores en caso de que supere cierto tiempo, por lo que ya sólo nos quedaron las líneas móviles, salvadoras de cataclismos y con batería suficiente como para aguantar 24 horas sin electricidad, o al menos, eso debería haber sido.

    Desgraciadamente muchas de las antenas también se quedaron sin conexión eléctrica en la mayoría de los casos, en otros, aunque había cobertura (las antenas estaban alimentadas) no había tráfico ni de internet ni de teléfono. En otros casos, las antenas duraron menos que el SAI casero y toda cobertura desapareció en apenas dos minutos. Muchísimas antenas no fueron capaces de aguantar ni una hora de corte de suministro eléctrico, dejando incomunicadas a miles de personas.

    No hay más que ver que, como decía el anuncio: «el futuro es móvil» y que todo lo que no sea redes móviles apenas tiene sentido mantenerlo. Han quitado la red de cobre y la han sustituido por una red de fibra que hay que alimentar continuamente. En estos casos los SAI apenas duran unos pocos minutos para evitar microcortes eléctricos. Pero cuando Europa nos aconseja un «kit para emergencias» diseñado para aguantar al menos 48 horas sin poder salir de casa, al menos también deberían aconsejar que las comunicaciones también deberían aguantar algo más que unos pocos minutos.

    Yo confieso que no son nada «Prepper«, si ocurre un desastre, fijo que me pilla sin papel higiénico, sin agua potable y con el frigorífico vacío. No obstante, soy consciente que un mínimo sí que deberíamos estar preparados y guardar unas latas de comida «por si las moscas».

    Somos tan dependientes de la electricidad y las comunicaciones que si nos falta alguna de estas dos cosas, la gente se volvería loca y si las comunicaciones también dependen de la electricidad, todo nos hace más vulnerables como se ha demostrado.

    Por suerte no hay que lamentar muchos desastres. Algunas personas lo han pasado mal con los respiradores y las máquinas de oxígeno o para evitar la apnea a la hora de dormir, pero ante cualquier problema de este tipo, la incapacidad para comunicarse incrementa sustancialmente la sensación de vulnerabilidad y la incapacidad de respuesta. (no voy a entrar en la incompetencia política y la falta de respuestas útiles y rápidas ante un desastre de este calado).

    Los datacenters están obligados a tener un sistema de respaldo que les haga mantenerse muchas horas en caso de corte eléctrico. Ese sistema de respaldo funciona con generadores, placas solares, etc. y gracias a esto muchos de los sistemas siguieron funcionando cuando volvió la luz. No obstante Movistar (y por extensión, todas las redes móviles que dependen de ella) siguió experimentando problemas en la red móvil 48 horas después de volver la electricidad. ¿tan poco resiliente es la red móvil que sigue sin permitir llamadas telefónicas 48 horas después de volver la electricidad?

    De todo debemos sacar algo en claro: En este caso, que la red eléctrica y el sistema eléctrico debe ser más robusto. Debemos ser «más independientes» tanto a nivel nacional como a nivel personal. Contar con baterías de respaldo en casa para alimentar lamparas led, móviles, tener una radio a pilas para poder escuchar las noticias, un walkie-talkie para comunicarse sin necesitar de una compañía que te puede dejar tirado en estos momentos o tener una forma de cocinar fuera de la típica vitrocerámica / microondas / horno eléctrico, es algo que debería formar parte de ese «kit de emergéncias» que nos vamos a tomar en serio.

    Como digo, de todo debemos sacar algo, y en esta ocasión, voy a tomarme en serio lo del «kit de emergencias» que hace poco anunció Bruselas y que medio país se tomó en broma, incluido yo.

  • La IA nos va a quitar de trabajar a todos (o casi todos)

    La IA nos va a quitar de trabajar a todos (o casi todos)

    Últimamente me estoy encontrando con un gran número de noticias sobre IA. La Inteligencia Artificial se ha hecho de dominio público y hoy día cualquiera escribe un artículo, graba un vídeo o te muestra lo fácil que es hacer cualquier cosa con ChatGPT o con cualquiera de las 2000 herramientas que te dan una cuenta gratuita sobre IA… excepto lo que buscas hacer.

    Un día estás leyendo en swahili cómo funcionan los tensores de la librería TensorFlow y al día siguiente ves que todo el mundo se apunta al carro de meter la IA con calzador para vender más y mejor la misma piedra que llevan vendiendo 10 años. Sin duda ChatGPT ha hecho una gran labor «democratizando» la IA ante todos y que cualquiera pueda utilizarla sin tener ni idea de cómo funciona, al fin y al cabo, todos conducimos un coche pero pocos saben cómo funciona un motor por dentro: No hace falta entender cómo funciona algo para poder utilizarlo y venderlo como si fueras un experto.

    En el mundo de las comunicaciones, meter la IA ha sido la siguiente gran revolución más allá de «meter Whatsapp como mensajería Omnicanal multitodo y para todos«. Ya cualquiera pone un bot con el que hablar 24 horas para responder dudas sobre cualquier tema que te atormente. No es una crítica, es algo previsible en un mercado tan estabilizado como el de las comunicaciones.

    Si no tienes nada con lo que destacar, métele IA en la sopa y dale un toque «fresco» a tu software. Échale un poco de transcripción, un agente en forma de robot de mensajería y un tts molón que parezca humano y ya tienes un producto actualizado.

    Con DeepSeek-R1 opensource, jugando con Ollama o GPT4ALL o algún otro software para montarte tu propio servidor al que le metemos unas cuantas GPU que ya no sirvan para minar bitcoins, y ya tenemos un servidor para que nuestros clientes puedan hablar y responder las 24 horas. Por cierto ¿Qué tal la concurrencia? ¿Cómo lleva ese servidor trabajar con varias personas llamando a la vez? ummm mejor no lo pensemos, quizá no es el momento, es sólo un prototipo.

    Las empresas de Cloud te alquilan servidores GPU para trabajar con IA. A precio de oro. Miras el coste de una tarjeta Nvidia H100 y no baja de 30.000€, así que alquilarse una máquina para montarte tu propio servidor IA con Ollama no es tan mala idea. Juntamos un par de tarjetas RTX4090 y eso dará para algo…

    Esto en el mejor de los casos… si dependes de la API de algún servicio tienes un problema. Hoy tiene un precio, mañana será más barato, pasado lo subirán un poco, en menos de lo que esperas, estarás pagando una fortuna y tu filosofía de «el cliente pagará lo que sea por esto» se esfumará tan rápido como vino.

    Hoy todo el mundo está alucinando con la IA, sus enormes posibilidades ilimitadas para mejorar hasta la calculadora del móvil. No aprendemos de las enseñanzas de la escuela empresarial americana: Haz algo lo más rápido posible. Acostumbra a los usuarios a utilizar algo de forma prácticamente gratis y así evitarás que aparezca mucha competencia. Sigue avanzando hasta que la competencia ya no pueda pillarte y cuando lo consigas, ya puedes empezar a cobrar.

    Ahora todo es felicidad y gran descubrimiento del poder de la IA, mientras millones de personas regalan las fotos de sus caras a una cuenta gratuita de ChatGPT. DeepSeek-R1 fue una torta con la mano abierta, una forma de decir: Pensabas que la IA iba a ser cosa de dos o tres empresas americanas, pero acabamos de ofrecer el modelo abierto a todos para que cualquiera pueda competir y seguir desarrollando.

    Ahora OpenAI quiere ofrecer un modelo Open Source (https://openai.com/open-model-feedback/) para «competir» contra Deepseek. Es como si Microsoft anunciara que va a ofrecer una versión de Windows «open source». Creo que no distinguen bien entre «software abierto» y «software libre». Te enseño cómo es por dentro, pero no te dejo usarlo porque …

    En cambio Deepseek no sólo es OpenSource, DeepSeek es software libre. (tiene licencia MIT).

    Para todos los expertos en IA… la IA no es simplemente usar un modelo. Son datos, muchos datos, un dataset increíblemente grande con el que enseñar al modelo en cuestión. Son formatos diferentes de modelos, algunos más compatibles que otros y algunos más interesantes que otros.

    Realmente la IA nos va a quitar de trabajar, tarde o temprano, a todos los que trabajamos delante de un ordenador. Saldrá lo necesario para que le enseñemos a hacer nuestro trabajo, a ser más creativos, a probar, equivocarse y volver a intentarlo sin cometer los mismos errores. «El ser humano es el único animal que tropieza dos veces sobre la misma piedra», la IA no es humana, no caerá dos veces sobre la misma piedra, no se equivocará, aprenderá rápido y terminará haciendo lo que haces, por muy complejo y muy lejano que te parezca.

    Aún así, soy un gran fan de la IA. De la primera que aprendí en la Universidad y de la nueva. No hay nada como aprender a montar tu propio modelo desde cero, enseñarle con un dataset propio, preguntarle y ver que hasta ChatGPT se ríe de la respuesta de mierda que te ha dado… pero me da una respuesta… desde cero (bueno, de cero no, con un buen puñado de librerías de Python LIBRES).

    Hacer un robot usando ChatGPT o Ollama es un gran avance, montar tu propio modelo para enseñar lo que quieres que aprenda y poder ejecutar 400 peticiones concurrentes en una CPU sin necesidad de tarjetas gráficas, es mucho mejor. ;D

    Así que sí… la IA tiene dos velocidades:

    • Por un lado, no hay nada que asuste más que subir una foto y que te haga una caricatura perfecta, o ponerse a programar y ver cómo el Copilot se adelanta a lo que ibas a escribir o pedirle consejo sobre un diseño de una web y que te pregunte si la quieres en React o prefieres que te la dibuje en Figma. En este momento piensas que más nos vale empezar a buscarnos un hobby con el que sentirnos felices.
    • Por otro lado, sigo pensando que el mundo del software libre acaba de abrir un melón muy interesante y que la IA bien usada puede ser muy, muy útil si se sabe manejar muy bien. Si no dejamos que las 3 empresas de siempre monopolicen el mercado haciéndola impracticable ante el resto del mundo.

    Por lo que, tanto por un lado como por el otro… voy a ir aprendiendo botánica para montarme mi propio huerto donde plantar lechugas, patatas y tomates … por si las moscas.

  • Empresa segura: Parte 1

    Empresa segura: Parte 1

    Antes de nada, debo pedir disculpas a todos los lectores, llevo varios meses muy centrado en otros temas y lo cierto es que no he encontrado momento ni temas suficientes como para escribir con la frecuencia y el tiempo que me gustaría. Suelo aprovechar alguna noticia importante del mundo de la VoIP y/o del software libre para hacer algún comentario y hablar sobre algún tema que considero de interés, no obstante llevo varios meses con bastante lío encima de la cabeza y salvo los productos interesantes que me hacen llegar la gente de Snom y la gente de InstantByte (menos mal), apenas encuentro un momento tranquilo para sentarme a pensar sobre qué me gustaría escribir.

    Entre otros temas que me trae de cabeza, es algo sobre lo que llevamos (mis compañeros y yo) algunos meses tramando… y es sobre cómo conseguir ser una «empresa segura«. Algo que daría para muchos, muchos artículos y sobre lo que está todo escrito y no se escriben otras muchas cosas para no dar pistas a los «malvados», pero sí que es cierto que llevamos muchos meses preparando el terreno para asegurar técnicamente, todo lo posible, la información con la que trabajamos todos los días.

    No es que tengamos los códigos nucleares, ni los códigos de acceso a los búnkeres de seguridad nacional, pero sí que al tratar y manejar datos privados de clientes y visto lo visto en cuanto a ataques, vulnerabilidades y demás… hemos considerado interesante buscar la forma de ponérselo un poco más difícil a los malvados juankers y hacer todo lo posible para que los datos de los clientes estén a buen recaudo.

    Está claro que si los hackers han entrado en Telefónica, en Iberdrola, en Endesa, en la DGT, en varios ministerios y en un sinfín de empresas muy preparadas, nada me asegura que haga lo que haga no vayan a conseguir lo mismo. Es extremadamente difícil asegurar una empresa y los datos que maneja, pero sobre todo, quizá lo más difícil es llegar a cruzar la línea de la paranoia sin que realmente uno se vuelva paranoico.

    Para conseguir dar el paso para ser una «empresa segura», hemos optado por realizar varias fases:

    • Fase 1: Sentido común
      Esto es… si yo conociera los puntos flacos de la empresa ¿Cómo lo haría para atacarla? ¿Qué necesitaría? En esta fase eliminamos los puntos de seguridad por ocultación y nos centramos en asegurar de verdad.
    • Fase 2: Seguridad exterior
      Preparamos todo lo necesario para evitar ataques provenientes del exterior: bots, personas externas, vulnerabilidades en servicios expuestos, etc…. aquí nuestro amigo el firewall, junto con nuestros amigos «direcciones IP estáticas» van a ser nuestros mejores aliados.
    • Fase 3: Seguridad interior
      Ahora le toca la parte de ¿y si el enemigo está en casa? Paranoia máxima… un cable no controlado, una red wireless vulnerable, un acceso remoto no configurado y el enemigo ya está dentro… ¿qué hacer entonces?

    Una vez planificado estos puntos, toca la parte más difícil… plantearse un reto, un reto de verdad, uno que cueste dinero y así asegurarnos que no se quede en agua de borrajas:

    • Obtener un certificado de Calidad y Seguridad a nivel internacional, debería ser una forma como otra cualquiera que nos garantice que los cambios que hacemos son suficientes como para prevenir y curar con garantías cualquier problema de seguridad que pueda plantearse en un hipotético caso. Por suerte (y veremos que también por desgracia), la empresa nunca ha tenido un problema de seguridad más allá de algún ssh expuesto accidentalmente y varios intentos de ataque, y eso es, sin duda, gracias a mis compañeros presentes y pasados, que de una forma u otra «blindaron» la infraestructura para evitar sustos que pudieran considerarse serios.

    Claro que desde entonces hasta ahora ha llovido bastante y la tecnología y la seguridad ha evolucionado tanto que hoy día, un chaval de 17 años puede hacer estragos con unas pocas ganas de tocar las narices, así que buscamos un certificado internacional de seguridad y nos hemos tirado a por él. Contratada una consultora que nos guíe en los distintos pasos que hay que seguir y ponernos en sus manos en cuanto al asesoramiento sobre qué debemos mirar.

    Somos conscientes que el 70% de los certificados son documentación y protocolos más que temas técnicos que nos puedan ayudar a proteger la información que almacenamos. No obstante, los requisitos para que, asegurar la información de una empresa no se quede simplemente en buenas intenciones, implica ponerse en serio y sacar las certificaciones, a ser posible en un tiempo record.

    Hay muchas certificaciones:

    • ISO27001 (el certificado de seguridad por excelencia, entre 97 y 114 puntos de control que hay que asegurar) Documentación por un tubo y cada uno de ellos con sus «necesito una evidencia de lo que dices» que te volverá loco. Hay que renovar cada 3 años.
    • ENS (el certificado de seguridad nacional) un certificado que nació para que lo cumplieran los ayuntamientos, universidades y administraciones públicas y al final han terminado obligando a cumplirlo a todos aquellos que quieren trabajar con las AAPP. Reune más requisitos técnicos que la ISO27001 (porque sólo permiten cierto hardware y software homologado para AAPP, pero que ya sea de paso, también para todo aquella empresa que quiera sacarse el certificado). Hay tres tipos de ENS: simple, medio y alto. (lo bueno es que toda la información es pública: https://www.ccn-cert.cni.es/es/guias.html). Hay que renovar cada 2 años.
    • NIS2 (el certificado de seguridad europea) un certificado de ciberseguridad a nivel europeo similar a los puntos de la ISO27001, pero con una organización algo más laxa.

    ¿Qué hay que proteger?

    Para empezar a ser una empresa segura, lo primero es preguntarse, ¿qué tenemos que haya que proteger? ¿qué tienes?, ¿de dónde sale?, ¿quién es el responsable?, ¿cómo se genera?, ¿quién lo utiliza?, ¿quién lo borra?, y un largo etcétera.

    En nuestras empresas hay mucha información relevante e importante: grabaciones, listados de llamadas, números de clientes, agendas, usuarios/contraseñas, etc. Si tienes CRM o ERP, la cosa se vuelve más peliaguda, ya que tienes información más confidencial de la empresa del cliente y si almacenas datos de identificaciones como CIF, nombres y direcciones, se considera que tienes datos confidenciales de nivel 2 y toca proteger la información sí o sí, bien cifrándola, bien poniéndole todas las barreras posibles para evitar que nos lo roben, la vendan, etc.

    Sabiendo la información, material o cosas que hay que proteger, el siguiente paso no es más que algo evidente: ¿qué podría pasar si no se protege?

    ¿Qué podría pasar si no se protege?

    Imagina que borran estos datos, o que un día entras en la oficina y desaparecen los servidores, o que hay una manifestación y nadie puede entrar en la oficina o que han desaparecido todos los servidores principales por un fallo en el datacenter, o que… 1000 situaciones catastróficas que se te puedan ocurrir, desde las más elementales (que entre alguien a un sistema) como las más insospechadas (que alguien con información confidencial se vaya de mal rollo de la empresa).

    No es agradable ponerse en esta situación, pero es otro paso necesario. Controlar qué cosas pueden ocurrir, la probabilidad de que ocurra, y qué habría que hacer en este caso.

    Backup y protocolos anti-desastres

    No hay duda que tener una copia de seguridad siguiendo la regla del 3-2-1 (La norma establece que debes tener al menos tres copias de tus datos; dos de las copias de seguridad deben estar almacenadas en diferentes tipos de medios, y al menos una copia de seguridad debe estar almacenada fuera del sitio o en la nube) es algo fundamental. No siempre es posible, pero hay que buscarlo siempre que se pueda. Siempre puede, por muchas garantías que te digan, fallar algún sistema crítico y haya que recuperar cuanto antes.

    O ponerse en lo peor y pensar que todo se puede ir al traste en una mañana… en ese caso, toca preparar un protocolo anti-desastres que ayude a mantener la calma y recomponerse tan rápido como sea posible. Las posibilidades son casi infinitas, pero las probabilidades no son tan bajas como nos gustarían y estar preparado ante lo insospechado es un plus.

    Con esto, explicado de una forma rápida y sutil como una conversación de cafetería, tendríamos la parte vital de recomponernos si algo va mal. Ahora empezamos con la parte «divertida».

    Evitar el ataque

    En este caso, hay que activar algo que siempre he odiado: el modo paranoico. De hecho en Sinologic no escribía sobre seguridad porque no quería despertar al «paranoico» que llevamos en nuestro interior. Se vive mejor y mucho más feliz siendo «hormiguitas» en la que nadie se fija ni siquiera para atacarnos, pero es verdad que hoy día los bots ya no miran sólo a empresas grandes, miran a cualquier empresa o cualquier ordenador que haya conectado y sea vulnerable y la mejor forma de evitar quedarte sin empresa o sin servicio, es evitando el ataque.

    Para evitar el ataque, lo primero es ver qué infraestructura tenemos, cómo está expuesta y por qué está expuesta. Evitar la «seguridad por ocultación» es algo vital…

    Ejemplo: Proteger el acceso remoto:

    El hecho de mover un puerto SSH estándar a uno aleatorio fue útil hace unos años, pero desde que un bot puede escanear la red entera buscando servidores SSH en todo internet buscando puerto a puerto y en cuestión de minutos, hace que tener un puerto SSH expuesto a Internet sea ya un riesgo. No es necesario ni tener una cuenta, basta con que la versión del servidor SSH no sea la última que soluciona una vulnerabilidad, para que haya un exploit que de acceso remoto al bot y avise al «nodo supremo» que tiene una nueva máquina a la que inyectar el software de minado, para que te encuentres minando bitcoin en menos de 10 minutos.

    Puedes usar un fail2ban, pero nuevamente, el script detecta la versión al primer intento, por lo que el exploit funcionará en el segundo intento. Fail2ban puede servir, pero no es la panacea (esto último lo he visto con mis ojos). Así que ante la falta de soluciones sólo nos queda una posible solución:

    1. Tener la distribución completamente actualizada SIEMPRE.
    2. Cortar todo acceso SSH utilizando el firewall bloqueándolo a la IP desde la que vayamos a conectarnos.
    3. Usar fail2ban
    4. Evitar acceso mediante contraseña (siempre utilizar Autentificación mediante Clave Pública)
    5. Cambiar el puerto estándar (nunca usar el puerto estándar para accesos remotos)
    6. Jamás permitir acceso directo con el usuario ‘root’. Siempre acceso a usuario local con permisos limitados.
    7. Monitorizar periódicamente los accesos por ssh.

    Sé lo que puedes estar pensando: Desde el momento en que bloqueemos el puerto SSH a una IP ¿por qué hay que hacer todo lo demás? Nadie va a poder acceder al puerto excepto nosotros…

    Ahí es donde te equivocas… recuerdo un caso hace algunos años en el que el firewall siempre estaba activo,… hasta que un día alguien tuvo que bajarlo y se olvidó subirlo… en ese caso un fallo manual provocó que el puerto SSH estuviera expuesto. El resto de acciones protegen ante el fallo del anterior.

    Acuérdate del IPv6

    Y es que muchos sistemas tienen IPv6 aunque se nos olvide, y configuramos el firewall para IPv4, pero para IPv6 el firewall sigue estando accesible. Es más difícil de acceder, porque los escaneos de la red son más limitados, pero aún así, sigue estando accesible si no hemos bloqueado el puerto en ambos sistemas.

    El ataque no siempre viene desde fuera

    Ahora viene la parte más complicada, y es que una gran parte de los ataques no vienen desde el exterior, si no del interior. Acuérdate de cuando en Mr.Robot, el protagonista metió un USB en la empresa con un virus y un empleado de la empresa lo metió en su ordenador para ver qué contenía e infectándose. Ya no es únicamente una serie de televisión, hay cientos de miles de pendrive con virus sueltos por las calles a la espera de que alguien se lo lleve y vea qué contiene.

    Linux no siempre es invulnerable

    Donde trabajo, prácticamente todos usamos Linux (el 95%) tanto en servidores como en puestos de trabajo, por lo que la parte de virus, troyanos, malware y demás… digamos que estábamos bastante tranquilos. Hasta que un compañero estuvo investigando acerca de OSSEC, una herramienta software libre que analiza el software instalado en cada sistema, revisa versiones y compara con una base de datos de vulnerabilidades. En ese momento empezamos a recibir una cantidad curiosa de alertas sobre versiones de paquetes vulnerables por no estar convenientemente actualizados. Es curioso como puedes pasar de la tranquilidad de saber que todos trabajamos con Linux, a ver un montón de números rojos sobre versiones vulnerables y que toca revisar, actualizar y teñir de verde como sea. (Recordad que estamos haciendo esto para obtener una certificación, y la única manera de hacerlo es que todo sea seguro).

    Volviendo a «el ataque no siempre viene desde fuera» viene otra parte cruda, sospechar de cualquier compañero. Esta parte es muy fea, desagradable pero obligatoria, y es que cuando eres una empresa pequeña, hasta la chica que viene a limpiar tiene acceso root a cualquier servidor (vale, si… es una exageración,… xD) pero para obtener el certificado, lo primero que te dicen es: Sólo pueden tener acceso el mínimo número de personas. Eso implica que desarrolladores, personal de soporte, administración y demás que tenían acceso a un servidor «por si las moscas pasaba algo», ahora ya no tenían acceso. Los permisos del CRM y del ERP son revisados y ahora ya no todo el mundo tiene vista de lo que antes sí tenían visibilidad, y eso fastidia, es algo normal… quitar accesos que antes tenías suena a que no se fían de tí, pero lo cierto es que en seguridad, por cada persona que tenga acceso a un sistema, se convierte en un posible agujero de seguridad. Algo que exigen eliminarlo a toda costa salvo que haya un motivo de peso para tenerlo.

    Por si fuera poco, dos cosas más que hay que añadir a «obligaciones para tener una red corporativa segura«: vigilancia de la red interna y un control de DLP, aunque sea mínimo.

    Vigilancia de la red interna pueden ser muchas cosas, lo importante es que si hay un software haciendo de las suyas en la red interna un martes a las 04:00 a.m. deberías recibir algún tipo de alerta y hacerte las preguntas básicas. ¿porqué el ordenador XXX tiene 2Mb/sec de ancho de banda ocupado a las 4 a.m.? ¿Cómo se detecta este comportamiento extraño? Herramientas hay muchas, libres no tantas.,

    DLP (Data Loss Prevention o en español: prevención de pérdida de datos) es el control para evitar una fuga de información por canales estándar, lo que implica disponer de un software de «detección de fuga de información», un aspecto que el Incibe ya nos habla y nos pone en sobreaviso. Ya sea por parte de un compañero, jefe o cargo-intermedio, nadie escapa a una posible «fuga de información» que hay que evitar. Ya no únicamente saber que tendrá consecuencias si ocurre, es que directamente hay que evitar que ocurran, ya que en muchos casos ésta puede ser algo sin querer. Ahí prácticamente no hay ningún sistema libre que permita controlar el DLP tal y como lo piden las empresas certificadoras, así que toca buscar alternativas comerciales. 🙁

    Finalizando de forma segura…

    Tener una empresa «segura» no es algo fácil, ni barato, ni siquiera cómodo. Siempre he dicho que la seguridad es incómoda, pero necesaria. Puede provocar malentendidos y alguna que otra discusión, pero es mejor discutir que perder los datos de la empresa de la que dependen muchas familias.

    Si algo he aprendido estos meses que hemos estado trabajando para aumentar la seguridad de la empresa, es que la sociedad de la información nos ha obligado a los administradores de sistema a volvernos paranoicos. Es un estado necesario para la supervivencia hoy día en la que los datos, las redes de alta velocidad y accesibilidad desde cualquier lugar, se han convertido en la materia prima más importante de esta sociedad. La privacidad vs. la seguridad. ¿Cómo vigilar que es seguro algo que no podemos ver por la defensa de la privacidad? Esto es un debate muy interesante y me encantaría conocer vuestra opinión al respecto.

    En fin, espero que este tema llegue a su fin (spoiler: no mucho, porque la seguridad es un estado que requiere revisiones periódicas para comprobar que todo sigue en su sitio) y pueda tener un poco más tiempo para poder escribir más sobre VoIP y Software Libre.

    Lo que sí os puedo garantizar es que voy a empezar a escribir sobre esta temática que he evitado tantos años, y es que, otra de las cosas que tengo que hacer es estar al día sobre riesgos, alertas y vulnerabilidades de sistemas que usamos a diario, lo que implica estar vigilante sobre cualquier fallo de seguridad que afecte a nuestras herramientas Asterisk, Kamailio, FreeSwitch, OpenSIPs, etc. o bien a hardware VoIP (teléfonos, gateways, etc.)

  • Utilizar el Fax en la oficina podría perjudicar seriamente tu salud

    Utilizar el Fax en la oficina podría perjudicar seriamente tu salud

    Así lo han descrito los investigadores que han hecho el estudio en el que confirman que el uso de una máquina de fax podría provocar daños irreparables tanto físicos como psicológicos.

    Ya era bastante conocido por muchos los graves problemas respiratorios y cancerígenos que producen los gases que emanan algunos aparatos de faxes al utilizan un sistema de impresión basada en láser que, al ionizar el oxígeno del ambiente producen ozono, un gas beneficioso para la atmósfera ya que nos protege de los rayos infrarrojos, pero muy perjudicial si lo respiramos.

    A esto, hay que sumar su enorme daño ecológico producido por la fabricación de los componentes (circuitería, mecanismos, plásticos, etc.) como por la fabricación de la tinta necesaria así como el consumo inútil de papel para obtener imágenes y texto de baja calidad como sólo el fax es capaz de proporcionar.

    Además de todo lo anterior, disponer de una máquina de fax permanentemente encendida a la espera de recibir algún fax a la semana o al mes, es un despropósito que nos puede salir muy caro, ya que para poder imprimir un fax, la máquina debe estar encendida. Tomando en cuenta que una máquina de fax moderna, en modo standby, y con el máximo de ecológico/económico activado consume una ridiculez como 1,5W/h ( que es poco más que una bombilla led de baja potencia), mantener esa máquina encendida todo el día, haría que el consumo diario fuese de 1,5W x 24 = 36W diarios, con lo que en un año, el consumo pasa a ser 36W x 365 = 13.140W (esto son 13kWh al año) que, contando con los nuevos precios de la electricidad en España (una media anual de 0,20€ el kWh) costaría 13kWh anual x 0,20€/kWh, sería unos 2,628€ sólo por tener encendida la máquina todo el tiempo durante un año.

    Aparte de estos problemas físicos como ecológicos y económicos, pasamos a ver los problemas psicológicos que hay tras una máquina de fax, desde los pobres técnicos que tienen que configurarlo y que reciben críticas continuas por no poder contentar a todo el mundo, ya que las imágenes se ven mal, los textos a menudo no se entienden y las cantidades se vuelven completamente imposibles de entender, hay que sumar el hecho de la angustia que provoca estar esperando a que el fax envíe correctamente todas las páginas en su orden correcto, ya que en muchos de los casos, los faxes tienden a fallar estrepitosamente y fallan al entregar las últimas páginas, sobre todo cuando intentamos enviar documentos de 40 o 50 folios, lo que hace que tengamos que volver a enviarlo varias veces, con su consecuente aumento de estrés y el enfado de quien no recibe el documento completo a la primera.

    Tanto son los graves problemas que ocasionan los faxes, que desde un foro de internet tan popular como Reddit, animan desde una página especial a todos los usuarios a abandonar este dispositivo y apostar por soluciones más propias del siglo XX como pueden ser un email, un paquete postal o incluso una paloma mensajera que tenga fuerza para llevar un documento de 50 páginas.

    Hay que pensar que una línea analógica tiene un coste mensual (quieras o no) y esto es algo que prácticamente todos los operadores cobran, sólo que muchos lo ocultan en el precio mensual de otros productos como «fibra» u otros conceptos, pero al final, el precio habitual de tener una línea analógica para recibir 4 faxes al año es aproximadamente 17€/mes.

    Precios del mantenimiento de línea analógica de una famosa compañía telefónica

    Así que, sea como sea, mantener una máquina de fax, con su línea analógica, sus tóners de tinta, consumiendo papel de un grosor especial (que no suele gustarle el reciclado), electricidad por si recibimos un fax de publicidad algún día, más en consiguiente cabreo por la mala calidad del documento que recibimos, fallos al no entenderse bien los números y cantidades que se indican (personalmente he tenido problemas con esto), además del tiempo que se tarda en:

    • buscar el documento,
    • imprimirlo,
    • ir a la máquina de fax,
    • enviarlo,
    • escribir un email o una llamada para indicar que has enviado un fax,
    • volver a a ir a la máquina de fax,
    • volver a enviarlo,
    • asegurarte esta vez que se han enviado todas las páginas,
    • volver a preguntar si lo han recibido bien esta vez,

    En resumen… que enviarlo de cualquier otra forma es mucho más seguro, eficaz, económico y por supuesto y en base a todo lo que he expuesto, mucho más sano para nuestra salud física y mental.
    Si tienes que enviar un fax… di un respetuoso NO GRACIAS, ESTAMOS EN EL SIGLO XXI, y envíaselo mejor por email.

    Nota importante:
    Es obvio que este artículo es un sarcasmo / broma basado en mi propia experiencia, por lo que espero que se considere así, no obstante, y tal y como expresé en un conocido artículo llamado: El Fax debe Morir, de verdad de la buena que los faxes son a la larga y a la corta, perjudiciales en todo lo que he expuesto, así que si efectivamente quieres aprovechar el hueco que ocupa una máquina fea y ruidosa, te recomiendo que quites esa máquina, des de baja la línea analógica asociada al fax, y pongas en su lugar un bonito poto.

  • Demasiada información no es control, es desinformación

    Demasiada información no es control, es desinformación

    Hace unos años, participé en el desarrollo de un proyecto piloto consistente en crear un producto desde cero, partiendo de una supuesta solución ante un determinado problema y orientado a un nicho muy concreto, aprovechamos algunos nuevos conceptos y metodología de diseño de productos que algunos compañeros habían aprendido, nos pusimos manos a la obra y a poner en práctica aquellas lecciones que más adelante pasaron a ser nuestras también.

    Entre estas metodologías para empezar a pensar en un producto viable, se encontraba uno bastante conocido llamado «Design Thinking» y basándonos en este sistema elaboramos una serie de características para un nuevo producto que, de no haber utilizado este sistema, y basándonos únicamente en nuestra experiencia y conocimientos, hubiera sido muy diferente.

    El resultado, años después, fue un software bastante bueno, utilizado por muchas empresas de todo el país y con una cuota de mercado mucho más grande de la que imaginábamos en un principio cualquiera de los que participamos en el desarrollo (tanto a nivel de programación, como comercialmente, y como a nivel de gestión y control). El uso de una metodología como Design Thinking nos enseñó a discernir entre «lo que nosotros creemos importante desarrollar» frente a lo que «el usuario considera importante».

    Esta diferencia la he visto antes y después en elementos y características de otros productos y debo decir que ha sido una constante, ya que productos y herramientas que no utilizan este sistema tienen un enfoque muy «técnico» o muy «personal» llevando al desarrollo de ciertas características que nos puede parecer vitales o super-importantes y que realmente el usuario que lo vaya a utilizar apenas le interesa, o todo lo contrario… le interesa pero apenas con la profundidad que esperaba.

    Ejemplo de esto que comento es una característica que seguramente os suena: la información de depuración.

    Alguien quiere un software para gestionar un servidor y cuando lo desarrollamos nos centramos en extraer toda la información posible, almacenarla en enormes tablas y bases de datos para que, llegado un momento determinado, el usuario pueda obtener cualquier información que pueda necesitar.

    Como técnicos y más concretamente como personal de sistemas, solemos estar acostumbrados a guardar logs de todo: llamadas, uso del procesador, memoria, disco duro, cantidad de información leída, escrita, número de hilos, número de procesos, recursos de cada proceso, destinos de llamadas, cuantas llamadas por minuto, y un larguísimo etcétera que se encarga de llenarnos el espacio de disco duro de información que «puede» que algún día nos sea necesaria.

    Si nuestro sistema tiene algún problema, nos alegramos de tenerlo todo guardado, poder sacar gráficas, estadísticas, analizar estos datos y descubrir por qué un proceso ha caído sin ningún motivo aparente pero que, coincidiendo con el elevado y puntual aumento del número de INSERTS en la base de datos, podemos elaborar una teoría consistente en que, cuando se escribe bastante en la base de datos, la aplicación deja de funcionar.

    No obstante, cuando un sistema está en producción y el comportamiento se considera «estable», esta cantidad de información se sigue almacenando, pero pasamos a un sistema paranoico basado en crear alertas por cualquier evento que nos pueda generar cualquier tipo de incertidumbre. ¿Qué pasa si el procesador está por encima del 60%? Quiero que me mande una alerta! ¿Qué ocurre si hay un porcentaje de llamadas no contestadas en la última hora? Quiero que me mande una alerta! ¿Qué ocurre si recibimos más de N peticiones HTTP a la web en menos de N minutos? Quiero que me mande una alerta!

    Cuando todo esto se asocia a un producto software, pasamos a tener un software genera alertas por cualquier circunstancia y es entonces cuando nos empezamos a acostumbrar a recibir alertas, bajando nuestro nivel de atención ante lo que puede ocurrir que sí es importante.

    Se entiende que la capacidad de monitorizar los recursos en un sistema de comunicaciones hasta el infinito puede ser un elemento diferenciador de cara a conseguir usuarios que estén interesados en monitorizar estas características pero ¿y aquellos a los que no les interesa? ¿Realmente es necesario generar gigas de información cuando el usuario no tiene el más mínimo interés o peor aún… no entiende qué es lo que se está informando?

    Somos conscientes que hay que disponer de una importante cantidad de datos de alta calidad para poder tomar ciertas decisiones, de ahí la importancia de saber «reducir» la ingente información que somos capaces de almacenar, en información de calidad que realmente sirva para esa toma de decisiones.

    Pero también es importante de cara a desarrollar productos, entender quién es el objetivo de nuestro desarrollo, el usuario al que va destinado el producto y entender que esa información, más que ayudarle, le está perjudicando en la adaptación. Los desarrolladores solemos cometer varios fallos importantes, considerando que «lo que a nosotros nos interesa, también le interesa al usuario» y por esta razón, creamos opciones, botones, parámetros incomprensibles que a nosotros como desarrolladores nos llevará un tiempo considerable en configurar, y que al usuario jamás le interesará tocar por que, o bien no entiende cómo funciona, o bien necesita otra información más importante.

    En resumen, los programadores debemos aprender que lo que nosotros creemos que es importante, para quien va a utilizar la aplicación, no tiene por qué serlo. De ahí la importancia de contar con otras personas, compañeros que tienen más trato con los usuarios y que sean capaces de hacernos ver qué es realmente lo que el usuario necesita.

    Manejar una ingente cantidad de información nos da el control completo del sistema, pero ese control se vuelve inútil cuando esta información nos bombardea constantemente de alertas que, llegado el momento, no nos sirve para nada ya que las verdaderas alertas importantes y que hay que tener en cuenta, se hallan entre 40 o 50 alertas que de nada sirven.

  • Tan importante es un buen teléfono como un buen auricular

    Tan importante es un buen teléfono como un buen auricular

    En la telefonía tradicional, ya sea analógica o digital, para poder hablar hace falta de dos teléfonos y algo que proporcione la señalización necesaria para ponerlos en contacto (generalmente una central, PBX o como quieras llamarla) que es quien ofrece la «inteligencia» de la red de telefonía (recibe los números, gestiona las transferencias, los desvíos, selecciona a quién llamar, etc.)
    En cambio, en la VoIP quien tiene la «inteligencia» de la red, son los propios endpoints (teléfonos, softphones, …) El teléfono VoIP trae de serie todo lo necesario para contactar con otros teléfonos y poder realizar la comunicación sin más que conocer la dirección IP del endpoint con el que queremos hablar. Esto significa que no es necesaria ninguna «central» que nos provea de señalización. Además, los propios teléfonos incluyen todo lo necesario para poder realizar transferencias, desvíos, seleccionar el mejor códec a utilizar, y un gran número de otras cosas típicas de los teléfonos. (cuando hablo de teléfonos me refiero también a softphone).

    Por distintas razones, bien porque no conocemos la IP de las personas con las que queremos hablar y preferimos delegar esa información en una central como Asterisk o FreeSwitch, se utilizan centrales y a veces se le da muchísima más importancia a la central que a los teléfonos, quedando relegado a una decisión basada en «mientras funcione» o «más o menos bonito» cuando realmente lo importante en una comunicación VoIP depende generalmente de ellos.

    Hay muchas personas que no entienden por qué un teléfono IP cuesta 100€, 150€ o 200€, cuando un teléfono analógico apenas cuesta 20€, y la razón es porque un teléfono IP realmente es un sistema completo (un ordenador) con su procesador, su memoria, su tarjeta de red, su monitor (la pantalla) , su teclado, y todo lo necesario para hacer llamadas, transferencias, monitorizar los teléfonos de otros usuarios, y un larguísimo etcétera, mientras que un teléfono analógico no deja de ser un aparato que convierte señales eléctricas en audio y viceversa y que depende de una central que es quien le envía esas señales.

    Por esa razón en una instalación tradicional, la central suele ser el 95% del presupuesto y los teléfonos 20€ o 30€, mientras que en una instalación VoIP la central suele ser el 20% (no deja de ser un ordenador con un software) y los teléfonos son algo más caros (120€ de media) lo que realmente suele ser el 80%. Esto por supuesto depende de cientos de factores, por lo que no siempre es así, pero nos hace una idea de por qué esa diferencia de costes.

    Si en lugar de teléfonos IP de 120€ de media, preferimos ahorrar y utilizar softphones, lo peor que podemos hacer es comprar auriculares baratos de 20€ ya que la calidad de sonido y la durabilidad desciende a una velocidad de vértigo. Si bien unos buenos auriculares no bajan de 80€, lo habitual es que cuesten entre 110€ y 120€ que, unido al precio del softphone que incluye todo lo necesario para poder trabajar en condiciones (transferencia, monitorización, desvíos, presencia, etc.) al final viene a salir por lo mismo que un teléfono IP.

    Hay quien opta por unos auriculares baratos, y eso incide no únicamente en el tiempo que va a aguantar antes de romperse, si no también en la calidad de audio y en cómo duelen al cabo de un par de horas con ellos puestos. Así que al final, uno no sabe si escoger mejor auriculares+softphone o bien por teléfonos IP.

    ¿Qué prefieres: auriculares+softphone o teléfono IP?

  • Cuándo interesa tener una línea telefónica

    Cuándo interesa tener una línea telefónica

    Hace poco un lector me comentaba que en su empresa siguen teniendo líneas telefónicas como forma de hacer y recibir llamadas, y la razón dio lugar a una conversación interesante sobre motivos por los que podría interesar tener una línea telefónica.

    Por supuesto, hoy día el 90% de las empresas podrían optar por migrar sus conexiones telefónicas a VoIP a través de un operador SIP haciendo una inversion mínima (migrando a una PBX virtual en la nube o un gateway en el peor de los casos) pero ahorrando en llamadas. Solo el hecho de ahorrarnos «la cuota de línea» ya nos daría para tener nuestro propio número y varios cientos de minutos de conversación, por lo que realmente es una inversión segura. No obstante, no siempre es posible.

    Básicamente se resume en que si te encuentras en una zona de difícil acceso en el que tienes línea de teléfono pero Internet llega a duras penas y con cortes habituales en la conexión (hay lugares donde internet se corta varias veces al día y durante varios minutos), entonces se puede considerar que estás en una mala zona y, en ese caso si puede ser interesante mantener las líneas telefónicas.

    No es cuestión de hablar por VoIP a cualquier precio, pero hay ocasiones en las que las circunstancias han hecho que en su día preparasen una infraestructura telefónica y no la hayan actualizado lo suficientemente rápido como para ofrecer una conexión lo suficientemente estable como para poder usar Internet con seguridad.

    A pesar de ello, y basándonos en los mapas de cobertura de fibra óptica de los principales operadores, existe grandes posibilidades que allá donde necesites Internet, puedas instalar una línea de fibra óptica (a ser posible sin línea de teléfono asociado) y por lo tanto puedas contratar la telefonía en el operador donde más te guste, llevártela a otro sin que peligre tu conexión a Internet y contratar los servicios de quien quieras sin tener que estar atado a ningún operador por el simple hecho de haber instalado la conexión.

    En España, pese a que aún queda mucho por instalar, tanto si tienes cobertura de Fibra como de ADSL, puedes disponer de VoIP con bastante fiabilidad. Aún no he probado las conexiones 5G, aunque prometen ser un sustituto inalámbrico de la fibra, lo que permitiría llevar dicha fiabilidad a lugares donde la fibra no llegue, no obstante entiendo que no todo el mundo dispone de la estabilidad de conexión a Internet necesaria para pasar sus llamadas a VoIP pero ¿y lo que te estás perdiendo?

  • Cómo evitar el ataque del Wanna Cry y otros Ransomwares

    Cómo evitar el ataque del Wanna Cry y otros Ransomwares

    Si no eres de este planeta, igual no te has enterado que la principal operadora de España (Telefónica) sufrió este viernes un ataque en su red interna a través de un virus de tipo «ransomware» (ransom – Rescate, ware – sofware) de manera que muchos sistemas sufrieron un cifrado indiscriminado de sus datos dejando inutilizado todo el fin de semana la red interna de este operador. La empresa Telefónica no fue el único que sufrió este ataque, ya que se propagó por redes internas y emails afectando a más de 150 países y más de 200.000 sistemas (según la Europol) entre ellos, hospitales, centrales eléctricas, organismos y empresas además de usuarios normales.

    Al ocurrir esto un viernes, es de esperar que el lunes el número de sistemas infectados aumente considerablemente, ya que la vulnerabilidad fue corregida por Microsoft en una actualización del mes de Marzo pero esta afecta a todas las versiones de Windows desde la versión XP y es que hay muchos, muchos sistemas que no solo no van a actualizarse, si no que además no pueden actualizarse por diversas razones.

    Por supuesto, una de las mejores maneras de evitar que el virus Wanna Cry (también conocido como WanaCrypt0r 2.0) afecte a nuestros sistemas es evitar utilizar Windows en sistemas considerados críticos. Por este motivo, Telefónica apuntó que la red interna fue afectada pero no así sus sistemas críticos (firewalls, servidores, etc…).

    La mejor manera de evitar ser atacado por un virus, es no utilizar Windows. Puede sonar contundente y demasiado directo, pero por desgracia, es cierto.

    Está claro que un fallo lo puede tener cualquiera, y que cuando un sistema operativo tan utilizado como Windows tiene un fallo de seguridad, las probabilidades de ser aprovechados se multiplica por cada usuario, pero no es la primera vez que ocurren este tipo de vulnerabilidades. Aún recuerdo el famoso gusano «Blaster» que infectaba a cualquier Windows que no estuviera protegido en apenas 10 segundos tras encenderse y conectarse a una red… El software cerrado tiene ese problema, los fallos no son tan transparentes ni tan fáciles de arreglar y cuando algún desequilibrado quiere aprovecharlo, lo hace con mucha, mucha fuerza. La vulnerabilidad llevaba ahí desde mucho, mucho tiempo y no ha sido hasta el pasado mes de Marzo que la han arreglado. ¿qué pasará con esos cientos de ordenadores «zobies» que inundan la red?

    Sistemas de comunicaciones basados en Windows son igualmente vulnerables a este virus, que se transmite por el protocolo SAMBA (compartición de archivos de Windows, sistema de dominios de red, etc.) ¿Qué ocurre en una empresa que utiliza este tipo de protocolos para compartir archivos en su red interna?

    Muchos comentan que otros sistemas operativos como Mac o Linux también tienen virus similares, aunque por la forma en la que se gestionan los permisos, salvo que alguien le de permisos de ‘root’ o ‘administrador’ al propio virus, este solo puede causar daños a los propios archivos del usuario y a nadie más. También puede ser que, de la misma manera que el virus aprovechó una vulnerabilidad del sistema operativo, otro virus puede aprovechar otra vulnerabilidad del kernel de linux o de mac para afectar al sistema. En este caso, el kernel de linux es abierto y son muchos los ojos que se darían cuenta de estas vulnerabilidades, en cuyo caso se pondría la alarma de un día para otro y sacarían una actualización mucho antes que los creadores de virus pudieran sacar una versión que la aprovechara. Así ocurrió cuando se conoció que alguien de la NSA había incluido código para disponer de un backdoor en los sistemas Linux y fue descubierto enseguida y retirado sin lamentar daños.

    Hay un juego gratuito para móviles bastante macabro llamado Plague, consiste en crear un virus a medida y ver si puede acabar con la población mundial. Existen dos factores importantes: capacidad de transmisión y letalidad. Cuanto más capacidad de transmitir tenga, más rápido se contagiará, pero si la letalidad es demasiada alta, los individuos morirán antes de transmitirlo, así que hay que «jugar» a crear el virus con el equilibrio ideal, que sea rápido pero no tanto, y que sea letal, pero tampoco tanto. El virus Wanna Cry se asemeja a ese equilibrio perfecto: por un lado es fácil transmitirlo y por otro lado le da tiempo al sistema a contagiar a otros antes de cifrar todos los archivos. Por suerte, solo afecta a sistemas operativos vulnerables, con lo que muchos servicios importantes que funcionan con servidores Linux no han sido inutilizados.

    La ausencia de virus siempre han sido un motivo por el que elegir Linux en sistemas críticos, no por que sean más seguros (que seguramente también lo sean) si no por que, al ser abiertos y libres, están más vigilados y la seguridad por ocultación nunca ha sido buena, de ahí que confiar en que no recibiremos ataques en nuestra centralita por cambiar el puerto del SIP del 5060 a otro, es solamente retrasar lo inevitable. En la seguridad hay que tomarse las cosas en serio y cualquier otra cosa, es solo retrasar los problemas.

  • La nube solo es el ordenador de otra persona

    La nube solo es el ordenador de otra persona

    Ahora es todo «sube a la nube», «tu empresa en la nube», «las ventajas de subir a tu empresa a la nube», y una larga lista de lemas y frases ideadas por un experto en marketing que te informará de las ventajas y virtudes de portar todos tus servidores de la empresa a «la nube».

    Curiosamente, uno de los lemas que más me gustó fue el que vi en la mesa de la Free Software Fundation y que podéis ver en esta pegatina:

    Lo que viene siendo: «No hay una nube… es únicamente el ordenador de otra persona«.

    (más…)

  • La seguridad informática como responsabilidad común de todos

    La seguridad informática como responsabilidad común de todos

    Seguridad-informática

    A menudo se confunden los términos de privacidad con los de seguridad. Quizá porque debido a algunos problemas de seguridad, se pierde privacidad al exponer los datos de los usuarios, datos personales, propios y confidenciales que los usuarios han confiado a una empresa u organización para que los vigile, cuide y proteja y que no caigan en malas manos que puedan hacer un uso descontrolado de ellos para, a saber qué objetivos.

    Si me doy de alta en un servicio, relleno un usuario, mi e-mail y una contraseña para poder crearme un usuario en el sistema, mi fecha de nacimiento para garantizar que soy mayor de 18 años, dirección, teléfono, datos de mi tarjeta bancaria para pagar aquellos servicios que voy a utilizar, etc… y luego esta empresa, por un fallo de seguridad «supuestamente ajeno» a ellos, exponen mis datos a otras personas que a su vez venden a otras empresas, no solo es delito (al menos en Europa) si no que debería indemnizar de alguna forma a aquellos usuarios por negligencia sobre sus datos y posibles datos y perjuicios al «ceder» accidentalmente estos datos a terceros sin ningún tipo de control.

    (más…)