iNFoRMáTiCa++

Resumen de la Jornada de Trabajos Finales

Publicado el 6 marzo 2014 por robert

El pasado jueves 13 de marzo los Estudios de Informática, Multimedia y Telecomunicación de la UOC celebramos 1a Jornada de Trabajos Finales. Esta jornada tenía como objetivo presentar los mejores trabajos finales realizados por estudiantes de la UOC y poner en contacto a sus autores con empresas del sector TIC.

Los trabajos presentados demostraron un alto nivel técnico y académico y mostraron una diversidad de aplicaciones y tecnologías: una aplicación móvil Android para facilitar el uso compartido del vehículo privado (Marc Roger), una bolsa de trabajo utilizando tecnología cloud (Josep Itarte), una herramienta de web semántica para representar información sobre elementos del genoma humano (Izaskun Mallona) y un portal web para dar respuesta a errores de forma colaborativa (Sergio Ortega).

Presentación del trabajo “Error Push” de Sergio Ortega, premio al mejor trabajo final del 1r semestre del curso 2013-2014.

Este último trabajo fue guardonado con el premio al mejor trabajo dentro de la Jornada. El tribunal de evaluación, formado por académicos y profesionales, coincidió en valorar positivamente el elevado nivel de los trabajos y su aplicación profesional. De hecho, algunos de los estudiantes manifestaron su interés en crear una empresa a partir de los productos desarrollados en su trabajo.

La jornada contó con la participación de diversas empresas y instituciones referentes del sector TIC: NexTRet, Ibermática, SlashMobility, Synthesis Group, Mcrit i el Institut Municipal de Informática del Ayuntamiento de Barcelona. Como parte de una mesa redonda, las empresas destacaron las competencias profesionales más buscadas a la hora de seleccionar candidatos. Las más enfatizadas fueron principalmente las relacionadas con las competencias transversales: capacidad de comunicación, capacidad de trabajo en equipo, iniciativa i capacidad de liderazgo, entre otros.

Una consecuencia muy positiva de la Jornada fue el interés demostrado por las empresas para captar talento entre los estudiantes y titulados de la UOC. Iniciativas como la red de ex-alumnos de formación tecnológica (los Alumni EIMT-UOC, que ya cuentan con un grupo en LinkedIn) facilitarán la puesto en contacto de estas empresas con los posibles candidatos dentro de la comunidad UOC.

En breve publicaremos en este mismo espacio los vídeos de las presentaciones y la mesa redonda.

Publicado en Docencia, Profesión, UOC | Etiquetado Empresa, Jornada, Mercado Laboral, Proyecto final de titulación | 1 comentario

¿Qué es estrategia?

Publicado el 3 marzo 2014 por josé ramón

Hay ahora, hacia el supuesto final de la crisis permanente, un relativo furor por la estrategia y la planificación estratégica, en el negocio y en la tecnología: la estrategia ataca de nuevo. Nuestras asignaturas de Dirección Estratégica de las TIC se extienden como la hidra y ya están en todos los estudios de informática, en economía y empresa, los MBAs y hasta en derecho y ciencias políticas.

Pero, ¿qué es estrategia? Peor aún, ¿qué es planificación estratégica? Sostiene Porter, en uno de esos artículos que vale la pena volver a leer siempre, que estrategia es lo contrario de eficiencia. Estrategia tiene que ver con transformación (doing the right things, que diría Drucker) mientras que eficiencia tiene que ver con mejora (doing the things right). La estrategia es el trabajo de los líderes; la eficiencia es el trabajo de los gestores. La eficiencia obedece a la ley de los beneficios decrecientes y, por lo tanto, lo que parece un buen negocio acaba siendo un mal negocio; así que hay que tomar precauciones… estratégicas.

La estrategia parece una cosa simple que sólo debería contestar tres preguntas: ¿a qué clientes servimos? ¿con qué productos? ¿mediante qué modelo de negocio o, de otra forma, cómo ganamos dinero? Según Porter, uno puede ser bueno a través de la diferenciación, a través de los costes o sirviendo a un pequeño segmento del mercado, un nicho. No hay mucho más.

La estrategia, decía uno de mis jefes, es saber decir que no. O sea, no puedes ser todo para todos por todos los medios y con los menores costes. Igual que la eficiencia conduce a beneficios marginales negativos, la obsesión por ser “más grande y mejor” (bigger and better) conduce a la inflación de los costes de estructura y, finalmente, a la ruina. Lo sabemos en las Universidades. “Decidir lo que no se hace es tan importante como decidir lo que se hace”, decía Steve Jobs.

Una buena estrategia es propia, es única, y es un encaje complicado entre la ventaja competitiva y su sostenibilidad en el tiempo y el dinero. Y en esta ecuación, la eficiencia de las operaciones se da por supuesta, como el valor en la mili.

Lo de la planificación estratégica es más sorprendente. ¿Puede planificarse la estrategia?, se preguntaba Henry Mintzberg. ¿O esa pretensión es un oxímoron, una contradicción en sus términos como la música militar, las ciudades inteligentes o los liberales progresistas? Mintzberg y algunos colegas han publicado desde mitad de los 90 algunos libros divertidos sobre lo que les parece la inutilidad de la planificación estratégica, al menos en sus formas clásicas. “Strategy formation is a planning process, designed or supported by planners, to plan in order to produce plans”, jeje. Le debo una entrada a Mintzberg, promised.

La planificación estratégica sería, en este concepto, una especie de liturgia organizada por un grupo de catecúmenos (consultores externos y departamentos internos de planificación) que se extiende militarmente al conjunto de la empresa, en un proceso de de descomposición jerárquica en cascada, conseguido mediante una gran agitación organizativa y un número infinito de formularios y talleres de trabajo. ”Yo estaba tranquilo y calentito en mi cama y, de pronto, soy parte de un plan”, decía Woody Allen. Fue el modelo de General Electric de los 1970, con el que acabó Jack Welch, “por mis narices” (“straight from the gut“).

Una cosa es estrategia y otra cosa es planificación, dice Roger Martin en un nuevo artículo. La estrategia cuestiona las asunciones y hace explícita la lógica de cambiar, de hacer cosas diferentes de una manera diferente. Los planes, en general, proyectan las opciones actuales, introduciendo solamente mejoras de eficiencia o de niveles de servicio. Martin llama a la planificación “la gran mentira de la estrategia”.

Estamos haciendo en la UOC un Plan Estratégico de Sistemas de Información, o sea, ¡cuidadín! La estrategia es una especie de artesanía, que no es fácil de codificar, un trozo de tela vacío que vas bordando a medida que vas haciendo; que el plan se escribe mientras actúas, como el camino de Antonio Machado, que se hace al andar. Y, si hay plan, que sea una cosa ligera, que te ayuda y no te pesa cuando quieres llegar lejos.

Nota: Me ha cogido la muerte de Paco de Lucía en Santiago de Chile. La gráfica de hoy es un trozo de su último concierto aquí, en Noviembre. Yo lo escuché en Barcelona en Junio. Paco no sabía escribir música ni leerla. Sabía poco de partituras o de planes. Pero a los 12 años había tocado más de 10000 horas y empezó a interpretar delante de la gente en todas partes, que es lo que realmente le gustaba hacer. Ejecutar.

Publicado en General, Profesión | Etiquetado Estrategia, plan estratégico | 1 comentario

El fin del mundo… otra vez

Publicado el 27 febrero 2014 por Profesor/a UOC

Dicen que ya no hay vuelta atrás, Microsoft dejará de dar soporte a su versión de sistema operativo más extendida en la historia el próximo 8 de abril. A partir de entonces ya no habrá más parches de seguridad en el tan usado Windows XP.

Además, también incluye en el mismo anuncio el Office 2003. Ambos dejaran de tener nuevas actualizaciones y por lo tanto no se parcheará ninguna de las vulnerabilidades que se vayan descubriendo a partir de esa fecha. Los 0-day proliferarán por doquier.

Pero, ¿cómo afectará eso a los usuarios?

Tanto Windows XP como Office 2003 fueron los productos pirateados más utilizados en la década pasada, (sí, recordemos que Microsoft lanzó el sistema operativo Windows XP el 21 de octubre de 2001, hace más de 12 años). A partir del ServicePack2, Microsoft introdujo una aplicación que controlaba si la copia instalada era legal o no conectándose a sus servidores y validando cada uno de los números de serie que se iban utilizando. Con eso ya dejó a un gran número de PCs sin actualizaciones y a merced de los ciberdelincuentes, que podían atacar muy fácilmente estos equipos. De hecho siguen atacándolos, ya que todavía quedan muchos PCs con este sistema operativo sin los parches de seguridad.

Se calcula que la cuota de mercado de Windows XP a día de hoy ronda el 30% de todos los sistemas operativos instalados. Muchos sistemas que a partir del día 8 de abril van a quedar “desatendidos”.

¿Qué pasará? Pues en principio se espera que con el mantenimiento de los fabricantes de antivirus se pueda mitigar el ataque masivo que se prevé a partir de entonces y hasta que los usuarios vayan cambiando los ordenadores o sistemas hacia otros más nuevos.

Pero, ¿Cómo está distribuido ese 30%?

Ahí está el problema, ¿quién mantiene todavía este sistema operativo?

No hace mucho se conocía que más del 90% de los cajeros automáticos de los bancos y cajas todavía tienen WindowsXP como sistema operativo. Además, los cajeros de aparcamientos mayoritariamente todavía operan con este sistema.


Cajero bancario	Cajero de aparcamiento

Hospitales, escuelas, empresas… no solo las pequeñas, sino las grandes empresas, muchas, todavía no han hecho el cambio de sistema operativo. Esto, por no hablar de las infraestructuras críticas: empresas que tienen sistemas a medida programados hace algunos años y que no pueden actualizar por no tener versiones más recientes del software que controla, por ejemplo, plantas industriales. Drivers de buses de datos antiguos conectados a sensores distribuidos por las plantas que se hacen muy difícil y costosos de actualizar.

Noticiario CBS

Pero tampoco hay que alarmarse en exceso, los cajeros no van a empezar a dar dinero a diestro y siniestro. Las compañías de antivirus ya han comunicado que van a dar soporte para el nuevo malware sobre el sistema Windows XP durante un buen período de tiempo. Eso sí, los 0-day seguirán existiendo, y seguramente veremos como las filtraciones de datos se verán aumentadas en gran medida. La privacidad y seguridad se verán afectadas a partir del día 8, y los ciberdelincuentes podrán entrar más fácilmente a los viejos sistemas para extraer datos.

Alguna cosa se puede hacer, instalar un buen antivirus, que no sea pirata, configurar muy bien el firewall, no solo las políticas de entrada, sino también las de salida, e ir pensando ya en cambiar de sistema operativo, ya sea a una versión más reciente de Windows o hacer el cambio hacia GNU/Linux.

Jordi Serra Ruiz es profesor de los estudios de Informática, Multimedia y Telecomunicaciones en la UOC. Responsable de varias asignaturas del máster interuniversitario de seguridad de las TIC de la UOC y director del máster propio de seguridad informática del 2007 al 2011.

Publicado en General | Etiquetado 0-day, Seguridad, Sistemas operativos | 3 comentarios

Decálogos de seguridad para usuarios digitales

Publicado el 23 febrero 2014 por Comunidad UOC

[versió en Català]

Los Estudios de Informática, Multimedia y Telecomunicación de la Universitat Oberta de Catalunya (UOC), aprovechando la celebración en Barcelona del Mobile World Congress, han elaborado cuatro decálogos sobre seguridad destinados al grueso de los usuarios digitales debido a que cada vez hay más ciudadanos preocupados por la falta de seguridad de sus datos digitales, y el debate sobre la vulnerabilidad y la falta de privacidad que surge del uso de aparatos tecnológicos y de las redes sociales cada vez está más presente.

Seguridad en general

La seguridad informática 100 % no existe: sin convertirse en un paranoico, hay que tomar en consideración el nivel de seguridad que esperamos de nuestros datos y de las máquinas que acceden a ellos.
No debemos asumir nunca que los datos que damos (p. ej. redes sociales) están circunscritos a un círculo conocido de personas: es muy posible que el comportamiento normal de la gente haga que se divulgue fácilmente en otros círculos.
Hay que tener en cuenta que la información que ponemos en las redes sociales tiene una validez espacial (el lugar donde aparece) y temporal (periodo de validez), que se puede alargar mucho más de lo que era esperable, tanto en sitios web donde estará presente como en duración temporal. Aquella información nuestra puesta en un lugar en un momento dado, puede no hacernos la misma gracia pasados los años, o según los espectadores que la vean.
Debemos tener una política de contraseñas, que permita sin dificultad disponer de contraseñas adecuadas para los diferentes lugares y motivos, y revisarlas de manera periódica. Es recomendable que tengan una cierta longitud (>8 caracteres) y que tengan información alfanumérica (dígitos y letras, y caracteres especiales). No se tienen que basar nunca únicamente en información personal (DNI, nombres de amigos/conocidos/familiares/mascotas, etc.), o patrones muy conocidos (12345).
Si somos usuarios de comercio electrónico, tenemos que basarnos en el prestigio social del vendedor, y en experiencias previas de sus clientes. Los sitios web tienen que ser seguros (usar https://) y a la vez pasarelas de pago electrónico (ya sean tradicionales como Visa/Mastercard, Paypal, o equivalentes). Y a su vez, hay que hacer un seguimiento de nuestra cuenta corriente, para comprobar los cargos de las tarjetas, o incluso avisar al banco que lo compruebe o nos avise ante determinados cargos.
En el caso del correo electrónico, no debemos abrir correos que claramente no iban destinados a nosotros, especialmente si incorporan adjuntos, o que aunque van dirigidos directamente a nosotros, nos hacen ir a páginas para corregir nuestros datos personales o de servicios diversos (especialmente los bancarios o administrativos).
En el caso de los teléfonos móviles, en especial los teléfonos inteligentes, tenemos que tener en cuenta que tenemos nuestra vida entera (comunicaciones sociales, contraseñas, acceso bancario o a servicios) a disposición de quien tenga acceso a nuestro teléfono. Hay que proteger bien, por palabras de paso o patrones, el acceso indebido a la información. Y cuando tengamos que estar por un periodo largo sin el aparato (p. ej. préstamo a terceros, o reparación en servicio técnico), es adecuado restaurarlo a los valores de fábrica (reset de software y datos). Igualmente, hagamos periódicamente copias de seguridad de nuestro dispositivo, para minimizar la pérdida de datos.
En el acceso a redes, especialmente de líneas Wi-Fi abiertas o compartidas, hay que ser conscientes de que estamos en un medio abierto, visible a todo el mundo, y por lo tanto hay que minimizar o evitar todo uso de servicios que comporten identificación personal o acceso a información personal. Sin disponer de mecanismos de cifrado, o uso de VPN (redes virtuales), hay que evitar el uso en estas redes abiertas, salvo que sea una simple navegación sin acceso a datos personales.
Hay que proteger las redes de casa, los routers ADSL+Wi-Fi modernos soportan diferentes niveles de seguridad: es recomendable cambiar las contraseñas por defecto del aparato y de sus servicios, y elevar el nivel de seguridad Wi-Fi (p. ej. a protocolos WPA o WPA2). En caso de incidencias o bajadas de rendimiento inexplicables, hay que tener un control de los dispositivos conectados a nuestra red para detectar intrusiones. Hay que cambiar contraseñas y niveles de seguridad en estos casos. Especialmente no tenemos que olvidar aparatos más sensibles que se han incorporado a internet últimamente: TV, videoconsolas, aparatos de streaming de vídeo/audio, los cuales pueden tener problemas de seguridad: tenemos que consultar a los fabricantes para las actualizaciones necesarias.
Hay que actualizar el software básico de nuestra máquina/móvil/tableta, disponer de las últimas versiones de las actualizaciones del sistema operativo y paquetes tipos Office, y de software de uso general: navegadores y conectores (plugins), lectores PDF (como Acrobat), Java. En general, todos los softwares que sean de un uso habitual, aunque sea indirecto y no seamos tan conscientes de ello (p. ej., PDF, Java, flashplayer, etc.).

Comercio electrónico

Utilizad solo el ordenador personal. Es preferible no hacer compras por internet poniendo datos personales o de pago en ordenadores ajenos, que el usuario no controle, como puede ser en el trabajo o en cibercafés.
No autoguardéis la contraseña para acceder a los datos bancarios. A menudo hay que registrarse para hacer uso de una tienda en línea. Es mejor forzar para que siempre que se quiera acceder a estos datos, haya que escribir forzosamente de nuevo la contraseña. ¿Usarían los usuarios una tarjeta de crédito en que no haga falta PIN para sacar dinero?
Hay que comprobar y contrastar las referencias del comercio. Siempre es posible usar un buscador en internet para localizar referencias o impresiones de otros compradores y evaluar la reputación. No hay que quedarse con la primera que se encuentra: conviene contrastar varias.
Siempre se tiene que buscar información adicional de contacto sobre la tienda en línea. Por ejemplo, una dirección física o un teléfono.
Es mejor usar tarjeta de crédito o un sistema de pago por internet (Paypal, Google Wallet). Estos sistemas prevén la posibilidad de pedir un retorno del cargo. Con transferencias o tarjetas de débito, será muy difícil recuperar el dinero en caso de que el producto no sea lo que se esperaba. Otra opción es hacer un pedido contra reembolso.
No enviéis ningún dato sensible si la conexión no es segura. Para garantizar que los datos que enviamos con el navegador son seguros, habrá que ver si en la barra del navegador aparece un candado, o si la dirección web empieza por https en vez de http.
No evaluéis la fiabilidad de un comercio por una fachada bonita. Es muy fácil replicar la fachada de una tienda en línea con la intención de suplantarla. Independientemente de cómo se ha llegado allí (seguramente a partir de un buscador), hay que asegurarse de que la dirección del navegador que se usa es la correcta para la tienda.
No os fiéis solo de la imagen del producto y leed muy atentamente su descripción. Una estafa muy arraigada en subastas en internet es que la imagen del producto no tenga nada que ver con lo que realmente se ofrece (que queda, eso sí, perfectamente explicado en texto muy pequeño para evitar reclamaciones). Por ejemplo, mostrar en la imagen la caja de una consola, cuando en la descripción dicen que realmente lo que te venden es solo la caja.
Hay que comprobar los cargos periódicos. Muchas entidades bancarias suelen tener un sistema de alertas al móvil en caso de pagos. De este modo es posible controlar si se hacen cargos. En cualquier caso, también vale la pena ir controlando los extractos bancarios para asegurarse de que los cargos que se han hecho son los correctos.
En el peor caso, nada es fútil, siempre puede servir como mal ejemplo. Si se tiene una mala experiencia, se puede compartir con otras personas para que lo tengan presente de ahora en adelante.
No hagáis caso de cualquier correo de publicidad o de supuestas compras que no se han hecho. El correo electrónico todavía es la vía preferida para hacer que alguien entre a una tienda falsa, mediante enlaces falsos.

Contraseñas

No utilicéis palabras del diccionario ni relacionadas con los datos personales (nombre, fecha de nacimiento, calle donde se vive, etc.), muy fáciles de romper.
No utilicéis la misma contraseña en diferentes sitios web. Si alguien roba las contraseñas de un servidor puede entrar inmediatamente a las otras cuentas de un usuario.
No guardéis ni compartáis las contraseñas con herramientas que no están pensadas para este propósito, como cuentas de correo electrónico o gestores documentales. El proveedor de servicio podría tener acceso a las contraseñas.
No guardéis contraseñas en la memoria cache del navegador (principalmente si el ordenador no es del usuario). Es decir, no respondáis sí a la pregunta del navegador «¿Recordar contraseña?».
Utilizad contraseñas con un mínimo de ocho caracteres y que contengan algún tipo de símbolo diferente además de las tradicionales letras minúsculas: letras mayúsculas, números o signos de puntuación. Para sitios web que gestionan datos sensibles, la longitud mínima recomendada es doce.
Hay que crearse una política para generar contraseñas y seguir siempre los mismos pasos. De este modo es más fácil recordar las contraseñas.
Una de las maneras de crear contraseñas es:
1. Crear una secuencia de palabras y/o letras que parezca aleatoria. Para crearla, hay que tomar una cita, frase hecha, estrofa, etc. que guste al usuario y recordarla fácilmente. Ejemplo: primer verso del «Autorretrato» de Antonio Machado («Mi infancia son recuerdos de un patio de Sevilla»). Cogemos la primera letra de cada palabra y añadimos el autor en mayúsculas para crear más complejidad: «misrdupdsAM».
2. Añadamos signos de puntuación y/o números para hacerlo más seguro. Ejemplo: Utilizar el número 1 para sustituir un en la frase original: «misrd1pdsAM».
Para evitar tener que gestionar decenas de contraseñas diferentes, usando los pasos descritos en el punto anterior podemos crear un conjunto de contraseñas con una misma frase base, añadiendo prefijos y/o sufijos. Generalmente se intentará que estos prefijos y sufijos se relacionen de alguna manera con el web al cual se quiere acceder para que sean más fáciles de recordar. Ejemplo: Para el web de Facebook, podemos añadir un prefijo cl (traducción literal «cara libro») de forma que quede «clmisrd1pdsAM».
Si se tiene problemas para recordar todas las contraseñas, se puede:
1. Escribir en una libreta a la que solo el usuario tenga acceso aquellas ideas o referencias que pueden ayudar a recordar la contraseña. Cuanto más personales y más difíciles de deducir por terceras personas sean, mejor.
2. Escribir las ideas o referencias para recordar contraseñas en una hoja de cálculo o documento de texto en el ordenador. Si es así, este documento tendrá que ir protegido con contraseña (tanto Microsoft Office como el LibreOffice permiten hacerlo). No denominéis este fichero «contraseñas»: buscadle un nombre más original.
3. Utilizar un gestor de contraseñas. Los gestores pueden ser útiles y muy portables (algunos están en la nube) pero el usuario se tiene que asegurar de que el que se selecciona tiene buenas referencias.
En los casos B) y C) hay que tener presente que toda la seguridad de las cuentas recae en la fortaleza de la clave máster (la del documento o gestor de contraseñas), y que si se olvida esta clave, se puede perder el acceso a todas las cuentas.
Algunos sitios web ofrecen sistemas de recuperación de contraseñas por medio de preguntas personales para restablecer tu cuenta. Hay que tener en cuenta que si son preguntas muy generalistas las puede intentar responder un atacante. Por lo tanto, hay que iniciar el sistema con respuestas no triviales (por ejemplo, si se pide el nombre del padre del usuario hace falta no indicar el nombre correcto sino un apodo utilizado en la intimidad) o deshabilitar este sistema de recuperación de la cuenta.

Uso del WhatsApp

No dejéis el móvil descuidado y sin vigilancia fuera de casa, especialmente en ámbitos con muchas personas, como el trabajo.
No conectéis el teléfono inteligente a ordenadores ajenos, y especialmente en el caso de los iPhones, no los sincronicéis a un ordenador que no sea el personal.
Utilizad un sistema de desbloqueo del móvil que requiera algún tipo de autenticación, ya sea un PIN, un patrón, una huella dactilar, etc.
No utilicéis nunca una red Wi-Fi desconocida, y mucho menos una red Wi-Fi abierta, para enviar información que se quiere preservar, incluyendo una conversación de WhatsApp.
No pongáis datos que no se puedan considerar públicos como mensaje de estado.
No pongáis fotos comprometidas como imagen de perfil.
Actualizad la aplicación de WhatsApp siempre que exista una actualización disponible.
No utilicéis versiones no oficiales de la aplicación, es decir, versiones que no se han descargado de la tienda oficial del teléfono inteligente (Google Play Store, AppStore, Windows Phone Store o BlackBerry World) o de la página web oficial de WhatsApp.
Hay que tener presente que haciendo un uso normal de la aplicación ya se está dando bastante información a cualquier persona que se añada el número del usuario a su agenda, independientemente de si está en nuestra agenda o no. Concretamente puede saber si estamos utilizando el WhatsApp en ese momento, cuándo fue la última vez que se utilizó, nuestro estado y nuestra fotografía de perfil.
No os obsesionéis con el doble signo de verificación al mandar un mensaje, puesto que según si el móvil de destino es un Android o un iPhone quieren decir dos cosas diferentes. Es un problema recurrente que ha provocado muchas discusiones.

DECÀLEGS DE SEGURETAT PER A USUARIS DIGITALS

Els Estudis d’Informàtica, Multimèdia i Telecomunicació de la Universitat Oberta de Catalunya (UOC), aprofitant la celebració a Barcelona del Mobile World Congress, han elaborat quatre decàlegs sobre seguretat destinats al conjunt dels usuaris digitals degut a que cada cop hi ha més ciutadans preocupats per la manca de seguretat de les seves dades digitals, i el debat sobre la vulnerabilitat i la manca de privacitat que sorgeix de l’ús d’aparells tecnològics i de les xarxes socials cada cop és més present.

Seguretat en general

La seguretat informàtica 100% no existeix: sense convertir-se en un paranoic, cal prendre en consideració el nivell de seguretat que esperem de les nostres dades i de les màquines que hi accedeixen.
No hem d’assumir mai que les dades que donem (p. ex. xarxes socials) estan circumscrites a un cercle conegut de persones: és molt possible que el comportament normal de la gent faci que es divulgui fàcilment en altres cercles.
Cal tenir en compte que la informació que posem a les xarxes socials té una validesa espacial (el lloc on apareix) i temporal (període de validesa), que es pot allargar molt més del que era esperable, tant en llocs web on serà present com en durada temporal. La informació nostra posada en un lloc en un moment donat, pot no fer-nos la mateixa gràcia passats els anys, o segons els espectadors que la vegin.
Cal tenir una política de contrasenyes, que permeti sense dificultat disposar de contrasenyes adients per als diferents llocs i motius, i revisar-les de manera periòdica. És recomanable que tinguin una certa longitud (>8 caràcters) i que tinguin informació alfanumèrica (dígits i lletres, i caràcters especials). No s’han de basar mai únicament en informació personal (DNI, noms d’amics/coneguts/familiars/mascotes, etc.), o patrons molt coneguts (12345).
Si som usuaris de comerç electrònic, hem de basar-nos en el prestigi social del venedor, i en experiències prèvies dels seus clients. Els llocs web han de ser segurs (fer servir https://) i a la vegada passarel·les de pagament electrònic (ja siguin tradicionals com Visa/Mastercard, Paypal, o equivalents). I a la vegada, cal fer un seguiment del nostre compte corrent, per a comprovar els càrrecs de les targetes, o inclús avisar al banc que ho comprovi o ens avisi davant determinats càrrecs.
En el cas del correu electrònic, no hem d’obrir correus que clarament no eren destinats a nosaltres, especialment si incorporen adjunts, o que tot i estar adreçats directament a nosaltres, ens fan anar a pàgines per a corregir les nostres dades personals o de serveis diversos (especialment les bancàries o administratives).
En el cas dels telèfons mòbils, en especial els telèfons intel·ligents, hem de tenir en compte que tenim la nostra vida sencera (comunicacions socials, contrasenyes, accés bancari o a serveis) a disposició de qui tingui accés al nostre telèfon. Cal protegir bé, per paraules de pas o patrons, l’accés indegut a la informació. I quan hàgim d’estar per un període llarg sense l’aparell (p. ex. préstec a tercers, o reparació en servei tècnic), és adient restaurar-lo als valors de fàbrica (reset de programari i dades). Igualment, fem periòdicament còpies de seguretat del nostre dispositiu, per a minimitzar la pèrdua de dades.
En l’accés a xarxes, especialment de línies Wi-Fi obertes o compartides, cal ser conscients que som en un mitjà obert, visible a tothom, i per tant cal minimitzar o evitar qualsevol ús de serveis que comportin identificació personal o accés a informació personal. Sense disposar de mecanismes de xifratge, o ús de VPN (xarxes virtuals), cal evitar l’ús en aquestes xarxes obertes, tret que sigui una simple navegació sense accés a dades personals.
Cal protegir les xarxes de casa, els routers ADSL+Wi-Fi moderns suporten diferents nivells de seguretat: és recomanable canviar les contrasenyes per defecte de l’aparell i dels seus serveis, i elevar el nivell de seguretat Wi-Fi (p. ex. a protocols WPA o WPA2). En cas d’incidències o baixades de rendiment inexplicables, cal tenir un control dels dispositius connectats a la nostra xarxa per a detectar intrusions. Cal canviar contrasenyes i nivells de seguretat en aquests casos. Especialment no hem d’oblidar aparells més sensibles que s’han incorporat a internet darrerament: TV, videoconsoles, aparells de streaming de vídeo/àudio, els quals poden tenir problemes de seguretat: hem de consultar els fabricants per a les actualitzacions necessàries.
Cal actualitzar el programari bàsic de la nostra màquina/mòbil/tauleta, disposar de les últimes versions de les actualitzacions del sistema operatiu i paquets tipus Office, i de programari d’ús general: navegadors i connectors (plugins), lectors PDF (com Acrobat), Java. En general, tots els programaris que siguin d’un ús habitual, encara que sigui indirecte i no en siguem tan conscients (p. ex., PDF, Java, flashplayer, etc.).

Comerç electrònic

Utilitzeu només l’ordinador personal. És preferible no fer compres per internet posant dades personals o de pagament en ordinadors aliens, que l’usuari no controli, com pot ser a la feina o a cibercafés.
No autodeseu la contrasenya per a accedir a les dades bancàries. Sovint cal registrar-se per a fer ús d’una botiga en línia. És millor forçar perquè sempre que es vulgui accedir a aquestes dades, calgui escriure forçosament de nou la contrasenya. Usarien els usuaris una targeta de crèdit en què no calgui PIN per a treure diners?
Cal comprovar i contrastar les referències del comerç. Sempre és possible usar un cercador a internet per a localitzar referències o impressions d’altres compradors i avaluar-ne la reputació. No cal quedar-se amb la primera que es troba: convé contrastar-ne unes quantes.
Sempre s’ha de cercar informació addicional de contacte sobre la botiga en línia. Per exemple, una adreça física o un telèfon.
És millor usar targeta de crèdit o un sistema de pagament per internet (Paypal, Google Wallet). Aquests sistemes preveuen la possibilitat de demanar un retorn del càrrec. Amb transferències o targetes de dèbit, serà molt difícil recuperar els diners en cas que el producte no sigui el que s’esperava. Una altra opció és fer una comanda contra reemborsament.
No envieu cap dada sensible si la connexió no és segura. Per a garantir que les dades que enviem amb el navegador són segures, caldrà veure si a la barra del navegador apareix un cadenat, o si l’adreça web comença per https en lloc d’http.
No avalueu la fiabilitat d’un comerç per una façana bonica. És molt fàcil replicar la façana d’una botiga en línia amb la intenció de suplantar-la. Independentment de com s’hi ha anat a parar (segurament a partir d’un cercador), cal assegurar-se que l’adreça del navegador que es fa servir és la correcta per a la botiga.
No us fieu només de la imatge del producte i llegiu-ne molt atentament la descripció. Una estafa molt arrelada a subhastes a internet és que la imatge del producte no tingui res a veure amb el que realment s’ofereix (que queda, això sí, perfectament explicat en text ben petit per a evitar reclamacions). Per exemple, mostrar a la imatge la capsa d’una consola, quan a la descripció diuen que realment el que et venen és només la capsa.
Cal comprovar els càrrecs periòdics. Moltes entitats bancàries solen tenir un sistema d’alertes al mòbil en cas de pagaments. D’aquesta manera és possible controlar si es fan càrrecs. En qualsevol cas, també val la pena anar controlant els extractes bancaris per a assegurar-se que els càrrecs que s’hi han fet són els correctes.
En el pitjor cas, res no és fútil, sempre pot servir com a mal exemple. Si es té una mala experiència, es pot compartir amb altres persones perquè ho tinguin present d’ara endavant.
No feu cas de qualsevol correu de publicitat o de suposades compres que no s’han fet. El correu electrònic encara és la via preferida per a fer que algú entri a una botiga falsa, mitjançant enllaços falsos.

Contrasenyes

No utilitzeu paraules del diccionari ni relacionades amb les dades personals (nom, data de naixement, carrer on es viu, etc.), molt fàcils de trencar.
No utilitzeu la mateixa contrasenya en diferents llocs web. Si algú roba les contrasenyes d’un servidor pot entrar immediatament als altres comptes d’un usuari.
No deseu ni compartiu les contrasenyes amb eines que no són pensades per a aquest propòsit, com ara comptes de correu electrònic o gestors documentals. El proveïdor de servei podria tenir accés a les contrasenyes.
No deseu contrasenyes a la memòria cau del navegador (principalment si l’ordinador no és de l’usuari). És a dir, no respongueu sí a la pregunta del navegador «Recordar contrasenya?».
Utilitzeu contrasenyes amb un mínim de vuit caràcters i que continguin algun tipus de símbol diferent a banda de les tradicionals lletres minúscules: lletres majúscules, números o signes de puntuació. Per a llocs web que gestionen dades sensibles, la longitud mínima recomanada és dotze.
Cal crear-se una política per a generar contrasenyes i seguir sempre els mateixos passos. D’aquesta manera és més fàcil recordar les contrasenyes.
Una de les maneres de crear contrasenyes és:
1. Crear una seqüència de paraules i/o lletres que sembli aleatòria. Per a crear-la, cal agafar una cita, frase feta, estrofa, etc. que agradi a l’usuari i recordar-la fàcilment. Exemple: primeres paraules de «La vaca cega» de Joan Maragall («Topant de cap en una i altra soca»). Agafem la primera lletra de cada paraula i afegim-hi l’autor en majúscules per a crear més complexitat: «tdceuiasJM».
2. Afegim-hi signes de puntuació i/o números per a fer-ho més segur. Exemple: Utilitzar el número 1 per a substituir una en la frase original: «tdce1iasJM».
Per evitar haver de gestionar desenes de contrasenyes diferents, usant els passos descrits en el punt anterior podem crear un conjunt de contrasenyes amb una mateixa frase base, afegint-hi prefixos i/o sufixos. Generalment s’intentarà que aquests prefixos i sufixos es relacionin d’alguna manera amb el web al qual es vol accedir per tal de que siguin més fàcils de recordar. Exemple: Per al web de Facebook, podem afegir un prefix cl (traducció literal «cara llibre») de manera que quedi «cltdce1iasJM».
Si es té problemes per a recordar totes les contrasenyes, es pot:
1. Escriure en una llibreta a la qual només l’usuari tingui accés aquelles idees o referències que poden ajudar a recordar la contrasenya. Com més personals i més difícils de deduir per terceres persones siguin, millor.
2. Escriure les idees o referències per a recordar contrasenyes en un full de càlcul o document de text a l’ordinador. Si és així, aquest document haurà d’anar protegit amb contrasenya (tant Microsoft Office com el LibreOffice permeten fer-ho). No anomeneu aquest fitxer «contrasenyes»: busqueu-li un nom més original.
3. Utilitzar un gestor de contrasenyes. Els gestors poden ser útils i molt portables (alguns són al núvol) però l’usuari s’ha d’assegurar que el que es selecciona té bones referències.
En els casos B) i C) cal tenir present que tota la seguretat dels comptes recau en la fortalesa de la clau màster (la del document o gestor de contrasenyes), i que si s’oblida aquesta clau, es pot perdre l’accés a tots els comptes.
Alguns llocs web ofereixen sistemes de recuperació de contrasenyes per mitjà de preguntes personals per tal de restablir el teu compte. Cal tenir en compte que si són preguntes molt generalistes les pot intentar respondre un atacant. Per tant, cal iniciar el sistema amb respostes no trivials (per exemple, si es demana el nom del pare de l’usuari cal no indicar el nom correcte sinó un sobrenom utilitzat en la intimitat) o deshabilitar aquest sistema de recuperació del compte.

Ús del WhatsApp

No deixeu el mòbil descuidat i sense vigilància fora de casa, especialment en àmbits amb moltes persones, com a la feina.
No connecteu el telèfon intel·ligent a ordinadors aliens, i especialment en el cas dels iPhones, no els sincronitzeu a un ordinador que no sigui el personal.
Utilitzeu un sistema de desbloqueig del mòbil que requereixi algun tipus d’autenticació, ja sigui un PIN, un patró, una empremta dactilar, etc.
No utilitzeu mai una xarxa Wi-Fi desconeguda, i molt menys una xarxa Wi-Fi oberta, per a enviar informació que es vol preservar, incloent-hi una conversa de WhatsApp.
No poseu dades que no es puguin considerar publiques com a missatge d’estat.
No poseu fotos compromeses com a imatge de perfil.
Actualitzeu l’aplicació de WhatsApp sempre que hi ha una actualització disponible.
No utilitzeu versions no oficials de l’aplicació, és a dir, versions que no s’han descarregat de la botiga oficial del telèfon intel·ligent (Google Play Store, AppStore, Windows Phone Store o BlackBerry World) o de la pàgina web oficial de WhatsApp.
Cal tenir present que fent un ús normal de l’aplicació ja s’està donant força informació a qualsevol persona que s’afegeix el número de l’usuari a la seva agenda, independentment de si està a la nostra agenda o no. Concretament pot saber si estem utilitzant el WhatsApp en aquell moment, quan va ser l’últim cop que es va utilitzar, el nostre estat i la nostra fotografia de perfil.
No us obsessioneu amb el doble signe de verificació en enviar un missatge, ja que segons si el mòbil de destinació és un Android o un iPhone volen dir dues coses diferents. És un problema recurrent que ha provocat moltes discussions.

Publicado en General, Recurso, UOC | Etiquetado decálogo, Seguridad informática | 6 comentarios

La extinción de los programadores

Publicado el 20 febrero 2014 por Comunidad UOC

¿Estás estudiando Informática para cumplir tu sueño de ganarte la vida gracias a tus habilidades escribiendo código? Pues siento ser yo el que te dé la noticia, pero llegas tarde. Todavía quedan algunos programadores sueltos pero más temprano que tarde se habrán extinguido. ¿Todos? ¡No! siempre quedarán algunos irreductibles, dedicados a tareas tan específicas que no es rentable sustituirlos por “algo” más productivo. Lo sé, utilizar Astérix como comparativa es un recurso fácil pero como lo tengo al lado, geográficamente hablando, me permito usarlo.

Te estarás preguntando, y ¿ahora qué hago? ¿me pongo a estudiar humanidades? Espera, tranquilo, tampoco hace falta ser tan drástico. De hecho, la extinción de los programadores, entendiendo “programador” como aquél que programa (dad las gracias a la RAE por esta definición tan brillante) es decir aquél que escribe el código o secuencia de instrucciones que lo componen, no es una mala noticia.

En lugar de ser programador, ahora puedes aspirar a ser desarrollador… que encima ¡cobran más! Para ser precisos, la palabra “desarrollador” no aparece en el diccionario de la RAE pero Google dice que hay casi 6 millones de entradas para este término con lo que ¿a quién vas a creer?. Tal y como lo entiendo yo (y más o menos lo que también viene a decir la Wikipedia) un desarrollador es una persona que produce software, no necesariamente programándolo o como mínimo no programando él mismo en su totalidad. En su origen, desarrollador y programador eran sinónimos pero cada vez más podemos desarrollar software sin tener que “ensuciarnos” las manos (en un sentido metafórico, sigue leyendo, ya tendrás tiempo de acordarte de mi familia en los comentarios al final, un poco más de paciencia) programándolo.

Veamos, pues, cuáles son mis tres razones para afirmar que podemos, cada vez más, prescindir de los programadores:

1. Hay una API para ti

Para todo lo que quieras en la vida, hay una API que alguien ya ha escrito y que hace exactamente lo que necesitas… no siempre gratis, claro, pero hay una licencia tipo Creative Commons para APIs llamada API commons. Por ejemplo, una sola web, Programmable web, tiene clasificadas más de 10.000 para todos los dominios imaginables. ¿Quieres hacer una aplicación relacionada con temas de comida? Ahí encontrarás APIs para saber los componentes nutricionales de cada alimento, recetas para combinarlos y restaurantes donde comerlos, por poner sólo algunos ejemplos.

Como espero que no sufras del síndrome no-inventado-aquí , antes de escribir una sola línea de código busca la/s APIs que te proporcionen los datos que necesitas y limítate a combinarlas. Para las APIs más comunes tienes incluso servicios como IFTTT que hacen el trabajo por ti. Sí, a lo mejor esto ya lo has oído antes (el boom de los componentes? los servicios web?) pero nunca a esta escala y con una facilidad de reutilización tan elevada.

IFTTT ofrece miles de “recetas” (combinaciones de servicios en su terminología) como la del ejemplo que permite guardar automáticamente nuevas fotos tuyas en Instagram en tu carpeta DropBox

2. Convierte un framework en tu esclavo

La última vez que escribí una aplicación web (para un familiar, no hace falta decir que hacerlo fue una muy mala idea) ni me planteé escribirlo todo de cero. Dediqué más tiempo a buscar el framework más productivo (me decanté por Spring Roo, pero ojo que ya partía del prerrequisito de que el lenguaje fuera Java) que a utilizarlo para escribir la aplicación en sí.

Una vez tuve Roo instalado en mi Eclipse IDE y ligado a una cuenta gratuita de CloudBees para el despliegue automático de la aplicación desde mi entorno local me bastó con utilizar la consola de Roo para crear el modelo de datos de la aplicación (muy parecido a crear un diagrama de clases UML pero textual, y de hecho, se podría escribir muy fácilmente un generador UML ->Roo, pero el tema del porqué deberías modelar más lo dejamos para otro día, no hace falta provocar más de la cuenta) y dejar que Roo hiciera todo el trabajo, desde crear las tablas correspondientes en la base de datos hasta crear la interfaz gráfica por mí con toda la funcionalidad básica necesaria (patrón CRUD: create/read/update/delete). ¿Qué tú la harías más bonita? Puede que sí, y eres libre de modificar cualquier parte del código generado por Roo (y además Roo va a respetar tus cambios en el futuro), pero para la gran mayoría las opciones por defecto de Roo nos permiten llegar muuuuuy lejos (por si a alguien le interesa hace unos años hicimos un estudio que adaptado a este contexto vendría a decir que lo que Roo genera cubre un 80% o más de toda la funcionalidad que necesita una aplicación).

Ejemplo de UI creada por ROO. Para cada campo de la clase se crea un control del tipo adecuado (y con las verificaciones necesarias)

3. Más fácil todavía. Hazlo todo con WordPress

Ya hace mucho tiempo que WordPress (pon aquí tu CMS preferido, da igual) dejó de ser una herramienta para escribir tu blog y se convirtió en un framework muy potente que permite a cualquier usuario (incluso sin conocimientos reales de programación) crear muchos tipos de aplicaciones web comunes simplemente instalando los plugins de WordPress adecuados.

¿Control de usuarios? ¿Autenticación con Google, Facebook o Twitter? ¿Carrito de la compra? ¿Web multilingüe? ¿Logs de errores? ¿Sistema avanzado de plantillas? ¿Integración con Google Maps o cualquier otro servicio de Google? Todo a un click de distancia: el que te lleva al repositorio de plugins de WordPress.

Cierto, no vas a poder construir el software de control para el nuevo modelo de Airbus con WordPress ni tampoco simplemente conectando un par de APIs públicas ni Roo va a ser nunca capaz de generar un software certificado automáticamente. Y por eso digo que siempre habrá algún programador que va a sobrevivir a la extinción masiva. ¿Pero cuántos modelos de Airbus se crean cada año? (la respuesta es que el número tiende a cero). ¿Y en comparación, cuantas aplicaciones web para la visualización y entrada de datos (de facturación, proyectos, clientes,…) se crean cada día y se podrían desarrollar sin casi escribir una sola línea de código?

Los programadores han hecho un gran trabajo. Dejemos que se extingan en paz y aprovechemos la gran herencia que nos han dejado para ser mucho más productivos y dedicarnos a la parte más creativa del desarrollo de software en lugar de reeescribir código ya escrito millones de veces anteriormente.

Jordi Cabot es profesor titular en la École des Mines de Nantes (Francia) donde dirige el equipo de investigación en Ingeniería del Software AtlanMod adscrito a INRIA. Es además cofundador de la empresa Nelio Software S.L., especializada en ofrecer servicios relacionados con el mundo WordPress.

Publicado en Desarrollo, Profesión | Etiquetado API, Ingeniería del Software, Innovación, software como servicio | 14 comentarios

Un plan de sistemas “ágil”

Publicado el 17 febrero 2014 por josé ramón

La UOC, como otras universidades y escuelas de negocios, está haciendo su plan estratégico de sistemas de información, o acaso mejor su estrategia “digital”; le llamamos sin embargo Máster Plan, a la antigua. Acaso vuelva la planificación estratégica en estos tiempos dudosos. Lo estamos haciendo internamente y me han encargado que lo coordine. Hacer de profesor que hace de consultor que hace de directivo temporal es un ejercicio de riesgo y me tiemblan las piernas. Lo lidera Rafael Macau, director de Operaciones y anterior decano de los estudios de Informática, Multimedia y Telecomunicaciones.

Presentación Máster Plan de Sistemas de Información de la UOC

Como dice Roberto Pérez, director de Desarrollo, casi cualquier plan es bueno, los problemas vienen con la ejecución. El mariscal Moltke decía que ningún plan de batalla sobrevive al contacto con el enemigo, jeje. Mientras tanto hay algunos rasgos de lo que estamos haciendo que son un poco diferentes de los planes al uso y que pueden ser de interés para los lectores, sean profesionales o estudiosos.

Es un plan interno, hecho con recursos de la casa. ¿Es un tema de dinero? Quizá en parte sí, pero sobre todo es una cuestión de concepto. Creemos que no se puede dejar la estrategia en manos de terceros, que esto nos ayuda a involucrar más y mejor a los interesados y crear una visión compartida y compromiso con la ejecución: más de 100 personas de toda nuestra comunidad participan. Lo han explicado Aron y Turton en un papel de Gartner (G00171472). Gartner nos está proporcionando una galería de herramientas de soporte y buenas prácticas, como parte del servicio que dan a la UOC desde hace tiempo, pero no son consultores de nada.
Es un plan “ágil”, o sea rápido y de aproximaciones sucesivas. Fue una intuición afortunada de Clara Beleña, la jefa de la oficina de proyectos y jefa también del proyecto del plan, acostumbrada a este tipo de enfoque en los proyectos de desarrollo. El plan se despliega en espiral, tanto en el proceso (invocando la participación progresiva de un número mayor de colaboraciones) como en los entregables (que se van refinando progresivamente en el contenido y el nivel de detalle).
Es un plan enfocado a los temas clave del negocio y de la tecnología. McKinsey lo llama issue o hypothesis driven. En vez de hacer un barrido, un inventario o una auditoría de lo que hay y lo que los usuarios quieren, se identifican pronto cuáles son las preguntas que el plan tiene que contestar y las hipótesis o escenarios para su resolución, por locos que parezcan. Los equipos, organizados alrededor de los procesos clave del negocio, reciben ese input inicial. Por lo tanto, como también decía Dave Aron, se trata de revisar de forma ambiciosa nuestra misión (la manera que tenemos de hacer las cosas, “la cadena clave” de la empresa) más que las prioridades o peticiones coyunturales.
Está orientado a la estrategia en vez de a la demanda. La mayoría de los planes de sistemas están pensados para establecer un marco estable y pactado con los usuarios para la gestión (priorización) de la demanda. En nuestro caso, el nuevo equipo rectoral está liderando un Plan Estratégico de largo alcance para el negocio. El máster plan de sistemas de información es una pieza y la vicerrectora Aymerich, responsable del Plan Estratégico, lo es también de la comisión de seguimiento del plan. El plan, por tanto, se alinea con la estrategia corporativa y se anticipa a la demanda. La visión es la de una universidad digital, un concepto disruptivo, pero también discutido (gracias, Juanjo).
Y, sin embargo, lo que más nos importa es la ejecución. Más allá de algunas directrices básicas y una cartera de iniciativas estratégicas, nos importa el modelo de gobierno y la agenda de ejecución del plan, el modelo de provisión y prestación del servicio, antes, durante y después del plan. Creemos, como Mintzberg, que la estrategia es una especie de artesanía (craftmanship) y que se hace camino al andar. Sabemos que esto resulta a veces vertiginoso para los directores de informática y para los usuarios, qué le vamos a hacer.
Entender y satisfacer a los clientes e interesados. La mayoría de los planes de sistemas están más preocupados por “gestionar (sic) a los interesados”, que suelen ser los que más gritan o los que más mandan. Nuestro plan está orientado a mejorar la experiencia del que paga y se esfuerza (el estudiante) y de los diferentes agentes que intervienen en esa experiencia, empezando por los docentes internos y nuestra enorme nómina de asociados y colaboradores. No dejamos de ser conscientes, sin embargo, de que, como también decía Mintzberg, las empresas más complicadas son los hospitales, las orquestas sinfónicas y… las universidades. Y de que unos cuantos stakeholders quedarán razonablemente insatisfechos.

Seguiremos informando. Deseadnos suerte y valor.

Publicado en UOC | Etiquetado Estrategia, Master plan, Metodologías ágiles, UOC | 6 comentarios

Pokes y cargadores (I)

Publicado el 13 febrero 2014 por Profesor/a UOC

Uno de los factores que nos permite clasificar a una actividad como un juego o no es evaluar si al llevarla a cabo se establecen ciertas restricciones respecto a las acciones que realmente podríamos llevar a cabo en el “mundo real”. Así pues, si jugamos a papás y a mamas, interpretaremos el rol de un miembro de la familia, pero normalmente, no a un cyborg que ha viajado desde el futuro. Si jugamos a ajedrez, los alfiles se mueven en diagonal. Nada nos impide realmente hacer lo contrario, claro, pero incluso si nos ceñimos a un entorno no competitivo, aceptamos estas restricciones como un reto con el que alimentar nuestra diversión. Así pues, aunque sean juegos poco estructurados, suele haber siempre algún tipo de regla o restricción.

Los videojuegos tienen una particularidad: al estar nuestro personaje o avatar inmerso en un entorno virtual, sus capacidades quedan limitadas a lo que el programador decida. Es muy diferente de los ejemplos anteriores, puesto que no eres tú en persona quien interactúa con los elementos del mundo, y por lo tanto, no podemos salirnos de las reglas impuestas aunque queramos ¿O sí? Como se suele decir cuando hay reglas, “Hecha la ley, hecha la trampa”. Un videojuego no es excepción a la hora de romper dichas reglas impuestas por el programador, ya sea para ganar, o para ajustarlas a algo más acorde a nuestros gustos y que el juego nos resulte más divertido. A fin de cuentas, si algo hemos aprendido de algunas películas (ver Matrix o Tron, entre otras) es que estar atrapado en un mundo virtual no evita que puedas tomar un atajo en el “mundo real”.

Ese atajo en el “mundo real” es simplemente cambiar la lógica del videojuego, los ceros y unos que lo componen. Desde que los videojuegos llevaban pañales, conseguir esto ha sido un reto en sí mismo (a veces ¡más divertido que el propio juego!). Ya en la época de lo 8 bits, existían lo que en la antigua jerga se llamaban “pokes” y “cargadores”. Se trata de mecanismos para modificar la memoria del ordenador una vez el juego está cargado (total o parcialmente), de modo que la lógica que controla las reglas del juego se altera. Por ejemplo, si alteramos la memoria donde se guardan el número de vidas restante, podemos incrementar su número inicial, de 3 a 255. También podemos ir más allá y manipular la condición que controla el final de partida (para que no se dé nunca), y así obtener obtener vidas infinitas. Eso sí, a veces, este tipo de ventajas solo garantizaba que no podías perder, o sea, ver la pantalla de “Game Over”, pero en absoluto saber que ganarías. El juego era tan complicado que ¡ni aun así llegabas al final!

Camelot Warriors: Un atajo a la meta

Con la aparición de la posibilidad de guardar la partida, aparece una nueva vía de acceso: Modificar los datos guardados, de modo que al recuperarlos, tu personaje sea más poderoso que cuando lo guardaste. Es lo mismo que la opción anterior, pero sobre los ficheros en el disco. En casos donde los datos de guardado son simples, con un mero editor hexadecimal, com el Ghex, y un poco de maña, es más que suficiente.

Por ejemplo, en el viejo Eye of The Beholder, un caso muy sencillo, las características de los personajes se encuentran en un offset concreto del fichero “EOBDATA.SAV”. Es necesario adivinar el nombre del fichero de guardado, claro. Pero con esta extensión “.SAV” y observando que es el único que se modifica al guardar el juego entre los 18 que hay, no es algo difícil de deducir. Para iniciar el proceso de ingeniería inversa, basta con abrirlo con un editor hexadecimal y ver que en él aparecen los nombres de los personajes. A partir de cada uno, se pueden buscar los valores actuales de dichas características un poco “a ojo”, y a base de prueba y error, y modificarlos por otros más acordes a nuestros gustos. Si no somos muy abusones, nos podemos ceñir a algo equilibrado, que nos ahorre la pesada “jobification” del proceso de creación, basada en tiradas de dados al azar.

A modo de ejemplo, en la imagen vemos que nuestro personaje tiene Fuerza 17, Inteligencia 16, Sabiduría 13, Destreza 13, Constitución 10 y Carisma 17. Por lo tanto, hay que buscar los valores en hexadecimal 0×11, 0×10, 0x0D (repetido), 0xA y 0×11. Remarcado en el segundo panel, vemos que son muy fáciles de encontrar, y tienen la particularidad que se encuentran repetidos, por lo que se tendrán que cambiar dos veces. Podemos bajar la Inteligencia a 11, pero a cambio, nos subimos la Sabiduría a 15 y la constitución a 16, para ser un buen Paladín.

Se acabó tirar los dados una y otra vez

Si queremos hacer trampas del todo, también podríamos poneros la Fuerza a 22, que es imposible para un personaje inicial, pero las reglas del juego lo contemplan. Si ponemos valores incorrectos o incongruentes según las reglas del juego, entonces el juego puede fallar al cargar o comportarse anómalamente, por lo que hay que ser cuidadoso, y hacer una copia de seguridad del fichero antes de manosearlo.

Si el fichero de guardado es más complejo, será necesario generar un programa adicional que trate los datos, un editor de partidas. Normalmente será necesario con juegos cuyas partidas grabadas guardan estructuras de datos complejas y no valores directos, como el ejemplo anterior. Pero una cosa está clara, si el juego puede decodificar la partida guardada, también lo puede hacer otro programa externo, con más o menos trabajo y dificultad. Un ejemplo de este tipo de editores lo encontramos en el Gatekeeper (para los Baludr’s Gate) o el DaleKeeper (para los Icewind Dale), puestos a seguir en la línea Dragones & Mazmorras, y aprovechando que este 2014 celebramos sus 40 años.

Al final, ya lo dicen mis compañeros de optimización, el cerebro humano se ha diseñado para optimizar. Solo que en el contexto de un juego, a veces “optimizar” no es más que un eufemismo de “romper las reglas”. Pero averiguar cómo hacer esto puede ser tan divertido o más que jugar al propio juego. Y como me he alargado mucho, en una próxima entrada os explicaré ejemplos de otras maneras distintas de “optimizar” personajes en videojuegos.

Joan Arnedo Moreno es profesor de los estudios de Informática, Multimedia y Telecomunicaciones en la UOC. Coordinador de las asignaturas de la rama de seguridad y director académico del postgrado de Cisco Networking Technologies, también cuenta con más de 30 años de experiencia jugando a videojuegos.

Publicado en Videojuegos | Etiquetado cheats, pokes, Videojuegos | 2 comentarios

Los trabajos finales: el último reto antes de la titulación

Publicado el 10 febrero 2014 por robert

Los Grados y Másters Universitarios adaptados al EEES tienen que incluir un trabajo final que sintetice las competencias de la titulación. Afortunadamente, en las ingenierías técnicas y superiores esto no es una novedad, puesto que ya se venía realizando en los títulos LRU y hay una cierta “tradición”. Así pues, a los estudiantes no les asusta (demasiado) elaborar presentaciones, redactar memorias técnicas o defender un proyecto ante un tribunal.

Algunos estudiantes ven el trabajo final como una oportunidad para demostrar y poner en práctica todo lo que han aprendido. Otros intentan aprovechar el proyecto para adquirir habilidades nuevas. Y tampoco faltan los que quieren aprovechar el trabajo final para resolver un problema que les afecta en su día a día, a nivel personal o profesional. En cualquier caso, como docentes es un placer comprobar hasta dónde son capaces de llegar los estudiantes en su trabajo final. En muchas ocasiones los resultados exceden nuestras expectativas y por este motivo intentamos dar la máxima difusión a estos trabajos.

Presentación (en Catalán) de los estudiantes Pau Dominkovics y Jordi Viladoms en la Jornada SPIN UOC de 2013

Este próximo jueves 13 de febrero por la tarde realizaremos en la Sede Central de la UOC (Avinguda Tibidado 39-43, Barcelona) una jornada para dar a conocer a los mejores trabajos finales realizados por estudiantes durante el último semestre. Los trabajos serán evaluados por un tribunal y el mejor de entre ellos recibirá un reconocimiento.

Para esta jornada los trabajos finalistas que se presentarán son los siguientes:

“Take Me Away“, del estudiante Marc Roger Torres, una aplicación móvil para Android que pretende facilitar el uso compartido del vehículo privado. Este trabajo se ha realizado en el área de TFM en “Sistemas de Información Geográfica y Geotelemática” del Máster Universitario en Ingeniería Informática.
“The Job Board“, del estudiante Josep Itarte Aguiló, una bolsa de trabajo distribuida. Este trabajo se ha realizado en el área de TFG en “Java EE” del Grado en Ingeniería Informática.
“Ontología de Alus“, de la estudiante Izaskun Mallona González, una aplicación para representar datos sobre el genoma humano utilizando tecnologías de web semántica. Este trabajo se ha realizado en el área de TFC en “XML y Web Semántica” de la Ingeniería Técnica en Informática de Gestión.
“Error Push“, de Sergi Ortega Miranda, un portal web para resolver errores de forma colaborativa. Este trabajo se ha realizado en el área de TFC en “Aplicaciones web para trabajo colaborativo” de la Ingeniería Técnica en Informática de Sistemas.

En el acto, contaremos con la participación de diversas empresas e instituciones del sector TIC: NexTReT, Tempos 21, SlashMobility, Synthesis Group, Ibermática y el Instituto Municipal de Informática del Ayuntamiento de Barcelona. Como parte de la jornada, habrá una mesa redonda donde estas empresas explicarán qué competencias y habilidades son las más demandadas en el sector TIC en este 2014.

Os invitamos a participar en esta jornada. Tenéis información sobre el programa y el formulario de inscripción en este enlace. ¡Os esperamos!

Publicado en Coloquio, Profesión, UOC | Etiquetado Debate, Jornada, Proyecto final de titulación | 1 comentario

La necesidad de las competencias digitales

Publicado el 6 febrero 2014 por dani

Durante el mes de diciembre del pasado año, y en el marco de la II Jornada Alumni en las Islas Baleares , se llevó a cabo la conferencia Competencias digitales como valor profesional (transparencias en Catalán), a cargo de Montse Guitert , directora del Máster de Potenciación digital (Digital empowerment) de la UOC. El contenido de la conferencia giraba alrededor de la necesidad ineludible de ser competente digital en la sociedad actual como un valor profesional para poder transformar las empresas e instituciones. La mayoría de personas relacionadas de un modo u otro con este blog, ya seamos colaboradores, lectores ocasionales, seguidores acérrimos, o lo que sea, podemos pensar que, en principio, somos usuarios medios o incluso avanzados de la tecnología. Supongo que nos lo hemos ganado. ;)

Coche de prensa en el Gran Ferrocarril del Norte. Imagen sin copyright reconocido.

Lo cierto es que vivimos en un mundo en el que las TIC y los medios digitales están cambiando la forma de relacionarnos, de acceder y gestionar la información y de comunicarnos. Esto implica no solamente un simple aprendizaje y uso de la tecnología sino también una adaptación a nuevas metodologías y estrategias de relación social, de trabajo en el mundo profesional, y consecuentemente nuevas maneras de aprender. Y si no (y permítanme ser un poco corporativo), ¿quién podia pensar que la UOC, esa universidad que en el año 1995(!) empezaba a ofrecer la posibilidad de realizar titulaciones universitarias a través de Internet, hoy en día contaría con más de 45000 titulados y más de 50000 estudiantes en activo? Los tiempos cambian más rápido que nosotros (especialmente en la época en que nos ha tocado vivir).

La competencia digital no sólo gira alrededor del uso de los ordenadores, las herramientas ofimáticas o de saber reinstalar los drivers de la impresora el día que comienzan a fallar. Va mucho más allá. Ser competente en la escritura no es aprenderse las letras del alfabeto y repetirlas sobre un papel. Somos competentes digitalmente cuando entendemos qué herramientas nos ofrecen las TIC, cuál es el uso apropiado para cada una de ellas y qué estrategias existen que te permitan explotar al máximo sus posibilidades. Como Montse suele decir, ser competente digital no es cuestión de edad sino de actitud. Añadiré yo, si se me permite, que eres competente digital cuando eres “libre” digital: conoces diferentes opciones y aplicas el criterio que más te conviene para elegir entre ellas.

Hoy en día es muy fácil ver empresas del siglo XX y XXI, con tecnología actual (y por lo tanto, herramientas), en las que dichos usos y estrategias son totalmente erróneas. Esto implica, sin duda, un claro desaprovechamiento de los recursos. Estas empresas no son competentes digitales porque muchos de sus trabajadores (empezando por los de arriba) no son competentes digitales. Creo que se muestra claramente en dos hechos: muchas veces las empresas hacen inversiones millonarias en tecnología que no les acaba resolviendo el problema, y cuando se implanta dicha tecnología el terror aterriza: ¿seré capaz de entender el funcionamiento del nuevo sistema? ¿por qué no me dejan el excel que utilizaba antes, que ya lo tenía dominado?

¿Queremos sacar el máximo provecho a las TIC? ¿Queremos empresas punteras e innovadoras? ¿Queremos poder introducir tecnologías frontera en nuestro trabajo sin que sea más un problema que una solución? ¿Queremos no depender del amigo informático ;P? Sea personalmente o desde el punto de vista laboral, ya sabemos qué nos toca. Es una inversión de futuro. Bueno, de hecho, es una inversión de presente porque para el futuro ya vamos tarde.

Publicado en General, UOC | Etiquetado Competencias digitales, Empresa, Máster en Digital Empowerment | 4 comentarios

Simheuristics: Nueva herramienta “smart” para un mundo complejo

Publicado el 3 febrero 2014 por Profesor/a UOC

Vivimos mayoritariamente en grandes ciudades con sistemas de transporte multimodales, viajamos por el mundo a través de una compleja red de aeropuertos interconectados, compramos productos en línea que nos entregan en la puerta de casa, en casi cualquier lugar del planeta, utilizamos sistemas de e-salud altamente costosos, tenemos contacto con nuestros amigos y colegas a través de múltiples servicios basados en Internet, y nuestras vidas están ligadas a las fluctuaciones de los mercados financieros globales. El mundo se está volviendo cada vez más complejo, y la mayoría de los sistemas que nos rodean son muy ineficientes en términos de costos (económicos, medioambientales, etc.). Esto es debido principalmente, a la alta complejidad de dichos problemas, que hace que los seres humanos no tengamos capacidad analítica suficiente como para resolverlos de manera óptima en un tiempo limitado.

Ante esta carencia, una posible solución es aprovechar la potencia de cálculo y capacidad de las TIC para ayudar en la toma de decisiones. Hay una clara necesidad de construcción de herramientas para mejorar el diseño, fiabilidad, y las operaciones diarias que afectan a la sociedad tanto desde el punto de vista económico como desde su impacto medioambiental. Pero, ¿qué soluciones proporciona “la ciencia” para hacer frente a este tipo de problemas? Es posible encontrar bastantes herramientas avanzadas de análisis de datos que pueden ser de gran utilidad en la obtención de información a partir de grandes volúmenes (de datos), ya sean provenientes de redes de sensores, de Internet, etc. Pero, ¿cómo podemos utilizar toda esta información de manera eficiente con el fin de mejorar el diseño, la fiabilidad, la explotabilidad y las operaciones diarias de todos estos sistemas? La respuesta, por supuesto, es “Mediante el uso de los algoritmos apropiados”, es decir, la elección de aquellos métodos de áreas como la investigación operativa (OR – Operations Research), las ciencias de la computación (CS – Computer Science) o la inteligencia artificial (AI – Artificial Intelligence) que permiten (entre otras cosas) optimizar el diseño y el rendimiento de dichos sistemas complejos.

Ciclomotor de una sola rueda. Imagen sin copyright reconocido.

Normalmente, cuando se habla de sistemas, problemas o retos complejos desde el punto de vista de la aproximación tecnológica (y no humana, como comentábamos previamente) nos referimos a aquellos para los que no hay una solución algorítmica (un conjunto de pasos ordenados y finitos) que los pueda resolver en tiempo polinómico respecto al tamaño del problema. Por tanto, si el tamaño del problema crece linealmente, el del espacio de posibles soluciones que tendremos que explorar, crecerá más que linealmente (e.g. cuadráticamente, exponencialmente, etc.)

Históricamente, los investigadores han intentado diseñar sus algoritmos para encontrar la mejor solución y además, incluir en la búsqueda la demostración de que esa es la mejor posible. Estos son algoritmos que algunos llaman exactos y otros, completos. A pesar de su interés científico, los algoritmos de optimización completos (e.g. programación lineal (LP – Linear Programming), programación mixta entera (MILP – Mixed Integer Linear Programming), generación de columnas (CG – Column Generation), relajación lagrangiana (LR – Lagrangian Relaxation), programación con restricciones (CP – Constraint Programming), etc.) no suelen ser adecuados para resolver problemas de la vida real debido a la complejidad de su propia naturaleza no lineal respecto al tamaño de dichos problemas. Es por esto que en las últimas décadas, y a menudo fijándonos en procesos químicos, biológicos, etc. del mundo que nos rodea, un nuevo tipo de algoritmos, llamado metaheurísticas, ha ido desarrollándose. Así pues, entre ellos, encontramos los algoritmos genéticos (GA – Genetic Algorithms), el Simulated Annealing (SA), la búsqueda tabú (TS – Tabu Search), las colonias de hormigas (ACO – Ant Colony Optimization), algoritmos de estimación de la distribución (EDA – Estimation of Distribution Algorithms), optimización de enjambres de partículas (PSO – Particle Swarm Optimization), etc.

Las metaheurísticas se benefician del crecimiento que ha habido en la potencia de la tecnología así como de la observación del mundo que nos rodea para generar soluciones pseudo-óptimas a problemas complejos, de gran escala. Hasta ahora, sin embargo, se aplican principalmente a escenarios simplificados, donde por lo general no se considera la incertidumbre (i.e. comportamientos aleatorios/estocásticos), omnipresente en la vida real. Realmente, no hay muchas maneras de lidiar con esta incertidumbre. Probablemente la más utilizada y sencilla es la simulación. Las técnicas de simulación permiten, a partir de un modelo lo más cercano a la realidad, reproducir artificialmente el comportamiento del sistema representado para escenarios concretos. Desafortunadamente, la simulación no se puede (o suele) utilizar como herramienta de optimización por sí sola.

Pero, ¿qué pasaría si tomásemos la poderosa capacidad de optimización de las metaheurísticas y le añadiésemos la flexibilidad de la simulación para hacer frente a la incertidumbre? En principio, la integración de ambos enfoques resultaría en una metodología muy potente, flexible y relativamente sencilla de implementar, que convenientemente ajustada, podría generar soluciones pseudo-óptimas (o , al menos, de alta calidad) para problemas complejos de la vida real sin dejar de lado la incertidumbre. Esta herramienta se llama Simheuristics, y ha llegado recientemente al escenario de optimización, pero sin duda, se puede convertir en un jugador importante, ya que puede dar respuesta a la necesidad de soluciones en el apoyo a la toma de decisiones en un mundo smart, pero complejo. Veremos.

Ángel A. Juan y Daniel Riera codirigen el programa ICSO – Internet Computing and Systems Optimization del IN3-UOC y el Máster en Bioinformática y Bioestadística de la UOC además de algunos proyectos nacionales e internacionales de investigación relacionados con el modelado, simulación y optimización de problemas combinatorios. Ángel A. Juan es también director del Máster Universitario en Ingeniería Computacional y Matemática ofrecido por UOC y URV.

Publicado en Investigación, Profesión | Etiquetado Optimización, Problemas combinatorios, Simulación, Smart cities | 5 comentarios