Nueva vuelta de tuerca a la privacidad en la nube.

Entrada publicada originariamente en el blog Lobosoft bajo el mismo título.

Quienes me conocen saben de mi escepticismo sobre la computación en la nube. No es que no me parezca un campo apasionante, que lo es, ni que reniegue de la ubicuidad de los datos y del software, pues la considero una configuración de sistemas informáticos válida e interesante hasta cierto punto y para determinados usos. Lo que no me gusta (ya no como profesional de la informática, sino como usuario de la misma) es que mis datos estén diseminados por el mundo y no sentirme dueño de mi software: que este sea única y exclusivamente un servicio (SaaS).

En lo personal he podido comprobar cómo personas cercanas a mí han sufrido problemas con la disponibilidad del servicio de aplicaciones en la nube y, aunque obviamente esto es algo que puede ocurrirnos con cualesquiera otros de cuantos están involucrados en el proceso, como el acceso a Internet por parte de nuestro proveedor, por ejemplo, lo cierto es que tener un plazo de entrega de un trabajo determinado y no poder llevarlo a cabo porque hay problemas con los servidores puede resultar algo exasperante. De cualquier forma, esto es soluble mediante replicación de servicios y una mejora de la confianza y la asistencia técnica de los mismos.

Sin embargo, que los datos se encuentren en la nube es una cuestión más delicada. ¿Qué empresa dejaría en un servidor remoto el detalle de sus operaciones contables? ¿Y los datos de sus clientes o trabajadores? ¿Almacenaríamos nuestro historial médico en un disco duro “virtual” accesible a través de Internet? ¿Quién nos asegura que los datos no serán robados, como ocurriera recientemente con las cuentas bancarias de usuarios de Sony? ¿Y que no serán usados por nuestra compañía para ofrecernos otros servicios –como publicidad personalizada– al más puro “estilo Google”?

Hasta hace poco, nadie podía asegurarnos que nuestros datos no pudieran ser robados, usados o alterados sin nuestro consentimiento y/o conocimiento. Sin embargo, esta noche leía con interés una noticia sobre un avance en la resolución de esta problemática llevado a cabo por la gente de Microsoft. Se trata de una implementación parcial de un sistema de cifrado homomórfico, en la que se permiten algunos cálculos básicos (sumas, multiplicaciones) que, no obstante, permitirán ser combinados para llevar a cabo operaciones más avanzadas, como funciones estadísticas del tipo del modelo logístico.

Este avance es importante ya que el cifrado homomórfico permitiría vislumbrar un futuro interesante para el almacenamiento de datos en la nube. Sin embargo, desde la publicación del artículo de Ronald L. Rivest en 1978 (On Data Banks And Privacy Homomorphisms) transcurrieron más de 30 años de debates hasta que se ofreció un posible escenario de resolución de un sistema de cifrado homomórfico completo. Fue en su tesis de doctorado, A Fully Homomorphic Encryption Scheme, donde Craig Gentry presentó un modelo matemático completamente funcional; con todo, la gran cantidad de cálculos necesarios para hacerlo funcionar llevaron al experto en seguridad Bruce Schneier a afirmar que transcurrirían al menos cuarenta años más hasta que pudiera ser llevado a la práctica un sistema así de complejo con el mismo rendimiento que uno que no use cifrado. Schneier llegó a sus conclusiones basándose en la ley de Moore y en los datos aportados por Gentry en un artículo acerca del cifrado homomórfico y el tiempo requerido para llevar a cabo las operaciones de búsqueda por parte de un hipotético Google que usase de este mecanismo de cifrado.

El funcionamiento básico del cifrado homomórfico es el siguiente: supongamos un esquema criptográfico con un sistema de cifrado simétrico o asimétrico donde tenemos dos funciones, C(x,k), que cifra el valor ‘x’ usando la clave ‘k’ y otra D(y,k) que descifra ‘y’ usando la clave ‘k’. Entonces podemos afirmar que

D(C(x,k),k) = x

Esto es así para cualquier sistema de cifrado. Se cumplirá que es homomórfico si además existe un conjunto de pares de funciones (F, G) tales que

D(F(C(x,k)) = G(x)

Las funciones F y G pueden ser o no la misma, pero dada F podemos saber G, y viceversa.

Como resultado de lo anterior, podemos llevar a cabo operaciones sobre los datos cifrados, sin descifrarlos, por lo que el proveedor de servicios no tiene la necesidad de almacenarlos en claro y únicamente nosotros, como clientes, tenemos acceso a los mismos sin cifrar.

¡Ay, qué feliz habría sido nuestro paso por la asignatura de matemática discreta si hubiéramos encontrado ejemplos así de prácticos en el primer año de carrera! ;)

A pesar de lo interesante del avance de Microsoft y sus aplicaciones prácticas en la nube, los esquemas de cifrado con homomorfismo parcial no son demasiado raros. Por ejemplo, uno que todos conoceréis es RSA, que es homomórfico respecto a la multiplicación. Dadas un par de claves pública y privada (K,k), para todo par de valores ‘x’ e ‘y’ se cumple que:

D(C(x*y,k),K) = x*y

Un posible escenario de uso del cifrado homomórfico podría ser el de una empresa que desee hacer uso de un servicio en la nube para almacenar datos de sus clientes. La explotación de una vulnerabilidad en el servidor podría exponer dichos datos al atacante en un sistema como los actuales y, si el servicio almacenase todos los datos cifrados como mejora de la seguridad, el acceso a los mismos sería demasiado penoso. Imaginemos que nuestra empresa desea realizar una consulta sobre sus datos de clientes para obtener aquellos residentes en una provincia determinada que hayan alcanzado un determinado volumen de compras. La consulta sobre la tabla de clientes requeriría ir descifrando cada una de las filas, comprobar si se cumplen las condiciones requeridas y devolverlo, o no, en función de ello. En un servidor que usase el cifrado homomórfico la consulta se haría sobre los datos cifrados directamente, devolviendo únicamente aquellos que se vieran afectados por la consulta y podrían ser descifrados en el propio equipo del cliente sin ser expuestos a “miradas ajenas” en ningún momento.

En resumen, se trata de un interesante avance en lo tocante a la seguridad y la privacidad en la nube, para evitar que esta devenga en nubarrón.

Para saber más:

• Gentry, C., "A Fully Homomorphic Encryption Scheme". [Consultado el 11/08/2011]
• Gentry, C. et al. (2009), "Fully Homomorphic Encryption over the Integers". Eurocrypt 2010. [Consultado el 11/08/2011]
• Gentry, C (2009), "Fully Homomorphic Encryption Using Ideal Lattices". ACM New York.  [Consultado el 11/08/2011]
• Rivest, R. L. et al. (1978), "On Data Banks and Privacy Homomorphisms", Massachusetts Institute of Technology. [Consultado el 11/08/2011]
• Stuntz, C. (2010), "A Math Primer for Gentry's Fully Homomorphic Encryption". [Consultado el 11/08/2011]
• "Análisis forense digital en la nube", artículo en IT-Insecurity. [Consultado el 11/08/2011]

El cuadro que ilustra la entrada es un óleo de J. M. William Turner, "Rain Cloud", y la camiseta la he encontrado en Nerdy T-Shirt.

Nueva vuelta de tuerca a la privacidad en la nube.

Quienes me conocen saben de mi escepticismo sobre la computación en la nube. No es que no me parezca un campo apasionante, que lo es, ni que reniegue de la ubicuidad de los datos y del software, pues la considero una configuración de sistemas informáticos válida e interesante hasta cierto punto y para determinados usos. Lo que no me gusta (ya no como profesional de la informática, sino como usuario de la misma) es que mis datos estén diseminados por el mundo y no sentirme dueño de mi software: que este sea única y exclusivamente un servicio (SaaS).

En lo personal he podido comprobar cómo personas cercanas a mí han sufrido problemas con la disponibilidad del servicio de aplicaciones en la nube y, aunque obviamente esto es algo que puede ocurrirnos con cualesquiera otros de cuantos están involucrados en el proceso, como el acceso a Internet por parte de nuestro proveedor, por ejemplo, lo cierto es que tener un plazo de entrega de un trabajo determinado y no poder llevarlo a cabo porque hay problemas con los servidores puede resultar algo exasperante. De cualquier forma, esto es soluble mediante replicación de servicios y una mejora de la confianza y la asistencia técnica de los mismos.

Sin embargo, que los datos se encuentren en la nube es una cuestión más delicada. ¿Qué empresa dejaría en un servidor remoto el detalle de sus operaciones contables? ¿Y los datos de sus clientes o trabajadores? ¿Almacenaríamos nuestro historial médico en un disco duro “virtual” accesible a través de Internet? ¿Quién nos asegura que los datos no serán robados, como ocurriera recientemente con las cuentas bancarias de usuarios de Sony? ¿Y que no serán usados por nuestra compañía para ofrecernos otros servicios –como publicidad personalizada– al más puro “estilo Google”?

Hasta hace poco, nadie podía asegurarnos que nuestros datos no pudieran ser robados, usados o alterados sin nuestro consentimiento y/o conocimiento. Sin embargo, esta noche leía con interés una noticia sobre un avance en la resolución de esta problemática llevado a cabo por la gente de Microsoft. Se trata de una implementación parcial de un sistema de cifrado homomórfico, en la que se permiten algunos cálculos básicos (sumas, multiplicaciones) que, no obstante, permitirán ser combinados para llevar a cabo operaciones más avanzadas, como funciones estadísticas del tipo del modelo logístico.

Este avance es importante ya que el cifrado homomórfico permitiría vislumbrar un futuro interesante para el almacenamiento de datos en la nube. Sin embargo, desde la publicación del artículo de Ronald L. Rivest en 1978 (On Data Banks And Privacy Homomorphisms) transcurrieron más de 30 años de debates hasta que se ofreció un posible escenario de resolución de un sistema de cifrado homomórfico completo. Fue en su tesis de doctorado, A Fully Homomorphic Encryption Scheme, donde Craig Gentry presentó un modelo matemático completamente funcional; con todo, la gran cantidad de cálculos necesarios para hacerlo funcionar llevaron al experto en seguridad Bruce Schneier a afirmar que transcurrirían al menos cuarenta años más hasta que pudiera ser llevado a la práctica un sistema así de complejo con el mismo rendimiento que uno que no use cifrado. Schneier llegó a sus conclusiones basándose en la ley de Moore y en los datos aportados por Gentry en un artículo acerca del cifrado homomórfico y el tiempo requerido para llevar a cabo las operaciones de búsqueda por parte de un hipotético Google que usase de este mecanismo de cifrado.

El funcionamiento básico del cifrado homomórfico es el siguiente: supongamos un esquema criptográfico con un sistema de cifrado simétrico o asimétrico donde tenemos dos funciones, C(x,k), que cifra el valor ‘x’ usando la clave ‘k’ y otra D(y,k) que descifra ‘y’ usando la clave ‘k’. Entonces podemos afirmar que

D(C(x,k),k) = x

Esto es así para cualquier sistema de cifrado. Se cumplirá que es homomórfico si además existe un conjunto de pares de funciones (F, G) tales que

D(F(C(x,k)) = G(x)

Las funciones F y G pueden ser o no la misma, pero dada F podemos saber G, y viceversa. 

Como resultado de lo anterior, podemos llevar a cabo operaciones sobre los datos cifrados, sin descifrarlos, por lo que el proveedor de servicios no tiene la necesidad de almacenarlos en claro y únicamente nosotros, como clientes, tenemos acceso a los mismos sin cifrar.

¡Ay, qué feliz habría sido nuestro paso por la asignatura de matemática discreta si hubiéramos encontrado ejemplos así de prácticos en el primer año de carrera! ;)

A pesar de lo interesante del avance de Microsoft y sus aplicaciones prácticas en la nube, los esquemas de cifrado con homomorfismo parcial no son demasiado raros. Por ejemplo, uno que todos conoceréis es RSA, que es homomórfico respecto a la multiplicación. Dadas un par de claves pública y privada (K,k), para todo par de valores ‘x’ e ‘y’ se cumple que:

D(C(x*y,k),K) = x*y

Un posible escenario de uso del cifrado homomórfico podría ser el de una empresa que desee hacer uso de un servicio en la nube para almacenar datos de sus clientes. La explotación de una vulnerabilidad en el servidor podría exponer dichos datos al atacante en un sistema como los actuales y, si el servicio almacenase todos los datos cifrados como mejora de la seguridad, el acceso a los mismos sería demasiado penoso. Imaginemos que nuestra empresa desea realizar una consulta sobre sus datos de clientes para obtener aquellos residentes en una provincia determinada que hayan alcanzado un determinado volumen de compras. La consulta sobre la tabla de clientes requeriría ir descifrando cada una de las filas, comprobar si se cumplen las condiciones requeridas y devolverlo, o no, en función de ello. En un servidor que usase el cifrado homomórfico la consulta se haría sobre los datos cifrados directamente, devolviendo únicamente aquellos que se vieran afectados por la consulta y podrían ser descifrados en el propio equipo del cliente sin ser expuestos a “miradas ajenas” en ningún momento.

En resumen, se trata de un interesante avance en lo tocante a la seguridad y la privacidad en la nube, para evitar que esta devenga en nubarrón.


Para saber más:

• Gentry, C., "A Fully Homomorphic Encryption Scheme". [Consultado el 11/08/2011]


• Gentry, C. et al. (2009), "Fully Homomorphic Encryption over the Integers". Eurocrypt 2010. [Consultado el 11/08/2011]


• Gentry, C (2009), "Fully Homomorphic Encryption Using Ideal Lattices". ACM New York.  [Consultado el 11/08/2011]


• Rivest, R. L. et al. (1978), "On Data Banks and Privacy Homomorphisms", Massachusetts Institute of Technology. [Consultado el 11/08/2011]


• Stuntz, C. (2010), "A Math Primer for Gentry's Fully Homomorphic Encryption". [Consultado el 11/08/2011]


• "Análisis forense digital en la nube", artículo en IT-Insecurity. [Consultado el 11/08/2011]

El cuadro que ilustra la entrada es un óleo de J. M. William Turner, "Rain Cloud", y la camiseta la he encontrado en Nerdy T-Shirt.

Día de Internet 2011: ¿Llega la web 3.0?

Entre las actividades del curso de periodismo ambiental que estoy realizando se nos propuso la lectura del libro Bienvenida Web 3.0. Guía para sobrevivir en la Internet del 2011, de Eduardo Albalá, dentro de la unidad didáctica dedicada al periodismo digital visto desde la experiencia de las redes sociales. Aprovechando que hoy se celebra el Día de Internet (además del Día Internacional del Reciclaje, y es que hasta la gran red se recicla y renueva a sí misma) y que me apetecía reseñar siquiera de forma somera el libro, aquí os dejo con una entrada sobre el mismo.

El texto, que puede ser obtenido en su versión electrónica a través del enlace superior, presenta con una visión bastante clara y práctica la evolución de la red de redes en los últimos años, llevándonos de una web 2.0 en la que los usuarios tomaron el protagonismo hasta convertirse (convertirnos) en generadores de contenidos a través de los blogs, foros o redes sociales, y donde los grandes buscadores como Google tomaron relevancia gracias a potentes algoritmos de ordenación y búsqueda de contenidos con un negocio basado en la visualización (a más “impactos” más ingresos en publicidad), hacia una nueva Internet donde las aplicaciones, la computación en la nube y la semántica de los contenidos ganan terreno.

Los usuarios de esta web 3.0 podrán interactuar con la máquina sin utilizar engorrosas interfaces (teclado, ratón…) sino a través de su cuerpo gracias a tecnologías tan interesantes como el reconocimiento gestual o cámaras tridimensionales tan potentes como Kinect, de Microsoft, para la que los usuarios han desarrollado en un lapso relativamente breve de tiempo multitud de controladores y aplicaciones. Los móviles, para los que ya se preveía años atrás un mercado floreciente en la red, tanto como puerta de acceso a sus contenidos desde los navegadores (¡qué lejos quedan las páginas WAP hoy día!) como a través de aplicaciones propias, cada vez más presentes e imprescindibles en estos teléfonos inteligentes o smartphones, hoy día permiten incluso enriquecer la experiencia de usuario con interfaces avanzadas como las que permite la realidad aumentada.

La red semántica irá ganando contenido y permitirá a los usuarios realizar búsquedas mucho más potentes que las que pueda ofrecer hoy día cualquier buscador de Internet al uso, como Google o Bing entre otros. Los contenidos se ven así contextualizados, presentando interrelaciones con otra información y permitiéndoles dotarles de atributos, como si de objetos reales se tratase. Esto, junto a la intercomunicación de dispositivos (Machine to machine o M2M), la citada realidad aumentada y la inteligencia artificial (útil, por ejemplo, para el desarrollo de sistemas expertos que pueden desembocar en asistentes para los usuarios como Lucía, el bot de información al usuario de la Junta de Andalucía a través de Messenger) abre nuevos campos al uso de la informática por parte de personas que son, en gran medida, “nativos de la red”, así como a mercados que irán basándose más en la adquisición de servicios que en la publicidad: Internet deja de ser “gratis” y surgen cada vez más servicios de pago y “cotos” que dividen la red en espacios privados.

Como unión de aplicaciones y servicios surge la idea del cloud computing o la computación en la nube. Una idea tan interesante como peligrosa que abre el camino al software como servicio (SaaS), tal y como lo viene ofreciendo Google desde hace tiempo con su Google Docs, donde tanto los datos como las aplicaciones residen en la red, aislando al usuario de detalles “a bajo nivel” de las mismas (dónde residen, cómo se ejecutan, sobre qué máquinas) y permitiéndole acceder a las mismas desde cualquier lugar gracias al concepto de navegador como soporte universal para aplicaciones. En ese sentido irá enfocado el sistema operativo que la compañía desea sacar a la luz y que tiene en su Google Chrome una de sus mayores bazas. El pago por el servicio permite evitar la piratería de software y mantener un ritmo de actualizaciones muy interesante para las compañías y, a cambio, el usuario no necesita un ordenador especialmente potente ya que prácticamente la totalidad del cómputo se realiza en servidores (aparece así la noticia del nuevo portátil para la nube y, de paso, volvemos al concepto de terminal “tonto” que tanto primó en los años 80 en la informática).

Por el contrario, la nube se presenta como nubarrón cuando por problemas de servicio (de la operadora con la que tengamos contratado el acceso a Internet, por la propia compañía que nos ofrece el servicio software…) no podemos acceder a la nube y sus servicios. Aunque posiblemente muchas aplicaciones ofrezcan servicios en desconexión, como ya ocurriese con la API de Google Gears, lo cierto es que nos veríamos entonces muy limitados en cuanto a lo que podríamos hacer con nuestro ordenador. Esto sin citar los problemas de seguridad que podemos encontrarnos en la red y que ya no estará en nuestra mano gestionar, como ha ocurrido recientemente con el robo de datos personales a compañías como Sony o Microsoft, o con la gestión del servicio de almacenamiento virtual Dropbox.

Richard Stallman, el gurú del software libre y fundador de la GNU, es un duro crítico de la nube y del SaaS. El control del software para el usuario en la nube no es posible, lo que rompe con la filosofía del software libre y las libertades del mismo, a saber:

0.- Libertad de usar el programa con cualquier propósito.

1.- Libertad de estudiar cómo funciona el programa y modificarlo, adaptándolo a tus necesidades.

2.- Libertad de distribuir copias del programa, con lo cual puedes ayudar a tu prójimo.

3.- Libertad de mejorar el programa y hacer públicas esas mejoras a los demás, de modo que toda la comunidad se beneficie.

Personalmente, como informático concibo los cambios de Internet y de las nuevas tecnologías como un reto apasionante, pero como usuario guardo serias dudas sobre cómo podrán influir estas en nuestras vidas: si ya las cookies en el navegador supusieron en su día un duro golpe a nuestra privacidad (recuerdo cómo explicaba el concepto a mis alumnos en algún curso sobre Internet mediante el ejemplo del refinamiento de búsquedas en Amazon gracias a la información que le íbamos dando a través de búsquedas precedentes) y la publicidad de Google Ad Sense a día de hoy usa los datos de nuestra cuenta de usuario en Google (vinculada al correo de Gmail, a nuestros gustos en YouTube, a las fotos de Picasa o a las búsquedas que hacemos en el propio buscador), me cuestiono qué podrán conseguir gracias a los datos que proporcionamos en Facebook, el seguimiento a través del chip RFID que contendrá nuestro futuro móvil, o a los controvertidos datos de geolocalización que arroja el GPS del mismo.

No se trata, por supuesto, de generar miedo o reticencia al uso de Internet, pero lo que sí está claro es que, ante la nueva red, más nos vale estar informados. El libro cuyo contenido, al menos así lo he intentado, he querido haceros vislumbrar a través de la entrada, así nos lo permite. Espero que os guste.

Despejado

Tanto desde mi perfil profesional de informático como desde mi papel de usuario de las nuevas tecnologías considero que "la nube" abre un interesante campo de trabajo, con sus luces pero también sus sombras (y muchas). Una de ellas es la falta de disponibilidad.

Esto es lo que ocurre cuando intentas consultar un documento y el cielo aparece por completo despejado:

Al final, la tormenta se forma en tu interior.

Nuevas andanzas en la web

Llevo casi tanto tiempo apartado del blog (al menos, de la forma asidua y continuada de antaño) como del desarrollo web, al menos desde que salté de los protocolos de la capa de aplicación para ponerme a juguetear con los de la de transporte, así que como no es bueno dejar olvidarse de lo que un día te satisfizo y dio de comer, me propuse no hace mucho poner al día mis conocimientos en lo que a estas tecnologías informáticas se refiere.

Hace apenas unos días me ponía manos a la obra participando en un curso de Silverlight que ha comenzado a impartir el MVP Braulio Díez en Málaga y, como adalid del software libre, he empezado a investigar un poco sobre las maravillas de HTML5, CSS3 y librerías como jQuery. El mes pasado hice un curso sobre estos, aunque me resultó demasiado básico (al menos no he olvidado demasiado, me dije), y precisamente hoy, cuando investigaba sobre el tema, me he encontrado con un movimiento por parte de IBM: el lanzamiento hace apenas unos días de su IDE “Maqetta”, de código abierto -en su licencia figura un sospechoso “commercial-friendly open source” que no sé si la acerca más a una posible Licencia BSD modificada o a una licencia Libre Académica (AFL)- y totalmente basado en HTML5: el navegador es tu amigo.

He podido probar la Preview 1 aunque no en profundidad. Sin embargo, salvo una ligera tardanza en el tiempo de respuesta cuando se realizan operaciones algo más “pesadas”, lo cierto es que el uso de la herramienta es bastante intuitivo y no se aleja demasiado del que ofrecen otras herramientas de diseño y desarrollo visuales. Dado que está enfocada a la creación de proyectos para dispositivos móviles y aplicaciones de escritorio incorpora emuladores de dispositivos para comprobar la disposición de las páginas creadas en cada uno de ellos.

Con esta herramienta, liberada a través de la Fundación Dojo, IBM plantea que cualquier desarrollador podrá hacerla crecer y plantar cara a dos soluciones tan implantadas en el mercado como Flash y Silverlight. Aunque no es fácil, ya que habitualmente van “por detrás” de lo que los productos propios de cada compañía ofrecen, lo cierto es que apostar por los estándares en un escenario tan marcado por las incompatibilidades y las “guerras de navegadores” de las diversas empresas que han entrado en juego es, hasta cierto punto, aferrarse a una tabla de salvación.

Además, entre otras funcionalidades, Maqetta cuenta con edición WYSIWYG, diseño de prototipos (website wireframing, aunque personalmente me gusta bastante Balsamiq), posibilidad de pulsar y arrastrar controles sobre la propia “piel” de un móvil, edición simultánea en modo diseño y de código fuente, un editor de temas o la posibilidad de definir interacciones con el usuario sin necesidad de programar.

En resumen, una herramienta de diseño y desarrollo que parece ofrecer funciones de lo más interesantes y que no deberíamos perder de vista. Ahora que he decidido volver a Internet, incluyendo al blog, no le quitaré ojo de encima. Si queréis descargarla, podéis hacerlo a través de su sitio web o de este enlace directo.

La terrible revelación de WikiLeaks

Entrada publicada originariamente en el blog Andanzas de un Trotalomas bajo el mismo título.

Ayer mismo escribía de forma somera acerca de las implicaciones que han tenido las filtraciones de las comunicaciones gubernamentales que ha hecho públicas WikiLeaks y la caza de brujas a que ha sido sometido Julian Assange a raíz de este hecho. Afirmaba entonces que WikiLeaks, en el que se ha dado en llamar CableGate, no revelaba nada que no se supiese ya o, al menos, fuese fácilmente imaginable. Horas después, sin embargo, era apresado finalmente Assange y puesto a disposición de las autoridades (ojo, no escribo justicia, porque eso está por ver), lo que me ha hecho reflexionar sobre WikiLeaks y sobre la verdadera y terrible revelación que nos ha hecho.

Julian Assange era buscado porque pesaban sobre él dos denuncias de abusos sexuales interpuestas por dos mujeres, Anna Ardin y Sofia Wilen, que habían mantenido relaciones con el activista de forma consentida hasta que, presuntamente, este había dejado de lado los deseos de aquellas y había prescindido del uso del preservativo. Así que tenemos una serie de pruebas que relacionan a Assange con Ardin y Wilen, y la palabra de estas dos contra la de aquel sobre la aquiescencia existente en su intercambio sexual. Que después de la denunciada violación ambas mujeres siguiesen en contacto con Assange, desayunando cordialmente con él una de ellas y acompañándole en público la otra, es algo que deberá estudiar el juez que dicte sentencia sobre un caso que ya fue denunciado y dado por cerrado en su día al considerar el propio fiscal que no existían fundamentos para sospechar de una violación. Si Assange es culpable de algo a este respecto debería pagar con la pena correspondiente. De no serlo, habría que estudiar si esas mujeres no incurrieron en un delito de violencia de sexo, usando este además como arma arrojadiza, y llevarlas ante los tribunales.

Pero WikiLeaks no es Assange, como parecen pretendernos hacer creer. Las causas abiertas contra este nada tienen que ver con los documentos publicados por la organización. Nada, más allá de la maniobra de distracción y campaña de desprestigio que están suponiendo, claro. Las revelaciones de WikiLeaks no han puesto en juego la vida de nadie, que se sepa, pero sí han puesto en entredicho la seguridad de los sistemas informáticos estadounidenses y hecho visibles las complejas interacciones de la diplomacia internacional. Como ya dije, no revelan nada que no se supiese con anterioridad; una cadena es tan fuerte como el más débil de sus eslabones, y en la seguridad de los sistemas informáticos hay que tener siempre en cuenta el factor humano. Y que en el juego diplomático y político la hipocresía está a la orden del día no es algo que sorprenda a nadie hoy día.

¿A qué tanto ruido, entonces?

El lenguaje político está diseñado para hacer que las mentiras suenen verdaderas y el asesinato respetable, y para dar una apariencia de consistencia al puro viento.George Orwell.

WikiLeaks ha venido a demostrar que los gobiernos no son intocables y que Internet, con sus autopistas de la información, no se puede someter tan fácilmente como algunos quisieran. Esas vías de comunicación que hacen posible hoy día que los mercados internacionales arrojen importantes dividendos a empresas transnacionales que se encuentran, en muchos casos, por encima de las leyes de los países en los que operan y que pertenecen o poseen a los amos del mundo, esas vías, decía, permiten que la información circule aun a pesar de las trabas que se le intenten poner. WikiLeaks ha caído de los servidores de varias importantes compañías, se han cortado sus recursos financieros pero la comunidad, la ciudadanía, ha mantenido vivos "sitios espejo” o mirrors desde los que es posible seguir accediendo a la información. Incluso los cuestionables actos de ataque a sitios web de empresas que han boicoteado a WikiLeaks no suponen otra cosa que la disconformidad global con la persecución a que han sometido, desde su intocable posición, los gobiernos a la página de esta organización.

Pero decía que WikiLeaks sí que ha hecho una terrible revelación. Realmente no es así, sino que han sido los propios gobiernos los que, en su afán de persecución, han revelado su faz. El intelectual Noam Chomsky ha firmado, junto a intelectuales australianos, una carta abierta dirigida al primer ministro de Australia instándole a realizar una “fuerte declaración de apoyo a Julian Assange”, asegurándose además de que este reciba los derechos y protección que le correspondan. Cuando personas tan reconocidas como Chomsky y los demás firmantes de la carta, cuando los ciudadanos temen tan a las claras por la integridad física del detenido, recordemos, por un gobierno que se quiere democrático y que quiso ser referente de libertades y oportunidades para el resto del planeta, algo va mal.

La terrible revelación de WikiLeaks es que da igual que hicieran pública información del gobierno norteamericano, que no importa que se haya llevado a cabo una “caza del hombre” para encubrir la de la organización, ni tan siquiera que parezca darles igual mostrarse tal cual son en este caso. La revelación es que no están dispuestos a ser cuestionados, ni a que la ciudadanía reivindique transparencia. Quieren seguir en sus tronos dorados de amos del mundo a costa de todo y de todos, porque, como ha dicho el republicano McConnel sobre Assange: "Creo que el tipo es un terrorista de alta tecnología. Ha hecho un daño enorme a nuestro país y creo que necesita ser perseguido con toda la fuerza de la ley. Y si eso se convierte en un problema, entonces habrá que cambiar la ley".

Hoy me permito dejaros con un par de canciones que, creo, vienen al caso. "Tierra de nadie", de Barón Rojo, cuya letra os recomiendo escuchar tras leer la entrada, e "Imagine", de John Lennon, que murió asesinado tal día como hoy, treinta años atrás, y que parece más utópica que nunca.

Salud.

Más información en:

• "La larga marcha", en Lobosoft.
• "EEUU trata de inventar la manera de juzgar a Assange", Diario Público.
• "Wikileaks, un peligro para la democracia", en Detrás de la función.
• "Sexo, condones y Wikileaks", en Escolar.net.
• "Preservativos rotos, mentiras y celos, la historia de Assange y dos mujeres", en El Mundo.
• "¿Y si Assange y WikiLeaks tienen razón?", en Retiario.
• "Intelectuales, periodistas y abogados salen en defensa del arrestado", en La Voz de Galicia.
• "El próximo objetivo de WikiLeaks son los bancos", en Público.

La larga marcha

Entrada publicada originariamente en el blog Lobosoft bajo el mismo título.

Han transcurrido algunos años desde que leí una obra de Stephen King titulada La larga marcha. Realmente, el libro fue publicado en su día bajo el seudónimo de Richard Bachman y no se puede decir que se encuentre, ciertamente, entre lo mejor de la prolífica producción del escritor. Estas últimas semanas me ha venido a la memoria “la caza del hombre televisada” que se narraba en sus páginas, con la salvedad de que además del hombre hoy se está intentando capturar la información y, para ello, ya que no es posible ponerle puertas al campo (en nuestro caso, a Internet), se intenta dejarla fuera del tablero de juego. Hablo, como no podía ser de otra forma, de WikiLeaks y de su actual director, Julian Assange.

En los tiempos que corren parece no resultar inusual comprobar cómo una entidad admirada pasa a convertirse para los amos del mundo en, hipotéticamente, un grupo de criminales. Todo por decirnos lo que ya sabíamos o, al menos, intuíamos; que las corruptelas políticas están a la orden del día, que los derechos humanos no se respetan en zonas en guerra o que están siendo "pacificadas", que la diplomacia ya tenía un nombre, hipocresía, y que los que manejan el cotarro no quieren que nadie les estropee la fiesta que se han montado.

La persecución a que están sometiendo a Assange, que teme por su vida, ha derivado en una acusación de abusos sexuales en Suecia. Curiosamente es algo que no se investigó antes y que ahora sale a la luz, pero, independientemente de si el australiano resulta culpable o no -algo que solo podrá decidir un juez, en todo caso-, lo que está claro es que se trata de un intento de desprestigio de la organización a través de su cabeza visible y un desvío de la atención mediática sobre lo que está en juego: la neutralidad de la red y la libre circulación de información.

Respecto a la forma en que WikiLeaks ha publicado la información, podremos estar de acuerdo o no, pero no creo que sea actualmente lo realmente importante o, al menos, el debate que está sobre la mesa. Tal vez podría haber filtrado la información realmente importante antes de ser publicada (total, lo que opine el embajador estadounidense de nuestros políticos es pecata minuta frente a los gusarapos que suelta sobre ellos la oposición), y ciertamente existen datos que no deberían ser liberados con ligereza; a nadie le gustaría que sus datos personales o de su intimidad estuviesen disponibles libremente por la red pero, cuando se trata de información que nos atañe a todos, al ser emitida por quienes dudosamente nos representan y gustosamente nos gobiernan, sí que debería existir una mayor transparencia por su parte. En el caso particular de los cables diplomáticos, de no existir información trascendental detrás de los mismos, no aportan nada valioso y tal vez deberían haber sido omitidos para no interferir en la comunicación entre estos países, pero sí que resulta vital conocer el trato que se da a los civiles en Irak, por ejemplo.

A partir de ahora, habrá que pensarse si comprar libros en Amazon es una buena opción y si pagar la compra a través de PayPal no resulta incompatible con nuestros principios, habida cuenta de que los primeros expulsaron a WikiLeaks del "asilo" que suponían sus servidores a la primera de cambio y que la segunda compañía cerró la cuenta que mantenía la organización para recibir donativos. Los Gobiernos gestionan nuestros datos, pero ahora también tenemos los suyos a nuestra disposición. Y el futuro de Internet se está decidiendo ante nuestros ojos.

Os dejo con una recopilación de interesantes enlaces relacionados con este tema:

• Listado de mirrors de WikiLeaks.
• Opinión de Richard Stallman sobre Wikileaks.
• Varias entradas en Perogrullo.com:
• "Sobre WikiLeaks y el CableGate".
• "WikiLeaks y el Cablegate como fracaso de la prensa".
• "Assange el supervillano; Jon Stewart y el Cablegate".
• "La nube es mía y tú no juegas", en Un informático en el lado del mal.
• "WikiLeaks: ¿Ángeles o Demonios?", en el blog de José Manuel Alarcón.

Actualización a 8 de diciembre de 2010:

Añado un enlace más de mi autoría, tras la detención de Julian Assange:

• "La terrible revelación de WikiLeaks", en Andanzas de un Trotalomas, que replicaré en el blog.

La larga marcha

Han transcurrido algunos años desde que leí una obra de Stephen King titulada La larga marcha. Realmente, el libro fue publicado en su día bajo el seudónimo de Richard Bachman y no se puede decir que se encuentre, ciertamente, entre lo mejor de la prolífica producción del escritor. Estas últimas semanas me ha venido a la memoria “la caza del hombre televisada” que se narraba en sus páginas, con la salvedad de que además del hombre hoy se está intentando capturar la información y, para ello, ya que no es posible ponerle puertas al campo (en nuestro caso, a Internet), se intenta dejarla fuera del tablero de juego. Hablo, como no podía ser de otra forma, de WikiLeaks y de su actual director, Julian Assange.

En los tiempos que corren parece no resultar inusual comprobar cómo una entidad admirada pasa a convertirse para los amos del mundo en, hipotéticamente, un grupo de criminales. Todo por decirnos lo que ya sabíamos o, al menos, intuíamos; que las corruptelas políticas están a la orden del día, que los derechos humanos no se respetan en zonas en guerra o que están siendo "pacificadas", que la diplomacia ya tenía un nombre, hipocresía, y que los que manejan el cotarro no quieren que nadie les estropee la fiesta que se han montado.

La persecución a que están sometiendo a Assange, que teme por su vida, ha derivado en una acusación de abusos sexuales en Suecia. Curiosamente es algo que no se investigó antes y que ahora sale a la luz, pero, independientemente de si el australiano resulta culpable o no -algo que solo podrá decidir un juez, en todo caso-, lo que está claro es que se trata de un intento de desprestigio de la organización a través de su cabeza visible y un desvío de la atención mediática sobre lo que está en juego: la neutralidad de la red y la libre circulación de información.

Respecto a la forma en que WikiLeaks ha publicado la información, podremos estar de acuerdo o no, pero no creo que sea actualmente lo realmente importante o, al menos, el debate que está sobre la mesa. Tal vez podría haber filtrado la información realmente importante antes de ser publicada (total, lo que opine el embajador estadounidense de nuestros políticos es pecata minuta frente a los gusarapos que suelta sobre ellos la oposición), y ciertamente existen datos que no deberían ser liberados con ligereza; a nadie le gustaría que sus datos personales o de su intimidad estuviesen disponibles libremente por la red pero, cuando se trata de información que nos atañe a todos, al ser emitida por quienes dudosamente nos representan y gustosamente nos gobiernan, sí que debería existir una mayor transparencia por su parte. En el caso particular de los cables diplomáticos, de no existir información trascendental detrás de los mismos, no aportan nada valioso y tal vez deberían haber sido omitidos para no interferir en la comunicación entre estos países, pero sí que resulta vital conocer el trato que se da a los civiles en Irak, por ejemplo.

A partir de ahora, habrá que pensarse si comprar libros en Amazon es una buena opción y si pagar la compra a través de PayPal no resulta incompatible con nuestros principios, habida cuenta de que los primeros expulsaron a WikiLeaks del "asilo" que suponían sus servidores a la primera de cambio y que la segunda compañía cerró la cuenta que mantenía la organización para recibir donativos. Los Gobiernos gestionan nuestros datos, pero ahora también tenemos los suyos a nuestra disposición. Y el futuro de Internet se está decidiendo ante nuestros ojos.

Os dejo con una recopilación de interesantes enlaces relacionados con este tema:

• Listado de mirrors de WikiLeaks.
• Opinión de Richard Stallman sobre Wikileaks.
• Varias entradas en Perogrullo.com:
• "Sobre WikiLeaks y el CableGate".
• "WikiLeaks y el Cablegate como fracaso de la prensa".
• "Assange el supervillano; Jon Stewart y el Cablegate".
• "La nube es mía y tú no juegas", en Un informático en el lado del mal.
• "WikiLeaks: ¿Ángeles o Demonios?", en el blog de José Manuel Alarcón.

Actualización a 8 de diciembre de 2010:

Añado un enlace más, tras la detención de Julian Assange:

• "La terrible revelación de WikiLeaks", en Andanzas de un Trotalomas.

Galactic Inbox

Estamos en verano, época indolente donde las haya y los chicos de Google se proponen hacernos pasar un rato divertido además de descubrirnos algunas de las bondades del HTML 5, que cada día está adquiriendo mayor presencia en la web. Así, nos ofrecen el videojuego Galactic Inbox, en el que ocuparemos el lugar de una bandeja de entrada de Gmail dispuesta a liberar nuestros correos y batallar contra el spam.

No cabe duda de que se trata de una iniciativa divertida, muy al uso de Google que, al menos en Chrome no me ha funcionado todo lo rápido y fluida que habría sido de desear, pero que nos muestra cómo el nuevo estándar de la web ha llegado para quedarse.

Seguridad en WordPress

Tras el ataque sufrido en Lobosoft me he visto obligado a adelantar un poco la dedicación al blog (que tenía pensado incrementar, como ya dije, hacia mediados de junio), llevar a cabo una limpieza del mismo y actualizar, ya no la versión del mismo pero sí algunos plugins que podrían estar en el origen del ataque (fallo por mi parte al utilizar demasiados, aunque alguna de la funcionalidad extendidad del blog está basada, mucho me temo, en ellos).

El script que “me colaron” básicamente se encarga de permitir al atacante subir un archivo a la web con lo cual, dicho pronto y claro, la seguridad completa del sitio queda claramente comprometida. He estado buscando en Internet y parece que es un script genérico que ha sido instalado en numerosos servidores, sobre todo tipo de CMS y foros (y otras aplicaciones web), por lo que en sí no es más que una herramienta más que utilizar para atacar el sitio o usarlo como plataforma para fines oscuros y perversos. ;)

Uno de los blogs que he encontrado con el problema en cuestión es Brian's World, que muestra el código en cuestión. En mi caso no habían llegado ni tan siquiera a inyectarlo en uno de los archivos de Wordpress, sino que se encontraba replicado en varios archivos PHP con nombre similares (con un prefijo añadido) a los contenidos en un par de plugins y en el tema de Wordpress que da estilo al blog.
Dejo por aquí una extensa lista de referencias a la seguridad en Wordpress (algunas aplicables a otros CMS) que nunca está de más tener en cuenta. E incluso así, a pesar de lo que afirme nuestro amigo GigA, me temo que nada es demasiado seguro.

Feliz lectura.

Para saber más:

En castellano.

• Consejos para tener un WordPress seguro.
  
  
  
  • Crear una instalación de WordPress segura.
  
  
  • Mod-Security y WordPress: Defensa en profundidad.
  
  
  
  


• Cinco consejos de seguridad para WordPress.


• WordPress Security Cheat Sheet 1.0 (en español).


• ¿Cómo proteger tus blogs Wordpress de los hackers?


• Proteger el archivo wp-config.php.


• Cómo incrementar la seguridad de una web creada con Wordpress.


• 10 pasos para proteger tu panel de administrador.


• Reubicar wp-content y wp-config.php con Wordpress 2.6.


• (In)seguridad en WordPress, por Stefan Esser.

En inglés.

• Wordpress Security Whitepaper.


• Wordpress Security Tips and Hacks.


• WordPress Security – A Comprehensive Guide.


• 11 Best ways to improve WordPress Security.


• WordPress Security, Upgrades and Backups.


• 16 Excellent Wordpress Security Plugins To Secure Your Blog.


• Don’t Get Hacked: WordPress Security Tips.

Más allá de WordPress.

• .Htaccess rewrites, Mod_Rewrite Tricks and Tips.


• Web Site Test Tools and Site Management Tools.

La imagen que ilustra la entrada, que me ha encantado, es de Antivirus WordPress.

Phoenicopterus

Hace apenas unos días comentaba en una entrada que me sentía con ganas y fuerzas de dar un empuje al blog. Tras un tiempo demasiado prolongado, durante el cual había permanecido inactivo por completo, con apenas alguna que otra entrada sin más contenido que vídeos o noticias que habían llamado mi atención, quería retomar un nivel de escritura aceptable, que tal vez no llegase al del verano de dos años atrás, pero sí que constituyese un estímulo para seguir adelante con el mismo. Sin embargo, es posible que en los últimos días, si habéis intentado al blog, lo hayáis encontrado deshabilitado, sin acceso o con un limitado, con problemas. El pasado sábado quise escribir una entrada en la que hablar, aunque fuese de forma somera, de la interesante charla que nos ofreció Bruno Capuano en Málaga mas no me fue posible. Tras un par de años de tranquilidad desde los últimos ataques al blog me encontré con que estaba siendo seriamente comprometido y usado como plataforma desde la que lanzar un ataque DoS contra otras máquinas. Mi gozo en un pozo, la cuenta desactivada hasta nueva orden y unos días en los que apenas podía permitirme el lujo de dedicarme a revisar el blog en los que este no ha estado disponible como habría sido de desear. Mis más sinceras disculpas a todos aquellos que pasaron por aquí buscando algo y tuvieron que irse como habían llegado.

La verdad es que el nuevo ataque me ha servido para reflexionar un poco en torno al blog, al sentido que tiene y al porqué de estas injerencias en su plácido transcurrir en la blogosfera. Por un lado, es cierto que hace un par de años sufrió un ataque en un periodo en el que no podía dedicar apenas tiempo al blog. Ahora ha ocurrido otro tanto, con la salvedad de que el blog llevaba ya mucho sin actividad y ha sido ahora, cuando intentaba retomarla, cuando ha ocurrido. Ya en las últimas semanas había notado ciertos repuntes bastante sospechosos en las visitas diarias al blog. El viernes, durante un descanso en el ecuador de la charla, le comentaba este hecho a un par de compañeros, así como mi suspicacia ante esta repentina afluencia a un blog apenas actualizado. La verdad es que no estaba equivocado.

¿Qué ha podido motivar el ataque? Bueno, no es necesario que exista una razón por la cual Lobosoft haya sido elegido, y ejercería de presuntuoso y “blogocéntrico” si afirmase que alguna oscura conspiración se ha centrado en este, mi blog, para derrocarlo. Sin embargo, me parece curioso que estando actualizado a la última versión estable de WordPress, con varios plugins de seguridad activados y sus ficheros de configuración de Apache medianamente bien estructurados haya sufrido un ataque de este tipo. A diario encuentro multitud de blogs WordPress (y otros CMS) sin actualizar, con la versión expuesta en el código HTML generado y que, pasando así el tiempo, no son atacados. Tal vez la temática del blog, que toca hasta cierto punto la seguridad informática, sea un aliciente para el hacker (más bien lammer, por los métodos usados) que haya accedido en una u otra ocasión. Ya os digo que no tiene que tratarse en sí mismo de un ataque centrado en el blog, pero si así fuese y el atacante estuviera leyendo estas líneas, me gustar decirle que, en primer lugar, no gano nada con el blog (es más, hasta la fecha me cuesta el dinero, aunque no me pesa: es una afición que me ofrece otros beneficios más allá de los pecuniarios) e intento ofrecer en él algunas píldoras de conocimiento que, espero, puedan ayudar a quienes lo necesiten. Y a mí mismo, por qué no decirlo, cuando esta memoria que tenemos nos falla en alguna ocasión y decimos: “oye, si yo escribí una vez algo de esto… voy a buscar en mi blog”, je, je, je. En segundo lugar, no soy un profesional de la seguridad informática. Informático, sí, y aficionado a la misma, intento que el blog sea un motor de aprendizaje y mejora de mis propios conocimientos. Por tanto, aunque haga mis pinitos en ella, con toda probabilidad muchos de los que leéis el blog superéis con creces mis propios conocimientos sobre el tema (me consta que algunos de quienes pasan o pasaron por aquí son grandes profesionales del campo de la seguridad, así que tomo sus visitas como un verdadero cumplido y como una invitación al reto de la autosuperación personal). Así las cosas, romper la seguridad del blog (basado en un CMS cuyo código está disponible libremente y con algunos plugins instalados que, me temo, han sido el origen de la actual invasión) supone un reto interesante pero prescindible. Si aun así, hipotético lector, te interesara atacarlo, me parecería un ejercicio interesante que cambiases la plantilla para poner un mensaje con lo membrillo que puedo llegar a ser y que yo intentase evitarlo, pero no que el sitio web sea usado para propagar pornografía, troyanos o para atacar a otros. Ahí la broma pasaría de castaño oscuro y la próxima vez puede que llegase a las autoridades. No por nada, sino porque creo que es de mal gusto y, además, compromete algo más allá del propio blog, que es mi propia credibilidad y mi responsabilidad civil con las leyes vigentes.

En resumen, después de la parrafada anterior: Lobosoft ha vuelto, esperemos que para quedarse. Aunque acciones como la descrita le quitan a uno un poco las ganas de seguir adelante como blogger (al menos de esta forma, con hosting propio), por otro lado inspiran las ganas de mejorar, de modo que la miraré desde esta perspectiva e intentaré que el blog vaya a mejor.

Si estáis leyendo esta entrada, habré sido capaz de restaurar el blog en la noche del martes (lo hago en tanto subo las imágenes y resto del material del blog) y dejarla programada. Mañana miércoles por la tarde espero poder publicar otra con el código del script que instalaron en el blog y un pequeño resumen sobre seguridad en WordPress.

Saludos.

La web de la Presidencia europea

Estos últimos días he estado en Madrid junto a uno de mis mejores amigos, disfrutando lo posible de él y su compañía y, cómo no, de buena conversación. Entre los muchos temas que tocamos (no todos de índole informática, lo prometo, aun siendo uno de los mejores profesionales que conozco en este, nuestro campo) estaba el de la creación y mantenimiento de la web de la Presidencia europea que ostentará nuestro país en los próximos meses. Con este fin, Telefónica ha recibido 12 millones de euros de las arcas públicas, una cantidad que nos parecía del todo exagerada y que, conociendo cómo funcionan los mentideros, a buen seguro algún cargo de la empresa A asignará una pequeña dotación de esos 12 millones (pongamos, un 5%) a una subcontrata de la empresa B que, a su vez, repetirá este hecho hasta llegar a una empresa X que se encargue verdaderamente de llevar a cabo el trabajo, posiblemente haciendo uso de sus desarrolladores junior porque, al fin y al cabo, se trata meramente de mantener un sitio web.  ¿Qué dificultad tiene esto, o qué problemas podría haber?

Bueno, tal vez nos encontremos con situaciones como esta:

La web de la Presidencia ha sufrido un ataque hacker y la empresa A, la B, C o X no han sabido responder. Los 12 millones de euros sacados de las arcas públicas (que se dice pronto, y parece que no se piensa en que vienen del bolsillo de los ciudadanos) no han servido de mucho. Desde Moncloa se niega que se haya producido verdaderamente el ataque; dicen que la imagen que se está distribuyendo por Internet no es más que una captura de la web modificada para hacer que parezca que la web fue hackeada, ergo, no hemos sufrido ataque alguno. ¿O sí? Porque, según parece, la web ha estado caída durante todo un día y el acceso ha sido irregular durante buena parte de otro. Esto, muy señores míos, es una ataque DoS en toda regla, haciendo uso (si ciertamente la web no fue hackeada para incluir la fotografía y saludo de Mr. Bean) de ingeniería social. Y esto, querida clase política, queridos técnicos míos, es un ataque hacker, queramos verlo o no.

Es vergonzoso que se produzca un comportamiento así (más digno de un lammer que de un hacker, por supuesto), pero no lo es menos que el dinero de todos se invierta con tanta ligereza (¿12.000.000 € para mantener una web?) y que los resultados sean tan penosos. Con mal pie empezamos un liderazgo que no parece tal. Lo peor es que la oposición (especialmente la de mayor peso político) se cebará en un hecho que, muy probablemente, habrían sufrido por igual de estar en su pellejo, y que nadie pondrá remedio a que sigan ocurriendo hechos así.

Ah, entretanto, los informáticos de este país seguimos sin atribuciones profesionales y sin un reconocimiento real por parte del Gobierno. Pero claro, el oficio de informático puede llevarlo a cabo cualquiera, al fin y al cabo es una “materia transversal”. Así nos luce el pelo.

Para saber más:

• La noticia en 20 minutos.
• La noticia en Público.
• La noticia en Norte de Castilla.
• La noticia en Diario Crítico.
• El colapso de la web en El País.
• Los 12 millones en Diario Abierto.
• Opinión sobre la asignación a Telefónica en Oscuento.
• La Presidencia española de la Unión en HazteOir.org.

Actualización (21:10).

En efecto, según parece existe un verdadero problema en la web de la Presidencia española: una vulnerabilidad XSS presente en la página en cuestión ha permitido volver a incluir una imagen en la misma, en este caso, el de la elefanta de Pocoyó. Sin (más) comentarios...

En la onda

Después del periodo más largo de inactividad del blog desde su creación (algo más de un mes y una semana), Google ha decidido que esto no podía ser, y que tenía que ponerme las pilas con él. Que me dejase de libros y otras zarandajas, y escribiese de informática. Para animarme a ello, me ha hecho llegar esto:

A ver si estos días juego un poco con él y os cuento mis primeras impresiones.

¿Nos acaban de enlazar?

Una de las variables a tener en cuenta en el posicionamiento de nuestra web es el número de enlaces entrantes que posee. Cuantas más páginas nos referencien, mayor importancia nos darán los buscadores en los resultados de las búsquedas. Esto es así porque, aparentemente, nuestro sitio web es un lugar de referencia, y los enlaces suponen un reconocimiento al trabajo realizado. Esto es así en parte, y siempre tomado de una forma relativa. Obviamente, los buscadores se han curado en salud respecto a la picaresca de colocar enlaces en comentarios de blogs, foros y, en un futuro cercano, en los sitios webs de las redes sociales. Se intenta evitar así la proliferación de contenidos “basura” cuya única finalidad sea proporcionarnos unos puntos más que faciliten la subida en los buscadores. No es, por supuesto, la única variable a tener en cuenta, y su valor ha decrecido con el paso del tiempo, pero aun así es suficientemente relevante como para tenerla en cuenta.

Aunque existen herramientas para llevar a cabo el recuento de enlaces entrantes, y los propios buscadores permiten buscar las webs que nos apuntan (en Google, anteponiendo la palabra clave link: al dominio que deseemos consultar desde el propio cuadro de búsqueda, o en Yahoo haciendo lo propio con el término linkdomain:), hay una forma bastante curiosa de conocer, en un breve periodo de tiempo, si alguien nos ha referenciado desde su web. Para ello, usamos la herramienta de Alertas de Google, y simplemente debemos configurar una alerta cuyo contenido de búsqueda sea

link: www.miurl

y el resto de opciones queden dispuestas como en la captura que presento a continuación (tipo de búsqueda, “web”, con frecuencia de aviso “cuando se produzca” y que nos envíe la alerta a nuestro correo electrónico. Práctico y muy sencillo.

New web war

Antes del verano (uf, cómo pasa el tiempo) conversaba con unos amigos durante el almuerzo sobre diversos temas y surgió, como simple mención, el avance del estándar HTML que está por venir, HTML 5. Hablábamos de sus nuevas características, que lo podían convertir en un referente de la presentación de contenidos en Internet. Referente, al fin y al cabo, por tratarse de un estándar, y porque aunque ha ido a la zaga a otras tecnologías en los últimos tiempos respecto a la presentación de contenidos multimedia en la red (Flash, Silverlight, JavaFX…), lo cierto es que en la base de las páginas web que visitamos sigue estando el HTML y, querámoslo o no, el amigo Javascript.

Para los desarrolladores web ha sido una pesadilla desde tiempos inmemoriales el poder mantener la compatibilidad de sus creaciones para todos los navegadores existentes. La guerra abierta entre los fabricantes de los mismos ha supuesto una pérdida de esfuerzo, tiempo y dinero, para todos aquellos que se han aventurado en tan procelosas aguas, ya que han huido de los estándares, intentando ganar cuota de mercado presentando novedosas características no soportadas por el navegador de la competencia. Los desarrolladores que “firmaron” su pacto con uno de los navegadores se vieron sometidos a la esclavitud de las actualizaciones. Los que se mantenían en las aguas internacionales del estándar no podían obtener páginas tan vistosas como sus competidores, menos escrupulosos con la accesibilidad y la compatibilidad de sus sitios web respecto a los estándares. Y ahora, con un nuevo estándar que avanza a pasos agigantados hacia las demandas de los usuarios de la nueva Internet, nos encontramos con la oposición de las empresas propietarias de patentes frente a un estándar que promete ofrecerse como una plataforma común para presentar contenidos de vídeo, sin necesidad de instalar numerosos plugins adicionales como ocurre actualmente.

Ante este panorama, los navegadores más conocidos no alcanzan el 100% de las pruebas de compatibilidad. De hecho, se acercan al mismo Google Chrome, Mozilla Firefox, Opera y Safari, pero Internet Explorer 8 apenas llega al 25% del total. Algo muy curioso teniendo en cuenta el acercamiento de la última versión del más conocido navegador de Microsoft a los estándares, y el buen aspecto que tenía en cuanto a facilitar la tarea del desarrollador en la depuración de contenidos web. Curioso, digo, porque es conocida la vinculación de Microsoft a los fabricantes de software, y las rentas que recibe por permitir el uso de determinados drivers, codecs y demás software de base en su sistema operativo.

La propuesta para la emisión de video para HTML 5 incluye el uso del codec Ogg Thedora, software libre, que permitirá por tanto la incorporación a todos los navegadores sin mayores restricciones y la mejora del mismo al permitir su estudio por la comunidad. Sin embargo, Apple se opone porque es justamente su más duro competidor, ya que su navegador Safari utiliza el codec propietario H.264. Chrome implementa ambos, pero el H.264 puede tener problemas de difusión por no ser software libre. Firefox y Opera sólo apuestan por Ogg, ya que el codec de Apple implica el pago de la licencia a la hora de distribuir los navegadores. Por último, Microsoft mantiene un sospechoso silencio. Y no me extrañaría, así entre nosotros, que andase maquinando algo respecto a un formato propio.

Está visto que Internet, la red de redes que permite compartir información a lo largo y ancho del planeta, resulta un caldo de cultivo propicio para los tejemanejes empresariales. En particular, su más conocido estándar, el HTML, está sujeto a múltiples vaivenes, y esperemos que finalmente su nueva versión, la 5, llegue a ser bien acogida, ya que incluye importantes novedades (aparte del vídeo, claro), y se está llevando a cabo una interesante campaña para su adecuada implantación.

Para saber más:

• Borrador del estándar HTML 5.


• HTML 5 Doctor.


• HTML 5 Gallery.

Alblogueramanía

Que no se me entienda mal. El señor Fernando Almoguera, creador de Albloguera, es un buen amigo mío. Pero eso no resta valor a mi apreciación sobre su trabajo, que es de lo más objetiva. Me consta que su buen hacer en la investigación de las posibilidades de la novedosa tecnología Silverlight para el desarrollo de aplicaciones corporativas es el que le ha permitido acceder a una de las más reconocidas publicaciones nacionales sobre desarrollo en .NET: DotNetManía. Fernando es un profundo conocedor de las tecnologías web en general, y en particular a las vinculadas a la plataforma de desarrollo .NET y a  Silverlight desde sus comienzos, por lo que su visión abarca todas  las mejoras surgidas entre las sucesivas versiones del máximo competidor de Flash.

En el último número de la revista (septiembre de 2009) aparece el artículo "Silverlight en aplicaciones de gestión", escrito en colaboración con el MVP en esta tecnología, Braulio Díez. Un texto sobre Silverlight v3 que nos avanzará algunas de las mejoras incluidas en esta nueva versión: WCF/ADO.NET Services, controles avanzados y arquitectura de las aplicaciones.

Obvia decir que os recomiendo su lectura ;) .

¿Me presta usted un Explorer 5.5?

El cambiante mercado de Internet y las aplicaciones web ha derivado en una inusitada profusión de navegadores, actualizándose y renovándose cada pocos años las herramientas disponibles para usuarios y desarrolladores. Quienes trabajamos habitualmente en desarrollo web nos encontramos ante la tesitura de si una determinada solución, aun cumpliendo con los estándares, funcionará adecuadamente en tal o cual navegador. Esto ocurre incluso cuando usamos distintas versiones de un mismo navegador. Obviamente, podemos tener instalados en nuestra máquina el último Opera (por cierto, hace unos días lanzaron Opera 10, y de momento no me disgusta excepto en una excesiva lentitud procesando algunos controles en las páginas), Chrome, Firefox, Safari o Explorer, por citar algunos de los más usados. Pero si queremos probar, por ejemplo, cómo se vería una página web con distintas versiones de Internet Explorer podemos encontrarnos con un pequeño problema.

La herramienta IETester es tremendamente útil para visualizar y depurar una página web en las versiones de Explorer que van de la 5.5 a la 8. Precisamente hace unos días un blog amigo me comentaba que, tras aplicar unos cambios en la plantilla, algunos usuarios no lo visualizaban correctamente. Ya que se trataba fundamentalmente de un problema con Explorer, estuve buscando alguna herramienta que sirviese precisamente para esto: probar la web con varias versiones del navegador. Y me encontré con IETester.

Además, su funcionalidad a la hora de depurar una web puede incrementarse instalando la DebugBar para Explorer, una herramienta muy en la línea de Fiddler o Firebug y que cumple bastante bien su cometido en este caso.

En resumen, una herramienta que puede darnos alguna pista en el momento más adecuado para ello.

Un microgestor de descargas casero

Llevo tiempo dándole vueltas a adentrarme en el estudio de una nueva carrera (sí, soy un poco masoquista), aunque la aparición de Bolonia con sus pros y sus contras (más de estos últimos, según parece) me daba que pensar en cuanto a mi decisión. Obviamente, con el trabajo únicamente me puedo plantear estudios a distancia, por lo que acceder a mi más deseada titulación (Biología) queda, de momento, un poco lejos. Ya el año pasado estuve dándole vueltas a los másteres homologados para el EEES (Espacio Europeo de Educación Superior), en concreto a uno de redes y seguridad informática que me llamaba poderosamente la atención. Sin embargo, y mientras nuestra titulación no obtenga por parte de quienes gobiernan la deferencia que merecen, y se nos otorguen las atribuciones (es decir, tanto obligaciones como derechos) que deberíamos ostentar creo que dejaré correr lo del máster y, a lo sumo, me adentraré en algún estudio por el mero placer de aprender.

En fin, volviendo a lo que iba, este fin de semana he estado mirando alguna información sobre los Grados que empiezan a impartirse este curso académico, y algunos de los que se iniciarán en el próximo, siempre en la UNED. Además de las guías de la carrera y las de cada asignatura, resulta interesante echar un vistazo a los exámenes de años anteriores, para hacerse a la idea del nivel que alcanzan los conocimientos esperados y los contenidos que entran en juego a la hora de evaluar nuestro trabajo.

Uno de los centros asociados más interesantes a este respecto es el de Calatayud, que cuenta en su página web con un depósito de exámenes realmente apabullante. Accedemos a la carrera deseada, marcamos las asignaturas de las que queremos consultar los exámenes y tenemos ante nosotros los correspondientes a los últimos años (desde 2005 en adelante). Según sea la carrera, pueden rondar cerca de los mil exámenes en total para cada una de ellas. Los exámenes aparecen en PDF, y se pueden descargar o visualizar simplemente con pulsar sobre el enlace correspondiente. Así que nada, me dispuse a descargar unos pocos y aunque sólo quería los de los últimos años, el proceso era harto engorroso: “Botón derecho->Guardar enlace cómo…->Aceptar” y con Google Chrome, en el mejor de los casos (ya que descarga los PDF directamente) ir pulsando en cada enlace. Cuando llevaba unos pocos, como habréis imaginado, me he dicho: ¿por qué no hago un programita para automatizar esto? Dicho y hecho, se tarda menos en ello que en descargar los exámenes de una asignatura. El programa no es nada del otro mundo, y lo cierto es que tiene poco interés, pero ya que está hecho, me he dicho: ¿por qué no divago un poco en el blog y dejo el código fuente?

[CSharp]
using System;
using System.Collections.Generic;
using System.Linq;
using System.Text;
using System.Text.RegularExpressions;
using System.Net;
using System.IO;

namespace Lobosoft.Utilidades
{
public class Downloader
{
WebClient webClient = new WebClient();
Regex urlRegEx = new Regex(@"(((f|ht){1}tp://)[-a-zA-Z0-9@:%_\+.~#?&//=]+)");

///
/// Descarga los archivos apuntados por los enlaces al path indicado.
///
///
La lista de enlaces. ///
La ruta donde descargarlo. public void GetLinksContent(string html, string extension, string outputPath)
{
string filename;

foreach (string url in GetLinksUrl(html, extension))
{
filename = url.Substring((url.LastIndexOf('/') + 1), url.Length - url.LastIndexOf('/') - 1);
webClient.DownloadFile(url, Path.Combine(outputPath , filename));
}
}

// Obtiene todas las URL dentro de los enlaces existentes en la web cuyo código HTML examinamos
List GetLinksUrl(string htmlSource, string extension)
{
List links = new List();

// Obtiene todas las URL de la web
foreach (Match match in urlRegEx.Matches((htmlSource)))
{
//Pero únicamente agrega aquellas que terminen con la extensión dada.
// Podría sustituirse la expresión regular en tiempo de ejecución para devolver únicamente
// las que nos interesan, pero así puede quedar algo más genérico.
if (match.Value.EndsWith(extension))
{
links.Add(match.Value);
}
}

return links;
}
}
}
[/CSharp]

Como veis, no tiene demasiado misterio. Un método, GetLinksUrl() se encarga de buscar en el código HTML de la página las URLs que contenga, y lo devuelve como una lista de enlaces a GetLinksContent(), que se encarga de ir recorriéndola y descargando los archivos a una determinada carpeta que habremos creado previamente. La llamada a este método se llevaría a cabo con el código fuente de la página en cuestión. Podemos haberlo leído de un archivo local, o bien recuperarlo de Internet mediante un WebClient (con su método estático DownloadString(url)), o si lo usamos desde una aplicación Windows, utilizando un objeto WebBrowser y accediendo a su propiedad DocumentText en un momento determinado). El misterio (o no tanto) estará en saber de qué carrera ando buscando información ;)

Bueno, y ahora, a hacer lo mismo en Python. Estoy mirando una librería, PycURL, que pinta bastante bién, y vamos a ver si consigo lograrlo. Si me pongo a ello os contaré algo por aquí, claro está. ¡Vamos a ello!

La decadencia 2.0

Ayer mencionaba de pasada el tema de los blogs y, en general, de las páginas enmarcadas en la web 2.0, que tras pasar por periodos de mayor o menor bonanza, con un número considerable de artículos mensuales y visitas diarias, llegaban a un punto, en muchas ocasiones de no retorno, en el que dejaban de actualizar sus contenidos, e iban languideciendo poco a poco hasta que sus incondicionales lectores terminaban por abandonarles. Otro problema existente en la web 2.0 y la profusión de información que generan las aplicaciones inscritas en ella es la generación de contenido sin interés, nacido de la mera repetición de lo escrito en otros lugares, cuando no en un descarado plagio que no lleva a ningún lado. La democratización de Internet, que llegó con las aplicaciones “sociales”, marcadas por la interacción con el usuario (con los usuarios, cientos, miles, que nos siguen) y con el propio autor de los contenidos, ha llevado a que se genere muchísima información, demasiada diría yo, y con esta avalancha informativa, perecen sepultados en ocasiones los contenidos más interesantes. Ni el buscador de buscadores, Google, es capaz en ocasiones de discernir entre la información de calidad y la paja.

Acabo de leer un artículo que me ha parecido, por lo demás, bastante interesante. Se trata de una reflexión en torno a este tema, que lo trata con profundidad y establece relaciones entre la crisis actual y la caída de los ingresos por publicidad, que al fin y al cabo son los que mantienen en multitud de ocasiones a las páginas web, les aportan beneficios o, por lo menos, llegan a cubrir los gastos generados por su mantenimiento. Lo encontraréis en Pons Asinorum.

Todos estos temas me parecen, por lo demás, muy interesantes, y dan mucho de sí. Aunque quiero huir del blog de opinión y de breves reseñas en el que se estaba convirtiendo Lobosoft, y volver al blog técnico, con artículos que puedan resultaros de verdad interesantes (permitiéndome algún que otro escarceo, claro está, con mis siempre presentes temáticas medioambientales), no me resisto a recomendaros alguna que otra lectura interesante, al menos cuando no la he visto repetida en infinidad de blogs justo cuando pienso en escribir sobre ella, claro está.

¿Qué pensáis vosotros sobre la web 2.0, ahora que parece que está viviendo los estertores previos a su ¿desaparición? ante los nuevos servicios de la nube y de la Internet en la que estamos a punto de adentrarnos?