El Blog de Enrique Dans

Nike, Apple y la evolución de los wearables

Escrito a las 2:06 pm
7

Nike Fuel bandLa alerta la encendió un mensaje en Secret, la aplicación que permite compartir de manera anónima noticias y pensamientos de todo tipo, en el que una fuente presumiblemente bien informada alertaba acerca del posible despido del equipo de ingenieros que diseñaron la Nike FuelBand.

La noticia era confirmada por C|Net una semana más tarde: Nike anunciaba el despido de un 80% de los integrantes de ese equipo, y el abandono de sus iniciativas en el aparentemente pujante mercado de los wearables. Si estabas pensando en comprarte una Nike FuelBand, ya sabes: podrás adquirir la última, que seguirá a la venta, pero lo más probable es que la compañía no continúe con sus esfuerzos de desarrollo de nuevas versiones, lo que reduce sensiblemente el posible atractivo del producto.

¿Qué puede llevar a Nike a abandonar un mercado en el que no fue especialmente pionera – la Nike FuelBand fue lanzada en febrero de 2012, mientras que dispositivos con funciones parecidas creados por Fitbit provienen de mediados de 2008 –  pero sí había logrado, gracias fundamentalmente a la pujanza de su marca y a su asociación con el concepto de ejercicio físico, una posición de mercado razonablemente buena? La reacción inmediata de la compañía ha sido negar el abandono de esa línea de negocio, pero no han tardado en aparecer especulaciones acerca de la posible conexión entre esos despidos y la presencia de Tim Cook, CEO de Apple, en el Consejo de Administración de Nike: el abandono de la línea podría estar motivado por el próximo lanzamiento del tan rumoreado i-Watch de Apple, un dispositivo al que muchos, en función de fichajes y adquisiciones de la compañía de la manzana, han atribuido un enfoque diferencial hacia temas relacionados con el control de la salud, el ejercicio físico y el quantified self.

La idea, en realidad, ahonda en colaboraciones anteriores entre Nike y Apple como las que dieron lugar al lanzamiento del Nike+ iPod, un dispositivo lanzado en julio de 2006 que permite medir y registrar la distancia y el ritmo de una carrera o paseo. Se había apuntado a que la presencia de Cook en el Consejo de Nike podía suponer un problema dado el aparente rumbo de colisión que ambas compañías parecían tomar en el desarrollo de ese mercado de dispositivos: el anuncio de Nike podría marcar el inicio de nuevas colaboraciones destinadas a llevar una parte del expertise desarrollado por Nike a lo largo de estos años al nuevo dispositivo que Apple podría poner próximamente en el mercado.

Mientras, el mercado de los wearables parece estar avanzando en el uso de la información derivada de estos dispositivos para los más diversos fines, desde la reducción del importe de los seguros de salud pagados total o parcialmente por las compañías que animan a sus empleados a estar en mejor forma física, hasta el cálculo de demanda y capacidad de energía eléctrica en función de la lectura de termostatos inteligentes como Nest. Usos que, mientras mantengan garantías sobre la privacidad y el nivel de control por parte de los usuarios, pueden llegar a aportar bastante a un ecosistema basado en información obtenida a cada vez más niveles, pero que utilizados (o simplemente, transmitidos) de manera incorrecta pueden llevar a plantear problemas de todo tipo.

A partir del momento en que los datos de tu actividad y ejercicio físico recogidos por un dispositivo que llevas encima pueden determinar variables que inciden en el coste que tu compañía tiene que pagar en concepto de seguro médico, las precauciones que hay que adoptar para evitar un potencial mal uso que perjudique a la persona o afecte a sus opciones de vida deben extremarse. La clave, claramente, está en alinear los beneficios para todas las partes: llevar una vida saludable puede ser un interés para muchas personas y puede representar ventajas para compañías de seguros de salud o incluso en términos de coste para el conjunto de la sociedad, pero la idea de convertirlo en algún tipo de obligación o una responsabilidad que conlleve hacer frente a costes más elevados parece, como mínimo, complicada, además de fuertemente intrusiva.

¿Nos dirigimos hacia una sociedad que “castiga” a quienes se niegan de manera persistente a mantener hábitos saludables con tarifas más elevadas en concepto de seguro médico? En realidad, muchos de esos elementos se encuentran ya presentes en los cálculos que las empresas de seguros de salud utilizan para determinar sus tarifas: un hombre con antecedentes familiares de riesgo cardiovascular puede pagar más que uno en el que dichos antecedentes no están presentes, del mismo modo que un fumador puede pagar más que una persona que no fuma. La incorporación de dispositivos para obtener datos más directos y fiables de los hábitos de los clientes representaría, en realidad, un punto más de refinamiento en ese tipo de cálculos, pero ¿resultan de verdad aceptables? ¿Estará en un futuro el incentivo para salir a caminar o a correr vinculado con el mantenimiento de una tarifa determinada en nuestro seguro médico, una idea que muchos ven como un auténtico apócope del Gran Hermano y el control social? La protección contra la discriminación en función de la información genética parece haber sido asegurada por ley en países como los Estados Unidos, pero ¿vamos hacia una progresiva discriminación de facto en términos de tarifas basada en la opción que cada uno hacemos de determinados hábitos vitales, controlada por dispositivos que llevamos encima? ¿Apunta en ese sentido el desarrollo futuro de los wearables y del quantified self?

 

(This post is also available in English in my Medium page, “Nike, Apple and the future of wearables“)

La evolución de las noticias en la red (o diez razones por las que el canon AEDE es una barbaridad)

Escrito a las 7:29 pm
15

Noticias en la red

La enésima barbaridad que el gobierno español pretende lanzar contra el desarrollo de internet se denomina “canon AEDE”, y supone que los medios puedan cobrar por un supuesto “derecho irrenunciable” a todos aquellos que vinculen a sus noticias, encuadrado en un anteproyecto de reforma de la ley de propiedad intelectual que contiene muchas barbaridades más. En realidad, una forma de asegurar que el gobierno obtiene un clima informativo propicio, y que los editores de determinados medios obtienen unos ingresos extra que no son capaces de procurarse por méritos propios desarrollando sus actividades en la red. Un auténtico premio a la incompetencia de los inadaptados directivos de determinados medios de comunicación.

Estas son, desde el humilde punto de vista de alguien que lleva más de once años cubriendo el panorama de noticias de tecnología en la red y generando contenido original sobre el mismo (en ocasiones, apoyándose o inspirándose sobre contenido publicado en otros medios), diez de las razones por las que el canon AEDE es una barbaridad conceptual:

  • Porque la dieta informativa de las personas es cada vez más variada: cada vez menos usuarios recurren a un solo sitio para informarse, la mayoría prefieren acceder a las noticias a través de plataformas de todo tipo, desde redes sociales en las que las noticias son recomendadas o sugeridas por sus seguidores, hasta aplicaciones como Zite, Flipboard u otras en las que son sugeridas por algoritmos automáticos. O por supuesto, a través de blogs y otras páginas que comentan esas noticias. Pretender que los lectores pertenecen al medio es, sencillamente, una estupidez cada vez menos sostenible.
  • Porque los medios que pretenden recibir el canon en cuestión no son ni todos los medios, ni los más relevantes, ni los que más tráfico generan, ni los que más éxito tienen. Si alguna característica común tienen los medios de AEDE es precisamente la de ser los más patentemente inadaptados a internet. La idea de un canon generado por un supuesto “derecho irrenunciable” es completamente insostenible, mucho más cuando algunos medios utilizan licencias que precisamente renuncian de forma expresa a ese derecho.
  • Porque la paternidad de las noticias es algo, en el mejor de los casos, discutible. Muchos medios de comunicación se abastecen de la información que reciben de las agencias, muchas de las noticias que publican distan mucho de ser originales, y en muchos casos, provienen de traducciones de medios extranjeros, a los que en muchos casos, ni siquiera enlazan. Copiar y traducir sin enlazar y sin enviar tráfico al medio correspondiente sí supone un comportamiento claramente predatorio, y muchos periódicos incurren en él todos los días.
  • Porque enlazar a un medio tiene siempre un efecto positivo sobre el tráfico del mismo. Se puede enlazar por muchos motivos: un texto completamente original puede usar un enlace simplemente para hacer referencia a una noticia, sin que ésta sea el motivo principal ni la obra resultante suponga en modo alguno una forma de “parasitismo”. Precisamente lo mejor que puede ocurrirle a una noticia es que sea comentada en cuantos más sitios mejor, que sea muy enlazada, que se convierta en un objeto social, cuanto más activo, mejor. Pretender que te paguen por esas acciones que, en último término, deberías entender como parte del éxito en la red es sencillamente suicida, además de absurdo.
  • Porque si se legitima que haya que pagar por enlazar, los periódicos se convertirán en auténticos buitres que persiguen las referencias a lo que ellos afirman que son “sus” noticias, cuando la verdad es que las noticias, como tales, no pertenecen a nadie. ¿Queremos ver a medios reclamando supuestas autorías sobre todo lo que se publique sobre un tema determinado, simplemente porque ellos también lo publicaron? Un sistema así es incontrolable, y lo que harán las entidades de gestión es estimar que toda mención a una noticia supone una obra derivada de uno de los medios para los que recaudan, independientemente de si esa mención proviene de la lectura de un medio extranjero o simplemente, de haber “pasado por allí” cuando la noticia estaba teniendo lugar. Estamos hablando del desarrollo del enésimo sistema que las entidades de gestión emplean para generar bolsas de derechos supuestamente “no reclamados”, que luego administran como les viene en gana. Exactamente como ya hizo la SGAE en su momento.
  • Porque lo que pretenden los medios, en abierta connivencia con el gobierno, es “sacarle algo a Google porque gana mucho dinero”. Pero al hacerlo, están atacando no solo a Google, sino a muchos otros, y a un comportamiento tan propio del ser humano como el comentar las cosas, el usar fragmentos, el compartir y difundir información. Los daños colaterales resultantes de intentar atacar a Google son potencialmente muy importantes para todo el ecosistema internet en nuestro país. No, esto no es “algo contra Google”: los descerebrados de AEDE pretenden cobrar a todo aquel que enlace a sus noticias, se llame red social, blog, agregador o cualquier cosa que se mueva en la red.
  • Porque aceptar un pago de ese tipo procedente de un gobierno supone aceptar una prebenda, una subvención que conlleva que ese gobierno dicte tu línea editorial. En España ya hemos visto como los medios que eran abiertamente críticos con el gobierno han realizado cambios en su cúpula directiva y han alterado su línea editorial para dejar de serlo a raíz del anuncio de este proyecto de ley. El simple hecho de ver al director de AEDE sentado al lado del ministro de turno debería dar náuseas a cualquiera que defienda el periodismo crítico e independiente. Lo que el gobierno busca es, sencillamente, rodearse de medios afines que no critiquen su gestión.
  • Porque lo que tienen que hacer los medios es precisamente identificar sus fuentes de tráfico y cuidarlas lo más posible, no atacarlas ni pretender financiarse gracias a ella. Porque lo mejor que te puede traer una página en la red es tráfico para que tú te encargues de monetizarlo como quieras. Creer que quien te envía tráfico debe pagarte supone que, simplemente, no te has enterado de nada sobre cómo funciona internet.
  • Porque cualquier trabajo adicional que se lleva a cabo con la información supone añadirle valor. No hablamos de quienes reproducen las noticias sin más, sino de quienes les añaden categorías, comentarios, votos, opiniones o quienes construyen sobre ellas. Todas esas acciones realizadas sobre las noticias son acreedoras de un valor, no acciones de parasitismo, y merecen que ese valor sea reconocido.
  • Porque la idea de pagar por enlazar resulta aberrante, y es contraria a la naturaleza de internet. En internet, el acto de enlazar es libre por definición. Cuando se deja de enlazar a un medio, es ese medio el que pierde, en todos los sentidos. Todo medio al que haya que pagar para enlazar está destinado a desaparecer.

 

(This post is also available in English in my Medium page, “Ten reasons why it makes no sense to try to charge news aggregators“) 

Tecnología y balance entre vida personal y profesional: el caso de Francia y el correo electrónico

Escrito a las 2:21 pm
18

IMAGE: Евгений Косцов - 123RFSi hace algunos días leíste la noticia de que Francia prohibía enviar y responder correos electrónicos profesionales a partir de las seis de la tarde para proteger el balance entre vida personal y profesional de los trabajadores, a estas alturas puedes olvidarlo: la noticia era completamente falsa, y ya ha sido adecuadamente corregida en todas partes. Afectaba únicamente a algunos trabajadores, no mencionaba horario alguno, y no tenía carácter de ley, como la Secretaria de Estado para Asuntos Digitales, Axelle Lemaire, aclaró a través de Twitter.

Sin embargo, y desde hace ya mucho tiempo, no faltan voces que defienden la idea de que la tecnología está siendo el factor más importante a la hora de atentar contra el balance entre vida profesional y personal, o incluso quienes defienden que la supuesta medida francesa no habría sido una mala idea. ¿Es la tecnología, en efecto, una amenaza a los derechos de los trabajadores, un factor utilizado por las empresas para obligar a sus empleados a trabajar o estar pendientes del trabajo a todas horas, poniendo en peligro su estabilidad y su vida personal? Sin duda, no faltan casos de personas que interrumpen cualquier situación a cualquier hora del día o de la noche para contestar “un mail importante” o “una llamada inaplazable”, pero ¿realmente se ha convertido la tecnología en una amenaza en este sentido? ¿No añade la tecnología otros factores positivos para compensar por ese supuesto “acoso” de nuestras horas de ocio?

La idea de que un gobierno legisle las horas a las que puedo o no puedo trabajar se me antoja la más estúpida entre muchas posibles ideas estúpidas. Sencillamente, alude a un concepto de trabajo cada vez más del siglo pasado, con trabajadores que entran a una hora determinada fichando en un reloj con una tarjeta magnética y salen por el mismo sitio ocho horas – o las que sean – después. Si a esa rutina añadimos una empresa que abusa de los medios de comunicación y demanda cualquier cosa a cualquier hora de sus trabajadores, la idea es sencillamente pavorosa. Trabajadores esclavizados, interrumpidos en cualquier momento de su ocio con demandas constantes, y sometidos además a desfases horarios por las comunicaciones enviadas desde filiales en distintas zonas horarias… un panorama insoportable para cualquiera. Y en efecto, ese tipo de casos pueden existir, no solo en el trabajo de tipo fabril o administrativo, sino incluso en el directivo. Desgraciadamente, aún existen empresas y directivos que mantienen esa concepción de “tiempo en el trabajo”, de “hacer las horas”, de “cumplir”. Pero al mismo tiempo, existen muchos otros tipos de trabajo, cada vez más, en los que la tecnología se convierte en un factor capaz de aportar una flexibilidad envidiable, susceptible de ofrecer un bienestar asociado al trabajo que nuestros antepasados nunca pudieron ni imaginar.

Una parte muy importante de mi trabajo se desarrolla en un aula, a una hora determinada, en un lugar determinado. Otra parte, las reuniones, pueden tener lugar en mi despacho por una cuestión de pura comodidad – mi despacho está en pleno centro de Madrid en una zona de fácil acceso y bien comunicada – o en cualquier otro sitio, y generalmente dentro de las horas que conocemos como “de trabajo”. Pero otra parte muy importante, todo lo relacionado con la preparación de materiales para mis clases, con la parte más creativa de generación de conocimiento, se ha independizado completamente de tiempo y de lugar. Básicamente, trabajo cuando me da la gana, donde me da la gana, cuando me siento más inspirado o cuando me resulta más agradable. El resultado es una jornada laboral inexistente: a menudo acudo a mi despacho evitando las horas de más atasco, sencillamente para evitar hacer frente a un tiempo completamente improductivo tras un volante, o no voy si no tengo clases o reuniones ese día. Un balance entre vida personal y vida profesional que me funciona de manera envidiable, que se traduce en mucho más tiempo de calidad con mi familia, o que ofrece una flexibilidad y una productividad decididamente mucho mayor que la (ahora para mí impensable) alternativa de entrar todos los días a las nueve de la mañana y salir supuestamente a las cinco de la tarde.

¿A cambio? No dejo de trabajar en ningún momento. Cualquier oportunidad de desarrollo de material didáctico, de investigación o divulgativo, del tipo que sea, es aprovechada, aunque ocurra en medio de mis teóricas vacaciones, o durante un fin de semana. Si la inspiración para un tema llega por la noche, no son pocas las ocasiones en las que me levanto y me pongo con ello durante la noche, ese momento mágico en que las horas tienen de verdad sesenta minutos. ¿Radical? Tal vez, pero me gusta. Y decididamente, me compensa enormemente. La tecnología se ha convertido en la maravilla que me permite trabajar como a mí me gusta. Si quiero desconectar, por supuesto que puedo hacerlo. Pero no suelo hacerlo.  Sin duda, explicar mi sistema a algunas personas resulta complejo, algo que generalmente empeora con la edad de mi interlocutor (con honrosas excepciones). Pero no parece que mi empresa esté descontenta con mi productividad en absoluto, o al menos, eso dice en las evaluaciones periódicas de rendimiento.

¿Hay empresas que abusan de esto, y que someten a sus empleados a una tortura mediante el recurso al correo electrónico a todas horas? Sin duda. Pero si bien he oído casos de correos electrónicos enviados fuera de horas de trabajo, no suelo tener datos acerca de la supuesta obligación de contestarlos a esas mismas horas. No me consta que las empresas echen o penalicen a sus trabajadores por no contestar un correo a altas horas de la madrugada, o en medio de un fin de semana, salvo que sea una causa de fuerza mayor. Repito: ¿puede haber abusos? Sí, seguro, como puede haberlos de casi cualquier cosa. Pero en lo general, mi impresión es que la tecnología trae muchos más factores positivos potenciales a esta ecuación en forma de flexibilidad, que de supuestos factores negativos en forma de moderna versión de la esclavitud.

La correcta gestión del equilibrio entre vida profesional y vida personal es crucial en una vida productiva y satisfactoria. Pero tengo serias dudas acerca del papel que la tecnología juega en dicho equilibrio. Mi impresión es que los desajustes no se deben a ese factor tecnológico, sino a otros que se encuentran mucho más dentro del campo del sentido común. Que la principal ganancia no vendría de plantear restricciones tecnológicas, sino de tratar de racionalizar las metodologías en las muchas empresas que aún trabajan como se hacía el siglo pasado, en función de horarios y sistemáticas que ya no tienen sentido. De condenar el “9 to 5″ a una bien merecida jubilación. En el mundo actual, el “9 to 5″ – o peor, el “9 to whenever the boss leaves” - ya no tienen ningún sentido, porque existen formas mucho mejores y menos alienantes de hacer las cosas. Y gran parte de ese fantástico avance, todavía por conquistar en muchas compañías, se lo debemos a la tecnología.

 

(This post is also available in English in my Medium page, “Technology and the work-life balance: the strange case of the French email ban“)

Google Glass a la venta por un día: qué significa

Escrito a las 12:20 pm
14

Google Glass

Ayer día 15 de abril, si eras residente en los Estados Unidos y querías gastarte $1500, fue el único día que en podrías haber adquirido libremente las Google Glass. El experimento, destinado supuestamente a estimar la demanda potencial del gadget, parece haberse saldado con relativo éxito, aunque evaluar ese nivel de éxito es algo que solo la compañía puede hacer con exactitud: el modelo blanco se agotó relativamente pronto, pero carecemos de información acerca de cuánto significa exactamente eso en términos de ventas reales.

¿Qué pretende realmente Google planteando un día de venta abierta de su dispositivo? En primer lugar, parece razonable pensar que, ante un dispositivo tan novedoso a un precio como ese, intente tener una cierta evaluación objetiva del potencial de mercado, del número de usuarios dispuestos a gastarse ese dinero. Presumiblemente, alguien que se deja mil quinientos dólares en un dispositivo pretende algo más que probarlo, se supone que hacer un uso relativamente regular del mismo. Y ahí es donde yo, particularmente, no estoy completamente seguro del tema.

Mis pruebas con Google Glass por el momento han consistido en una media hora de primera evaluación en un lugar público, y posteriormente, tres días con el dispositivo en mi poder. Por más que lo he intentado, y a estas alturas resulta difícil dudar de mi vocación de probar artefactos tecnológicos, no conseguí construir un caso de uso exitoso. Me pareció un cacharrito simpático para un uso ocasional, cómodo para algunas cosas, pero no lo suficiente como para usarlo de manera consistente. ¿Es cómodo utilizar Google Glass para salir a hacer ejercicio y tener tus estadísticas al alcance de tus ojos? Sí, indudablemente… ¿pero realmente compensa la incomodidad de llevar eso puesto, frente a simplemente girar la muñeca y ver esos datos en tu smartwatch, o incluso sacar el smartphone del bolsillo? Para mí, francamente, no. ¿Es funcional usar las Google Glass para conducir de un sitio a otro recibiendo indicaciones del GPS? Sí, es funcional… pero no mucho más que llevar ese mismo GPS en el smartphone en el salpicadero, u otro modelo de GPS integrado con el vehículo. Y distrae, distrae bastante, incluso cuando ya tienes bastante interiorizado el manejo de la interfaz. Aparte, por supuesto, de las miradas raras, del cierto mareo o dolor de cabeza tras un uso prolongado, o del peligro de ser considerado un glasshole, que por lo visto puede llegar incluso a la agresión física.

Sinceramente, después de haberlas probado, no tengo claro si, en caso de poder optar a ello, pagaría por hacerme con unas Google Glass. Seguramente sí, pero más por mi personalidad de tipo “lo pruebo todo” que por un convencimiento sobre su utilidad o su valor en el futuro. El producto que vimos surgir como una especie de “locura”, poner una pantalla delante de uno de nuestros ojos para poder acceder en todo momento a información, ha servido para que nos planteemos muchas cosas, posiblemente incluso para incidir en la idea de los wearables como una categoría con un futuro indudable, o para tratar de entender qué pretende Google con su estrategia de hardware, pero a duras penas ha sido capaz de crear una expectativa real. Por el momento, las Google Glass están más en la categoría de producto “pescadilla que se muerde la cola”, para quienes quieren intentar programar aplicaciones para ellas, para quienes quieren ofrecer una imagen asociada a la tecnología, o para hacer pruebas asociadas a los más diversos usos, pero difícilmente un producto para el común de los usuarios (y en ese escalón de precio, presumiblemente menos aún).

¿Son las Google Glass un fracaso como tal? En este momento, las conclusiones que Google puede sacar sobre su día de venta abierta son complejas: incluso si las cifras del día resultasen ser un éxito arrollador en modo “me las quitan de las manos”, esa demanda podría representar un tipo de cliente dispuesto a explorar cualquier dispositivo tecnológico prometedor o con expectativas suficientemente recalentadas a golpe de prensa, pero cuya generalización a un público de otro tipo no tengo en absoluto clara. Si por el contrario, el experimento indica que ni siquiera ese segmento de usuarios más afines a la tecnología se pone a hacer cola o colapsa la página web para obtener el dispositivo, parecerá claro que el diseño del producto, sus especificaciones y su precio necesitan aún más trabajo, o simplemente no funcionan.

Mi impresión en este momento es que las Google Glass están muy lejos de ser un producto maduro. Que podrían posiblemente tener éxito asociados a casos muy particulares de profesionales que necesitan información en situaciones puntuales o que quieren compartir lo que están viendo (que no sería como tal un mercado poco interesante), pero más allá de esos usos, poco. Las veo más como un experimento, tanto tecnológico como social, que ha podido tener su relevancia definiendo una categoría, que como un producto real destinado a la venta masiva. Las limitaciones de todo tipo con las que me encontré han hecho que me sintiese mucho más un pionero probando un diseño incipiente, que un usuario evaluando un producto realmente maduro. El diseño, que parecía originalmente brillante, no se revela tan práctico ante un uso habitual. Puede ser que no haya llegado a probar las aplicaciones adecuadas, o que simplemente no las haya evaluado un tiempo suficiente, pero creo que realmente, están aún lejos de ser algo más que un experimento. Interesante, pero experimento al fin y al cabo. Pero por supuesto, me puedo equivocar, como con muchas otras cosas. Veremos a dónde llega el tema.

 

(This post is also available in English in my Medium page, “Google Glass on sale for a day: first thoughts“)

¿Son “especiales” las empresas tecnológicas?, artículo en Voces Económicas

Escrito a las 4:32 pm
12

¿Son "especiales" las empresas tecnologicas? - Voces EconómicasMe solicitaron desde Voces Económicas un artículo acerca de la fiscalidad de las empresas tecnológicas, que se publicó hoy bajo el título “¿Son ‘especiales’ las empresas tecnológicas?”

La tesis que defiendo es que el empleo de herramientas fiscales como el “doble irlandés” o el “sandwich holandés” no es en absoluto privativa de empresas tecnológicas, sino que están a disposición de cualquier compañía multinacional con capacidad para llevar a cabo procesos de facturación cruzada, y que si no nos gusta el recurso a este tipo de técnicas agresivas de optimización fiscal, perfectamente legales en la actualidad, lo que hay que hacer es desmontar esas herramientas, no perseguir al que las utiliza.

Un problema, por supuesto, que choca con la soberanía de los países en términos fiscales, y con las estrategias que cada uno de estos países pretende seguir a la hora de posicionarse y desarrollar sus ventajas comparativas en el conjunto internacional.

 

(Aquest article també està disponible en català, “Són ‘especials’ les empreses tecnològiques?“)

(The article is also available in English in my Medium page, “Are technology companies really that different?)

Ambient awareness: empresas que son todo oídos

Escrito a las 12:23 pm
33

IMAGE: Eric Isselee - 123RFAmbient awareness es un término utilizado en las ciencias sociales para describir una forma de conciencia social periférica, una atención al entorno propagado a través de la presencia más o menos constante en medios sociales en la red. Su uso aplicado al desarrollo e implantación progresiva de la web social lo popularizó Clive Thompson en un artículo del New York Times de 2008, Brave new world of digital intimacy, en el que describía el modelo de contacto y sensibilidad permanente en el que vivían un numero cada vez mayor de usuarios de redes como Facebook o Twitter.

Aplicado a la empresa, la idea de ambient awareness describe la capacidad de pulsar de manera más o menos constante el estado de opinión de sus clientes a través de las redes sociales, y el desarrollo de los mecanismos adecuados para responder y entablar un diálogo constructivo con ellos.

Cuando las empresas comenzaron a recibir este tipo de menciones a través de las redes sociales, la teoría dominante era que se trataba siempre de mensajes con un componente negativo: que la naturaleza humana llevaba a que una buena experiencia con un producto o servicio fuese calificada de manera rutinaria como “lo normal”, mientras que una mala fuese considerada excepcional y merecedora de una queja pública. También se hablaba de la naturaleza de las quejas a través de las redes sociales como de un tercer escalón en la negatividad del cliente: tras una primera fase en la que el cliente “se comía” el enfado y lo digería consigo mismo, y una segunda en la que lo compartía con su entorno cercano, familiares y amigos, la queja en una red social representaba el equivalente de abrir la ventana y exteriorizar la queja gritándola en público. Precisamente por ese tipo de factores, algunas empresas empezaron a desarrollar sistemas de detección temprana mediante la búsqueda de sus marcas, o abrieron cuentas en las redes sociales para que esas quejas tuvieran un destino, y se dotaron de mecanismos para darles respuesta. Con la normalización del uso de las redes sociales, algunos de esos factores se han modificado: ahora, la reacción de compartir una experiencia en las redes sociales es en muchas ocasiones lo primero que se nos viene a la cabeza, y se han incrementado también las veces en que escogemos compartir algo con connotaciones positivas.

Un caso muy interesante es Iberia. Soy un cliente muy frecuente de la aerolínea, y recientemente, tuve dos momentos de insatisfacción con sus servicios, uno vinculado con el uso de su aplicación para smartphone, y otro con la experiencia de uso de su WiFi en vuelo. En ambos casos los comenté en Twitter en el momento en que sucedieron, y en el segundo, escribí además una entrada al respecto. Y en ambos casos, la reacción de la compañía fue inmediata, mucho más de lo que cabría esperar, y me sorprendió de manera muy positiva.

El primer caso tuvo lugar un martes por la mañana: mi tweet original recibió contestación desde la cuenta de @Iberia en pocos minutos, mediante un mensaje que trataba de indagar si estaba teniendo algún problema y necesitaba ayuda de algún tipo. Una contestación práctica a un problema que, en realidad, no existía: tras haber intentado acceder a mi tarjeta de embarque en una aplicación que habitualmente funcionaba sin problemas y haberme encontrado con que, tras su rediseño, ya no era capaz de hacerlo, había simplemente recurrido a acceder a dicha tarjeta a través del mensaje de correo electrónico que aún mantenía en mi bandeja de entrada. Incómodo, sí, sobre todo si tienes que buscar entre muchos correos, pero con un alcance limitado en términos de criticidad. Mi conversación con la compañía, que hay que resaltar que en ningún caso se debió al hecho de ser mencionada por un usuario con un número elevado de followers en Twitter, sino que forma parte de un uso habitual que puede comprobarse simplemente mirando su timeline (responden a todo el mundo, independientemente de su número de followers, y con un tiempo de reacción verdaderamente rápido), se interrumpió con mi embarque, pero me encontré en breve un mensaje en el que se me proponía una reunión para discutir cuestiones de usabilidad relacionadas con la nueva app, en una demostración más de que el uso de Twitter no se limita a un departamento aislado, sino que trasciende otros estamentos de la compañía.

El segundo caso se produjo un sábado, muy temprano, coincidiendo con la llegada de mi vuelo a Madrid. La gestión de la cuenta de Twitter de Iberia no es un servicio interno, está subcontratado con una agencia que lo lleva a cabo, como ya hemos comentado, con notable brillantez, pero que únicamente trabaja en días de semana y con un horario determinado, aunque esto podría cambiar próximamente. A pesar de ello, mi queja fue respondida en unas tres horas, y no a través de Twitter, sino en forma de un SMS enviado por el Director de Experiencia de Cliente de la compañía, que se había preocupado de obtener mi número de móvil. Una prueba clara de que la idea de ambient awareness a la que nos referíamos no se limita a un simple departamento subcontratado, sino que se ha convertido en todo un elemento de la cultura. En una empresa de gran tamaño, que durante una buena parte de su historia fue una compañía pública con mentalidad funcionarial, y sometida a un clima a una situación laboral como mínimo calificable de “compleja”, un elemento que me parece muy interesante: acostumbrarse a estar tan pendientes de lo que dice la red, como para conseguir contestar a una queja de un cliente con tu sistema de atención al cliente de Twitter cerrado, y un sábado por la mañana temprano. Muy pocas empresas son, a estas alturas, capaces de hacer algo así. Hablamos de sistemas que no se asientan tanto en estructuras preparadas para ello, sino ya en una cultura de uso, en un sistema de valores que pone la atención al cliente en otro nivel. Y algo que, sea cual sea la opinión que podamos tener de la compañía y de sus servicios, me parece digno de ser valorado y reseñado.

¿Está tu compañía a ese nivel? ¿Te imaginas a uno de tus primeros directivos preocupándose un sábado por la mañana de obtener el número de móvil de un cliente para comunicarse con él y ponerse a su servicio para aclarar una queja? Si la respuesta es no, ponte a trabajar. La respuesta no es solo tecnológica, hay otros elementos, y muchos de ellos son puramente culturales, de esos que terminan por diferenciar a las compañías. No lo dudes: en los tiempos que vivimos, vale la pena invertir en algo así.

 

(This post is also available in English in my Medium page, “Ambient awareness: companies that are all ears“)

Directivos, fantasmas del pasado y puertas giratorias

Escrito a las 1:24 pm
15

IMAGE: Corina Rosu - 123RFEl caso de Brendan Eich, forzado a dimitir de su puesto como CEO de Mozilla Corporation tan solo once días después de su nombramiento por haber donado mil dólares a la causa contra los matrimonios del mismo sexo en el año 2008, es una impresionante ilustración de hasta qué punto los directivos, en la era de la web social, pueden llegar a ser esclavos de su pasado.

Sin duda, Brendan Eich es una persona con capacidades demostradas para su trabajo y su evolución profesional: desarrollador de gran prestigio, creador del lenguaje JavaScript y cofundador de la organización que aspiraba a liderar, contaba con la aprobación del Consejo de Administración que le nombró, que también conocía el episodio de aquella donación. Sin embargo, la situación generada por su nombramiento escaló rápidamente hasta hacerse insostenible y obligar a su dimisión.

¿Realmente merecía Eich ser obligado a dimitir? Es una discusión compleja, pero la realidad es que, en este ámbito, las opiniones cuentan muy poco: lo importante es que, por la razón que sea e independientemente de la cualificación profesional del individuo, su presencia podía dar lugar a muchos más efectos negativos que positivos para la organización que pretendía liderar. A pesar de las moderadas disculpas públicas del personaje, las amenazas de dimisión y boicot de múltiples trabajadores, usuarios y empresas presagiaban un auténtico desastre de relaciones públicas en caso de que el recién nombrado CEO continuase en su puesto, y todo ello en el contexto de una compañía que depende en gran medida de las donaciones y la empatía personal para su supervivencia. El caso es sin duda complejo, y será seguramente objeto de estudio por futuras generaciones de estudiantes en muchas escuelas de negocios.

Ahora, cuando todavía no se han apagado las reacciones al caso Eich, viene Dropbox y anuncia el nombramiento de Condoleezza Rice, ex-secretaria de Estado durante la administración Bush, como miembro de su Consejo de Dirección. Durante su etapa en la política, Rice fue una de las personas más implicadas en el desarrollo de programas de espionaje de la población sin ningún tipo de control judicial, lo que, entre otras cosas, ha dado lugar a fuertes reacciones de protesta a su nombramiento en la red. Sitios como Drop Dropbox recogen los “méritos” de la ex-secretaria de Estado e invitan a los usuarios a cancelar sus cuentas en la compañía si no cambia su decisión. La compañía, por el momento, ha defendido su decisión de invitarla a formar parte de su Consejo en función de su fuerte proyección internacional, pero si la reacción persiste y empiezan a llegar cancelaciones,no sería extraño que se viese obligada a rectificar.

El caso de Condoleezza Rice nos lleva a pensar en una de las cuestiones que, tristemente, se han hecho más habituales en las relaciones entre el mundo de la política y el corporativo, la llamada revolving door, o puerta giratoria: que altos cargos públicos pasen a trabajar en empresas privadas, beneficiándose de su anterior ocupación pública y produciendo conflictos de interés entre la esfera pública y la privada. Sin duda, una constante cada vez más habitual en la escena política de muchos países.

El desarrollo y popularización de la web social tiene dos características: por un lado, funciona como un refuerzo de la memoria colectiva y una fuente de información permanente sobre las personas, un “turbio pasado” que pasa a estar muchísimo más disponible ahora que en los tiempos en los que era preciso recurrir a las hemerotecas y a las labores de investigación periodística. Por otro, disminuye de forma clara las barreras al activismo y al desarrollo de acciones de protesta: reacciones que hace algunos años no habrían llegado a ser leves protestas diseminadas de boca a oreja y con un alcance relativamente limitado, se convierten ahora en noticias que circulan de manera rápida entre medios de comunicación online, en páginas web informativas que muestran los argumentos de la protesta y las acciones de protesta solicitadas, y en un ruido mediático insoportable y omnipresente en redes como Twitter o Facebook. Hoy, la presión que sufre cualquier empresa ante una decisión impopular es inmensamente más elevada que antes de que la web social se elevase a los altares de la popularidad, y también lo es la capacidad de la empresa para intentar medir y evaluar esa presión. El resultado es que, cuando no se gestionan adecuadamente, esas reacciones pueden conllevar en muchos casos un verdadero perjuicio a la imagen de la compañía que puede durar mucho tiempo o redundar en pérdidas económicas directas y medibles, desde bajas de clientes hasta problemas derivados de la impopularidad o de dar lugar a una imagen generadora de antipatía.

¿Verán las empresas en el futuro cómo la decisión de incorporar a ex-políticos como manera de pagar los favores recibidos cuando estos estaban en puestos de responsabilidad se convierte en amenazas de abandono y boicot por parte de sus clientes? A la vista de casos como los anteriormente citados, un escenario así no puede descartarse en absoluto. Y el análisis que es preciso hacer, claro está, independientemente del schadenfreude o la alegría por el sufrimiento o la infelicidad ajena tan habitual en el caso de políticos o altos cargos directivos, es hasta qué punto es bueno para la sociedad que esto sea así.

Para un directivo o un político, la web social se convierte cada día más en un arma fundamental para intentar explicar ciertos temas, para disculparse cuando sea preciso hacerlo, o para tratar de mostrar una imagen humana, próxima y transparente, un trato directo que pueda servir para desactivar amenazas de este tipo ante la eventualidad de que puedan surgir. Yo, por el momento, voy a incluir ambos casos en un curso que estoy preparando para directivos del sector público. Ya os contaré conclusiones…

 

(This post is also available in English in my Medium page, “Directors, skeletons in the cupboard, and revolving doors“)

Internet como estado policial, colaboración en El Mundo

Escrito a las 10:53 am
11

Internet como estado policial - El Mundo (pdf, haz clic si quieres leerla en este formato a tamaño normal)Vicente Lozano, de El Mundo, me pidió una tribuna de opinión sobre la sentencia de Estrasburgo acerca de la protección de datos personales, un tema que ya toqué en una entrada anterior. Intenté, sobre todo, explicar por qué la retención de datos no ayuda en el control del crimen y la delincuencia, y hasta qué punto es comparable a crear una sociedad en la que un policía vigila constantemente todos tus actos. No, en la red no vale todo. Lo que tiene que ocurrir es que en la red valgan las mismas cosas y se apliquen las mismas leyes y sentido común que fuera de ella.

Se publicó ayer viernes, a página completa, bajo el título “Internet como estado policial“.

A continuación, el texto completo de la tribuna:

 

Internet como estado policial

Hace pocos días, una sentencia del Tribunal de Justicia de la Unión Europea invalidó una directiva que obligaba a los proveedores de acceso a internet y a muchas empresas que ofrecían servicios en la red a retener todos los datos sobre sus usuarios durante un largo período de tiempo, con el fin de facilitar posibles investigaciones policiales.

La directiva de retención de datos fue, en su momento, una norma muy polémica.  Alemania, por ejemplo, la declaró anticonstitucional en el año 2010, después de que más de treinta y cinco mil personas, la mayoría simples usuarios individuales, participasen en el que fue el mayor recurso presentado en la historia del Constitucional contra una decisión del legislativo.

¿Qué pretendía la directiva de retención de datos? Amparándose en la posibilidad de que internet sirviese para que se desarrollasen en ella cuestiones que generaban un rechazo  universal, como el terrorismo o la pornografía infantil, decretaba una especie de “estado policial” en el que todo lo que hacíamos en la red era almacenado “por si acaso”, por si en algún momento era preciso investigarlo. Para ello se apoyaba en los proveedores de acceso, en las empresas de telecomunicaciones y en otros que ofrecían servicios en la red, a los que obligaba a almacenar en sus sistemas todas las acciones de sus usuarios: con quién se comunicaban, qué dirección IP manejaban en cada momento, qué páginas visitaban, etc.

Ese recurso a los “jinetes del Apocalipsis” en busca de apoyo para generar estados de control es muy habitual en la clase política y en los lobbies que pretenden influir sobre la misma: pintar internet como un lugar siniestro en el que tienen lugar todo tipo de crímenes malévolos es algo que explota el miedo primigenio a lo desconocido, que proporciona un argumento fácil para que cualquier político poco informado tome decisiones que favorezcan al lobby de turno, o para que cualquier ciudadano ignorante las aplauda pensando que se toman por su bien.

En realidad, el planteamiento de la directiva de retención de datos era algo tan demencial como que a todos los ciudadanos que circulan por la calle les asignasen un policía para que los siguiese a todas horas y apuntase muy detalladamente todas sus acciones, por si acaso en algún momento era preciso investigar algún delito. ¿Le parece una locura? ¿Un estado policial? Pues es exactamente lo mismo.

¿Qué ocurre cuando existen sospechas de una posible acción delictiva? Básicamente, que el denunciante las manifiesta ante un juez, y que este juez puede decretar medidas de vigilancia. Puede pedir a la policía que lleve a cabo algún tipo de vigilancia del sospechoso, puede solicitar que se intercepten sus comunicaciones por diversos medios, u otras medidas que puedan resultar útiles en el esclarecimiento de los posibles hechos denunciados. Lo que resulta fundamental entender es que este tipo de acciones de vigilancia se establecen de manera excepcional, sobre aquellas personas sobre las que existen sospechas fundadas, y mediante un procedimiento en el que resulta fundamental el criterio de un juez.

Lo que sin duda no nos parecería de recibo sería que esas medidas de vigilancia se desarrollasen de manera rutinaria sobre todos los ciudadanos, simplemente “por si acaso” resultan ser delincuentes. Entre otras cosas porque la privacidad, el secreto de las comunicaciones o el no ser sometido a una vigilancia injustificada forman parte de eso que denominamos derechos fundamentales.

En la práctica, además, la retención de datos no sirve para nada: genera una inmensidad de información cuyo análisis supone un reto enormemente complejo, impone costes injustificados e injustificables a los proveedores de acceso y servicios en la red, y lleva a que los verdaderos delincuentes, una vez en conocimiento de que esta vigilancia se está llevando a cabo, desarrollen su actividad por otras vías. Al final, lo único que recopilan ese tipo de sistemas es la información de personas que, simplemente, no son delincuentes, y no estaba en ningún caso justificado someter a vigilancia alguna.

La caída de la directiva de retención de datos, además de poner un poco de cordura en la forma de entender la red que tenemos como sociedad, nos permite comprobar algunos de los efectos de vivir en lo que ya se ha dado en llamar “la era post-Snowden”. Que una persona haya tomado la decisión de, arriesgando su vida y su carrera profesional, convertirse en el que revela y denuncia las prácticas de gobiernos dispuestos a construir toda una sistemática de Gran Hermano para vigilar a todos los ciudadanos. Gracias a Snowden podemos saber hoy que determinados gobiernos, bajo la supuesta excusa de proporcionarnos seguridad, estaban creando un sistema que obviaba completamente nuestros derechos fundamentales y nos trataba como sospechosos aunque no hubiésemos nunca hecho nada malo ni nos hubiésemos planteado hacerlo. No, la vigilancia sistemática es completamente injustificable, y Edward Snowden es, sin duda, la persona que más ha hecho recientemente para hacerse acreedor al Premio Nobel de la Paz.

Ante un nivel de vigilancia semejante, lo que menos se puede pensar es eso de “como no hago nada malo, no tengo nada que temer”. Es precisamente esa vigilancia injustificada la que nos expone a peligros: desde los propios problemas de seguridad inherentes al almacén de esa información, a posibles interpretaciones erróneas y falsos positivos derivados de un análisis más o menos rayano en la paranoia. Repetimos: almacenar los datos de todos los ciudadanos por si acaso nunca contribuyó al esclarecimiento de los delitos, y prohibir dicho almacenamiento no impide en modo alguno que esos delitos se puedan investigar convenientemente.

¿Y cuando son las propias empresas las que retienen datos del usuario? En principio, todo aquello que firmemos, aunque sea en un contrato que nunca leemos y al que respondemos con la mayor mentira de la red, el “I agree”, y a lo que nos sometamos voluntariamente sigue siendo igual de legal que antes. Como usuarios, tomamos libremente decisiones de uso, y lo que sí debemos vigilar es que la empresa en cuestión no nos exija cosas que vayan en contra de la ley o que puedan poner en peligro nuestros derechos fundamentales. La discusión legal sobre el período de tiempo que una empresa puede retener datos de sus usuarios es interesante y relevante, pero tiene poco que ver con esto. Frente a empresas que puedan abusar, estará siempre la respuesta del mercado y, eventualmente, la protección de la ley. La directiva de retención de datos no era un abuso corporativo: era un abuso del propio estado. Una forma de poner toda la red bajo sospecha.

Por supuesto, no se trata de reclamar que “todo valga”: es muy posible que detrás del porno en la red se escondan mafias que explotan a mujeres o a niños, del mismo modo que tras una petición de datos puede existir una sospecha fundada de terrorismo. En realidad, se trata de reclamar para la red la aplicación de las mismas leyes y la misma lógica que rige fuera de la misma.

No existe ningún miedo, por rechazo universal que pueda generar, que justifique que vivamos en un estado policial en el que todo lo que hacemos está sujeto a vigilancia constante. Como bien decía Benjamin Franklin, “aquellos que renuncian a una libertad esencial para comprar un poco de seguridad momentánea, no merecen ni libertad ni seguridad”. Ni en la red, ni fuera de ella. Pocas cosas pueden hacer más daño a la sociedad que los temores injustificados. Piénselo.

 

(This post is also available in English in my Medium page, “The internet as a police state“)

By the book, mi columna de esta semana en Expansión

Escrito a las 10:42 am
4

IMAGE: IQoncept — 123RFMi columna de esta semana en el diario Expansión se titula By the book (pdf), y hace referencia a esas empresas en las que la tendencia es a regularlo todo hasta el límite: procedimientos internos y externos, normativas rígidas y todo tipo de cuestiones destinadas supuestamente a generar orden y a reducir posibles abusos, pero que en la práctica se convierten en rigideces que dan lugar a situaciones completamente subóptimas y absurdas.

Cada día veo más empresas de este tipo, en las que que la burocracia y la normativa parece escrita en piedra, e interfiere con lo que serían formas razonables de hacer las cosas, con lo que el sentido común debería dictar, con lo que un directivo podría decidir amparado por su buen juicio. En un entorno progresivamente más rico en información y con procesos de comunicación que supuestamente son cada vez más ágiles, no tiene ningún sentido convertir las empresas en una especie de ministerios en los que perdemos grados de libertad en función de procedimientos cada vez más rígidos. Las empresas “by the book”, y sobre todo, los directivos con tendencia a hacerlo todo “by the book” son propios del siglo pasado, y la lógica de un mundo cada día más conversacional y flexible hace que estén abocados a la extinción.

A continuación, el texto completo de la columna:
By the book - Expansion (pdf, haz clic para ampliar)

By the book

El desarrollo de un entorno en el que la información resulta cada vez más accesible y analizable choca cada día más con una tendencia habitual en muchas empresas: el recurso a sistemáticas y parámetros marcados de forma completamente rígida. Como diría un anglosajón, “by the book”, “según la norma”.

La tendencia a marcar normas rígidas fue muy popular en las empresas a finales del siglo pasado: una cultura de excesos propia de épocas de abundancia, y una presión cada vez mayor por el ahorro y los resultados llevó a procedimientos para, por ejemplo, el reporte e imputación de gastos, la asignación de recursos, o mil cosas más. Había que evitar el abuso, controlar el gasto, sometiéndolo todo a una disciplina prusiana.

Externamente, lo mismo: este es mi precio, estas son mis ofertas, este es mi margen de negociación. Es lo que hay. Si me sacas de aquí, la respuesta será no.

¿Dónde está el problema? En primer lugar, en que cada día más, tanto empleados como clientes son diferentes. No quieren ser tratados “democráticamente” o “como iguales”. Lo que quieren es ser tratados individualmente. El valor de un cliente o de un empleado puede ser muy distinto. Las empresas deberían ser suficientemente flexibles como para reconocerlo y saberlo gestionar.

Pero además, hay un problema más grave: ¿para qué queremos directivos con una formación potente, si no les dejamos tomar decisiones, si tienen que actuar “by the book”? ¿Por qué un directivo preparado debe actuar como si fuera un teleoperador siguiendo un guión?

En un entorno rico en información y en herramientas analíticas, la cultura del “by the book” tiene los días contados. Las empresas que no sepan plantear procedimientos flexibles,  internos y externos, estarán destinadas a desaparecer.

 

(This post is also available in English in my Medium page, “By the book: rigid rules and procedures are killing companies’ relationships with customers and employees“)

Algunas conclusiones mirando más allá de Heartbleed

Escrito a las 1:56 pm
21

Heartbleed logoSobre Heartbleed, sin duda uno de los fallos de seguridad más importantes descubiertos en la historia de internet, ya han corrido ríos de bits, y en cualquier caso, deberíais buscar información en páginas de referencia en seguridad, no en la mía. La seguridad no es tema para especulaciones o para opiniones ligeras o no expertas. Sin embargo, el análisis de la cuestión sí puede dar para algunas conclusiones interesantes, sobre todo sobre la naturaleza de la red y de las actividades que desarrollamos en ella.

Hablamos de una vulnerabilidad descubierta en la capa de cifrado y autenticidad de OpenSSL, un desarrollo de código abierto instalado en unos cuatro millones de servidores, de los cuales un cierto porcentaje utiliza la versión afectada. En la gestión de conexiones cifradas o seguras existe un procedimiento, el heartbeat, que el servidor utiliza para verificar que la conexión debe mantenerse abierta tras haber llevado a cabo el intercambio de claves o handshake. Simplemente, una manera de evitar el cierre de esa conexión y la necesidad de volver a llevar a cabo el proceso de negociación de claves.

El problema surge cuando un error, aparentemente espontáneo, en el código que especifica cómo se desarrolla ese heartbeat, permite que un atacante conocedor del mismo pueda acceder a 64kB de la memoria del servidor, lo que permite que a base de sucesivas llamadas y sin dejar rastro alguno, alguien pueda acceder a muchísima información de la memoria de un servidor en pedacitos de 64kB. En esa memoria puede haber absolutamente de todo: cuentas de usuarios con sus contraseñas, claves privadas de los certificados digitales de los servidores… cualquier cosa, dado que todo pasa en algún momento por la memoria del servidor. Grave no, gravísimo, si pensamos que se trata de un fallo que lleva ahí mucho tiempo (la vulnerabilidad existe desde el 31 de diciembre de 2011, y el uso del código afectado se extendió a partir de la release de la versión 1.0.1 de OpenSSL, el 14 de marzo de 2012), y que afecta a servicios que utilizamos todos. Además de su posible uso por delincuentes, que aunque posible, no parece especialmente extendido, es muy posible que estemos hablando de vulnerabilidades que hayan sido utilizadas de manera sistemática por agencias de seguridad con el fin de acceder a información cifrada, en línea con algunas de las cuestiones reveladas por Edward Snowden con respecto a la capacidad de la NSA para penetrar servidores cifrados.

Aparte de recomendar que antes de llevar a cabo cualquier transacción te asegures, con alguno de los muchos tests que han sido ya desarrollados, de que el servidor en el que pretendes llevarla a cabo ha sido objeto de la correspondiente actualización que evite ese peligro, y de que estés atento a las recomendaciones de cambio de contraseña de los servicios que uses habitualmente (posiblemente no sea una mala idea empezar a utilizar alguna de esas aplicaciones de gestión automatizada de contraseñas), mi reflexión, sin embargo, va un poco más allá, y es sobre la naturaleza de esta red que tanto utilizamos.

Sin duda, la red está sujeta a vulnerabilidades, peligros y problemas de diversos tipos. Todo lo que hacemos en nuestra vida, desde caminar por la calle hasta bebernos una copa, está sujeto a vulnerabilidades, peligros y problemas de diversos tipos. En el caso de la red, además, estamos hablando de cuestiones de indudable complejidad, que se apoyan en tecnologías desarrolladas por infinidad de personas, en muy distintos tipos de regímenes diferentes. Hay tecnologías que fueron, en su momento, desarrolladas por empresas. Otras muchas, sin duda mayoritarias, lo fueron por programadores, a veces solos, a veces en grupos, a veces simplemente voluntarios, que contribuyeron con funciones que, a partir de ese momento, fueron siendo adoptadas en función de su utilidad. Una gran parte de las piezas sobre las que se asienta el uso cotidiano que hoy hacemos de la red provienen de ese tipo de orígenes.

Generalmente, asumimos que los fallos en el código son tanto más aparentes y fáciles de corregir cuanto más abierto es este, cuantos más ojos están en disposición de examinarlo. En este caso, hablamos de un fallo que nadie miró, o que quienes lo descubrieron, prefirieron mantenerlo en secreto, a modo de “llave maestra” que les permitía acceder a sitios de manera irregular. El equivalente en el mundo offline podría ser cuando, por ejemplo, se revela de repente que un componente utilizado en la cadena alimentaria ha podido estar generando problemas de salud para quienes lo ingerían: posiblemente alguien lo intuía, tal vez algunos lo han ocultado para así ganar más dinero, y algo que utilizábamos con toda naturalidad nos ha podido estar perjudicando. Pero con toda su gravedad… es algo que ocurre con relativa frecuencia.

La red no es tan distinta del resto de las herramientas que utilizamos los humanos. Simplemente, basa su enorme éxito en el hecho de ser abierta, de que cualquiera puede desarrollar código para plantear utilidades y funciones sobre esa plataforma, y que eso la dota de un dinamismo y una adaptabilidad brutal, que ha permitido que llegue a ser lo que hoy es. Posiblemente, deberíamos replantearnos hasta qué punto retribuimos y cómo a todas esas personas que desarrollan esas funciones que posteriormente terminamos utilizando todos, y que simplemente decidieron no darle un desarrollo comercial. Ese procedimiento, el desarrollo constante de piezas por actores de todo tipo, es susceptible de tener fallos. Esos fallos pueden ser más o menos graves, en ocasiones llegan a parecer de alguna manera enmiendas a la totalidad, pero no inhabilitan lo principal: que esa característica de la red, el estar construida a retales por infinidad de personas con todo tipo de motivaciones y objetivos, es precisamente donde radica su principal fortaleza.

Heartbleed no es la primera vulnerabilidad seria que se descubre, ni será la última. En la red siempre tendremos la impresión de que muchas de las cosas que utilizamos y damos por sentadas están sujetas con palillos pinchados en un corcho y con alambres hechos con clips retorcidos. Tras la revelación de la vulnerabilidad, toca examinar nuestros procedimientos, revisar hasta qué punto podemos haber sido afectados, y aprovechar para replantearnos algunas de nuestras prácticas comunes buscando reforzar su seguridad. Pero no dejemos que el tremendismo nos oculte la gran verdad: la red tiene peligros y problemas exactamente igual que lo tienen todos los sistemas y herramientas desarrollados por el ser humano. Lo que tenemos que seguir haciendo es trabajar con ellos, descubrirlos, aislar y responsabilizar a quienes los conocían y explotaban pero no los revelaron, y pensar que sobre esa característica de la red, su caos y su desorganización, se edifica una gran parte de su grandeza.

 

(This post is also available in English in my Medium page, “A few conclusions about Heartbleed“)

Logotipo de Blogestudio Logotipo de Acens