El blog de los empleados
de Telefónica I+D

Por Santiago Pérez

Una imagen vale más que mil palabras, así que hagamos caso al dicho. Veamos dos capturas de pantalla de dos páginas Web.

La primera es:

http://www.readwriteweb.com/archives/facebook_wants_to_be_your_one_true_login.php

y la segunda es:

http://www.facebook.com/login.php

¿En qué se parecen ambas páginas Web? En nada, supongo que estaréis de acuerdo conmigo. ¿a que sí?

La primera es una página un blog comentando un acuerdo entre Facebook y AOL, mientras que la segunda es la página principal de acceso a la red social Facebook. Desde un punto de vista visual muestran aspectos muy diferentes: fondo rojo la primera y fondo azul la página de Facebook.
¿Cómo es posible que cientos de usuarios puedan confundir un blog con la página principal de acceso a Facebook?

Pues la verdad es que es posible y esto ha sucedido hace unas cuantas semanas.
ReadWriteWeb es un blog especializado en tecnologías de información. Así que no es nada extraño que el 11 de febrero Mike Melanson escribiese un post sobre un acuerdo entre Facebook y AOL para integrar los contactos de Facebook con los contactos de la mensajería instantánea de AOL y la pretensión de Facebook de convertirse en un login único para otras aplicaciones.

Al cabo de una hora dicha entrada estaba recibiendo un número espectacular de visitas. Miles de usuarios estaban viendo ese post y además estaban dejando comentarios!!

Los comentarios decían cosas como éstas:

• ok cool now can I get to facebook
• The new facebook sucks> NOW LET ME IN.
• when can we log in?
• I just want to sign in…………
• I just want to log in to Facebook – what with the red color and all? LOLLLOLOL!!!!!111
• I JUST WANT TO LOGIN IN TO FACEBOOK!

¿Qué es lo que estaba sucediendo? ¿Cómo es posible que tantos usuarios estuviesen confundiendo Facebook con un artículo hablando sobre Facebook en un blog de tecnología?

La explicación está en Google y la página de resultados de este buscador. Una búsqueda en Google de los términos “facebook login” estaba mostrando entre las primeras entradas este artículo sobre el “one true login” de Facebook. Así que muchos usuarios pinchaban en dicha URL, veían una imagen con el icono de Facebook, ignoraban el resto del contenido que aparecía en su pantalla (?) y esperaban acceder a Facebook.

Al no lograr acceder descargaban su frustración en los comentarios.

El autor del post acabó por incluir una nota que decía así:

Sin dejar de pensar en que es realmente gracioso, uno se da cuenta de por qué Facebook tiene 400 millones de usuarios. Facebook es inmensamente popular y eso implica que un porcentaje importante de los usuarios de esta red social (millones de usuarios) no tienen unos mínimos conocimientos de informática (como para escribir facebook.com en la barra de direcciones de su navegador, ni para utilizar los bookmarks de su navegador), pero sí los suficientes para encender el ordenador, utilizar Google y acceder a Facebook.

Actualmente Internet es utilizada por millones de usuarios y el hecho de que haya llegado al gran público es un éxito. A veces, los frikies que nos dedicamos a trabajar en tecnologías de la información no somos conscientes de este hecho, pero es un hecho incontestable.

Y vosotros diréis, ¿Cuál es la relación de este suceso con los aspectos de seguridad?

Cuando he visto esta noticia a mí se me ha venido a la mente el difícil equilibrio entre seguridad y usabilidad. Por ejemplo me acuerdo de las implicaciones desde el punto de vista de la seguridad y de la psicología de la respuesta a los ataques de phishing.

La respuesta fundamental que se ha dado tradicionalmente para luchar contra el phishing es la educación de los usuarios. Un ejemplo de este intento de educar a los usuarios se puede encontrar en el Anti-Phishing Working Group (http://www.antiphishing.org/).  Por cierto que Telefónica es miembro de este grupo de trabajo.

Pues bien, en la página http://www.antiphishing.org/consumer_recs.html se dan algunas recomendaciones para evitar caer víctimas del phishing. Yo las leo, las entiendo y a pesar de ello me doy cuenta de lo incomprensibles que deben resultar para un usuario común. Existe una versión más simple y más “usable” de estas recomendaciones en http://education.apwg.org/r/en/index.htm. Veámosla en la siguiente figura.

La verdad es que este resumen está mucho mejor que la lista de recomendaciones de la URL anterior que usa una jerga técnica poco comprensible. Sin embargo, cuando veo el punto 4 que dice “teclea la dirección del sitio web en el navegador” me doy cuenta de que incluso esta lista tan simple de 6 puntos quizás sea “pedir demasiado” para millones de usuarios comunes de Internet.

Y no es que lo diga yo, sobre la dificultad de establecer recomendaciones para evitar ser víctimas del phishing también ha escrito un experto en seguridad tan reconocido como Ross Anderson (explicándolo mucho mejor que yo, of course) cuando habla de educación de los usuarios dentro del apartado de medidas contra el phishing en su libro Security Engineering 2ed pag 45 que dice:

Banks have put some effort into trying to train their customer to look for certain features in websites. This has partly been due diligence -seeing to it that customers who don’t understand or can’t follow instructions can be held liable-  and partly a bona fide attempt at risk reduction. However, the general pattern is that as soon as customers are trained to follow some particular rule, the phisherman exploit this, as the reasons for the rule are not adequately explained.

Un poco más adelante completa la argumentación diciendo:

The countermeasures become so complex and counterintuitive that they confuse more and more users -exactly what the phishermen need. The safety and usability communities have known for years that ‘blame and train’ is not the way to deal with unusable systems- the only remedy is to make the systems properly usable in the first place.

La lección que uno aprende de todo esto es que nos queda mucho camino por mejorar y que el objetivo es conseguir que las medidas de seguridad sean realmente intuitivas y fáciles de usar, que un niño de cuatro años pueda usarlas. Mejor todavía en un mundo ideal las medidas de seguridad deberían ser tan transparentes que el usuario ni siquiera fuese consciente de que están ahí, de modo que un abuelo de 85 años no necesitase saber nada para navegar de forma segura en Internet.

En primera instancia los buscadores como Google deberían intentar que los resultados de las búsquedas sean realmente relevantes para el usuario  y que los primeros resultados no sean enlaces repletos de malware que han sido colocados artificialmente en los primeros puestos del ranking de búsquedas por cibercriminales como estos casos:

• http://isc.sans.org/diary.html?storyid=8383
• http://www.sophos.com/pressoffice/news/articles/2010/03/hackers-exploit-oscars.html
• http://isc.sans.org/diary.html?storyid=8425

Todos ellos casos muy recientes de marzo de 2010.

Tanto los proveedores de acceso a Internet como aquellas empresas que prestan servicios online, como es el caso de Telefónica, deberían esforzarse más en que los servicios sean fáciles de usar y también en que las medidas de seguridad estén bien integradas con el servicio.

Esto implica dedicar más recursos a las pruebas de las aplicaciones online. Dichas pruebas deberían cubrir tanto los aspectos de seguridad  como la usabilidad, viendo estas dos vertientes como complementarias y no como antagónicas. En el primer caso el punto de vista es el de un usuario potencialmente malicioso, mientras que en el segundo caso se adopta el punto de vista de un usuario poco hábil con la tecnología. Al fin y al cabo una aplicación online deberá estar preparada para enfrentarse tanto a usuarios de un tipo como del otro.

En fin, que los que nos dedicamos a temas de seguridad tenemos mucho trabajo por delante.

Limpieza de buffer. Una lista de alertas, noticias y artículos interesantes que corren el peligro de caer en el olvido:

• “Cloudhopping“: Twitter to connect directly to mobile carrier networks in countries all over the planet
• “SaaS is here to stay, says Gartner“, Computer Weekly
• “Remote Health Care: Body Parts Make Phone Calls“
• “Social TV“: ¿cómo unir la TV y las redes sociales para que al usuario le parezca de verdad un servicio atractivo? Un artículo interesante en el blog del ILP-MIT comenta una experiencia sobre social TV (user=telefonica, passw=distritoc)
• Tip-full presentation on how to build a 1 M user service: “From Zero to a Million Users – Dropbox and Xobni lessons learned“
• “Why Twitter Is the Future of News“
• Presentación del proyecto SmartSantander que lidera Telefónica I+D. Esta es una de las múltiples referencias de la prensa.
• “Platform shifts Mainframe to Mini to PC to Mobile. Why leaders fail to make the shift“
• “Alliance of Wi-Fi and WiGig Standards in 60 GHz“
• “Visa, Apple aim to simplify transactions with wireless iPhone payments“
• “African Churches Use Mobiles to Reach Their Members“
• La importancia del canal retail para la venta de terminales móviles:  “Google deja de vender su móvil Nexus One por internet tras fracasar en este canal“
• “Software that Learns by Watching” KarDo learns how to perform common IT support tests by observing what the experts do.
• “How IBM innovates“
• Hasta Negroponte y su iniciativa benéfica OLPC (One laptop per children) se pasa al tablet: “Marvell backs ambitious $100 OLPC tablet“
• “Mobile Data: A Gold Mine for Telcos” A snapshot of our activities, cell phone data attracts both academics and industry researchers
• ‘The times are a changin’: “Bill Gates Told Steve Jobs About the iPad in 2007“ Watch Señor Bill Gates describing the future of computing, with Apple CEO Steve Jobs next to him: An iPad-like device being used alongside an iPhone-like device. Then watch Jobs saying that, actually, the future was the PC.
• “Mobile operating systems and browsers are headed in opposite directions”
• “Cable Company Makes a Move on Internet Video”
• “For some companies, IE6′s ineptitude is a feature, not flaw“

Por Jose Enrique López

Sin ánimo de tratar de redefinir el término “huella 2.0″, podemos entenderlo como la serie de pistas que, sobre nosotros mismos, vamos dejando en Internet bajo la forma de cuentas en sites, contenidos que subimos, búsquedas lanzadas, etc. A estas habría que añadir otras menos obvias como las citadas en el post “¿Cómo de anónimos somos realmente?“, que hacen referencia a nuestro historial de navegación y las posibilidades de consulta por parte de terceros que tiene. Esta huella 2.0, recopilada convenientemente, podría llegar a identificarnos, o al menos, podría llegar a ser utilizada para dar respuesta a preguntas sobre nuestra condición, nuestros gustos o nuestra pertenencia a grupos, por poner algunos ejemplos realmente inquietantes. Es decir, un tremendo dolor de cabeza para los que se preocupan de la privacidad en Internet.

Pues bien, hoy presentamos una nueva de estas “pistas”: la “firma única” que se puede extraer de nuestro navegador cuando surfeamos por ahí.

Ciertamente, se podría pensar que el navegador de uno es prácticamente idéntico al de miles y miles de otros usuarios, pero por lo visto no es así cuando nos ponemos a echar un vistazo en la información del sistema operativo que es accesible a través de él, en los plug-ins que lleva instalados, en ciertos datos de configuración públicos y otros datos aparentemente inofensivos, desde el punto de vista de la privacidad, como el tamaño de la pantalla. EFF (una asociación independiente para la protección de los derechos de los usuarios en Internet), tiene un servicio web llamado Panopticlick, que pone de manifiesto que la información que se puede extraer de nuestro navegador, sin necesidad de comprometerlo, ya es suficiente como para que actúe como una firma única allá donde se navegue con él (de ahí a hacer un compendio de nuestros hábitos de navegación hay un paso).

El resultado del test de Panopticlick invita a la reflexión, pues aplicado sobre el navegador del autor de este post ha arrojado la siguiente información:

“Your browser fingerprint appears to be unique among the 597,411 tested so far. Currently, we estimate that your browser has a fingerprint that conveys at least 19.19 bits of identifying information.”

Es decir, que esta gente asegura que la firma de mi navegador ¡es única! entre casi 600.000 que han cotejado, y que mi navegador ofrece alegremente casi 20 bits de información que permiten identificarlo unívocamente.

Esto no es ciencia ficción, pues técnicas similares ya son usadas por empresas de publicidad… ¡y todo eso sin que nuestro navegador esté comprometido! Parece evidente que desabilitar cookies hace mucho tiempo que dejó de ser una medida suficiente, por lo que los navegadores debería empezar a diseñarse para que fueran menos “chivatos”: Da miedo pensar que estos mismos navegadores van a convertirse en verdaderos sistemas operativos cuando empiecen a trabajar en serio sobre aplicaciones Cloud…

Periodicamente las principales empresas tecnológicas publican sus ideas y visiones del futuro bajo la forma de videos que tienen tanto de inspiración como de publicidad. Al igual que la ciencia ficción, estos videos tienen una doble función: muestran nuevos servicios y dispositivos en un concepto de uso real, y sirven de inspiración para otros, poniendo como referencia en la tendencia a quien hacia la propuesta.

Los conceptos de alcance más futurista son los de la empresa TAT (vía “Conceptos: Futuros escenarios“). El primero muestra un “día normal en 2014″ con interfaces ubicuas, táctiles, pantallas extensibles y transparentes (cuánto debemos a “Minority Report”):

El segundo, presenta interfaces basados en proyecciones semicirculares con los que se interactúa con gestos y el cuerpo entero (el uso de realidad aumentada está implícito):

Holographic Interface – round interface – Ringo from Ivan Tihienko on Vimeo.

La fundación Mozilla, que está tras el desarrollo del navegador Firefox, muestra en este video su concepto de teléfono móvil con acceso a Internet: el SeaBird (“Concept Series: Seabird – A Community-driven Mobile Phone Concept“), que tiene además el aliciente de ser un concepto desarrollado colectivamente.

Más que conceptos, los siguientes son prototipos en los que se muestran funcionalidades que podrían estar disponibles en un futuro inmediato. Por ejemplo, Nokia propone una evolución en las pantallas táctiles, en forma de interfaces que generan una textura que se puede percibir (“Nokia touchscreen creates texture illusion“):

La última propuesta es de Fujitsu, y consiste en la combinación de la pantalla táctil de los smartphones occidentales, con la clásica modalidad “clamshell” de los japoneses. El resultado en un teléfono “concha” doblemente táctil (“Smartphone concept doubles down on touchscreen power“):

Otros artículos sobre conceptos y prototipos en La Cofa:

• Imaginar el futuro
• CLR XV
• Un AMIGO en el hogar