El blog de los empleados
de Telefónica I+D

Autor: Francisco Jesús Gómez

Los días 13 y 14 de Diciembre se celebró en Madrid la V jornada STIC del CCN-CERT

El CCN-CERT es el centro de respuesta ante incidentes dependiente del Centro Nacional de Inteligencia (CNI), creado como Capacidad de Respuesta ante Incidentes de Seguridad y como CERT Gubernamental encargado de velar por la seguridad de los sistemas de toda la Administración.

Quizás esta definición no sea lo suficientemente clara. Para ayudarnos a comprender que es un CERT la web del CCN-CERT nos ofrece la siguiente definición:

El término CERT proviene de las siglas en inglés Computer Emergency Response Team y viene a definir a un equipo de personas dedicado a la implantación y gestión de medidas tecnológicas con el objetivo de mitigar el riesgo de ataques contra los sistemas de la comunidad a la que se proporciona el servicio. También es conocido por las siglas CSIRT (Computer Security and Incidente Response Team) y ofrece servicios de respuesta ante incidentes y de gestión de seguridad.

El primer CERT se creó en 1988 en la Universidad Carnegie Mellon, en Estados Unidos (propietaria de esta marca registrada), y desde entonces han ido creándose este tipo de Equipos en todo el mundo y en distintos ámbitos de la sociedad (Administración, Universidad, investigación, empresa, etc).

Más información en CCN-CERT FAQ.

Las jornadas estuvieron orientadas a la puesta en común del trabajo realizado por el CCN-CERT y todas las administraciones públicas. Según indican en la presentación de la jornada: “Durante los últimos cinco años, las jornadas STIC CCN-CERT se han convertido en una cita ineludible del personal de la Administración para la puesta en común de conocimientos, el análisis de las amenazas y el estudio de las soluciones y tendencias con las que hacer frente a estos ciberataques.“

Las jornadas no fueron de libre acceso, e incluso la primera jornada estuvo limitado el acceso a personal de la administración pública.

En esta quinta edición se presentó el Esquema Nacional de Seguridad y se trataron temas relacionados con Denegación de Servicio, sistemas SCADA, compromiso de información, APT, protocolos en infraestructuras críticas e incluso el eDNI. En la mesa redonda titulada “Necesidad en la coordinación de gestión de incidentes” han colaborado los CERTs: Andalucia-CERT; CCN-CERT; CESICAT; CSIRT-CV; INTECO-CERT; IRIS-CERT.

Este año Telefónica Digital tuvo presencia en este evento por partida doble: David Barroso y dos miembros del Equipo de Hacking, Carlos Díaz y Francisco Gómez, han tenido la oportunidad de participar tratando temas relacionados con los ataques de denegación de servicio distribuidos (DDoS) y las medidas que se pueden tomar para mitigarlos, y las capacidades de protocolos claves de Internet como el DNS en las “botnets” y el cibercrimen.

https://www.ccn-cert.cni.es/index.php?option=com_content&view=article&id=2583&Itemid=198&lang=es

Autor: Wsewolod Warzanskyj

En los últimos tiempos van saliendo noticias que hablan de “agujeros negros” en las comunicaciones radio, así como la posibilidad teórica de aumentar la capacidad del espectro radioeléctrico empleando “vórtices” radio. La lectura de las noticias resulta complicada, y más complicada aun la lectura de las referencias técnicas que explican los conceptos, ya que rápidamente se entra en teoría electromagnética y surgen como hongos ecuaciones vectoriales. El propósito de esta nota es intentar explicar qué es eso de los vórtices radio, y qué significa desde un punto de vista teórico y práctico el aumento de capacidad de transmisión radio al que se hace referencia.

Es bien conocido que hay fibras ópticas monomodo y multimodo. Y quizás algo menos conocido el hecho de que en las guías de onda, en los terremotos y en el sonido debajo del agua las ondas se pueden propagar de diferentes maneras. Estas diferentes maneras se llaman modos. Se puede decir incluso que diferentes modos son ondas diferentes, que se transmiten juntas.  Y ¿por qué puede haber diferentes modos? Porque la naturaleza está hecha así, y si se resuelven las ecuaciones que definen la propagación se obtienen conjuntos de soluciones, cada solución correspondiente a una manera diferente de respuesta del medio.

Pues con esta introducción, lo siguiente no debe sorprender: en el espacio libre las ondas se pueden propagar también con modos diferentes. Este es un hecho muy conocido en el campo de la óptica, pero no tan conocido en el de la radio. Y no es tan conocido porque generar y extraer estos modos diferentes en las ondas electromagnéticas requiere antenas de un tamaño muy superior a la longitud de onda. Una excepción es la de la polarización: la polarización vertical es un modo, y la horizontal otro. Y en los enlaces fijos de microondas se lleva más de cincuenta años doblando la capacidad de transmisión emitiendo en las dos polarizaciones diferentes, porque cada modo es independiente y se puede separar. No se puede hacer lo mismo en comunicaciones móviles, pero esto daría para otra entrada al blog.

Hace ya más de quince años estos diferentes modos en el espacio libre (diferentes de la propagación de toda la vida, la onda plana) se pusieron de moda en el campo de la óptica. Y ha sido cuestión de tiempo que alguien haya querido experimentar con ellos en el campo de la radio. Y por fin han conseguido hacer un experimento, al que hace referencia el hipervínculo del primer párrafo. Ha sido un experimento heroico, con una antena de dos modos muy artesanal, y por supuesto sin posibilidad de aplicaciones prácticas, pero experimento pionero y por tanto muy meritorio. Para el lector interesado, estos modos reciben el nombre de Laguerre-Gauss.

El nombre de vórtice se asocia a estos modos porque presentan la propiedad de que en el eje de propagación el campo electromagnético es nulo. Y gente con imaginación ha equiparado este nulo con un “agujero negro”, que obviamente no lo es tal. Ha habido gente imaginativa con sentido del negocio que también ha dicho “y con esto podemos aumentar muchísimo la capacidad de la radio, sin tener que comprar más espectro”. Esto también es incorrecto. Dejando aparte los problemas asociados al tamaño de una antena que soporte en las longitudes de onda radio varios modos de Laguerre-Gaus, lo que eventualmente se podría obtener es una antena muy grande con varios conectores de salida, y por cada conector de salida se obtendría la señal proviniente de un modo diferente. Una especie de generalización de la multiplexación por polarización. Y, por supuesto, esto sería eventualmente (es decir, con mucha dificultad y coste) posible en radioenlaces fijos. En comunicaciones móviles no.

En consecuencia, no podemos recomendar a las operaciones que dejen de comprar espectro por la existencia de los modos de Laguerre-Gauss.

Desde hace un tiempo se viene observando que una preocupación de los operadores es mejorar la calidad de experiencia que ofrece su red a los usuarios. Para conseguirlo, tienen que cambiar cosas: los operadores han de huir del esquema tradicional de enfocar sus procesos a criterios de calidad de servicio y enfocarlos en calidad de experiencia.

En este sentido, Verizon ha lanzado la idea de mejorar la calidad de experiencia de los usuarios de su red para determinadas aplicaciones, pagando un extra por esta mejora en el servicio. Es decir, si un usuario está cursando un servicio y las condiciones se degradan de forma que la calidad de experiencia es muy mala, tendría la posibilidad de dar a un botón que haría que en la red se reserven más recursos para este usuario, y de esta forma se mejoraría su calidad de experiencia.

El modelo de negocio podría ser cobrar al usuario con cada transacción, es decir, cada vez que quieran una conexión de mejor calidad, o que los usuarios dispongan de una bolsa de créditos cada mes por las que hayan pagado un precio fijo y que los puedan gastar cuando consideren.

Esta aproximación resulta atractiva puesto que ofrece la posibilidad de mejorar la calidad de experiencia en redes móviles. Pero hay tener en cuenta la demanda de dicho servicio:

¿Está la gente dispuesta a pagar por esto? Este mecanismo da la posibilidad de mejorar la calidad de experiencia a la vez que supone ingresos extra para el operador. No obstante, la experiencia suele mostrar que la gran parte de los usuarios no están dispuestos a pagar más si existe una opción más barata. Con lo cual, para que el modelo tenga éxito hay que ver cuál es el segmento de usuarios que estaría realmente dispuesto a pagar más por este tipo de soluciones y que el servicio no afecta a la neutralidad de red.
La noticia completa sobre los planes de Verizon se puede encontrar aquí.

Autor: Wsewolod Warzansky

El IEEE acaba de publicar un nuevo estándar, el IEEE 802.11z. El estándar define cómo establecer comunicaciones Wi-Fi directas entre dos terminales que están conectados a un mismo punto de acceso, sin que se pierdan las conexiones con el punto de acceso. En terminología de comunicaciones celulares esta capacidad se denomina Device To Device, D2D.

Esta capacidad es una larga aspiración del organismo de estandarización de comunicaciones móviles celulares 3GPP. Se intentó con el UMTS, con el nombre de Opportunity Driven Multiple Access, pero no salió adelante. Y ahora se intenta introducirla en la release 11 del 3GPP, como parte de LTE advanced, y si no en la 12. Las ventajas de este tipo de conexión son evidentes: bajo el control de un punto de acceso se establecen comunicaciones entre dos terminales, sin que el tráfico tenga que pasar por el punto de acceso. Si los terminales están próximos entre sí y lejos del punto de acceso se agilizan mucho las comunicaciones, y no hace falta quitar recursos (tiempo de transmisión) al punto de acceso para que los terminales se comuniquen.

Obviamente, establecer este tipo de conexiones directas entre terminales es más facil en Wi-Fi que en un sistema celular, porque Wi-Fi no se preocupa de asuntos como traspasos, que son lo que realmente diferencian a un sistema celular de un sistema punto a punto como el Wi-Fi. Pero el hecho de que el IEEE haya conseguido la estandarización es ya un triunfo, y sin duda espoleará al 3GPP a que haga algo similar en LTE-Advanced.

La noticia se puede leer aquí.

Autor: Luis Cucala

Según parece Huawei ha anunciado que dispone de prototipos de equipos LTE que funcionan en los llamados “Espacios Blancos” (la bandas de frecuencia empleadas por la televisión, pero que en una región concreta no están siendo usadas). Estas noticia hay que leerla con cierto escepticismo, pues dicen que son equipos de laboratorio y esperan hacer pruebas a mediados de 2012, lo que normalmente quiere decir que todavía no tienen nada, pero al menos indica hacia dónde va la industria, y es hacia la aplicación de LTE en los Espacios Blancos.

Hasta  la fecha solo existe un estándar radio ya aprobado para trabajar en los Espacios Blancos, y es el IEEE 802.22.1. Este estándar tiene sus particularidades, pues está específicamente diseñado para el mercado americano, donde la televisión digital sigue el formato ATSC, de modo que los dispositivos tipo 802.22.1 radian una señal que es fácilmente detectable por los llamados “usuarios secundarios” del espectro de televisión americano, los micrófonos sin hilos. Por otra parte, la modulación empleada por 802.22.1 (espectro expandido por secuencia directa, o DSSS, el mismo que se emplea en UMTS) no permite asegurar velocidades muy elevadas en entornos donde hay muchos trayectos de propagación. En cuanto al control de acceso al medio radio (capa MAC) se basa en procedimientos de contención tipo RTS (Request to Send) y ACK’s, de forma similar a cómo se hace en Wi-Fi, de forma que no hay una verdadera gestión de los recursos radio. Larga vida al 802.22.1 pero probablemente solo se usará en EE.UU.

Hay otro estándar en la cocina de IEEE, el 802.11af, que todavía no ha sido publicado. En este caso se trata básicamente de una Wi-Fi 11n (misma modulación OFDM, parámetros muy similares) ajustada para funcionar adecuadamente en entornos de exteriores amplios, donde hay muchos caminos de propagación (entrando en detalles, lo que se ha hecho es alargar la longitud del prefijo cíclico, lo que permite separar diferentes trayectos, a costa de reducir la velocidad de transmisión). Eso sí, su alma sigue siendo la de un Wi-Fi 11n, de modo que no hay una gestión centralizada de los recursos radio, el acceso de los terminales se hace por contención, y cuando un terminal se hace con el uso del medio radio emplea todo el ancho de banda espectral, independientemente de si las condiciones de propagación son buenas o malas.

Y por fin tenemos el estándar LTE, específicamente diseñado para dar conectividad en zonas amplias, resistente al multitrayecto, donde el acceso al medio radio se hace de  forma ordenada, donde un eNodo B concede exactamente los recursos necesarios para una transmisión, ni más ni menos y en el momento adecuado, y que permite asignar recursos en la frecuencia y en el tiempo, de modo que dos terminales pueden estar trabajando a la vez, cada uno en las frecuencias con mejores condiciones de propagación en ese momento.

¿Quién ganará la competición por ser el interfaz radio en los Espacios Blancos? ¿3GPP o IEEE? Las bazas técnicas de LTE son muy buenas, pero normalmente no es eso solo lo que importa.

Autor: Carlos Plaza

En las últimas semanas, nuevas páginas web- como Wired-, blogs y expertos en seguridad (como Bruce Schneier) se hicieron eco del documento publicado por dos científicos acerca de cómo habían sido capaces de reunir 20Gb de mensajes enviados a direcciones equivocadas durante un periodo de 6 meses, simplemente mediante la compra de 30 dominios con una ortografía similar a las de las conocidas compañías ( Fortune 500) y dirigiendo cualquier mensaje entrante hacia un servidor de correo que simplemente los aceptaba y almacenaba . Según los autores, algunos emails contienen información delicada como contraseñas, información personal, secretos comerciales… Solo una de las compañías Fortune 500 se percató de lo que estaba ocurriendo y amenazó con tomar medidas legales.

Aunque los investigadores estén relacionados con una  empresa comercial que ofrece soluciones de seguridad, lo cual podría despertar suspicacias, la descripción y eco del trabajo merece credibilidad.

Typo-squatting– aprovecharse de los errores ortográficos, por ejemplo, telfonica.com, tal y como se muestra en la figura de abajo- ha sido común durante bastante tiempo, del mismo modo que el cybersquatting (registrar la web con la ortografía correcta por alguien que no esté relacionado con el dueño de la marca): tales dominios son comprados por personas que no están relacionadas con la organización de confianza, e intentan obtener beneficios colocando publicidad, distribuyendo malware y spam, o buscando que la organización compre el dominio.

Los autores se han aprovechado de los subdominios de segundo nivel que las empresas establecen con unos objetivos concretos, como support.company.com y han comprado dominios sin el punto; por ejemplo supportapple.com en vez de support.apple.com. Estos dominios se llaman “Doppleganger” (si sentís curiosidad por el significado de esta palabra de origen alemán, podéis  echar un vistazo en Wikipedia).

El problema puede agravarse en un futuro, ya  que en 2012  va a aumentar dramáticamente el numero de los 22 dominios de primer nivel   http://rightofthedot.com/the-future-of-tlds/ .

Teniendo en cuenta que el experimento se ha realizado en un modo pasivo- recogiendo los correos recibidos-, se pueden tener resultados más devastadores a través de ataque activos:

-Enviando correos haciéndose pasar por el personal de la organización atacada, ya sea pidiendo información, enviando un ataque de phising o malware.

-Un ataque de “hombre en el medio”, al que los autores llaman “hombre en el buzón”; se requieren 2 dominios  de tipocybersquatting , tal y como se muestra en el siguiente dibujo:

¿Cómo pueden las organizaciones evitar esos ataques? Podemos pensar en varias soluciones, pero lo sorprendente es que no se adoptan frecuentemente- ya sea porque no las incluyen los sistemas afectados o porque los administradores no las configuran-:

-       Comprando todos los dominios que pueden verse afectados por el cybersquatting. Sin embargo es muy probable que no se tengan en cuenta todas las combinaciones- más aun cuando se establecen nuevas direcciones de según nivel: apoyo, ventas…- Bankia, nuevo banco en España, registró 104 dominios antes de su apertura en Marzo del 2011 (y es probable que no  tuvieran en cuenta el problema de cybersquatting).

-       Si los dominios ya están reservados, o se detecta una página web del tipo de cybersquatting , rellene una Política de Resolución de Disputas por Nombres de Dominio (UDRP) para conseguir el dominio.

-       La aplicación de reglas más estrictas por parte de las autoridades encargadas del registro de dominios-  esto está fuera del alcance de las organizaciones afectadas aunque pueden hace presión en países donde las reglas son débiles-.

-       -Los autores de la investigación recomiendan a las empresas configurar sus redes para bloquear los falsos dominios en los DNS y el envío de correo hacia esos dominios.  Otra solución puede ser un DLP (prevención de pérdida de datos) que monitoriza el tráfico y detecta la difusión de información a una dirección inusual.

- Encriptando los correos, de tal manera que no se revele información-solo la dirección del remitente- si se envían a un destinatario no deseado. Sin embargo, se necesita un sistema de encriptación- por ejemplo un PKI (clave pública), o sistemas de IRM ( gestión de derechos) , con la complejidad inherente en el uso y gestión de claves.

-Utilizar las propiedades para autocomplementar mediante MS Exchange o de un complemento para exploradores https://addons.mozilla.org/en-US/firefox/addon/url-fixer/

Autor: Valentín Alonso

Los juegos en red han ido mejorando sus prestaciones poco a poco con títulos con una temática clásica pero logrando cada uno tener personalidad propia. Dentro de este segmento de juegos de acción multijugador destaca  la saga Battlefield que con su próximo lanzamiento el 27 de octubre [1] está ya marcando un hito antes de su lanzamiento. No en vano  el poder interactuar con el entorno y la posibilidad de utilizar todo tipo de vehículos  junto con el “team chat”  y tácticas de equipo han sido una de las marcas diferenciales de esta saga.

La tecnología de autenticación, seguridad y anti-trucos que rodean este tipo de aplicaciones es impresionante,  existiendo un mercado paralelo de programadores vendiendo “mejoras”  para el “software” de las compañías oficiales.

Como novedad  Battelfiled utilizará la tecnología  “online pass” para autenticar el juego.

Paralelamente  empiezan a aparecer  los primeros prototipos  de lo que serán los recreativos del XXI   siendo estas empresas  unos clientes potenciales  importantes para las operadoras.

[simulador Battlefield 3]

Dentro de este sector  la necesidad de  comunicaciones de alta velocidad,  servidores  de  “puntos neutros “ para compensar la latencia entre todos los jugadores , etc..   generará en los próximos meses/años  una nueva generación de empresas dedicadas a organizar partidas  para particulares, empresas   y  se organizarán torneos  nacionales e internacionales   con un nivel muy superior al existente actualmente.

La experiencia de usuario puede ser tan impresionante como se muestra en este video:

¿Qué empresa de tecnología no querría tener un demostrador como este en su laboratorio de demostraciones?

Autor: Paulo Villegas

Advertencia: Aunque he intentado no estarlo, estadísticamente hablando lo más probable es que esté sesgado. Sin embargo, espero que la argumentación sea válida incluso a pesar de los sesgos.

El principio de neutralidad de la red es un tema bastante polémico, donde abundan razones políticas y económicas, y con fuertes posturas (y a veces cambiantes) por actores clave en el área de Internet. Es el tema general de este artículo, pero no voy a abordar sus fundamentos. Me voy a centrar más bien en un aspecto concreto: su asociación con la metáfora del “dumb pipe”, aplicado para calificar las redes de datos (sobre todo las de Internet). Y voy a calificar esa metáfora como errónea (al menos en su formulación estándar).

Esta analogía del “dumb pipe” es en la actualidad omnipresente, sea para utilizarla como argumento o para posicionarse en contra. En esencia es tan solo una aplicación a la red de comunicación de conceptos de las redes de distribución de servicios públicos como energía y agua. Por analogía con estas redes, en las que el distribuidor se limita a transportar los elementos implicados (electrones, moléculas de agua) desde la fuente hasta la demanda, una red de datos considerada un “dumb pipe” debería limitarse a transportar sus elementos de información (bits) de un sitio a otro, sin tomar en consideración alguna qué es lo que contienen. Cualquier servicio de valor añadido se ofrecerá por encima de ese dumb pipe, pero con una separación clara de él, tanto en la operación como en el modelo de negocio.

Analogías que no funcionan

Sin embargo, este símil no responde muy bien en el nivel básico: no se pueden comparar satisfactoriamente los elementos transportados por los dumb pipes originales con los nuevos. En el transporte de agua y energía es imposible distinguir unos “bits” de otros. Por lo tanto el operador no necesita preocuparse del enrutado: su única tarea es mantener el flujo de “tráfico”, pero no interesa lo mas mínimo el origen de los bits que llenan el conducto. Está claro que este no es el caso en una red de datos, que debe garantizar el camino correcto de un extremo a otro para cada bit transportado.

Se puede concluir con ello que los problemas son fundamentalmente distintos, así que las comparaciones habituales del “dumb pipe” no funcionan: son peras y manzanas. La electricidad y el agua pueden ser permitirse ser bobas (aunque están intentando no serlo, véase mas abajo), pero las redes de comunicación necesitan ser complejas, si no no podrían proporcionar el servicio.

Dicho esto, sí que existen sentidos en el que la correspondencia entre distribución de utilities y distribución de datos tiene algún tipo de validez. Pero el efecto neto es convertir el transporte de energía en algo parecido a las redes de datos, no al contrario.

Uno es el concepto de “Smart Grid”, con iniciativas que tratan de “enlistecer” el dumb pipe energético, haciendo que las redes conozcan lo que hay en sus extremos. Las propuestas en marcha eliminarían la “neutralidad de la energía”, permitiendo distintos niveles de servicio  acordados con los clientes, incluyendo negociaciones dinámicas que dependan del actual estado de la red y su situación en el futuro (un cliente podría aceptar un servicio de peor calidad agregada con la posibilidad de una degradación ocasional a cambio de un descuento, y en una situación de congestión la compañía energética asignaría recursos basada en esos acuerdos).

Además, actualmente hay una manera (teórica) en muchos países por los que podrías “elegir” la fuente de tu energía: puedes escoger una compañía eléctrica, y en teoría eso cambia la “fuente” de tus bits energéticos. La mayor parte de la elección se lleva a cabo en el nivel “paperware”: la transmisión energética real no cambia mucho (no se instala ningún cableado eléctrico nuevo en tu casa). En este sentido, tu compañía energética se convierte en un tipo de “operador de energía virtual”, utilizando la infraestructura de tu “última milla de energía” (la del distribuidor) para proporcionar la electricidad.

Además de los costes (algunas compañías energéticas serán más baratas que otras), un criterio utilizado para decidir cuál sería tu proveedor energético podría ser el tipo de producción. Las compañías energéticas dan la descomposición por el tipo de generación y como mezclan distintas formas de producción energética; en teoría, podrías elegir una fuente de energía que vaya acorde con tu gusto (e.g. eligiendo una compañía más “verde”). Sin embargo esta descomposición se calcula a un nivel agregado (comparando la composición de cada empresa con la composición global), así que no se garantiza realmente que la energía que llega a tu casa tenga esa composición. Las partículas electromagnéticas no identifican su origen excepto en extraños experimentos cuánticos (que podrían aportar importantes aplicaciones criptográficas, pero están muy lejos de ser útiles para fines de facturación).

Existe un intento similar de “enlistamiento” en la distribución de gas natural a consumidores. En teoría, también se podría aplicar para el suministro de agua, aunque el agua suele tener una regulación más estricta, con una única compañía abasteciendo tu zona. Además la distribución del agua sigue estando mayoritariamente controlada por el estado (la privatización solo se ha llevado a cabo en unos pocos países, y sigue siendo un tema polémico). También se suele “producir” a nivel más local,  i.e. la fuente y el destino están más próximos, y tiene interconexiones menos densas que el gas o la electricidad (se trata de una red menos conectada).

Una analogía que sí funciona

¿Podemos encontrar una analogía para una red de datos mejor que aquellas que proceden de los “dumb pipes” tradicionales? Claro que podemos. Simplemente tiene que ser un servicio en el que el transporte debe conocer y respetar la fuente y el destino de cada elemento transportado. Se me ocurren por lo menos dos opciones interesantes para este tipo de comparación.

La primera es el servicio de correos (ejemplo evidente, por otra parte). Es claramente un servicio en el que los elementos de información deben viajar entre un origen y destino definido, y cualquier cambio en el destino destruye el servicio.

Cualquier analogía entre Internet y el servicio postal, sin embargo, debe tener en cuenta una diferencia importante en el proceso, el método de facturación: en la práctica habitual de intercambio de información postal es el remitente el que paga todos los costes. Uno de los mayores avances en la historia de los servicios postales fue precisamente la creación del sello franqueado (atribuido principalmente a Sir Rowland Hill , que en 1840 creó el Penny Black o Penique negro para el servicio de correos en Reino Unido). Antes del despliegue de los sellos postales, el correo lo solían pagar los destinatarios (fuente de numerosos problemas para el servicio);a partir de ese momento el sistema cambió y eran ahora los remitentes los que pagaban. Esto no se parece mucho a Internet (aunque el franqueo en destino también existe, por ejemplo, mediante los sobres con franqueos pre-pagados enviados como respuesta comercial).

Aceptando de todas formas que esta comparación es más justa, ¿podemos ahora utilizar los servicios de correos actuales como ejemplo de neutralidad en la red? Pues sí y no. Es cierto que toda la correspondencia ordinaria se trata en igualdad de condiciones: el servicio universal es un principio fundamental. Las tarifas son también casi fijas (dentro de un rango de destinos). Pero también existen servicios especializados de correos (con un coste adicional) sobre la misma red postal. Por ejemplo, podemos tener una garantía de seguridad adicional (correo certificado) o una mayor rapidez en el envío pagando una tasa. Los correos certificados son ejemplos de “servicios de valor añadido” que utilizan la misma red pero proporcionan garantía (y la prueba) de envío (por cierto que  esto implica que el correo estándar no garantiza el envío, o al menos una limitación de responsabilidad por parte del operador de red).

El correo urgente o exprés ofrece una velocidad mayor que la del envío normal, de nuevo privilegiando ciertos bits dentro de la red postal con un coste adicional (¡el retardo bajo cuesta más!). En estos servicios especializados, los servicios postales corrientes tienen la competencia de las empresas privadas como DHL, UPS, FedEx, las cuales utilizan redes alternativas.

Es también interesante destacar que un servicio universal con tarifas fijas puede ser forzado a establecer límites. Un famoso caso es el del Banco de Vernal, un edificio creado en 1916 en Vernal, Utah (EEUU). Los 80.000 ladrillos que se necesitaron para su construcción fueron enviados por correo (empaquetados en grupos y correctamente franqueados) desde su lugar de producción, a unas 400 millas, con lo que  se aprovecharon de las bajas tarifas en el (por entonces) recién inaugurado Parcel Post Service -servicio postal de envío de paquetes- (sorprendentemente este procedimiento era más barato que utilizar los medios de transporte corrientes para ladrillos). Podríamos considerarlo una demanda insostenible sobre un servicio de tarifa plana, y al menos el servicio postal de Estados Unidos sí que lo consideró así, ya que poco después de hacer entrega de todos los ladrillos pasó una regulación que limitaba el peso total que una única persona puede enviar o recibir por día. Es decir, un límite de transferencia.

Otra analogía más

Nuestro segundo ejemplo está un poco más alejado, pero sigue valiendo como analogía: aquí también es muy importante enviar cada “entidad” específica a un destino único y bien definido. Estas entidades, en este caso, son personas. Y la red, la red de líneas aéreas.

¿Qué hay de las tarifas en este ejemplo? Bien, quien piense que las tarifas de los operadores móviles son complicadas (que lo son) deberían echar un vistazo a las incomprensibles tarifas aéreas. La única pauta real es el intento de maximización del beneficio de la compañía aérea, jugando con la disponibilidad de asientos y costes, y estableciendo restricciones más o menos arbitrarias en tarifas más bajas (con el objetivo principal de mejorar el aspecto de las tarifas más altas, por comparación).

En cuanto a la neutralidad en la red, si seguimos su definición más estricta, que afirma que la red no debe discriminar a ningún usuario contra otro en su uso de la infraestructura, y prohíbe una diferenciación en calidad de servicio basada en las tarifas de acceso, las aerolíneas presentan un ejemplo claro de violación de ese principio. Se suele denominar Business Class. Pero incluso en este caso extremo se mantiene un principio mínimo de  acceso “no discriminatorio” para “contenidos” (destinos), ya que es poco común encontrar un destino de vuelo cubierto solo por asientos de clase preferente. Además, los pasajeros de clase preferente tienen privilegios de ancho de banda (o mejor dicho ancho de asiento), pero no tienen diferencias de trato en el retardo extremo a extremo, ya que todos llegan al mismo tiempo.

Por último, una incorporación más o menos reciente a las redes de aerolíneas es la de las compañías de bajo coste. Éstas representarían el caso de neutralidad absoluta en la red, dado que tratan a todos los clientes por igual: no hay clases preferentes, ni asientos reservados, ni servicios extras. Sus tarifas se basan en el ajuste de costes, intentando garantizar una ocupación completa y quitando todos los extras, sería lo equivalente a una red básica (la “tubería boba” otra vez). Sin embargo, no pueden ofrecer conexiones de largo radio (al parecer las tarifas de bajo coste no pueden hacer frente a las exigencias de los trayectos transoceánicos), y el “principio de igualdad absoluta” también se incumple a veces, con servicios como los de prioridad de embarque. Al parecer, la neutralidad absoluta en la red es demasiado exigente para ser sostenible.

Conclusión

Resumiendo,  podemos extraen tres conclusiones principales: Internet como una “tubería boba” no es tan tonta como parece, las “verdaderas” tuberías bobas (utilities) se están esforzando por hacerse más inteligentes, y las redes que encajan en una analogía de alto nivel con Internet no respetan realmente la metáfora de la “tubería boba”.

Podríamos concluir rebautizando Internet como una “tubería inteligente”. La pregunta lógica sería hasta qué nivel una tubería inteligente  necesita respetar alguno de los principios que están bajo el paradigma de neutralidad de red.

Esa sí que es una buena pregunta.

Autor: Antonio Manuel Amaya

Hace un rato me ha llegado un correo que reproduzco a continuación:

Para que el correo fuese más bonito, hasta le dije al Thunderbird que descargase la imágenes, tras verificar que, efectivamente, la descarga era de la web de la policía. Si bien a primera vista (bueno, a primera vista rápida desde una cierta distancia) el correo puede parecer legítimo, una vez nos ponemos las gafas de leer, el correo es más sospechoso que un duro de madera. No solo la palabra ‘procedimiento’ aparece escrita de tres formas distintas (una incluso correcta), sino que no se han molestado ni en disimular con el ‘adjunto’. Ya avisan de que es un “documiento”, el enlace es a un servidor web externo, y ni se han molestado en esconder el tipo del archivo (SCR).

Claro que, por otra parte, ¿por qué tiene un usuario medio, digamos mi hermana, que saber que SCR es la extensión de los salvapantallas, y que en realidad son ficheros ejecutables a los que simplemente se les cambia la extensión? Particularmente si desde Windows 200 para acá en Microsoft decidieron que eso de las extensiones era una cosa fea y cutre y decidieron ocultarlas.

En cualquier caso, no se trata hoy de despotricar contra la extendida costumbre de confundir ‘facilidad de uso‘ con ‘ocultar la información‘ sin mirar que implicaciones puede tener no mostrar la información. Y, afortunadamente para mi ordenador, mi tranquilidad mental, y posiblemente mi cuenta corriente, yo no soy mi hermana.

Ni siquiera se trata de pensar en la ironía de usar un supuesto correo de la policía para distribuir malware. Supongo que en este caso con lo que juegan más que con la curiosidad o la lujuria de los usuarios es con su mala conciencia de los mismos (posiblemente relacionado con la curiosidad o la lujuria ) y esperarán que cuando reciban el correo pensarán ‘¿que habré hecho?’ y pulsarán rápidamente el enlace sin pararse a leer el texto, ni a pensar que puñetas significará “el procedimiento de investigación de que se trata en esta conducta regional“.

Así pues hagamos un ejercicio de imaginación y pensemos que somos alguien que no sabe lo que es un SCR, y que pulsa compulsivamente en los enlaces que le vienen en los correos. Pero supongamos además que, irónicamente, estamos concienciados de que la red es un sitio peligroso y por lo tanto tenemos instalado un antivirus. Así que, confiando en nuestras medidas profilácticas, pulsamos el enlace, y descargamos el fichero.

¿Que pasará? A juzgar por los dos antivirus que yo tengo en este PC, que el ejecutable será considerado benigno y digno de confianza.

Es más, suponiendo una distribución uniforme de ventas de los antivirus, que tendremos un 88.4% de posibilidades de que el antivirus nos diga que el fichero que hemos descartado es puro y limpio, y que lo podemos ejecutar con total alegría:

Y, para eso, tres de los cinco que lo detectan deben dar falsos positivos a mansalva. Solo dos de los antivirus (cuales es irrelevante) lo identifican como un Troyano/descargador. El resto lo identifica como ‘sospechoso‘ simplemente porque está empaquetado con AsPack, es decir el ejecutable real está comprimido/cifrado dentro del ejecutable descargado. Supongo que en AsPack Software no cabrán en sí de gozo de que todo el software que sus clientes hagan, bueno o malo, sea marcado como sospechoso por algunos antivirus.

Tras esto no me queda otra que inclinarme ante los comerciales de la industria de seguridad. No se me ocurre ningún otro campo en el que se venda un producto profiláctico que consume recursos constantemente, es irritante, y que, cuando de verdad hace falta, falla en un casi 90% de los casos.

Y lo mejor de todo es que visto el enorme éxito que tiene el modelo en los PCs de sobremesa para controlar las infecciones, la industria está lanzada a toda máquina para exportar el mismo modelo hacia los nuevos dispositivos: Una búsqueda de ‘antivirus móvil’ en Google devuelve casi 40 millones de resultados. Y, solo en el primero, hay 38 antivirus para descargar.

Autor: Luis Cucala

Hace poco ha aparecido la noticia de que SFR (segundo operador móvil en Francia) ofrece a todos sus clientes la posibilidad de disponer en sus hogares un femtonodo, sin coste para el usuario. De hecho, en la web de SFR ya se ofrece esa posibilidad; el cliente solicita un femto e inicialmente le cuesta 49€, que le son reembolsados cuando se realiza la primera conexión del equipo a la red.

El femtonodo que instalan está fabricado por la británica Ubiquisys. Según la información disponible en su página web, la solución que ofrecen para entornos residenciales es la llamada G3-Mini, que permite hasta 8 llamadas simultáneas y soporta HSPA. Según la web de SFR, su femtonodo podrá soportar hasta 4 llamadas simultáneas solo, lo cual hace pensar que se trata de alguna limitación impuesta por motivos comerciales.

¿Quiero lo anterior decir que el femtonodo cuesta 49€? No necesariamente. El coste por femtonodo debe incluir el coste del equipo en si, y la parte repercutida de los equipos de red y sistemas de gestión asociados.

Por una parte veamos el coste del femtonodo en si. La información sobre costes de femtonodos es absolutamente opaca, pues nadie puede ir todavía al supermercado y comprarse uno por su cuenta, de modo que es el operador el que adquiere partidas de cierto volumen, con precios que se fijan a partir de múltiples y variados criterios, y los distribuye por su red comercial. El coste del femtonodo depende, entre otras cosas, del grado de integración de su HW; la tendencia ha sido pasar de diseños que emplean múltiples chips, a diseños que emplean un único chipset o SoC (System on Chip), de forma similar a lo que ha sucedido en los puntos de acceso Wi-Fi.

Ubiquisys no fabrica sus chips, sino que se los suministran terceros. Explorando un poco por webs especializadas, parece que inicialmente emplearon chips de Picochip, y que actualmente emplean los de Percello(adquirida por Broadcom). Tirando un poco del hilo vemos que sí, Percello suministra el SoC de Ubiquisys.

Se trata de un encapsulado de los llamados BGR (Ball Grid Array), nada barato de fabricar, y bastante complejo de montar en placa. Este chip es caro, ¿pero cuanto?. Vamos a compararlo con un SoC para Wi-Fi, por ejemplo el BCM4329 de Broadcom y que está instalado en los IPhone 4, IPad, etc, y que tiene un encapsulado similar al SoC femtonodo de Percello. Bien, ¿y cuanto cuesta este SoC de Wi-Fi?. Tampoco aquí podemos ir al súper para saber lo que cuesta, pero hay una web de “hackeadores” de HWque han destripado el Iphone4 y dan una lista de componentes y sus precios (el Iphone4 ya no aparece en su web, si bien yo me descargué el análisis hace un par de meses).

Si nos podemos fiar de ellos, el chipset de Wi-Fi BCM4239 cuesta 7,80 USD (se supone para pedidos de millones de unidades). A esto habría que añadir el coste del “front-end” de radiofrecuencia (pues el SoC de Percello para femto no lo incluye), que puede ser similar al de la Banda Base, y el coste de los pasivos; conclusión, el coste de la interfaz radio en el femtonodo, para cantidades de MILLONES de unidades no puede ser inferior a los 10 USD. A esto hay que añadir como mínimo el coste de los chips de comunicaciones (Ethernet o USB), un procesador de propósito general, antena y caja, además del montaje.

Conclusión, el femtonodo de Ubiquisys podría llegar a valer 49 €, pero si se fabrican millones de unidades, cuando los costes fueran similares a los de un punto de acceso Wi-Fi, gracias a los grandes volúmenes.

En cuanto a los costes repercutidos, un grupo de femtonodos debe conectarse a un nodo de agregación (Access Gateway, de coste desconocido), que en el caso de Ubiquisys no lo fabrican y están asociados a Nokia Siemens Networks, capaz de gestionar varios miles de femtonodos, y es necesario dimensionar el resto del núcleo de red radio para poder absorber el tráfico generado por los femtonodos. También tiene un impacto sobre los costes repercutidos la necesidad de emplear sistemas de provisión y gestión automática de los femtonodos que se instalan, pues si se despliegan por miles no es posible darlos de alta en la red de forma manual. Estas herramientas, si se hacen bien, cuestan mucho dinero. Otra cosa es que no se hagan bien, y el despliegue sea “best-effort”…

Conclusión final; SFR cobra inicialmente 49 € al cliente por el femtonodo y se los devuelve cuando lo activa, probablemente para que no lo guarde en un cajón, y establecer una correlación entre esa cifra de 49 € y el coste real del femtonodo es aventurado.