Archivo del autor

DNS Over HTTPS/TLS: Encriptado del tráfico DNS

 

A lo largo de los años, la mayoría de los protocolos “base” con los que se constituyó el Internet que hoy conocemos han ido evolucionando, algunos más algunos menos. Es cierto que la base en la que se sostiene es a groso modo la misma, pero no así los protocolos que están encima de la mesa. El mejor ejemplo es el propio protocolo HTTP, que aunque parezca muy antiguo, realmente su primera especificación es de 1991. Vale, son 27 años, pero Internet podemos datarla más o menos por 1980. Sí, a día de hoy el protocolo HTTP es la base de toda la Internet navegable, pero muy poco queda de esa primera especificación de 1991. En 1996 aparecería la especificación HTTP/1.0, en 1999 HTTP/1.1 (la más usada a día de hoy) y en 2015 HTTP/2.0. HTTP ha evolucionado y es posible que continúe haciéndolo, y HTTP/2.0 ofrece grandes mejoras en todos los aspectos frente a especificaciones más viejas.

HTTPS apareció en 1992, un modo ingenioso, práctico y seguro de poder enviar/recibir la información HTTP de forma cifrada punto a punto, es decir, se cifra y descifra en origen, permitiendo conocer si ha existido manipulación en medio y además añadiendo identificación de las partes por medio de certificados digitales. Ahora, en 2018, HTTPS lo vemos como imprescindible, y con los certificados digitales más a mano que nunca hemos visto como el % de webs que lo han implementado se han disparado. ¿Por qué? Porque después de años de hartazgo de las propias instituciones gubernamentales, de fallos de seguridad, de robos de datos… ahora somos más desconfiados que nunca, y nos gusta pensar que, aunque lo que estemos mirando en Internet sea donde comprar un colchón, nadie va a poder saberlo (Bueno, todo tiene sus limitaciones, claro). Realmente su importancia principal fue y ha sido y será, debido al intercambio de datos privados entre usuario y servidores. Desde usuarios y contraseñas, direcciones postales, tarjetas de crédito, expedientes médicos… todo. Cualquier información que no vaya cifrada punto a punto corre el riesgo de ser leída… y ya no solo por posibles “cucarachas” que se conecten a nuestra red interna, sino (y siendo un poco conspiranoicos), gobiernos, entidades, los mismos ISP…

Pero si existe otro protocolo de igual importancia en Internet, o incluso más, es sin duda el protocolo DNS (siempre por supuesto hablando de protocolos a nivel de aplicación).

 

DNS

Lo primero que debemos de tener en Internet es, como todo el mundo sabe, una IP. Una IP es un identificador numérico que no solo nos hace accesible desde el exterior, sino también poder ir a cualquier rincón de Internet. Las IPs son las verdaderas direcciones en Internet, pero en cambio rara vez tenemos que usarlas. El 99% del tiempo que estamos en Internet, nos valemos de un sistema de nombres (aka dominios) para poder acceder a un servicio/sitio u otro. ¿Por qué? Porque nuestra mente, nuestro cerebro, se le da infinitamente mejor recordar nombres o cadenas de caracteres que una sucesión de números. Para nosotros es infinitamente más sencillo recordar “google.es” que “216.58.201.163”. Basados en esta premisa fundamentalmente, se creó un sistema de nombres (de dominios), llamado DNS (Domain Name System).

Posiblemente el protocolo DNS es de los más sencillos de entender. DNS funciona como un “traductor”, algo así como unas páginas amarillas gigantes. Cuando introducimos un nombre de dominio en cualquier navegador o aplicación, esta envía la solicitud al servidor DNS que tenga especificado, y este será el encargado de resolver la dirección correspondiente al nombre de domino especificado, y el tipo de registro solicitado. En este artículo de hace tiempo puede verse mejor como funciona DNS. Es un poco más complejo debido a que el sistema DNS es distribuido e incluso jerárquico, pero en lo que nos atañe, es tan simple como eso.

El protocolo DNS no ha evolucionado en nada. Es cierto que se ha expandido con los años con la inclusión de nuevos tipos de registros DNS, e incluso mejoró notablemente la seguridad con la inclusión de DNSSec, pero el protocolo en sí mismo es el mismo que el que se empezó a desplegar en 1983. Eso no es malo, cuando algo ha evolucionado tan poco y aun así es usado tan extensamente, es que funciona realmente bien. No obstante, la sociedad ha cambiado, y tal como sucedió con HTTP, DNS no se creó con la privacidad en mente, por entonces había mejor voluntad y posiblemente mejores ideales. A día de hoy sería impensable crear un protocolo sin que la encriptación y autentificación no estuviesen desde el comienzo del desarrollo.

DNSSec ha dotado a DNS de un sistema de “autentificación”, de modo que las peticiones DNS resueltas por los servidores DNS pueden verificarse/autentificarse, que proceden realmente del servidor DNS raíz a quien pertenecen. Sin DNSSec, se podría envenenar la caché de un cliente DNS, de modo que peticiones realizadas de dicho cliente fuesen respondidas con una IP falsa. Este tipo de ataques ha sido muy efectivo en el pasado… los mismos resolvers tienen que escalar la petición DNS a los servidores DNS, y en ese proceso puede ser bombardeado con respuestas DNS falsas, con lo que el resolver creer que la IP falsa es la real, y ser la IP que al final devolvería al equipo en cuestión. Cuando DNSSec es usado, el servidor DNS firmará la respuesta DNS con cifrado asimétrico, y las enviará en otro registro DNS conjunto a la petición original, y dicha firma el resolver/cliente puede verificarla con los registros del servidor DNS, que contienen a su vez la clave pública con la que se firmaron. De este modo el cliente puede saber con exactitud si la respuesta que hemos recibido proviene realmente del servidor DNS legítimo.

DNSSec es importante, añade autentificación, pero… ¿que pasa con la encriptación?

 

DNS Over HTTPS/TLS

Los datos que se transfieren por DNS son muy importantes. Vale, no van a contener datos confidenciales de tipo contraseñas, usuarios y otros, pero todo el tráfico DNS que generamos indica perfectamente nuestra actividad en la red. Es por medio de DNS que se filtran contenidos (controles parentales por ejemplo), se bloquean contenidos (autoridades/entidades), los ISP pueden crear enormes bases de datos con nuestras costumbres… simplemente mirando el tráfico DNS podemos saber de una persona una cantidad de información que ni imaginamos!! Pues imaginar eso aplicado a una red local entera, o a una red de una empresa, o, por qué no, toda la red de un ISP.

El protocolo DNS se transmite en formato plano, “legible”. Desde hace muchos años han existido varias técnicas para “camuflar” o enmascarar el tráfico DNS, esto no es para nada nuevo. Estas técnicas han sido en su mayoría el uso de servidores VPN por ejemplo, donde las peticiones DNS se enviaban a través del mismo túnel, o usando el conocido DNSCrypt, una solución presentada hace tiempo por OpenDNS, unos servidores DNS independientes y gratuitos que ofrecen una buena tanda de opciones y filtrados para los hogares. No obstante este tipo de técnicas siempre ha tenido un impacto muy pequeño, y un poco por las razones de siempre: Soporte y estandarización.

Ya han pasado muchos años desde que Microsoft no dejase de implementar en su navegador Internet Explorer características propias. A día de hoy intentamos basarnos lo más posible en estándares, protocolos y técnicas que pueden ser usadas en cualquier sitio, que todos los dispositivos puedan entender y poder interaccionar unos con otros obteniendo resultados similares. Puede que DNSCrypt sea/fuese un sistema muy inteligente, pero sin ser un estándar ¿qué servidores DNS o que clientes iban a implementarlo? Por supuesto, era posible usando su servidor DNS y otros software, pero no es una solución real.

Por suerte, y aunque ha costado mucho mucho trabajo, se ve el final del problema gracias a DNS Over HTTPS/TLS (DoH). Me gustaría pensar que los retrasos se han debido al tiempo necesario para crear un estándar sólido, pero honestamente lo que creo es que a la gran mayoría de empresas, gobiernos y otros, cifrar el tráfico DNS es poner fin a un negocio multimillonario, a bloqueos, filtros… es una de esas cosas que públicamente nadie puede estar en contra, pero por detrás es raro encontrar quien esté de acuerdo. Sea como sea, y después de muchos tiros y afloja, DNS Over HTPS ya está “terminando” su camino para ser ratificado por la IETF como estándar, mientras que DNS Over TLS ya está estandarizado. Pero… ¿no son iguales? Bueno, en realidad no, son muy similares. Al igual que el protocolo DNS se usa mediante el puerto 53, DNS Over TLS usa un puerto específico para ello, el 853, y por él envía de forma serializada y ya bajo TLS las peticiones DNS. DNS Over HTTPS en cambio se basa en peticiones HTTPs estándares, usando por ello por defecto el puerto 443, y las peticiones son serializadas dentro de la propia petición HTTPS, creando una pequeña sobrecarga de protocolo inicial.

Aunque ambos sistemas encriptan por igual las peticiones DNS, realmente la diferencia de ellas desde un punto de vista práctico es que usar DNS Over TLS implica usar un puerto dedicado para ello, de modo que resulta mucho más sencillo bloquearlo, filtrarlo, discriminarlo o incluso como veremos luego obtener información de los dominios visitados de forma más sencilla… dicho de otro modo, es más fácil que terceros vuelvan a las andadas, aunque por otro lado es lógico que use un puerto propio. Por otro lado, DNS Over HTTPS usa el mismo puerto 443 que cualquier web HTTPS, con lo que el tráfico no solo pasa mucho más desapercibido, sino que además bloquearlo por puerto/servicio no sería una opción, a todos los efectos la conexión se vería como una conexión HTTPS más.

Usando por tanto DNS Over HTTPS enmascara todas nuestras peticiones DNS de forma doble. Por un lado encripta todo el tráfico DNS de modo que no pueda ser visible para terceros, y por otro lado “engaña” a cualquiera que pueda estar espiando el tráfico, a todos los efectos como si se tratase de tráfico HTTPS convencional.

Esto tiene infinidad de aplicaciones prácticas. Las más evidentes, nos blindan frente al exterior, impidiendo en la medida de lo posible que terceros puedan saber que Webs estamos o no visitando. Por otro lado este sistema permite “pasar por alto” innumerables filtros impuestos por gobiernos/ISP/entidades. Estos no pueden hacer filtros IPs por lo general, así que se filtran a nivel de DNS. Las primeras soluciones a esto eran usar servidores DNS alternativos, pero nada impide a un ISP interceptar las peticiones DNS a otros servidores. Con DoH no pueden evitarlo, las resoluciones nos son devueltas cifradas y bajo un tráfico que podría ser cualquier cosa.

 

Inconvenientes

Visto así, todo parecen grandes ventajas. No obstante el sistema no es perfecto, y además añade algunos “problemas” que no están presentes en las resoluciones DNS estándares.

El primer y posiblemente el mayor inconveniente es el retardo, la latencia. Negociar una conexión HTTPS completa con el resolver DoH, enviar la petición, y obtener la respuesta, consume sensiblemente más tiempo que una resolución DNS estándar. Este tiempo puede reducirse de diversas formas, por ejemplo manteniendo la conexión abierta con el resolver para futuras peticiones DNS o haciendo uso de HTTPS/2.0. Pero aun con todo, no podemos suprimir la negociación requerida para establecer una conexión HTTPS, que es la que se llevará la mayor parte del tiempo. Muchos creen que la mejor forma de evaluar un servidor DNS es ver la latencia hacia ellos, pero eso solo es un % del tiempo, lo que nos importa no es la latencia hacia el servidor DNS, sino el tiempo que va a tardar en respondernos con la dirección.

¿Cuanto es esta aportación a la latencia? Bueno, el mejor modo de comprobarlo es con pruebas reales. Para esta prueba se ha usado el servidor DNS de Google convencional 8.8.8.8, y por otro lado un resolver usando también el servicio DoH de Google, “https://dns.google.com/experimental”, en ambos casos deshabilitando todo tipo de cache

URL Servidor DNS 8.8.8.8 DoH https://dns.google.com/experimental
wikipedia.com 35ms 37ms
nic.es 31ms 39ms
facebook.com 11ms 38ms
google.es 32ms 42ms
theliel.es 32ms 38ms
twitter.com 12ms 38ms
elpais.com 38ms 40ms
microsoft.com 12ms 40ms
github.com 30ms 43ms
instagram.com 10ms 36ms

Los datos no son demasiado malos. Para dominios bien conocidos como Facebook, Twitter y otros, la latencia para resoluciones convencionales es mínima, ronda siempre los 10ms, mientras que el resto de hosts ronda una media de 33-34ms. Por contra, las resoluciones a través de DoH muestran un incremento claro, haciendo una media de 40-42ms. Estos resultados son simplificados y realizando medias entre 10 pruebas cada uno. En algunos casos existiendo gran variabilidad entre prueba y prueba.

 

El segundo inconveniente, es su soporte, su implementación. Mientras que el sistema DNS convencional está totalmente integrado en la propia estructura de Internet y podemos lanzar peticiones DNS desde nuestros equipos hacia cualquier servidor DNS, DoH es algo más complejo. Tal es así que actualmente requiere por un lado tener resolvers DoH, “servidores DNS” que sean compatibles con DNS Over HTTPS, que puedan traducir esas peticiones DNS encriptadas, resolverlas y devolvernos la dirección IP. Como es obvio, esos resolvers no elevan la petición DNS a servidores raíces por medio de DoH, sino por el modo convencional, pero esto no nos afecta, a menos que el resolver DoH fuese hackeado y guardase un registro de todas las peticiones realizadas. En todas las pruebas, en mi caso, he usado el servidor/resolver de Google DNS Over HTTPS que tienen habilitado: https:/dns.google.com/experimental.

Pero esto no es todo, así mismo requiere que los dispositivos sean compatibles también con DoH, ya sea a nivel integral en el propio OS, ya sea a nivel de aplicación. Esto es importante, porque como debemos de usar otro modo para realizar las peticiones DNS, requerimos de un software específico para ello, o que la aplicación esté preparada. En nuestro caso, por ejemplo, si usamos las últimas versiones de Firefox podemos habilitar el soporte para DoH de este, o podemos instalar un proxy en nuestro OS para que sea capaz de gestionar todas las peticiones DNS directamente de nuestra red.

En ambos casos, vemos que no es una opción que tengamos que habilitar si/no, requiere más que eso.

 

El tercer problema, y no menos importante, sea llama SNI. La idea detrás de DoH es cifrar las peticiones DNS, entre otras cosas para ocultar completamente los dominios que queremos visitar. El problema es que el uso de DoH no impida totalmente el “escape” de información que podemos tener referidos a los dominios visitados cuando son páginas webs HTTPS. Esto no es un problema de DoH realmente, sino del propio uso de los certificados digitales. Cuando realizamos una conexión HTTPS a cualquier host, el servidor remoto nos enviará en plano su certificado digital en el handbrake TLS. Los certificados digitales poseen una extensión llamada SNI, un campo que permite especificar los diferentes dominios para los cuales se aplica dicho certificado. Este campo no es obligado, es solo una extensión. Antes los certificados se emitían directamente para direcciones IPs específicas, pero con el agotamiento de estas ha sido cada vez más habitual que los servidores webs alojen bajo la misma IP muchas webs diferentes. Esto provoca que la emisión de certificados para una sola IP no sea viable, y se comenzó a usar SNI. Con SNI podemos especificar en el certificado los diferentes dominios, aun cuando todos ellos están bajo la misma IP.

El problema se ve claro, si un certificado que nos envía un servidor especifica el dominio para el cual ha sido emitido (el mismo), esa información también es potencialmente interceptable y usarla para conocer que hemos visitado dicho servidor. Eso no quiere decir que DoH sea inservible ni mucho menos. Para empezar un mismo certificado se emite muchas veces para diferentes dominios, así como consiguientes conexiones al mismo dominio tampoco requerirían de nuevo el certificado del servidor remoto. Otros servidores no usan siquiera SNI, y dentro de poco con la llegada de IPv6 es posible que en un futuro incluso sea común volver a certificados pre SNI, donde lo normal era su emisión para IPs.

Si un servidor nos responde con su certificado donde se especifica en SNI el/los dominios, nada evita que de nuevo se use software que rastree cada certificado que nos respondan los servidores remotos para hacer un perfil de nosotros de las webs visitadas. Pero estos sistemas al margen de ser más raros, tienen muchas limitaciones que de otro modo sería extremadamente sencillo tener un mapa completo del uso que hacemos en Internet, simplemente mirando las peticiones DNS.

 

El cuarto y último problema es que a veces falla. El software actual es limitado y tiene aun fallos que podemos encontrarnos, sin contar los problemas que pueden tener los resolvers actuales. Repito, todo esto es bastante nuevo, con lo que es de esperar algunos problemas, los más normales son resoluciones DNS que no son respondidas correctamente. Para atenuar esto, la mayoría de software cliente que existe permite configurar un servidor DNS convencional como fallover, en caso que DoH nos falle en alguna petición.

 

Como configurarlo

Bueno, por desgracia, y lo hemos visto en sus inconvenientes, no es algo que sea ejecutar y listo. Vamos a depender primero de un resolver DoH que actuará a modo de “proxy” entre DoH y peticiones de resolución DNS estándares. Cuando a estos resolvers les llegue una petición por DoH, la resolverán y nos la devolverán. Obviamente la confianza es esencial, a fin de cuentas que pasaría si dicho Resolver igualmente guardase una base de datos con las IPs originarias de las peticiones y una lista de los dominios accedidos.

Por otro lado como decíamos, requerimos de software o aplicaciones que sean capaz y compatibles con DoH. Ahora que es un estándar es de suponer que el soporte será ampliado enormemente, sobre todo en aplicaciones que nos gustan que sean seguras. Actualmente hay que decir que quedan cosas por pulir, el estándar DoH aun no ha sido alcanzado y algunas cosillas pueden cambiar. Algunos proveedores conocidos ya han lanzado resolvers DoH para poder ser usados de forma pública y gratuita, como Google o CloudFlare. Así mismo existen actualmente también la otra parte, software cliente para que podamos hacer uso de dichos resolvers. En este caso, quizás los dos casos más importantes en este punto sería el propio Navegador Web Firefox y DNSCrypt-Proxy. Al margen de ello, Google ya implementó DoH en Android también.

 

Firefox

El caso más básico y más sencillo de todos vamos a verlo con Firefox. Para ello necesitamos al menos Firefox 62, que si la memoria no me falla debería de estar ahora mismo en el canal Beta, Firefox 63 en Alpha. A partir de aquí es muy sencillo. Por defecto el soporte para DoH viene deshabilitado, ya que es un cambio importante. Básicamente necesitamos sólo realizar un par de ajustes en el editor de configuración. Para quien no lo conozca, el editor de configuración de Firefox se accede desde la barra de direcciones accediendo a: about:config.

 

network.trr.mode: (el modo de funcionamiento de DoH)

0: Deshabilitado
1: Usa ambos modos, DoH y resoluciones convencionales, el navegador usará la que resuelva antes
2: Usa DoH de forma predeterminada, y DNS convencionales como fallover
3: Usa solo DoH
4: Lanza ambas peticiones, pero solo usa las resoluciones convencionales.

network.trr.uri: (URL del resolver a usar)

Google: https://dns.google.com/experimental
CloudFlare: https://cloudflare-dns.com/dns-query
Mozilla/CloudFlare: https://mozilla.cloudflare-dns.com/dns-query

network.trr.bootstrapAddress: (opcional)

Si forzamos el uso del modo 3, como en mi captura, es necesario especificar la dirección IP del resolver. No podemos usar DoH sin conectarnos al resolver, con lo que necesitamos su IP, pero si forzamos usar solo DoH entramos en un bucle del que no salimos. De este modo preestablecemos la IP del resolver. No se requiere para el resto de los modos.

 

Hay muchos modos para conocer si DoH está funcionando en nuestro equipo. Un modo sería consultar la página de estado de Firefox sobre las peticiones DNS:

about:networking#dns

Podemos localizar la columna TRR y ver si para dicha resolución se está usando DoH o no.

Otra opción es usar un analizador de paquetes, y comprobar que no aparece tráfico DNS, al menos generado por el navegador web.

 

DNSCrypt-Proxy

DNSCrypt-Proxy es un proyecto de código abierto y multiplataforma. Actúa básicamente como un proxy que toma las peticiones DNS convencionales y las envía a un resolver por DoH. El proyecto lo tenemos en Github.

DNSCrypt-Proxy no es para nada nuevo, pero si ha sido recientemente cuando han añadido soporte para DoH. Anteriormente funcionaba con DNSCrypt de OpenDNS, de ahí su nombre, pero actualmente es compatible también con resolvers DoH. Este software es muy interesante porque nos permite pasar por ejemplo todas nuestras peticiones DNS (de todo el equipo, con independencia de que aplicación se use) a DoH. O mejor aun, si lo instalamos y configuramos en un Router, podemos asegurar directamente toda la red local, haciendo que absolutamente todas las peticiones DNS pasen por él. Esta última alternativa sería la ideal en entornos domésticos, pero ojo, de hacerse así no nos protegería de terceros conectados a nuestra red local, ya que las peticiones que se enviasen de nuestros equipos al Router si serían resoluciones DNS convencionales, sería el Router quien las convertiría en peticiones DoH y las enviaría hacia fuera.

En mi caso he optado por este último esquema, configurarlo directamente en el Router y no tener que tocar absolutamente ningún equipo ni dispositivo de mi red. El como hacer esto, es algo ya más complejo y que excede el artículo original. Para poder instalarlo en un Router se debería de descargar los binarios precompilados (o compilarlos) para nuestro dispositivo, crear la configuración necesaria, crear scripts para levantar los servicios… y como último paso decidir si queremos añadir reglas en iptables para forzar las peticiones DNS enviadas a servidores externos ser tratadas también de forma interna. En mi caso, y por cuestiones varias, prefiero no forzar las peticiones DNS externas. Es decir, que si alguna aplicación lanza una resolución DNS hacia un servidor DNS específico que no sea mi Router, serán convencionales, si usa las DNS del sistema, usará el Router y por ende irán bajo DoH.

La mejor forma de ver si funciona en este caso, es colocar un analizador de paquetes en la interfaz WAN PPPoE del Router, y capturar las peticiones DNS.

Esta primera prueba lanza una petición DNS a los servidores convencionales de google, 8.8.8.8. Dig es lanzado desde cualquier equipo de la red, tcpdump desde el Router:

dig theliel.es +noall +answer +stats @8.8.8.8

theliel.es. 599 IN A 188.121.46.128
;; Query time: 50 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)
;; WHEN: Fri Jul 20 18:19:02 Hora de verano romance 2018

tcpdump -i ppp0 udp port 53

16:19:02.137737 IP xxx.red-xxx-xxx-xxx.dynamicip.rima-tde.net.57185 > google-public-dns-a.google.com.domain: 14372+ [1au] A? theliel.es. (51)
16:19:02.384289 IP google-public-dns-a.google.com.domain > xxx.red-xxx-xxx-xxx.dynamicip.rima-tde.net.57185: 14372 1/0/1 A 188.121.46.128 (55)

Esto es el comportamiento normal, tcpdump está escuchando el tráfico en el puerto 53 que es por donde se realizan las peticiones DNS, y por tanto no solo registra la petición DNS realizada con Dig, sino que además incluso nos muestra directamente tanto la petición como la respuesta del servidor de Google.

Esta segunda prueba lanza la misma petición, pero esta vez usando los servidores DNS predefinidos por el servidor DHCP del Router (el mismo Router), que a su vez enviará las peticiones hacia el resolver configurado en DNSCrypt-Proxy:

dig theliel.es +noall +answer +stats

theliel.es. 573 IN A 188.121.46.128
;; Query time: 43 msec
;; SERVER: 192.168.2.1#53(192.168.2.1)
;; WHEN: Fri Jul 20 18:25:49 Hora de verano romance 2018

tcpdump -i ppp0 udp port 53

tcpdump -i ppp0 tcp port 443

16:28:41.849811 IP xxx.red-xxx-xxx-xxx.dynamicip.rima-tde.net.57197 > mad07s09-in-f14.1e100.net.https: Flags [P.], seq 8119:8303, ack 48627, win 4006, options [nop,nop,TS val 16309141 ecr 1452692457], length 184
16:28:41.859322 IP mad07s09-in-f14.1e100.net.https > xxx.red-xxx-xxx-xxx.dynamicip.rima-tde.net.57197: Flags [.], ack 8303, win 1050, options [nop,nop,TS val 1452694899 ecr 16309141], length 0
16:28:41.881146 IP mad07s09-in-f14.1e100.net.https > xxx.red-xxx-xxx-xxx.dynamicip.rima-tde.net.57197: Flags [P.], seq 48627:48721, ack 8303, win 1050, options [nop,nop,TS val 1452694921 ecr 16309141], length 94
16:28:41.881295 IP mad07s09-in-f14.1e100.net.https > xxx.red-xxx-xxx-xxx.dynamicip.rima-tde.net.57197: Flags [P.], seq 48721:48811, ack 8303, win 1050, options [nop,nop,TS val 1452694921 ecr 16309141], length 90

En este caso, a pesar de que Dig lanzó la petición DNS y quedó resuelta correctamente, tcpdump no es capaz de detectar tráfico por el puerto udp 53. Para poder “capturar” el tráfico, tendríamos que escuchar con tcpdump en el puerto TCP 443, como podemos ver… o no ver, porque el tráfico va encriptado, como mucho podemos saber que se está lanzando tráfico https a un servidor de google, pero imposible saber de que se trata, y menos aun pensar que es tráfico DNS.

 

Conclusiones

Es muy interesante que por fin tengamos un sistema fiable (y más importante, usable) para el cifrado DNS, y que por supuesto esté siendo estandarizado. Mozilla se ha puesto a trabajar duro en ello, Google está dando pasos agigantados también en la misma dirección, con lo que es de esperar que el resto se vayan uniendo a la fiesta. Esto no quiere decir que en dos días, un mes o un año todo el tráfico DNS irá cifrado, ni muchísimo menos. Del mismo modo que desde hace años disponemos de DNSSec, lo cierto es que solo un % pequeño lo usa, la mayoría de las Webs tampoco están adaptados para esto. DNS no se puede sustituir, pero si podemos imaginar que cada vez más servidores DNS convencionales permitirán su uso como resolvers DoH. Esto, sumado a que puede ser incorporado de forma transparente en las aplicaciones que se requieran, hace previsible su uso en muchos campos.

De los modos sistemas mostrados aquí, posiblemente para el usuario normal el que puede empezar a usar si así lo quiere es a través de Mozilla Firefox. Que yo sepa, a día de hoy Chrome no puede configurarse de un modo similar, pero es solo cuestión de tiempo, si es que no se puede ya. Esto no nos protegerá la red de nuestra casa, pero si todo el tráfico que generemos desde el navegador.

Para quien quiera aventurarse un poco más, puede instalar en local DNSCrypt-Proxy y configurarlo en su equipo para aplicarlo de un modo integral a su propio equipo, y por último, los más osados, pueden hacerlo en el Router, y afectar a todo el tráfico que genere nuestra red local.

Esto no va a saltarse de golpe todos los bloqueos existentes, no va a hacer que nadie bajo ningún concepto pueda saber las direcciones que visitamos, pero sin duda alguna es un plus muy importante a nuestra privacidad, sobre todo si tenemos un portatil o un dispositivo móvil el cual usamos en redes de datos de los ISP o en redes WIFIs públicas o que no controlamos, es aquí donde la configuración por aplicación es igualmente importante. Es decir, ya se use en el Router o en las propias aplicaciones, un uso no sustituye el otro.

Los problemas de rendimiento están presentes, no podemos engañarnos, pero es cierto que la inmensa mayoría de las veces son imperceptibles, y solo de cuando en cuando notamos realmente un “parón” en la resolución DNS y tarda algo más de lo habitual. Pero el 99% del tiempo no notaremos ninguna degradación.

Hay que entender que de cualquier modo todo es muy experimental, el estándar no se ha terminado de aprobar y algunas cosas aun cambiarán, por suerte para mejor con seguridad.

Saludos.

¿Que es el nuevo Reglamento General de Protección de Datos (RGPD), que no está dejando títere con cabeza?

 

LOPD (antigua) Vs RGPD

El día 25 de Mayo de 2018 será recordado, con bastante seguridad, por ser un antes y un después, porque han cambiado las reglas del juego, las reglas de un juego en el que el producto era el propio ciudadano, y el vendedor y el comprador empresas de medio mundo. Pero antes de entrar en detalles… ¿Que diablos es la RGPD?

En España llevamos años rigiéndonos por la Ley Orgánica de Protección de Datos (LOPD), supervisada por la agencia de protección de datos. Este organismo ha tenido un papel fundamental en los últimos años, sobre todo si tenemos en cuenta que cada año que pasa nos metemos más de lleno en una sociedad totalmente “tecnologizada”, en una sociedad donde cada vez vale más nuestra información, lo que hacemos, lo que nos gusta, todo. Y si tengo que ser justo, tengo que decir que al contrario de la opinión que tengo sobre como funcionan la mayoría de las cosas aquí en España, la agencia de protección de datos a cumplido con su cometido, ha sido tanto comprensible,  flexible, firme como implacable, en función de las irregularidades, y más importante, de la intencionalidad.

El Reglamento General de Protección de Datos (RGPD) no es una ley ni un reglamento Español, tiene un alcance Europeo, es el acuerdo de años de trabajo de la UE, y digamos que sienta las bases, unas nuevas bases, de como se deben de tratar, recolectar, vender… cualquier dato/información de carácter personal de sus ciudadanos. Esto no va (solo) del mundo digital, ojo, esto se aplica absolutamente a todo. En España, el RGPD sustituye/modificará por tanto la LOPD actual, para darle cabida. Y sí, es de obligado cumplimiento para todos. Nuestra ya vieja LOPD, si bien es cierto que en algunas cosas era más restrictiva, en muchas otras se quedaba corta. El RGPD unifica en territorio europeo las nuevas reglas del juego de los datos personales.

El que más o el que menos ya sabe lo que es la RGPD. Vale, puede que desconociesen lo que estaba detrás, pero lo lleva viviendo cuanto menos desde el 25 de Mayo de este año. Hay que tener bien claro que el RGPD se aprobó hace ya dos años, el 25 de Mayo de 2016, lo que sucede es que se dio un plazo de 2 años para que absolutamente todo el mundo pudiese adecuarse al nuevo reglamento, y la fecha del 25 de Mayo de 2018 sería la fecha límite para empezar a aplicarlo por obligación. Pero como pasa siempre, y pese a esos 2 años de plazo, ha cogido a una cantidad ingente de compañías, entidades, organismos… con un pie fuera, y con dos también. Mientras escribo esto es 6 de Junio, han pasado solo 12 días desde la fecha límite, y os puedo asegurar que la sacudida, la relevancia que está teniendo es épica.

¿Pero que tiene el nuevo RGPD tan “especial” como para afectar tanto? ¿Es tan diferente a la actual LOPD? La LOPD actual ha sido una ley muy positiva, que no siempre se ha cumplido sobre todo a un nivel más de calle, pero tuvo un impacto bastante bueno. El RGPD básicamente no solo devuelve el derecho sobre nuestros propios datos, sino que obliga a cualquiera que los recopile/use/venda/comparta… a:

1º. Especificar de un modo claro, entendible y sencillo que uso se van a hacer de ellos, a quienes se les va a vender/ceder/compartir, el uso a su vez que podrían hacer esas compañías… todo.

2º. Solicitar/requerir permiso explícito sobre todo ello y de un modo granular, nuestro consentimiento no puede ser tácito o sobreentendido, tiene que ser igualmente claro y sin “trampas”, sin denegarnos posibilidad de usar dichos servicios en caso de rechazar la explotación de nuestros datos, a menos que claro está que estos sean totalmente necesarios para el uso de dicho servicio/producto o lo que sea, pero en cualquier caso debe de existir un consentimiento expreso.

3º. Permitirnos acceder de un modo simple, legible, cómodo… a absolutamente todos nuestros datos que poseen, ya sea la finalidad que sea, incluyendo por supuesto la eliminación de todos ellos si así lo queremos, haciendo por ley por tanto el consabido derecho al olvido.

4º. El Reglamento no puede aplicarse de forma retroactiva, pero obliga también a que nos tengan que solicitar de forma expresa, en las mismas condiciones anteriormente citadas, nuestro consentimiento por los servicios y otros que en su día aceptamos al amparo de otras leyes.

5º. Transparencia y tomar las medida de seguridad y control que sea necesarias para salvaguardar los datos que se tengan. Eso quiere decir que ante cualquier fuga de datos, fallo del sistema.. tendrán que demostrar que cumplían con normas básicas de seguridad y que la privacidad era parte importante desde el principio, e igualmente informar tanto a las autoridades como a los afectados sobre dicho problema.

Obviamente el reglamento es mucho más complejo, pero de cara al ciudadano, lo más importante es eso.

Las multas serán ejemplares por otro lado para los menos cumplidores. Hablamos de un 2% a un 4% de la facturación o de 10 a 20 millones de euros, no es calderilla desde luego.

 

No parece tan malo el nuevo reglamento, ¿Por qué tanto revuelo y quejas?

A priori, para la inmensa mayoría todo suena muy bueno, somos felices con todo ello. El problema es que llevamos muchos años en una sociedad donde somos el producto, donde somos los que nutrimos y alimentamos a cientos y miles de empresas con nuestros datos. Esto es complicado de ver a veces, muchos se preguntan que valor puede tener para una empresa cosas en principio con tan poca importancia como saber nuestra edad, o nuestro nombre, o nuestro sexo… si hablamos del teléfono o el correo electrónico muchos podrán entenderlo mejor, porque el uso publicitario de ello es más inmediato, pero el resto de datos tienen el mismo valor. Servicios como Facebook, Instagram, Twitter, Google, Apple… recopilan ingentes cantidad de datos nuestros a cambio de usar sus productos/servicios. Esas empresas generan miles de millones de uros gracias a nuestros datos. Publicidad dirigida, big data, estudios…

La repercusión es inmensa, porque si bien es cierto que para muchas grandes empresas el negocio del bigdata es secundario, para muchas otras es de primer nivel, y el nuevo reglamento va a disminuir enormemente tanto la cantidad como la calidad de los datos, a fin de cuenta ahora el control va a tenerlo de un modo más férreo cada persona. Pensemos en cosas simples, no hace falta ejemplos sofisticados. Si entramos en una web que usa Google Analytics sencillamente para tener una idea de visitas y otros, aunque sea sin animo lucrativo siquiera, requiere confirmación expresa, denegarlo o simplemente no interactuar, implica que no puede usarse con nosotros, con lo que para empezar, la totalidad de Webs que “monitorizan” del modo que sea sus visitas van a ver un descenso brusco de estas. Y fijaros que el ejemplo más sencillo no puede ser. Bien pues si eso pasa con una web de cualquier individuo, pensar que pasa con una web de una compañía/empresa. Pongamos de ejemplo la web del diario “El PAIS”, el cual no cumple rigurosamente por cierto con la nueva normativa, y vemos en su política de Cookies una lista de terceras empresas con las que se colabora y usan nuestros datos.

En lo personal, entiendo que mis datos son necesarios para las empresas y que contribuye a que pueda usar ciertos servicios de forma “gratuita”. Lo mismo pasa cuando usamos aplicaciones gratuitas muchas veces, asumimos que lo “gratis” es pagar con algo de nuestros datos. Me parece bien, lo asumo, pero siempre que ese uso y esa recolección de datos sea proporcionada. Antes era el gran coladero, en el mejor de los casos tenías una opción escondida para compartir datos, y páginas incontables de condiciones legales. Ahora todo va a ser más simple y sencillo, quienes no quieran arriesgarse tendrán que ser claros, permitir granularidad y ante la duda no recopilar ni usar nada.

Muchas empresas tendrán que cerrar directamente, lo que antes era el pan nuestro de cada día hoy no será viable, sobre todo si tenemos en cuenta que una vulneración de nuestros derechos conllevará sanciones importantes. Otras se verán muy afectadas al ver como el gran volumen que manejaban cae enormemente. Y otras, las que menos, sencillamente tendrán las herramientas necesarias para que simplemente el usuario pueda hacer lo que alguna vez a lo mejor quiere hacer: Saber que datos tienen de uno, y permitir o denegar su uso en las condiciones que dicen, sin ser abusivo.

Se ha hablado mucho de que las sanciones son desproporcionadas, tal es así que muchas empresas no europeas, están denegando el acceso a sus servicios/webs/otros a ciudadanos Europeos por miedo de incumplimiento. Otras, no han optado por algo tan radical, pero si han creado versiones específicas (mismo contenido realmente) para los Europeos para poder cumplir con las normativas nuevas. Esto nos da una idea del tráfico actual que existe/existía de datos personales, de nuestros datos personales. Cuando una empresa prefiere denegar el tráfico a los Europeos a sus servicios por miedo a no cumplir con la RGPD, te da que pensar, a saber que barbaridades están haciendo. Pero lo mismo para aquellas empresas/servicios que crean versiones especiales ahora para poder cumplirla. Hace un rato, leía no recuerdo donde, que habían hecho experimentos en diferentes diarios extranjeros para ver cuan diferente podían ser estas “versiones” de webs para europeos y para el resto… los resultados estremecedores, las webs que cumplen ahora con la normativa europea pesaban algunas incluso un 90% menos!!, con lo que cargaban mucho antes también. ¿Por qué? Pues porque el grueso de una web a día de hoy es el contenido audiovisual, scripts y otros, y todo ello muy de la mano siempre de la publicidad, estadísticas, analíticas y tantas otras cosas.

No estoy diciendo que el RGPD sea el mejor, es más, llega muy tarde, llevan con él años y años y años… pero eso no quita con que no sea positivo. Existen flecos, existen algunas dudas, pero la mayoría de quejas que se han levantado son quejas de aquellos precisamente que lo hacen con la boca pequeña y mirando hacia otro lado. Es de esas leyes/normativas que aunque te contravenga, ponerte en su contra es casi imposible debido al sentido común, ética, impacto y derechos propios…se ha intentado criticarla poniendo de facto que al final el perjudicado serán las PYMES o usuarios particulares como bloggers, “influencers” y otros..  El reglamento viene para cumplirse, y a medio largo plazo se va a cumplir seguro, pero aunque las sanciones pueden ser muy muy duras, eso no significa que porque un bloggero de moda no ponga o se le olvide poner una casilla de verificación, le va a llegar una multa estratosférica. En primer lugar siempre se alertará, se dará un toque de atención se…. se es realista, eso sin contar que se tendrá muy en cuenta también tanto el volumen de datos que se manejan como su importancia y otras cuestiones.

Bien, llegado a este punto, para quien ande perdido y vea que esto va en serio. Yo no me dedico a venta de datos ni a compartirlos ni a nada, pero por ejemplo este blog es mío. Bien, yo estoy obligado a cumplir con el nuevo RGPD. Pero parece absurdo si realmente… ¿qué datos de caracter personal puedo recoger yo? No recopilo información de nadie, no vendo nada, no publicito nada… aun así, hay 3-4 cosas que tengo por ley que dejar claras:

1º. Lugar siempre visible de política de privacidad y cookies
2º. En mi caso, el único contenido externo creo recordar que es Google Analytics para contar visitas, pues aun así tengo por defecto que no usarlo, y solo usarlo si se me da un consentimiento expreso que saldrá en pantalla.
3º. El formulario de contacto ahora tiene que incluir por narices una casilla de aceptación de la política de privacidad y cookies. En mi caso es muy simple porque los únicos datos que se recogen son lo mínimo imprescindible, pero da igual, tengo que decir bien claro que voy a hacer con esos datos, para qué… etc etc

Y todo eso en un blog que es, o intenta al menos, ser escrupuloso con la privacidad y el respeto a los usuarios, sin publicidad, sin tráfico de datos, sin absolutamente nada. Imaginad ahora que pasa cuando se trata de una empresa que se dedica a traficar con datos y un buen día de buenas a primeras tienen una filtración de datos, o se descubre que nos han engañado y han estado vendiendo nuestros datos sin nuestro consentimiento. Pues aun así, pese a los ya pequeños cambios que he realizado en mi propio blog, es posible que aun esté violando el RGPD en algún punto, no soy jurista a fin de cuentas, pero lo más importante que podemos ofrecer cualquiera que sea un comunicador, es ser transparente. Sin transparencia no hay confianza, y sin confianza…

Las empresas de cierto tamaño lo van a tener más complicado, pero también tienen infinitamente más medios. Desde designar delegados específicos, rediseñar la privacidad desde cero, auditorias.. pero señores, hablamos de cosas serias, no tengo nada que ocultar, pero no me gusta que se me use como moneda de cambio y sin yo saberlo.

 

Futuro Inmediato

El efecto ya lo estamos viviendo, y vendrá además por fases.

La primera fase la llevamos viviendo algunas semanas y meses, ¿cuantos correos electrónicos hemos recibido de diferentes sitios, muchos de ellos sin siquiera saber quienes eran, sobre actualizaciones de políticas de privacidad y para pedir nuestros consentimientos? Muchos, yo he perdido ya la cuenta…

La segunda fase ha empezado hace poco, y cada vez más vemos en todas las webs avisos mucho más concretos, posibilidades de denegar el rastreo o incluso la publicidad. En algunas nos dejan seleccionar cookie a cookie, empresa por empresa, que permitimos y que no. Y esto va a continuar, se acabaron carteles ambiguos o el aceptar de forma pasiva las cosas. Muchos que se están adecuando van a tener que volver a cambiarlas, lo estoy viendo a diario… sí, han cambiado 2 cosas pero siguen violando el RGPD. Como todo habrá que esperar a que pase un tiempo a que se asiente todo. Esto se aplica no solo a páginas webs, lo vemos también en aplicaciones, software, todo.

La tercera será más dramática, y serán cortes y cierres. Muchas muchas aplicaciones a día de hoy de App Store o Play Store se nutren de publicidad, de venta de datos de… serán ilegales si no cumplen con el RGPD, y eso implica consentimiento expreso, granularidad, explicación… aquellas, las más “dañinas” para nuestros datos se verán obligadas a cerrar porque no será rentable, ni los ciudadanos estarán dispuestos a dar los datos que exigen. Muchas otras podrían ver un decremento muy importante de sus ingresos indirectos/directos a los datos privados y hacer que dejen de ser rentables. Y repito, esto mismo se extrapola a Webs y otros negocios, ya se han visto muchos casos.

La cuarta fase, serán tribunales. Un negocio tan lucrativo no se va a abandonar así como así, y las trampas siempre han existido, desde moverse siempre en la fina línea de lo legal y lo ilegal, hasta simplemente las cazicadas de mentir/engañar y robar datos sin que se sepa. Pensar que no han pasado ni 12 días y las grandes compañías ya estan TODAS denunciadas. Sí, Facebook, Google, Apple… No creo que en ese punto haya a corto plazo sanciones importantes y poco a poco se adecuarán seguro, pero, y espero equivocarme, asistiremos a algun que otro escándalo multimillonario de alguna gran empresa por pasarse por el arco del triunfo la nueva normativa e ir con “maldad”.

 

Hay que ser realistas, y entiendo que muchos productos y servicios son posibles a que nosotros mismos nutrimos sus bases de datos, y lo acepto, y lo asumo. Pero quiero saberlo, quiero saber que se hacen con mis datos, quien los tiene y que uso le dan. Para mi la importancia no radica tanto en multas o en que no tengan mis datos. Siempre lo he dicho, cuando instalo una app interesante y se me solicita de forma adecuada si quiero compartir con los desarrolladores o incluso terceros datos anónimos de uso o alguna otra cosilla, casi siempre les digo que sí, entiendo el valor y la importancia que tienen para ellos y yo me estoy beneficiando. Pero siempre que entienda que es razonable lo que se pida. Tengo Facebook, pero en el equipo, no uso Facebook en el móvil. Lo desinstalé hace años cuando vi que, sin preguntar, sin necesitar y sin nada, Facebook estaba constantemente intentando recopilar datos de geolocalización propios, o mi agenda de contactos o… Repito, hay usos directos y necesarios, usos entendibles, usos “razonables”, y hay mucho mucho abuso. Y contra el abuso si me posiciono y lo denunciaré siempre que pueda públicamente… (estoy preparando un artículo sobre Movistar al respecto, no creo que les haga mucha gracia, y menos con el nuevo RGPD)

No hay que ser alarmistas, para los que podemos vernos afectados desde un punto de vista de “adaptar” webs o empresas o… es muy simple: Buen hacer, buena voluntad, transparencia, y pensar que nos beneficiamos todos. Si se va con buena fe y voluntad, en realidad es sencillo cumplir la nueva normativa, y como usuario que soy, también, me siento más seguro y más tranquilo.

Vuelve a pasar, “un carácter de la muerte” vuelve a los equipos de Apple

Para quien no esté al corriente de otras ocasiones, digamos que actualmente cualquier dispositivo de Apple (iOS o MacOS) por actualizado que esté (excepto versiones betas) provocará el cierre/bloqueo de la aplicación si esta tiene que renderizar un carácter concreto. En este caso es un carácter Telegu, un dialecto Indio: జ్ఞ‌ా

Sí, eso significa que incluso este mismo post producirá el bloqueo/cierre de la aplicación que lo abra en los dispositivos de Apple. Pero esto no es nuevo. Hace ya algunos años pudimos ver algo similar, aunque en aquella ocasión era más bien una cadena de texto: “سمَـَّوُوُحخ ̷̴̐خ ̷̴̐خ ̷̴̐خ امارتيخ ̷̴̐خ”. Ya en su día escribí un pequeño artículo al respecto:

La Cadena de la Muerte

La historia es la misma, de echo todo lo que puse en ese post se podría volver a poner aquí. La única salvedad es que en esta ocasión es un carácter, en vez de una pequeña cadena.

Vemos fallos de seguridad y bugs a diario, nadie se salva de ellos. La mayoría no suelen tener una gran transcendencia por grave que sean debido a que explotarlos es algo complicado. Es aquí donde este tipo de errores alcanza una importancia capital, aunque sea algo inocuo y que no afecte demasiado. Es decir, para que un fallo de seguridad o un bug sea realmente importante se deben de dar una de estas dos premisas: O que el grado de peligrosidad, a lo que afecta, sea enorme aunque sea muy complicado usarlo, o que con independencia de lo peligroso que sea, sea extremadamente sencillo disparar el fallo.

Algo similar vimos hace poco cuando se descubrió que cualquier usuario de MacOS podía resetear la contraseña de administrador de forma extremadamente sencilla, sin conocerla, sin tener los credenciales necesarios. En dicho caso, la peligrosidad, al margen del efecto logrado, es que era algo tan simple como hacer clic dos veces en un botón.

Vivimos ahora mismo en el mundo de las comunicaciones. Es más, la mayoría que lea este artículo lo hará posiblemente desde un teléfono. La mayoría del tiempo que pasamos con nuestros dispositivos es usando aplicaciones de mensajería instantánea, redes sociales, webs… es decir, precisamente los vectores por donde cualquiera, repito cualquiera, podría usar dicho carácter. Muchos podrán pensar que bueno, es cuanto menos “divertido” pero realmente no tiene mucha importancia, quien ha visto alguna vez ese carácter, y que en nuestros círculos no va a suceder. El problema es que mientras que Apple lance la actualización o no, y más sitios se hagan eco, más copias de dicho carácter veremos, en todos lados.

Usas WhatsApp?? No importa, como alguien lo use de esto, los usuarios de iOS que lo tengan a él en la agenda y vea la lista de estos no podrán abrirlo. Y en grupos?? Prueba y verás la gracia. No es peligroso desde el punto de vista que no van a robarte información ni acceder a ella, ni van a producir un daño a tu dispositivo irreparable, ese no es el problema. El problema es que sencillamente cualquiera puede dejarte inutilizada la mayoría de aplicaciones que se usan a día de hoy, ya sea por diversión, a modo de prueba…

Actualmente, como he dicho, no hay solución. Sólo la versión Beta de iOS última parece solucionarlo. Pasarán posiblemente días o alguna semana antes de que Apple lance una actualización formal. Quien use Apple, no puede protegerse de otro modo, en todo caso actuar si se ha recibido el carácter o hay sospecha de ello. Dependiendo del medio, tendrá que realizar diferentes acciones. Así por ejemplo si el carácter lo recibió por Safari al acceder a una web, tendrá que evitar dicha dirección, e incluso a lo mejor necesario eliminar del historial la página. Si es por WhatsApp en un estado, eliminar a dicho contacto, si es en un mensaje, eliminar dicho mensaje o incluso es muy posible que eliminar el historial de dicho contacto, o todo el historial… etc etc etc.

Así que amigos manzaneros, cuidado, si estos días el terminal se bloquea en algunas aplicaciones, cierres forzados de estas, congelaciones… puede ser que algún bromista (me declaro culpable de serlo también) esté causando estragos en tu dispositivo. Pero antes de las consabidas críticas, tener presente algo: No justifico en modo alguno quien lo haga de forma lesiva o para molestar o producir mal a otros, pero en el peor de los casos pensar que es como darle un caramelo a un niño pequeño, si se lo das se lo va a comer, lo que tendría que tener más cuidado Apple (o los padres) es que estos escenarios no vuelvan a producirse, que con este ya son 3-4 las veces que ha sucedido.

¿Y por qué sucede? Es por el modo que Apple renderiza las fuentes. Mientras no se cambien o al menos modifiquen como interacciona con el sistema, es muy posible que antes o después vuelva a aparecer otro “carácter” o frase o… y que la historia, de nuevo, vuelva a repetirse.

Saludos.

Cómo me “enamoré” de Xiaomi

No hay demasiadas “actitudes” que me den más pena que el fanatismo que existe a día de hoy; prácticamente sobre cualquier cosa. Siempre he creído que se puede ser fan de cualquier cosa, pero hay que tener cuidado de no convertirse en un fanático. Para mi la diferencia radica en que el fanático se deja llevar ya no sólo de un modo desmedido, sino sin atener a razones, motivos, números, explicaciones… Cuantos fanáticos conocemos, adoradores de alguna marca, que año tras año, y como si fuese un sectarismo, se acude a la misma por razones que por lo general son en el mejor de los casos vagas, sin sostenerse (las razones), dejándose llevar por el marketing o las opiniones del de al lado, y no mirando las verdaderas necesidades que uno pueda tener.

Antes que nada, y para evitar aquellos mal pensados, quiero dejar claro que jamás he recibido hasta la fecha un sólo céntimo (ni directa ni indirectamente) por parte de Xiaomi, ni regalías ni favores. Todo lo que expongo a continuación es mi mera opinión basada en estos últimos años. Como he hecho otras veces, antes que Xiaomi, cuando una compañía hace las cosas bien, creo que también hay que decirlo. Repito, es mi experiencia, estoy seguro que no habrá sido la misma para todos, y por supuesto respetando a cualquiera que pueda tener otra idea de ello.

 

Dejadme, a modo introductorio, contaros una historia

Aun a día de hoy hay quienes dicen que soy demasiado crítico con algunas empresas/marcas, especialmente con Apple. Bueno, para quien no lo sepa, mi blog original lo creé porque estaba cansado de aguantar algunas censuras y restricciones que tenía en, no recuerdo ya siquiera cual fue, foro precisamente sobre iPod Touch/iPhone. Puedo decir que adquirí el mío mucho antes de que se comercializasen aquí en España, y como me ha pasado siempre, empecé a destriparlo todo lo que pude, y a estudiarlo. Pero iPhone no era lo que es hoy, ni tampoco Apple. Lo más gracioso de todo es que la inmensa mayoría le da el éxito de los terminales actuales a Apple, y la historia es bien diferente, al menos para los que la conocen. Por aquel entonces no podía instalarse absolutamente nada en el dispositivo, no había una AppStore, no había SDK para crear aplicaciones, no había nada. El iPod Touch era un iPod de nueva generación con gran pantalla y táctil, y el iPhone lo mismo pero con posibilidad de realizar llamadas. Tampoco fue un gran shock, y habría quedado ahí si no fuese por los verdaderos autores del “boom”.

¿Que sucedió? que un buen día se logró de forma “sencilla” acceder como root al terminal, y ahí empezó todo. La curiosidad permitió crear aplicaciones nativas simples como servidores SSH, pequeñas utilidades… y poco a poco gracias a ingeniería inversa y la dedicación de la comunidad, aplicaciones con interfaz propia. Ya no sólo podíamos hacer llamadas y tener un teléfono que realmente poco o nada nos daba en comparación a la competencia, ahora podíamos instalar algunas utilidades extras, muy útil e interesante desde el punto de vista de los amantes en tecnología. Y entonces apareció él, para mí siempre será el “padre” de los móviles de hoy en día,  y no precisamente porque se dedicase a fabricar hardware, sino porque fue quien logró que se pusiese la maquinaría que hoy nos lleva aquí: Jay Freeman, conocido como Saurik. Saurik no sólo permitió/colaboró los primeros Jailbreak en iPhone/iPodTouch, sino que fue el creador de Cydia. Cydia fue/es un gestor de paquetes que creó para estos dispositivos, de modo que ahora los amantes de esta plataforma podían tener un lugar centralizado donde acceder a aplicaciones creadas en su integridad por la comunidad. Tan sólo tenías que añadir repositorios a Cydia, y este, al más puro estilo Linux/Unix accedía a ellos, listaba los paquetes disponibles y permitía instalarlos. Cydia era más que un gestor de paquetes, por debajo había todo un Framework para permitirlo. Pasaron muchos meses y años, y Cydia no paraba de crecer, donde se podían encontrar aplicaciones de pago incluso. Hasta que los de Cupertino quisieron enriquecerse a su costa.

Aquí empezó mi rechazo a Apple, sus políticas. Apple “copió” lo que era Cydia, para crear su propia tienda de aplicaciones. Entonces, hasta hoy, empezaron a jugar al ratón y al gato para poner cada vez más complicada la posibilidad de hacer Jailbreak, y con los años mataron, como es natural, Cydia. Lo triste de todo es que la AppStore no fue más que “el “trabajo robado” de toda una comunidad y de una plataforma totalmente abierta. Apple lanzaría su SDK, su AppStore, en paralelo ya corría Android y bueno… el resto lo conocemos más o menos todos. Así que podéis creerme, no me caso con nadie. Yo mismo creé mi propio repositorio para Cydia y algunos parches para iPod Touch/iPhone en su día, viví todo aquello.

Desde que existe el teléfono móvil, he pasado por todo tipo de dispositivos. Mi primer terminal fue el gran Alcatel One Touch Easy, me arriesgo a decir que el terminal más resistente que jamás se ha creado. De allí creo recordar que salté a Sony / Ericsson: T20e, T610i, K700, K610, W760 y C905. Luego iPhone 1G, luego HTC, Samsung, LG, y ahora Xiaomi. ¿Por qué todo esto? Bueno, como he dicho para alejar fanatismos, los tiempos cambian, las empresas y sus productos también, e incluso las propias necesidades lo hacen… pero siempre motivadas (las necesidades) por uno mismo, no por terceros.

En cualquier caso, esto no va de móviles siquiera, sino de una compañía en concreto, Xiaomi. Quizás el panorama del teléfono Móvil es el más significativo, pero no escribo un artículo para expresar lo contento o descontento que estoy de mi terminal, sino por la increíble escalada que ha dado esta compañía, podríamos decir que incluso mes a mes.

 

Xiaomi

La empresa se fundó en el 2010, aunque no sería hasta 2012/2013 en el que empecé a escuchar algo de ella. Fue la partida de Google del gran Hubo Barra (para tomar la vicepresidencia en Xiaomi) cuando empecé a indagar y echar un ojo en serio a lo que esta empresa estaba haciendo. Recordemos que de esto hace tan sólo un suspiro, y más cuando hablamos de empresas tecnológicas… y la proyección que ha tenido desde entonces.

En lo personal creo que el gran éxito de Xiaomi se ha debido a 3 factores fundamentales: Inmejorable oferta relación prestaciones/precio, gran soporte continuado en el tiempo, y filosofía de software por lo general abierta (y escuchando al usuario.). Podemos decir que a día de hoy es una de las empresas que mejor ha sabido leer realmente al usuario, no fabricando dispositivos destinados a vendérselos “a la fuerza” los necesiten o no los usuarios, sino mirando sobre todo a lo práctico.

 

Dispositivos

Mi primer gadget Xiaomi fue su Router Mi WIFI Mini. Buscaba un repetidor WIFI sin demasiadas pretensiones, así que empecé por los últimos que había adquirido para terceras personas (amigos, familiares y otros). TP-Link o D-Link habían sido anteriormente mis opciones, equipos baratos, funcionales y baratos, en una horquilla de los 20-30€. Y me topé con Mi Wifi Mini. Más o menos por el mismo precio de un AP 802.11n de 2 streams, tenía un Router completamente funcional, 802.11ac de 2 streams y posibilidad de poder usarse como AP/Repetidor/Router. Que diablos, pensé, no puede funcionar bien en la vida; ¿por el mismo precio que un AP sencillo tengo un hardware que en la competencia podría costar dos o tres veces más?. Un par de semanas después lo tenía en casa. Sólo diré sobre su funcionamiento/rendimiento que poco después compraría otro para otro allegado, y algo más adelante compraría su hermano mayor Mi WIFI R3. La experiencia fue inmejorable, y eso sin contar que incluso estética fue una gran sorpresa… para bien.

Mi segunda experiencia vino con unos auriculares/manos libre, específicamente Xiaomi Earbuds Sports Bluetooth.  Buscaba unos auriculares principalmente para música, sin cables y tipo earplugs. Me pasó lo mismo, después de mucho buscar las alternativas viables dentro del mercado “convencional” se iban a más del doble. De nuevo, un gran resultado. Muy poco después y casi paralelamente le tocaría el turno a un altavoz Bluetooth, Mi Bluetooth Speaker, que aunque originalmente estaba destinado a otros menesteres, terminó formando parte del elenco, buen audio, salida auxiliar, micro y tarjeta SD… de nuevo un gran precio.

Los productos de Xiaomi se disparaban, empecé a recomendar a mi entorno gadgets y móviles Xiaomi: Mi5, Mi5s, Redmi 4/4x… y después de esperar durante meses a un eventual lanzamiento en España del Google Pixel, me decanté después de mucho pensarlo por mi Xiaomi Mi 6… y no me arrepiento. Lo mejor de todo es que jamás he comprado por marca, siempre que necesito cualquier cosa lo primero que hago es ver realmente mis necesidades, me informo de lo que tengo en el mercado, mido todos los pros y contras y tomo la decisión. Y la decisión, cada vez más común en estos años, ha sido terminar acudiendo a Xiaomi. Esto mismo me pasó buscando un trípode para móviles y cámaras compactas/de acción, de nuevo, sin siquiera saber que existía, terminé adquiriendo un Xiaomi Selfie Stick, un buen mini-trípode, extensor, gran diseño, materiales y botón BT remoto.

A día de hoy tendríamos que sumar a la lista para terminarla (de momento), la cámara de acción Xiaomi Mijia 4K y la cámara Xiaomi 360º Sphere.

No soy un novato en la tecnología, no soy un usuario “medio”. Por lo general requiero de prestaciones por encima de la media, una fiabilidad importante. Es posible que los productos de Xiaomi no logren nunca alcanzar el top 1 dentro de su categoría, pues no nos engañemos, hay dispositivos muy superiores prácticamente en todas sus categorías, que podemos encontrar en el mercado. ¿Es el Mi A1 el mejor terminal del 2017? ¿Es el Mi Wifi Mini el mejor Router AC? ¿Es la cámara de acción Mijia 4K la mejor? No, posiblemente no. Casi con toda seguridad el Galaxy S8 es mejor terminal, un ASUS AC-3200 es mejor Router, y una GoPro Hero 6 mejor cámara. La cuestión no es esa, la cuestión es la gran calidad y prestaciones que obtenemos por su precio.

La cuestión es que por 200€ podemos adquirir un Xiaomi A1, un terminal de gama media-alta con la mayoría de todos los avances actuales dentro de los terminales móviles. Hace nada una persona muy cercana (usuaria siempre de iPhone) me comentaba que iba a comprarse el iPhone X. Gran compra le dije, si es que estás dispuesta a gastarte 1200€, y más importante, te compensa. Pero, ¿es que no tiene mejor cámara? ¿es que no tiene reconocimiento facial? ¿es que..??, sí, por supuesto, el iPhone X es mejor terminal que el Xiaomi A1, el problema no es ese… el problema es que para una persona normal, y con normal me refiero a más del 95% de la población, no van a notar en el día a día una mejora significativa. La cuestión es sencilla, por el precio que compras un iPhone X de Apple, puedes llevarte a casa 6 Xiaomi Mi A1. Ahí radica el éxito de Xiaomi, eso es lo que hace grande sus dispositivos. De forma similar, no dudo que una GoPro sea mejor en números que una Mijia 4K o incluso que la Yi… la cuestión es que por el precio de la GoPro puedes adquirir varias Mijia 4K, y os puedo asegurar que no tiene mucho que envidiarle.

¿Como ha logrado Xiaomi esto? ¿Donde está la trampa? Bien, hay dos factores importantes. El primero, y todo hay que decirlo, es que por lo general adquirimos sus productos en retailers extranjeros, ya sea GearBest, GeekBuying y tantos otros, y eso exime el pago de impuestos… siempre y cuando por supuesto estemos dispuestos a arriesgarnos a Aduanas, a no tener garantía… Pero existe un segundo factor mucho más importante. El primero lo es, pero recordemos que en España ya es posible adquirir algunas cosillas oficialmente en su tienda, y aunque los preciso son más inflados, aun compensa y mucho. El segundo factor de peso es, como dije anteriormente, han sabido leer realmente que necesita el usuario, sin maquillaje, y esto me gustaría extenderlo un poco más.

Por desgracia, la inmensa mayoría vive presa del consumismo, de los números, víctima del marketing barato. Hemos visto móviles que en su letra grande enseñan que poseen pantallas 4K, 128GB/256BG de almacenamiento, cámara de XMP… números, números y números, cuando la mayoría de ellos (sin dejar de ser ciertos ojo) realmente no tienen ningún impacto en el usuario de forma práctica. Es muy sencillo, un panel 4K para un móvil de 5-6 pulgadas es totalmente absurdo!! El ojo humano es incapaz de percibir más de 300dpi, cosa que se alcanza y de sobra con un panel FullHD, y consumiendo por cierto mucha menos batería. Lo mismo podemos decir del resto de la mayoría de las características que nos suelen poner en grande… ¿¿de verdad alguien necesita 256GB en el móvil?? Señores mi terminal es de 64GB, y después de unos 9 meses de uso tengo libre más de 50GB, y lo único que es verdad que hago cada cierto tiempo, y por seguridad, es vaciar fotos/vídeos, sin contar que sigo teniendo acceso a ello por Google Photos.

No nos engañemos, incluso los usuarios que podemos llamar de perfil avanzado no necesitan lo que les venden. Y este es el éxito de Xiaomi. No te voy a poner pantallas 4K que encarecen enormemente el producto y que además no sirve absolutamente para nada, te sobra con una FullHD, y a cambio te cuesta a lo mejor 100€ menos. La mayoría no juega constantemente, puede que determinado rango de edades, pero para la mayoría no es necesario tampoco el SoC más potente, ¿por qué no usar un buen SoC, fiable pero más barato? Qcom está haciendo un trabajo sensacional en la gama media. Y esto es aplicable no sólo a los móviles, sino a cualquier producto que vemos. No te venden el dispositivo más rápido, ni el más bonito, ni el más novedoso… te venden por lo general lo más equilibrado y a un gran precio.

 

Soporte

Para mi el soporte de un producto es esencial, por no decir que es de lo más importante cuando adquiero prácticamente cualquier gadget. He tenido malas experiencias en el pasado, y continúo criticando duramente a aquellas compañías que después de lanzar un producto lo abandonan a su olvido. Hay que ser también realistas, no podemos pretender que algo tenga un soporte de por vida. Supongo que en este punto es complicado llegar a estar alguna vez satisfechos, siempre querríamos ver como lo que hemos adquirido lo mantienen con mimo pese la suma de años. Pero las cosas no funcionan así, y ya sea por falta de presupuesto, por mala gestión, o sencillamente porque muchas empresas tan sólo les importa el vender y sacar nuevos productos, rara vez encontramos que un producto tiene un soporte de más de 1-2 años.

Obviamente muchos dispositivos no requieren de un soporte siquiera, quitando la garantía y en todo caso algún recambio. El problema viene cuando hablamos de un soporte por parte del Software que lo sustenta. Ya sean en forma de Bios/Firmware, Aplicaciones que los gestionan/manipulan, el propio software que los gobierna… posiblemente de nuevo lo más indicativo es si miramos los teléfonos móviles, pero para nada es algo específico de ellos, a día de hoy prácticamente la totalidad de los dispositivos tecnológicos que usamos son actualizables directa o indirectamente: PCs, Móviles, Routers, Cámaras, Altavoces, TVs, TV Boxs, Monitores, Drones… y repito sin contar las cientos de aplicaciones que tenemos para interaccionar con el hardware. Es importante, para mi esencial, que las políticas de soporte de los dispositivos que tengo son cuanto menos decentes. Para mí es imperativo que si mañana descubren un fallo de seguridad grabe en los Routers ASUS, en cuestión de días voy a tener disponible una versión nueva o un fix para ello. Y ya no sólo nos limitamos a problemas que puedan tener nuestros dispositivos a nivel de seguridad, sino que un buen soporte te va a brindar también mejoras importantes en el mismo dispositivo, correcciones de fallos, nuevas funcionalidades, más versatilidad… etc etc etc.

Hay muy pocas compañías que, en cuanto a soporte se refiere, podamos darle una nota alta. Los años por desgracia han ido poniendo en su lugar a más de una, y otras al contrario han logrado demostrar que sí respondían. Ejemplo de compañía que por lo general aprobaría con buena nota sería ASUS, Routers que pese a bastantes años después, siguen teniendo un soporte activo con actualizaciones no sólo de seguridad sino implementando y mejorando el software… y similar podemos decir como mayor fabricante de placas del mundo, actualizaciones de Bios generalmente extendidas bastante en el tiempo. Apple en el pasado también lo fue, un gran soporte sostenido en el tiempo, pero los últimos 10 años han demostrado todo lo contrario, gran decepción… el último fiasco, merecedor por cierto de un artículo exclusivo de ello, fue hace nada, cuando se descubrió que Apple en sus actualizaciones intencionadamente bloqueaba el uso de algunos procesadores a sus terminales de más de 2 años, produciendo que sus usuarios notasen un decremento de rendimiento actualización tras actualización, para que pensasen que su dispositivo estaba ya viejo y se viesen “obligados” a adquirir otro modelo nuevo (ni que decir tiene que los han demandado por todos lados). Samsung y Sony aprueban, lo cierto es que aunque quizás no con la mejor nota han logrado mantener un compromiso más o menos aceptable, lo cual se agradece teniendo en cuenta el pasado, han aprendido, espero, deseo que con el tiempo sigan mejorando. Google aprueba por pelos en cuanto a sus propios dispositivos Android, no así con sus aplicaciones/software, el cual aprueba con muy buena nota, pero teniendo en cuenta precisamente como son, tienen mucho margen de mejora. En fin… no vamos a detallar una a una las empresas, sería imposible…

El caso de Xiaomi es cuanto menos espectacular. Desde mi experiencia por supuesto, os diré que mi Router Mini/R3, tan barato, tan mono, tan… creo que salió al mercado sobre 2013/2014, pero es que después de más de 4 años está en mejor forma que nunca, actualizaciones habituales donde no sólo no solucionan problemas, sino que no dejan de mejorar el software e implementar cosillas nuevas. Cuando lo adquirí hasta la fecha, puedo hacer una larga lista de mejoras importantes.

Pero podemos mirar también a su división de móviles, en muchos casos superando incluso los 4 años de actualizaciones. En este punto hay que decir que es cierto que no siempre actualizando el código base de Android, pero al menos sí parches de seguridad y funcionalidades añadidas a través de MIUI, que a lo mejor no es la mejor capa de personalización (en lo personal la odio), pero es verdad que ha logrado llevar funciones interesantes a todo tipo de terminales. No todos sus terminales han tenido la misma suerte, pero aquellos que han sido mejor acogidos, han tenido un soporte bastante largo, muy lejos del año y medio al que parece que nos han acostumbrado.

 

Cercanía con el usuario y “apertura” a ellos

Esto es algo que me ha sorprendido. No es algo que me hubiese esperado de una compañía como Xiaomi. Es cierto que encontramos muchas otras que en este aspecto son sobresalientes, pero es mucho más sencillo para las grandes estar a la altura en este punto, como es el caso de Google. Quizás el título de esta parte no es muy auto aclaratorio… lo que quiero indicar es la importancia del trato directo de la compañía, que escucha al usuario, que se preocupa más de dar libertades al usuario que coartarlas. Google fue de los primeros que nos enseñó el valor de esto en muchos aspectos… fue Google con su familia Nexus quien logró que los fabricantes (y más tarde los propios ISP) permitiesen desbloquear por ejemplo los bootloaders de sus dispositivos, y lo que antes era algo extremadamente raro de poder hacer (sin hacks), a día de hoy casi la totalidad de fabricantes lo permiten, sí, con ciertas restricciones y letra pequeña, pero lo permiten. Esto ha permitido una comunidad mucho mayor, diversidad, un increíble aprendizaje para muchos (entre los que me encuentro), mayor confianza… se dieron cuenta que el usuario era algo que demandaban, y poco a poco se abrió el camino. Lo mismo lo vemos en otros hardware, no es algo específico de los móviles… ASUS por ejemplo en su división para hardware de red permite sin problema el acceso completo (root) a sus dispositivos, cosa que les hace ganar muchos enteros.

De cara a Xiaomi, en este aspecto, fue de los primeros que desde el principio ha permitido el acceso completo a sus equipos, sea de forma publicitada o no… da igual si es hardware de red, teléfonos, cámaras… nunca han querido complicar al usuario o coartarle libertades. Muchos pueden ver esto como problemas de seguridad, pero a mi modo de ver el usuario es mayorcito para saber que puede o no puede hacer como hacen otras, el colmo es que algo que compro me tengan que obligar a usarlo como ellos quieran que yo lo use… yo no soy así, lo siento, y si adquiero algo quiero poder hacer con ello lo máximo posible, aunque ello implique tener funciones o prestaciones por debajo de lo preestablecido, pero es mi decisión.

En cualquier caso no sólo se trata de que nos permitan ser dueños completos de nuestros dispositivos. Es necesaria una confianza, una cercanía, el sentirse “escuchado” por la empresa, que las opiniones importan, que los problemas se solucionan, que no se tira la culpa al otro lado, que se explican las cosas, que se entona el mea culpa si es necesario, que se da la cara y se responde como dios manda cuando existe cualquier problema, tenga la importancia que tenga. Básicamente, que no te dejen con el culo al aire. Google, repito, es un gran ejemplo de esto, sus grupos de soporte son muy amplios y con una comunicación directa con ellos. Es cierto que podrían dar muchas más explicaciones de las que dan, pero por lo general no esconden la mano y responden al usuario como deben. Por supuesto siempre hablamos en términos generales.

Xiaomi hace un trabajo muy bueno… quizás no llega al punto de Google, pero es notable. Foros oficiales de reportes de fallos, grupos amplios de usuarios beta/alpha para sus software, comunicados de los propios desarrolladores, noticias, explicaciones de decisiones que toman… Y todo ello mezclado con un gran “problema” que tiene Xiaomi que no tiene prácticamente ninguna otra compañía: Todo lo que abarca.

En realidad Xiaomi opera de muy diversas formas, sabemos que tienen dispositivos de todo tipo, desde hardware de red, audio, imagen, móviles, domótica, industria textil… pero no significa que Xiaomi fabrique o desarrolle todo ello. Xiaomi funciona con diferentes filiales propias como Mijia o Yi, por ejemplo, pero también con muchas otros fabricantes externos, los cuales permiten por así decirlo ponerle el sello de Xiaomi sólo si pasan una serie de controles, de especificaciones, de calidad de… esa es la razón por la que muchos no entienden como es posible que vendan casi de todo, patinetes, robots aspiradores, bombillas, adornos, televisores, cerraduras, drones, móviles, ropa… Y os aseguro que la gran mayoría de todos sus productos son bastante recomendables si se necesitan. Bien, aunar todo eso es extremadamente complejo, como es natural la compañía principal, Xiaomi, no puede dar la cara en todo ello, es imposible, y se delega precisamente en sus filiales o en esos externos. Y pese a ello, aprueban con bastante nota.

 

Unos puntos finales

Estamos acostumbrados a escuchar de forma despectiva eso de que no deja de ser una “empresa china”. Quizás ese san benito no sea capaz de quitárselo nunca. Esto no es algo que me preocupa demasiado, es también el desconocimiento del usuario. ¿Sabéis la de veces que he escuchado decir incluso con “asco” eso de que Huawei es una marca rara china? Sí, Huawei es una compañía china, pero de pequeña, de cutre, de falta de experiencia… tiene bien poco. Que la inmensa mayoría haya empezado a escuchar de ella “recientemente” por los móviles o que sea china, poco o nada tiene que ver con lo que es Huawei, una de las compañías de telecomunicaciones más grandes del mundo, que se dice pronto, y aun me atrevería decir que una mayoría aun la tildan de “chino malo”. Cisco no es una empresa que por lo general el público medio escuche nunca, y pobre el que pueda pensar o creer que es una empresa tercermundista (y no estoy para nada malmetiendo o desprestigiando a empresas más pequeñas, sean chinas, japonesas o Españolas).

China no es lo que era. Durante muchísimos años occidente ha usado China como su base principal donde asentar sus fábricas, mano de obra barata. Durante años las empresas han puesto allí sus mejores máquinas/tecnologías, y ha pasado lo que tenía que pasar, que China a aprendido, que los materiales que salen de sus fábricas ya no es ese plástico que daba miedo tocar, no son dispositivos mecánicos que al girarlo 2 veces se partía. A día de hoy la inmensa mayoría de todos los productos tecnológicos que tenemos vienen de allí, da igual que sea una empresa china o estadounidense, las fábricas muchas veces son las mismas. Han aprendido y siguen haciéndolo, y hay que decir que son bastante eficientes en “copiar”/”adaptar” tecnología.

Xiaomi está creando soluciones muy interesantes. Por supuesto está lejos de ser perfecta, y tiene algunos grandes problemas que aun la hacen poco “accesible” para muchos. El más importante, es que no es una compañía digamos internacional. Es verdad que ha aterrizado muy recientemente en España, con un abanico de productos bastante limitados. Para la mayoría, adquirir productos de Xiaomi que no estén en la tienda oficial Española puede ser un suplicio, y un riesgo, a veces no asumible por el usuario, cosa por otro lado totalmente normal. Al no existir una venta directa en nuestro país (en mucho de sus productos) se produce también muchos problemas indirectos.

Por ejemplo, la mayoría de sus dispositivos no están preparados para trabajar todo lo bien que podrían en las bandas de frecuencias con las que funcionamos aquí. Otra cuestión habitual es la necesidad de los adaptadores de cargadores y otros, por ser diferentes los usados en China que en Europa. Manuales e incluso el propio software de muchos de sus hardware sólo lo tenemos en chino!! Mis auriculares son geniales, los llamo cariñosamente “Juanchi” (关机 – Guānjī), que es lo que dicen cuando los apago. Xiaomi no es para todos, pero está conquistando a un ritmo vertiginoso todos los mercados.

Hay que entender que al margen de todo lo demás, Xiaomi puede ofrecer gadget a los precios que los ofrece (y no solo porque muchos los compramos fuera y no se pagan impuestos) porque su margen de beneficios es mínimo por venta directa. Para poner esto en perspectiva, pensad que el margen de beneficio de Apple con la venta de iPhone X es de aproximadamente un 60%. Es decir, que de los 1200€ que el usuario paga, unos 900€ van al bolsillo directo de Apple, y el resto para costear los gastos, pese a lo que muchos puedan pensar, el elevado coste que poseen no tiene nada que ver con el hardware que poseen, es más una cuestión de política de precios. Con esto en mente, pensad ahora que el margen de beneficio de Xiaomi por gadget, a lo mejor es de un 5%. No obstante, Xiaomi recibe inyecciones económicas por otro lado, por ejemplo por publicidad, datos estadísticos y otros que generan sus dispositivos, por ejemplo MIUI tiene preinstalado lo que podríamos llamar casi malware que nos puede mostrar publicidad, y recolectan datos sobre uso y más.

Como todo, es cuestión de preferencias. Hay quienes no tienen problema alguno en gastarse 700€ en un Samsung nuevo de última generación. Otros prefieren tener unos auriculares Sony de amplio espectro y cable… He oído decir más de una vez, por desgracia, que existen marcas/compañías más modestas porque sencillamente hay gente que no tiene tanto dinero para comprar lo que ellos creen que es la mejor marca. No es broma, forma parte del fanatismo de muchos, y eso da miedo: “Compras en Xiaomi porque eres un tieso, si tuvieses pasta te comprarías un iPhone/Samsung…”. No, actualmente compro más productos Xiaomi porque son los que más se acercan a lo que necesito. No necesito el Router más rápido del mundo, ni el teléfono con mejor cámara, ni necesito un lápiz óptico, ni necesario una pantalla 4K en el móvil… soy realista. Y sí, tengo mis caprichos como poco más o menos todo el mundo, pero dentro de ellos intento siempre ser coherente, sin perder la cabeza.

El futuro, como todo, es desconocido. Esta es mi opinión de Xiaomi en este mismo momento. Mañana, dentro de un mes o de algún año el panorama puede ser totalmente diferente al que es hoy. No podemos saber si Xiaomi cambiará su modelo de negocios o sus políticas actuales. No sabemos si surgirá una nueva compañía que deslumbre y despunte, o si alguna de las ya existentes se hundirán o se elevarán hasta la cima. A lo mejor ni siquiera es así y simplemente van apareciendo muy buenos productos de modo más esparcido entre diferentes compañías, diferentes rangos de precio, finalidades… como dije al principio, he pasado por cantidad de compañías, y casi con seguridad seguiré pasando por ellas, y por otras nuevas. No sé que cual será mi próximo gadget sinceramente, y mucho menos que marca o modelo tendrá, siempre están todas las opciones encima de la mesa, y creo que es la mejor forma de “enfrentarse” a esta sociedad tan consumista que tenemos. Me da auténtica pena quien sigue creyendo que todo esto va de dinero, de status, de “clase”, de… la tecnología está para hacernos en la medida de lo posible la vida mejor y más cómoda, no para ser sus esclavos, y mucho menos para ser los esclavos consumidores de nadie.

Saludos.

¿Un fallo de seguridad en High Sierra (MacOS) permite acceso Root a cualquiera? Sí, y más simple imposible

Generalmente no suelo hacer eco de estas noticias a menos que el fallo de seguridad (o el exploit) tenga una relevancia/peligrosidad tan elevada. Y es que creo que a estas alturas el que más o el que menos (y si tiene High Sierra espero que seguro) que esté en el “mundillo” habrá escuchado las noticias por todos lados. Sinceramente, creo que nos tenemos que remontar a la famosa “Cadena de la Muerte“, en 2013, para encontrar algo tan flagrante, y en esta ocasión Apple se ha superado, lo ha logrado, nadie lo sabe bien pero lo ha conseguido, basta invocar la cuenta Root en el sistema para que este la cree en ese momento y le asigne una contraseña en blanco. Dicho de otro modo, si cualquiera se pone delante del sistema tenga la cuenta que tenga e intenta entrar/usar el usuario “root”, sin especificar ninguna contraseña, al segundo intento generalmente entra (El primero la crea, el segundo accede).

Bien, no hace falta decir que el usuario root es por lo general la cuenta/usuario maestro en casi todos los sistemas UNIX/Linux, el super administrador. Es decir, que como tal usuario tendremos acceso total al sistema. La cosa es aun peor, porque si el equipo tiene habilitados servicios de acceso remoto, la gracia se puede mascar en el aire.

No es un exploit remoto que permita ejecución arbitraria de código, es un bug en principio con alcance local, y como tal requiere acceso físico al equipo. No obstante a nadie se le escapa la gravedad del asunto. Para usuarios particulares que usen el equipo en entornos digamos de confianza o familiares o… generalmente no va a suponer un gran problema si los que nos rodean tenían acceso igualmente al equipo de forma indiscriminada, pero en entornos más empresariales, equipos portátiles que en cualquier momento puede ser “dejado” en cualquier lugar, el problema no tiene parangón.

La cosa es aun peor, y es posiblemente una de esas políticas que tanto tiempo llevo recriminando a Apple con más intensidad. La falta de actuación y transparencia. Este fallo no ha sido descubierto hoy, Apple lleva tiempo con conocimiento de ello. Es más, hace más de dos semanas se comentaba abiertamente en los foros de soporte, e incluso por lo que dicen, se daba como solución a usuarios que necesitaban acceder a sus propios equipos como Root. En cambio, como siempre, silencio. Hoy, por el motivo que sea a saltado a la prensa, y nos hemos enterado la mayoría (personalmente no tenía constancia de ello), y como Apple hace siempre, es cuando lanza un comunicado diciendo que tendrán la actualización lista para solucionarlo “pronto”. No dudo en absoluto que lo solucionen pronto, eso no me preocupa, ni siquiera en realidad este bug por grave que sea, lo que me preocupa es la falta de inacción por parte de Apple, y que sólo se pone las pilas cuando el problema se escala a los medios de comunicación. La “cadena de la muerte” estuvo funcionando durante semanas sin que se solucionase incluso siendo ya un “vox populi”. Dicho de otro modo… si algo tan sencillo y tan absurdo como este bug (y tan grave) lleva semanas rondando por los foros oficiales de Apple y no han hecho nada, ¿qué exploits/bugs habrá en la trastienda (con conocimientos o sin ellos por parte de Apple) que no conocemos?

Siempre he dicho y “defendido” el error humano. Nadie es perfecto y todas las empresas cometen errores, y de todos los tamaños por cierto. A veces esos errores son tan tontos como es este caso y otras veces la gran genialidad de expertos de seguridad logran meterse en los resquicios más insospechados para hacer saltar un sistema. Esto sucede constantemente y no pasa nada, lo asumimos y lo aceptamos porque en cierto modo nos fiamos de los desarrolladores que, en función de la gravedad y la importancia, tal como los problemas vayan apareciendo, se irán solucionando de igual modo. Puedo perdonar a Apple de que alguno de sus programadores haya metido la pata hasta donde la ha metido, lo que no puedo perdonar es que la vulnerabilidad lleve circulando semanas por su propio foro, y no haya dicho ni hecho absolutamente nada. Eso sí, hoy que salta la noticia a la prensa es cuando se mojan. Deleznable.

Volver a arriba

Sobre Mí

Alma Oscura por Theliel is licensed under a Creative Commons Reconocimiento-No comercial-Sin obras derivadas 3.0 Unported License.
Política de Privacidad.
Para otros permisos que puedan exceder el ámbito de esta licencia, contactar en blog.theliel.es/about/contactar.