Cómo administrar decenas (o cientos) de passwords y no morir en el intento

Hace unos días, en un grupo de guasap de excompañeros del secundario, uno de ellos (también informático) me pidió recomendación sobre qué password manager usar. Siguió un pequeño ida y vuelta sobre las cosas que uso donde la mayoría, con un bajo nivel de nerdez en sangre, se quedó afuera y, ante el pedido de que traduzca al castellano lo que estaba diciendo, decidí intentar hacerlo y ver si lo comparto con un público más amplio (como ser los 8 lectores de este blog).

Básicamente, un password manager es un programa que te permite administrar todas las claves que usás en distintos lugares y tenerlas guardadas todas juntas en un solo lugar protegido, obviamente, por una (única) clave (one key to rule them all). La (única) clave que protege a las demás, debe ser muy buena.

Digamos que un password manager es equivalente a cambiar los post-it que la mayoría de la gente pega al lado de la computadora para tener las claves a mano, por una libretita con todas las claves juntas metida adentro de una caja fuerte que siempre tenés a mano que se abre con una llave que llevás siempre en el bolsillo.

Ojo, no voy a hacer un análisis de las diferentes opciones que hay en el mercado sino decir cuáles son las que yo uso y cómo protejo mis claves.

Espóiler Alert

TL;DR: Yo uso, hoy en día, una combinación de tres o cuatro productos/servicios distintos para mantener mis claves:

NIUSFLASH (no uso más LastPass)

Al poco tiempo de escribir esta nota, LastPass decidió dar de baja el débito automático de mi cuenta y, al vencer la suscripción, me avisa que en 30 días termina mi «prueba gratis» y que si quería me podía suscribir por el TRIPLE de lo que estaba pagando anualmente (de 12 a 36 dólares estadounidenses anuales).

Me quejé a soporte (de LogMeIn, la empresa que compró LastPass) y me contestaron que el precio fue modificado para «reflejar nuestra inversión contínua en nuestra solución de gestión de claves líder en la industria».

Cuando el departamento de márketing se adueña del soporte, en general es un buen indicador de que conviene abandonar el servicio.

Por suerte, cuando escribía esto me había cruzado con Bitwarden que, por un lado, es de código abierto (es decir, podría hasta instalarlo en un servidor mío y modificarlo si quisiera), y por el otro, el servicio básico gratuito que ofrecen tiene todo lo que yo utilizaba de LastPass, sumado a la posibilidad de compartir algunas claves con otra (única) persona.

Con las instrucciones para migrar de LastPass a Bitwarden del sitio de este último pude pasar todo lo que tenía, dí de baja LastPass y no lo extraño en lo más mínimo.

Sitios y servicios web

… y aplicaciones móviles (que son versiones para móviles de lo mismo)

En principio hay que tener en cuenta que NO HAY QUE USAR LA MISMA CONTRASEÑA EN DISTINTOS SITIOS.

Hace muchos años, yo tenía un algoritmo (mental) para generar contraseñas distintas en cada sitio, pero eso servía cuando los mismos no te pedían que la cambies con alguna frecuencia (cosa que no es una buena práctica y, por suerte, muchos la han abandonado) y cuando no pasaba que cada sitio tenía su particular visión de qué caracteres debe contener una contraseña segura: algunos lugares te piden que uses números y letras; otros que, además haya al menos una mayúscula y una minúscula; otros, que pongas al menos un caracter «especial» (aunque no se ponen de acuerdo en qué caracteres especiales son válidos o no), etc.

Este tipo de requisitos y el deterioro mental, junto con la proliferación descontrolada de servicios en línea, me hicieron, hace como 10 años, complementar mi listadito encriptado de claves (más sobre esto más adelante) con un administrador de claves en línea.

En ese momento mi requerimiento era algo que me permita mantener en forma centralizada y segura mis claves para servicios en línea y que funcionara en Windows y Linux. En aquella época sólo encontré dos productos que me parecían razonables: 1password y LastPass. Como el primero sólo tenía un free trial de un mes o algo así y la versión básica del último era gratis, opté por LastPass.

¿Por qué no guardar las claves en el navegador? en aquel entonces, los navegadores no te permitían sincronizar configuraciones (y claves guardadas) entre distintas instancias y yo usaba tres o cuatro computadoras distintas, amén de que nunca me parecieron suficientemente confiables las medidas de seguridad que tenían (aún poniéndoles una «master password» ). Por otra parte, siempre usé más de un navegador, con lo cual, también tenía que mantener la sincronización entre distintos navegadores aunque estuviera en la misma máquina.

¿Cómo se usa LastPass?

LastPass es un servicio que mantiene tus claves guardadas en un sitio centralizado al que podés acceder desde la web. Ellos lo llaman la «bóveda LastPass» .

Para registrarte, usá una cuenta de mail personal (no del laburo: los laburos, y sus direcciones de mail, van y vienen). Yo en particular uso una cuenta de gmail. Lo otro que tenés que poner es, obviamente, una password. Esta password tiene que ser muy buena ya que es la password que protege todas tus passwords. Más aún no te la podés olvidar, porque no existe un mecanismo para recuperarla (y eso es bueno). Lo que te da LastPass es la posibilidad de guardar un ayudamemoria que le podés pedir si no te acordás la password. Ojo que cualquiera puede ver este ayudamemoria así que poner «la fecha de cumpleaños de la abuela Carlota» no sirve. Tiene que ser algo que te sirva a vos y solamente a vos para acordarte de qué fue lo que pusiste como password (por ejemplo, si usás como clave las 4 últimas palabras al revés -de atrás para adelante- de la tercera estrofa del himno nacional, podrías poner algo como «HN tercera 4 vesre» como ayudamemoria).

Una vez que te registraste en LastPass, lo que tenés que hacer es instalar el plugin en cada navegador que uses. Esto sirve para incorporar la funcionalidad de LastPass a tu navegador. Hay plugins para Firefox, Chrome/Chromium, Explorer, Edge, Safari y Opera, para Windows, Mac y Linux. También hay aplicaciones móviles para IOS y Android, que se bajan de los respectivos stores.

Cada vez que instalás el plugin en un navegador, te va a pedir que pongas la dirección de mail con la que te registraste y la clave. Lo mismo en el móvil. En el celular (al menos en Android) te va a pedir permiso para poder rellenar los campos usuario/clave no sólo en el navegador, sino también en las aplicaciones. Normalmente, las apps están relacionadas con el nombre de la página web del mismo servicio para un navegador, de modo que si guardo mi clave en la página de féisbuc en el plugin del navegador de la compu, cuando abra la app de féisbuc en el móvil, si no tengo la sesión abierta, me va a ofrecer poner el usuario/clave que guardé en LastPass desde el navegador.

El menú contextual (el del botón derecho) de LastPass, te da la posibilidad de generarte una clave «buena» cada vez que lo necesites (por ejemplo, cuando te registrás en una página nueva). Tenés la opción de elegir si querés que tenga mayúsculas, minúsculas, dígitos y caracteres especiales. No importa que no sea fácil de recordar porque igual te la va a guardar LastPass.

LastPass tiene otras funcionalidades que yo nunca usé, pero que pueden ser interesantes: autollenado de formularios, notas, etc. Hay más información en el sitio de LastPass.

¿Qué es lo que me gusta de LastPass?

Las claves y toda tu información se guardan en los servidores de LastPass encriptados con la clave que vos elegiste. El proceso de encriptado se realiza en tu dispositivo (en tu navegador o en tu móvil). Tu clave maestra nunca viaja por la red (ni se guarda en los servidores de LastPass), es por eso que no existe un mecanismo para recuperar la clave. Si hubiese un mecanismo para recuperar la clave maestra eso quiere decir que esa clave debería estar guardada en servidores de LastPass (con alguna protección bajo control de LastPass). Si un atacante lograra ingresar al servidor y desbaratar el mecanismo, tendría acceso al mecanismo de recuperación de claves.

Acá hay algo más de información acerca de cómo funciona.


Lo otro que me gusta es que la empresa ha sido abierta respecto de los incidentes de seguridad que ha tenido. Es decir, al menos dos o tres veces detectaron intrusiones o comportamiento anómalo en sus servidores y, después de resolver el problema, se comunicaron con sus usuarios explicando qué pasó y qué recomendaban hacer (en un caso extremo, si mal no recuerdo llegaron a deshabilitar el uso automático del servicio, forzándote a solicitar la rehabilitación reconfirmando tu dirección de mail registrada y luego obligándote a cambiar la clave maestra).

Información sobre incidentes publicada por la misma empresa

Datos de tarjetas de crédito, cuentas bancarias, sitios bancarios y de pagos, billeteras de criptomonedas

En realidad, KeePass es el primer password manager que usé. Básicamente es una pequeña base de datos con distintos campos (clave/usuario/notas/etc) que se mantiene en un único archivo y ese archivo se encripta con una única password que obviamente tiene que ser muy buena ya que es la password que protege todas tus passwords (esto me suena haberlo leído más arriba).

KeePass fue mi primera «libretita de passwords anotadas» para no olvidarlas.

La diferencia principal con LastPass es que esto es un archivito que está en tu computadora, no en un servicio que dependa de alguien más. Por un lado, creo que cuando empecé a usarlo (hace más de 15 años) no había ningún servicio del estilo de LastPass y, por otro lado, yo sólo tenía ahí anotadas unas pocas claves. Lo usaba más para tener anotados los números de las tarjetas de crédito, datos de cuentas bancarias, claves para recuperación billeteras de bitcoin u otras criptomonedas, etc (de hecho, sigo teniendo esa información en KeePass).

Hace tiempo que sincronizo mi único archivo KeePass usando un servicio parecido a DropBox (o Google Drive o One Drive) pero que opero yo mismo. A los fines prácticos, si tenés cualquiera de estos servicios, lo podés usar para tener tu archivo KeePass sincronizado entre distintas computadoras y tu celular.

Si bien KeePass2 funciona en Linux (usando Mono que es una implementación abierta del framework .NET), hace un tiempo utilizo KeePassXC que es una reescritura (también abierta) multiplataforma que corre nativamente en Linux, Mac y Windows.

En mi teléfono, antes usaba KeePassDroid y ahora estoy usando la versión offline del KeePass2Android que me gusta más.

En la página de downloads de KeePass hay links a todas estas versiones y otras (para iPhone, Blackberry, etc).

Segundo factor de autenticación (2fA)

Es una buena práctica de seguridad combinar múltiples factores de autenticación distintos para validar a un usuario de un servicio.

Un factor de autenticación es algo que si vos sos quien decís ser, se lo podés demostrar a quien te lo requiere para tener acceso a un recurso (un sistema, un edificio, un país, etc).

Los factores de autenticación más usados son:

  • Algo que sabés (por ejemplo, una clave secreta o el nombre de tu primera maestra de primaria)
  • Algo que tenés (como ser tu teléfono, una tarjeta magnética, un dispositivo USB, etc)
  • Algo que sos (una característica física tuya -biométrica- como tu huella digital, el iris de tu ojo, tu forma característica de tipear en el teclado)
  • Un lugar donde estás (un punto geográfico identificado por el GPS, o conectado desde determinada red)

El primer factor de autenticación más usado es, obviamente, una clave secreta (algo que sabés), nuestra vieja, conocida y odiada password.


El segundo factor de autenticación (2fa) más usado es, generalmente, algo que tenés. Últimamente es común que los bancos te den un pequeño dispositivo (token) con un botón y un display que muestra unos números que van cambiando periódicamente (cada 20, 30 o 60 segundos). El banco es posible que te solicite ese número para transferir dinero a otra cuenta. La empresa es posible que te pida ese número para ingresar a los sistemas corporativos (o quizás, para pasar a un sector del edificio). Existen versiones más complejas que te piden un PIN para ver el display y algunos que se conectan vía USB y permiten enviar el código automáticamente sin tipearlo.

Con la popularización de los teléfonos móviles, ahora es muy común utilizarlos como segundo factor de autenticación. Algunos sitios de pagos en línea pueden enviarte un mensaje vía SMS cuando intentás ingresar o hacer un pago.

Ahora que la mayoría de los móviles son «inteligentes» (ponele), se pueden utilizar aplicaciones para validar que el que intenta ingresar a un sitio o servicio es el poseedor del teléfono. Por ejemplo, si intentás ingresar en un servicio de Google en una computadora que no es la tuya con la cuenta que tenés registrada en tu teléfono Android y la clave correcta, te va a llegar una notificación al móvil preguntándote si vos estás intentando ingresar. Si le contentás que sí (en el teléfono) te va a dejar entrar automáticamente en la computadora.

Ahora bien, como hay muchos servicios que no son operados por el fabricante del sistema operativo de tu teléfono, hay aplicaciones que utilizan un estándar llamado TOTP que genera números únicos a partir de una clave secreta inicial (generada automáticamente) combinada con la hora actual. Estas aplicaciones a veces se llaman «soft token» y son cada vez más comunes en los bancos (en general se incluyen en la aplicación propia del banco que se utiliza en el teléfono).

Pero lo más común son las aplicaciones TOTP genéricas, que funcionan con cualquier servicio que permite la sincronización abierta de los parámetros TOTP, usualmente a través de un código QR. La más conocida es Google Authenticator (también para iPhone), pero hay muchas otras: FreeOTP, Microsoft Authenticator, etc.

El problema con estas aplicaciones es el mismo que tenés con cualquier factor de autenticación del tipo «algo que tenés». ¿Qué pasa si te lo roban o lo perdés? Más allá de que puedas tener el uso bloqueado (es decir, que podrías confiar en que no lo usen porque el teléfono se auto-bloquea/borra o el token requiere de un PIN), si lo perdés no lo podés usar. En general todos los sitios tienen algún mecanismo para entrar sin ese factor en particular y regenerarlo, por ejemplo, usando mensajes SMS (para lo cual tenés que, al menos, recuperar la línea telefónica), o con un correo electrónico o algún otro factor de autenticación. Pero después de haber perdido el teléfono (o de haber borrado la aplicación del mismo), tenés que regenerar todos los 2fa de cada uno de los sitios.

Después de usar Google Authenticator, descubrí una aplicación de 2fa hermosa que se llama Authy.

Lo que diferencia a Authy de los demás 2fa es que tiene dos facilidades (relacionadas) que te hacen la vida más fácil: backup en la nube y uso en múltiples dispositivos.

El backup en la nube funciona en forma análoga a lo que hace LastPass: encripta la información de los parámetros y datos secretos de cada uno de los sitios para los que tenés configurado 2fa en tu dispositivo y los sube encriptados a los servidores de Authy.

A su vez, teniendo estos datos en la nube, los podés recuperar desde otro dispositivo (una tablet o, inclusive, una computadora, ya sea portátil o de escritorio) y mantenerlos sincronizados (es decir, si agregás un nuevo servicio en un dispositivo, se sincroniza, a través de la nube, con los demás).

De este modo podés tener Authy configurado y funcionando al mismo tiempo en tu móvil y tu tablet. Si te roban el teléfono, podés seguir usando los sitios con 2fa con la tablet. Más aún, cuando te comprás un teléfono nuevo, recuperás todas las configuraciones. Esto no ocurre con Google Authenticator; si perdés el teléfono, cuando instalás el nuevo tenés que ingresar a cada uno de los servicios y generar un nuevo 2fa en el teléfono nuevo para cada uno.

Cuando empecé a escribir este post, descubrí que LastPass ahora tiene un nuevo servicio llamado LastPass Authenticator que funcionaría en forma similar a Authy, tengo que ver si funciona de modo tal de no quedarme afuera si no tengo el 2fa para poder abrir el 2fa.

Conclusión

Yo utilizo KeePass, LastPass Bitwarden y Authy para mantener mis claves y datos confidenciales seguros.

Supongo que con un poco menos de paranoia, podría tener todo unificado en LastPass: es decir, comenzar a usar LastPass Authenticator en lugar de Authy e incorporar a LastPass toda la información que de un modo u otro significa guita y que hoy tengo en KeePass (a esto último soy realmente reticente).

Espero que le sirva a alguien… si no, al menos queda pensar que este blog se transmite en electrones reciclables.

Acerca del momento en que se anuncian los cambios en los husos horarios

Matt Johnson escribió en abril de 2016 On the Timing of Time Zone Changes en su blog y me autorizó a traducirlo y publicarlo.

¿Qué tienen en común Turquía, Chile, Rusia, Venezuela, Azerbaiyán, Corea del Norte y Haití? ¡Caos con el cambio de hora!

No, no es el remate de un chiste. Es un problema grave en realidad. El mayor problema con los husos horarios no es que existan, ni que haya horas de ahorro de energía en verano. Si no que estas cambien en forma completamente desorganizada. Déjenme explicar.

Primero hay que comprender que desde una perspectiva global, uno podría pensar que los husos horarios del mundo deberían ser manejados por una entidad internacional relativamente neutra, como la división UIT de Naciones Unidas, o quizás la UAI. Sin embargo, cada uno de los husos horarios del mundo se controlan, en realidad, desde una perspectiva local. Cada nación tiene el derecho soberano para decidir acerca de la hora local en las tierras bajo su jurisdicción. Esto incluye tanto la diferencia con la Hora Universal (UT), como las reglas que definen los cambios durante el año para el ahorro de energía, si deciden hacerlos.

Esto no es un problema en sí mismo y estoy absolutamente de acuerdo con que los países deberían poder hacer lo que quieran con los relojes adentro de sus fronteras. Sin embargo, una y otra vez, nos topamos con el mismo problema, que es que estos cambios se hacen sin una antelación suficientemente amplia. Todos los países mencionados más arriba han hecho esto recientemente, junto con muchos otros.

Es crucial que cuando los gobiernos hacen cambios a sus husos horarios o las reglas para cambiar la hora durante un período, permitan un tiempo suficiente para que la tecnología se adecue, haga pruebas a los cambios y publique y distribuya las actualizaciones. Luego hay que tener en cuenta que los individuos no siempre actualizan sus sistemas instantáneamente. Es muy común que una actualización de husos horarios esté disponible por semanas o meses antes de que el usuario final la instale efectivamente.

Caso de estudio – Turquía:

Tomemos a Turquía como ejemplo. En 2015 el gobierno decidió que sería una buena idea retrasar dos semanas la finalización del cambio de hora para ahorro de energía para permitir más horas de luz diurna durante las elecciones. Movieron la fecha de finalización de DST (cambio de hora para ahorro de energía) del 25 de octubre al 8 de noviembre.

  • Lo primero que se supo acerca de esto fue a través de una nota periodística no oficial publicada el 8 de septiembre, alrededor de 6 semanas antes de que se debieran cambiar los relojes. Sin embargo, el artículo recién fue registrado por la comunidad TZ alrededor del 19 de septiembre. Es difícil basarse solamente en notas periodísticas, ya que muchas veces son confusos o contienen errores. Unas pocas palabras de un político a un periodista simplemente no son suficiente.
  • El 29 de septiembre, una agencia del gobierno también reportó el cambio. Todavía no era completamente oficial, ya que no hacía referencia a ningún tipo de decreto o legislación. Pero era suficiente para convencer a algunos en la comunidad TZ de que era real y por lo tanto se comenzó a configurar un cambio en la IANA TZ database y se publicó unos días después, el 1° de octubre.
  • El anuncio definitivo del gobierno finalmente salió el 4 de octubre cuando se publicó en la Gaceta Oficial. Esto es alrededor de tres semanas de antelación oficial de la propuesta de cambio.
  • Muchos proveedores de tecnología, incluyendo a los grandes como Apple, Google y Oracle, tomaron los datos de IANA y los publicaron a través de sus propios canales. Por ejemplo, Apple lo lanzó para dispositivos iPhone y iPad con la actualización iOS 9.1 el 21 de octubre, dejando sólo 3 días para que los usuarios instalen la actualización para evitar que sus relojes cambien la hora el día incorrecto.
  • Para Microsoft Windows que sigue un procedimiento levemente diferente y requiere de un mayor grado de confirmación, se hizo un anuncio el 9 de octubre y se publicó la actualización el 20 de octubre.
  • En algunos casos, la fecha se pasó por completo, como en el caso de pytz – la popular biblioteca de manejo de husos horarios para el lenguaje Python, que publicó su versión 2015.7 el 26 de octubre.

Entonces ¿cuál fue el resultado? Bueno, citando a la BBC:

Turcos confundidos se preguntan «¿qué hora es?» luego de que los relojes automáticos desafiaran una decisión del gobierno para posponer el cambio de hora estacional.

O como reportó el IBT:

Millones de turcos se despertaron en una mañana confusa el domingo … ya que teléfonos inteligentes, tabletas, y computadoras habían cambiado la hora automáticamente del mismo modo que otros países en el huso horario de Europa Occidental (Eastern European Time zone), aun cuando Turquía retrasó el cambio de hora para dos semanas más adelante.

Como se podrán imaginar, esto tuvo en la votación exactamente el efecto opuesto a lo que el gobierno había intentado lograr. Sin embargo, podrían haberlo previsto ya que ¡pasó exactamente lo mismo el año anterior! como lo reportó la Agencia de Noticias Independientes de los Balcanes en 2014:

Una increíble confusión para 52,9 millones de votantes turcos fue causada por la decisión del gobierno turco de posponer por un día el cambio de hora que se aplica en todo el mundo, cuando los relojes se adelantan una hora. La razón para posponer la aplicación de la hora de verano según el gobierno de Erdogan, fue para facilitar la administración de las elecciones, pero nadie predijo el factor de la «nueva tecnología». Todos los teléfonos inteligentes de los ciudadanos turcos cambiaron la hora automáticamente, resultando en miles de votantes que fueron a a votar más temprano y tuvieron que esperar hasta una hora para poder hacerlo.

Problemas similares ocurrieron en computadoras que no habían bajado una nueva versión del software. También hubo problemas en el sistema de despacho de equipajes en el aeropuerto de Estambul ya que el sistema cambió la hora automáticamente, ignorando los planes del gobierno y, como resultado, el equipaje fue enviado a los pasajeros con grandes demoras. También hubo problemas con muchos vuelos ya que los pasajeros confundían el horario de partida.

¿Qué hay con el resto del mundo?

No sólo Turquía no aprendió de sus propios errores, otros países alrededor del mundo tampoco aprendieron de la experiencia y continúan teniendo este problema. ¿Recuerdan la lista que enumeré antes? Veámosla más de cerca:

  • Chile estuvo en «DST permanente» durante 2015, pero el 13 de marzo de 2016, el gobierno anunció que volverían a la hora estándar a partir del 15 de mayo de 2016 (2 meses de antelación).
  • Rusia tenía 11 husos horarios diferentes, desde UTC+02 hasta UTC+12, con una historia compleja de cambios en los límites entre ellas.

    Para 2016, seis regiones cambiaron sus husos horarios el 27 de marzo de 2016. Cada una de estas regiones tuvo su propia ley para hacer efectivo el cambio. Una fue firmada el 30 de diciembre (12 semanas de antelación), lo cual es razonable. Sin embrgo, las otras fueron firmadas o bien el 15 de febrero (6 semanas de antelación) o bien el 9 de marzo (2 semanas de antelación).

    Otras dos regiones tenían la legislación pendiente durante este período, una de las cuales recién la aprobó el 5 de abril, de la cual la fecha de vigencia se extendió hasta el 24 de abril (3 semanas de antelación). La otra todavía está esperando la firma final del Presidente, lo que se espera que ocurra en los próximos días, tiene fecha de vigencia al 29 de mayo (4 semanas de antelación). (Actualización: La ley se firmó el 26 de abril).

  • Venezuela estuvo en UTC-04:30 desde 2007, pero el gobierno decidió hace poco que retornaría a UTC-04 el 1° de mayo. El cambio se anunció el 15 de abril, el anuncio se convirtió en oficial el 18 de abril al ser publicado en la Gaceta Oficial del país (2 semanas de antelación).
  • Azerbaiyán canceló el cambio de hora permanentemente en 2016. La cancelación se haría el 27 de marzo pero recién se anunció el 17 de marzo (10 días de antelación).
  • Corea del Norte cambió de UTC-09 a UTC-08:30 el 15 de agosto de 2015. El cambio fue anunciado el 7 de agosto (8 días de antelación).
  • Haití canceló el cambio de hora al menos durante el año calendario 2016. Estaba programado para el 13 de marzo, pero el 12 de marzo (¡sólo 1 día de antelación!) el gobierno publicó un comunicado de prensa cancelándolo.

Otros problemas con los tiempos

Mientras todos los cambios descritos conllevan un cierto grado de sorpresa, hay algunas partes del mundo que simplemente no hacen ninguna programación anticipada para el cambio de hora.

Fiyi es una de esas zonas. Tuvo DST todos los años desde 2009. Sin embargo, cada año, el gobierno hace un anuncio indicando en qué fecha comienza y termina. Es levemente diferente cada año y no queda claro exactamente cuándo el gobierno tomará la decisión, o qué hacer ante la ausencia de un anuncio. Sería mucho más simple si decidieran hacerlo con una programación regular y sólo hacer anuncios cuando haya desvíos respecto de dicha programación.

Otro lugar así es Marruecos, donde la programación del primer inicio y el último fin del DST están definidos adecuadamente, pero cada año, desde 2012 hay un «período de suspensión del DST», de modo que DST termine antes del comienzo de ramadán y se restaure en algún momento luego de la finalización. Esto no sólo significa que los relojes deben cambiarse cuatro veces por año calendario, si no también que nadie sabe bien cuándo son las dos transiciones del medio hasta que el gobierno hace un anuncio. Parte de la razón de esto es que las fechas de ramadán están basadas en las fases observadas de la luna. Sin embargo, mi opinión personal es que aún así deberían fijar las transiciones de DST a un calendario prefijado, aun si comienza antes de ramadán y termina algún tiempo después. La imprevisibilidad de las fechas hace que sea demasiado difícil saber qué hora es en Marruecos a menos que estés realmente allí. (De hecho, Egipto también hizo lo mismo, pero sólo en 2010 y 2014).

Recomendaciones a los gobiernos del mundo

Primero, debo enfatizar que estas son mis recomendaciones personales. No hablo en nombre mi gobierno, de mi empleador, o de la comunidad TZ. Estas recomendaciones están basadas en años de experiencia trabajando con husos horarios en computación, y en la observación de hechos reales.

Si vas a hacer cambios en tu(s) huso(s) horario(s), ya sea para la distancia de tu hora estándar desde UTC, o la puesta en funcionamiento o desactivación del cambio de hora para el ahorro de energía, o para las fechas en que los cambios de hora ocurren, entonces, por favor, hacé todo lo siguiente:

  1. Da un aviso con una antelación importante, preferiblemente no menos de 6 meses. Un año o más sería aún mejor.
  2. Proveé ese aviso a través de un decreto oficial de gobierno o una ley. Publicá la ley y disponibilizala a través de un sitio web oficial del gobierno.
  3. Asegurate de incluir los detalles precisos del cambio, incluyendo la fecha y la hora del día en que el mismo debe hacerse efectivo. Por ejemplo, decí «los relojes avanzarán 30 minutos el 1° de abril a la 01:00 hora local». No digas simplemente «la hora va a cambiar en abril». Además, si el cambio sólo afecta una región particular de tu país, por favor, especificá las áreas exactas que son afectadas.
  4. Notificá a tus ciudadanos a través de comunicados de prensa y los medios de noticias, pero no cuentes sólo con esto para comunicar el cambio. El decreto o ley oficial debería estar por encima de cualquier declaración hecha a la prensa.
  5. Enviá notificaciones a la comunidad TZ. Para hacer esto, sólo tenés que mandar un mail a tz@iana.org que es la dirección de la lista de discusión tz. El mail debería contener un URL para el anuncio publicado en un sitio web oficial del gobierno.
  6. Si se aborta la decisión de realizar el cambio, por favor da aviso de esto también con mucha anticipación.

Seguir estos lineamientos te asegura que tu cambio sea observado por la tecnología, incluyendo computadoras, teléfonos celulares y otros dispositivos.

Recomendaciones para desarrolladores de software

  1. No trates de inventar tu propio sistema de husos horarios ni pongas una configuración de zonas manualmente en tu aplicación.
  2. Utilizá los recursos de tu plataforma o biblioteca de desarrollo para hacer conversiones de husos horarios. No intentes codificar las reglas vos mismo.
  3. No te bases únicamente en diferencias fijas desde UTC, ni hagas ninguna suposición sobre el cambio de hora para el ahorro de energía de día (daylight saving time) para un huso horario en particular.
  4. Estate al tanto de las actualizaciones de los husos horarios. Asegurate de saber como mantenerlos actualizados utilizando los mecanismos de tu plataforma o biblioteca.
  5. Suscribite a la lista de correo de anuncios de TZ, así sabés cuando está disponible cada actulización de los datos.
  6. Si sabés de un cambio que está por ocurrir en un huso horario en un área en particular que difiere de la información conocida actualmente, o si tenés otras preguntas acerca del husos horarios en computación, unite a la lista de correo electrónico de discusión de TZ.
  7. Usá timeanddate.com para validar cualquier suposición que tengas acerca de los husos horarios para una región en particular. La precisión de este sitio en particular ha sido bien establecida y sus propietarios participan en la comunidad TZ.
  8. Para Windows, .NET y otros productos de Microsoft, seguí el canal de noticias de este sitio para saber cuándo están disponibles las actualizaciones de la plataforma. (Aunque deberías preferir los husos horarios de IANA cuando sea posible, aun si implica que tenés que utilizar una biblioteca para hacerlo).

Addendum personal

Esto lo escribo yo, Mariano Absatz y no Matt Johnson, con lo cual, las críticas y quejas a esta sección deberán dirigirse directamente a mí.

Pienso que si Matt hubiese escrito esta nota a fines de 2008 el mayor ejemplo de torpezas cometidas, habría sido la Argentina en lugar de Turquía, ya que los cambios que se hicieron tanto en el verano 2007/2008 como los que no se hicieron en octubre de 2008 son un muestrario de todos los errores posibles de ser cometidos.

Para información al respecto ver las notas que escribí en ese entonces:

¡¡QUE ABRAN TODAS LAS URNAS!! (no)

El domingo 22 de noviembre se realizó el balotaje (ballotage, segunda vuelta, como te guste) para definir cuál de los dos candidatos que obtuvieron más votos el 25 de octubre se convertía en presidente de Argentina.

Según los resultados del escrutinio provisorio, el ganador fue Mauricio Macri por poco más de 700.000 votos (algo menos del 3% de los votos afirmativos contabilizados). Dicho escrutinio provisorio se dio por finalizado en la madrugada del lunes 23 con casi el 99.7% de las mesas cargadas (no se cargaron 786 mesas que represtarían algo menos de 200.000 votos).urnas-2

Algunos simpatizantes de Daniel Scioli, el candidato derrotado, dado que la diferencia de votos fue relativamente corta, comenzaron a difundir mensajes en redes sociales alegando que podrían haber errores en la carga de las planillas (los «telegramas”) en algunos casos, dando a entender que tenían información certera y de primera mano de dichos errores.

La solución propuesta (o en general reclamada a gritos) por los denunciantes es la que da título a esta nota: «¡Que abran todas las urnas y cuenten todos los votos nuevamente!”.

En algunas de las instancias electorales regionales anteriores este mismo año, hubo denuncias similares cuando el candidato que había perdido por una diferencia relativamente pequeña pertenecía a la alianza que ganó en esta última elección. En algunos casos (gobernación de la Provincia de Tucumán y, en menor medida, de la Provincia de Santa Fe) esto fue institucionalmente más grave porque quienes reclamaban no eran simples ciudadanos sino los candidatos directamente involucrados y otras autoridades provinciales y partidarias que no pueden desconocer cómo funciona el sistema electoral argentino.

En muchos casos, estos reclamos incluyen una apelación a firmar una petición en change.org u otra plataforma similar para solicitar la apertura de las urnas (como muestra, vaya esta búsqueda).

Si bien de ningún modo soy un experto en leyes electorales, tengo una idea bastante acabada del funcionamiento de los comicios.

Contar los votos uno a uno

En principio, las urnas sólo las abren las autoridades de mesa en cuanto termina el comicio y hacen el conteo manual de las boletas contenidas en los sobres una por una con presencia de los fiscales partidarios acreditados en la mesa.urna-vuelco-3 En base a ese conteo dichas autoridades llenan dos planillas con los mismos datos, una se pone en un sobre que irá a la autoridad electoral y la otra se le entrega a un empleado del correo que la transmite (usualmente por fax) al centro de cómputos del escrutinio provisorio (lo que, por razones históricas, se llaman «los telegramas”). Además, las autoridades de la mesa le dan a cada uno de los fiscales acreditados una copia de la planilla para que sus respectivos partidos puedan controlar.

Nota (25 de noviembre): Acá me avisan por cucaracha que en la actualidad, el envío por fax se realiza sólo en un porcentaje ínfimo (menos del 1%) de las mesas, para los establecimientos que no tienen razonablemente cerca uno de los más de 300 centros de carga del Correo.

En la gran mayoría de los casos, las planillas se llevan en un sobre lacrado hasta el centro de Correo designado cercano al establecimiento. Allí, en presencia de fiscales y cámaras que graban todo el proceso, se abren los sobres y las planillas se escanean. Los archivos con el contenido de la planilla digitalizada van directamente por red al centro de carga de datos central donde se cargan los valores efectivos que se pueden consultar en la web.

Escrutinio provisorio

Los telegramas recibidos se cargan en un sistema informático que es el que publica los resultados del escrutinio provisorio. Este sistema en general tiene un acceso especial para que representantes de los partidos políticos que participan de la contienda puedan verificar los datos individuales de cada mesa. En el último tiempo, usualmente el día siguiente a las elecciones, el sistema también brinda un acceso al público en general de los datos cargados mesa por mesa, acompañados de la imagen facsímil del «telegrama.urna-vuelco-2

Si vos tenés datos sobre irregularidades cometidas durante los comicios, ahora podés, en vez de iniciar una campaña completamente inútil en change.org, hacer vos mismo la denuncia en el Ministerio Público Fiscal, ya sea en forma presencial, telefónica o por la web. Si no tenés datos certeros, entonces no andes denunciando cosas que no sabés ni te constan simplemente porque tu candidato perdió.

Escrutinio definitivo

El escrutinio provisorio no tiene validez legal alguna y se realiza al sólo efecto de que la ciudadanía tenga una idea aproximada del resultado electoral. Normalmente, un par de días después de los comicios, la justicia electoral comienza a hacer el escrutinio definitivo que es el único que tiene validez legal.

Durante el Escrutinio definitivo, se revisan todos los votos recurridos e impugnados (los votos impugnados son aquellos en que alguna autoridad de mesa o un fiscal denuncian que la persona que concurrió a votar no es la que figura en el padrón, lo que se impugna es la identidad; la consabida «feta de salame” o similar, es un voto nulo, no impugnado).

Una vez hecho esto, se cargan en el sistema de la justicia electoral (que no tiene nada que ver con el de la empresa que hizo el escrutinio provisorio) los datos de TODAS las planillas de TODAS las mesas.

Si los partidos presentan denuncias concretas sobre mesas específicas, se revisan esos datos datos. En MUY POCAS OCASIONES la justicia electoral puede solicitar la apertura de ALGUNA urna para recontar manualmente los votos dentro de la misma, y debe tener indicios claros de que lo que figura en la planilla está mal y es compeltamente insalvable.

Esto está BIEN y es RAZONABLE que así sea.

Si cada vez que una agrupación pierde por un porcentaje relativamente pequeño se abrieran TODAS las urnas, el sistema electoral sería INSOSTENIBLE.

Post scriptum

Escribo esto, relativamente en caliente, el martes 24 de noviembre. Supongo que el Escrutinio definitivo habrá comenzado hoy o, a lo sumo, comenzará mañana. Como se explicó más arriba, aquí se cargan todos los votos, incluidos los recurridos e impugnados, con lo cual el resultado será forzosamente distinto al del escrutinio provisorio. Es de esperarse que sea bastante parecido, al menos en lo porcentual (lo que hoy es 2.8% de diferencia podría ser 2.3% o 3%), pero podría no serlo. De hecho, de haber habido muchos errores de carga (lo cual considero muy improbable), hasta podría revertirse el resultado de la elección.

Si bien mi posición política personal es mucho más cercana al candidato que perdió que al que ganó, me preocuparía realmente mucho si el resultado llegara a revertirse ya que no espero muestras de civilidad por parte de quienes se verían damnificados ante tal escenario y creo que 32 años de democracia y 13 de razonable estabilidad institucional son demasiado más valiosos que un período presidencial de 4 años.

2° Post scriptum

(agregado el 2 de diciembre)

El lunes 30 de noviembre, menos de una semana después de haberse iniciado, se concluyó el Escrutinio definitivo.

Los resultados fueron publicados por la Cámara Nacional Electoral.

Como se preveía, la diferencia porcentual respecto del escrutinio provisorio fue ínfima (2,68% contra 2,80%). En valores absolutos, la diferencia se achicó de 704.860 votos en el provisorio a 680.607 votos en el definitivo.

Me parece que es hora de que los simpatizantes del partido derrotado asuman el resultado y acepten que la población votó de este modo, y de que el partido que debe asumir el gobierno el 10 de diciembre se acostumbre a que los resultados pueden diferir de lo esperado, en uno u otro sentido, y eso no implica que haya habido fraude.

«QZZ 999» + 1 = «AA 000 AA»

Ayer, 8 de octubre de 2014, cuando se cumplían EXACTAMENTE cuatro años de que publicara una entrada al respecto en este mismo blog, se anunció el nuevo esquema de patentes para automotores que se utilizará en Argentina… y en todo el resto del Mercosur.

Patentes-Autos

En aquel post mi cálculo era el esquema actual de patentes en Argentina de tres letras y tres números iniciado en enero de 1995 se acabaría más o menos ahora (mediados de 2014, escribí entonces).

Visto desde ahora (mientras escribo esto, la patente más nueva vista por los seguidores de Locos x Patentes lleva las letras OIQ, quedan poco menos de 1.800.000 patentes para llegar a QZZ-999.

Si bien ADEFA no está publicando datos de patentamientos en su sitio, podemos hacer una estimación grosera en base a los datos de producción que sí publican, y ver que en 2013 se produjeron menos de 800.000 automotores y hasta agosto de 2014 se produjeron menos que de enero a agosto de 2013.

El mercado en general viene en baja, con lo cual difícilmente se patenten más de un millón y medio de vehículos desde ahora hasta fines de 2015. Dado que, por lo que entiendo, los autos nuevos comenzarán a patentarse con el nuevo modelo desde principios de 2016, podemos decir que «llegamos justito«.

Si bien no siguieron el consejo que yo escribí entonces de agregar una letra y ampliar el esquema actual haciendo que las que tienen tres letras tengan una «A» implícita al principio, sí utilizaron el esquema cuatro letras/tres números que permite 456.976.000 patentes únicas (26 4 x 10 3), número ampliamente suficiente para la Argentina.

El esquema de numeración es similar para las motos, aunque en otro orden. Lo que no me queda claro si el espacio de numeración es el mismo para motos y autos o si son independientes. Esto es, si un automóvil tiene la patente «AB 123 CD» ¿eso quiere decir que no puede existir una moto que tenga la patente con la numeración equivalente «A12 3BCD»?

Patentes-Motos

Ahora bien el hecho de que se utilice para todo el Mercosur me hace pensar que este esquema también será (relativamente) cortoplacista. Según los datos publicados, habría alrededor de 110 millones de automotores hoy en día en el Mercosur. ¿Cuánto tiempo llevará que ese número se cuadruplique? ¿25 años?

Por las imágenes publicadas, aparentemente también se siguió otro consejo que dí en la nota de hace cuatro años acerca de cambiar la tipografía que en las patentes actuales se presta a muchísimas confusiones. Las imágenes publicadas muestran al menos una letra «B» bastante diferente a un número «8». Habría que ver la «D», la «O», la «Q» y algunas otras para ver si son fácilmente diferenciables.

Esas mismas imágenes no muestran cortes u otras ayudas que suelen tener las tipografías más modernas para diferenciar caracteres parecidos, especialmente cuando se están detectando patentes automáticamente desde cámaras (ya sea para control de tránsito, para cobrar peajes o con fines de seguridad). Tampoco se informó si las patentes contendrán algún mecanismo tipo RF-ID para leerlas electrónicamente sin tener que depender de cámaras y mecanismos de detección de caracteres.

DreamHost migra de Debian a Ubuntu

La semana pasada recibí un mail de DreamHost (donde tengo alojada esta página y algunas otras) avisándome que el servidor donde está alojada mi cuenta se iba a actualizar a Ubuntu 12.04.

DreamHost es un proveedor de hosting compartido muy barato (cuanto más lo usás, más barato es ya que tiene un precio fijo de alrededor de US$9 por mes y no tiene límites en cuanto a cantidad de dominios, cuentas de mail, bases de datos, espacio en disco, etc). Una de las cosas que siempre me gustó es que tienen una política bastante abierta en cuanto a problemas generalizados en su sitio DreamHost Status y que los servidores tenían instalado Debian (que era la distribución que yo usaba) y te daban acceso a un shell y no sólo a través de FTP.

Dada la cantidad de servers que tiene DreamHost (entiendo que son decenas de miles), los upgrades de los sistemas operativos de cada uno de estos servidores (que, a su vez, tienen varios cientos de usuarios cada uno) es algo que encaran con bastante cuidado.

Yo recuerdo el upgrade de Debian 3.1 (sarge) a Debian 4.0 (etch) que fue el primero que me tocó vivir y que se hizo bastante tiempo después del release original de etch. Luego hubo otros upgrades a los que les presté menos antención.

La sorpresa este fin de semana fue que en lugar de avisarme que hacían el upgrade de Debian 6.0 (squeeze) a Debian 4.0 (wheezy), el upgrade era a Ubuntu 12.04 (Precise Pangolin).

From Debian To UbuntuMe puse a revisar el blog de DreamHost y encontré esta entrada de hace más de un año donde explican los motivos del cambio.

Uno de los problemas que tiene Debian es que su ciclo de lanzamientos (release cycle) es irregular y el lanzamiento se hace «cuando está listo». El otro problema (y el más grave para DreamHost es que una vez que sale una nueva versión de Debian, la versión anterior tiene soporte durante alrededor de un año.

Por el contrario, Ubuntu tiene un ciclo regular de lanzamiento de versiones cada seis meses (en abril y octubre de cada año) y, si bien el tiempo de soporte de una versión «común» es de sólo nueve meses luego de publicada, cada dos años (en abril de los años pares) se publica una versión que se llama de Soporte por un largo período (Long Term Support – LTS). Ubuntu garantiza el soporte de cada release LTS por cinco años desde el lanzamiento, con lo cual, una vez que sale una nueva versión LTS, la versión anterior todavía tiene una vida útil con soporte por tres años más. Esto le brinda a DreamHost un período largo y previsible para hacer los upgrades en forma pausada y controlada.

De hecho cuando el 14 de septiembre de 2014 comenzaron las migraciones de Debian 6.0 a Ubuntu 12.04, ya existía una nueva versión 14.04 LTS (Trusty Tahr), sin embargo, la versión que DreamHost tiene probada (porque empezó a hacerlo a mediados de 2013) es la 12.04.

El domingo pasado se produjo la actualización de mi host y, a propósito, dejé una terminal abierta con un par de comandos significativos el domingo a la tarde:


baby@dellores:~ $ ssh upson.dreamhost.com
                         
  _  _ _ __ ___ ___ _ _  
 | || | '_ (_-</ _ \ ' \ 
  \_,_| .__/__/\___/_||_|
      |_|                
 Welcome to upson.dreamhost.com

Any malicious and/or unauthorized activity is strictly forbidden.
All activity may be logged by DreamHost Web Hosting.

baby@upson:~ $ w
 13:19:28 up 209 days, 26 min,  1 user,  load average: 3.17, 5.78, 7.80
USER     TTY      FROM              LOGIN@   IDLE   JCPU   PCPU WHAT
baby@upson:~ $ cat /etc/issue
Debian GNU/Linux 6.0 \n \l

baby@upson:~ $ lsb_release -a
No LSB modules are available.
Distributor ID:	Debian
Description:	Debian GNU/Linux 6.0.6 (squeeze)
Release:	6.0.6
Codename:	squeeze
baby@upson:~ $ uname -a
Linux upson 2.6.32.45-grsec-2.2.2-r3 #8 SMP Mon Oct 10 13:33:17 PDT 2011 x86_64 GNU/Linux
baby@upson:~ $ 
Broadcast message from root@upson (Sun Oct  5 20:42:19 2014):

The system is going down for reboot NOW!
Connection to upson.dreamhost.com closed by remote host.
Connection to upson.dreamhost.com closed.

y el lunes a la mañana volví a conectarme y probé los mismos comandos:

baby@dellores:~ $ ssh upson.dreamhost.com
                                   
                                   
 m   m  mmmm    mmm    mmm   m mm  
 #   #  #" "#  #   "  #" "#  #"  # 
 #   #  #   #   """m  #   #  #   # 
 "mm"#  ##m#"  "mmm"  "#m#"  #   # 
        #                          
        "                          

The programs included with the Ubuntu system are free software;
the exact distribution terms for each program are described in the
individual files in /usr/share/doc/*/copyright.

Ubuntu comes with ABSOLUTELY NO WARRANTY, to the extent permitted by
applicable law.

baby@upson:~ $ w
 09:24:32 up  8:03,  1 user,  load average: 5.28, 5.06, 5.05
USER     TTY      FROM              LOGIN@   IDLE   JCPU   PCPU WHAT
baby@upson:~ $ cat /etc/issue
Ubuntu 12.04.5 LTS \n \l

baby@upson:~ $ lsb_release -a
No LSB modules are available.
Distributor ID:	Ubuntu
Description:	Ubuntu 12.04.5 LTS
Release:	12.04
Codename:	precise
baby@upson:~ $ uname -a
Linux upson 3.2.61-grsec-modsign #1 SMP Tue Aug 12 09:58:26 UTC 2014 x86_64 x86_64 x86_64 GNU/Linux
baby@upson:~ $ 


En principio todo lo razonable funciona OK. Tuve (como con cada upgrade) algún problema con la wiki que instalé a mano y que es afectada por los upgrades de Python (esto me pasaba también con los upgrades de Debian), pero supongo que lo arreglaré en estos días.

¿Pásguord? ¿Guat pásguord?

Aprovecho que mi amigo Mauricio me conminó a escribir algo por él utilizando el clásico método del halago en un comentario de féisbuc para revivir este blog con un articulito corto y conciso. password security

La pregunta es ¿cómo elegir una buena password? Si uno no está utilizando ninguna ayuda tecnológica para guardar las claves que uno utiliza en distintos lugares como KeePass, LastPass o 1Password (cosa que recomiendo fervientemente, pero es tema para otro artículo), las passwords deberían ser fáciles para uno de recordar (y tipear) y difíciles de adivinar para una computadora que podría tener alguna información sobre vos.

Sin hacer ni remotamente un análisis serio sobre el tema, valga decir que, en principio, cuanto más larga es una clave, más difícil es de adivinar por una computadora, al menos utilizando un mecanismo de fuerza bruta (esto es, probar a lo bestia combinaciones de caracteres hasta dar con uno que funcione).

¿Cómo adivina una clave una computadora?

Si bien hay varias formas, el método más simple para una computadora para adivinar claves es aprovecharse de la velocidad de cálculo de la computadora y utilizar lo que se llama mecanismos de fuerza bruta.

En su forma más básica sería ir probando en orden:

  • A
  • AA
  • AB
  • AC
  • AD
  • AZ
  • B
  • BA
  • BB
  • ..

Eventualmente, va a encontrar todas las combinaciones posibles. Podría empezar en «AAAAAAAA» suponiendo que la longitud mínima es ocho caracteres. Con este método, utilizado en forma pura queda claro que, cuanto más larga es nuestra clave, más difícil es de descubrir.

Con una ayudita del atacado

En general el mecanismo de fuerza bruta puro casi no se utiliza o se deja como último recurso, ya que la gente tiende a utilizar palabras comunes o datos más o menos personales.

Posiblemente lo peor que uno pueda hacer es utilizar una palabra común como password ya que, por más larga que sea, lo más posible es que esté en un diccionario, ya sea «gastroenterologo», «prestidigitation», «Иллюзионист» o «טראַפּעז» y la computadora puede probar con todas las palabras de todos los diccionarios que tenga, rápidamente.

Muchas computadoras cuentan, además, con información que nosotros les dimos, ya sea directa o indirectamente, consciente o inconscientemente como ser, nuestra fecha de nacimiento, nuestro aniversario de bodas, nuestro número de documento, los nombres de nuestros hijos, mascotas, cónyuges, amantes, padres, primos, etc.

Una clave más larga que…

Una primera opción sería poner claves muy largas pero que nos sean fáciles de recordar, como ser un par de versos de una canción o una poesía que nos gusta, una línea de un personaje en una película, etcétera, por ejemplo: «Muchacha ojos de papel, no corras mas, quedate hasta el dia» o «Me parecio ver un lindo gatito, Es cierto! es cierto! He visto un lindo gatito».

Una condición para poder utilizar este tipo de claves es ser un buen tipista, como su servidor, ya que si uno no fue a la Pitman y sólo tipea con dos dedos buscando durante dos segundos la mitad de las letras en el teclado, ingresar la clave va a ser una tortura. Por otra parte, aun tipeando treinta palabras por minuto o más, si la clave se utiliza con cierta frecuencia o se debe ingresar en un dispositivo móvil con un teclado virtual en una pequeña pantalla que no se presta a la velocidad, termina siendo también una tortura.

En mi caso, yo utilizo estas claves muy largas para guardar otras claves dentro de KeePass o para guardar las claves privadas que me dan acceso desde mi computadora a otras sin tipear la clave, es decir, que una clave muy larga tipeada una vez, me da acceso a un montón de lugares sin volver a tipear una clave durante una sesión.

Cortala un poco, querés

Otra posibilidad, para no desgastar tanto los dedos es utilizar una clave más corta (sin exagerar, en principio una clave jamás debería tener menos de ocho o diez caracteres) es utilizar el mismo mecanismo de memoria, pero abreviarlo como proponía Mauricio en su comentario, poniendo sólo las letras iniciales de esas palabras. Así nuestros ejemplos podrían pasar a ser «Modp,nc+,qhed» y «Mpv1lg_Ec!ec!hv1lg». Notar que estas claves, si bien tienen una longitud más corta que las otras, sólo pueden ser atacadas con un mecanismo de fuerza bruta en el que las «ayudas» que pueda tener dicho mecanismo que vimos más arriba como ser: buscar palabras comunes de un diccionario primero, o utilizar datos significativos si se sabe algo de ustedes como fecha de nacimiento, aniversarios, números de documentos o nombres de las mascotas; serían inútiles.

Qué teclas usar (y cuáles no)

Conviene que la clave tenga una combinación de letras mayúsculas y minúsculas, números y quizás algun símbolo (como un punto, un espacio en blanco, un guión, etc). En algunos casos, hay sitios de internet que nos obligan a utilizar esto; cada vez es más común que si la clave no tiene al menos una letra mayúscula, una letra minúscula, un dígito numérico y al menos ocho caracteres, el sitio no la acepte cuando la tratamos de crear.

Dicho esto, hay caracteres que es conveniente evitar ya que no todos los sistemas los interpretan igual: las letras con acento, la eñe, los símbolos de apertura interrogación y admiración y otros que no están entre los que son comunes a todos los idiomas.

El problema con estos caracteres es que si bien existe y normalmente se utiliza un estándar internacional que soporta todos los caracteres utilizados en todos los idiomas en uso, no siempre esto está bien configurado en los servidores y en los clientes, y la posibilidad de que en algún momento tengamos que tipear la clave en una computadora, tableta o teléfono que no esté bien configurado y en consecuencia no podamos ingresar la misma correctamente es motivo suficiente para evitarlos.

Una lista razonable de los caracteres que conviene usar en una password es:

  • Todas las letras mayúsculas y minúsculas del alfabeto inglés (o, si preferimos no hacer referencia a otro idioma, del alfabeto español sin la eñe)
  • Los diez dígitos del 0 al 9
  • El punto, la coma, punto y coma, dos puntos, paréntesis, corchetes, llaves, guión bajo, signos más, menos e igual, barras diagonales y vertical, asterisco, porcentaje, numeral, signo pesos, arroba, signo de admiración e interrogación que cierra (no el que abre), signos de menor y mayor, el símbolo ampersand y el espacio en blanco

Hay que tener cuidado con las comillas dobles y simples (ya que, a veces se transforman en comillas orientadas, que diferencian la que abre de la que cierra), los guiones, que a veces se transforman en guión «ancho» o doble, etc.

Finalmente se terminó haciendo un poco largo, pero espero que la nota todavía sea legible por cualquiera.

The Oatmeal – «una de abogados»

Esta nota comenzó como un pequeño post en Google+ hace unos días, sin embargo, la historia sigue creciendo alocadamente. Como ya no daba para seguir agregando información en ese post, me decidí a escribir un resumen de lo que voy leyendo del tema.

No sé si conocen The Oatmeal. Es una página de humor (en inglés y usualmente intraducible) que tiene desde comics tontos (pero divertidos) hasta observaciones agudas sobre el manejo del copyright en internet, pasando por alabanzas a científicos que lo merecen.

Capítulo 1: Masticando bronca

El autor, Matthew Inman, se quejó hace alrededor de un año (mediados de 2011) de que un sitio llamado FunnyJunk.com, cuyo contenido consiste en cosas graciosas subidas por sus usuarios, tenía copia de prácticamente todo el contenido de The Oatmeal, sin links al sitio de origen y, en muchísimos casos, con el texto que referencia a su autor borrado (esto es generalmente en un dibujo, para lo cual es necesario editar la imagen y borrarle las referencias, no es algo que «te olvidaste de copiar«.

En ese post, Inman describe el «modelo de negocio» de FunnyJunk.com de la siguiente manera:

  1. Buscar imágenes divertidas en internet
  2. Alojarlas en FunnyJunk.com
  3. Desparramarle publicidad por todos lados
  4. Si alguien reclama por infracción al derecho de autor (Copyright) levantar los brazos al aire y exclamar «¡Fueron nuestros usuarios quienes subieron tus imágenes! ¡Nosotros no tenemos nada que ver! ¡Somos inocentes!«
  5. Cobrar cheques de seis dígitos (en dólares) por poner publicidad sobre el material de otros artistas

En esa misma nota dice que alrededor de un año antes (supongo que a mediados de 2010) se puso en contacto con los administradores de FunnyJunk.com quejándose de varios comics de su autoría que habían sido subidos allí sin darle crédito ni poner un link hacia su sitio. Si bien sacaron esas imágenes, durante el año transcurrido desde entonces hasta el momento de ese post, habían subido practicamente todo el contenido de The Oatmeal a FunnyJunk.com.

Aquella queja de Inman era más bien retórica… se preguntaba si debía enviar órdenes de «cesar y desistir» cada vez que encontrase imágenes cuyos derechos le pertenecían, pero termina diciendo (más o menos): «Entiendo que tratar de atacar las violaciones del derecho de autor en internet es más o menos como adentrarse en la jungla vietnamita en 1964 y pedirles a todos que por favor utilicen pistolas de agua. Sé que si FunnyJunk desaparece, apareceran otros cincuenta clones del sitio al día siguiente, pero sentía que tenía que decir algo acerca de lo que están haciendo«.

Capítulo 2: La venganza de FunnyJunk

A los pocos días de publicado ese post, Matthew Inman publicó otro, contando que el administrador de FunnyJunk envió un mensaje a cada uno de sus usuarios que decía más o menos lo siguiente:

¡The Oatmeal quiere demandar a FunnyJunk y cerrar el sitio! Él cree que sólo somos sucios ladrones de contenido, que FJ no tiene miembros reales y que sólo es un robot que roba contenidos.

Andá a http://funnyjunk.com/funny_pictures/2156824/The+Oatmeal+hates+us/

¡Contactá a Oatmeal de la manera que puedas!

aquí http://theoatmeal.com/pages/contact
y aquí http://www.facebook.com/theoatmeal

¡Mostrale estos links!

Inman cuenta que su casilla de mensajes y su cuenta de facebook se lleno con miles de mensajes de usuarios de FunnyJunk puteándolo en todos los idiomas. Contestó los mensajes con esta carta.

El administrador de FunnyJunk quitó todo el contenido que decía «The Oatmeal» en el título, pero no las copias que que no lo tenían (es decir, las que ni siquiera nombraban el origen del contenido). En el post, Inman le pasa una lista del material copiado de su sitio que en ese momento permanecía alojado en FunnyJunk.

A los usuarios de FunnyJunk les dice: «Nunca tuve planes de demandar a FunnyJunk ni cerrarlo; sólo pedí que borren los comics que me robaron – su administrador es un tarado que elige sus palabras con el mismo cuidado que una mula elige dónde cagar«.

Capítulo 3: La carta de Carreon en nombre de FunnyJunk

Los primeros días de junio, Matthew Inman recibe una carta de Charles Carreon, abogado teóricamente especialista en internet que obtuvo fama en el caso del dominio sex.com.

La carta acusa a Inman de difamación (debido a los posts anteriores) y lo intima a borrar toda referencia a FunnyJunk de su sitio y ¡pagarle a FunnyJunk la suma de US$ 20.000! en concepto de resarcimiento o algo así.

Capítulo 4: «Mirá lo que hago con tu carta y la guita»

Si bien, cualquier estadounidense medio habría reculado ante una amenaza legal así, dado que está en un sistema donde aun cuando tengas razón, tenés que gastar un fangote de guita en honorarios de abogados para defenderte de un ataque así, el amigo Inman, por decirlo de algún modo, se la mandó a guardar.

Inman, en ese post comienza comentando el contenido en general de la carta (y pone el link a la misma) y dice:

No quiero entramparme en el sinsentido de los tribunales. No quiero pagarle guita a mi abogado. ¿No extrañan la época en la que posteaba dos comics por semana en lugar de estar refutando a Forbes y tratando con mierda como esta?

Yo también.

A continuación anota y comenta el contenido de la carta para pasar a la sección en la que explica cómo va a tratar este tema:

¿Ustedes quieren que YO les pague a USTEDES US$20.000 por hostear MIS comics sin licencia en SU sitio de mierda durante los últimos tres años?

No, Tengo una idea mejor:

  1. Voy a tratar y juntar US$20.000 en donaciones
  2. Voy a sacarle una foto al dinero obtenido
  3. Les voy a enviar por correo esa foto junto con este dibujo de su mamá seduciendo a un oso Kodiak
  4. Your mother and the kodiak bear

  5. Voy a agarrar el dinero y donar la mitad a la National Wildlife Federation (Federación Nacional por la Vida Silvestre) y la otra mitad a la American Cancer Society (Sociedad Norteamericana del Cáncer).

FunnyJunk:

No quiero escribir replicas como esta nunca más.

No quiero pasar el próximo año atado en mierdas legales con ustedes.

Sólo quiero hacer comics.

Consideren que esta es mi forma filantrópica y de espíritu amable de decirles: ¡Váyanse a la mierda!

Y armó una colecta en indiegogo a la que llamó: «AmarOsos Bueno. Cáncer Malo (BearLove Good. Cancer Bad)» en la que solicita donaciones para juntar los US$20.000 y hacer precisamente lo que dijo.

Éxito de la colecta

Los US$20.000 que eran el objetivo de la colecta los juntó en los primeros… ¡¡64 minutos!!. Uno o dos días después ya había juntado más de US$100.000 y mientras escribo esto (el 20 de junio) lleva más de US$200.000 (la colecta termina a medianoche del 25 de junio).

Capítulo 5: El boga se puso de la chapa

Si bien el abogado Charles Carreon se define a sí mismo como especialista en internet, claramente no conoce cómo funciona internet socialmente. En lugar de joderse, callarse la boca y esperar que el asunto se desvanezca lentamente, ignorante del llamado «Efecto Streisand«, echó más leña al fuego e inició él mismo en su nombre (no ya de su cliente, FunnyJunk, que posiblemente haya preferido recular antes de meterse en un berenjenal inmanejable) una demanda insólita en donde no sólo demanda a Matthew Inman y el sitio The Oatmeal, si no también a indiegogo y (descabelladamente) ¡a la National Wildlife Federation y la American Cancer Society! amén de «otros no nombrados aún» que incluye a quienes, según él, han intentado hackear su sitio y le han enviado mensajes de odio y amenazas y hasta creado perfiles apócrifos en twitter (@Charles_Carreon, @CharlesCarreon, etc).

Carreon publicó la demanda en su propio sitio y sigue adelante con ella contra toda lógica.

Decenas de abogados se ofrecieron a defender a Inman pro bono, sin embargo, silenciosamente, Inman convocó a Venkat Balasubramani para responder legalmente a la demanda.

Bibliografía

La historia, desde el punto de vista legal, la están siguiendo varios blogs dedicados al (abuso del) derecho.

En particular, Ken White, un abogado de California que mantiene un blog que solía ser anónimo llamado PopeHat escribió una serie de (hasta hoy) cinco artículos sobre el tema (lamentablemente, están en inglés y no tengo el tiempo ni la capacidad para traducirlos):

  1. The Oatmeal v. FunnyJunk, Part I: Hey, Did Somebody Say Something Was Going On With The Oatmeal? (Hey ¿Alguien dijo que pasaba algo con The Oatmeal?)
  2. The Oatmeal v. FunnyJunk, Part II: How Dare You! That’s The Wrong Kind of Bullying! (¡Cómo te atrevés! ¡Esa forma de acoso está mal!)
  3. The Oatmeal v. FunnyJunk, Part III: Charles Carreon’s Lifetime-Movie-Style Dysfunctional Relationship With the Internet (La relación disfuncional de toda la vida «como en las películas» de Charles Carreon con internet)
  4. The Oatmeal v. FunnyJunk, Part IV: Charles Carreon Sues Everybody (Charles Carreon demanda a todos)
  5. The Oatmeal v. FunnyJunk, Part V: A Brief Review of Charles Carreon’s Complaint (Una breve reseña de la demanda de Charles Carreon)

Kevin Underhill tiene un blog llamado Lowering the bar (Legal humor. Seriously) que podría traducirse como «Bajar la barra (Humor legal. En serio)» (también incluye un juego de palabras porque la Barra es el equivalente estadounidense al Colegio de Abogados). En su blog publicó estas notas acerca del caso:

Esta historia ya tiene una entrada en Wikipedia (bien podría ponerme a traducirla para Wikipedia en español).

Una buena experiencia / A nice experience


See below for an English translation

Ahora que cualquier tarado (como yo) puede publicar fácilmente en internet se ha hecho fácil (y frecuente) denunciar a personas o empresas que se dedican a estafar, especialmente (aunque no necesariamente) a través de la web.

Lamentablemente, no es tan frecuente ni común lo contrario: expresar la satisfacción por un servicio bien prestado. Esto hace que las empresas o la gente que comercializa sus bienes y servicios a través de la red no pueden mostrar fácilmente que trabajan bien y de buena fe.

En parte esto se debe a que cuando uno se siente estafado trata, por todos los medios, de resarcirse (o, más bien, vengarse) tratando de, al menos, dar mala publicidad al sitio o persona que lo engañó; pero cuando uno se siente bien tratado, no siempre siente la necesidad de clamarlo a los cuatro vientos o, al menos, la pereza es mayor que dicha necesidad.

Dado que el mes pasado tuve una de estas buenas experiencias, voy a aportar mi granito de arena para revertir esto.

A fines de 2010 pensamos en tomarnos unas vacaciones familiares en Rio de Janeiro, ciudad que conocí en mi adolescencia y que siempre me fascinó. De mi familia (mi esposa, tres hijos adolescentes y yo) el único que conocía la ciudad era yo. Pese a que el tipo de cambio es francamente desventajoso para nosotros en este momento, dado que las cosas nos iban razonablemente bien, decidimos hacerlo de todos modos.

Habiendo conseguido pasajes de avión a precio razonable, el precio del hotel seguía siendo un problema. Un hotel de tres estrellas sobre la playa de Ipanema superaba los US$600 diarios (una habitación doble para nosotros una triple para los chicos). Hay que considerar que los chicos son dos varones de 20 y 16 años (este último mide casi 1,90m) y una nena de 13, con lo cual el tema de pasarse 10 días compartiendo la habitación no era especialmente feliz para ellos.

Por eso empezamos a averiguar para alquilar un departamento. Tanto nuestra agente de viajes como varios sitios en internet alertan acerca de las estafas que se realizan con esto, donde uno paga una reserva y llega a Rio sólo para enterarse de que el departamento no existe o su propietario no había autorizado la operación.

De todos modos, nos pusimos a buscar recorriendo, entre otras, las siguientes páginas:

De la única que conseguimos alguna referencia (muy buena) en internet fue la primera, sin embargo, tardaron mucho en contestarnos el mail y lo que nos ofrecieron era muy caro.

De todas las demás que consultamos, la única en la que nos contestaron razonablemente fue www.apartmentriorent.com. Si bien no tenía disponibilidad en la fecha que nosotros queríamos del departamento que habíamos elegido, nos ofreció otro que, si bien estaba en Copacabana (y nosotros preferíamos Ipanema), tenía todas las comodidades que queríamos y más: 4 dormitorios, todos en suite (es decir, cada uno de mis hijos podría tener su propio dormitorio y su propio baño), internet con wifi, terraza propia con piscina y parrilla, ubicado a 100m del mar y el precio era R$580 por noche (alrededor de US$340, casi la mitad que el hotel con la habitación compartida para los tres «niños«). La persona que nos contestaba los mails era un tal Vincenzo Capasso y hacía referencia a un contacto local llamado Enrico Pinucci. Dado que el sitio www.apartmentriorent.com es bilingüe (inglés/italiano) y los nombres de ambas personas, con mi natural perspicacia, deduje que eran italianos. :-P

Al no haber conseguido ninguna referencia buena del sitio o Vincenzo o Enrico, estabamos preocupados; por otra parte, pese a haber buscado tanto el sitio como cada una de las personas asociadas a engaños, estafas y cosas similares, tampoco había encontrado nada y eso era un buen signo; también lo era que el dominio tuviera más de dos años y que el anticipo se pudiera pagar con PayPal.

Finalmente, pusimos todo en la balanza y decidimos correr el riesgo. Como nuestro vuelo llegaba a Rio por la noche, reservamos el departamento a partir del día siguiente al mediodía y para la primera noche contratamos dos habitaciones en un hotel barato cercano al departamento (utilizando el servicio confiable de www.hotels.com). Si bien la perspectiva de perder los €480 que pagamos de reserva (vía PayPal) no me gustaba, lo que realmente me preocupaba era llegar a Rio por la noche y no tener donde dormir; la noche en el hotel nos permitía, en caso de que fuéramos estafados, conseguir alojamiento durante el día.

Con toda la ilusión (y algunas preocupaciones), finalmente llegamos a Río esa noche. Al dia siguiente por la mañana llamo al celular de Enrico Pinucci y, para mi tranquilidad me atiende y está al tanto de la operación. Nos encontramos con él en la puerta del edificio, subimos, firmamos un contrato, le pagué el saldo del alquiler, le dejé US$300 como depósito de garantía y tomamos posesión sin ningún inconveniente. Ya nuestros miedos se habían esfumado.

Hasta aquí, lo básico. El sitio www.apartmentriorent.com es legítimo y Vincenzo Capasso y Enrico Pinucci no son estafadores.

De todos modos, lo que me motiva a escribir esto es que eso fue sólo el comienzo. Todas las sorpresas que tuvimos fueron positivas:

  • Si bien no estaba especificado, Enrico nos dijo que vendría una chica (que conocimos al tomar posesión) dos veces durante los 10 días de nuestra estadía
  • Además de los baños en cada una de las habitaciones, había un quinto baño que daba al living en el cual la ducha fue reemplazada por un lavarropas, con lo cual podíamos lavar la ropa en el departamento sin tener que ir a un lavadero pago
  • El primer día descubrimos que el aire acondicionado de uno de los dormitorios no enfriaba. Lo llamé a Enrico y quedó en pasar al día siguiente. Cuando vino, ya había llamado al servicio técnico que, luego de trabajar arduamente durante más de una hora, reparó el equipo
  • Al comer por primera vez en el departamento notamos que sólo había dos cuchillos (más algunos para asado). Enrico compró cubiertos nuevos mientras reparaban el aire acondicionado
  • Luego de unas lluvias intensas el agua de la piscina se puso verde, Enrico mandó al día siguiente a su ayudante (que también había venido el día que repararon el aire acondicionado) para que la limpie

Finalmente, el día que debíamos devolver el departamento, Enrico vino y, aun antes de revisar el estado en que había quedado o si faltaba alguna cosa, me devolvió el depósito de garantía.

En resumen, si alguien desea alquilar un departamento para unas vacaciones en Rio de Janeiro, no puedo más que recomendar que utilice el sitio www.apartmentriorent.com. Seguramente no es el único bueno y confiable, pero el próximo que busque referencias en internet, espero que las encuentre aquí.



Ver arriba la versión original en español

Now that any moron (like myself) is able to publish in the internet, it’s become easy (and frequent) to complain about people or companies that scam the inocent people usually (though not always) through the web.

Regrefully, it is not that frequent or common the opposite: to express satisfaction for a nice service. This turns to be somehow hard for small companies or people that sell goods or servicies through the wab and can’t easily show that they work nicely and fairly.

This is in part because when you feel scammed, you try by any means to get payback (or, more often, revenge) trying to at least draw some bad publicity to the site or person who scammed you; but when you are treated well, you not always feel the urge to voice it out loud or, at least, lazyness is greater than that urge.

Given that last month I had one of those nice experiencies, I’ll try to do a little to revert that trend.

An the end of 2010 we thought about some family vacation in Rio de Janeiro; I visited the city when I was a teenager and was always fascinated by it. I was the only one in my family (wife, three teenage sons and me) who knew the city. Even when the exchange rate is really bad for us in Argentina right now, since we were doing pretty well, we decided to go anyway.

We got plane tickets at a reasonable price, but hotel accomodation prices were still a problem. A three star hotel facing Ipanema beach was over US$600 for a double room for my wife and me and a triple room for the children. You have to consider that the children are two boys 20 and 16 years old (the latter is over 6’2″) and a girl 13 yo, so spending 10 days sharing a room was not a very happy perspective for them.

So, we started looking for an appartment to rent. Our sales agent and several websites alerted us about scams usually perpetrated with vacation rentals, especially in Rio, where you pay an advancement and get to the city only to discover that the apartment doesn’t exist or it’s owner didn’t authorize the rental.

Anyway, we started browsing, among others, the following sites:

The only one for which we could get some reference (a very good one) on the web was the first one; however, they took a very long time answering our mail and what they offered was too expensive for our budget.

Among all the other ones to which we wrote, the only one for which we got a reasonable answer was www.apartmentriorent.com. They didn’t have the apartment we chose in the date we were traveling, but they offered an alternative that, even when it was located in Copacabana (and we preferred Ipanema), had all the features we wanted and more: 4 bedrooms, all with their own bathroom (that is each of my kids would have his/her own bedroom and his/her own bathroom), wireless internet access, private terrace with pool and grill, located 100m away from the beach and the price was R$580 (about US$340, bearly more than half the price of the hotel with the shared room for the three «children«). The person answering our mails was one Vincenzo Capasso and he referred to a local contact called Enrico Pinucci. Given that the site www.apartmentriorent.com was bilingual (English/Italian) and the names of both persons, I cleverly deduced that they were Italian.

As we couldn’t get any good reference of the website or Vincenzo or Enrico, we were worried; on the other hand, even when I tried to google either the site or the persons with relation to scams or the like, I had not found anything and that was a positive thing; it also was positive that the domain was more than two years old and that I could make the advance payment via PayPal.

Finally, we decided to take the chance. As our flight arrived in Rio by night, we reserved the apartment starting on the following day and booked the first night on a budget hotel near the apartment via www.hotels.com. Even when I didn’t like the posibility of loosing the €480 advance we payed via PayPal, what worried me most was to arrive in Rio by night and not have a place to sleep; the night in the hotel would allow us to find another place to stay during the day if we were scammed.

With all our illusions (and some worries), we finally got to Rio that night. The following morning I called Enrico Pinucci‘s cellphone and, thankfully, he exists and is aware of the rental. We arrange to meet at the door of the building and did so. We went up, signed a contract, I payed the rest of the rental, left a warranty deposit of US$300 and took posession hassle free. All our fears were gone.

So far, this was it. The website www.apartmentriorent.com is legit and Vincenzo Capasso and Enrico Pinucci are not scammers.

Anyway, what motivates me more to write this is that it was only the beginning. The surprises we got then were all positive:

  • Even when it was not specified, Enrico introduced us to the maid who would come twice during our 10-day rental period
  • Besides the bathrooms in every bedroom, there was a fifth badroom where the shower was replaced by a washing machine, so we could do our laundry there and wouldn’t have to pay for it
  • The first day we discovered that the air conditioning in one of the bedrooms wouldn’t refrigerate. I called Enrico and he said he’d be there the following morning. When he came, he’d already called the tecnicians who, after working hard for over an hour, repaired the air conditioner
  • When we eat for the first time in the appartment we noticed there were only two knifes (plus some more for preparing a barbacue). While the guys were repairing the air conditioning, Enrico bought new eating utensils
  • After some heavy rain, the swimming pool’s water turned green. Enrico sent the handyman to clean it up the day after

Finally, on the day we had to release the apartmente, Enrico came and, even before checking the state of the apartment or if there was anything missing, he game me back the warranty deposit.

To sum it all up, if you wish to rent a vacation apartment in Rio de Janeiro, I can only recommend you to do it through www.apartmentriorent.com. For sure it’s not the only one good and trustworthy, but at least, I hope the next person searching for internet references about them can find them here.

Migrando el blog

Finalmente me decidí y estoy migrando el blog de Textpattern a WordPress.

No es que Textpattern sea malo o no me sirva, es una excelente herramienta y algunas cosas me parecen resueltas en forma mucho más elegante que en WordPress. Sin embargo, tenía ganas de probar algunas cosas que en Textpattern no hay o me dan mucho trabajo.

Veremos como nos va.