Reflexiones sobre la web en el 2018 y el GDPR

La llegada de la instauración del GDPR (General Data Protection Regulation), o la nueva ley de protección de datos que entra en vigor esta semana, me ha hecho mirar las cosas en retrospetiva. Para quien no esté informado de lo que es esa nueva ley de cara al día a día del usuario medio, a partir del día 25  los europeos debemos dar nuestro consentimiento explítico e inequívoco para que un servicio online utilice nuestros datos. El cómo cambiará las cosas aún es una gran duda para mí, ¿será como pasó con las cookies, que se ha convertido en un banner molesto y no ha cambiado absolutamente nada, o era algo más? Al menos hay una cosa que nos asegura, y es que los términos de servicio (eso que todos dicen haber leído) a partir de ahora tienen que venir en una versión adicional legible que todos, y no únicamente los abogados (o algunos de ellos), podamos entender. Además hay una larga cantidad de medidas extra a implantar en el caso de las empresas, con políticas de acciones a realizar en caso de fugas de datos y un largo etcétera que para la mayoría de quienes me leen no les viene a cuento.

Es muy curioso ver cómo ha evolucionado la tecnología en los últimos 10 años. En el 2008 aún era la época del dominio de blogosfera: lo habitual era que la presencia online se midiera mediante weblogs (o blog) en lo que llamábamos la Web2.0. Se había pasado de la web unidireccional a la bidireccional, permitiendo la participación: aparecieron los comentarios y la interacción entre el autor y sus lectores, cambiando el paradigma. En aquella época también estaban empezando a ser relevantes en España la llamadas redes sociales con Tuenti (amistades de colegio), Viadeo y Xing (en lo profesional), Minube (viajes), y acababa de llegar Facebook en español. Esto marcó otro cambio: una época de rápida difusión, con la fiebre del compartir y aumentar el número de seguidores. También se hablaba de la que web 3.0 sería la web semántica, de manera que podríamos introducir contextos en el código de las páginas para poder procesar lenguaje natural y hacer preguntas a los buscadores sin tener que hacer uso de palabras clave.

Where do those ads come from?

10 años después la cosa ha cambiado. Algunos blogueros irreductibles aún seguimos aquí, mientras que otros migraron hacia otras plataformas, y con ese cambio llegaron cuestiones de términos de servicio. Quien migró sus publicaciones a redes sociales o servicios mas especializados (por ejemplo, Medium), para ganar difusión, ¿qué precio ha pagado? ¿El contenido sigue siendo del autor o la compañía  dueña de la plataforma puede hacer con él lo que quiera? Tomemos por ejemplo cuando Facebook compró Instagram, y cómo muchos usuarios abandonaron la plataforma por las dudas de la propiedad de las imágenes.

Esta no es la única una cuestión preocupante, sino también el incremento desmedido de los anuncios (que ha llevado al boicot mas grande jamás habido, quizás incosnciente para muchos, mediante el uso extendido de bloqueadores de publicidad) y la aparición del concepto de la publicidad segmentada. La actividad de los usuarios se rastrea para crear anuncios mas relevantes para ellos, pues de toda la vida o se ha pagado el sitio web o se tiene una versión gratuita costeada mediante la  inclusión de anuncios, ¿pero desde cuando se rastrea a los usuarios sin consentimiento explícto de estos? ¿Y qué se hace después con esos datos? Yo no tengo ni he tenido (ni planeo tener) perfil de Facebook, pero sé que pueden tener un perfil fantasma (shadow profile) de mí, basado en mi actividad navegando por webs que contienen el botón “me gusta” (a día de hoy, ¿qué sitio no lo tiene?) mediante mi IP. Yo nunca he aceptado sus términos e irónicamente para ver esos datos recopilados tendría que crearme un perfil en su red. Ahí es uno de los sitios donde espero que actúe la GDPR.

Lo que no esperaba para nada era que el avance de la semántica no está siendo en el código de la web, sino en el procesamiento de voz, pues ésta está sustituyendo poco a poco a la entrada de información mediante teclado. Los asistentes de Microsoft (Cortana), Google (Google Home), Amazon (Alexa) y Apple (Siri) nos escuchan y cada vez nos dan mejores respuestas… y la gran pregunta es, ¿cuándo y cuánto nos escuchan? En teoría debería ser cuando pulsamos el botón de activación o si lo tenemos configurado como tal, cuando escuchan la famosa frase de activación (el típico “OK Google”), en la práctica no siempre ha estado tan claro, como pasó con aquella infame televisión de Samsung. Precisamente por eso los términos y condiciones claros son importantes.

Nunca pensé que la privacidad sería un tema tan importante a día de hoy, y me alegra que se esté intentando hacer algo al respecto, lo triste es que estas leyes fragmentarán los servicios de Internet en dos, la de los países con legislación al respecto y el de los que no la tienen.

Anuncios

Speculative Store Bypass o el último problema de diseño de procesadores

Los chicos de Red Hat han hecho un vídeo explicativo estupendo sobre esta vulnerabilidad, que os dejo traducido por si el inglés no es lo vuestro. Definitivamente el hecho de que haya proliferado tanto el IoT (Internet de las cosas), que no suele recibir actualizaciones, está llevandonos a la curiosa situación de que en los últimos años en vez de atacarnos mediante Software, ahora vayan a través de los fallos diseño de hardware (así que ya sabéis, actualizad las bombillas si os dió por poner “bombillas inteligentes”).

 

“Si las noticias sobre una amenaza de seguridad que permite que los cibercriminales te roben información sensible a través de uclaquier navegador te están dando sensación de deja-vu, no estás solo.

Muchos están comparando este nuevo problema, llamado “Sobrepaso por el buffer de almacenamiento especulativo” (Speculative Store Buffer Bypass), al las amenzas de Spectre y Meltdown de principios de 2018. Y al igual que cuando Spectre y Meltdown fueron anunciados, los parches de software están listos para ayudar con esta nueva amenaza.
Así que, ¿qué hace al “sobrepaso por el buffer de almacenamiento especulativo” diferente?

Imagina que tu ordenador es un restaurante. Los camareros se mueven de mesa en mesa apuntando pedidos, llamados almacenamientos, en sus libretas de tickets. Piensa en estos tickets como buffers de memoria que permiten servir a varias mesas de forma mas eficiente. en algún momento, un camarero irá a un punto común para transferir los pedidos de su cuaderno a la cuenta de sus clientes.

Él podría decidir imprimir algunas cuentas para tenerlas listas, pero para hacer esto, tiene que especular que él es el único atendiendo a sus clientes. En general tiene razón, pero a veces un cliente llama a otro camarero y pide añadir alguna cosa mas (¿me puede traer un café?). El nuevo camarero lo añade al pedido, pero ahora la factura impresa es incorrecta. Cuando llega el momento de pagar, el primer camarero debe comprobar que el cliente ya no cuadra con la factura impresa. Tira la factura vieja e imprime una nueva.

Un proceso similar sucede en tu ordenador cuando los procesadores son los camareros atareados, almacenado y cargando datos de direcciones de memoria. Están colocando pedidos en el buffer y usando ejecuciones especulativas para asegurarse de que todo esto sucede tan pronto como sea posible. Para evitar errores, los procesadores revisarán si alguna dirección usada en la carga era parte de un almacenamiento reciente en dicha dirección, y si es así, los datos especulativos se desechan, tal como el camarero tiró la factura incorrecta.

El problema es que eta especulación sucede en un área compartida e insegura, por lo que es posible que usuarios no autorizados la vean. Esto permite a un atacante crear un fragmento de código malicioso que engañe al procesador para que este lea de una dirección mientras piensa que está leyendo de otro lugar. Al engañar al procesador, el atacante puede robar datos, como passwords y números de tarjeta de crédito, sin se detectado.

Así que, ¿cómo puedes protegerte de este tipo de amenaza, que no parece una amenaza? Las empresas tecnológicas de nuevo se han unido para crear unos parches que apaguen la ejecución especulativa de los buffers de almacenamiento. Esto evita que los usuarios no autorizados puedan explotar esta vulnerabilidad. Es crítico instalar estos parches de inmediato, y estar al día con las últimas actualizaciones de sistemas operativos. Esto reducirá ligeramente el rendimiento de algunas operaciones, pero no de forma tan significativa como los parches de Meltdown y Spectre. Los parches seguirán siendo optimizados para reducir el impacto de rendimiento aún mas, y los futuros diseños de hardware los terminarán de eliminar.

Las nuevas amenazas tecnológicas no son un dej-vu, son un reto continuo al que tenemos que enfrentarnos. por eso es esencial mantener las vías de comunicación abiertas entre las compañías tecnológicas, las comunidades y los investigadores, para detener las amenazas antes de que se conviertan en enormes problemas.”

Night in the woods y Oxenfree: 2 implementaciones de la narrativa pura

Durante el 2017 hubo 2 aventuras gráficas independientes que dieron bastante que hablar. Night in the woods la jugué en otoño, cuando salió su versión extendida (llamada weird autumn edition), mientras que Oxenfree tuvo que esperar a este mes. En un cierto modo se parecen, con adolescentes enfrentándose a un evento sobrenatural, pero no pueden ser más dispares… y resulta algo difícil hablar de ellas sin realmente contar nada, pues ambas son cortas y el factor sorpresa es lo mejor.

Los montes de Night in the woods

La primera ha sido la gran favorita del año pasado. Quizás por toda la expectación que había generado me dejó bastante fría en la primera vuelta que le dí, y tuve que esperar un poco más para cogerle el gusto.

Temáticamente es el producto superior de los 2, haciendo una alegoría de cómo el capitalismo y la globalización afectan al pequeño pueblo de Possum Springs y sus habitantes con aspecto de animales antropomorfos. Su estética única de cartón recortado, su humor negro y sus minijuegos (rítmicos, de disparos, plataforma de sigilo… Y ese mini-dark-souls de 8 bits que logró enervarme) lo hacen memorable. La historia va sucediendo de forma lenta dejando tiempo para la exploración y nuestras acciones van sumando poco al todo, haciendo que más allá de completar todos los logros, no haya mucho más interés darle mas de 2 vueltas, pues el sistema de respuestas binario permite comprobar con facilidad todos los caminos alternativos.

El paisaje escapado de Oxenfree

Oxenfree por el contrario, aún siendo extremadamente simple en cuanto control y elementos de diseño, nos ofrece una sensación vertiginosa al introducir su sistema de diálogos mediante interrupciones. Mientras la acción sucede puedes interrumpir en cualquier momento con una frase o una acción, dando una sensación de frescura única a esa historia de fantasmas en una isla. Para quienes les preocupe se trata de una historia sobrenatural de misterio, no de un juego de terror con sustos y saltos, sino de una trama bastante bien hilada y con varios finales, lo que aumenta su rejugabilidad.

Si me preguntáseis a la hora de lanzaros por uno u otro, diría que Oxenfree es mas todoterrreno, mientras que Night in the woods es un juego de autor, que si bien es mucho más profundo, tiene un público mas específico y es más complicado cogerle el gusto. Las 2 sin duda me han parecido unas historias estupendas y que merecen ser jugadas.

¿Sabías que Windows 10 incluye un keylogger (y por razones totalmente correctas)?

Nada como un parche de Windows 10 para tener que hacer una revisión completa de la configuración del equipo, lo que me llevó por casualidad a la configuración de teclado en pantalla. Allí tenemos los controles habituales de los dispositivos táctiles, lo que es completamente normal, pues Windows 10 ese concedió como un sistema híbrido para PC y tablet, y entre otras cosas tenemos el corrector ortográfico y la escritura predictiva.

¿Sabías que Windows 10 incluye un keylogger (y por razones totalmente correctas)?

La escritura predictiva de por sí es algo normal, escribir en el teclado de pantalla es incómodo y por lo tanto usamos las sugerencias. Este tema me parece curioso, pues originalmente es una herramienta que se creó por temas de accesibilidad (pensad por ejemplo en gente con dificultades motoras como Stephen Hawking y cómo estas funcionalidades le facilitaron seguir adelante con su trabajo, os recomiendo este artículo de Wired hablando de sus sistemas, aunque aviso que como casi todo lo realmente bueno en esta materia está en inglés), y ahora es algo muy habitual. Esta herramienta se basa en registrar nuestras entradas de texto mas habituales, para así predecir que es lo siguiente que solemos añadir, y en consecuencia ayudar a trabajar mas rápido. Ahora, a diferencia de los móviles que son de uso mas personal y tendemos a tener las sesiones de los diversos servicios (correo, redes sociales) guardadas, en los ordenadores tendemos a salir de las sesiones, pues suelen ser de uso compartido. En consecuencia este sistema de keylogger (almacenamiento de pulsaciones de teclas) registra nuestros usuarios y contraseñas.

Como veis, el uso es completamente legítimo y bien intencionado y que por lo que veo a día de hoy no se sincroniza entre dispositivos, pero podría verse como una brecha de seguridad en ciertas circunstancias si en alguna ocasión futura se sincronizase en nube. Es bueno saber que está allí por actualizaciones futuras y así tenerlo monitorizado por si acaso los criterios a de la empresa cambian, pero si por tranquilidad queréis desconectarlo ya en el equipo de sobremesa es un proceso sencillo. Sólo hay que ir desde la configuración a la sección de teclado y desconectar la predicción y la ortografía. Otra vía mas rápida de localizarlo es usar la caja de búsqueda del menú de configuración e introducir la palabra “ortografía”.

El timeline de Windows 10… y el predeterminado

Llegó la cacareada (y en mi caso temida) actualización de abril de Windows 10 con su nueva funcionalidad, el timeline. Para citar a Microsoft:

“Continuar con tus actividades recientes al instante en la línea de tiempo. Selecciona “Vista de tareas” en la barra de tareas o presiona la tecla del logotipo de “Windows + tabulador”.

El hecho de que el nuevo icono sea animado ya de por sí me molesta, utilizo el ordenador para trabajar y las cosas que se mueven distraen, a ver si lo ponen estático. Lo segundo es que esta funcionalidad se sincroniza con otros equipos… y si se sincroniza con otros equipos, eso es que Microsoft se podría quedar con los datos de, por enumerar los ficheros que abres, tu estructura de carpetas, las páginas por las que navegas… Luego ví que lo que visito desde Firefox no se  lo queda, es solo con Microsoft Edge, que es un navegador que toco nunca, excepto porque es el visor preconfigurado de PDFs e eBooks. Supongo que es otra pieza más que tendré que sustituir visto esto. Así que vámonos a la configuración del sistema.

El timeline de Windows 10... pues a mí me incomoda

Desde el menún inicio vamos a configuración con su nuevo look en “Fluent design”, y efectivamente allí está el timeline, preconfigurado para enviar mis datos a Microsoft, cosa que curiosamente han obviado al preguntarme tras la instalación de la última actualización. La ubicación, los datos de teclado y la recopilación de datos de sistema (de la que te deja ponerla de completa a básica, pero no “ninguna”), pero esto, que es lo más intrusivo no. Así que a desconectarlo todo y quitar toda aplicación que tenga relación de Edge.

Supongo que las prisas de sacar la actualización al final de abril y no retrasarla (se suponía que tendría mas cosas, pero ) es para colarnos esto antes de que entre en vidor el GDPR, ley europea por la cual la recopilación de datos de usuarios sin consentimiento explícito por parte de estos se multa. Para entonces esto cambiará, pero hasta entonces, ¿cuánto habrán recopilado?

Pd: la otra víctima de esta actualización ha sido la app de la Microsoft Store de Twitter. Pasamos de tener una apliación Windows nativa basada en API a ese desastre de la versión webapp oficial “Twitter Lite” sobre Microsoft Edge: adiós tema oscuro, adiós información ordenada limpiamente en el orden temporal correcto y hola espionahe de Microsoft. En resumen, han destruído todo el valor de la aplicación y en consecuencia ha sido desinstalada.