2022-10-03

Los avisos de cookies en la web

Galletas come cocos #mihzgzc20
No tengo pruebas, pero tampoco tengo dudas (más por pereza que por otra cosa) que una gran parte de los avisos de cookies no sirven para nada. Y no lo digo en el sentido que lo diríamos de que la gente acepta y ya (con lo que el objetivo no se cumpliría), o de que la gente elija qué cookies puede recibir o no.
Me refiero a que muchos de estos avisos son simplemente eso, avisos: hagas lo que hagas y aceptes o no, el comportamiento del sitio web no cambia.
Por supuesto, nadie comprueba nada, ni verifica qué está sucediendo, ni nada parecido.

Por eso me gustó ver Lo de las cookies es una auténtica vergüenza, todo el mundo lo sabe y nadie hace nada donde @Alvy dice más o menos lo mismo que yo:


La Web esta ahora plagada de inescrutables banners de cookies que no parecen proporcionar ninguna funcionalidad, no cumplen con las normas de proteccion que se pretendian, utilizan «patrones oscuros» para empujar a los usuarios a dar su consentimiento a todas las cookies, o simplemente dejan a los usuarios desconcertados


Y, además, nos avisa de la publicación de Cookie monster que habla de un estudio sobre cómo se enfrenta la gente a estos avisos, analizando el comportamiento ante diversos diseños:


We have been studying cookie consent banners in my lab at Carnegie Mellon University to gain insights into how banner design impacts user comprehension and what cookies they accept. In one study, we created a retail website and recruited participants to test it out. We randomly assigned more than 1,000 U.S. participants to see one of 12 cookie banners on the website while they were shopping.


Influiría dónde está el aviso, qué permite hacer, las opiones por defecto,...

La conclusión es que las organizaciones deberían mejorar los avisos para ofrecer mejores opciones de privacidad a los usuarios.


In the short term, organizations should clean up their cookie banners so that users can access privacy choices easily and remove banners when there are not any meaningful choices to present.


A medio plazo, también deberían aparecer soluciones automatizadas para tomar las decisiones una vez y no tener que andar eligiendo las adecuadas para nosotros en cada sitio que visitemos.


Longer term, we need automated solutions to allow users to make their decisions once and have them respected everywhere. We will also need good user interfaces that help users understand when features are unavailable due to automated decisions and allow them to override in specific cases.


Como decía arriba, falta alquien que compruebe si elegir una u otra opción tiene efecto real en los sitios que visitamos (que es algo que yo dudo).

Mientras tanto, los promotores del navegador Brave han anunciado que los van a bloquear: Blocking annoying and privacy-harming cookie consent banners.

Puedes enterarte de las notas nuevas en: @reflexioneseir (Twitter), Reflexiones e Irreflexiones (Página de Facebook), Reflexiones e Irreflexiones (Canal de Telegram), fernand0 (en LinkedIn), @fernand0 (en Medium), Mastodon.

2022-10-03 16:58 | 0 Comentarios | In English, please | En PDF | Para enlazar # |
| Compartir/Share | por correo | en Twitter | en LinkedIn | en Facebook | en Google+ | en Delicious |

2022-09-27

Los mapas colaborativos, la policía y la velocidad

Recibida pegatina @waze
En Braking news: Cops slammed for spamming Waze to slow drivers down nos contaban cómo la policía de Surrey, en Inglaterra, utilizaba Waze para marcar su presencia en puntos por los que pasaban.
El efecto era que la gente conducía con más cuidado por si podría haber controles de velocidad o amenaza de multas.


So what the officers do is this: while driving around on patrol, they open Waze, and every so often report their presence as they go, placing markers on the map. Nearby drivers see these icons and slow down in hope of avoiding getting a fine.


Waze y otras aplicaciones permiten marcar determinados incidentes de las vías y, en particular, permiten avisar de la presencia de la policía.

Podemos estar de acuerdo o no en la posibilidad de marcar estas posiciones para avisar a otras personas, pero parece que no ha sido bien recibido que la policía haga esto.


Responses on Twitter were varied, from those saying they've actually clocked cops where they were Waze markers, to those accusing the police force of devaluing the tool, violating Waze's terms of use, and supplying false information – a point the police deny.


Nos puede servir, claro, para recordarnos que las aplicaciones de este estilo (con información proporcionada por los usuarios) puede utilizarse para el bien, pero también para confundir y engañar.
Una parte del trabajo corresponde a los proveedores del servicio (haciendo que sus herramientas de control sean mejores) y otra a los propios usuarios, utilizando la parte de verificación (o de corrección) para que la información sea fiel.

Ya habíamos hablado hace algún tiempo, donde unos vecinos hacían algo parecido para evitar que la gente pasara por su zona (Luchando contra la información de las masas), aunque en este caso la información falsa me parece que despertó más simpatía.

Puedes enterarte de las notas nuevas en: @reflexioneseir (Twitter), Reflexiones e Irreflexiones (Página de Facebook), Reflexiones e Irreflexiones (Canal de Telegram), fernand0 (en LinkedIn), @fernand0 (en Medium), Mastodon.

2022-09-27 16:55 | 0 Comentarios | In English, please | En PDF | Para enlazar # |
| Compartir/Share | por correo | en Twitter | en LinkedIn | en Facebook | en Google+ | en Delicious |

2022-09-20

En ExpoTIC hablando de ciberseguridad

logo cátedra
La semana pasada se ha celebrado en Zaragoza el XXXIII Congreso de Estudios de Telecomunicación (C.EE.T.) y la organización decidió asociar a este congreso unas jornadas de orientación profesional, la ExpoTIC Zaragoza. Entre los patrocinadores figuraba Telefónica, que cedió el hueco para presentar que tenían a la Cátedra de Ciberseguridad que dirijo.

Pensando en estudiantes creímos que sería adecuado dar algunos consejos para merjorar nuestra ciberseguridad y luego comentar las posibilidades que se articulan a través de los estudias y la cátedra de mejorar sus oportunidades laborales en este ámbito. La presentación utilizada está en Consejos y oportunidades en Ciberseguridad.

Hablamos un poco de habilidades 'blandas', también de humanismo digital y creo que esta parte resonó en algunas personas de la audiencia. Espero que fuera de utilidad y que, a partir de ahora, también lo sea para otras personas.

Entrada publicada originalmente en En ExpoTIC hablando de ciberseguridad.

Puedes enterarte de las notas nuevas en: @reflexioneseir (Twitter), Reflexiones e Irreflexiones (Página de Facebook), Reflexiones e Irreflexiones (Canal de Telegram), fernand0 (en LinkedIn), @fernand0 (en Medium), Mastodon.

2022-09-20 17:19 | 0 Comentarios | In English, please | En PDF | Para enlazar # |
| Compartir/Share | por correo | en Twitter | en LinkedIn | en Facebook | en Google+ | en Delicious |

2022-09-12

El dinero y el acceso a la información.

Dinero
Generalmente, todo el mundo se queja de la publicidad en la web, los muros de pago, .... También generalmente (generalizando), poca gente está dispuesta a contribuir al coste de mantenimiento de la generación de esos contenidos que quiere ver en la web (aunque es cierto que las plataformas de difusión de vídeo algo han ido consiguiendo).
De los pagos, la privacidad y la web nos hablan en Paying for the web.

Hemos basado el crecimiento en la publicidad, por nuestra falta de interés en pagar. Para lo bueno y para lo malo, claro: ¿tendríamos lo que tenemos hoy en día si hubiera habido que ir aportando diversas cantidades económicas para mejorar los servicios y la información disponible?


I agree that advertising was one of the web’s original sins, although at this point in its cultural life I’m not sure I’m prepared to say that it was the only original sin. At the same time, I’m not sure if the web would be the web without it: I wonder if it would have been as big or as ubiquitous if it had been harder for platforms to make money on it. [...] Ads, for all their evils, kept the web open to all.


Un modelo podría haber sido (aún hay mucha gente intentándolo, y alguna con éxito) la suscripción, los muros de pago (si no pagas no pasas) y los micropagos. Pero el problema es que este mecanismo excluye de manera sistemática a un montón de gente.
Sin olvidar que para conseguir 'clientes' siguen siendo necesarios los mecanismos de seguimiento, contabilidad, comercialización, ...


For a time it seemed like subscriptions, paywalls, and micropayments might be the answer. But I’ve laid the clues for why they’re not necessarily so above: they intrinsically exclude the majority of a site’s potential audience from being able to see and consume its information.And rather than precluding tracking, taking direct payment still incentivizes websites to tailor a commercial call to action.


Otras alternativas son el apoyo directo a los generadores de contenido que nos intera, tratando de no dejar fuera a los que no se lo pueden permitir, y por lo tanto alguien tiene que decidir qué es lo que le interesa.


I do think shifting to methods of direct support to the web has the potential to be part of a solution, but not inherently to itself. Paying for content and services obviously has its place, but at the same time, business models can’t possibly be one-size-fits-all. Sometimes excluding users who can’t pay is too much friction, or is converse to the mission you’re following, or is even societally harmful - imagine, for example, if the journalism required for voters to make smart democratic decisions all lay behind a paywall. Every business, every creator, everyone who wants to build community has to know what their mission is and who their audience is, and must tailor their approach accordingly.


Así que pueden tener sentido modelos como los de The Guardian, o la Wikipedia, que nos recuerdan que su mantenimiento no es gratuito y nos solicitan pagos (no obligatorios) de vez en cuando.


I’ve come to really appreciate patronage models. You can see this most readily on sites like The Guardian and Wikipedia: great content served as part of a well-made product, with a clear, well-constructed ask that is hard to ignore but also easily dismissable.


Y luego habla de que, a lo mejor, habría gente que querría tener un reconocimiento por ese pago (que hace necesaria la identificación), y sigue discutiendo sobre el tema de los anuncios, la vigilancia y la intimidad/privacidad.

Interesante.

Puedes enterarte de las notas nuevas en: @reflexioneseir (Twitter), Reflexiones e Irreflexiones (Página de Facebook), Reflexiones e Irreflexiones (Canal de Telegram), fernand0 (en LinkedIn), @fernand0 (en Medium), Mastodon.

2022-09-12 17:28 | 0 Comentarios | In English, please | En PDF | Para enlazar # |
| Compartir/Share | por correo | en Twitter | en LinkedIn | en Facebook | en Google+ | en Delicious |

2022-09-06

La vida de los enlaces en la web

Biblioteca
Otro de mis temas de interés: la vida de los sitios web. En este caso hablan en Diving into Digital Ephemera: Identifying Defunct URLs in the Web Archives sobre los enlaces desaparecidos y un caso particular, los archivos de la web de la biblioteca del Congreso de EEUU.
Más concretamente, los documentos disponibles en el archivo cuyo documento original ya no está disponible.


Web archives exist to prevent this loss of information online. This summer, as a Junior Fellow with the Library of Congress Web Archiving Team, I have been investigating ways to identify content in the Library of Congress Web Archives that is no longer available on the live web. Identifying and communicating the status of URLs captured in a collection can not only demonstrate the value of web archives, it can also illustrate the impermanence of the internet more broadly.


La cosa es que verificar la existencia o no de estos documentos no es siempre una tarea fácil. Sin olvidarnos del tamaño del archivo, que hace que estemos hablando de un trabajo de tamaño importante.


The life cycle of a website, however, is unpredictable. Verifying the status of a site requires some level of manual investigation, which is time consuming and may be impractical when working with large collections. The Library of Congress, for example, has over 58,000 unique seed URLs in its collections.


Una posibilidad es utilizar el valor devuelto por el protocolo HTTP, mediante alguna herramienta. Los sitios devuelven una serie de códigos, con diversos significados.


When we access websites through a browser, the browser sends an HTTP request to a server hosting the website. An HTTP response code is a three-digit value that indicates the outcome of that request. A response code of 200, for example, means the request was successful and any code in the 400 and 500 range indicates an error. 300 codes indicate redirects and are not typically the final outcome of a request. It is also possible to receive an error message instead of a response code, which typically means the attempt to reach the remote web server was unsuccessful.


Y hay que tener en cuenta que un código correcto (200) sólo significa que el sitio web (el que sea) en la dirección indicada funciona correctamente. Esto significa que podría ser un contenido diferente del que originalmente se alojaba allí (esto sucede con cierta frecuencia con dominios abandonados, que algunos listos 'okupan' y utilizan para su propio beneficio).


For example, a 200 response just means that whatever website is hosted at the provided URL is online. URLs can change ownership, however, so the site that loads may not be the site that was originally there when the collection was created.


Por el contrario, un error de disponibilidad (404), sólo indica que hay un problema en ese momento, aunque puede ser que el fallo temporal, o que el recurso esté en otro sitio...


Likewise, a 404 error means that there is a problem with the URL as entered – in many cases, the content originally hosted at that URL is still online, just at a different location.


Interesante, las nuevas 'bibliotecas' no tienen garantizada la fecha de existencia ni su permanencia.

Puedes enterarte de las notas nuevas en: @reflexioneseir (Twitter), Reflexiones e Irreflexiones (Página de Facebook), Reflexiones e Irreflexiones (Canal de Telegram), fernand0 (en LinkedIn), @fernand0 (en Medium), Mastodon.

2022-09-06 17:34 | 0 Comentarios | In English, please | En PDF | Para enlazar # |
| Compartir/Share | por correo | en Twitter | en LinkedIn | en Facebook | en Google+ | en Delicious |

2022-08-29

Vuelta al 'cole', la experiencia y los cambios

Mesa de trabajo
Ahora que se terminan las vacaciones (o dejar de hablar de ellas, que no todo el mundo las disfruta a la vez) puede venir bien una entrada 'motivadora'.
Por eso traigo Sobre hacer cosas por primera vez y el valor de la experiencia.

Reúne dos cuestiones que me interesan y hasta me preocupan: en España el desprecio a la experiencia en muchos sectores es aterrador; prejubilaciones, contrataciones 'estrella' de gente joven dejando de lado a gente con cierta trayectoria ...

No sé si ligado con eso, pero sí que lo siento con cierta cercanía el tema de las primeras veces: tener experiencia está bien, pero eso no significa que no podamos seguir viviendo primeras veces; cambiar de 'negociado', establecer nuevos contactos, nuevas líneas de trabajo/actividad...

De eso habla Chema Alonso:


Y es que, después de llevar más de 25 años trabajando, todas las semanas me toca hacer cosas que hago por primera vez, tomar decisiones sobre temas totalmente novedosos, trabajar con nuevas tecnologías, con futuros inciertos de hacia donde va a ir el mundo.


Y lo relaciona con la experiencia:


¿cuál es el valor de la experiencia si siempre estamos haciendo cosas nuevas en el trabajo? Para mí, el valor de la experiencia vale mucho si es aplicada justo a eso, a saber qué hay que hacer para afrontar el trabajar con cosas por primera vez. Y no vale dar consejos desde la barrera, sino saber enfangarse para que trabajar con cosas por vez primera no sea un problema, sino una característica.


Está claro que una mayor experiencia proporcionará un mayor repertorio de herramientas que, tal vez, podrían ayudarnos a enfrentarnos a nuevos desafíos.

En fin, ánimo con la vuelta al 'cole'.

Puedes enterarte de las notas nuevas en: @reflexioneseir (Twitter), Reflexiones e Irreflexiones (Página de Facebook), Reflexiones e Irreflexiones (Canal de Telegram), fernand0 (en LinkedIn), @fernand0 (en Medium), Mastodon.

2022-08-29 17:31 | 0 Comentarios | In English, please | En PDF | Para enlazar # |
| Compartir/Share | por correo | en Twitter | en LinkedIn | en Facebook | en Google+ | en Delicious |

2022-08-22

La web independiente y lo que puede frenar a muchas personas

Portátiles
Hace unas semanas ya hablábamos de la 'indie web' en POSSE, PESOS, PESETAS: tu contribución a la red y diversas formas de manejarla. Se sigue hablando (no mucho) de ella y en esta ocasión traemos Am I on the IndieWeb Yet? que trae un poco de realidad a todo este asunto.

Se manifiesta simpatizante de la cosa (ser propietario de los datos, disponer de un espacio para jugar y experimentar, compartir contenido en formatos abiertos, microformatos, ...)


I’m really into the IndieWeb, or the ideas behind it. I like to own my data, I like a space to play and experiment, I like the idea of syndicating content to be read/experienced in a variety of formats. I love microformats, and RSS feeds, and… wait… how do webmentions work?


Pero, claro, por muy simpatizante que seas tienes que estar dispuesto (dispuesta, ella) a invertir un esfuerzo y, además, no está claro que hacerlo vaya a resolver el problema.



Asi que se declara escéptica.


At the core, I’m skeptical about treating “public space” issues as a matter of personal responsibility.


Y después del trabajo, tampoco está claro que lo hayamos hecho bien, así que el trabajo no está terminado.


And I’m not always sure I have it set up right? Validators flag the style attribute (setting custom props in some content), or embedded iframes (for audio/video), or scripts (usually for embedding content). How much should I worry about these issues? Do I need to run my content through a tool like sanitize-html, and if so, how strict should it be? I often have similar questions when setting up microformats, and trying to match the needs of the format to the needs of my content.


Interesante. No todos estamos dispuestos a hacer estos esfuerzos y, a lo mejor, habría que pensar en soluciones para la gente corriente.

Por si hay alguna persona interesada en explorar esto de la IndieWeb, una lista de recursos en Indie Microblogging.

Puedes enterarte de las notas nuevas en: @reflexioneseir (Twitter), Reflexiones e Irreflexiones (Página de Facebook), Reflexiones e Irreflexiones (Canal de Telegram), fernand0 (en LinkedIn), @fernand0 (en Medium), Mastodon.

2022-08-22 17:51 | 0 Comentarios | In English, please | En PDF | Para enlazar # |
| Compartir/Share | por correo | en Twitter | en LinkedIn | en Facebook | en Google+ | en Delicious |

2022-08-08

El fuego purificador y devastador y los activos digitales

Lanzarote. Jugar con fuego
¿Qué sucede cuando te cortas tu propio acceso a tus recursos digitales?
Nos lo cuenta Terence Eden en I've locked myself out of my digital life.

Su casa se incenció y perdió todos sus dispositivos: portátil, teléfono, ... y otros dispositivos digitales.


Last night, lightning struck our house and burned it down. I escaped wearing
only my nightclothes.

In an instant, everything was vaporised. Laptop? Cinders. Phone? Ashes. Home
server? A smouldering wreck. Yubikey? A charred chunk of gristle.


Si tienes una vida digital normal, es posible que tengas muchas de tus cosas en alguna de las nubes disponibles, así que no hay problema.
¿Seguro?
Tienes que poder acceder a los servicios, y eso es difícil cuando las contraseñas están almacenadas en un sistema cuyo acceso dependa de los dispositivos quemados.
¿He oido autentificación en dos pasos?


In order to recover my digital life, I need to be able to log in to things. This means I need to know my usernames (easy) and my passwords (hard). All my passwords are stored in a Password Manager. I can remember the password to that. But logging in to the manager also requires a 2FA code. Which is generated by my phone.


En algunos casos se puede designar a un contacto cercano que podría darte acceso a algunas cosas, pero eso es un problema si tu contacto cercano es tu esposa y tiene los dispositivos tan quemados como los tuyos.


The wife who lives with me in the same house. And, obviously, has just lost all her worldly possessions in a freak lightning strike.


Todos estamos pensando que sería fácil conseguir una nueva SIM para el teléfono y, a partir de allí, empezar a recuperar algo a través de los típicos SMSs. Pero... hay que identificarse: los pasaportes y otros documentos también arden bien.


The only question is - how do I prove to the staff at my local phone shop that
I am the rightful owner of a SIM card which is now little more than soot?
Perhaps I can just rock up and say "Don't you know who I am?!?!"


Así que la recuperación será lenta.

Y la conclusión es que si hacemos que nuestros recursos sean muy seguros, y dependan de cosas que no podemos proteger ante cualquier problema, puede que terminemos fastidiados. Los programas serán inflexibles con nosotros.


But when things are secured by an unassailable algorithm - I am out of luck. No amount of pleading will let me without the correct credentials. The company which provides my password manager simply doesn't have access to my passwords. There is no-one to convince. Code is law.


La buena seguridad tiene que tener en cuenta todo.


Puedes enterarte de las notas nuevas en: @reflexioneseir (Twitter), Reflexiones e Irreflexiones (Página de Facebook), Reflexiones e Irreflexiones (Canal de Telegram), fernand0 (en LinkedIn), @fernand0 (en Medium), Mastodon.

2022-08-08 17:42 | 0 Comentarios | In English, please | En PDF | Para enlazar # |
| Compartir/Share | por correo | en Twitter | en LinkedIn | en Facebook | en Google+ | en Delicious |

2022-08-01

En las Cortes de Aragón hablando sobre le proyecto de ley de la nube


Desde el Gobierno de Aragón se está promoviendo una ley para regular el uso de las tecnologías en la nube. En Proceso participativo. Anteproyecto de Ley de medidas para la implantación y desarrollo en Aragón de tecnologías en la nube (Tecnologías Cloud) se pueden ver algunos de los pasos previos y el proyecto de ley.

Dentro del proceso han dado audiencia a una serie de asociaciones, organizaciones e instituciones y pidieron su opinión a nuestro departamento. Me pidieron que lo preparara yo y lo comparto aquí por si es de utilidad. Se hizo con poco tiempo (nos avisaron un par de semanas antes de la intervención), así que no ha habido una toma de opinión del Departamento como tal, aunque sí se ha comentado con algunas personas. Disponíamos de 8 minutos, que tampoco dan mucho de sí para entrar en grandes debates ni muchos matices.

La comparecencia se puede ver en vídeo en Comisión de Ciencia, Universidad y Sociedad del Conocimiento/Audiencias legislativas (la inter vención está al final, pero todas las aportaciones son interesantes):

El texto que leí:


Comparecencia de Fernando Tricas García en representación del Departamento de Informática e Ingeniería de Sistemas de la Universidad de Zaragoza relativa al proceso de audiencias legislativas del Proyecto de Ley de medidas para la implantación y desarrollo en Aragón de tecnologías en la nube (tecnología Cloud)


Buenos días,

desde el Departamento de Informática e Ingeniería de Sistemas de la Universidad de Zaragoza estamos agradecidos de que las la Comisión de Ciencia, Universidad y Sociedad del Conocimiento cuente con nosotros en relación con la tramitación del Proyecto de Ley de medidas para la implantación y desarrollo en Aragón de tecnologías en la nube (tecnología Cloud)


Sirva esta comparecencia para ponernos a su disposición para los proyectos que consideren oportunos en el futuro.


Empezaré recordando como al principio de la pandemia muchas organizaciones y empresas nos encontramos sin poder acudir a la oficina, pero con la obligación de continuar con nuestra tarea; podemos decir que gracias a la nube esto fue posible. Probablemente, con recursos propios hubiera sido muy difícil; no sólo eso, los proveedores dieron la talla y nos ayudaron en momentos muy complicados. Alguien tendrá que hacer el debido reconocimiento en algún momento.
Todo ello a lo largo del territorio, independientemente de los recursos locales concretos, siempre que las infraestructuras de comunicaciones lo permitían.


El 23 de febrero de 2021 el experto estadounidense Bruce Schneier escribía un texto titulado (traducción propia): “¿Por qué era tan vulnerable Solarwinds a un ataque? Es la economía, estúpido” (Why Was SolarWinds So Vulnerable to a Hack?) que aúna algunos temas que nos pueden interesar aquí: la ciberseguridad, los aspectos económicos (no olvidemos que la informática es un medio para conseguir los objetivos de las empresas y las organizaciones) y cómo podemos enfrentarnos a la informatización como sociedad.


Cuando hablamos de ciberseguridad, existe una importante asimetría informativa: abreviando mucho, nos decía que los compradores no siempre tienen la capacidad para juzgar adecuadamente los productos informáticos ni las prácticas de las empresas proveedoras. Existe, además, un problema de incentivos, puesto que el mercado anima a las empresas a tomar decisiones en su propio interés. La conclusión era que la única forma de forzar a las empresas a proporcionar seguridad y protección es mediante la intervención del gobierno, a través de una combinación de leyes y regulaciones.


Los gobiernos deben estar al tanto para aprovechar las ventajas socioeconómicas que aportan nuevos servicios informáticos así como garantizar la protección y acceso de la ciudadanía. En este sentido, una ley como la que se está discutiendo es oportuna a la par que necesaria.


También es oportuna por el carácter prescriptivo de las regulaciones: probablemente las empresas y organizaciones que carecen de los recursos necesarios para tomar algunas decisiones tecnológicas, o que son más conservadoras, adquieran la confianza necesaria al existir una regulación en la que fijarse.


Como hecho notable, la ley plantea la existencia de la calificación como Solución Cloud Certificada: este podría ser uno de los instrumentos que proporcionen seguridad y garantías a las posibles personas usuarias.


Comentaremos a continuación algunos aspectos de la ley.


Echamos de menos, aunque probablemente no corresponda a la ley, la recomendación de acudir a una diversidad de proveedores. De hecho, en el artículo 10, ‘Condiciones de uso de las tecnologías Cloud.’ se alude directamente a la homogeneidad, que parece contrapuesta a la diversidad, tan valiosa desde muchos puntos de vista, también en tecnología. Por falta de tiempo no lo comentaré, pero recomiendo buscar el texto sobre la monocultura informática de Dan Geer (sobre el tema: Warning: Microsoft 'Monoculture') y los problemas que estaba causando alrededor del año 2004. Por cierto, esa monocultura era tan exagerada en aquel momento que Geer fue despedido de su empresa como resultado de sus afirmaciones.

En los temas relacionados con la informática se observa con frecuencia el denominado efecto Mateo: «el rico se hace más rico y el pobre se hace más pobre» que produce una cierta tendencia a la concentración de servicios en pocos proveedores; estos pueden sentir la tentación de sacar partido de esta acumulación.
La ley alude a la portabilidad de soluciones para evitar estos problemas, pero ya hemos visto en el pasado (por ejemplo, con los sistemas operativos) que esas tendencias son muy difíciles de contrarrestar.


En el artículo 13, apartado e, se habla de la seguridad desde el diseño. Es agradable ver ese tipo de recomendaciones, que llevamos cerca de 20 años haciendo desde nuestros ámbitos de influencia. Tal vez habría que añadir que se haga siempre basado en los análisis de riesgos. Es cierto que se alude al Esquema Nacional de Seguridad y el Reglamento General de Protección de Datos que ya incorporan estas ideas, pero tal vez valga la pena recomendarlo aquí también. La seguridad perfecta no existe, y los recursos infinitos para tratar de alcanzarla tampoco. Muchas veces, ni siquiera tiene sentido prestar atención a todos los riesgos.


En el apartado IV de la ‘Exposición de motivos’ y en el artículo 21, ‘Requisitos’, apartado b, parte 2, se indica: ‘Estar en posesión de todas las certificaciones de cumplimiento de requisitos vigentes en materia de seguridad de la información, seguridad para los servicios Cloud, la protección de identificación personal en nubes públicas, y las que se determinen en cada momento.’
La última frase parece concretar un poco la exigencia pero, a priori, hacer referencia ‘todas las certificaciones de cumplimiento …’ sin concretar ninguna legislación ni marco de referencia podría ser considerado como muy exigente.


Sobre el artículo 22, ‘Procedimiento’, se dice: ‘La valoración técnica para el otorgamiento de la calificación se efectuará por una comisión técnica de evaluación …’ sin aclarar si esta valoración técnica será un informe positivo/negativo, o si existirá alguna rúbrica o instrumento similar. Tampoco si sería necesario algún tipo de acuerdo de la comisión a la hora de emitirlo (mayoría, unanimidad, …) o la posibilidad de otras particularidades, ni si la valoración es vinculante o no. Finalmente, notar que la comisión tiene un número mínimo par de integrantes


En el artículo 24, ‘Validez’ referido a la certificación se habla de dos años; nos preguntamos aquí si no será un proceso demasiado intensivo y debería pensarse en periodos más largos con la capacidad por parte de los gestores de limitarla o cancelarla en casos de incumplimiento, tal y como está previsto en el artículo 27. Esos dos años de validez y los tres meses de tiempo disponible para otorgar la calificación a un proveedor puede algo pasar más del 10% del tiempo pendiente de calificación.

Finalmente, y como riesgo externo, conocemos la celeridad en añadir legislación en algunas ocasiones relativa a los procesos administrativos y nos preguntamos si no tendría sentido indicar que la certificación lleve implícita la adaptación a los cambios legislativos que puedan suceder durante el periodo de validez. Las leyes hay que cumplirlas siempre, y seguro que los proveedores lo harán, pero tal vez convendría recordarlo en los requisitos.


Sobre el artículo 26, ‘Obligaciones’ se indica, en el apartado d, ‘Identificar y notificar a Aragonesa de Servicios Telemáticos aquellas brechas de seguridad de la información que afecten a los datos alojados o que constituyan un riesgo para los derechos y libertades de las personas.’. Puesto que la ley se aplica al sector público autonómico, tiene sentido lo que se dice. Pero cuando esta ley tenga efecto en que otras administraciones y las empresas utilicen estos servicios, convendría aclarar el alcance y los interesados en esas notificaciones. De manera similar podríamos referirnos al apartado e y el f.


Parecen muy oportunas las medidas de los artículos 32, y 33, ‘Medidas de impulso relacionadas con la capacitación profesional.’ y ‘Medidas de impulso relacionadas con la formación reglada.’ así como el artículo 31, ‘Medidas de impulso y fomento dirigidas al sector privado.’

La Universidad de Zaragoza ya ha empezado su camino formativo (más allá de la formación reglada) en las materias relacionadas con la nube. No las detallo por la limitación de tiempo, pero estaremos encantados de compartirlas con ustedes.

Se echa de menos, sin embargo, en el artículo 34, ‘Medidas relacionadas con el fomento de la confianza digital.’ la divulgación del conocimiento: no se trata de formación, pero sí de informar y concienciar a la ciudadanía sobre las soluciones, generando ese clima de confianza al que alude el título. Parece un artículo más orientado al acceso de la información en sí y tal vez sería conveniente completarlo proporcionando información sobre las tecnologías que permiten el acceso a esa información, para las personas que puedan estar interesadas.


No se detallan mucho los posibles conflictos (ya sabemos que hay leyes) técnicos y tecnológicos (interoperabilidad, protocolos, federación,...). Muchas veces la batalla por las formas de acceso se esconde detrás de la tecnología. También los judiciales y administrativos (ámbito, cuando algunas de las empresas van a ser transnacionales, consecuencias, …). Estos últimos, probablemente, serán discutidos por otras personas intervinientes.


Termino con un par de comentarios sobre el lenguaje.


Primero, un comentario menor sobre la definición de API, creo que sería Application Programming Interface (en singular).


Segundo, el uso de la palabra ‘cloud’ se hace de manera amplia a lo largo de todo el documento y parece correcto incluirlo puesto que se trata de un estándar de facto a nivel mundial. No obstante, y dado que la palabra nube es un buen equivalente para referirse a lo mismo, tal vez tendría sentido tratar de evitar el anglicismo cuando sea posible. Por ejemplo, en la Comisión para las Tecnologías Cloud que se define en el artículo 39, podría utilizarse la denominación Comisión para las Tecnologías en la Nube o similar.



Seguramente en los debates alrededor de esta ley se ha hablado de la soberanía tecnológica. Esta soberanía necesita recursos, personal técnico, compromisos y decisiones. Ojalá esta ley ayude a que el tejido industrial relacionado con la nube crezca y se desarrolle y las licitaciones del futuro puedan adjudicarse a empresas locales que encuentren el caldo de cultivo adecuado al amparo de esta ley. A lo mejor, basadas en soluciones desarrolladas o con contribuciones desde Aragón.



Muchas gracias, quedo a su disposición.


Zaragoza, 28 de julio de 2022.

Fernando Tricas García


Fue un honor representar a nuestro Departamento y tratar de contribuir a que nuestros representantes tengan más información y opinioones sobre estos temas.

Casualmente, hace unos días veía el vídeo (también de Bruce Schneier) sobre The Story of the Internet and How it Broke Bad: A Call For Public-Interest Technologists) donde nos recordaba a los tecnólogos que tenemos que intervenir en los temas de los políticos. Altamente recomendable e inspiradora.

Una buena forma de despedirnos hasta después de las vacaciones.

Ha tenido un pequeño reflejo en prensa:

Un experto de Unizar cree "oportuna y necesaria" la Ley de Tecnología Cloud

Un experto de Unizar cree "oportuna y necesaria" la Ley de Tecnología Cloud

Un experto de Unizar cree "oportuna y necesaria" la Ley de Tecnología Cloud

Esta entrada se publicó previamente en En las Cortes de Aragón hablando sobre le proyecto de ley de la nube.

Puedes enterarte de las notas nuevas en: @reflexioneseir (Twitter), Reflexiones e Irreflexiones (Página de Facebook), Reflexiones e Irreflexiones (Canal de Telegram), fernand0 (en LinkedIn), @fernand0 (en Medium), Mastodon.

2022-08-01 17:25 | 0 Comentarios | In English, please | En PDF | Para enlazar # |
| Compartir/Share | por correo | en Twitter | en LinkedIn | en Facebook | en Google+ | en Delicious |

2022-07-25

Tomar control de las herramientas y de nuestra actividad. Un experimento.

Mecanismos
Casi siempre que leemos sobre medios sociales nos dicen las mismas cosas: reducir, eliminar, malo, malo, malo... Sin embargo, para la mayoría esto no es ni realista ni práctico y eso parece demostrar un estudio (pequeñito) donde Matthew Salganick nos cuenta un experimento que hizo con sus estudiantes sobre el uso y gestión de las herramientas sociales. La idea era probar tres estrategias: restringir (sin llegar a eliminar) el uso, aumentar el uso activamente, y eliminarlo completamente.
Se puede leer en Improving Your Relationship with Social Media May Call for a Targeted Approach.

La idea era ver qué sucedía con cada uno de los grupos, claro.

Lo que esperaban era que los estudiantes que limitarn el uso (por contraposición a los que lo incrementaban) mejorarían su sensación de bienestar, soledad, productividad y calidad de sueño.


We expected that students who limited their use—as opposed to increasing it—would benefit more in terms of personal well-being, loneliness, productivity, and sleep quality.


Pero la realidad es que los que obtuvieron mejores resultados fueron los que lo diseñaron una estrategia de uso adecuada. Por ejemplo, nos dice, evitar utilizar Instagram en la biblioteca.


But it turns out that the students who saw the most positive outcomes were those who designed their social media intervention in a targeted way – like avoiding Instagram while in the library.


Parece que tratar de alcanzar objetivos realizables y no muy disruptivos es más beneficioso y alcanzable que cualquier otra estrategia.


In other words, changes that should be the easiest to try — small interventions students could stick to long-term — had the most positive effects.


Los estudiantes fijaban sus objetivos. Cosas como mejorar el sueño o perder mensos tiempo.


For example, some students were interested in improving their sleep and others were interested in wasting less time.


Lo que descubrieron fue que los estudiantes que eligieron una intervención con algún objetivo (aumentar o disminuir el uso) fueron los más beneficiados desde el punto de vista del bienestar.


Students who designed a targeted intervention—either a decrease or an increase in use—experienced the greatest benefits to their overall well-being.


Sin embargo, los que hicieron cambios genéricos (por ejemplo borrar aplicaciones) no experimentaron un gran beneficio.


Students that made untargeted changes, such as deleting apps, tended not to experience as much benefit.


Nos dice que, claro, probablemente los que hacían cambios selectivos sabían basatante bien cuáles eran los usos peores para ellos.


This difference is probably because many students already had strong intuitions about which parts of their social media use were harming them.


En cuanto a la limitación, había fundamentalmente tres estrategias: limitar el tiempo, añadir fricción (que cueste un poco más usar la herramienta), o evitar algunas caracterísiticas particulares.


limiting time (e.g., only using social media 30 minutes a day, no using Instagram after 8pm);
adding friction (e.g., moving the social media apps from their phone’s home screen); and,
avoiding specific features (e.g., not using the NewsFeed but continuing to use other parts of Facebook).


Los beneficios de estos estudiantes eran una mejora del bienestar (aproximadamente la mitad de ellos), menor sentimiendo de soledad (un tercio), mejor sueño (la mitad dormían mejor y el resto no notaron cambios), más interacción en persona (la mayoría) y uso del teléfono disminuyó (mayoría).
Muchos de ellos adoptaron las limitaciones de forma permanente, para continuar con ellas después del fin del experimento.


Many students adopted their limitation after the treatment period ended: About half stuck to their intervention, even after the class activity was over.


Los del uso incrementado también experimentaron una mejora del bienestar (más del 60%), la mitad se sentían menos estresados, ansiosos y solitarios (un tercio).
También adoptaron el nuevo uso como más permanente.


Many students adopted their intervention after the treatment period ended. Interestingly, more than 40% also continued their increased use long-term. Most of these students had increased some type of active engagement, such as direct messaging with friends or regularly posting photos and videos on Instagram or TikTok.


Entre los que eliminaron el uso de, al menos, una aplicación social no se podía observar un patrón general.

La mitad decían que no observaban cambios y de la otra mitad, unos mejoraban su bienestar y los otros lo empeoraban (aproximadamente igual). Un 70% sintío menos estrés y ansiedad, pero los restantes sentían más. La sensación de soledad empeoró o no cambió (un tercio). La productividad tampoco muestra una tendencia: la mitad dicen que mejora y la otra mitad no nota cambios. La calidad de sueño mejoró para la mitad y para un tercio empeoró. La mayoría sí que mejoró en sus interacciones personales. También decreció para la mayoría el uso del teléfono y la mayoría volvieron a sus costumbres anteriores.

En definitiva, parece que lo más eficaz es intentar una aproximación con algún objeitov.


Our main takeaway is that, if you want to reduce social media’s harmful effects on you and increase its benefits, the most effective approach may be to try a targeted intervention.


Esto, si lo pensamos, puede ser un problema porque muchas veces nos dejamos llevar. Además, la intervención puede ser diferente para cada persona. Todavía hay otra cuestión y es que los estudiantes eligieron.


We want to point out several caveats. First, this targeted invention will vary from person to person. [...] Also, because students designed their own treatment—rather than having it assigned to them—it is hard to rule out the possibility that certain kinds of students might have self-selected into targeted interventions.


Creo que ya habíamos puesto por aquí cosas en esta línea, ¿Te controlan las herramientas?.
En mi opinión, tomar el control de lo que se hace (y eso es lo que hacían, en definitiva, los que aumentaban o limitaban, pero no eliminaban) mejora nuestra vida, y elimina algunos inconvenientes.
Esto no lo verás en las noticias (como está de moda decir en Twitter ahora), que lo que les interesa es que disminuyas ciertos tipos de consumos y aumentes otros.

Puedes enterarte de las notas nuevas en: @reflexioneseir (Twitter), Reflexiones e Irreflexiones (Página de Facebook), Reflexiones e Irreflexiones (Canal de Telegram), fernand0 (en LinkedIn), @fernand0 (en Medium), Mastodon.


<Octubre 2022
Lu Ma Mi Ju Vi Sa Do
          1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30
30 31