Socialización de la información

En una ocasión oí la expresión "Socializar la Información", en un tono y un contexto muy particular, en el que se venía a decir:

"Yo, dueño y señor de la información, decido permitir el acceso a parte de ella, para que sea accesible por todo el mundo"

¿Es esto socializar la información?, yo creo que no, más bien es un proceso de "desclasificación" de la información, donde se abre el acceso a esta porque ha dejado de tener valor.

La información nos llega todos los días, a todas horas y por múltiples vías: prensa, radio, televisión y sobre todo Internet, a través de prensa (otra vez) on-line, y todo un abanico de redes sociales, blogs, etc..

Si nos vamos a Wikipedia y buscamos la definición de Socialización:

La socialización es un proceso por el cual el individuo acoge los elementos socioculturales de su ambiente y los integra a su personalidad para adaptarse en la sociedad

Internet, las redes sociales, la tecnología y las propias redes de comunicaciones, han conseguido precisamente eso, que estos "elementos" sean "acogidos" e "integrados" de forma natural en la sociedad, habilitando canales de comunicación inimaginables hasta ahora y permitiendo que, en efecto, se posibilite una Socialización de la Información.

Hoy todos nos comunicamos con todos, unas veces con una audiencia conocida, si usamos SMS, WhatsApp o e-mail, otras veces con una audiencia predecible, si usamos Twitter o Facebook y otras veces con una audiencia indeterminada, si usamos por ejemplo un blog, solo por citar algunos ejemplos.

En un proceso de comunicación, hay una emisor de información y uno o muchos receptores. Los elementos que han permitido esta socialización, han posibilitado que cualquiera pueda ser un emisor de información y que esta información pueda llegar a docenas, miles o millones de personas según el caso y todo ello de una forma sencilla y sobre todo natural, ya que estos elementos están perfectamente integrados en nuestra vida.

En este contexto de multidifusión, nos encontramos con casos en los que información "confidencial", es expuesta a millones de personas sin contar con la autorización del "propietario", como ocurre con Wikileaks, Anonymous, Lulzsec, casi a diario o el caso de Valerie Plame en 2007.

Por otro lado, está el efecto de la inmediatez. Cualquier noticia económica, social o política de cierta relevancia ( o el gazapo del político o famoso de turno), es inmediatamente puesta en circulación y replicada por los diferentes canales. Pero este efecto no siempre es positivo ya que en muchas ocasiones, por el afán de ser el primero en dar la noticia, no se contrasta la información. En este caso, no es lo mismo que yo publique un tweet con cualquier noticia falsa o que lo haga un periodista de cualquier reconocido medio, como le ocurrió a Mike Wise del Washington Post; aunque se excusó diciendo que era un experimento social, para ver cuanto tardaba en difundirse la noticia.

¿Estamos quizá sometidos a un proceso de Infoxicación?, ¿Nos creemos todo lo que leemos "en Internet"? ¿Cualquiera es ahora un periodista?.

Hace unos días oía un programa de radio, donde se trataba el fenómeno de la Socialización de la Información y donde la periodista que realizaba la entrevista, se quejaba del intrusismo en el mundo del periodismo, que había surgido alrededor de las redes sociales y se preguntaba ¿que aporta un periodista titulado en este contexto?. La verdad es que me sorprendió que fuera ella quien lanzara la pregunta y no quien diera la respuesta.

Como Pedro por su casa

Dícese de la persona que se mueve con desenvoltura en un lugar que no les es propio.

Pues bien, al parecer, esto es lo que ha ocurrido en al menos una central nuclear francesa. En concreto en la central de Nogent-sur-Seine, donde un grupo de activistas de Greenpeace, se han infiltrado en las instalaciones y han conseguido subir hasta la cúpula de uno de los reactores, donde tenían intención de pintar una señal de peligro y así denunciar la falta de seguridad de las centrales nucleares francesas.

Hace unos días, en este mismo blog, publicaba el post ¿Están seguras nuestras infraestructuras críticas?, donde hacía la siguiente afirmación:

La protección física de las Infraestructuras Críticas, procedimientos y protocolos de actuación es algo con un largo recorrido, pero no lo es tanto la protección lógica y la seguridad de sus sistemas de comunicaciones.

todo ello, en el convencimiento de que, en una Infraestructura Crítica, como lo es una Central Nuclear, el apartado de Protección Física, sería un capítulo superado ampliamente. Está claro, me equivoqué!. A Greenpeace, no le ha hecho falta la sofisticación de Stuxnet para acceder al las instalaciones. Sí es cierto que no es lo mismo subirse a la cúpula de un edificio protegido, que acceder a los sistemas de control de la Central, pero el caso es igualmente de extrema gravedad.

Según el portavoz del Ministerio del Interior francés, la intervención de Greenpeace, habría "puesto en peligro la integridad de las instalaciones nucleares", pero como sería esto posible si según el Ejecutivo, existen "medidas excepcionales y dignas de las mejores películas de acción". Está claro que algo se les ha pasado por alto y tendrán que tomar medidas.

A finales de noviembre, la Comisión Europea presentó los primeros resultados sobre los test de stress, realizados a las centrales nucleares europeas, en los que ya apuntaban algunas líneas de mejora en los sistemas de seguridad. En concreto, respecto a España, apuntaba que "debe aumentar la fortaleza de las plantas nucleares frente a inundaciones, terremotos; así como mejorar la gestión de un accidente severo".

Estas pruebas de  stress, aunque voluntarias y motivadas por el accidente de Fukushima, a juicio del grupo parlamentario europeo Los Verdes, tenían un alcance limitado e insuficiente. El grupo parlamentario, realizó esta afirmación basándose en un estudio independiente, donde se analizan las especificaciones de la "European Nuclear Safety Regulators Group (ENSREG)", para las plantas nucleares europeas, realizadas en las pruebas de stress, donde se concluye que las pruebas son muy limitadas en cuanto a alcance y metodología, así como que son insuficientes para revelar las deficiencias respecto a una operatoria segura de las plantas.

Cierto es que la seguridad total no existe y menos si hablamos de una central nuclear, pero creo que alguna alguna reflexión habrá que hacer y después actuar en consecuencia.

¿Están debidamente protegidas nuestras Infraestructuras Críticas?

El pasado 8 de noviembre, una planta de filtración de aguas, cerca de Springfield, Illinois, sufría un colapso en una de sus bombas, motivado por un continuado apagado y encendido de la misma. Enseguida comenzó a sobrevolar sobre el caso el fantasma de Stuxnet y numerosos medios se hicieron eco de este presunto atentado.

Las primeras pesquisas sobre el incidente, apuntaban a un acceso no autorizado a los sistemas proveniente de una dirección IP situada en Rusia, según una filtración de un informe del Illinois Statewide Terrorism & Intelligence Center, aunque por otro lado, el portavoz del Departamento de Seguridad Interna, Peter Boogaard, manifestaba que tanto su departamento como el FBI, no tenían constancia de que dicho incidente hubiera sido causado por un ataque premeditado contra las instalaciones, y que sería preciso continuar con la investigación para obtener las conclusiones.

La noticia, en cualquier caso, y sin confirmarse el hecho de un ciberataque, volvió poner en entredicho la seguridad de los sistemas SCADA que controlan las Infraestructuras Críticas, tanto en EE.UU. como en el resto de paises.

Con posterioridad, hemos sabido que este incidente no se debió a un sabotaje por parte de piratas informáticos rusos, como se indicaba en el informe preliminar, sino que fue provocado por un contratista de la misma compañía, que estando de viaje por Rusia, accedió a los sistemas de forma remota. Aunque supongo que la investigación sigue aún en curso, lo que no ha trascendido, es el motivo por el que este contratista accedió al sistema, ni en que consistió dicho acceso para que provocara el fallo de la bomba.

La protección física de las Infraestructuras Críticas, procedimientos y protocolos de actuación es algo con un largo recorrido, pero no lo es tanto la protección lógica y la seguridad de sus sistemas de comunicaciones.

El 29 de abril de 2011, se publicaba en el B.O.E. la ley 8/2011, por la que se establecen las medidas para la protección de las Infraestructuras Críticas del Estado, como continuación a una serie de actuaciones emprendidas en 2007, donde se estableció el primer Plan Nacional de Protección de las Infraestructuras Críticas y la elaboración de un primer Catálogo Nacional de Infraestructuras Críticas, que identifica alrededor de 3.500 infraestructuras con esta consideración. En esta ley, en el Artículo 7 del Título II de las Disposiciones Generales, se establece la creación del Centro Nacional para la Protección de las Infraestructuras Críticas (CNPIC) como órgano ministerial encargado del impulso, la coordinación y supervisión de todas las actividades que tiene encomendadas la Secretaría de Estado de Seguridad en relación con la protección de las Infraestructuras Críticas en el territorio nacional.

Tras la lectura de texto que recoge la ley, en busca de referencias la protección lógica de las Infraestructuras, la única mención expresa que encuentro es respecto a la no diferenciación entre ataques físicos o ciberataques:

"...regular la protección de las infraestructuras críticas contra ataques deliberados de todo tipo (tanto de carácter físico como cibernético)..."

aunque por otro lado, si se mencionan las TIC, como elemento necesario para la gestión de las propias infraestructuras, adquiriendo carácter de Infraestructura Estratégica:

"Infraestructuras estratégicas: las instalaciones, redes, sistemas y equipos físicos y de tecnología de la información sobre las que descansa el funcionamiento de los servicios esenciales."

En la disposición final cuarta de dicha ley, se habilita al gobierno para que en el plazo de seis meses, realice el desarrollo reglamentario de la misma. Este reglamento sería publicado el 21 de mayo de 2011, en forma del Real Decreto 704/2011.

La Disposición que recoge el Decreto, establece una serie de planes a diferentes niveles:

• El Plan Nacional de Protección de las Infraestructuras Críticas
• Los Planes Estratégicos Sectoriales
• Los Planes de Seguridad del Operador
• Los Planes de Protección Específicos
• Los Planes de Apoyo Operativo

Cada uno de estos planes establecerá los criterios y directrices para asegurar la protección de las Infraestructuras.

Dado que el Decreto, solamente establece el reglamento, tampoco se encuentran referencias expresas a ataques de tipo cibernético. Cabe esperar, que en el desarrollo de cada uno de los planes, haya capítulos específicos sobre Seguridad Lógica, Ciberataques, etc., pero como estos planes tienen la consideración de Secretos Oficiales (como no podía ser de otra forma), daremos por hecho que existen.

En cualquier caso, cabría esperar que en la web del CNPIC, se encontrara algo más específico y extenso en lo que se refiere a Ciberseguridad, que lo que se muestra en el apartado del mismo nombre, donde tan solo aparecen las Guias SCADA del Centro Criptológico Nacional (CCN).

Desde que apareció Stuxnet, la seguridad de los sistemas SCADA está constantemente en el ojo del huracán. No es de extrañar que en la agenda del "European SCADA and Process Control System Security Summit" que se celebra esta semana en Roma, haya un panel específico, de como proteger los sistemas SCADA frente a Stuxnet o cualquiera de sus variantes, además de otros relacionados con la Ciberseguridad, análisis forenses de incidentes, etc.

Existen diversas empresas de seguridad, especializadas en ofrecer soluciones para la protección de Infraestructuras Críticas, como Raytheon , IMCI o Waterfall entre otras. Esta última ha sido contratada por Iberdrola para la Central Nuclear de Cofrentes en Valencia, para el suministro de un sistema de Gateway Unidireccional, para la transmisión segura de información y replicación de datos en tiempo real desde la central.

Ante la pregunta del encabezado de este post, la respuesta es NO, y hay varios informes; como el realizado por CSIS para McAfee en Abril de este año, (“In the Dark: Crucial Industries Confront Cyberattacks”) donde así se asegura. El citado informe revela un dato preocupante:

"La encuesta realizada a 200 ejecutivos de seguridad de IT en Infraestructuras Críticas de compañías eléctricas, realizado en 14 países, muestra que el 40% de estos ejecutivos cree que las vulnerabilidades de su industria se han incrementado y que alrededor del 30% creen que su compañía no está preparada para un ciberataque, y que más del 40% esperan un ataque cibernético importante en el próximo año".

Cerebros artificiales

Si la máquina más perfecta que conocemos es el cerebro humano, no es de extrañar que científicos de diferentes disciplinas, se esfuercen desde décadas en conseguir reproducir esta maravilla de la evolución.

En agosto de este año, IBM anunciaba la creación de un chip que imita el funcionamiento del cerebro humano, ahora, da un paso más y anuncia que en diez años tendrá listo un cerebro artificial, con un rendimiento similar a las 100.000 millones de neuronas de un cerebro humano. Pero como digo, este afán no es nuevo, ni siquiera por parte de IBM, que ya que en 1956 realizó una simulación cortical de 512 neuronas.

En este caso no se tratará de cerebros positrónicos formados por un globo esponjosos de platino e iridio, como los que la Doctora Susan Calvin construía en los libros de Asimov para la US Robots and Mechanical Men, Inc.

La literatura y el cine de ciencia ficción han abundado sobre este fenómeno; por llamarlo de alguna forma; con ordenadores “inteligentes” capaces de tomar sus propias decisiones, como VIKI, Skynet o HAL 9000, solo por citar algunos ejemplos, aunque si nos ceñimos a estos ejemplos concretos, quizá no debiéramos seguir por este camino, pero eso ¿cuando nos ha importado?. Quizá por ello, ya en 1942, en su libro “Runaround”, Issac Asimov describía las tres leyes de la robótica, como patrón de conducta esencial para todos sus robots.

Durante décadas, innumerables investigaciones han ido recopilando datos acerca del funcionamiento del cerebro humano y aunque este posee una complejidad extrema, se ha avanzado notablemente en su comprensión, pero esto no es suficiente y aún hoy son un misterio, por ejemplo, las causas por las que en determinados casos, las neuronas, las sinapsis entre ellas, etc., dejan de funcionar en el modo en el que lo venían haciendo y dan lugar a enfermedades como la Esquizofrenia, el Alzheimer, el Autismo y un largo etcétera, que las neurociencias tratan de desvelar y aún no lo han conseguido.

Quizá uno de los problemas que se han encontrado los científicos, es que a lo largo de un siglo de investigaciones en neurociencias, se ha producido una ingente cantidad de información, que nunca ha sido reunida de forma que se pueda ser aprovechada completamente.

En este momento, la tecnología se encuentra lo suficientemente avanzada como para permitir un salto cualitativo en esta materia, pero como indica el neurocientífico Henry Markram del Brain Mind Institute de Lausana (Markram trabaja en el Blue Brain Project desde 2005, que por cierto, utiliza el servidor Blue Gene de IBM), el problema es que... 

 “aunque técnica y biológicamente sea posible, el proyecto es extremadamente caro”.

Las vertientes por las que discurren las investigaciones orientadas a reproducir el cerebro humano, son diversas y en cierto modo, con distintos propósitos. La mayoría de las investigaciones se orientan hacia la comprensión de enfermedades y síndromes neurológicos, pero quizá no todas ellas tengan un fin similar. Me sorprenden, por ejemplo, artículos como el publicado en 2004, en el que asegura que...

“un científico de Florida ha desarrollado un cerebro que es capaz de hacer volar un avión de combate virtual. Este ordenador viviente se cultivó a partir de 25.000 neuronas que se extrajeron del cerebro de un ratón y se colocaron sobre una cuadrícula de sesenta electrodos en una placa de Petri.”

Ahora, en el anuncio que hacía IBM hace unos días, respecto de tener desarrollado un cerebro artificial en diez años, se indicaba que para este proyecto, IBM está trabajando con la Defense Advanced Research Projects Agency (DARPA), para la ejecución de la segunda fase del proyecto SyNAPSE (Systems of Neuromorphic Adaptive Plastic Scalable Electronics). Evidentemente, esto por si solo no quiere decir absolutamente nada, pero ¿por que ha elegido IBM como partner a una organización militar?.

Quizá estemos ante el preludio de una nueva fundación ;-).

Ataques por SQLInjection, un clásico

Afortunadamente, cada vez es más difícil encontrar una web vulnerable a un ataque por SQLInjection, en realidad solo es cuestión de aplicar buenas prácticas en el desarrollo. Algo tan sencillo como hacer convenientemente un parseo previo de los datos introducidos en nuestra web, nos puede evitar sobresaltos por ataques como SQLInjection o XSS, por ejemplo.

Aunque por lo general, protegerse ante este tipo de ataques es una práctica habitual, como tan habitual es protegerse ante un fallo inesperado de tu programa, sencillamente con instrucciones Try/Catch, por ejemplo, la verdad es que aún podemos encontrar "descuidos". Estos descuidos son muy fáciles de corregir, pero de no hacerlo a tiempo, si los "señores del sombrero negro" lo descubren, a buen seguro lo van a aprovechar, o sencillamente se van a divertir borrando o manipulando nuestros datos.

De vez en cuando, navegando por la red, cuando accedo a un formulario de Usuario/Contraseña, suelo tener la tentación de comprobar si han sido cuidadosos o no, con la diferencia de que cuando lo encuentro; yo, que soy un caballero :-); aviso de la desprotección.

Por lo general, cuando un formulario de Usuario/Contraseña está un poco descuidado de aspecto, es probable que también esté descuidado en protección.

Algo tan sencillo como introducir una comilla [ ' ] en el campo del Usuario y si al Aceptar tenemos algo así como:

Microsoft OLE DB Provider for ODBC Drivers error '80040e14'

[Microsoft][ODBC SQL Server Driver][SQL Server]Comilla no cerrada antes de la cadena de caracteres '' AND CLAVE=''.

/xxxx/yyy/login.asp, línea zz

estamos ante uno de estos "descuidos". Ya solo es cuestión de seguir poco a poco para "colarse hasta la cocina". 

En realidad, todo se basa en hacer fallar el procesamiento del formulario y que la información de fallo que nos muestre, nos vaya dando pistas acerca de nombre de tabla, nombres de campos o los propios datos en sí.

No hace falta buscar con demasiado ahínco en la red, para encontrar auténticos manuales de como hacer un SQLInjection. Con esto y unos conocimientos básicos de SQL, en muchos casos es suficiente para colarse en una web, modificar datos o directamente borrarlos, dependiendo de "la mala leche" del que lo encuentre.

No pretendo hacer apología del SQLInjection, ni mucho menos. Cualquiera que tenga el más mínimo interés en el tema, encontrará en la red, información más detallada y precisa de lo que yo pueda mostrar, a modo de ilustración, en este post.  

Como indicaba anteriormente, el proceso consiste en ir provocando sucesivos fallos en cada paso, de forma que cada uno, nos aporte información adicional a usar en los pasos sucesivos.

Veamos un ejemplo:

Para empezar, un primer dato...

Introduciendo como Usuario:  ' HAVING 1=1 -- , el error que se nos muestra, es la punta del ovillo que estábamos buscando:

[Microsoft][ODBC SQL Server Driver][SQL Server]La columna 'CLIENTES.IDCLIENTE' de la lista de selección no es válida, porque no está contenida en una función de agregado y no hay cláusula GROUP BY. 

ya tenemos dos datos, el nombre de la tabla y el primero de sus campos. Ahora a por los siguientes...

Introduciendo como Usuario:  ' GROUP BY CLIENTES.IDCLIENTE HAVING 1=1-- , tenemos el siguiente dato:

[Microsoft][ODBC SQL Server Driver][SQL Server]La columna 'CLIENTES.NOMBRECLIENTE' de la lista de selección no es válida, porque no está contenida en una función de agregado ni en la cláusula GROUP BY.

... y así campo por campo hasta conocer la estructura de toda la tabla.

El siguiente paso es hacer fallar el sistema en la conversión de un tipo de dato, para que nos muestre el valor del dato que no se puede convertir.

Introduciendo como Usuario: ' AND CLIENTES.IDCLIENTE IN (SELECT TOP 1 CLIENTES.NOMBRECLIENTE FROM CLIENTES WHERE CLIENTES.NOMBRECLIENTE LIKE '%A%') -- , tenemos el siguiente dato:

[Microsoft][ODBC SQL Server Driver][SQL Server]Error de sintaxis al convertir el valor varchar 'Mi Nombre de Cliente' para una columna de tipo de datos int.

Este es solamente un ejemplo; que por prudencia no he querido mostrar completo, para ilustrar lo simple que puede ser acceder a unos datos en una web vulnerable a este tipo de ataque. 

Como se puede ver, no hace falta ser un avezado hacker, para realizar este tipo de intrusiones, aunque evidentemente, no todos los casos son tan sencillos como este.

¿Que pasará si pierdo mi trabajo?

Me resulta extraño escribir sobre este tema en primera persona, además, no tengo por costumbre escribir sobre mi vida o temas personales, aunque en este caso, lo consideraré un tema más de trabajo.

Aquellos que me sigan o conozcan, sabrán que me he visto afectado por un Expediente de Regulación de Empleo (ERE), y aunque técnicamente sigo trabajando en mi actual empresa hasta que se resuelva el expediente, me encuentro en una situación nueva para mí: "En búsqueda activa de empleo", como reza en mi perfil de LinkedIn.

En repetidas ocasiones, me he planteado como abordaría un momento como este, si me afectaría anímicamente, si el proceso de buscar un nuevo trabajo sería una cosa sencilla o pasaría por momentos de incertidumbre si pasado un tiempo no conseguía encontrar un nuevo empleo.

El momento ha llegado y he hecho balance, no solo de mi paso por esta empresa sino de toda mi trayectoria laboral. Como resultado del balance, tengo que decir que me siento satisfecho y orgulloso del trabajo realizado en cada uno de mis proyectos laborales, donde me he dejado la piel por llevarlos a buen puerto.

Por un cúmulo de circunstancias, me veo en esta situación, pero salgo de esta empresa con la tranquilidad que me da el haber finalizado un reto que yo mismo me había impuesto y que me ha llevado a dejar pasar otras oportunidades, que de haberlas cogido, seguramente me hubieran dejado la espina clavada de no haber finalizado este proyecto.

Ahora se abre una nueva etapa en mi vida laboral, la cual afronto sin miedos ni complejos, sin rencores ni remordimientos por las decisiones tomadas o dejadas de tomar. Creo en mí, en mis posibilidades y valores, y eso me da la confianza necesaria para salir a la calle y enfrentarme a una situación de crisis donde sobra de todo menos trabajo.

Desde el mismo momento que he publicado en Twitter o LinkedIn mi nueva situación, he recibido cantidad de mensajes, llamadas y comentarios en la red, mostrándome apoyo y dándome ánimos para afrontar este "pequeño contratiempo". Sabía que hay mucha gente que me aprecia, pero me ha reconfortado recibir estos apoyos, ánimos, ofrecimientos y recomendaciones. A todos vosotros, amigos y compleñeros de viaje, gracias.

Siempre he estado rodeado de gente joven y eso me ha permitido impregnarme de su vitalidad, de aprender cada día algo nuevo y hacer que disfrute con mi trabajo. No todo ha sido un camnio de rosas, pero de cada experiencia, he tratado de recoger una enseñanza, tanto para lo que tengo que hacer como para lo que no.

Tengo muchos compañeros en la misma situación laboral en la que yo me encuentro, algunos de ellos sé que leen este blog, así que me gustaría que sirviera esta reflexión para enviarles un mensaje de ánimo, que crean en ellos mismos y vayan a esas entrevistas de trabajo que vendrán, con confianza. Sois unos grandes profesionales, demostradlo. 

No se como será mi futuro; de saberlo me ganaría la vida de otra forma, pero sea cual sea, estoy convencido de que la única forma de afrontarlo es con esfuerzo, confianza y optimismo.

A por un nuevo reto!

Apple y el día después

Steve Jobs deja de nuevo Apple. 

Aunque las razones de su renuncia no hacen alusión de forma expresa a problemas de salud, todo parece indicar que esta vez, su salida se debe a una nueva recaída en su enfermedad. "El día que no pueda hacer frente a mis obligaciones al frente de la compañía, lo dejaré" y este parece ser el argumento de su renuncia.

La pregunta que nos hacemos muchos es si Tim Cook será capaz de mantener en la cresta de la ola, a una Apple que vive uno de sus momentos más dulces. 

El que las acciones de Apple hayan bajado más de un 5% nada más conocerse la noticia, no es un dato relevante respecto a su futuro, sino el efecto inmediato y previsible de una noticia de este calado.

Apple a lo largo de su historia ha pasado por luces y sombras. Algunas de las sombras estuvieron a punto de dar al traste con la compañía, pero siempre, como Ave Fénix, Jobs a resurgido de sus cenizas y ha sido el impulsor de una nueva etapa de gloria.

Steve Jobs tiene 56 años, por lo que si su salud mejora, seguro que volverá a Apple, pero no solo porque en un hipotético caso, Apple necesitara de un nuevo golpe de efecto, sino porque Jobs es Apple (el tiempo dirá si Apple es Jobs) y mientras pueda y le dejen, él estará ahí.

La sucesión de Jobs por Tim Cook, es algo que ya estaba previsto, pero, ¿habrá sabido este recoger la esencia de Jobs?, no solo para mantener la filosofía de calidad y diseño que ha caracterizado siempre a Apple, sino la capacidad de sacarse de la manga un producto que revolucione el mercado.

La inercia que tiene Apple en este momento, con productos estrella como iPhone e iPad, hará que el efecto de la salida de Jobs, se vea amortiguado y habrán de pasar varios años para ver si Apple, con Cook  o cualquier otro a la cabeza, son capaces de reinventar el gadget de turno para convertirse de nuevo en líderes de mercado y ser el ejemplo a imitar. La fórmula parece sencilla, calidad, elegancia y sencillez, pero está claro que solo Apple ha sabido conjugar de forma magistral estas tres variables. 

En esta ocasión, la salida de Jobs es algo que se ha venido madurando desde dentro de Apple y guiada por el propio Jobs, no es como cuando John Sculley le largó con cajas destempladas y le costó a Apple pasar por un sendero de decadencia de casi 15 años.

En cualquier caso, y pase lo que pase con Apple, será difícil encontrar una persona con la visión y el empuje de Jobs. El perseguir hasta el último detalle y sacar de quicio a los ingenieros hasta conseguir lo que él quería, no será lo único que ha hecho que Apple esté donde está, pero seguro que sí ha tenido mucho que ver.

Posiblemente Apple no pueda continuar durante mucho más tiempo en una posición dominante en ciertos mercados como lo es ahora, pero esto, seguramente también ocurriría aunque Jobs siguiera en la brecha.

Todos trabajamos en equipo, pero...

Esta historia es un clásico de la literatura sobre el trabajo en equipo y la comunicación, pero sigue vigente hoy en día. A mi, por lo menos, me suena de algo...

Había que hacer un trabajo muy importante y “Cada uno” estaba seguro de que “Alguien” lo haría.

“Cualquiera” pudo haberlo hecho, pero “Ninguno” lo hizo. “Alguien” se disgustó por eso, ya que el trabajo era de “Cada uno”.

“Cada uno” pensó que “Cualquiera” podría hacerlo, pero “Ninguno” se dio cuenta que “Cada uno” lo haría.

En conclusión, “Cada uno” culpó a “Alguien” cuando “Ninguno” hizo lo que “Cualquiera” podría haber hecho.

 ¿También a ti te es familiar?

Cobra por lo que vales o acabarás valiendo por lo que cobras

Cobra por lo que vales o acabarás valiendo por lo que cobras. Esta es la frase (no es mía) que me vino a la cabeza después de leer las peripecias acontecidas en el Ayuntamiento de Bilbao con los dispensadores de tikets de turno en el Servicio de Gestión de Espera.

Este es un suceso lamentable, en el que todos, desde la empresa adjudicataria como el propio Ayuntamiento de Bilbao y los propios ciudadanos, han salido perjudicados. ¿Quien tiene la culpa de que sucedan este tipo de cosas? ¿Las administraciones públicas? ¿Las empresas? ¿La crisis?. Todos y ninguno. No hay una respuesta sencilla para esta pregunta.

Evidentemente, este no es un hecho aislado y en muchas otras ocasiones se han producido casos similares, donde una empresa acude a un concurso público con un precio muy por debajo del precio de licitación, los cuales, huelga decir que siempre están muy ajustados. ¿Por que ocurre esto?. En este caso, la respuesta es más fácil, desde mi punto de vista.

Hay dos posibles respuestas: una es cuando se considera una inversión, donde se asume el riesgo o incluso la certeza de la pérdida económica y otra, la de la pura subsistencia.

Ya sabemos que el “dumping”, cuando menos, es una práctica desleal, pero a menudo utilizada para acceder a un mercado o simplemente para desbancar a la competencia.

Si ponemos como ejemplo las administraciones públicas, sabemos que son; o al menos lo eran hasta hace poco, un cliente apetecible para la mayoría de los proveedores por dos motivos: son (o eran) clientes que siempre pagan y por otro lado, son (o eran) clientes que dan continuidad a las inversiones. Pero por otro lado, también sabemos que acceder a las instituciones públicas no es fácil y muchas veces es un coto cerrado, en el que no se entra sin una ayuda externa.

En muchas ocasiones, las empresas asumen el acceso a un concurso o proyecto, como una inversión para captar un cliente, del que se espera obtener un beneficio futuro donde se retorne esta inversión inicial. Evidentemente, esto no es aplicable a todas las empresas ni proyectos ya que puede ser un riesgo o coste fuera del alcance de muchos. ¿Que ocurre si después de este proyecto no hay continuidad?

Hay otros casos en los que las empresas se ven abocadas a obtener proyectos de forma desesperada, únicamente con el objetivo de poder mantenerse en el mercado o en el propio cliente. Está claro que cuando esta es la circunstancia, el riesgo es aún mayor ya que el impacto sobre la empresa, en caso de fracaso, suele ser letal.

Si echamos la vista atrás, al menos en el mercado de las IT, vemos que los precios de contratación de proyectos y servicios, no solamente no han subido en los últimos años sino que han descendido considerablemente. Podríamos pensar que es lo habitual en cualquier economía de mercado, donde aumenta la competencia y la oferta supera a la demanda, pero, ¿es esto realmente lo que ha ocurrido?. En parte si, ya que veníamos de unos años de bonanza económica y de sobre valoración de ciertos productos y servicios relacionados con las IT. El problema, es que hemos pasado de pagar/cobrar casi cualquier precio por obtener/proporcionar un producto o servicio con calidad y garantías, a una situación en la que prima sobre todo el coste, descuidando la calidad de los servicios y dando una patada hacia adelante a los problemas derivados de la falta de calidad.

Algunas empresas han sabido reaccionar ante esta nueva coyuntura y han sabido conjugar la moderación de los costes con un aumento en la calidad de sus productos y servicios, aportando de esta forma un factor diferencial sobre el resto. Pero esta no es una fórmula fácil de aplicar, de echo, está incluso fuera del alcance de muchas empresas.

Cada vez está calando más hondo la apuesta por la calidad, tanto desde el punto de vista del que compra como del que vende y aunque en tiempos de crisis poner en práctica medidas para aumentar la calidad, muchos lo ven como un coste inasumible, está claro que es la apuesta por la continuidad del negocio.

Quiero dejar claro, que con mis anteriores comentarios, no me estoy refiriendo a la empresa adjudicataria del servicio al que hacía referencia al inicio, ya que desconozco totalmente a la empresa y sus circunstancias, así como el proceso de licitación del citado concurso. Solamente he utilizado este suceso como base para esta reflexión.

El salvaje Internet

En los últimos meses, estamos viviendo una especie de película de aventuras en Internet, de hecho, algunos lo ven como una película del oeste y lo califican ya como un “webstern”.

Por un lado, tenemos a los chicos de Anonymous haciendo de “Los Vengadores” y a los de LulzSec haciendo de “Joker”. Los unos porque se han erigido en garantes de las libertades del pueblo y los otros porque se divierten mostrando las vergüenzas a nivel de seguridad de todo el que se cruza en su camino.

Para colmo, en los últimos días hemos visto lo que parecía un enfrentamiento entre Anonymous y LulzSec, por un supuesto “chivatazo” al FBI , por parte de Anonymous, sobre la identidad de algún integrante de LulzSec. Esto parecía que iba a ser “Furia de Titanes”, pero no, al final ha sido algo más parecido a “Ocean's Eleven” y se han juntado para fastidiar al SOCA (El FBI británico), en la operación #Antisec.

De repente, cuando todo el mundo estaba atento a la película, aparece un “To be continued...” y los chicos de LulzSec deciden retirarse de la escena, dejando en suspense al personal. Ya estamos acostumbrados a las segundas partes...

Alguno puede pensar que esto de buscar relaciones entre estos grupos y el séptimo arte no está justificado, pero si vamos a la página LulzSec Exposed, donde Anonymous le mete el dedo en el ojo a LulzSec, podemos leer en su cabecera “Web Ninjas” in Action. ¿Estará Jackie Chan detrás de todo esto?.

No tengo claro el final de esta película, de hecho, no se quienes son los buenos y quien los malos, es más, no tengo claro el fin a conseguir. Quizá, como ocurría en “El Plan Perfecto”, hasta el final no conoceremos los verdaderos motivos.

Internet es aún un territorio salvaje, donde hay mucho por conquistar, muchas leyes por aplicar y sobre todo, mucho sentido común por usar. Cada vez tenemos que estar más atentos a lo que hacemos en Internet y a lo que nos llega de Internet. No hay que tener miedo, que el miedo nunca es bueno, pero si hay que ser precavidos.

Me gustaría ser optimista y pensar que todos los acontecimientos que hemos vivido en los últimos meses, realmente servirán para hacer que este “agujero de gusano” que es Internet, acabe siendo un lugar más seguro por el que transitar. En realidad no hay nada nuevo que no viniera pasando desde hace años, pero últimamente si que está cambiando la forma en la que ocurren las cosas.

Quizá estemos viendo algo similar a lo que ocurrió años atrás, cuando los creadores de malware solo pretendían notoriedad, aunque si extrapolo los resultados..., me temo que algunas cosas van a cambiar de forma sustancial.

Entonces... ¿Hadoop no es nada?

Efectivamente, podríamos decir que Hadoop, en sí, no es nada. No es nada al menos en el sentido en el que , equivocadamente, mucha gente piensa.

Hay una creencia bastante extendida de que Hadoop es una base de datos distribuida o una base de datos NoSQL (ver post Bases de datos NoSQL... ). No, no es eso. Veamos lo que sí es.

Hay infinidad de documentación sobre Hadoop en Internet, así que tampoco pretendo entrar demasiado en detalle, además, necesitaría más tiempo y más de un post. No es el objetivo.

Para empezar, podemos echar un vistazo a la página web de Hadoop (http://hadoop.apache.org/), donde ya nos deja claras las cosas desde el principio:

"La librería de software Apache Hadoop, es un framework que permite el procesamiento distribuido de grandes cantidades de datos a través de clusters de ordenadores, usando un modelo simple de programación"

Librería, Framework,...Vaya, que decepción, así que ¿para usarlo hay que programar?. Pues si, en efecto. Es lo mismo que si instalamos en nuestro ordenador el ".Net Framework 4.0". Nos da la herramienta, pero la casa la tenemos que construir nosotros.

El proyecto Apache Hadoop, consta de tres subproyectos: Hadoop Common, Hadoop HDFS y Hadoop MapReduce, que combinados de forma conjunta, nos proporcionan las herramientas necesarias para construir un sistema que, como dice el enunciado, nos permita procesar grandes cantidades de datos, en un modelo distribuido, con alta disponibilidad, usando un hardware barato y con un alto rendimiento. La verdad es que dicho así, suena muy bien.

Ya veremos más adelante lo que son Common, HDFS y MapReduce. De momento, vamos a centrarnos en las cinco características, que nos han llamado la atención:

Procesamiento de grandes cantidades de datos

Hadoop sirve para procesar GRANDES cantidades de datos, y digo GRANDES con mayúsculas, porque estoy hablando (es un decir) de muchos miles de millones de datos. Si no es el caso, pensemos en otra solución (aunque puedes seguir leyendo el post hasta el final).

Modelo distribuido

El que sea un modelo distribuido, no es solo una ventaja, es también una necesidad. Excepto si es para desarrollar, no sirve de nada montar un sistema basado en Hadoop con una sola máquina. Se puede hacer, pero como digo, solo para desarrollar o "cacharrear" con ello. De hecho, necesitaríamos al menos dos. (Cloudera proporciona una distribución bastante estable y sencilla, que permite simular un cluster en una sola máquina y se instala en unos pocos minutos).

Hasta aquí, lo que parecían ventajas, alguien lo puede ver como inconvenientes. Pero bueno, sigamos...

Alta disponibilidad

Esto está muy bien. Si se rompe una máquina, el sistema sigue funcionando. No perdemos los datos y el sistema se recompone para repartir la carga entre los nodos restantes. Evidentemente, cuantos más nodos tenga nuestro cluster, más protegidos estaremos frente al fallo de alguno de ellos.

Que el sistema siga funcionando pese a la caída de un nodo, no es nada especial, pero el que el sistema redistribuya la carga, si es una importante ventaja.

Hardware barato

Este es otro punto interesante. No necesitamos grandes máquinas, prácticamente cualquier PC con disco duro, procesador y memoria, nos sirve para incorporarlo al cluster, además no tienen por que ser todos los nodos iguales. Cada nodo soportará una carga proporcional a los recursos de los que dispone.

Para que no todo sean ventajas, hay que decir que en el apartado de networking, si es preciso gastarse unos euros. Montar un cluster de un par de docenas de nodos, con PC's de 300€, está muy bien, pero si los unimos con un switch de 10MB, por muchos nodos que añadamos, el rendimiento no mejorará.

Alto rendimiento

En este caso, la potencia no nos la proporciona Hadoop sino la acumulación de nodos al cluster, cuantos más nodos, más rendimiento. Obvio ¿no?.

Dado que podemos utilizar un hardware barato, incrementar la potencia de nuestro cluster, no requerirá una fuerte inversión, además, el escalado horizontal es prácticamente ilimitado.

Ya ha quedado claro al principio, que Hadoop es una herramienta, o más bien un conjunto de ellas:

Hadoop Commons: Son un conjunto de librerías y utilidades sobre las que se soportan el resto de subproyectos. Dan soporte para interactuar con el sistema de archivos distribuidos, gestionar el control de acceso a los nodos, colas de trabajos, etc..

HDFS (Hadoop Distributed File System): Es el sistema de almacenamiento distribuido en el que se soportan las implementaciones de Hadoop. Consta de un nodo primario o "NameNode" que  controla los "DataNodes", que son cada uno de los nodos donde finalmente se almacenan los datos.


MapReduce: Es en si el framework que nos permite desarrollar las aplicaciones que son capaces de procesar en paralelo los datos suministrados.

Los trabajos MapReduce se basan en la separación de los datos de entrada (tareas Map), que son enviados como entrada a las tareas de agregación o combinado (tareas Reduce). Que lío ¿no?.

La verdad es que puede parecer complicado pero en realidad es más simple de lo que parece. Pongamos el ejemplo tonto, que no tiene utilidad práctica, pero si didáctica:

Supongamos que tenemos un fichero de texto con varias líneas y queremos contar las palabras distintas que hay en el texto y saber cuantas veces aparece cada una de ellas.

El primer grupo de tareas Map, recibiría cada una de las líneas del fichero y se encargaría de separar cada línea en sus diferentes palabras. Estas palabras se pasarían a las tareas Reduce, que se encargarían de contar las apariciones de cada palabra, así en diferentes niveles de agrupación (tareas Reduce encadenadas), hasta conseguir el resultado final.

En realidad se trata de ir separando los datos hasta el nivel de granularidad adecuado y después agruparlos para conseguir la segmentación deseada.

¿El truco? tareas sencillas que realizan solo una parte del proceso. Si tenemos muchas de estas y trabajando todas a la vez, tenemos un resultado espectacular.

Y esto, a mi ¿para que me sirve?. Esta es la pregunta del millón.

Lo primero que hay que tener claro es que Hadoop no es la panacea para resolver los problemas de almacenamiento, disponibilidad, sustitución de bases de datos, etc.. Hadoop es bueno, pero solo para resolver unas problemáticas muy concretas.

Quizá, para no perder el tiempo, lo primero que se debería hacer es conocer "Que NO es Hadoop". Para empezar, recomiendo la propia Wiki de Hadoop.

Hadoop es una herramienta excepcional, pero solo si se utiliza para el propósito adecuado.

Aunque pueda parecer a simple vista algo muy complicado de poner en marcha, en realidad no lo es tanto. La instalación de los componentes es relativamente sencilla (Proveedores como Amazon, tienen disponibles nodos preinstalados listos para usar). En realidad, solo nos tenemos que preocupar de desarrollar nuestros programas MapReduce y para ello podemos utilizar varios lenguajes como Java, C++, Python, etc., así que alguno de ellos nos resultará más próximo y será más fácil comenzar.

Yo no trabajo por 800 euros

Esta es la frase con la que me encontré haciendo un zapping la semana pasada. En realidad, creo que fue "Yo no trabajo por 800 míseros euros". Se trataba de un programa de televisión, en el que participaban entre otros, unos jóvenes del movimiento 15M.

En el punto en el que yo llegué, hablaban en concreto sobre lo difícil que lo tienen los jóvenes para encontrar un trabajo. Hasta aquí todos de acuerdo, pero mi sorpresa llegó cuando uno de ellos; que creo recordar nunca había trabajado; espetó la frase lapidaria "Yo no trabajo por 800 míseros euros".

Al oír la frase, me llamó la atención y seguí escuchando el debate. La verdad es que acabé impresionado, o más bien indignado, hasta tal punto que apagué la televisión.

Entiendo que un joven que acaba de terminar la carrera (no se si era el caso), aspire a un trabajo relacionado con sus estudios y con una retribución salarial acorde a su nivel de estudios o experiencia, si es el caso. Lo que no entiendo es como se puede hablar con desprecio de un trabajo de 800 euros.

Seguramente este joven (o esta, no lo recuerdo), vive en casa con sus padres, no le falta comida, ropa y dinero para gastar el fin de semana, porque sus padres se lo pueden permitir.

Supongo que si no tuviera el paraguas de sus padres y sin otra fuente de ingresos, no le haría tantos ascos a los 800 míseros euros. De hecho, hay familias enteras en este país, que viven con esos ingresos.

Aplaudo que los jóvenes reivindiquen reformas laborales, económicas o sociales, de hecho creo que lo deberían hacer más frecuentemente y con más ahinco. También estoy de acuerdo que en la situación económica actual, los jóvenes tienen muy complicado encontrar un trabajo, independizarse, etc.

A veces escucho decir, que antes los jóvenes lo tenían más fácil, había trabajo para todos. Es cierto que antes había más facilidad para encontrar trabajo, pero también creo que es cierto, que se ha perdido cierto "garbo" o "coraje" para saber buscarse la vida, aunque en esto, seguramente parte de la culpa recae en los propios padres.

La situación laboral es complicada para los jóvenes que buscan trabajo, pero no nos olvidemos que es complicada también para los que no son tan jóvenes y cuando se tienen responsabilidades, lo primero es saber buscarse la vida.

Hay un punto que me gustaría resaltar, y es que tan complicado es encontrar un trabajo como saberlo mantener. En esta vida nadie te regala nada.

No nos engañemos, las empresas no son ONGs y están ahí para ganar dinero, así que no nos van a dar nada que no nos hayamos ganado previamente. Bien es cierto que hay quién se aprovecha de la coyuntura para para dar una vuelta de tuerca más y engordar la cuenta de resultados a costa del sacrificio ajeno.

Un trabajo de 800 euros no es para toda la vida, pero puede servir para adquirir experiencia, saber valorar el trabajo y ser un primer paso para encontrar otro mejor.

El tiempo, ese bien tan preciado

A menudo nos surgen reflexiones sobre el poco tiempo que tenemos, lo que nos gustaría hacer si tuviéramos tiempo o como malgastamos nuestro tiempo, entre otras.

Está claro que el tiempo es un bien muy preciado, todos creemos tener poco y queremos tener más. Algunos incluso cambiarían dinero por tiempo.

 En muchas de las circunstancias en las que nos referimos al tiempo, lo hacemos usando las mismas expresiones que utilizamos para referirnos al dinero: gastar el tiempo, ahorrar tiempo, invertir el tiempo, robar tiempo, etc., pero el tiempo no se puede atesorar y utilizarlo cuando lo necesitamos, tampoco podemos comprarlo o venderlo, el tiempo sencillamente pasa, da igual en que lo hayamos ocupado. 

Existen algunas iniciativas que se denominan "bancos de tiempo", donde por decirlo de una forma sencilla, se deposita el compromiso de disponibilidad de x horas de tu tiempo para realizar una actividad, las cuales se pueden canjear por otras tantas x horas del tiempo de otra persona en otra actividad. Como iniciativa de comunidad, no está mal, pero ¿por que llamarlo banco de tiempo?.

Ya que se utiliza el símil del banco, como si de dinero se tratase, veamos que la similitud no lo es tanto:

En un banco se deposita dinero por diferentes motivos: seguridad, rentabilidad, etc. Si yo deposito el compromiso de 1 hora de mi tiempo en uno de estos bancos, pasado un año, ¿tendré más de 1 hora?, pues no, ni mi tiempo estará más asegurado.

Si no tengo tiempo, ¿puedo pedir un préstamo? ¿que garantía daré?, pero yo necesito tiempo para estar con mi familia y con mis amigos, ¿va a venir un señor que sí tiene tiempo para estar con mi familia?, en fin, sin comentarios.

Si yo no tengo tiempo para arreglar un grifo, puedo cambiar ese tiempo con un fontanero para que me arregle el grifo, pero también puedo pagarle con dinero. ¿He comprado tiempo?, pues tampoco.

Hablamos también de "ladrones de tiempo", refiriéndonos a pequeñas interrupciones en nuestro trabajo, pero ¿se queda el ladrón con mi tiempo, yo tengo menos y el más?.

El tiempo es una dimensión en un solo sentido, solo fluye hacia adelante, aunque según Stephen Hawking e incluso el propio Albert Einstein, a distintas velocidades según donde nos encontremos. Por ejemplo, el la singularidad, al borde de un agujero negro.

Si tuviéramos una máquina del tiempo que nos permitiera viajar a través de él, ¿tendríamos más tiempo?, pues tampoco. Da igual cuanto tiempo haya pasado para los demás, el nuestro no habrá encogido o estirado.

Decía San Agustín: "No hubo tiempo alguno en que no hubiese tiempo".

Siempre hay tiempo, solo tenemos que elegir lo que hacemos mientras este trascurre de forma inexorable a pesar nuestro.

La cuestión, no es tener más tiempo, sino que nos sintamos a gusto con las actividades que hemos realizado durante su trascurso. Unas veces "hemos aprovechado el tiempo",  otras veces lo hemos "malgastado" y otras, sin más, lo hemos "gastado", da igual si hemos estado trabajando o de vacaciones.

Hay bienes inmateriales, como el tiempo o la razón. El tiempo, todos tenemos el mismo y todos queremos tener más, en cambio la razón, no todos tenemos la misma, pero todos creemos tener suficiente.