Privacidad/Seguridad

OpenID y seguridad

Publicado en por Jose Alcántara / 7 comentarios
OpenID

OpenID es uno de los sistemas de identificación distribuida más conocidos y que aspiran a constituirse como una alternativa sencilla ante la creciente complejidad de nuestra vida online, que incluye la utilización de numerosas webs diferentes, cada una con su usuario y su contraseña. Es algo complejo, y por eso OpenID y su simplicidad (un usuario y una contraseña para todas las webs) tienen tanto poder de atracción. Nos hacen la vida (aparentemente) más sencilla, y nos encantan las cosas sencillas. OpenID vendría a sustituir a todos estos identificadores, para hacernos la vida más fácil (aunque ahora veremos que toda facilidad tiene un precio). Visto así, OpenID es el concepto de simplicidad aplicado a la identificación web.

Pero un problema complejo puede no tener una solución sencilla. Al menos, es posible que las soluciones sencillas no sean demasiado apropiadas y en el fondo estemos pagando un precio. La identificación web es un problema complejo, y simplificar demasiado ese proceso no está exento de riesgos.

Un concepto importante cuando hablamos de seguridad es la compartimentización: el aislamiento de unos elementos de un sistema respecto de otros, para evitar que un problema en uno de ellos se propague al resto. Un ejemplo de esta separación lo tenemos en los edificios más modernos, obligados por ley a instalar puertas antiincendios cada dos o tres viviendas. De esta forma, si una vivienda arde, el fuego queda recluido a una zona localizada del edificio, manteniéndose a salvo el resto. Ciertamente, es una cuestión de sentido común, y sin embargo no fue de uso obligatorio hasta que no hubo muchos, muchísimos incendios en edificios. Pero OpenID destruye este aislamiento estanco entre diferentes servicios web, al usar el mismo usuario y contraseña para cada web. Si tus datos de acceso caen en malas manos, de un soplo estás poniendo en peligro la seguridad de todas tus cuentas de usuario en diferentes servidores.

¿Qué solución se propone ante esto? Hay diferentes aproximaciones, evidentemente. Está claro que si no nos convence su modo de operación, hay que hacer algo. Tal como yo lo veo hay dos posibilidades: el rechazo total y la solución pragmática basada en niveles de seguridad (como en una cebolla con capas).

  1. El rechazo sin más a OpenID. Si no te gusta o no te parece seguro, no lo uses. Y se acabó. Sigues recordando cada usuario y contraseña que necesites. Es válido, pero yo voy a optar por la opción 2.
  2. Usar OpenID para lo menos importante. Si no queremos que por usar una aplicación web de importancia menor, que puede verse comprometida, nos puedan entrar en nuestro correo personal o en nuestro banco, no debemos usar OpenID en estos servicios (suponiendo que nos lo ofrecieran, que lo dudo). La idea es usar OpenID para actividades no críticas y en actividades en las que identificarte sea suficiente ventaja para el precio (en seguridad) a pagar. Si me preguntan a mí, yo uso OpenID para firmar comentarios en blogs… y para nada más. Así que resulta que este OpenID distribuido del que tanto se habla no soluciona el problema de los múltiples identificadores y que, para colmo, parchea mejor los servicios menos importantes, ¿para eso tanto alboroto?

¿Cómo hemos de recibir entonces la extensión/adopción de OpenID como identificador en cada vez más servicios web? Desde mi punto de vista: con mucha prudencia. Si me preguntan a mí, les diría que yo no lo usaría. Como argumento el problema de seguridad ya expuesto (que no me parece poco). Cuando webs como Facebook anuncian la adopción de OpenID, los análisis del moviemiento suelen dejar de lado este punto de vista. Y no uso Facebook, pero sin duda un servicio de este tipo, pese a no tener mi tarjeta de crédito, no es de los que yo catalogaría como de importancia menor: si todas tus comunicaciones están en Facebook, es vital que la identificación de esa web no se vea comprometida porque estás usando el mismo usuario y contraseña que ya usas en otra web.

Sabemos que muchos incendios hicieron falta para que la instalación de puertas antiincendios en viviendas fuera obligatoria, ¿estamos preparados para jugarnos toda nuestra identidad online a la carta única de un identificador que podría demostrarse inseguro o cuya seguridad podría verse comprometida, dejando vulnerables nuestra vida online en múltiples webs?

Aclaración antiparadoja, por si alguien no ha querido leer: mi blog acepta OpenID. Ya digo más arriba que usarla para firmar en blogs y demás actividades de importancia menor no me parece mal. Te aporta un beneficio (hay más fiabilidad de que el comentario lo hayas escrito tú) con muy poco precio (no estás comprometiendo cuentas de usuario en esa web, ni información personal especial almacenada en ese servidor). Para otros usos, para el resto, soy muy escéptico y resto mucho potencial a OpenID. Digamos que parece buena idea desde el punto de vista de la simplicidad, pero no tanto desde el punto de vista de la seguridad. Si en los servicios críticos no voy a usarlo, OpenID queda relegado a un papel de segundón bastante agrio.

Bocados de Actualidad

Bocados de Actualidad (90º)

Publicado en por Jose Alcántara / 2 comentarios

Llega otro fabuloso domingo de primavera y con él la nonagésima ronda de los Bocados. Mañana tenemos a Wilco dando un concierto en Málaga y como no podía ser de otra forma, nos acompaña su flamante nuevo álbum. Ahora, los enlaces, que esta semana vienen interesantes.

  • David Maeztu comenta la vista contra Pablo Soto, a quien se quiere inculpar por violar derechos de autor… mediante el desarrollo de software para p2p. Tremendo.
  • Natalia estuvo en la presentación de De las naciones a las redes y nos deja una crónica del evento.
  • Foto Microsiervos y cómo hacer una fotografía en Londres te puede joder tus vacaciones. Recuerden que de esa paranoia nos reíamos cuando los rusos no podían hacer fotos. El 9/11 europeo tiene esas consecuencias: la política, al modo del este, llegó al oeste.
  • Marburradas y netbooks es un nombre feo.
  • The Big Bang Blog y la indefensión del consumidor ante los fraudes.
  • La vigilanta y Manchester como ciudad para las pruebas piloto del DNI británico.
  • Arnau Fuentes, el lobo, marte y una bonita historia.
  • Un blog amigo, Error 500, cumplió años: 6 añazos. Felicidades :)
  • Pululante a favor del fin de la deducción por compra de vivienda. ¡Yo también! Eso fue una trampa que hizo mucho mal y no entiendo cómo la gente ahora se queja de que lo quieran quitar. ¿Dónde están esos colectivos «pro-vivienda» que lo que pedían era precisamente eso para frenar la escalada de precios?
  • Ars Technica y Sarkozy buscando legalizar el uso de keyloggers y troyanos por parte del Estado.

Mañana, más. Cuídense.

Política

La política del salva-tu-culo

Publicado en por Jose Alcántara / 15 comentarios

Nos cuenta La vigi en su blog que van a sembrar de cámaras toda la rambla. Las reacciones en su post no se hicieron esperar, y me gustó sobre todo un comentario de Eugenio Sánchez que pego a continuación.

«Creo que las cámaras son un síntoma de una tendencia extremadamente común en la Administración: quitarse de encima la responsabilidad sin tocar el problema. Lo que coloquialmente se llama “pasar el muerto”. Hay que poner cámaras en los pasillos de los institutos por si pasa algo que no nos denuncien, hay que poner cámaras en las calles para que si pasa algo nadie pueda quejarse a la Administración de la falta de medidas de seguridad. Si se ponen cámaras puede pasar lo que sea, la Administración ya ha cumplido. Lo importante no es arreglar los problemas sino evitar que te denuncien y simular que te preocupas.

En Educación pasa algo parecido. Parece que los asesores del ministro pensaran algo como esto: hagamos algo inútil que nos libere de la responsabilidad y nos convierta en punta de lanza de la renovación educativa y voilá, el famoso portátil.»

Eugenio Sánchez, en un comentario al hilo de la videovigilancia en Las Ramblas.

Al hilo de este comentario rescato ahora una conversación que ha tenido lugar esta mañana en un post de Pere.

Dice Pere que

«Fa un temps vaig participar en un sopar-debat amb un polític català de primer nivell. Li vaig fer una pregunta sobre aquest tema. Li vaig dir que només havia parlat del talonari, però en cap moment de què es fa per gobernar millor sense gastar més. El polític, o no em va entendre, o no em va voler entendre, però la seva resposta va ser ridícula. Va fer el típic discurs anti-americà i anti-liberal sobre el sistema de salut americà (que sí, és car i poc just, però no tenia res a veure amb la meva pregunta).

El que voldria, és que els polítics ens diguessin què és el que no han gastat, enlloc de parlar de despesa i més despesa pública. De la mateixa manera que fan les famílies. Tots ens alegrem quan aconseguim fer quelcom gastant poc o gens! Perquè no fa el mateix el govern? Perquè gasten els diners dels altres, com si fossin seus. Així és fàcil fer regals.»

Y ya concluyo con lo que yo respondí al post de Pere.

«La primera idea, como la vi expresada hace un par de días en lo de Schneier: «the cover-your-ass politics«. Sensación de actividad, es lo que llevó al capullo del presidente de Mexico a alarmar a su población (eso y algún interés legislativo más que criticable).

Sobre lo segundo. Una de las pocas (poquísimas) cosas que sé decir en euskara es pásalo bien y gasta poco (ondo pasa eta gutxi gasta). Típica frase de botellón, lo sé (por algún sitio había de empezar, jeje), pero mucho más que eso. El mensaje está tan claro ahí: hazlo, pero si lo haces gastando menos mañana vas a reir dos veces.

El problema es que aquí no se funciona si no es a base de subvenciones, es brutal. Brutal. “Qué hay de lo mío”, gritan todos en cuanto ven que el gobierno deja un duro sobre la mesa. Qué hay de lo mío. Qué fácil pedir en lugar de luchar por llevar uno mismo el barco. Así va esto. Qué ascazo.»

Ah sí, que me cuesta mucho no hablar de botellón, y ¡eso que casi nunca hago ya (y desde luego no en esas zonas bajo control policial)!

Y ya sabemos porqué se subvencionan negocios que son a todas luces insostenibles (desde la fábrica de SEAT a la agricultura en toda Europa, pasando por el canon por copia privada y las subvenciones al cine). Porque así si no funciona, si todo se va al carajo, el político habrá salvado su culo (y, como dice Pere, por el camino habrá hecho ricos a unos cuantos amigos). «Yo lo intenté, hice todo lo posible». No. No hizo todo lo posible, pero en fin… así nos brilla el pelo.

Citas/Frases

Spain is different

Publicado en por Jose Alcántara / Comentarios desactivados en Spain is different

«El que más roba es el más alabado, el que se atreve y no se le pilla es el que tiene “los güevos más grandes”. Algunos ingenuos llegamos a pensar a principios de los 90 del siglo pasado que la “cultura del pelotazo” acabaría con el castigo ejemplificador a Mario Conde. Pero no.»

La vigilanta, en un post imprescindible sobre el cinismo con que en España se roba a los turistas.

Sí, un post directamente desde La Pila de borradores que acumulo por todos los rincones del blog.

Privacidad/RFID

Recomendaciones de la UE sobre RFID

Publicado en por Jose Alcántara / 2 comentarios

Gracias a The Register llego a una nota de prensa en la que la UE hace sus recomendaciones sobre el uso de chips RFID.

  • Los consumidores deberían tener el control sobre si sus productos tienen (o no) chips RFID. Al comprar, los chips deberían ser desactivados automáticamente sin cargo adicional en el punto de venta, excepto que mediante opt-in el cliente decida lo contrario.
  • Quienes implanten RFID en sus productos deberían dar información a los consumidores sobre las implicaciones de estos chips en la privacidad.
  • Asociaciones de vendedores deberían informar acerca de los productos conteniendo RFID mediante el etiquetado de los productos que incluyan estos chips.
  • Empresas y autoridades deberían realizar evaluaciones de impacto en la privacidad y protección de datos antes de usar chips RFID, para asegurar que los datos están bien asegurados

Visto así, una sarta de tonterías. ¿Seguridad en los datos de un chip RFID, que se asegure que nadie puede leerlo sin permiso? Sencillamente: hablar es gratis. Recomendar sin implicaciones sale aún más barato. Es lo que tiene recomendar desde la frivolidad del que sabe que lo que se está recomendando no tiene porqué cumplirlo nadie ni lo va a poder cumplir (¿cómo conseguimos que nadie nos lea los chips rfid?).

Y ojo, no es que esté en desacuerdo con el hecho de que los chips sean eliminables, que los productos estén etiquetados y demás. La misma UE ya se pronunció en contra del implante en fuente de estos chips por no cumplir estas medidas.

Lo que me hace desconfiar es que estas recomendaciones (no obligaciones) sobre RFID llegan años después de que documentación oficial como son los pasaportes incluyan estos chips.

Libertades

El mercado negro de los botellones bajo techo

Publicado en por Jose Alcántara / 9 comentarios

Está claro que prohibir sólamente sirve para generar dos cosas: escasez (y así encarecer productos) y mercados negros (y ahí lucrarse el que pueda). El estado lo sabe y tiene sueños húmedos con que el mecanismo de respuesta sea el primero. Pero en cuanto el primer mecanismo se manifiesta, la reacción competitiva surge de la nada y aparece el segundo camino: el de la trampa, los mercados negros. El estado lo obvia, pero se hace el longui cuando se avisa sobre estas consecuencias.

Con el botellón ha tenido lugar uno de los fenómenos de adocenamiento social más grandes que he visto (vale, mi vida es así de aburrida y no he estado en guerras ni he vivido contra los grises esos de los que hablan las aburridas canciones de Ismael Serrano (como si él hubiera estado allí).

Resulta que la gente ha tenido siempre a bien reunirse en la plaza del pueblo y beber con sus compadres. Eso es un hecho. Existe desde que el mundo es mundo, desde que los pueblos europeos pre-cristianos organizaban fiestas en época de cosecha y se emborrachaban añadiendo pimienta al vino para potenciar sus efectos etílicos.

De repente, a algún listillo se le ocurre que es mucho mejor que toda esa fiesta cuyos planes escapan al control del Estado se deje de celebrar y que no se pueda beber en la calle (beber agua es una falta leve). ¿He dicho que no se puede beber en la calle? Perdonen: claro que se puede. Se puede en las terrazas de los bares, que pagan una altísima suma de dinero por una licencia que otorga el ayuntamiento (si el ayuntamiento decide joderte o no pagas el impuesto revolucionario -y guateques no hay sólo en Madrid- te aguantas). Se puede beber en la calle: la única condición es beber en un entorno cotnrolado por el ayuntamiento, como son los bares. De nuevo la zona temporalmente autónoma.

¿Y qué sucede entonces? Que en todas partes aparecen locales en los que te cobran por hacer botellón dentro del local (El correo gallego). Tú te llevas todo y bebes allí, pagando entrada. ¿Cómo se lleva esa realidad con la política buenrollista oficial que dice que el botellón se prohíbe para evitar que los jóvenes beban? Pues la excusa oficial queda con el culo al aire. Es lo que pasa con todas las mentiras y todas las malas excusas, que quedan con el culo al aire con demasiada frecuencia.

Lecturas

Presentación de De las naciones a las redes

Publicado en por Jose Alcántara / Comentarios desactivados en Presentación de De las naciones a las redes
De las naciones a las redes

De las naciones a las redes es un libro muy recomendable escrito al alimón por cuatro autores que de esto de la red saben muchísimo: Enrique Gómez, David de Ugarte, Pere Quintana y Arnau Fuentes, sin orden preferente.

Digo que es un libro recomendable porque creo que las ideas que en ese libro podemos encontrar tienen una importancia más que reseñable en el contexto actual, con una nueva estructura de información que ha de reconfigurar el mundo en el que vivimos, con esta realidad vital-profesional de vivir-en-8-ciudades-en-una-vida en la que las viejas fronteras nacionales-estatales entorpecen más que nunca el avance y las relaciones sociales. Cuando la nación limita al individuo más que nunca y le impide desarrollarse conforme a sus necesidades.

Por todo ello, el acto de presentación de De las naciones a las redes, que tendrá lugar mañana en el Centro de Innovación del BBVA (en la plaza Santa Bárbara de Madrid, 2) es una cita que no me perdería si estuviera por allá. El acto comenzará a las 19.30h y luego habrá una copita de vino y rato para charlar con los que allí se encuentren. Un buen plan, ¿no?

Presentando el libro, además de Arnau y David (co-autores) estarán Juan Urrutia y Josu Jon Imaz, todo un lujo de invitados. Si estáis por Madrid y os interesa el tema, no lo dejéis pasar, pocas veces se junta un panel de tanto nivel a hablar tan claro del modo en que la red podría influir en nuestras vidas.

Este blog usa cookies para su funcionamiento.    Más información
Privacidad