El Blog de Mavixel

Parte 2: El misterioso caso de la extraña desaparición de TrueCrypt

Ha pasado poco más de año y medio, y la desaparición de TrueCrypt sucedida en la primera mitad del 2014, parece ser irreversible. Recordemos que TrueCrypt era una utilidad gratuita, de código abierto, para cifrar carpetas, archivos o particiones de tu disco duro, compatible con múltiples sistemas operativos.

La desaparición de TrueCrypt sucedió algunos meses después de las filtraciones de Edward Snowden, y tuvo lugar durante una auditoría abierta en la que participaban desarrolladores de todo el mundo para buscar posibles vulnerabilidades. Hay quien afirma que fueron en parte las afirmaciones de Snowden lo que motivó la auditoría sobre TrueCrypt. Más información en una entrada anterior de este blog, véase: "El extraño caso de la misteriosa desaparición de TrueCrypt"

Los creadores de TrueCrypt no sólo permanecen hasta hoy (principios de 2016) en el anonimato, sino que decidieron no liberar el código fuente al abandonar el proyecto, como han hecho otros desarrolladores de código abierto. Sin embargo, como parte de la auditoría de seguridad que se venía realizando sobre TrueCrypt por un grupo internacional de voluntarios, el código estaba disponible para ellos y esto ha permitido la generación de nuevas alternativas de software.

Cabe señalar que, dada la disponibilidad de herramientas como BitLocker (Microsoft) en algunos sistemas operativos (Windows 7, 8 y 10 Enterprise o Ultimate), ya no es tan imperioso contar con algo como TrueCrypt, como lo era hace algunos años.

Sin embargo BitLocker específicamente no ha logrado algo que TrueCrypt podía hacer: interoperabilidad de contenedores cifrados entre múltiples sistemas operativos. Por ejemplo: TrueCrypt permitía cifrar un medio de almacenamiento USB (memory stick o disco duro removible) que por su naturaleza podría ser fácilmente olvidado o robado y abrir dicho medio de almacenamiento tanto en Linux como Windows sin mayor problema.

También existía una versión "portátil" (portable) de TrueCrypt con lo que ni siquiera era necesario hacer una instalación para, digamos, poder abrir un disco duro USB en una máquina prestada. Por ejemplo, al ir de viaje y tener necesidad de acceder a tus archivos en la máquina del centro de negocios de un hotel.

¿Qué alternativas tenemos entonces, si necesitamos un cifrador interoperable que no nos obligue a adquirir las versiones más costosas de nuestro sistema operativo?

Si queremos seguir por la vía del código abierto, algunas alternativas son:

CipherShed https://www.ciphershed.org/
VeraCrypt https://veracrypt.codeplex.com/
TrueCrypt https://truecrypt.ch/downloads/

Examinemos ahora sus relativas ventajas y desventajas.

CipherShed

Este software se desarrolló como una rama (fork) del código fuente de TrueCrypt. Heredó mucho de la filosofía de operación (y el código) de TrueCrypt. La misión de los desarrolladores era corregir las vulnerabilidades (todas menores) encontradas durante la auditoría de TrueCrypt. El formato de los archivos es directamente compatible con TrueCrypt, por lo que hay compatibilidad hacia volúmenes generados con la aplicación anterior.

Para los paranóicos: uno de los principales impulsores del proyecto CipherShed es Jason Pyeron, quien ha trabajado para una de las múltiples agencias de inteligencia del gobierno americano, denominada DISA (Defense Information Systems Agency www.disa.mil). Esto hace que los más desconfiados se pregunten sobre las motivaciones y la integridad de este desarrollador, porque oportunidades para introducir caballos de Troya, las hay. Aún así, el código es abierto y en principio cualquiera puede revisarlo en busca de posibles vulnerabilidades.

Ventajas:

Incorpora las recomendaciones emitidas durante la auditoría de TrueCrypt.
Código abierto.
Compatibilidad directa con contenedores de TrueCrypt.

Desventajas

Requiere compilar las versiones para OS-X y Linux.
El ritmo de desarrollo no parece haber sido tan dinámico como el de VeraCrypt.
Incluso haciendo a un lado las teorías de conspiración, la protección criptográfica parece no ser tan robusta como con VeraCrypt.

VeraCrypt

Este desarrollo surgióinicialmente como una rama del código fuente de TrueCrypt, antes de la desaparición de este último. Sin embargo, casi desde el principio (2013) los desarrolladores decidieron cambiar el formato de los contenedores para mejorar la protección. Esto trajo como consecuencia que VeraCrypt fue (temporalmente) incompatible con los contenedores generados por TrueCrypt y era necesario migrar minuciosamente toda la información que estuviera protegida por el formato anterior. El día de hoy VeraCrypt soporta los dos formatos, para recuperar la compatibilidad, pero el formato preferido (y más robusto) es el nuevo.

Ventajas

Las mismas ventajas de CipherShed, incluyendo compatibilidad con volúmenes creados por TrueCrypt.
La interfaz de usuario es prácticamente idéntica a TrueCrypt.
Incorpora un método criptográfico mucho más robusto para proteger los contenedores (archivos cifrados). Esto está relacionado con el número de iteraciones para la derivación de las llaves, que en TrueCrypt es del orden de mil (1000) y en VeraCrypt es del orden de medio millón (500,000) de iteraciones.
Instaladores pre-compilados.
El ritmo de desarrollo es intenso. Han habido periodos (en el 2015 por ejemplo) en los que se libera una versión nueva casi cada mes. Esto es un indicador del interés por parte de los desarrolladores de VeraCrypt y su comunidad de usuarios.

Desventajas

Un ritmo de desarrollo intenso puede introducir sus propios errores, fallas o vulnerabilidades.
El montaje y desmontaje de contenedores cifrados es más lento que con otras aplicaciones, quizá como resultado de la mejor protección criptográfica.

TrueCrypt

¡Si! ¡Todavía podemos descargar TrueCrypt desde sitios no-oficiales, con una firma hash válida.

Si no somos paranóicos, si no nos preocupa aquello de "TrueCrypt is Not Secure As... " (NSA), o si no tenemos nada que ocultar y lo único que queremos es protegernos de miradas indiscretas o del malandrín que nos asaltó y se robó nuestra Laptop, TrueCrypt puede ser suficiente protección todavía.

Debemos recordar que en la Seguridad Informática no existe la protección perfecta. Sólo existen niveles de protección que pueden, o no, ser adecuados para enfrentar el nivel de riesgo en nuestro entorno. Si el nivel de riesgo es bajo, (¿qué tan paranóicos somos?), entonces el nivel de protección también puede ser bajo.

Habiendo dicho eso, la protección criptográfica de TrueCrypt no ha sido rota en forma pública todavía. Todo son rumores sin evidencia comprobable.

Ventajas

TrueCrypt fue auditado y NO se encontraron vulnerabilidades graves, aunque sí se encontraron fallas.

Desventajas

NADIE está reparando las fallas actualmente. La licencia de código lo impide.
El estilo de programación resultó ser bastante desordenado. La clase de cosas que haría un programador o dos en sus ratos libres. ¿Quizá el esfuerzo de mantener al día TrueCrypt llegó a ser excesivo para sus desarrolladores? ¿Quizá la misteriosa desaparición sólo fue una manera de despedirse con estilo? Quizá nunca lo sabremos.

Conclusión

Si somos algo paranóicos, en realidad tampoco podemos estar seguros de que no se hayan introducido caballos de Troya dentro del código fuente de CipherShed o VeraCrypt. Sólo una auditoría abierta como la emprendida sobre TrueCrypt podría arrojar luz al respecto.

Lamentablemente, al no haber una aplicación predominante en este momento, el esfuerzo de auditar a múltiples aplicaciones podría ser excesivo para la comunidad de desarrollo de código abierto, que lo hizo en forma voluntaria en el caso de TrueCrypt.

Si nuestra necesidad es protegernos de atacantes oportunistas (como un asaltante en la calle, o la persona que hace la limpieza por las noches), entonces cualquiera de las tres aplicaciones anteriores es suficientemente robusta.

Si nuestra necesidad es protegernos de un atacante determinado, VeraCrypt parece ser superior, pero si por "atacante" pensamos en una organización gubernamental, dicha organización también tendría forma de "pedirnos amablemente" que des-encriptemos nuestro sistema de archivos por "las buenas" o si no...

La seguridad perfecta no existe. Sólo podemos encontrar herramientas acordes con el nivel de riesgo percibido.

Truecrypt parecía ser algo fenomenal para enfrentar cualquier nivel de riesgo. Lamentablemente, es poco probable que volvamos a tener algo como TrueCrypt.

Ethernet: ¿algún día podremos deshacernos de este protocolo?

No cabe duda que Ethernet se ha consolidado como el protocolo de interconexión por excelencia. Nos encontramos implementaciones y adecuaciones de Ethernet para todos los medios de transmisión posibles: par trenzado, fibra óptica, redes inalámbricas, así como servicios SDH y SONET.

De ser inicialmente una tecnología para conexiones puramente locales, se ha vuelto una buena alternativa para los proveedores de servicio que desean eficientar sus redes de transmisión y de esa manera poder ofrecer anchos de banda mucho mayores que los ofrecidos por las generaciones tecnológicas anteriores, con velocidades casi arbitrarias y precios más competitivos.

MetroEthernet o Carrier-Ethernet es un ejemplo de utilización de una tecnología, en este caso Ethernet, de manera muy distinta a su intención original de uso. Y esto no es malo.

El día de hoy (México, 2016) es perfectamente posible para una organización contratar servicios de conexión a Internet o interconexión de sitios trabajando a decenas o cientos de Megabits por segundo. De hecho, no hay razón técnica por la que un proveedor de servicio no pudiera ofrecernos velocidades en el orden de los Gigabits o decenas de Gigabits por segundo.

El estándar de 100Gbps para Metro Ethernet fue ratificado por el IEEE en 2010. En estos momentos existen grupos de trabajo dentro del IEEE preparando las versiones para 100Gbps y 40GBbps en par trenzado, así como otro grupo de trabajo discutiendo la implementación de Metro Ethernet a 400Gbps (!).

Con esta sinergia, el uso de Ethernet como protocolo para servicios de redes y telecomunicaciones parece imparable. Resulta interesante quizá, en estos momentos revisar las principales ventajas y desventajas que tiene el que la industria se haya inclinado por esta tecnología.

Algunas de las Ventajas

Simplicidad e interoperabilidad. El protocolo siempre tuvo como objetivo ser simple, fácil de entender, usar, mantener y reparar. Prácticamente TODOS los dispositivos conectables a Internet tienen una interfaz WiFi o de cableado estructurado.
Economía de costos. Su uso extendido ha propiciado un desplome de precios que beneficia al usuario final. En 1985 un adaptador Ethernet podía costar USD$1,000 (¡si! ¡mil dólares!), mientras que 30 años después, en el 2015, costaba apenas unos cuántos centavos de dólar.
Independencia de la velocidad de transmisión. Una misma trama ethernet puede transmitirse (con pequeñas adecuaciones, como en el caso de WiFi o SDH) a velocidades muy diferentes desde el dispositivo originador, a través de la red de transporte y en el dispositivo receptor.
Posibilidad de contratar anchos de banda "individualizados". En el pasado, los ofrecimientos de ancho de banda de los proveedores de servicio estaban restringidos a ciertos niveles inmutables. El día de hoy el menú se ha expandido enormemente. Por ejemplo: antes hubiéramos estado limitados a contratar un servicio E3 de 34 Mbps. El día de hoy podemos contratar servicios de 10, 20, 30, 40, 50Mbps. etc...

Pero También hay Desventajas

Carencia de mecanismos nativos de calidad de servicio. Ethernet por sí sólo no permitía distinguir la prioridad relativa de una trama con respecto a otra. La simpleza de diseño del protocolo vino con un costo en términos de "overhead" cuando quisimos diferenciar niveles de prioridad. El día de hoy inclusive puede ser preferible contratar más ancho de banda (la solución de "fuerza bruta") que implementar niveles de prioridad y calidad de servicio - QoS como el etiquetado 802.1Q (lo que hubiera sido la solución "inteligente").
Carencia de mecanismos nativos de autentificación, cifrado y control de acceso. Nuevamente la simplicidad tuvo un costo. Para poder hacer autentificación y control de acceso necesitamos apoyarnos de protocolos adicionales. Cosas como 802.1X, PPPoE, VLANs, Q-in-Q son necesarias para autentificar al usuario y aislar su tráfico del tráfico de otros usuarios. El cifrado sólo puede hacerse mediante protocolos de orden superior (IPSec o SSL).
Necesidad de enrutamiento individualizado en la red. Ethernet no es enrutable. A diferencia de otros protocolos que contienen un prefijo administrable con información geográfica (ATM, IPv4, IPv6, etc.), los prefijos Ethernet no son fácilmente administrables y los equipos de conmutación (switches) deben construir tablas con la ubicación individual de cada destino posible. En un mundo en el que se prevee la interconexión de miles de millones de dispositivos (Internet of Things), el direccionamiento Ethernet impone necesidades de procesamiento intensas y cada vez más sofisticadas a los equipos de los proveedores de servicio.
Lentitud relativa de los mecanismos de restablecimiento ante fallas. En un mundo en el que 50mSeg de tiempo de desconexión parecen una eternidad, protocolos como Rapid Spanning-Tree (802.1W) y Spanning-Tree (802.1D) resultan asombrosamente insuficientes, con sus tiempos de restablecimiento en el orden de ¡segundos! Es así que algunos proveedores de servicios Metro Ethernet prefieren incluso no habilitarlos y depender de las muy superiores capacidades de SDH y SONET.
En altas velocidades, las limitantes de longitud (1518 Bytes) no aportan mucho beneficio. Sin embargo la necesidad de compatibilidad "hacia atrás" dada por la posibilidad de que una misma trama deba viajar a muy diferentes velocidades no permite extender fácilmente dicho límite.
Ausencia de diversidad. La competencia es buena. Al inclinarnos por UN SOLO PROTOCOLO de red, perdemos de vista los beneficios de otras tecnologías. Al mismo tiempo, cualquier posible debilidad, o deficiencia del protocolo podría permanecer oculta hasta que alguien decida explotarla, afectando a TODAS las variantes de Ethernet (por ejemplo, el ataque ARP Spoofing).

Haciendo un balance

Ethernet está aquí para quedarse, incluso si llegáramos a encontrar un protocolo mejor. De hecho, hace aproximadamente 20 años ya nos encontramos un protocolo con muy superiores capacidades técnicas (ATM - Asynchronous Transfer Mode), pero la economía de escala de Ethernet rápidamente lo desplazó salvo por algunos nichos de utilización que todavía existen en las redes de los proveedores de servicio.

Desde el punto de vista de diseño de servicios, es preferible incurrir en un "overhead" que cambiar de protocolo. Tal es el caso de ADSL que, pudiendo intercambiar tramas Ethernet libremente con el proveedor de servicios, necesita una capa adicional de protocolo PPPoE (Point-to-Point-Protocol over Ethernet), para fines de autentificación principalmente.

Pudiera argumentarse que el diseño de estándares a cada vez mayores velocidades (como 400Gbps) para el protocolo Ethernet no hará mas que aumentar el valor de dicha tecnología y apoyar la economía de escala en la que está metida.

¿Será algún día Ethernet víctima de su propio éxito? ¿Nos estaremos yendo por un camino del que será cada vez más difícil desviarnos en un futuro? ¿Podrían tecnologías de la red móvil como LTE, WiMax, 5G, etc. finalmente "liberarnos" de Ethernet? Sólo el futuro lo dirá.

Mientras tanto, nos tocará vivir tiempos interesantes.

Proveedores de Servicio de TIC: ¿necesito uno?

Al seleccionar Tecnologías de Información y Comunicaciones (TIC) es cada vez más frecuente encontrarse en la disyuntiva de "hacerlo todo en casa" vs. contratar a un proveedor que lo haga.

La decisión no siempre es clara. Una equivocación puede tener consecuencias indeseables, mucho más allá del costo. Para complicar más las cosas, no hay una receta única que sirva para todas las organizaciones. Debemos buscar nuestro propio modelo de adopción de tecnología, aquel que tenga más sentido para el tipo de organización en el que nos desempeñamos.

Un análisis sistemático debería considerar el costo, los beneficios así como los riesgos de cada ofrecimiento tecnológico. Desgraciadamente no siempre conocemos a fondo la tecnología o podemos tomarnos el tiempo necesario para hacer un análisis completo.

¿En qué podemos fijarnos entonces para tratar de desenmarañar rápidamente este proceso de decisión?

Si bien, siempre habrán excepciones, un posible punto de partida consiste en identificar escenarios en donde las consecuencias positivas y negativas sean claras y de esa manera, al evaluar las consecuencias se facilite tomar la decisión.

He aquí algunas preguntas que te pueden ayudar:

¿El proveedor puede hacer algo que yo no puedo, pero necesito?

Cuando podemos decir esto, casi no necesitamos justificar los beneficios. Los únicos inconvenientes podrían ser los costos y los riesgos. Por ejemplo, podríamos estar tentados de contratar un servicio en la nube ya que no podemos instalar un servidor en nuestro datacenter para disponer localmente del mismo servicio. Sólo queda preguntarnos: ¿Cuáles son los costos anuales totales del servicio? ¿Hay un plazo forzoso de contratación? ¿La información reside en un lugar seguro?

¿La tecnología apoyará procesos críticos de mi organización?

Tratándose de procesos "misión-crítica" (aquellos que generan ingresos para la empresa o que apoyan directamente la misión de la organización), no podemos esperar que un proveedor de servicios los ejecute con el mismo afán. Esto es algo que muy probablemente debemos hacer nosotros mismos. Por otro lado la información que manejan estos procesos podría contener nuestros secretos de negocio, lo que seguramente queremos proteger. En cuanto a los procesos estratégicos, la situación es todavía más delicada porque dichos procesos se enfocan a la planeación del futuro de la organización. Esta pregunta puede empujarnos a un rotundo "no" contratar proveedores externos (al menos para apoyar estos dos tipos de procesos: misión-crítica y estratégicos).

¿La tecnología apoyará procesos de soporte (no-críticos) de mi organización?

El otro gran tipo de procesos no-críticos lo conforman los procesos de soporte o administrativos, que no generan directamente dinero para la empresa pero son necesarios para su existencia. Aquí es donde un proveedor externo puede apoyarte mejor. Por ejemplo: si estuviéramos hablando de la vigilancia física de tus instalaciones, probablemente sería mejor confiar en un proveedor para que lo haga. Tratándose de las TIC, esto implica que habrán dos tipos de tecnologías en tu organización: aquellas que apoyen procesos misión-crítica o estratégicos y aquellas que apoyen procesos administrativos. Enfócate primero en las tecnologías que apoyen directamente la misión de tu organización. Para todo lo demás probablemente puedas encontrar un proveedor confiable.

¿Dispongo de los recursos humanos para enfrentar la curva de aprendizaje tecnológico?

La complejidad de la tecnología va en aumento. El personal de TIC tiene que capacitarse contínuamente para poder administrar todas las herramientas tecnológicas. ¿Puede tu organización contratar recursos humanos con las habilidades necesarias? ¿Puede tu organización capacitar adecuadamente a los recursos humanos ya existentes?

¿Obtengo un beneficio de largo plazo por enfrentar directamente la curva de aprendizaje tecnológico?

Esta pregunta va de la mano con las preguntas anteriores. Tal vez puedas enfrentar la curva de aprendizaje pero, ¿le conviene a tu organización hacerlo? Quizá la respuesta está en separar las tecnologías que puedes contratar a un proveedor de aquellas que debes soportar por tu cuenta.

¿Mi información se encontrará debidamente protegida?

Nunca está de mas preguntarle al proveedor en qué lugar del mundo residirán nuestros datos y cuál es la legislación aplicable, así como sus políticas de seguridad. Por otra parte, si la información reside en nuestro datacenter ¿tenemos políticas y herramientas adecuadas para resguardarla? ¿Nuestro personal es capaz de protegerla?

¿Mi proveedor me ofrece financiamiento?

Finalmente el costo puede ser otro factor importante. La adopción directa de tecnología implica hacer una inversión. Un proveedor puede ofrecernos financiamiento y renovación constante de las tecnologías, pero tal vez nos exija un plazo forzoso. ¿Es realmente necesario ser dueños de nuestra tecnología? ¿Podemos ser dueños de algunas cosas y otras no?

En resumidas cuentas, contratar la administración de tecnología a un proveedor externo es una decisión diferente para cada organización. Ningún proveedor va a tener la pasión que necesita un negocio en sus procesos y aplicaciones críticas, pero los recursos humanos (y más los especializados) son limitados y es aquí donde los proveedores pueden jugar un papel importante.

El Director de TIC puede ocupar un rol decisivo en la optimización de los recursos de una organización, seleccionando adecuadamente los proveedores correctos (internos o externos) para cada necesidad.

Telefonía IP en la Nube: la Trampa del Ancho de Banda

El día de hoy hay muchos proveedores de "Telefonía IP en la Nube" que pueden ser contratados por una organización.

Esta clase de servicio puede ser efectiva en términos de costo-beneficio dependiendo de las circunstancias. Ya de eso hablaremos en otra oportunidad.

Varios proveedores de "Telefonía IP en la Nube" ofrecen el mismo tipo de servicio, sólo diferenciándose por la marca de la infraestructura que manejan y algunas funcionalidades propietarias. El servicio al que nos referimos consiste en alojar un PBX-IP en un Datacenter de alta disponibilidad (es decir, en la "nube") y cobrar una renta fija basada en el número de extensiones o teléfonos IP que se contraten en cada localidad de la organización.

Pues bien, alrededor del costo básico del servicio hay algunos otros costos que sólo aparecen cuando ya casi has hecho el contrato y revisas el costo total.

Primeramente, la interconexión con la red pública telefónica puede estar en las instalaciones del cliente o en el Datacenter mencionado y evidentemente la renta fija antes mencionada normalmente no incluye el costo de las llamadas realizadas a través de dicha interconexión, así como el costo de renta de las troncales.

En segundo lugar, siempre será necesaria una conexión de acceso a una red IP (por ejemplo Internet o algún servicio MPLS) que sea capaz de transportar las llamadas (audio, video y señalización) en forma confiable. El costo de esta conexión está en función del tipo de servicio y ancho de banda contratado, y el ancho de banda estará en función del número de llamadas simultáneas y por lo tanto del ancho de banda consumido por cada una de esas llamadas.

Hasta aquí todo parece tener cierta lógica ¿verdad?

Sin embargo, las cosas se ponen nebulosas cuando, en igualdad de condiciones, diferentes proveedores calculan de diferente manera el ancho de banda consumido por cada llamada y por lo tanto algunas propuestas económicas pueden ser hasta 2 ó 3 veces más baratas que las de su competencia (!).

¿Cómo es posible que un proveedor necesite la mitad de ancho de banda que otro para el mismo número de llamadas simultáneas?

Aquí es donde se encuentra la trampa.

En el video que mostramos a continuación (7 min.) examinamos el proceso para calcular el ancho de banda de una llamada de Telefonía IP.

La clave para entender la diferencia de precios que pueden tener dos proveedores se encuentra en el hecho de que es posible configurar la infraestructura para transportar, 1 ó más "tramas de voz" en cada paquete IP.

A medida que transportas más tramas de voz en cada paquete, ya no es necesario agregar un nuevo conjunto de encabezados para cada trama, por lo que el ancho de banda de la llamada disminuye. Es por esa razón que el proveedor de servicios "X" te puede ofrecer una conexión de acceso mucho más barata que el proveedor de servicios "Y", ya que no te obliga a contratar el mismo ancho de banda.

Sin embargo, lo que no te dice el proveedor "X" es que, al enviar más tramas de voz dentro de un mismo paquete IP, la afectación es mayor si dicho paquete llega a perderse.

Algunos Códecs como G.729 son sumamente sensibles al número de tramas de voz perdidas en forma secuencial. Hay quien estima que con 5 tramas consecutivas perdidas, la llamada se vuelve de una calidad inaceptable.

Así pues, al ahorrar ancho de banda en la conexión de acceso, podrías estar arriesgando las llamadas a sufrir una degradación importante en los momentos más inesperados.

¿La conclusión? Nada es gratis. O dicho de otra forma "si algo parece demasiado bueno para ser cierto, probablemente no lo sea". Pero esto ya lo sabíamos ¿verdad?

¡Mucho cuidado con los ahorros fantásticos!

Este también es un buen ejemplo de lo importante que es conocer a fondo la tecnología para no tener que confiar a ciegas en tu proveedor.

¿Capacitación? Mi proveedor hace todo. ¿Quién necesita la capacitación?

"Como Director de TIC frecuentemente estoy en situación de gastar un dinero que no es mío en una tecnología que no conozco" - anónimo.

Actualmente, hay dos modelos entre los que podemos escoger para seleccionar las tecnologías de información y comunicaciones (TIC) que usaremos en nuestra organización: el modelo autogestionado y el modelo de servicios administrados. Con el modelo de servicios administrados parecería que ya no es tan importante la capacitación (formación). ¿Será cierto?

El modelo autogestionado es lo que hemos venido haciendo tradicionalmente. Consiste en seleccionar una tecnología y un proveedor que la instale para posteriormente aprender a usarla y administrarla nosotros mismos. Entre los detractores de este modelo se encuentran los que prefieren ver a una organización concentrándose en su "foco de negocio" (core business) y no tener que dispersarse adquiriendo conocimientos de TIC altamente especializados. La curva de aprendizaje de la tecnología es un reto a vencer. Otra desventaja de este modelo lo constituyen los costos ocultos del aprendizaje y experimentación con la tecnología (por ejemplo: ¿cuánto tiempo te tardas en poner a punto un sistema o una plataforma? ¿cuánto te cuestan tus errores al hacerlo?)

El modelo de servicios administrados aparentemente elimina los inconvenientes del modelo autogestionado porque involucra a un proveedor de servicios que supuestamente tiene expertos en el tema, de manera que dicho proveedor se encarga de hacerlo todo por nosotros: evaluar tecnologías, instalarlas, configurarlas y administrarlas, dejándonos en libertad de operarlas (por ejemplo: solo preocupándonos por dar de alta y baja usuarios del servicio), todo a cambio de una renta mensual fija. Entre las desventajas de este modelo, se encuentran los plazos forzosos de contratación así como el costo total a lo largo de dicho periodo, el cual puede superar ampliamente el mero costo de la tecnología, ya que dicho precio tiene que incluir forzosamente el costo de administración de la tecnología.

Cada vez es más amplia la oferta de servicios administrados, y aparecen nuevas plataformas tecnológicas que se pueden contratar bajo esta modalidad, por ejemplo telefonía IP, redes inalámbricas, redes LAN, mantenimiento de PC's, datacenter, etc. Parecería que el modelo de auto-gestión está destinado a desaparecer excepto en los casos en donde la seguridad y el control de la tecnología son críticos para la organización. El cómputo en la nube, por ejemplo, es otra modalidad de los servicios administrados (aplicaciones administradas) en donde dejamos de instalar las aplicaciones en nuestros servidores, para confiar en el datacenter de un proveedor en algún remoto lugar del planeta.

Es muy posible que esta tendencia se mantenga, si a la larga esto significa mayor disponibilidad de la tecnología, protección contra obsolescencia, puesta a punto inmediata y pago a la medida (pagas sólo lo que uses).

Sin embargo, el modelo de servicios administrados tiene un costo oculto que podría llegar a ser inconmensurable: el costo de la dependencia tecnológica.

Veámoslo de esta manera: ¿confiarías a ciegas en cualquier proveedor de servicios? ¿Cómo sabes que la tecnología que estás recibiendo es la mejor? ¿Cómo sabes que es la más moderna? ¿Cómo sabes que es segura? En suma: ¿cómo sabes que tu proveedor está haciendo lo mejor para tu organización?

Si desconoces la tecnología, tendrás que confiar en lo que diga tu proveedor. Y no siempre es fácil comparar proveedores, especialmente cuando la tecnología es compleja y los costos son elevados.

¿Cuál es tu mejor garantía de poder tomar las decisiones correctas? ¡La capacitación!

Esto no es una descalificación del modelo de servicios administrados porque incluso si tú o tu personal no se va a encargar de instalar o administrar la tecnología, el conocimiento de la misma es necesario para saber qué debes exigirle a tus proveedores.

Desarrollar una estrategia tecnológica, alinear la tecnología con el negocio, soportar los procesos con tecnología se hacen mejor cuando sabes lo que puedes esperar de las TIC.

Desde otro punto de vista, la capacitación representa crecimiento profesional y la satisfacción de poder vencer retos complejos para tu personal, lo que a su vez desarrolla su lealtad y permanencia en la organización. Menos rotación de personal a su vez significa mayor estabilidad en los servicios informáticos.

Y por último, las TIC evolucionan tan rápidamente, que la capacitación continua puede ser la única manera de mantener tu valor profesional ante tu organización y por supuesto ¡mantener tu empleo!

¿Estás seguro de no necesitar más capacitación?

¿Es mejor ser hábil o ser competente?

Como profesional de TIC (Tecnologías de Información y Comunicaciones) debes preocuparte por seguirte desarrollando después de la escuela. Si no te capacitas frecuentemente, la tecnología avanza sin parar y puedes fácilmente volverte obsoleto.

Sin embargo, ¿cómo debería ser la capacitación que tomes? ¿Deberías adquirir conocimiento, habilidades o competencias?

Si le apuestas al conocimiento, eso está bien pero tu capacidad de retención no es infinita y a la larga podría ser cada vez menos importante. En un mundo en el que Google y Wikipedia son omnipresentes, la necesidad de retener conocimientos detallados es cada vez menor, pero la necesidad de juzgar si el conocimiento instantáneo que te da Internet es correcto se vuelve cada vez más importante. Esto último, sin embargo, no es una habilidad, sino una competencia.

¿Qué significa entonces el desarrollo de competencias? ¿Es verdaderamente posible o es algo con lo que naces? Y, ¿qué relación tiene con el desarrollo de habilidades?

Para intentar responder estar preguntas, primeramente tendríamos que definir a las habilidades como las diferentes capacidades que puede tener una persona para realizar tareas específicas en entornos específicos. Por ejemplo: configurar un equipo, administrar un servicio en la nube, etc.

Las habilidades tradicionalmente se adquieren mediante capacitación, práctica y repetición. Esto puede lograrse a través de un programa formal de enseñanza-aprendizaje o dependiendo de la complejidad del tema, de manera informal a través de la observación e imitación de las actividades laborales.

Evidentemente, cuando existe una intención y metodología de desarrollo de habilidades, éstas se pueden desarrollar en menor tiempo y de manera más efectiva. Tal fue, por ejemplo, el origen de los programas de "entrenamiento" militar que aplicaron las fuerzas armadas de los E.U. durante la Segunda Guerra Mundial. Sin dichos programas de desarrollo de habilidades, no hubiera sido posible formar tantos elementos como se necesitaba en su momento. Cabe recordar que en aquellas épocas había quien pensaba que un país que "no tenía arraigada la cultura bélica" no podría superar a otros países que sí la tenían (específicamente Alemania y Japón). Los programas de desarrollo de habilidades o "entrenamientos" vinieron a romper ese paradigma.

El día de hoy nos encontramos sistemas de desarrollo de habilidades en todas partes: instituciones de educación superior, centros de capacitación, certificaciones de fabricantes, programas de inducción y capacitación organizacionales, etc.

Un profesional de TIC está obligado a contar con habilidades muy sofisticadas que debe renovar con frecuencia para mantenerse a la par de la tecnología. Por eso expiran algunas certificaciones profesionales, por ejemplo.

Sin embargo, siempre pueden haber situaciones para las que no te encuentres preparado, y para las que tus certificaciones y cursos de capacitación no te hayan dado habilidades concretas.

Por ejemplo:

Un cambio de plataforma tecnológica, un diferente fabricante o tecnologías que no existían hace unos cuantos años
Una emergencia, un desastre natural o una situación de alta demanda, para la cual la tecnología que dispones es momentáneamente insuficiente
Un incidente de seguridad informática que revela deficiencias en una tecnología que no conoces, pero que eres responsable de administrar
¡Un ascenso! y de pronto tienes que administrar a otros seres humanos además de la tecnología, pero nunca has tomado clases de administración

¿Qué es lo único que te va a permitir enfrentar esas situaciones desesperadas? ¡Tus Competencias!

Las competencias se podrían definir como la capacidad de una persona para enfrentarse a situaciones para las que no se encuentra preparado, haciendo uso de sus conocimientos, habilidades, experiencia y hasta principios éticos para lograr una solución.

Existen competencias duras (todas las relacionadas con la tecnología, por ejemplo) y suaves (todas las relacionadas con las relaciones interpersonales).

Todos nacemos sin habilidades pero con diferentes niveles de competencias.

¿Pueden desarrollarse las competencias? La respuesta es un rotundo SI. Nuevamente esto puede suceder de manera informal, pero si quieres hacerlo rápidamente debes usar una metodología así como tener la intención de lograrlo.

Una buena metodología de desarrollo de competencias está basada en la retroalimentación constante. Un curso de capacitación que te permita tener una evaluación contínua de tu desempeño puede ayudarte mucho a percibir y dirigir tu proceso de aprendizaje.

Un tutor, mentor o coach también puede acelerar el desarrollo de tus competencias al dirigirte efectivamente.

Finalmente, debes ser honesto contigo mismo. El aprendizaje es una cuestión personal. Si deseas desarrollar tus competencias, debes ser capaz de aprender de tus propios errores. También debes poder identificar tus fortalezas y debilidades, para trazarte una ruta propia de desarrollo.

Una persona competente debe ser capaz de decir "no sé, pero lo investigo", y lograrlo.

Tus competencias te facilitarán adquirir las habilidades y el conocimiento que necesitas a lo largo de tu trayectoria profesional, no al revés. Enfócate en tus competencias, no solamente en tus conocimientos y habilidades.

Atrévete a tomar las riendas de tu carrera profesional y ¡desarrolla desde ahora tus competencias!

Los Errores más Grandes Diseñando Redes WiFi

Las redes WiFi son herramientas insuperables para la productividad. Ofrecen movilidad y la capacidad de utilizar múltiples tipos de dispositivos. Agrégale herramientas en la nube (Cloud Computing) y se vuelven indispensables para trabajar.

Sin embargo, a la hora de diseñar redes inalámbricas WiFi, es posible cometer muchos errores. No caigas en la trampa. A continuación mencionamos las equivocaciones más frecuentes que hemos cometido en alguna ocasión o hemos visto cometer. ¡No las cometas tú también!

Pensar que debe ser tan fácil como lo fue poner el router inalámbrico en tu casa. Si, poner un sólo equipo para dar servicio a unos cuantos dispositivos puede ser muy sencillo. Tan sencillo que te deja con una falsa sensación de seguridad. Sólo tienes que enchufarlo y copiar la clave de acceso ¿verdad? La mayoría de las veces eso es suficiente porque las distancias son pequeñas y el número de usuarios concurrentes son pocos. ¡Cuidado! esa NO va a ser la situación en la oficina. Mas bien todo lo contrario: vas a tener decenas o cientos de usuarios trabajando en una misma zona, que puede abarcar decenas de metros cuadrados y la señal puede no llegar tan bien a todas partes...
Enfocarte sólo en la cobertura de la señal. Preocuparse por tener "buena señal" es importante, pero no lo es todo. Seguramente ya pensaste en hacer un "levantamiento de cobertura" (site survey). Quizá compraste un primer Access Point (AP) para medir su cobertura dentro de tus instalaciones. Lo pusiste en sitios representativos y documentaste hasta dónde llega la señal. Repetiste el procedimiento poco a poco y ahora tienes la seguridad de que habrá "buena señal en todas partes". ¡Has terminado! ¿No? Pues ¡NO! Esto hubiera sido suficiente si fueras a tener unos cuántos usuarios por Access Point, ¿ya pensaste en la velocidad de la conexión y la capacidad de procesamiento del AP?
Pensar sólo en el precio de los equipos. La pregunta es casi obligada: ¿porqué hay diferencias de precio tan grandes entre los modelos de Access Point? Una de las primeras respuestas que uno se imagina podría ser simplemente "la marca" de los equipos, pero cuando empiezas a examinarlos más de cerca, te das cuenta que algunos equipos te indican que pueden trabajar con quizá hasta 32, 64 ó 125 usuarios. Peor aún. En algunos modelos el fabricante no especifica el número máximo de usuarios. Al menos en una ocasión nosotros nos encontramos el caso de un equipo que no especificaba el número máximo de usuarios. Sin embargo, este mismo AP tenía filtros de direcciones MAC con capacidad para configurar hasta 20 direcciones. Al hacer pruebas, resultó que el equipo se "bloqueaba" cuando existía un número superior de usuarios conectados. ¿La razón? La respuesta se encontraba en la capacidad de procesamiento del AP. Los modelos más baratos pueden tener la misma cobertura que los modelos grandes, pero casi seguramente no podrán manejar el mismo número de usuarios. ¡Cuidado! No quieres gastar de más, pero tampoco quieres tener que renovar toda tu infraestructura de urgencia, cuando los equipos se empiecen a "trabar". Haz el gasto correcto para el tamaño de tu red.
Olvidar que el medio inalámbrico es "compartido". Cada vez tenemos estándares inalámbricos de mayor velocidad. Parecería suficiente comprar el Access Point más rápido. ¿Correcto? Pues ¡NO! Debes tomar en cuenta también el número de usuarios concurrentes y, de preferencia hacer un perfilamiento de las principales aplicaciones que van a estar utilizando. Para empeorar las cosas, puede ser que nunca se alcance la velocidad de transmisión máxima del equipo porque esto depende de que exista una buena relación "señal a ruido" (Signal to Noise Ratio). La velocidad real de transferencia será menor que el máximo soportado y la velocidad efectiva para cada usuario será todavía mas pequeña porque los protocolos inalámbricos actuales sólo permiten que un usuario (o el access point) transmita durante un momento determinado. Todos los usuarios deben esperar a que el canal se encuentre desocupado antes de poder transmitir. Ahora imagínate si todos los usuarios quieren ver videos en alta definición... Probablemente debas poner más Access Point para cubrir una misma zona.
No tomar en cuenta el traslape de cobertura de los Access Point. Traslape significa que dos o más Access Point tengan cobertura en la misma zona. Tener un poco de traslape es bueno. Que tus usuarios estén contínuamente "brincando" de un AP a otro puede no serlo. Que los sistemas operativos tengan problemas al brincar porque olvidan renovar su dirección IP es todavía peor. Si la red inalámbrica se llama igual (SSID) en todos los Access Point, muchos sistemas operativos asumirán que se trata del mismo dominio de broadcast (misma red de Capa 2) y por lo tanto decidirán que pueden asociarse indistintamente con cualquier Access Pont sin renovar la dirección de Capa 3 al hacerlo. El resultado son fallas intermitentes que pueden ser un verdadero dolor de cabeza para diagnosticar y resolver. Evita los traslapes innecesarios, usa diferentes nombres de red inalámbrica (SSID), o mantén todos los AP en una misma VLAN, dentro de una misma subred IP.
Minimizar la necesidad de dar mantenimiento a los AP. Es verdad que mucha de esta tecnología es de tipo "configúralo y déjalo". Sin embargo, con el paso del tiempo es natural que quieras cambiar la forma como funciona. Si no previste un punto central de control (por ejemplo un controlador WLAN) vas a tener que re-configurar manualmente decenas de equipos regados por todas las instalaciones cada vez que quieras cambiar algo. Imagínate tener que hacer esto para cambiar la contraseña de red ¡una vez al mes! Si no dimensionaste correctamente los equipos, vas a tener que ir físicamente a reiniciarlos cuando se bloqueen. Imagínate tener que acceder a equipos que se encuentran sobre el plafón, dentro del techo falso, a varios metros de altura... (el uso de Power over Ethernet te hubiera evitado tener que trepar al techo).

Después de experimentar muchos de estos dolores de cabeza, queremos hacerte algunas sugerencias para que tu proyecto inalámbrico sea exitoso.

Considera los siguientes factores técnicos al diseñar tu red:

La distancia del usuario más retirado del AP. Aquí es donde entra en juego el Site Survey y asegurarte que ese usuario tenga buena señal.
La velocidad máxima efectiva en las conexiones de los usuarios más cercanos y más lejanos. De nada sirve que tu AP soporte 300 Mbps si, por ejemplo, los smartphones de tus usuarios soportan un máximo de 54 Mbps. Tampoco quieres tener usuarios trabajando a 11 Mbps porque al ser compartido el medio, cuando esos usuarios transmitan, tardaraaaaaaaaaan muuuuuuucho tiempo, retrasando a todos los demás.
Haz un perfilamiento de las aplicaciones de los usuarios. ¿Cuántos Mega Bytes transfieren en una transacción? ¿Cuánto es un retraso aceptable?
Estima el número de usuarios concurrentes. ¿Tiene tu red ancho de banda suficiente para X usuarios descargando Z Mbps en forma concurrente? ¿Tiene tu Access Point esa capacidad de procesamiento?
Considera la "demanda reprimida". Para muchos usuarios WiFi = Internet. Antes no había red inalámbrica. ¿Ahora sí tendremos Internet en todas partes? ¿Ya pensaste en cientos de teléfonos inteligentes sincronizándose con la nube sin que los puedas controlar?
Considera hacer filtrado de contenido. No es la panacea, pero puede evitar usos desmedidos del ancho de banda que afecten a gran cantidad de usuarios.
Considera la posibilidad de usar servidores externos para hacer la autentificación de tus usuarios mediante protocolos como WPA2-Enterprise y RADIUS.
Considera plataformas que te brinden la posibilidad de administración centralizada de tus equipos. No sólo te vas a ahorrar en costos humanos de soporte. El tiempo para resolver problemas disminuirá. Los reportes de utilización te permitirán estar un paso adelante de los problemas.
Empieza el proyecto en pequeño y aprende de tus errores. No pretendas abarcar todos los edificios de un día para otro. A veces es mejor reconocer tus equivocaciones, y eso es más fácil de hacer cuando el proyecto es chiquito.
¿Implementar una red inalámbrica administrada por terceros? Puede funcionar, siempre y cuando el proveedor de servicios no cometa las mismas equivocaciones que te hemos comentado previamente, y la relación costo vs. beneficio te sea favorable. En todo caso ¡ahora ya sabes qué exigirle!

¡Aprovecha al máximo las redes inalámbricas y convierte a la tecnología en un pilar para tu empresa!

Las amenazas también evolucionan

Al ser considerados en su conjunto, algunos de los métodos e intenciones recientemente descubiertos de los malhechores informáticos lo dejan a uno boquiabierto.

Entre las tendencias preocupantes se encuentran:

Vulnerabilidades ocultas por decenas de años (por ejm. Shellshock y Heartbleed), que salen a la luz por accidente, ya que el software nunca había sido auditado
La existencia de un mercado "gris" y ya no sólamente "negro" para el descubrimiento y venta de vulnerabilidades
Actividades de cyber-espionaje patrocinadas por gobiernos de todos los matices
Robo de información dirigido a personas y no sólo a organizaciones (por ejemplo, robo de fotos de personalidades o datos bancarios y de tarjetas de crédito de millones de cuentahabientes).
Reclutamiento malicioso de máquinas para crear dinero electrónico (bitcoin mining botnets)

La existencia de muchas de estas amenazas se vuelve lógica si consideramos que nuestro comportamiento como sociedad e individuos también ha cambiado con respecto al uso de las Tecnologías de Información y Comunicaciones.

Entre las circunstancias que han cambiado, se encuentran, por ejemplo:

El uso de dispositivos móviles con conexión permanente a Internet como Smartphones y Tablets que mejoran nuestra productividad y nos dan múltiples opciones de entretenimiento.
El uso de servicios "en la nube" (Cloud Computing) para comunicarte y para acceder a tu información. Servicios como Whatsapp, Dropbox, iCloud, Office360 te permiten estar conectado a tu información en cualquier lugar, cualquier momento y desde cualquier dispositivo.
Las redes sociales te permiten mantener el contacto con amigos, familiares y toda persona o tema que te interese, convirtiéndose además en una opción de entretenimiento casi adictiva.
Tecnologías cada vez más complejas se han vuelto sumamente fáciles de utilizar. Por ejemplo, ¿quieres compartir una foto que acabas de tomar con un grupo de amigos o familares? ¡Fácil! Sólo activa la opción para subir tu foto a Facebook, Twitter, Dropbox, Google+, etc. y la foto sube automáticamente después de tomarla, pero ¿cuáles son los ajustes de privacidad por default y qué tan fuerte es tu contraseña en esos servicios?

No todo esto es negativo, pero debemos aceptar que en la medida en que usamos nuevas tecnologías, desaparecen algunos riesgos y aparecen otros. Por lo tanto, nuestra estrategia de seguridad y la de nuestra organización debe permanecer en evolución constante.

Si contrastamos la situación de hoy en día con lo que pasaba hace unos cuantos años podemos darnos cuenta que es necesario cambiar algunos de nuestros métodos de protección.

Por ejemplo, hace algún tiempo era suficiente instalar un buen Firewall en la red y un potente antivirus en las computadoras de los usuarios de nuestra organización. El día de hoy esto ya no basta para protegernos. Inclusive, basar nuestra defensa en esos dos elementos podría darnos una falsa sensación de seguridad.

En una organización que ha dejado de ser pequeña, un buen lugar para desarrollar la estrategia de protección se encuentra en el área de "Innovación Tecnológica", si es que todavía no existe un área formal de "Seguridad Informática". ¡Cuidado! también existen organizaciones medianas y hasta grandes que se siguen comportando como si todavía fueran pequeñas.

El objetivo debe ser evaluar la mayor cantidad de tecnologías que utiliza nuestra organización formal e informalmente y decidir si el nivel de riesgo que representan es aceptable.

Entre los cambios de estrategia que podemos considerar para nuestra organización se encuentran:

Hacer validación de contenido en las conexiones a Internet, ¿qué páginas visitan los usuarios? ¿qué temas consultan? ¿cómo encaja esto con las políticas de privacidad de la organización?
Evaluar continuamente los servicios "en la nube" que descubren y utilizan los usuarios
Evaluar continuamente las aplicaciones populares que los usuarios instalan en sus dispositivos móviles. El reto es cómo descubrirlas. Se requiere la colaboración de algunos usuarios.
Crear listas "blancas" de servicios y aplicaciones autorizados para los usuarios
Crear listas "negras" de servicios o aplicaciones que por su riesgo no debieran ser utilizadas por los usuarios de nuestra organización
Mantener las listas blancas y negras actualizadas
Imponer políticas de contraseñas robustas y uso de "libretas encriptadas" de aplicaciones
Sensibilizar a usuarios de los riesgos de manejar información de la organización en dispositivos móviles (incluido el correo electrónico institucional)
Fomentar una cultura de aceptación del cambio institucional
No casarse con ninguna plataforma tecnológica

Vivimos en un mundo cambiante.

La tecnología y su uso se mantienen en constante evolución. Nuestras estrategias de protección deben, por lo tanto, evolucionar contínuamente si queremos mantenerlas relevantes.