Como pollo sin cabeza

Me encanta esta expresión, “como pollo sin cabeza”, siempre que la utilizo es para indicar que lo que se está haciendo se hace simplemente por mantenerse en movimiento, no con un objetivo claro (como el pollo decapitado de la expresión). A veces me siento que estoy en el mismo caso… Con cabeza pero corriendo de un lado a otro sin pararme a sacar todo el jugo de lo que hago.

Y digo esto por mi experiencia de esta semana, en la que he tenido un trancazo importante (lo sigo teniendo) que a ratos me hace estallar la cabeza, otros me parece que tengo otitis y la mayor parte me deja hecho polvo pero, aún así, se me han juntado tantas cosas que hacer y en tantos sitios que he tenido que aparcar toda precaución y seguir adelante “como pollo sin cabeza”.

LUNES

La congestión ya me atenaza, empiezo a toser como un condenado y la garganta me duele, pero no hay problema, tenemos que preparar todo para el startup-olé del día siguiente y nos vamos de compras por la tarde para complementar los materiales que, por suerte, ya habían llegado por la mañana, luego en casa, preparar la maleta y todo lo demás… Espero que no me dure demasiado el trancazo.

MARTES

No me levanto mejor que el día anterior, pero la adrenalina del viaje me permite moverme con soltura, primero a la oficina y, a media mañana, ya nos metemos en el coche rumbo a Salamanca… Se supone que no habría demasiado problema en llegar tarde, pero nos gusta cumplir con los horarios y prefiero llegar antes de las 14:00 que es la hora en la que deberían estar los stands preparados… Y así que lo hacemos, algo más de dos horas de viaje y 220 kilómetros después ya estamos listos para montar el chiringuito… Que no nos queda nada mál:


En cualquier caso, ya que era pronto nos reservamos un poco de tiempo para comer (hace un día expléndido y lo hacemos en una terraza cercana a la plaza mayor) y volvemos por la tarde donde nos quedamos atendiendo al poco público que pasa por allí (básicamente a los vecinos de expositor que son los únicos que están por la zona).

Mi resfriado parece que se ha estancado, quizá el buen tiempo haga que mejore, no se, la esperanza es lo último que se pierde y hay que acumular fuerzas para el día siguiente que, según todos los indicios, será el día grande de la feria y donde tendremos que darlo todo.

MIERCOLES

Definitivamente el resfriado ha empeorado, tras la ducha creo que me ha entrado agua en el oído drecho porque lo tengo parcialmente taponado… Me pongo a dar saltos a la pata coja y parece que no evoluciona… Quien sabe, igual es el resfriado que se está convirtiendo en otitis.

A las 8 de la mañana, después de tomar un frugal desayuno nos plantamos a las puertas de la capilla en la que tenemos nuestro stand… Y resulta que hay un control de seguridad montado “a la española”, solo hay una persona con la lista actualizada de quien puede entrar y quien no ¡¡EN UN MÓVIL!! y luego el control de seguridad posterior como si fuese un aeropuerto… Total media hora perdida esperando para entrar… Pero una vez que estoy dentro me doy cuenta que no tengo ni un mísero analgésico y que lo del oido me está doliendo cada vez más… Salir a comprarlo no es una opción, la cola de fuera ya ha tomado dimensiones bíblicas y volver a entrar puede costarme otra hora… En fin, a esperar.

La razón de toda esta seguridad era la visita que, a eso del medio día recibiríamos… El Rey y el presidente de Portugal (acompañados del ministro de exteriores) se pasaban para mostrar su apoyo a los emprendedores…

Menos mal que, en un momento en que vi que la cola de entrada había menguado salí a la farmacia más cercana a comprar algo para “doparme” mientras durase el sarao… Claro que el efecto tampoco es que me durase demasiado.

Por lo menos la mañana, una vez que la regia visita nos dejó, fue productiva, se pasaron más personas a las que presentamos nomorepass y conseguimos hablar con más gente que conocíamos o que nos querían conocer… Pero llegó el momento en que mi resfriado pudo más que yo y tuve que decidir volver al hotel, aunque fuese a descansar un rato, para recuperarme, en estas circunstancias era más sencillo hablar con un zombie que conmigo.

Y como Murphy es así, justo mientras estoy en el hotel empiezan a llegar personas con las que yo quería hablar… Total que solo pude estar poco más de media hora antes de tener que volver al stand. Menos mal que la comida se pudo hacer con el cocktail que nos había preparado la organización, no me veía con ganas de volver a buscar un restaurante.

Este día todavía tendría alguna sorpresa, antes de ir al concurso de pitch en el que estábamos todavía tuve tiempo de quedar encerrado en uno de los aseos, se rompió el mecanismo (me quedé con la maneta en la mano) y resulta que estaba en medio de los muros de medio metro del claustro y no había ni siqueira cobertura… En fin, que gracias a una señora de la limpieza que me oyó y al de mantenimiento que terminó por romper todo el cierre para que pudiese salir, que si no allí me quedaba.

A las 17:30 nos entrevistaron en una radio por internet para su podcast (vistodeotrolado) y a las 18:30 ya estabamos listos para la competición de pitch en la que estábamos englobados como fintech… En el interim nos perdimos una reunión que teníamos programada con Prosegur y que, debido a la maliiiiiiiisima app que disponía la organización pasaba 100% desapercibida. El caso es que dimos el pitch (que no ganamos) y a eso de las 8 de la noche, con un calor insoportable dentro del edificio, terminamos nuestra jornada maratoniana… Salvo mis virus que seguían activos a toda máquina.

Decidimos recoger los bártulos y aprovechamos para tomar algo en el networking cocktail que nos prepararon y vuelta al hotel, las fuerzas ya flaqueaban.

JUEVES

Si alguien creía que esto se había acabado, se equivocaba. Para el jueves teníamos previsto el mentor’s day de la fundación madri+d que me obligaba a estar en Madrid a las 16:30 de la tarde… Así que tuvimos el tiempo justo de recoger las cosas, desayunar, comprar el hornazo (esto es sagrado si vas a Salamanca), volverme a tomar un chute de analgésicos y vuelta al coche… Otros 220km y otras dos horas después en Alcorcón con el tiempo justo para ducharme, comer y deshacer la maleta… Y vuelta al metro.


Soporté lo mejor que pude la falta de aire acondicionado de la sala (se que no es culpa de la fundación y ya se disculparon por ello), hice la presentación y vi las de mis otros once compañeros… Menos mal que la garganta ha soportado el tirón aunque esté medio sordo de un oído por la congestión.

VIERNES

Hoy estoy escribiendo este post porque temo que no pueda hacerlo más tarde, pero tengo que preparme para otro viaje, esta vez a Torrelavega para participar en el 1er certamen abierto de emprendimiento. Esta vez es el doble de kilómetros y, por suerte, no me va a tocar ir solo y perder todo el fin de semana, persiguiendo, como pollo sin cabeza, quien sabe qué… Eso si, prometo que a mi vuelta voy a cuidarme más, eliminar los virus en cuanto pueda y volver a calzarme la cabeza antes de empezar a correr de aquí para allá.

Seguiremos informando…

La experiencia de cliente… Malos y buenos ejemplos: Apple y Banco Santander

Como mi máxima es siempre aprender algo aunque sea de situaciones ridículas, hoy he decidido tomarme mi nefasta experiencia en la tienda apple de xanadu como una lección de lo que no se debe hacer con un cliente y compararlo, sin que sirva de precedente, con otra buena experiencia de la semana anterior, la que tuvo el banco de Santander con una reclamación sobre su app de wallet. La otra opción era iniciar un flame contra apple o desahogarme escribiendo lo primero que se me pase por la mente y creo, firmemente, que ninguna de las dos cosas habrían ayudado a nadie.

Apple solo piensa en el dinero y, en lugar de mimar al cliente, le hace creer que es un privilegio para él que se le permita tener un dispositivo de su marca. Tanto es así que, a pesar de los precios prohibitivos y los exageradamente inconmensurables márgenes de la compañía hay gente que daría su brazo derecho por tener lo último y más caro. La verdad es que han creado una imagen de marca más parecida a los perfumes caros que a las novedades tecnológicas. No importa que los dispositivos sean técnicamente inferiores o que sus componentes no añadan nada al mercado actual, tiene una manzana detrás y eso ya nos da “caché” para presumir ante los demás y dejar claro el tipo de personas que somos (cada cual que se lo tome como quiera).

El caso es que, si como a mi, se te estropea el chip de video de tu carísimo portatil te cobran 700 Euros por cambiarte toda la placa, a condición de que ellos se queden con la vieja (en caso contrario te cobran 1500 Euros que es más del valor de segunda mano del portatil). ¿Para qué? Evidentemente para sacar otro chip del armario (no más de 30 euros) y meterlo en mi placa, con lo que consiguen otros 700 euros de beneficio con el próximo pringao al que se le estropee. La otra opción, si necesitas un mac, como es mi caso para desarrollar, empieza en 2000 Euros.

Pero, si lo que es peor, compras un iphone 6 de segunda mano, al que el antiguo dueño, incapaz de pagar los 89 Euros que pedían por una batería nueva y ante la mierda de batería que equipaban estos equipos, decide cambiarsela por otra, y tu, inocente, decides ir a la tienda apple para que te cambien la batería por una nueva (sin saber que tenía batería no-oficial) entonces llegarán en la tienda y te harán un corte de mangas

“Servicio denegado” por motivos de seguridad, sus técnicos, que solo trabajan con cosas que han sido compradas a apple, parece ser, se niegan a hacer el cambio (menos mal que no dejé la funda puesta o no habrían podído ni abrir el aparato sin tocar un elemento impuro). Eso si, me han hecho perder una mañanas completa yendo a diagnosticar, esperando tres semanas hasta que han tenido baterías y luego otras cuatro horas desde que dejas el aparato y salen a decirte que te vayas por donde has venido… Una experiencia de usuario “deliciosa” y que le recomiendo a cualquiera. No obstante ya que los problemas son de “seguridad” del personal de apple me ofrezco a comprar la batería y a instalarla yo mismo (solo soy ingeniero con 20 años de experiencia) y la respuesta es igual de gratificante: NO solo se las vendemos a distribuidores oficiales… Cosa que no tiene ningún sentido para aparatos que ya están fuera de garantía y sobre los que apple no tiene ninguna responsabilidad si funcionan bien o mal… Pero así se aseguran de que ellos tienen el control de las piezas y ellos deciden qué clientes tienen derecho a tener sus aparatos y cuales no.

En fin, que sigo teniendo que usar apple porque hay miriadas de snobs que siguen creyendo que porque les cobren 1000 euros van con un pepino en el bolsillo y tengo que desarrollar software para ellos, pero como cliente voluntario Apple ya me ha perdido.

En el otro extremo tenemos al Banco Santander, al que, tras dejar una opinión negativa de la app wallet al no poder pagar en un terminal con ella, se puso en contacto conmigo varias veces, tuve a un operador ayudándome a reinstalar y configurar la app para que todo estuviese correcto y, finalmente, hizo seguimiento de mi caso…Que todavía no se ha arreglado, pero en el fondo creo que se trata de un problema de actualización del sistema del teléfono y que tampoco pueden hacer gran cosa. Lo que si me han demostrado es que se preocupan por su cliente (aunque sea un cliente avanzado como yo, que da más problemas que beneficios) y me han ganado como usuario de sus apps.

Unas diferencias abismales, algo que aprender.

Jazztel te miente

Me está hirviendo la sangre, la verdad, hacía tiempo que no me sentía tan maltratado como cliente, ni tan estafado como persona. El responsable: Jazztel.

Mi empresa ha tenido durante ya casi diez años a ONO como proveedor de teléfono e internet, somos una pyme y no tenemos grandes necesidades, solo queremos una conexión estable y una IP fija. Eso es así porque para acceder a algunos clientes tenemos que pasar por firewalls que son un poco especiales con los desconocidos… Tras la adquisición de ONO por Vodafone también cambié los móviles (parte de ellos) a Vodafone, aunque fueron incapaces de ponerme en el mismo contrato todos los servicios.. Y eso molesta.

Cuando Jazztel me llamó directamente al teléfono de ONO para hacerme una oferta, lo único que pregunté es: ¿puedo tener IP fija? y el comercial me dijo si, claro que si. Yo, que ya había oído que Jazztel fibra no ofrecía ese servicio volví a preguntar, ¿pero seguro? y el comercial me puso en espera mientras hablaba con su supervisor que, esta vez con más rotundidad me confirmó que “si, claro, para las empresas si que damos ese servicio“. Dado que lo que me ofrecian unía los móviles, el teléfono e internet en la misma oferta y salía mucho más barato que lo que tenía con Vodafone/ONO pues piqué… Y dije que si, me pasaron con un tercer operador que me leyó las condiciones, y me dijo, con toda algarabía que la IP fija estaba incluida y era gratuíta para empresas. Dado que estaba todo ok, confirmé, me enviaron un sms larguísimo con un enlace a otra página más larga todavía con todas las condiciones que yo, como todo el mundo, se limitó a confirmar (supuse que sería lo mismo que me acababa de leer el operador)… Al día siguiente me llaman para fijar la hora en la que se pasará el instalador y, efectivamente, el día posterior, se nos presenta el instalador en la oficina y, no sin problemas, nos deja instalada la fibra (antes de salir pitando que ya se le había hecho tarde).

Verificamos la velocidad, probamos que podemos hacer llamadas (aunque todavía no recibirlas, entiendo que por cosas de la portabilidad) pero vemos que la IP que tenemos asignada es de un rango dinámico de jazztel… ¿Qué pasó con la IP fija? Y aquí empieza el calvario de lo que denominaré la “Experiencia Jazztel”. Llamo al teléfono de atención y me desvia al servicio técnico de empresas (porque llamaba desde el mismo teléfono y les proporcioné el CIF), donde el buen señor (ánimo Jesús) me indica que ellos no pueden cambiarme la IP, que me redirije al departamento comercial para que me lo arreglen… Y me desvió a otra persona a la que tuve que volverle a contar todo, que me redirigió a otra que tampoco sabía nada y a la que tuve que volver a contárselo y luego a otra que, tras escuchar mi explicación terminó por colgarme el teléfono… En total habré hablado con 9 o 10 personas distintas de las más variadas nacionalidades y cada cual con su “yo no puedo ayudarle, le paso con…” o “esto no es de empresas, llame a …” o “no me figura que tenga el paquete de empresa, llame a…” Aquí os dejo el registro de llamadas (solo las del fijo, desde el móvil también llamé un par de veces):

Más de una hora y pico perdida… Para, finalmente, toparme que ya eran más de las 18:00 y ya no dan atención comercial (que, se supone, son los que tienen que arreglar el problema)… Con la boca seca de dar tantas explicaciones y cabreado por que ya no me atendían me fui a twitter a ver si allí había alguien que atendiese… Y si, alguien había… Que me indica que me lea lo que me mandaron por SMS a ver si pone algo de IP fija… Lo leo atentamente (más tiempo perdido) y veo que no, que no aparece por ninguna parte, así que, a no ser que hayan grabado las conversaciones con los comerciales que me convencieron para cambiar no tengo pruebas para demostrar que me vendieron una cosa y luego me han enchufado otra… ¿Me mintieron? PUES SI!

¿Qué opciones tengo ahora? Según el testamento ese de condiciones pone que si desisto de la compra tengo que pagar 260 Euros (no se como cuanto de legal es esto) y además un año de permanencia con 110 Euros de penalización (no se si por movil o por contrato)… y dado como está su sistema comercial veo dificil que puedan ponerme IP fija aunque quiera pagarla y aunque fuese esa la única condición que puse para poder cambiarme… Así que, ya lo he aprendido, voy a empezar a grabar yo también a los comerciales para poder tener alguna prueba de que son unos sinvergüenzas que te venden una cosa y luego te dan otra (o unos inútiles que no saben lo que venden)…

Jodido estoy!

ACTUALIZACIÓN (8/03/2018): Jazztel me confirma que son unos estafadores y que me vendieron lo que no me pueden dar:

Parando un ciberataque a tu wordpress

Este lunes, a eso de media tarde, detectamos en la web de uno de nuestros clientes que estaba recibiendo una cantidad inusualmente alta de intentos de login fallidos. Nuestro cliente, que usa wordpress, tiene un cierto nivel de visitas digamos, importante, lo que le hace un blanco para bots y escaneadores de redes habitualmente, por lo que siempre recibe cierta cantidad de estos intentos fallidos, pero al cabo de unos minutos nos dimos cuenta de que esta vez era distinto… Estabamos en medio de uno de los mayores ataques a sitios wordpress de la historia. Este es el volumen que mostraba wordfence (el plugin de seguiridad que usamos):

Como vemos se llegaron a los 10 millones de ataques y, como dicen en su blog se trataba de un ataque distribuido masivo de fuerza bruta muy importante. De hecho indicaban que:

  • El ataque había llegado a 14.1 millones de ataques por hora.
  • El número toral de IPs involucradas fueron más de 10,000.
  • Se estaban atacando más de 190.000 sitios WordPress por hora.
  • Esta es la campaña más agresiva que nunca hemos visto por volumen de ataques por hora.

La razón que proponían como posible fuente de este ataque fue el filtrado masivo de credienciales que salió a la luz el 5 de diciembre y que dejaba expuestos millones de contraseñas nuevas que poder utilizar en un ataque de este tipo.

Así que, en medio de toda esta vorágine y recibiendo un montón de alertas, teníamos que hacer algo para proteger nuestro sitio, manteniendo el servicio y evitando que los chicos malos se nos colasen hasta la cocina.

Además de tomar las medidas habituales, nosotros escogimos un camino que nadie más podía tomar, utilizar el nuevo plugin wordpress de nomorepass que acabábamos de desarrollar y que todavía no estaba distribuido (ahora ya lo está) y que contenía una nueva opción más que interesante: “Solo permitir el acceso mediante la app”.

Con esta simple opción aunque los robots consiguieran un usuario y un password válido para el sitio no podrían entrar, porque solo se permitiría entrar a aquellos que usaron el código qr y la app para enviar sus credenciales. Esta simple medida, junto con el baneo de ips y otras medidas habituales consiguieron devolver la normalidad al sitio y, sobre todo, estar seguros de que no se podían haber colado.

Como ya os he contado muchas veces, la mejor contraseña es la que no conocemos, así evitaremos todos los ataques por ingeniería social y estaremos un poquito más seguro sin tener que cambiar – todavía – la infraestructura de acceso a nuestros sitios.

Por todo ello,  os recomiendo usar nomorepass.

El fin del hacking por ingeniería social

La mayor parte de los sistemas de acceso a las webs, correos o cualquier otro sistema informático son técnicamente lo suficientemente robustos para que utilizar métodos de fuerza bruta o criptográficos sea muy, muy complicado (hablo de webs que ya tengan ssl, ordenadores que no tengan keyloggers ni cosas de esas). De hecho los medios para romper una clave rsa que tuvo que poner la NSA (11.000 millones de dólares) no están al alcance de cualquier hacker y, desde luego, no de cualquier hacker que ande por ahí. Sin embargo, se siguen produciendo ataques, filtraciones e intrusiones en nuestras cuentas usando el método más barato de todos: la ingeniería social.

Mediante ingeniería social lo que un hacker hace es tratar de que tu mismo le entregues tus claves o, en el peor de los casos, utilizar alguna clave tuya conocida para derivar la que puede ser tu clave para ese sistema. En 2004 el New York Post publicaba un artículo en el que se describía un experimento por el que un desconocido ofrecía un dulce a cualquiera que le diese la contraseña de su correo… Y el resultado fue sorprendente, 7 de cada 10 personas entregaron la contraseña de su correo. De esta manera da igual que tengamos SSL, TLS, un sistema límpio, y todas las medidas que queramos que mediante ingeniería social cualquier atacante puede descubir nuestras contraseñas. Además, nuestro cerebro no es capaz de recordar secuencias de caracteres aleatorios, o al menos no muchas, por lo que al final solemos usar alguna heurística para tener una sola contraseña y derivar otras en base a esas. Un sistema que conduce, irremisiblemente a regalar nuestras contraseñas a cualquiera que esté interesado por ellas.

¿Cual es mi solución? Muy sencillo, que el usuario no sepa las contraseñas, no es necesario cambiar ningún sistema, ni recordar nada, ni preocuparse lo más mínimo, simplemente olvidate de las contraseñas. Para conseguir esto he creado el sistema nomorepass, que además de generarte contraseñas y almacenarlas de manera segura en tu dispositivo móvil (y solo en tu dispositivo, nada de copiarlo en la nube, ni en nuestros servidores, ni en los ordenadores) te permite enviarlas de manera segura a la web o el dispositivo que la necesita… Todo ello sin que tu tengas que saber cual es la contraseña y, por tanto, sin poder ser presa de la ingeniería social.

Llevando esto al extremo, he desarrollado un nuevo plugin para wordpress que permite hacer los registros de usuario de manera automática, sin tener que elegir un password y que lo almacena directamente y de forma segura en tu app nomorepass. Puedes hacer la prueba registrándote en este blog, simplemente pincha aquí, escribe tu nick y tu email, pincha en el icono de nomorepass y luego escanea el qr con la app usando el botón rojo. ¡voila! ya estás registrado y con tus credenciales en tu teléfono… ¡Y ni siquiera sabes qué contraseña has usado!!

Deja de usar sistemas obsoletos, de escribir las contraseñas en papeles, tener una sola contraseña (con variaciones) para todas tus cuentas o, simplemente, deja de acordarte de tus contraseñas… Usa nomorepass. Es gratis, pero si, además, quieres tener una seguridad extra puedes suscribirte, si dejas un comentario en esta entrada te enviaré un código para que puedas disfrutar de todas las funcionalidades premium durante un mes… ¿Qué esperas?