Tecnologías de la Información y más...

Ayer fue oficialmente mi primer día de vacaciones, en la empresa donde laboro es ya tradición que las últimas 2 semanas de cada año se den de vacaciones. Este fin de semana comencé a explorar alternativas y a leer un poco en internet. Una de mis "tareas" por así decirlo, era la manera de manejar mejor todas mis cuentas en internet. Buscando un poco encontre algunas soluciones interesantes, y entre todas la que mas me convenció fue LastPass. Este servicio basicamente funciona como una boveda para todas tus cuentas, vas almacenando cada una de ellas mientras te vas firmando en cada sitio y cuando regresas a cada sitio el plugin automaticamente llena la información por ti. Hace pocos años esto hubiera sido quizás una solución "exagerada" por ponerlo de alguna manera, pero cada vez mas nos suscribimos a diferentes sitios y servicios y es casi imposible poder recordar las contraseñas que tenemos en cada uno de ellos. Ya alguna vez había tratado de usar una solución de Symantec, pero el hecho que estuviera amarrada unicamente a mi computadora hacía que el servicio NO fuera interesante. Al ser una opción SaaS, practicamente lo hace disponible en cualquier lugar. (El producto Plus "con costo", tiene soporte para casi todas las plataformas, blackberry,iphone,android,windows mobile,ipad).

Pero curiosamente no fue por ninguna de estas características (que esta de sobra mencionar que son muy buenas), que me decidí por este producto, si no porque ofrece una opción adicional para autenticarte. "Two Factor Authentication", lo cual es simplemente utilizar un componente adiciona al ya tradicional (usuario/clave) que ya todos conocemos. Un ejemplo muy claro son los famosos "tokens" o tarjetitas con muchos numeros que nos dan en el banco, los cuales sirven para corroborar que no nos hayan "pirateado" nuestra contraseña. La razón pues es obvia, si aqui voy a tener todo el repositorio de mis contraseñas, es importantisimo que la seguridad sea mas alta que lo normal. Pero aun mejor es que el esquema que utiliza es el de OTP (One Time Password), lo que significa que cada vez que me firmo ademas de mi usuario y clave, genero una clave unica e irrepetible, lo que hace practicamente IMPOSIBLE que alguien pueda entrar a mi cuenta. Esto es posible gracias a un gadget muy interesado llamado Yubikey, el cual es el encargado de generar la clave antes mencionada, con solo presionar un botón.

La verdad es que es super cómodo el utilizar el servicio y no tener que estar recordando cada vez que entro a un sitio las contraseñas, pero el motivo que me llevó a escribir este post fue lo siguiente: El día de hoy Gawker (la empresa detrás de sitios como Gizmodo, Kotaku y Lifehacker, sacó a la luz pública que fueron comprometidas miles de cuentas de sus subscriptores, lo que rapidamente hizo que sitios como twitter y gmail resetearan passwords de sus propios servicios, ya que la base de datos de las cuentas fue publicada, y obviamente muchos de estos usuarios utilizaban el mismo par de usuarios y contraseñas en otros sitios.

A donde voy es que siempre pensamos que eso nunca nos puede pasar a nosotros, que nuestra clave es imposible de adivinar, o somos lo suficientemente ingenuos que todos los sitios en internet, hacen hash de nuestras claves o por lo menos las encriptan, lo cual obviamente no es el caso. En mi caso, estamos hablando de banca electrónica, y servicios de diferente índole (blockbuster,netflix,hulu,pandora,zune,safaribooks,por mencionar algunos), y que sería extremadamente doloroso económicamente ademas de lo latoso de volver a recuperar mis cuentas. La noticia de Gawker fue un baldazo de agua fría para que recordemos que no debemos tomar a la ligera nuestra seguridad en línea.

Me gustaría cerrar este post con recomendaciones para evitar al máximo el robo de identidad, obviamente estas aplican de manera diferente a cada quién dependiendo de lo que esta en juego:

• Nunca utilices la misma combinación de usuario y contraseña en sitios diferentes, esto te protegerá en caso que uno de ellos haya sido comprometido.
• Trata de utilizar contraseñas complejas, más de 7 caracteres, con combinaciones de letras, numeros y caracteres no alfanumericos.
• Cuando exista la opción, utiliza métodos de autentificación adicionales al usuario y contraseña.
• Utiliza servicios como Lastpass para llevar el control de todos tus servicios.
• Nunca confiar que los servicios "la mayoria gratuitos" que utilizamos, tendrán el cuidado necesario con nuestra información.
• Genera una sola contraseña compleja que te sepas de memoria y que sea tu clave maestra.

Esto evento desencadeno que entrando el año, comencemos a realizar pruebas internas de "two factor authentication" para nuestros clientes. En un futuro post les platicaré que tal resultaron.

Me encantaría recibir sus comentarios y opiniones al respecto.

Es increible como la industria del software ha crecido en los ultimos años. De ser una industria a la cual, practicamente "asaltaban", cuando todo mundo simplemente "copiaba" el software y hacía que los margenes fueran muy bajos, hasta el día de hoy donde, las compañías mas grandes del mundo, son de software.

Este desmesurado crecimiento se ha debido en gran parte al real retorno de inversión que existe al usar software, y a la manera en como los empleados son mucho más productivos. Las empresas están en gran medida muy convencidas que para poder crecer necesitan apoyarse en una plataforma de tecnología.

Sin embargo la manera en que las empresas de software están "valuando" su software comercial, está ocasionando que deje de ser tan atractivo el realizar implementaciones. Personalmente no estoy en contra del software comercial, de hecho creo que es lo mas sano, sin embargo el exceso en los cobros, y la manera de medir como cada empresa usa mi software, ocasiona esquemas de licenciamiento MUY complejos y por ende "caros".

El software "comprado" es simplemente una falacia, el 99.9% de los proveedores te "forzan" a pagar tu "mantenimiento/anualidad", bajo pena de que tengas que comprar de nuevo el software al 100% de su valor comercial, y es AHI donde estoy en completo desacuerdo con la industria de software.

Primer punto:

¿Quien le dijo a las empresas que las actualizaciones que consideran importantes lo son para mi?, en muchas ocasiones son modificaciones que ni siquieran aplican a todas las empresas.

¿Si estoy pagando el 100% del valor de mi software, porque me obligas a pagar una anualidad "renta"?. Quizas a mi no me interese actualizarme en 2 o 3 años.... Las empresas que deseen la nueva funcionalidad cada año, pues que la paguen.

Basicamente todas las empresas en plan de mantenimiento estan "financiando" el desarrollo de las nuevas versiones del software para que pueda seguirla veniendo. OJO, se supone que con el pago del software debería de ser suficiente para eso.

Quiero dejar en claro que yo entiendo la posicion de la industria del software, pero también recuerdo lo que le pasó a IBM y porque Microsoft está donde está. El software debe ser accesible y las empresas desarrolladoras se están olvidando de eso.

El pasado martes 26 de Mayo, tuve la oportunidad de platicar un poco acerca del servicio S3 de Amazon, hace ya tiempo que no daba ninguna platica... y para variar tuve algunos problemas con el proyecto y la tarjeta de internet de telcel.... pero bueno esas son ya cosas de esperarse.

Aunque el servicio es interesante y vale la pena conocer un poco de él, mi interés era el de platicar como lo estabamos usando en una empresa Mexicana y lo lógico que suena ya en contexto. No es algo complicado ni rebuscado, es algo que muy fácilmente se puede aplicar y se le puedes sacar provecho desde el primer día de implementado. 

Como dato curioso más de una persona pensó que trabajaba para Amazon, no se si de plano no me pusieron atención o fui muy apasionado en platicar las ventajas que tiene el servicio.

Aqui les dejo el powerpoint (2007), para aquellas personas que les interese.

Descargar presentación

Hace poco descubri que ya se esta ofreciendo en Mexico, El Microsoft Hosted Services para Exchange, Office Communication Server, Sharepoint y CRM 4.0, el servicio lo esta ofreciendo IWS Mexico los cuales son Gold partners de Microsoft y con los que he tenido la oportunidad de trabajar con implementaciones (on-premise).

No estoy seguro si son el unico partner que esta ofreciendo este tipo de servicios, pero por lo menos son de los unicos que estoy enterado. Definitivamente es una ventaja para empresas que desean estar a la vanguardia en tecnologia, sin embargo no cuentan con los recursos para la implementacion de la infraestructura para soportar este tipo de servicios, o no cuentan con un equipo de TI lo suficientemente grande.

Uno de los usos que tambien he pensado en usarlo, ha sido en poder probar primero la adopcion de la tecnologia dentro de una empresa, sin necesidad de hacer la inversion de la compra del software y el hardware necesario. Por ejemplo, el llevar a cabo una prueba piloto de 6 meses o 1 un año y ver si esta es viable dentro de la empresa.

Seria muy interesante que IWS complementara con mas informacion (video y audio), de las ventajas del modelo hospedado, para un mercado como Mexico.

Quizas para unas empresas haga mas sentido que para otras, pero lo importante es que ya existen estas alternativas en Mexico para aprovecharlas.