Digitales en cuerpo y alma

Carmen Menchero de los Ríos    11 marzo, 2020

A Internet le ha bastado medio siglo para hacerse indispensable en nuestras vidas. Hasta el punto de que, según un reciente estudio, los consumidores europeos valoran la banda ancha más que la salud o el sexo. Y es que la tecnología no solo ha alterado nuestros hábitos, sino que va camino de apoderarse de nuestra alma. La alargada sombra de la digitalización empieza a cubrir con su manto aspectos de nuestra vida que nos definen específicamente como humanos: nuestra dimensión más trascendente.

Sí, habéis leído bien. No me refiero a la automatización de puestos de trabajo y su impacto en el mercado laboral. Tampoco a las bondades de la tecnología en campos como la industria o la medicina. Es que la inteligencia artificial llega al arte o a la religión, sin olvidar cuestiones mucho más mundanas como el erotismo, aspecto diferencial de la sexualidad humana respecto a otras especies. 

¿Estaremos abocados a convertirnos en una civilización de cíborgs? Me temo que no es la ingeniería de última generación quien puede responder, sino las disquisiciones de filósofos y metafísicos.

Digitalización de nuestros espacios más íntimos

No descubro la pólvora si os recuerdo los nuevos horizontes que las redes sociales abren para el intrincado mundo de las relaciones humanas. Hace ya más de una década que un prestigioso periódico económico incluía en la categoría de “hecho insólito” la digitalización de la profesión más vieja del mundo. No ya por la globalización de un mercado casi universal desde que el mundo es mundo, sino por las facilidades de camuflaje que la tecnología ofrecía ya por aquel entonces para sortear la legalidad. Otros, sin embargo, han experimentado los daños colaterales de su afán por contabilizar y compartir en la Red sus logros personales. Es el caso de los usuarios de las pulseras de actividad que, al parecer, no son aptas para infieles incautos, que corren el riesgo de ser “pillados” a través del dispositivo que les regaló su suegra en las últimas Navidades.   

Y es que la invasión digital de nuestros espacios más íntimos es un hecho. Para muestra un botón: en las últimas ediciones de una de las ferias tecnológicas más importantes del mundo, el CES, los juguetes eróticos han sido los protagonistas.

La feria ha tenido este año que rendirse a los mandatos del mercado para tender la alfombra roja a una muchacha que, de forma inusitada, en 2019 ganó y a la que se le negó el galardón en la categoría de drones y robótica porque el artefacto premiado era  un dispositivo de estimulación femenina. Por lo que parece, la conjunción de tecnología y mercado está llevando a la organización a replantearse la idea de lo que se considera moral o inmoral.

Realidad virtual para «recuperar» a seres queridos fallecidos

Esta reflexión nos deriva a los intricados senderos de la ética en temas tan espinosos como la pérdida de un ser querido. La tecnología aún no ha conseguido cumplir la promesa de regalarnos la inmortalidad, pero sí es capaz de crear la ilusión de burlar a la muerte. Sin embargo, cada vez son más las voces que claman por establecer límites en temas tan delicados. Una cosa es que la realidad virtual nos permita materializar en hologramas a artistas que ya murieron y otra muy distinta jugar con emociones tan profundas como el dolor de una madre que, por unos momentos, recupera a su pequeña hija ya fallecida, como recoge el documental coreano Meeting You.

El «robot sacerdote»

Pero la cosa no termina aquí. Ya hay hasta quien interpreta las cuestiones del alma en clave digital: ha llegado el “robot sacerdote”. Parece que en cuestiones espirituales big data y sus complejos algoritmos tienen mucho que decir. En Kioto hay un templo budista con más de cuatrocientos años en el que los fieles son guiados por un robot capaz de interactuar con ellos. Se llama Mindar y no es el primero. Rituales hindúes y protestantes han realizado experimentos similares.

Más allá de la anécdota, este tipo de experiencias nos hacen preguntarnos si la confluencia entre tecnología y religión solo busca atraer curiosos, aspira a reducir costes o refleja una nueva realidad que asciende la tecnología hasta los altares, como el nuevo dios de nuestro tiempo. Más allá de las creencias de cada cual, lo cierto es que las distintas religiones reflejan los valores y prioridades de las sociedades a las que sirven. En el pasado se esperaba que los dioses propiciaran buenas cosechas. Más tarde su función fue la de facilitar normas de convivencia y me pregunto si hoy en día no estaremos sucumbiendo a la adoración de un mundo virtual en el que encontramos mayor consuelo que en la fe.

Tecnología con arte y que siente el dolor

Como reducto de lo más elevado del espíritu humano aún nos queda el arte. Pero este ámbito tampoco está libre del pecado digital. Varios ensayos han demostrado ya cómo una máquina puede, con cierta solvencia, escribir una novela o componer una melodía. A medio camino entre la industria del ocio y la expresión cultural, de nuevo el mercado manda y compañías como Spotify han explorado las posibilidades de big data para adelantarse a los deseos de los usuarios (y de paso, ahorrar costosos derechos de autor).

Sin embargo, me resisto a creer que una auténtica obra de arte se pueda reducir al estrecho marco de una acertada combinación de ceros y unos. El arte, como proceso de creación, solo nace de lo más sublime del alma humana. Si no lo entendemos así y pensamos realmente que una máquina, por muy sofisticada que sea, puede remplazar ese milagro hay que reconocer que nos estamos adocenando. Aunque también es cierto que hay un floreciente negocio de robots que ayudan a paliar la soledad de la tercera edad y hasta he leído que ya pueden sentir el dolor.

Por otro lado, a la vez que la tecnología cobra inteligencia, varios estudios afirman que los humanos cada vez somos menos listos. Quiero pensar que solo padecemos una atrofia temporal, deslumbrados por el horizonte de posibilidades que vemos ante nosotros. Queda la esperanza de que seamos capaces de recuperar una cierta dimensión trascendente. Encenderé una vela para rogar por ello, aunque sea ante el robot digital de alguna religión posmoderna.

Imagen: Michelle MacPhearson

La experiencia de un viaje comienza en el aeropuerto

Beatriz Sanz Baños    11 marzo, 2020

César comienza hoy sus vacaciones. Está muy emocionado porque va a ser la primera vez que viaje a Asia. Tiene por dejante un viaje apasionante donde descubrirá Vietnam y Camboya. Vemos cómo atraviesa el control de seguridad de la Terminal 4 del aeropuerto Adolfo Suarez Barajas de Madrid y se dirige hacia la terminal T4S.

Una vez sale del tren automático, que conecta ambas terminales, se encuentra delante con la tienda Dufry. Normalmente César atravesaría la tienda corriendo, pero aún tiene un par de horas para embarcar al vuelo por lo que decide atravesarla con calma buscando alguna ganga duty free. Se va dando cuenta de la multitud de pantallas que le rodean. La iluminación, música y sonido crean tal ambiente que dan la sensación de estar dentro de un espectáculo.

César se dirige hacia la zona de perfumes, y se da cuenta que los mensajes de las pantallas van cambiando. “Parece como si la sala te estuviera hablando directamente a ti y te dijese justo lo que necesitas”, piensa.

La automatización de la plataforma permite adaptar a los idiomas y los gustos de los pasajeros que se dirigen a su puerta de embarque la comunicación. La tecnología instalada permite conocer qué zonas son las más visitadas, qué es lo que se mira durante más tiempo, qué es lo que nos hace “click” o qué es lo que no nos interesa.

Finalmente vemos como César encuentra el producto que deseaba y se aproxima a la zona de cajas para pagar. Aquí empieza la experiencia de su viaje soñado; en la tienda Dufry del aeropuerto.

Conoce el caso de éxito completo y la experiencia de César de la mano de los protagonistas del proyecto en el siguiente vídeo:

Transformar la tienda para transformar la experiencia de compra

Las soluciones de Internet de las cosas personalizan la publicidad que se muestra en tienda según el perfil de quienes transitan el camino a la puerta de embarque. De tal forma que pasamos de transformar la tienda para transformar la experiencia de compra.

En el área de Internet de las Cosas de Telefónica acompañamos a empresas como Dufry en su viaje hacia la transformación digital. Así es como hemos conseguido que los consumidores de Dufry, una de las cadenas de tiendas duty free más importantes del mundo que cuenta con 2.200 establecimientos en 64 países, no sólo compren, sino que tengan una experiencia única en sus tiendas.

Todas las soluciones tecnológicas instaladas se encuentran integradas en la plataforma inteligente spotdyna de Telefónica.

Basándose en los datos que recopilan localmente, cada tienda puede ajustarse a las necesidades específicas del momento con cambios en el audio, el vídeo, la iluminación o los mensajes.

Una vez se recopilan los datos, se procesan en la plataforma que operan en la nube. Y por último, se lleva a cabo la parte analítica de la plataforma, donde el retailer puede conocer tanto los datos anonimizados relativos al propio negocio y lo que sucede en la tienda como los parámetros operativos de los dispositivos que están integrados en la plataforma.

Así podemos tener la información precisa para evitar al viajero aquello que le quita tiempo mientras se dirigen hacia su próximo destino.

Las tiendas Dufry ya están conectadas con las personas, una diferenciación respecto a la competencia que les permitirá posicionarse como líder en retail digital.

Y tú, ¿también piensas que las tiendas te hablan y ayudan en tu compra?

LUCA Store: Aumentamos la fidelidad de los clientes
El corazón de los aeropuertos late con IoT

Para mantenerte al día con el área de Internet of Things de Telefónica visita nuestra página web o síguenos en TwitterLinkedIn YouTube.

5 tipos de modelos de negocio innovadores

Carlos Rebato    10 marzo, 2020

Un negocio innovador no solo es aquel que genera nuevas ideas constantemente, sino también el que logra darles vida y forma a esas ideas al generar modelos de negocio que van más allá de las expectativas del mercado. Esto le permite diferenciarse de sus competidores y tomar distancia del resto del entorno en general.

Son estas las características que todo negocio innovador debe tener para considerarse así. Sin embargo, un gran porcentaje de gerentes, no se cuestiona acerca del modelo de negocio de su empresa (Prim, s.f.).

Una de las claves del éxito es plantearse cómo desarrollar modelos de negocio innovadores. Y no solo quedarse allí: se debe investigar qué otros tipos de modelos de negocio funcionarían para la empresa. Esta es una tarea prioritaria que debe ejecutar quien tenga una responsabilidad gerencial ya sea en una Startup, una pyme o una compañía afianzada en el mercado.

Sabemos que generar un modelo de negocio innovador es una tarea ardua. Por ello, aquí presentamos cinco opciones que te ayudarán a dar ese paso adelante.

Identidad

Antes de embarcarnos en conocer estos modelos de negocio, se deben tener en cuenta 6 rasgos fundamentales que ayudarán a que nuestra empresa comience a desarrollar nuevas ideas, a generar nuevas fuentes de ingresos y logre un plan de negocio innovador.

1. Habilidad para encontrar oportunidades

Tener una visión aguda para identificar opciones de negocio donde los demás no las ven es clave. El equipo de trabajo debe reconocer si un hallazgo es afortunado o si es más de lo mismo.

2. Logros progresivos

Innovar es un proceso gradual. Una de las claves está en promover iniciativas que generen valor, más allá del largo, mediano o corto plazo. Los resultados deben tener avances visibles. Se debe diferenciar de los negocios tradicionales, en los que se invertían meses, hasta años de trabajo.

3. Tolerancia al fracaso

Si los planes y objetivos que te planteaste no se desarrollan como esperabas, no debe ser un problema. Innovar conlleva riesgos, y una de las características de los negocios innovadores es tolerar los traspiés. Además, debes asumir los errores propios como parte del constante aprendizaje.

4. Investigación y trabajo en equipo

Por lo general, las innovaciones se producen de manera colectiva. No es usual que se logren individualmente, pues el trabajo en equipo estimula la creatividad. Un grupo de trabajo bien capacitado, con roles y funciones definidas, es el ideal.

5. Pequeños proyectos, objetivos enormes

Un negocio innovador primero piensa en chico; luego, en grande. Prestar atencióna metas cumplibles y a corto plazo permite enfocarse luego en las grandes.

5 Modelos de negocio innovadores

Con esta información, empezaremos a ver qué tipos de modelos de negocio innovadores existen y cómo pueden ayudar en la creación de una empresa disruptiva.

1. Plataformas multilaterales

Este modelo de negocio reúne a varios actores o grupos de clientes interesados en una propuesta que les genere valor. Son las plataformas multilaterales quienes proporcionan un canal de interacción entre los grupos.

De esta manera, el valor de la plataforma aumenta de acuerdo al número de usuarios que la utilizan.

El ejemplo más exitoso es Google. La mayoría de sus usuarios no pagan por sus servicios, pero se generan beneficios por el porcentaje de empresas o personas que sí lo hacen. Dichas empresas pagan, ya que detrás hay millones de usuarios gratuitos. Estos usuarios son el público objetivo de las empresas anunciantes.

2. Afiliación

Para desarrollar este modelo, la empresa que ofrece sus productos y servicios genera una recompensa para los proveedores, compañías o personas que traigan más clientes o negocios.

En ese sentido, ante cada nuevo cliente o negocio que traiga algún involucrado en mi cadena, yo le daré algún descuento o pago. Muchas veces se dan comisiones sobre los negocios realizados, así que la recompensa solo se obtiene si se genera una venta efectiva.

Como ejemplo están las compañías de contact center bilingües, las cuales dan un bono a cada colaborador que lleve un nuevo empleado que firme contrato.

3. Cola larga

Este modelo, cuyo nombre surgió en 2004, se caracteriza por ofrecer una amplia oferta de diversos productos de baja demanda. Esta idea surge a raíz del Principio de Pareto, que explica que el 80 % de la población compra solo el 20 % de los artículos del mercado.

Por ello, las grandes compañías se limitaban a producir y vender productos de solo ese 20 % de artículos. Esto deja un amplio mercado, que es muy rentable y da excelentes beneficios gracias a un gran volumen de pequeñas ventas.

Se trata de un modelo que ahora resulta más factible debido al volumen de ventas que se hacen por Internet y en un mercado global. Generar un modelo de negocio de cola larga es una idea innovadora en un mercado repleto de lo mismo. Como ejemplo, están las tiendas de productos diversos y poco convencionales que se encuentran en Amazon o Ali Express.

4. Freemium

En este tipo de modelo, una de las partes que intervienen se beneficia de forma gratuita. Por otro lado, un segmento de los clientes financia los productos y servicios. De esta manera, encontramos periódicos como Publímetro, que se regala en todo el mundo. Sus fuentes de ingresos son los pautantes y convenios.

En Internet, estos modelos de negocio han crecido vertiginosamente, pues la publicidad o modelo freemium soporta muchos negocios y productos. Todas las aplicaciones o páginas que te ofrecen un servicio de manera gratuita funcionan así.

5. Cebo y anzuelo

También conocido como el modelo de productos atados, consiste en ofrecer un producto inicial a un precio muy bajo. Este producto, conocido como cebo, puede incluso dar pérdidas para la compañía que lo ofrece. Sin embargo, se cobran precios muy elevados a los productos asociados.

Por ejemplo, en el mundo del software empresarial, las licencias de los programas se venden a un costo bajo. Como contrapartida, el mantenimiento, la capacitación, las actualizaciones y los repuestos son muy costosos: el anzuelo.

Bonus

Además de estos modelos de negocio innovadores, existen otros modelos que, si se aplican a un plan de negocio innovador, pueden generar efectos disruptivos.

1. Franquicia o licencia

Son conocidas por ejemplos exitosos, como Subway o KFC. En este modelo de negocio se explota la marca de empresas que cuentan con productos y servicios consolidados y reconocidos en el mercado.

Esto se realiza bajo la supervisión del dueño o administrador del negocio. De esta manera, la cabeza de todo el emporio, generalmente, maneja el suministro de materias primas.

Una posible innovación es crear páginas web que se repliquen como franquicia en otros países o regiones.

2. Suscripción

Uno de los modelos de negocio clásico. Llevado a diversos sectores de la economía, se transforma en un emprendimiento diferente y novedoso. Consiste en un usuario que paga una suscripción y a cambio recibe un producto, servicio o propuesta de valor que compensa la cuota que abona.

Hoy en día, encontramos suscripciones que se compran por Internet y envían los productos al hogar. También es posible suscribirse a cervezas de diferentes partes del mundo o a mercados de lujo. En cuanto a servicios, existe un universo de posibilidades y ejemplos: Netflix, noticias, contenido exclusivo. Existen otros modelos de negocio innovadores, pero todos tienen algo en común: ser disruptivos generando propuestas nunca antes vistas.

Foto de Antenna en Unsplash

Cómo encontramos cinco vulnerabilidades en los Router D-Link 859

Miguel Méndez    Pablo Pollanco    10 marzo, 2020

En el Centro de Investigación de Seguridad de Telefónica Chile decidimos realizar una búsqueda de vulnerabilidades en dispositivos que pudiesen presentar algún tipo de riesgo, de fácil acceso y consumo masivo a través de artefactos no necesariamente costosos ni robustos y que estuviesen al alcance de cualquier usuario común. Teniendo presente esta idea, miramos nuestro espacio de trabajo y centramos nuestro foco en el Router D-Link modelo DIR859 del que disponíamos.

Router DLink 859

Las características de este router son bastante básicas. Se trata de un dispositivo común para tener WiFi en un hogar o en una pequeña oficina. Esta simplicidad reduce considerablemente los vectores de ataque pero a su vez dificulta la búsqueda de vulnerabilidades para dicho equipo.

Quisimos llevar este dispositivo a otros escenarios para comenzar a investigarlo. El primer paso fue leer su manual por si encontrábamos algo interesante y después hicimos un pentesting a toda la aplicación web para intentar encontrar algún bypass o lo que siempre se espera encontrar: una “ejecución de código” en uno de sus módulos.

Buscando la ejecución con fuzzing

Para esta primera instancia del análisis utilizamos técnicas de fuzzing a un nivel más de usuario, como por ejemplo sus servicios, protocolos y aplicaciones web. Las automatizamos con un pequeño desarrollo llamado BurpFuzz, un plugin para BurpSuit que permite crear plantillas a elección para el fuzzer “Boofuzz” de cada solicitud capturada.

Después de un par de semanas jugando con los fuzzer no encontramos vulnerabilidades críticas, sólo de baja severidad. Así que el siguiente camino fue realizar un análisis más dinámico y a bajo nivel (Reversing/Assembly).

Reversing del firmware

Empezamos buscando la última versión de firmware “1.06b01 Beta01” que utilizaba el dispositivo. Tras descargarlo, procedimos a descomprimir el archivo para obtener su estructura de archivos e iniciar un nuevo análisis, búsqueda de credenciales por defecto, servicios ocultos, claves privadas…

Después de todo este tiempo sólo obtuvimos un par de corrupciones en binarios que se ejecutaban desde Busybox y que no eran herramientas del Router propiamente dichas.

Pero seguimos mirando un poco más hasta que dimos con el binario “/htdocs/cgibin”. Este binario maneja los valores, en gran parte, como variables de entorno y es el intermediario entre la aplicación web, el servidor y los códigos fuentes.

Después de entender la función que cumple este binario, pudimos interceptar de forma precisa solicitudes de distintos tipos como HTTP/UPnP y métodos únicos que son utilizados por estos protocolos. Analizando un par de solicitudes nos dimos cuenta de que ciertos valores eran procesados por el este archivo “/htdocs/cgibin”. Desde este punto aplicamos técnicas de ingeniería inversa para poder entender dónde y cómo eran manejados estos valores por el binario.

Con las horas, días y semanas que dedicamos al análisis, sentíamos que estábamos cerca de algo importante y seguimos comprendiendo más y más sobre cómo operaba el router con cada depuración. De esta manera pudimos identificar finalmente las funciones (genacgi_main(), ssdpcgi_main() y phpcgi_main()) que validaban los valores mencionados anteriormente y que controlábamos. Por fin lo habíamos encontrado.

Nos centramos en las funciones sospechosas (y vulnerables)

Ahora explicaremos de forma breve las funciones que encontramos y que además nos permitieron obtener una “ejecución de código remoto (RCE) no autenticado y filtración de información no autenticado” en el dispositivo:

  • La función genacgi_main() permite recibir solicitudes de suscripción con el método SUBSCRIBE y notificar eventos generales entre dispositivos. Utilizando el mismo método más una variable “service” que es enviada en la URI, nosotros podemos reemplazar su valor para obtener una ejecución de código remoto.
  • La función ssdpcgi_main() realiza un descubrimiento de servicios utilizando el método M-SEARCH. Cuando se realiza una solicitud de descubrimiento, ésta contiene en su cabecera el valor de ST, que se utiliza para buscar un target. Esta búsqueda de target permite la ejecución de código al concatenar un comando al valor de búsqueda.
  • La función phpcgi_main() procesa todas las solicitudes HTTP de tipo HEAD, GET o POST. Dentro de estas solicitudes existe una validacion de sesión de usuario, la cual se puede evitar agregando un nuevo valor a la variable AUTHORIZED_GROUP, de manera que podemos obtener lecturas de archivos como configuraciones de acceso o VPN.

Puedes saber más sobre el protocolo UPnP y su arquitectura aquí. Pero estas funciones afectadas se encontraban, por supuesto, en más productos, como se detalla en esta imagen:

Productos con las funciones afectadas

Tras avisar al fabricante, los CVE-ID asociados a las vulnerabilidades (que ya disponen de parche) son:

  • CVE-2019-20217 – (afecta variable SERVER_ID método M-SEARCH).
  • CVE-2019-20216 – (afecta variable REMOTE_PORT método M-SEARCH)
  • CVE-2019-20215 – (afecta variable HTTP_ST método M-SEARCH)
  • CVE-2019-17621 – (afecta variable REQUEST_URI método SUBSCRIBE)
  • CVE-2019-20213 – (afecta variable AUTHORIZED_GROUP)

A continuación te dejamos una lista de enlaces con un análisis en profundidad y detallado de las vulnerabilidades de ejecución de código e Information Disclosure no autenticado.

Plan de igualdad laboral: obligaciones, redacción, plazos y multas

Raúl Alonso    10 marzo, 2020

La justicia social avanza con paso más firme cuando es respaldada por el  Legislativo. Desde el pasado 7 de marzo, las empresas con más de 150 empleados están obligadas a aprobar su plan de igualdad.

Esta norma será obligatoria en 2022 para todas las empresas con más de 50 trabajadores. Te explicamos cómo abordar su redacción.

Sorprende el poco ruido que un Decreto-Ley, en principio tan transformador, está mereciendo. Pero una parrilla informativa candente no exime al empresario del cumplimiento de la Ley, que en escasos 24 meses obligará a todas las empresas de más de 50 trabajadores a contar con un plan de igualdad laboral, como ya lo hace con las de más de 150 empleados. 

Su objetivo es que las empresas adopten medidas para evitar cualquier tipo de discriminación laboral por razones de género. Esther Carbonell, responsable del Área  Legal de GB Consultores, nos explica las claves de este Real Decreto que modifica siete leyes y “que sin duda incide de forma directa en la igualdad entre hombres y mujeres”.

Plazos para la aprobación del Plan de Igualdad

Para facilitar su implantación, el Real Decreto Ley de Medidas urgentes para la igualdad de mujeres y hombres en el empleo y la ocupación (de 6 de marzo de 2019) ha establecido un calendario gradual, que dice: 

  • Empresas de más de más de 150 empleados, desde el 7 de marzo de 2020.
  • Empresas de 101 y hasta 150 empleados, desde el 7 de marzo de 2021.
  • Empresas de 50 a 100 empleados, desde el 7 de marzo de 2022.

Sanciones por incumplimiento

Conviene saber que no cumplir, o hacerse el remolón, puede conllevar multas:

  • Falta grave con multa de 625 a 6.250 euros. En los supuestos de no tener el plan de igualdad, o tenerlo y no cumplirlo, o que no cumpla con el contenido mínimo.
  • Falta muy grave con multa de 6.251 a 187.515 euros. Cuando la obligación de realizar el plan de igualdad sea por exigencia de la autoridad laboral.

A qué contenidos mínimos obliga

Desde GB Consultores recuerdan que su redacción implica un diagnóstico previo y la negociación con la representación legal de las personas en la forma que se determine en la legislación laboral (artículo 46.2 de LOIMH)

Por lo tanto, “el plan de igualdad es un traje hecho a medida, pues cada empresa tendrá unos objetivos que alcanzar, por ejemplo, si marca como objetivo conciliación laboral y familiar, deberá establecer medidas de flexibilidad horaria, etc.”.

Las nueve áreas de actuación que se consideran como contenido mínimo son:  

  1. Proceso de selección y contratación.
  2. Clasificación profesional.
  3. Formación.
  4. Promoción profesional.
  5. Condiciones de trabajo, incluida la auditoría salarial de mujeres y hombres.
  6. Ejercicio corresponsable de los derechos de la vida personal, familiar y laboral.
  7. Infrarrepresentación femenina.
  8. Retribuciones.
  9. Prevención del acoso sexual y por razón de sexo.

Conceptos clave del plan de igualdad laboral

1. El registro salarial

Esta ley introduce la obligación de llevar el registro salarial. En la práctica supone que el empresario debe reflejar los valores medios de los salarios, los complementos salariales y las percepciones extrasalariales de su plantilla.

Estos deben estar desagregados por sexo y distribuidos por grupos profesionales, categorías profesionales o puestos de trabajo iguales o de igual valor.

De nuevo Carbonell hace una importante llamada de atención: “Cuando en una empresa con al menos 50 trabajadores, el promedio de las retribuciones a los trabajadores de un sexo sea superior a los del otro en el 25% o más (tomando el conjunto de la masa salarial o la media de las percepciones satisfechas), el empresario deberá incluir en el registro salarial una justificación de que dicha diferencia responde a motivos no relacionados con el sexo de las personas trabajadoras”.

2. La brecha salarial

Este registro tiene como uno de sus objetivos acabar con la llamada brecha salarial entre hombres y mujeres: “Si se realiza un trabajo de igual valor, tanto hombres como mujeres deberán recibir las mismas percepciones”.

Además, se debe hacer desde una perspectiva que armonice los espacios de familia y trabajo de una forma más equitativa, como ya empieza a ocurrir con los permisos de paternidad.

3. La infrarrepresentación femenina

Se puede definir como la mínima proporción de mujeres en determinados puestos de trabajo.

Lo habitual es que disminuya a medida que se asciende en la jerarquía piramidal, como queda patente en la escasísima representación femenina en los consejos de administración. En la práctica esto supone un alejamiento de la mujer de la toma de decisiones.

Fases en la elaboración de un plan de igualdad

De nuevo seguimos el modelo facilitado por GB consultores. Estas son las principales tareas que se deben desarrollar en cada fase:

  1. Compromiso de la organización: implica una toma de decisión, comunicación, definición del equipo de trabajo.
  2. Comité o comisión permanente de igualdad: creación del equipo de trabajo.
  3. Diagnóstico: planificación, recogida de información, análisis y presentación de propuestas.
  4. Programación: elaboración del plan de igualdad y planificación, destacando los objetivos, acciones, personas destinatarias, calendario, recursos necesarios, indicadores y técnicas de evaluación, y seguimiento.
  5. Implantación: ejecución de las acciones previstas, comunicación, seguimiento y control.
  6. Evaluación: análisis de los resultados obtenidos y recomendaciones de mejora.

Consejos para la redacción del Plan de Igualdad

  • Implicar a la organización. Lo más habitual es que sea competencia de Recursos Humanos, pero el consejo de Carbonell es que se implique a la Dirección, los representantes de los trabajadores, el Comité permanente de igualdad, la plantilla y los medios de comunicación de la empresa.
  • Buscar asesoramiento. Es muy conveniente, porque las consultoras tienen un papel formador, de asesoramiento y de apoyo a la empresa.

¿Dónde se debe inscribir el plan de igualdad?

Aunque el Real Decreto establece la creación de un registro de planes de igualdad, todavía no se ha publicado el reglamento que lo debe regular.

Ante esta situación, Carbonell considera que “sigue siendo de aplicación el RD 713/2010 de 28 de mayo, sobre registro y depósito de convenios y acuerdos colectivos. Así, los planes que no estén dentro de esa negociación colectiva no son inscribibles”.

«Smartborg”: el nuevo cliente y ciudadano

Julio Mestre Valdés    10 marzo, 2020

El concepto cíborg se utiliza para describir a seres humanos “reforzados” con componentes tecnológicos que permiten mejorar sus capacidades naturales. Un ejemplo podría ser el superhéroe de DC Comics que, bajo el nombre de Cyborg, encarna a una criatura mitad humana y mitad robot, que hace sus primeras apariciones en los cómics como miembro de los Jóvenes Titanes, y que podemos ver en la reciente película de la Liga de la Justicia. ¿Pero habéis oído hablar del smartborg?

El concepto de cíborg nos parece aún de ciencia ficción, algo que llegará en el futuro a través de implantes de prótesis y chips. Primero para resolver enfermedades y luego seguramente con fines comerciales. Algo parecido a la cirugía estética, por ejemplo, que surgió para tratar a los heridos de guerra, pero actualmente es una práctica médica para mejorar nuestro aspecto exterior. 

La simbiosis entre las personas y los smartphones

Pero, aunque aún nos suene lejano, los cíborgs están mucho más cerca de lo que pensamos. De hecho, la mejora del ser humano a través de medios tecnológicos es algo que ya está ocurriendo. Sin llegar a la transhumanidad, lo tenemos presente a través de la simbiosis entre las personas y los smartphones en lo que voy a denominar, en analogía con la palabra cíborg, como smartborg

Recuerdo que hace ya años un compañero escribía que le había sorprendido descubrir que los actuales teléfonos inteligentes integran hasta una docena de sensores.

Pues bien, un smartborg es el fruto de la utilización continua por parte de los humanos de los teléfonos inteligentes y los servicios que nos proporcionan. Gracias a ellos hemos conseguido mejorar nuestro sentido de la orientación y localización hasta límites insospechados o nuestra comunicación a distancia. Hemos ampliado exponencialmente nuestro conocimiento hasta dejar de lado a las antiguas enciclopedias. Gracias a los smartphones también somos capaces de hacer más eficiente nuestra relación con los medios de transporte, podemos almacenar imágenes, hacer vídeos, trabajar de manera más inteligente

Algunos superpoderes del smartborg

Veamos más en detalle algunos de los nuevos superpoderes, al margen del de la hipercomunicación a través de voz, texto, imagen, vídeo… en modo uno a uno o a través de grupos y redes sociales.  

  • Máquinas del posicionamiento: Cada vez utilizamos más las aplicaciones de mapas como Google Maps o Waze para saber cómo llegar a los sitios, cuánto vamos a tardar en llegar y a qué hora es mejor salir teniendo en cuenta los atascos. Nuestro sentido de la orientación no falla, incluso en ciudades en las que nunca hemos estado antes y de las que no conocemos el idioma de sus habitantes. Sin necesidad de preguntar a nadie, la inteligencia artificial nos lleva a nuestro destino. Y, además, podemos saber dónde están nuestras personas queridas y ellos también pueden saber dónde nos encontramos nosotros en cada momento. Es decir, con los smartborgs no nos perdemos y además estamos localizables. 
  • Conocimiento exponencial: Llevamos con nosotros una inteligencia que nos permite al instante resolver cualquier duda: hecho histórico, la fecha de nacimiento de nuestro personaje favorito, de dónde viene el nombre de una calle, qué hay en la cartelera… ¡La mente del smartborg se ha ampliado sin límites!
  • Señales a los medios de transporte. La tecnología que lleva incorporada el smartborg  permite, por ejemplo, abrir coches que se encuentran estacionados en la calle, conducirlos y luego dejarlos para que los pueda utilizar otro smartborg

Éstas son solo algunas de las capacidades ampliadas de un smartborg. Por supuesto, como toda revolución tecnológica, conlleva algunos puntos negativos. No voy a profundizar en ellos, pero pensad en cómo os sentís cuando os quedáis sin batería o sin conexión de datos.

Para ahondar en ello recomiendo los ensayos “Sapiens. De animales a dioses” y “Homo Deus”, ambos de Yuval Noah Harari. También aborda el tema, de forma más ligera, la novela “Origen” de Dan Brown. 

Impacto del smartborg en las empresas y Administración pública

Pero estamos en un blog de grandes empresas y Administración pública, así que veamos cómo impacta el smartborg en las compañías y la Administración. Y es de manera total porque, dado que el cliente y los ciudadanos deben estar en el centro, el diseño de los productos y servicios que se le ofrezcan deben tener en cuenta esta ampliación de sus capacidades, sus nuevos hábitos y exigencias.

Así, por ejemplo, la tecnología juega un papel clave en los retos de la Administración pública desde la perspectiva de la ciudadanía. Contribuye a su agilidad, eficiencia, transparencia… En cuanto a la accesibilidad, la omnicanalidad se impone y los servicios tienen que ser accesibles desde el móvil también.

Por otro lado, el rastro digital que dejan los smartborgs puede ser aprovechados por las compañías para diseñar nuevos servicios, campañas de publicidad, etc. Por ejemplo, saber qué paradas de metro frecuentan los adolescentes y a qué hora dirigir la publicidad de una forma más efectiva a ese segmento: los teen-smartborgs. Pero las aplicaciones big data son ilimitadas, como llevamos ya mucho tiempo contando en este blog

Oportunidad de creación de nuevos servicios

También se incrementan las posibilidades de crear servicios en modo pago por uso, como mencionaba antes con el carsharing. El crecimiento del streaming de música y vídeo es otra evidencia. 

La realidad aumentada también se empieza a generalizar, más allá de Pokemon GO. Los smartborgs ya pueden ver más allá del mundo real. 

Y, cómo no, que los alumnos tengan a su disposición todo el conocimiento a un solo clic también impacta en la educación . 

En definitiva, en un mundo en el que los smartborgs son mayoría, las empresas tienen que cambiar su forma de pensar y sus modelos de negocio porque los clientes ya no son solo personas, sino seres artificialmente mejorados. Incorporan unas capacidades tecnológicas que hasta hace poco parecía que pertenecían a la ciencia ficción. 

Podría decirse que la transformación digital de empresas y Administraciones tiene como objetivo adaptar estas organizaciones a los smartborgs, que ahora son tanto sus empleados como sus clientes. Los smartborgs son los nuevos ciudadanos.

Imagen: J. Stimp

5 tendencias tecnológicas empresariales para este 2020

Beatriz Sanz Baños    10 marzo, 2020

Las tendencias tecnológicas empresariales para el 2020 están directamente relacionadas con el mundo digital. Esto se debe al aumento de la hiperconectividad que la evolución de internet ha traído para todos los sectores.

Continúa leyendo para que conozcas las proyecciones en entorno a la tecnología para el 2020.

Tendencias tecnológicas empresariales 2020

1. Comercio móvil

Desde hace algunos años las empresas se han digitalizado y han llevado sus negocios a plataformas en Internet. El comercio electrónico fue una revolución para las transacciones económicas, facilitando las cosas tanto para las personas como para las empresas.

Como habrás notado, aún faltan muchos sectores que deben crear sus tiendas online. Sin embargo, varias empresas ya parten con esta base como modelo de negocio principal y algunas veces único.

El comercio electrónico, por supuesto, se desarrolla junto con la tecnología, y luego de la invención de Internet en el móvil, se generó el mCommerce, que es e-commerce especializado en estos dispositivos. Tendencias tecnológicas como estas se caracterizan por el gran índice de personas que navegan en Internet por medio de sus teléfonos. Inclusive, estos mismos dispositivos facilitan la complementariedad entre una tienda virtual y una tienda física.

Hay muchas personas que realizan una compra por Internet desde su smartphone. Luego van presencialmente a los locales a hacer retiro de sus productos. Ahora bien, se espera que para este 2020 el mCommerce se desarrolle aún más.

2. Industria 4.0

La industria 4.0 o IoT industrial, revolucionará las áreas de producción de las empresas. ¿Qué es IoT? Si no lo sabías, es Internet de las Cosas por sus siglas en inglés (Internet of Things). Esto te permite controlar objetos (como electrodomésticos, entre otros) a distancia por medio de un dispositivo conectado a Internet.

Entonces, la misma tecnología que te posibilita apagar las luces con un teléfono móvil, puede ser aplicada a las empresas, llamándose así IoT industrial.

Estas tendencias tecnológicas, por ejemplo, permiten monitorear el estado de una producción en masa en tiempo real. También, realizar modificaciones de manera remota, como apagar una máquina que genera resultados defectuosos. Y ello, sin la necesidad de ir presencialmente a la fábrica.

Esto hace que las empresas puedan solucionar problemas de manera inmediata. Además de la toma de decisiones, se puede utilizar en la producción misma.

Algunas mejoras que se están realizando en las industrias son: sensores inteligentes para la autorregulación de la producción, tecnología del control y eficiencia energética, etc. Todo lo anterior se traduce en eficiencia de recursos, aumento de utilidades, disminución de errores de fábrica, y por su puesto, disminución de la carga laboral.

3. Conexión 5G

Dado que gran parte de los procesos de producción y de comercialización dependerán de Internet, se vuelve necesario establecer una red altamente efectiva. Por lo tanto, la llegada del 5G resulta muy oportuna para las empresas. Las tendencias tecnológicas de la red 5G incluyen un gran ancho de banda que permitirá aumentar la velocidad del Internet.

4. Inteligencia Artificial como servicio (AIaaS)

Cada vez más compañías se suman a las tendencias tecnológicas actuales, como incorporar la inteligencia artificial en sus procesos. No hacerlo implicaría quedar atrás con respecto a la competencia. Muchas empresas buscan automatizar sus servicios, como por ejemplo el manejo del big data con ayuda de las tecnologías de la información.

Invertir en desarrollar estas tecnologías, sobretodo para empresas que no pertenecen a este rubro, se vuelve costoso. Por eso es mejor buscar proveedores especializados. Las AIaaS son servicios de inteligencia artificial que estarán disponibles en la nube. Algunos de estos servicios son: bots y asistencia digital que poseen aprendizaje automático (machine learning), API de computación cognitiva y análisis de macrodatos, entre otros.

5. Analítica prescriptiva

Esta herramienta brinda opciones para utilizar los resultados arrojados por la analítica descriptiva y predictiva. Consiste en entregar recomendaciones óptimas durante el proceso de toma de decisiones. Una de las industrias que hace uso de estas nuevas tendencias tecnológicas es la del rubro de las petroleras y el área de la salud.

Todas estas tendencias tecnológicas están ampliamente relacionadas con Internet de las Cosas. Están cambiando tanto nuestra vida cotidiana como las producciones industriales.

¿Qué esperas para sumarte tú también de esta revolución tecnológica?

Para mantenerte al día con el área de Internet of Things de Telefónica visita nuestra página web o síguenos en TwitterLinkedIn YouTube.

6 claves para una gestión financiera exitosa

Carlos Rebato    10 marzo, 2020

La gestión financiera de una organización determinará su éxito o su fracaso en el futuro. En consecuencia, una mala gestión de las finanzas no solo afecta al microemprendimiento, también genera graves consecuencias en las grandes empresas.

Por ejemplo, Perry (2014) reseña que el 88 % de las empresas que formaban parte de Fortune 500 en 1955 ya se encuentran fuera de este índice. ¿Sabes cuál es el principal causante de este fenómeno? La mala gestión de las finanzas.

¿Quieres conocer las claves para que la gestión financiera te ayude a garantizar la supervivencia de tu empresa? Continúa leyendo.

La gestión financiera y el crecimiento de tu empresa

La misión de la gestión financiera es comprender, monitorear y controlar adecuadamente las finanzas de la organización. Esto incluye el manejo de gastos, ingresos, cuentas por cobrar y por pagar, flujo de caja y rentabilidad.

En ese sentido, Kenton (2019) dice que la gestión financiera estratégica tiene el propósito de generar ganancias para el negocio y garantizar un retorno de inversión (ROI) aceptable. Para lograrlo, busca una armonía entre los controles financieros y la estrategia empresarial.

A través del análisis financiero es posible lograr una eficiente planificación financiera. Además, ayuda a mejorar la rentabilidad y a asignar eficientemente los fondos que garantizan la operatividad de la empresa. Asimismo, permite asignar y controlar la asignación de recursos del plan de ventas.

6 Claves para lograr una gestión financiera óptima

1. Contar con un Director Financiero eficiente (CFO)

El Director Financiero (CFO por sus siglas en inglés) se encarga de la planificación financiera y económica de la empresa. Según BC Campus (s.f.) el CFO debe decidir cuánto dinero se necesita y cómo utilizar mejor los recursos disponibles.

Igualmente, debe velar por la armonía entre las estrategias de gestión de efectivo y el modelo costos e ingresos. El CFO debe comprender qué es la comunicación efectiva y cómo utilizarla para entenderse con sus stakeholders.

2. Pensar en la gestión financiera a largo plazo: haga el presupuesto por un año

Es importante que analices cómo las decisiones a corto plazo podrían afectar el futuro de la organización. Por ejemplo, el personal del departamento de compras debe estar capacitado para hacer adquisiciones que sean realmente necesarias.

Por otro lado, planificar el presupuesto por todo un año te da la ventaja de hacer proyecciones a largo plazo. Sin embargo, debido a los cambios del mercado, el presupuesto debe ser revisado cada tres o cuatro meses.

 3. Realizar un diagnóstico de los ratios financieros periódicamente

Cuando se analizan los ratios financieros de la empresa es posible hacer un diagnóstico de sus indicadores económicos. Se trata de un ejercicio que permite decidir qué rumbo tomará la empresa en caso de que no haya resultados positivos. En ese sentido, los kpi’s financieros más importantes son los niveles de endeudamiento, de rentabilidad, de liquidez y el punto de equilibrio financiero.

4. Gestionar el flujo de caja de forma efectiva

Es imprescindible que la empresa cuente con las herramientas necesarias para controlar su flujo de caja. Cabello (2015) explica que el flujo de caja no solo facilita controlar las entradas y salidas de dinero, sino que también permite que el dinero trabaje para la empresa y, en consecuencia, genere beneficios.

Además, una eficiente gestión del flujo de caja ayudará a la organización a evitar que se produzcan retrasos en los cobros que afecten la liquidez de la empresa.

 

5. ¿Cómo lograr una gestión financiera exitosa? Utiliza el financiamiento de forma inteligente

Un ratio de endeudamiento inferior a uno es un indicador de buena solvencia financiera. El problema radica en que algunos CFO no actúan con cautela ante la libertad de disponer de las líneas de crédito. El hecho de que esté disponible no significa que deba ser utilizada. En ese sentido, Marks (2013) aconseja pedir prestado sólo si este préstamo tiene retornos significativos.

Por otro lado, cuando la empresa es líder en su mercado y cuenta con cimientos sólidos para mantener un crecimiento sostenible a largo plazo, el control del endeudamiento no debe limitar sus operaciones. Por ejemplo, Netflix se ha convertido en la empresa líder en entretenimiento, pero esto no se ha traducido en grandes dividendos. Sin embargo, gracias a que sus niveles de ingresos no paran de crecer, Netflix no tiene dificultades para conseguir financiamiento.

6. Contar con un fondo de emergencia

El tamaño del fondo de emergencia depende del tamaño y la actividad de la empresa. En ese sentido, Connect Americas (s.f.) recomienda tener como mínimo el equivalente a tres meses de operación como reserva. Para que un modelo de negocios sea exitoso, es imprescindible que la gestión financiera encuentre un equilibrio entre la rentabilidad y el riesgo. La buena noticia es que ya cuentas con seis claves que te ayudarán a convertir las finanzas de tu empresa en un aliado para tu crecimiento.


Foto de Helloquence en Unsplash

Análisis de mercado en 5 pasos para descubrir lo que necesitas saber

Carlos Rebato    9 marzo, 2020

Un análisis de mercado proporciona información sobre industrias, clientes, competidores, gestión financiera y otras variables del mercado. También te ayuda a desarrollar acciones para fidelizar clientes, evaluar productos y nuevas alternativas de microemprendimientos.

De igual manera, con esta herramienta puedes determinar la relación entre la oferta y la demanda de un producto o servicio. En términos simples, el análisis de mercado es la evaluación cualitativa y cuantitativa de tu mercado objetivo.

Importancia de implementar el análisis de mercado

El análisis de mercado es crucial para entender la base de consumidores a los cuales apuntas. Te permite reducir riesgos incluso desde que tu negocio es una simple idea. Comienza por recopilar información demográfica para entender mejor las oportunidades y las limitaciones que tendrás.

Puedes incluir datos sobre edad, patrimonio, familia, intereses o cualquier variable que sea pertinente para tu empresa. Un buen ejercicio consiste en responder estas preguntas para formarte una buena idea de tu mercado:

  • Demanda: ¿existe interés por tu producto o servicio?
  • Tamaño del mercado: ¿cuántas personas estarían interesadas en tu oferta?
  • Indicadores económicos: ¿cuál es la franja de ingresos y la tasa de empleo?
  • Ubicación: ¿dónde viven tus clientes y hasta dónde puede llegar tu empresa?
  • Saturación del mercado: ¿cuántas opciones similares ya están a disposición de los consumidores?
  • Determinación de precios: ¿cuánto pagan los posibles clientes por estas alternativas?

Cómo realizar un análisis de mercado en 5 pasos

1. Determina el propósito del análisis

El tipo de análisis de mercado que realizas varía según el propósito. Por ejemplo, si ejecutas un estudio con fines internos, debido a que tiene propósitos de exploración interior, es probable que no necesites recopilar tantos datos como lo harías con un propósito externo. Mira las perspectivas: analiza hacia dónde se dirige tu industria utilizando métricas como el tamaño, tendencias y crecimiento proyectado.

Al comprender claramente el problema del negocio, podrás mantener un proceso de investigación enfocado y efectivo. En este punto del proceso, un truco efectivo es imaginar cómo sería el informe de investigación «perfecto» para ayudar a responder las preguntas planteadas. Si produces un informe según el criterio que imaginas, ¿tendrás la información que necesitas para tomar una decisión informada? Si la respuesta es sí, ahora solo necesitas obtener los datos reales.

2. Desarrolla tu plan de investigación

Repasemos algunas técnicas para realizar un análisis de mercado:

  • Entrevista prospectos y clientes: a menudo, se obtienen los mejores comentarios al usar esta táctica porque vas directamente a la fuente. Esto podría tomar la forma de un grupo focal o entrevistas individuales.
  • Aproveche tu propia red. Corre la voz a tus empleados, amigos, clientes antiguos colegas y conexiones de LinkedIn de que estás realizando un estudio.

3. Recopila datos e información

La mayoría de los datos que recopiles serán cuantitativos (números o datos) versus cualitativos (descripciones y observaciones). Idealmente, serán una combinación de los dos tipos de datos.

Al recopilar datos, debemos asegurarnos de que sean válidos e imparciales. Nunca debes preguntarle a un entrevistado: «¿Crees que deberíamos ofrecer un nivel de precios más alto con servicios adicionales?». Si procedieras de ese modo, estarías aplicando técnicas de negociación que influyen en la respuesta de la persona. Así que intenta hacer preguntas abiertas o preguntas cerradas.

4. Investiga a tu competencia

Para continuar con el análisis del mercado, debes estudiar a tu competencia. Es un deber tomar el tiempo para investigar qué otras empresas existen. Mira las ofertas que implementan, cómo desarrollan su plan de ventas, la ubicación, los clientes específicos y las desventajas en el mercado.

Debes analizar a cada uno de tus competidores en la lista y determinar las debilidades, oportunidades, fortalezas y amenazas. Este procedimiento se denomina análisis DOFA (Rodríguez, 2018). ¿Qué tienen otros negocios que tú no tienes? ¿Por qué un cliente elegiría el negocio de un competidor sobre tu empresa? ¿Representa alguna amenaza para tu negocio?

5. Analiza tus datos y desarrolla un plan de acción

Tu investigación está completa. Es hora de presentar los hallazgos y tomar medidas. Comienza a desarrollar estrategias financieras y campañas de marketing. Para fines internos, observa cómo puedes usar estos hallazgos para mejorar tu empresa. Si realizaste un análisis con fines externos, puedes guardarlo para “más tarde”. Revisa este análisis de mercado de vez en cuando para realizar los ajustes necesarios. Por supuesto, en el proceso de análisis de mercado hay mucho más que estos cinco pasos básicos, pero son suficientes para comenzar. Incluso, si crees que conoces bastante bien a tus compradores, es probable que al completar el estudio descubras nuevos canales y obtengas sugerencias de mensajes para ayudarte a mejorar.

Foto de Miguel Bruna en Unsplash

Let’s Encrypt revoca tres millones de certificados por culpa de (bueno, casi) un «&» en su código

David García    9 marzo, 2020

Let’s Encrypt, que hace poco celebraba su certificado mil millones, ha metido la pata en su código y ha comprometido (aunque no demasiado, como veremos más adelante) la seguridad de sus certificados. No es tan grave como el problema con el que nos encontramos en 2008 en Debian. En aquel momento, podíamos conocer la clave privada de cualquier certificado calculado con Debian gracias a muy poca fuerza bruta.

Ahora, Let’s Encrypt ha facilitado durante 30 días en cierta forma una, ya de por sí, remota posibilidad: que se cree un certificado con el mismo dominio en otra CA. De hecho, lo más interesante no son las consecuencias, sino el fallo (un poco simple) en el código que ha permitido este problema.

A principios de marzo, Let’s Encrypt ha tenido que revocar más de 3 millones de certificados (un 2,6% de los activos) por un fallo importante (aunque no impactante) en su plataforma Boulder. Está escrito en Go y es el sistema responsable de comprobar que la persona que solicita el certificado es su dueña. Una de las comprobaciones es acudir al registro CAA de los DNS del dominio para el que se emite el certificado. Este registro DNS debe contener qué CAs son las de tu preferencia. Por ejemplo, no quiero que la CA X emita un certificado para mí jamás o sólo quiero que la CA Y emita certificados para mi dominio.

¿Cómo se produjo el fallo?

Desde 2017 las autoridades deben, por su lado, comprobar este campo antes de emitir un certificado solicitado, y si se contradice, deben abortar la misión. Así, pongamos que un atacante intenta de alguna forma crear un certificado para mi dominio usando otra CA; un problema más con el que se encontrará es que si el dueño no lo ha establecido así en sus DNS, esta CA no podrá hacerlo.

Pero hasta ahora, Boulder no lo comprobaba bien por un fallo programático en un bucle. Cuando un certificado contenía N dominios en su interior (algo habitual), el software comprobaba N veces un solo dominio contra su CAA. El fallo se fundamenta en un aspecto del lenguaje Go que se debe conocer para no cometer un error con la toma de referencias en variables definidas dentro de un bucle. Let’s Encrypt considera que esta información del registro DNS es buena por 30 días, y luego vuelve a comprobar si la CA está autorizada para emitir ese certificado. Por tanto, si no lo comprobaba bien, se podría haber emitido un certificado falso hasta que, potencialmente, 30 días después, se volviese a comprobar.

En realidad, para poder aprovechar ese fallo, un atacante debía intentar romper otras muchas reglas, porque no se puede emitir un certificado válido para un dominio si no eres el legítimo dueño de él. Para ello, las CAs tiene muchas fórmulas diferentes para comprobarlo, algunas más relajadas que otras. Centrémonos en el código. En esta imagen vemos el código que causaba el fallo:

Código que generaba el fallo en Boulder

El código itera sobre una tabla hash. Al llamar a la v como una referencia, la dirección de v siempre es la misma, porque no representa un valor, sino una dirección de memoria que apunta a un objeto. Se podía haber hecho una copia de v como se hace de k quitando el & (que es lo que se ha hecho en el código corregido) con lo que serían objetos diferentes en cada iteración y no diferentes objetos en la misma dirección.

En el propio código original avisaban con un comentario: “hacemos una copia de k porque en cada loop se reasignará”. Y lo mismo tenían que haber hecho con la v, sólo que no lo hicieron. Ahora, tras el parche, sí se pasa a la función «modelToAuthzPB» el parámetro v por valor, por lo que cambiará de forma efectiva en cada iteración y llamada a «modelToAuthzPB» proporcionando el resultado correcto. Sin el parche, authz2ModelMapToPB creaba un mapa cuyas claves sí son la lista de dominios en el certificado pero cuyo contenido tenían todos mismo el mismo IdentifierValue.

Conclusiones

Como hemos visto, se trata de un fallo grave, pero no catastrófico. Let’s Encrypt ha actuado de forma transparente y diligente. El fallo se ha corregido en tiempo récord y los certificados han sido revocados. De nuevo, recordemos que la programación es complicada, sea de código abierto o no.

Resulta curioso cómo lenguajes de nueva generación que tratan de solventar los problemas de la gestión manual de memoria siguen teniendo aristas sin pulir. En este caso no se trata de una mala práctica en sí, ya que pasar por referencia ahorra una gran cantidad de memoria y de operaciones de copia (más aún si las estructuras son pesadas), pero sí de un comportamiento arriesgado en el que a menos que conozcas “dónde está la piedra” puedes volver a tropezar con ella.

¿Te interesan los certificados digitales? No te pierdas el siguiente artículo:

https://empresas.blogthinkbig.com/todo-necesitas-saber-sobre-certificados-ssl-tsl/