2015-10-30

La peor ley contra Internet. Ley Fayad, Parte I.


 El terror a la crítica y divulgación.


De  tiempo en tiempo los gobiernos intentan domesticar a ese enorme monstruo llamado Internet, resultando en engendros legislativos como fue ACTA, la Ley Döring y ahora la llamada "Ley Fayad", demostrando una ignorancia supina de la red y su funcionamiento en adición a una abierta malicia para criminalizar cualquier actividad que vaya en contra de sus intereses o los de sus mecenas.
El último intento proviene del senador por el PRI en Hidalgo, Omar Fayad, un político con mentalidad de siglo XX inscrito en un mundo que ya tiene rato en el siglo XXI y que por el texto de su iniciativa no sabe redactar y seguramente su presupuesto para asesores no le alcanza para pagar a alguien que lo haga correctamente.
Según su (auto)biografía es:

·Presidente de la Comisión de Seguridad Pública.
·Integrante de la Comisión de Justicia.
·Integrante de la Comisión de Gobernación.
·Integrante de la Comisión de Comunicaciones y Transportes


El señor Fayad publicó una iniciativa para criminalizar una serie de actividades de internet, pero la redacción de su propuesta de ley es tan mala y su contenido tan malicioso que quedó como una propuesta digna de los peores países dictatoriales, independientemente de ignorancia sobre la operación de Internet.

 No soy abogado, pero independientemente de ello su ley es tan contraria al sentido común que cualquiera con dos dedos de frente (pero no el senador Fayad) puede darse cuenta de que además de atentar contra libertades básicas, impone cargas tecnológicas y financieras que él no va a pagar, limitaciones directas e indirectas a la tecnología y su cumplimiento es inviable y sólo posible en un Estado dictatorial con una enorme burocracia dedicada a la censura y persecución.

 México vive en una situación donde los Derechos Humanos están en riesgo, donde la clase política se ha erigido en una corte real, donde la impunidad reina y la corrupción regentea, e Internet se presenta como el resquicio por el cual el pueblo clama y Fayad pretende acallar.

Abusando del prefijo "ciber", el legislador toma una serie de conductas y las califica de delitos federales, siendo que algunos ya están definidos en otras legislaciones, muchos no lo son y otros no pueden ser probados excepto con argumentos dicatoriales. A continuación un resúmen de algunos de los puntos de la ley. Cuando haya negritas son de mi parte.

En la "exposición de motivos" tiene una frase que es una joya:

"Las  nuevas  tecnologías  y  la  creciente  demanda  del  internet,  resultan  un  campo  fértil  para  la delincuencia, que ha encontrado   nuevas  formas   para  consumar   delitos  a   través   de   medios electrónicos y tecnológicos..."

El legislador pretende ignorar que el medio para los delitos es independiente del delito mismo, excepto en casos muy particulares. También hace de lado la importancia de Internet en la divulgación del conocimiento, el fortalecimiento de los derechos humanos y el impulso a la democracia... pero eso no le importa, tiene que cuidarse el trasero, como veremos más adelante.

Luego define hacking como: "Conducta criminógena por acceso no autorizado a un equipo o sistema informático." , lo cual es una media verdad, pues sólo recientemente se ha ido degenerando el término originalmente definido en Hackers Dictionary. Yo soy hacker, tengo un equipo propio y hace años que no tengo un acceso no autorizado.

La Policía Cibernética


Fayad propone una gigantesca burocracia para reforzar su legislación:

"La  implementación  del  Modelo  de  Policía  Cibernética  en  el  estado  mexicano  tiene  el  objetivo de especializar policías activos con el fin de incrementar la capacidad en la  prevención y atención de Delitos  Cibernéticos,  proponiendo  un  modelo  de  operación  y  los  canales  de  comunicación  que sirvan   como   marco   de   implementación   para   la   creación   y   fortalecimiento   de   las   Policías Cibernéticas del País.".

En un país que se percibe a sí mismo como inseguro (como si no hubiese suficiente crímen, organizado o no) hay que destinar policías activos a la persecución de delitos que más adelante Fayad inventará.
No hay que decir mucho más, viva la burocracia.


Artículos con comentarios...

 "Artículo 3.Para los efectos de esta Ley, se entenderá por:
I. Arma Informática:Cualquier programa informático, sistema informático, o en general cualquier  dispositivo  o  material  creado  o  diseñado  con  el  propósito  de  cometer  algún delito informático."

¿Y los lenguajes de programación se vuelven entonces un arma?¿Las herramientas de pruebas de carga o de pentesting aún legítimamente usadas me hacen criminal? Porque pueden permitir la creación de armas informáticas de acuerdo a esa muy chata definición de arma. Y peor aún cuando vemos como define más adelante los delios.

"Artículo 11. Los concesionarios de telecomunicaciones...deberán:
I. Proporcionar oportunamente asistencia técnica y la información que requieran las autoridades federales competentes para la investigación de los Delitos Informáticos."


 De por sí es controversial el 189 de la Ley de Telecomunicaciones. La pregunta aquí ¿Sólo los delitos informáticos o cualquier clase de delitos? Lo mismo se aplica a las instituciones financieras en el Artículo 12.

Uno de antología:
"Artículo 14. Toda aquella institución privada que mantenga infraestructura informática para la proveeduría de servicios de telecomunicaciones y de aplicaciones  en  internet, deberán conservar los datos de tráfico de origen y destino de la comunicación, o cualquier otra información que pueda ser  de utilidad a la investigación"

a) El gobierno se exculpa automáticamente de hacerlo
b) Dado que una cafetería o fonda proporciona "servicios de telecomunicaciones y aplicaciones en Internet" ¿Debe mantener una infraestructura de bitácoras con usuarios y cada conexión que establezca?¿Tiene idea del volúmen de información que esto genera y el equipo que se requiere para obtenerla y conservarla?
c) ¿Tiene una idea Fayad del costo que implica para cualquier institución privada mantener bitácoras de comunicaciones, por ejemplo de todos sus empleados?

"Artículo 16. A toda persona que, sin la autorización correspondiente o excediendo la que le haya sido conferida, acceda, intercepte, interfiera o use un sistema informático, se le impondrá una sanción de uno a ocho años de prisión"

Otra sandez. Ni siquiera debería hacer comentarios: deberás firmar un contrato de cada servicio de Internet al que te conectas para no "exceder" la autorización... que actualmente es ilimitada.

"Artículo 17. A  todo  aquel  que dolosamente  destruya,  inutilice,  dañe o  realice  cualquier  acto  que altere  el  funcionamiento de un  sistema  informático  o  alguno  de  sus  componentes,  se  le  impondrá una sanción de cinco a quince años de prisión y multa de hasta mil días de salario mínimo vigente.
Se sancionará con la misma pena a quien,sin estar autorizado para ello, destruya, dañe, modifique, difunda, transfiera o inutilice la información contenida en cualquier Sistema Informático o en alguno de sus componentes."


Una pena que parece desproporcionada y no alcanza fianza. Y el segundo párrafo es de locos o idiotas: si "dañas" la computadora de alguien por accidente -sin autorización-, te me largas 15 años a un penal federal. Bien por Fayad y sus redactores.

Sigue en la parte 2



2014-08-26

El ePozole

Un divertimento lúdico-político-informático

Llevo mucho tiempo en la industria de software, tanto que me tocó ver nacer y crecer la Internet lo cual no es poca cosa.
Con internet además crecieron, maduraron y en algunos casos desaparecieron mercadotecnias, procesos y productos, algunos con "marca de la casa" que los identifica sin pensar demasiado.
Así que me pregunté ¿Que pasaría si hubiera pozole digital, de alguna mágica forma?
Algunos eventos que rodearían al pozole digital:

  1. De inmediato aparecería el iPoz, de Apple, presentado por un holograma de la momia de Steve Jobs y sería un éxito automático entre todos los frustrados que quieren sentirse alguien en esta vida comprando algo, porque la personalidad no les da. El pozole como tal sería bastante insípido, costaría 4 veces más que cualquier pozole y lo único distintivo sería que el caldo y los aderezos serían color pastel, fuera de eso, sería bastante insípido, pero solo podría ser consumido si tienes un dispositivo Apple conectado al plato y una cuenta de iTunes activa y con saldo.
  2. Microsoft pronto sacaría el "Pozole-Azure". También muy genérico, pero con la sorprendente característica de que de repente se pone azul y se congela.
  3. FreePozole sería rápidamente una versión GNU de pozole. Liberado bajo la GPL (General Pozole License) será en general gratuito y muy sabroso, aunque su aspecto sería bastante desagradable. Los pozoleros aficionados mandarían continuamente parches de receta a los autores que no serían incluidos nunca, pero cuya funcionalidad finalmente implementaría el dueño inicial del código.
  4. El Google pozole sería gratuito, a cambio de lo cual Google vendería a todo el mundo, incluída la NSA, tus hábitos de consumo de pozole: si le pones chile o limón, con quien lo comes,cuantas cucharadas promedio te tardas en consumirlo, en dónde lo consumes...
  5. Oracle demandaría a todas las empresas anteriores aduciendo que tiene una patente derivada de la adquisición de una taquería en el área de la bahía de San Francisco.
  6. Sin embargo Google Play estaría lleno de pozoles hechos en la India, con anuncios flotantes en el caldo.
  7. El gobierno federal establecería la Comisión Nacional del Pozole, presidida por la Secretaría de Gobernación y que estaría vigilando la ortodoxia en la preparación pozolera.
  8. El legislativo tendría sendas comisiones de Consulta Pozolera. No harían nada, como siempre, pero cobrarían una comisión adicional, como siempre.
  9. Aparecería la "profesión" de "Social Pozole Manager" que por una cantidad más o menos espléndida explicarían a empresas las tendencias de consumo de pozole de sus clientes. Aunque no vendan alimentos.
  10. Los niños aburridos de Anonymous lanzarían aleatoriamente ataques de negación de pozole, sin importar si se justifican o cual sea el blanco. Fire! Fire! Fire! desde sus iPoz.
  11. El Banco de México exigiría que los precios del pozole se ajusten a los precios internacionales de otros caldos, sin importar si se consumen o no en el país.
  12. El PRI contrataría cientos de pozolebots, que zalameramente babearían ante cualquier propuesta presidencial de pozole, aunque el sueldo no les alcance para uno.
  13. El presidente lanzaraía la propuesta "Moviendo al Intestino" basada en el consumo de pozole.
  14. Habría una empresa pozolera de Carlos Slim, cara y con pésimo servicio.
  15. Televisa presentaría larguísimas mesas de discusión sobre pozole, que nadie vería y donde lo único evidente sería la total ignorancia de los participantes sobre el pozole. Carlos Marín, como siempre diría algunas pendejadas ajenas al pozole pero abyectas al gobierno.

2014-04-24

Sobre la "neutralidad de la red" de Javier Lozano


La libertad en peligro

 

De la elite al medio social.

Internet fue concebida como un medio a prueba de una guerra nuclear: redundante, accesible, libre, basada en protocolos de comunicación abiertos y en su enorme mayoría establecidos mediante sentido común, solicitudes públicas de comentarios (RFC, request for comments) y una infraestructura técnica y lógica más bien relajada, lo cual permitió que pasara de ser una red militar de élite, rápidamente a una red técnico-científica a una red verdaderamente social.
Ese desarrollo ha permitido que cualquier ciudadano acceda a prácticamente cualquier contenido en cualquier parte del mundo en cualquier momento: desde las obras artísticas más sublimes hasta la peor miseria espiritual humana. Como en el mundo real, todo está en Internet.
Internet hizo algo más: dio voz pública a muchos (lamentablemente aún no a todos) para expresar, concebir, crear, informarse, aportar... y exhibir y criticar.
Las élites de poder tanto económico como político tienen, por eso, un enorme conflicto: por un lado Internet se ha convertido en una herramienta indispensable para el funcionamiento del Estado, de una economía sana, de un crecimiento económico y del conocimiento, pero también un tábano que constantemente le pica el lomo a la "caballada política" lo mismo en Albania que en Zimbabwe.
Un mundo ideal para ellos sería entonces aquél donde la infraestructura económica y política no se viesen afectadas, pero donde las voces críticas fueran adecuadamente acalladas. Así llega la censura.
El presidente Peña Nieto envió una propuesta que explícitamente permite la censura por parte del estado, bloqueando señal celular y de Internet en caso de "seguridad nacional", de forma tan evidente que resultaba ridícula, pero que evidenciaba esa permanente vocación de "pequeña perfecta dictadura", pero que según voces críticas no era más que un gran distractor de un trasfondo igualmente siniestro: distraigan con algo evidente, quítenle lo evidente, creerán que ganaron pero  nosotros nunca perdemos".


El "anteproyecto de dictamen"


Y así llegó la propuesta de "anteproyecto de dictamen" de Javier Lozano, senador por el estado de Puebla, nominado por el PAN . El texto íntegro se puede descargar de la página de la comisión de telecomunicaciones del senado.

Dicen los que saben (no me he metido a ello, hay gente muy capaz analizándolo) que es una es un anteproyecto que favorece a Televisa y otras empresas de medios. Análisis profesionales, independientes y muy rigurosos abundan en la red, pregúntenle a Google.


Sobre la persona.

Igual, Internet es una gran fuente de información. Al menos su trayectoria curricular es oficial y se encuentra en su página del senado.
Cabe destacar, desde luego que:
  • Es miembro del PAN desde 2005.
  • Candidato a diputado por el PRI
  • Oficial Mayor de la SCT (PRI)
  • Contralor en PEMEX (PRI)
  • Subsecretario de Comunicación Social en SEGOB (PRI)
  •  Consultor de medios
  • Casado con Silvana Ponzanelli (Empleada en Fundación Televisa, claramente puesto en su perfil de Twitter y de Facebook)
 Así pues, su actividad profesional ha sido en su mayoría dentro del PRI, con el cual entonces resulta una evidente afinidad partidista (o no habría sido candidato). Y -le guste o no, haya terminado su relación o no- guarda o una relación matrimonial con una empleada de una empresa afectada por la ley que propone.
Sin ser un ataque ad hominem, es importante resaltar lo anterior, porque evidentemente influye en su "anteproyecto de dictamen", tanto por su afinidad política con el gobierno priísta como la posible influencia de Televisa a través de su relación. Y no es que siquiera exista esa influencia: la ley es clara respecto al conflicto de intereses y basta la sombra de duda para que se excusara. Pero persistió...

No me detendré más en esto, es lo suficientemente público. Y hablaré de lo que sí se.



Sobre la neutralidad de la red.

Hay veces que uno recibe un texto y dice en automático "está todo mal". Quema los ojos y resulta de inmediato viciado y vicioso. Así me pasó con el "Capítulo VI De la neutralidad de las redes" propuesto por Javier Lozano. Viniendo de un abogado y legislador profesional, con suficiente presupuesto para tener buenos asesores, es una verdadera cantinfleada que desgloso.

Cito:
"Artículo 145. Los concesionarios y autorizados que presten el servicio de acceso a Internet
deberán sujetarse a los lineamientos de carácter general que al efecto expida el Instituto
conforme a lo siguiente:
I. Libre elección. Los usuarios de los servicios de acceso a Internet podrán acceder a
cualquier contenido, aplicación o servicio ofrecido por los concesionarios o por los
autorizados a comercializar, dentro del marco legal aplicable, sin limitar, degradar, restringir o discriminar el acceso a los mismos.
Podrán bloquear el acceso a determinados contenidos, aplicaciones o servicios a
petición expresa del usuario o, cuando medie orden de autoridad competente.

No podrán limitar el derecho de los usuarios del servicio de acceso a Internet a incorporar o
utilizar cualquier clase de instrumentos, dispositivos o aparatos que se conecten a su red,
siempre y cuando éstos se encuentren homologados
"


El subrayado es mío y por cierto que las negritas son parte del texto original, no se si gazapo o intencional para llamar la atención sobre la aberración.

1. El abogado Lozano ¿Habrá leído el séptimo constitucional? No soy abogado y él sí. Dice en su segundo párrafo:


NINGUNA LEY NI AUTORIDAD PUEDE ESTABLECER LA PREVIA CENSURA, NI COARTAR LA LIBERTAD DE DIFUSION, QUE NO TIENE MAS LIMITES QUE LOS PREVISTOS EN EL PRIMER PARRAFO DEL ARTICULO 6o. DE ESTA CONSTITUCION.


¿Que parte de "NINGUNA LEY NI AUTORIDAD" no entendió el abogado Lozano? Dice ninguna. Ni compentente ni incompetente. Ni de telecomunicaciones ni de gravedad ni ley del oeste. NINGUNA.

2. ¿Que entiende Lozano por servicios de la red? Porque la transmision de información vía celular es un servicio, y por tanto puede ser bloqueado. ¿Es eso o no censura?
¿Cuál es una autoridad competente? Esa exquisita ambigüedad que puede hacer que casi cualquier autoridad lo sea. ¡Ah, ya sé! Se quedará en el reglamento, lo cual permitirá que un gober precioso pueda censurar a una periodista que le exhiba. Y "cositas así". Muy conveniente para senadores que quieren ser gobernadores que mandarán a procuradores que podrían bloquear contenido y aplicaciones si se autodeclaran competentes.
3."Homologado."  O sea que para conectarme a la red, mi equipo debe estar homologado. Y supongo que mi equipo termina en el ruteador del proveedor de internet... Así que ¿Debo ir a pedirle chichi al IFETEL para conectar un equipo experimental a mi computadora que a su vez se conecta a la red?
Si me conecto con un equipo no homologado es mi problema con mi proveedor. El podrá suspender mi servicio, demandarme por daños o vender a mis hijos como esclavos, pero es MI problema por conectar cosas indebidas. No, no tengo por que pedirle permiso a papá gobierno para innovar.

Como verán un solo párrafo y ya quedó inútil la "neutralidad de la red" de Javier Lozano.
Siguiendo:
"II. No discriminación. Los concesionarios y los autorizados a comercializar que presten el
servicio de acceso a Internet se abstendrán de obstruir, interferir, inspeccionar, filtrar o
discriminar contenidos, aplicaciones o servicio;
"


Nuevamente las negritas son parte del documento original, lo cual parece que resulta de que llegó después al documento o bien trampa engañabobos sicológica. Tecnicismos aparte (los encabezados deben inspeccionarse para determinar origen y destino de los paquetes de información) no dice nada de "priorizar". En Internet todos los paquetes deben ser iguales, pero algunos proveedores hacen "más iguales" a los suyos.

"III. Privacidad. Deberán preservar la privacidad de los usuarios y la seguridad de la red."

Vaya, un párrafo sensato, debe ser por lo breve.


"IV. Transparencia e información. Deberán publicar en su página de Internet la información relativa a las características del servicio ofrecido, incluyendo las políticas de gestión de tráfico y administración de red autorizada por el Instituto, velocidad, calidad, la naturaleza y garantía del servicio;"

En la página y en los contratos con los usuarios finales ¿No? Porque luego resulta que hay letra chiquita contractual.

"V. Gestión de tráfico. Los concesionarios y autorizados podrán tomar las medidas o
acciones necesarias para la gestión de tráfico y administración de red a fin de garantizar la
calidad o la velocidad de servicio contratada por el usuario, siempre que ello no constituya
una práctica contraria a la sana competencia;"


¿Por fin? "Acciones necesarias para la gestión de tráfico" ¿Cuáles son? ¿Priorizar paquetes? ¿Usar switches de lujo para sus paquetes y switches patito para la competencia? debería decir simplemente "sin discriminar de forma alguna el origen y destino de la comunicación" y no "práctica contraria a la sana competencia". No se trata sólo de competencia de las grandes ligas, también se trata de ese ente despreciado que es el ciudadano consumidor.

"VI. Calidad. Deberán preservar los niveles mínimos de calidad que al efecto se establezcan
en los lineamientos respectivos, y
VII. Desarrollo sostenido de la infraestructura. En los lineamientos respectivos el Instituto
deberá fomentar el crecimiento sostenido de la infraestructura de telecomunicaciones.
"

Luego viene esta joyita:

"Artículo 146. Los concesionarios y los autorizados que presten el servicio de acceso a
Internet podrán hacer ofertas diferenciadas según las necesidades de los segmentos de
mercado y clientes, diferenciando entre niveles de capacidad, velocidad o calidad.
"


1. ¿Capacidad? ¿Ya le piensan poner tope al volumen transferido en todos los servicios? ¿Contraté megabits de velocidad por la duración del mes pagado o contraté una cierta cantidad de megabits por peso? 

2. ¿Calidad? "Como tu cuenta es de #Ordinario (palabrita muy usada por Lozano) puede fallar el 20% del tiempo. Las cuentas elite el 10% y las platino el 1%" ¿Se piensa discriminar a aquellos que ven más videos que leer páginas (capacidad) o a aquellos con urgencias que requieran gran velocidad.
El mercado solito se ha regulado a velocidad en el caso de las líneas de tierra y capacidad en el caso de telefonía celular, y creo que a eso más la continuidad del servicio se debe acotar la oferta. Y es cuestión de mercado y competencia: me voy con el que me dé más por menos. Lo que se debe fijar es que se retribuya al consumidor cuando por causas imputables al proveedor NO se cumplan esos estándares mínimos. Punto.

Esos dos son los artículos de "neutralidad de red", una cosa es ser abogado y no tener idea técnica -totalmente justificable- y otra ejercer de censor, dar atole con el dedo a los consumidores, y hacerle el juego a un estado que si lo permitimos sería felizmente totalitario.

No senador Lozano, no hizo nada por la neutralidad de red. Todo lo contrario: la pone en un riesgo que solo los gobiernos abiertamente antidemocráticos han logrado. Su actitud respecto a la red no dice otra cosa excepto hacerle el juego al señor Peña Nieto y le ubican a usted en el mismo tono antidemocrático. No sea ordinario.



#Censuramesta

2013-12-02

Matando bugs sin balas de plata.

Testing y balas de plata


Esto es una aclaración breve a algo que dije en el Barcamp de Testing.

En 1986 Brooks decía "There is no single development, in either technology or management technique, which by itself promises even one order of magnitude improvement within a decade in productivity, in reliability, in simplicity." ("No hay un desarrollo invidual, ni en tecnología ni en técnicas de gerenciamiento que por sí mismo prometa incluso una mejora de un orden de magnitud en una década en productividad, en confiabilidad, en simplicidad")
Y estoy totalmente de acuerdo, a casi 30 años de la declaración de Brooks, seguimos sufriendo de muchos de los mismos problemas que en 1986. Agreguen a lo anterior los procesos de testing.
Mencioné en la plática que CMMI nivel mayor a 3 NO es más garantía de éxito en los proyectos de software que un 50%, y hay que aclarar:
  1. Sin CMMI > 3 las probabilidades de éxito caen al 25%
  2. Con CMMI > 3 Y otras técnicas, tus probabilidades suben a 75% o más
  Ahora bien: Aplicando múltiples técnicas de desarrollo, administración y pruebas, se puede tener hasta un 96% de probabilidades de que el proyecto sea exitoso, pero ninguna de ellas, por sí misma, como único recurso, nos va a sacar del atolladero.
Las técnicas que combinadas producen proyectos exitosos son:


  • Inspección formal de requerimientos, diseño y código
  • Análisis estático de texto.
  • Análisis estático de código
  • Junta de Diseño de Aplicación 
  • Modelado de requerimientos
  • Uso de puntos funcionales
  • Métricas de calidad: Complejidad, detección de defectos, remoción de defectos.
  • Herramientas automatizadas de seguimiento de defectos.
  • Pruebas activas de calidad (>3% del staff total de la empresa)
  • Especialistas en pruebas.
  • Análisis de causa raíz 
 Fuente: Jones, Capers y Bonsignour, Oliver, "The economics of software Quality", Addisson Wesley, 2011


 Ahora bien: CMMI es un conjunto de procesos (un metaproceso en sí mismo), con métricas, historial, repetibilidad, responsabilidades, etcétera, que puede incluir todos los factores de éxito de proyectos. De hecho, parte de la definición de los niveles más altos de CMMI es el proceso de mejora continua que nos permiten adoptar procesos que resulten en proyectos exitosos.
Entonces sí, aclarando de nuevo: CMMI 3 o mayor, solito, por sí mismo, sin otras técnicas de desarrollo y pruebas asociadas, apenas me garantiza por sí mismo un 50% de éxito en mis proyectos y sin embargo, no tener un proceso CMMI (o probablemente ITIL o algo similar) hace que las probabilidades de éxito de proyecto se reduzcan a sólo el 25%.
Lamento no haber sido lo suficientemente claro en la presentación.
 (Y les recuerdo amiguitos: mis opiniones son mis opiniones y no representan a mis clientes, patrones, mentores, ex-patrones o cualquier otro que no sea yo mismo...)

 

2013-02-06

Apps, identidad y tu celular

 O como conocer mejor a tus vecinos.

 
El viernes pasado, parte de la información en los servidores de Twitter fue hackeada. Por ello Twitter forzó el cambio de contraseña a 250,000 usuarios, entre ellos yo.
Pero me sorprendí cuando no me pidió cambiar la contraseña de la aplicación de celular. Varios tuiteros se encargaron de demostrar mi burricie, por lo cual me puse a estudiar un poquito de los mecanismos de autorización de Twitter.

Cuando estoy usando la PC normalmente uso twitter desde el navegador. Para que Twitter esté seguro de quien soy, cada vez que cierro una sesión (al cerrar del navegador o cerrar mi sesión de Twitter), se actualiza un archivo que contiene la galleta ("cookie") con la información que valida mi identidad, la vigencia de la sesión y el sitio (twitter.com) para la cual es válida la galleta. La siguiente vez que visito el sitio, Twitter se da cuenta de que la galleta ya no es válida y sigue una lógica estilo "Para twittear, primero demuéstrame que eres Gerardo poniendo tu usuario y su password". A este proceso se le llama "autorización".

Todos lo hemos hecho, cientos de veces. Miles de veces. En el correo, en sitios como twitter cuando entramos desde computadoras diferentes, y en docenas más, incluyendo bancos.
Cuando tu contraseña se compromete (esto es cuando "te hackean la cuenta" aunque en la jerga informática es "crackean la cuenta") normalmente hay un par de mecanismos típicos en los servicios como hotmail o yahoo; uno de ellos es el correo alterno al cual se te envía una verificación, otro muy común el de las preguntas personales como "¿Cual era el apellido de soltera de mi madre? ¿Cual era el nombre de mi escuela primaria?¿El nombre de mi mejor amigo de la infancia?" y preguntas similares.

Sin embargo, una vez que tienen la configuración de tu cuenta al poseer tu usuario y contraseña, todo eso puede ser cambiado si el cracker así lo desea. Cambiarán si lo desean las "preguntas secretas", tu dirección de correo alternativa a cualquiera que ellos crean, el correo a su propia cuenta, etcétera. 

El caso de los bancos y otros servicios es ligeramente diferente: al proceso de autorización se agrega un proceso de validación, por ejemplo con el "token" que genera ciertos números que son válidos durante cierto tiempo, o durante algún tiempo una tarjeta con renglones y columnas cada una con un valor, y que es diferente a cualquier otra tarjeta de cualquier otro cliente. Al proceso de "Demuéstrame que eres Gerardo con su usuario y password" se agrega un "Y demuéstramelo de nuevo enseñándome algo que solamente él tiene, como su token o tarjeta".

Hasta aquí muy bien. El resto es tarea de quien proporciona el servicio (por ejemplo mantener encriptados los usuarios y contraseñas en la base de datos, que ésta sea inaccesible, que las preguntas de verificación o el procesamiento del token se haga en otra computadora... todo el arte de la seguridad que requiere mucha especialización y mucho trabajo cerrando posibles agujeros a los crackers.

En cuanto a tu PC y su seguridad tú eres el responsable: seguramente tienes una sesión con contraseña para que nadie venga a usarla si tu permiso (o de la empresa), que tienes protector de pantalla con password que se activa al poco tiempo para evitar que alguien use tu meseenger, correo, Skype y demás ¿Cierto? ¿Noooo? Bueno, te estás arriesgando incluso a una broma inocente, como que tu vecino del escritorio de al lado te inscriba en 10 listas de pornografía, insulte a tu suegra en tu nombre en Facebook y pretenda ligarse a la hija de tu vecino, sí, ése que es luchador profesional y pesa como 140 kilos, con frases estilo "mamita, que sabrosa estás". Si te lo hacen, es probable que no te quites el spam por el resto de la eternindad y que conozcas a tu vecino de forma cercana y quizá íntima.Para cuando pongas protector de pantalla y contraseña, será tarde.

Si eres el único usuario del equipo no hay tanto riesgo. Si hay otros usuarios potenciales y no confías 100% en ellos, estás en riesgo.

Además usas un antivirus actualizado ¿Verdad? Y un navegador más seguro que por sí solo deshabilita los plugins inseguros (Como Firefox o Chrome), o de plano un sistema operativo más seguro como Linux o Mac OSX ¿Verdad? ¿No?

Bueno. Cuidado.


Pero no era mi intención readvertir a nadie sobre los conocidísimos problemas de seguridad de Windows, su navegador y una buena cantidad de aplicaciones. Sino de un esquema de seguridad un poco diferente que se llama oAuth y que sirve para múltiples aplicaciones en múltiples dispositivos de forma más cómoda y en general más o meno segura. Básicamente se trata de las "apps" en android (y que alguien de iCosas hable de ellas, no las uso).

El sistema de oAuth permite que una o más "apps" (programas, aplicaciones) usen una sola vez tu usuario y contraseña para validar acciones posteriores de la app.

Aplicaciones típicas como "Twitpic" (donde almacenas fotografías para mostrarlas en twitter), el millón y medio de aplicaciones de Facebook y muchas otras que te piden esos usuarios y contraseñas. El sistema de oAuth (como dice Wikipedia en español): "permite a un usuario del sitio A compartir su información en el sitio A (proveedor de servicio) con el sitio B (llamado consumidor) sin compartir toda su identidad".

El proceso platicado de una manera simple es el siguiente usando Facebook como sistema A (proveedor del servicio) y la mágica aplicacion para Android llamada "PatitoCliente":

PatitoCliente: "Hola Facebook ¿Me recuerdas? Soy PatitoCliente."
Facebook: "Demuéstramelo"
PatitoCliente: "Mira, aquí está el token que me diste cuando me fabricaron ¿Ves?" (Y le entrega un token que es un texto único que identifica a PatitoCliente.)
Facebook:  "Ok ¿Que se te ofrece?"
PatitoCliente: "Ahhhmmm. Quiero registrar a Gerardo como usuario de mi servicio, usando el usuario y password que le habías dado"
Facebook: "Bien, mándalo a mi página de ingreso, o mándame sus datos"

PatitoCliente manda a Gerardo a la página de ingreso de Facebook. Y como conoce bien a PatitoCliente y lo que  le pide, le dice a Gerardo: "PatitoCliente pide permiso para: publicar en tu nombre, ver todos tus amigos, subir fotos y mandar mensajes privados... ¿Deseas darle permisos a PatitoCliente para hacer todo eso?"
Gerardo confiadamente da click en "Sí", pone su usuario y contraseña y PatitoCliente recibe los permisos.

A partir de ese momento, las actividades que Gerardo haga con PatitoCliente pueden verse reflejadas automáticamente tanto en los servicios de PatitoCliente como en los servicios de Facebook. Ya no tiene que entrar a FB para decir las maravillas que PatitoCliente hace: Patito lo hará por él.

Cada vez que PatitoCliente se conecta a FB NO lo hace con la identidad de Gerardo, sino con:
a) Una identidad propia de PatitoCliente que se registró con FB para poder funcionar y
b) Una identidad parcial de Gerardo que fue validada una sola vez cuando Gerardo se registró en PatitoCliente usando su usuario y password de Facebook, 
Al usar Gerardo nuevamente su app PatitoCliente el diálogo sería algo así como:

PatitoCliente: "Hola Facebook ¿Me recuerdas? Soy PatitoCliente."
Facebook: "Demuéstramelo"
PatitoCliente: "Mira, aquí está el token que me diste cuando me fabricaron ¿Ves?" (Y le entrega un token que es un texto único que identifica a PatitoCliente.)
Facebook:  "¿Que se te ofrece?"
PatitoCliente: "Ahhhmmm. ¿Te acuerdas que me conecté usando usuario y contraseña de Gerardo?"
Facebook: "Sí, claro, por acá tengo registrado el permiso que te dio"
PatitoCliente: "Muy bien. Quiero mandar un mensaje en su nombre"
Facebook: "Deja ver... sí, yo te di permiso de mandar mensajes a mi sistema y él te dió permiso de mandar mensajes en su nombre."
PatitoCliente: "Va... el mensaje es el siguiente..."

A estas alturas, los lectores (que son preceptivos) ya habrán pegado un brinco viendo cual es la falla del sistema ¿Cierto?¿No? Un poquito más adelante, entonces...

Pero... ¿Que pasa si Gerardo pierde su celular donde había instalado PatitoCliente?
Sale corriendo a Facebook, cambia su contraseña y queda tranquilo porque no lo van a hackear ni nadie va a chulear malamente a la vecina hija del luchador... pero no conoce el mecanismo de PatitoCliente, que usa oAuth para conectarse a FB y que el que use la app tiene todos los permisos que Gerardo le haya otorgado. 

Así que el nuevo "dueño" del celular de Gerardo resulta ser un usuario malicioso (¿Más malicioso que robarle el teléfono a Gerardo?¡Ja!) usa PatitoCliente para conectarse a Facebook (porque a FB no pudo, porque Gerardo cambió su contraseña) y   puede generar el mismo diálogo (pongo sólo el final, para evitar repetir demasiado).

...
Facebook: "Sí, claro, por acá tengo registrado el permiso que te dio"
PatitoCliente: "Muy bien. Quiero mandar un mensaje en su nombre"
Facebook: "Deja ver... sí, yo te di permiso de mandar mensajes a mi sistema y él te dió permiso de mandar mensajes en su nombre."
PatitoCliente: "Va... el mensaje es el siguiente: Querida vecina, hija de El Luchador, siempre he querido decirte lo siguiente:..."
PatitoCliente: "Ah, Facebook, además quiero mandarle a VecinaLuchadora esta foto: sexyfoto.jpg".
Facebook: "Bien. Sí, tienes permiso de mandar fotos...viene"
 (Se deja al lector la interpretación del resto)

Si no han visto el error, es el siguiente: Una vez que se le dieron permisos a la aplicación, no necesariamente se valida al usuario con contraseña: oAuth valida la aplicación y los permisos que ésta tiene, no al dueño. De manera que la App que vive en el celular del Sr. RataDeDosPatas (y que antes era de Gerardo) tiene toooodos los permisos que Gerardo haya dado a tooooodas las aplicaciones instaladas: mandar mensajes a twitter, a facebook, pubilcar que corrió (con tu celular recién robado) tres kilómetros. Tantas cosas como permisos le hayas dado a la app. Lindo ¿No?

Así que no solo debes cambiar tu contraseña de todos los servicios que usabas: tienes que entrar a cada proveedor de servicio y dentro del servicio quitar todos los permisos a todas las aplicaciones consumidoras para evitar un mal uso de los permisos previamente otorgados.  Dado un tiempo prudencial (en lo que regresan tu teléfono a configuración de fábrica para revenderlo) podrás en tu nuevo dispositivo volver a conectarte con tu nueva contraseña. Mientras podrás explicarle al vecino de al lado que "te robaron el teléfono, lo hackearon y no fuiste tu el que piropeó tan vulgarmente a su buenura de hija". Aunque te mueras de ganas. Y con suerte hasta te cree si le citas esta página.

La lista de principales proveedores de oAuth es ésta: http://en.wikipedia.org/wiki/OAuth#List_of_OAuth_service_providers

Revisa todos los proveedores y dentro de los proveedores revisa que aplicaciones tienes que consuman sus servicios. Anótalas, dalas de baja y ya volverás luego a darlas de alta. En Twitter tienes que ir a https://twitter.com/settings/applications y en Facebook en https://www.facebook.com/settings?tab=application
Alí tienes que revocar el acceso de tus aplicaciones del móvil y conforme reinstales se te volverá a pedir tu nuevo usuario y contraseña. O te a riesgas a una visita del vecino...