RSA contra las cuerdas: 1.001 razones por las que está cayendo en desgracia (II)

Gonzalo Álvarez Marañón    13 enero, 2020

Muchos medios han anunciado en las últimas semanas que se ha encontrado una vulnerabilidad en RSA que permite atacar uno de cada 172 certificados. Pues no, como explicó nuestro compañero Sergio de los Santos, no ha sido así. Es cierto que RSA está moribundo, pero poco tiene que ver la causa de su muerte con el supuesto ataque. En la primera parte, introdujimos los principales problemas de RSA. En esta seguna parte hablamos de repasaremos los problemas de seguridad y las dificultades de implementación de RSA, que lo convierten en una elección cada día menos recomendable, hasta el extremo de que ha sido abandonado por TLS 1.3 como algoritmo de intercambio de claves.

Los exponentes pequeños causan problemas grandes

Típicamente se escoge uno de los siguientes valores para el exponente público: e = 3 (en binario, 11), e = 17 (en binario, 1 0001) o e = 65537 (en binario, 1 0000 0000 0000 0001), conocidos como primos de Fermat. ¿Por qué? Porque cuantos menos unos (1’s) tenga el exponente, más rápido será luego realizar las operaciones matemáticas de exponenciación, ya que se utiliza el algoritmo de exponenciación binaria.

Un valor pequeño para el exponente implica una alta velocidad de operación, pero, y éste es un GRAN PERO, acarrea graves problemas de seguridad. Es importante recalcar que todos los ataques mencionados a continuación obtienen el mensaje original m a partir del mensaje cifrado c, pero no obtienen la clave privada (d).

  • Ataques de raíz e-ésima: teniendo en cuenta que un valor común para el exponente es e = 3, para mensajes cortos tales que m << n, podría darse el caso de que me < n , por lo que sin más que extraer la raíz e-ésima del cifrado se recupera el mensaje original. De ahí la importancia del relleno (padding) para prevenirlo, como explicaré más adelante.
  • Ataques de broadcast de Håstad: si se cifra el mismo mensaje m con distintas claves públicas (ni, e), que difieren en el valor de n, pero usan e = 3, entonces para i ≥3 y según el teorema chino del resto (CRT), es posible calcular c’ = m3 mod n1n2n3, tal que m = c. Generalizando para cualquier valor de e, se requieren e textos cifrados para obtener el mensaje original m. Para evitarlo, se requiere usar un relleno aleatorizado, no uno fijo.
  • Ataques de Franklin-Reiter: Franklin-Reiter identificó un nuevo ataque contra RSA con e = 3. Si dos mensajes m1 y m2 que difieren sólo en una cierta distancia (no entraremos en los detalles matemáticos de esa distancia) se cifran con el mismo módulo n, entonces es posible recuperar ambos.
  • Ataques de Coppersmith: si se usan dos rellenos aleatorios para el mismo mensaje en dos ocasiones sucesivas (p.e. porque fueron interceptados y el primero no llegó a su destinatario), aunque se desconozca el relleno aleatorio, se puede recuperar el mensaje utilizando el teorema de Coppersmith, siempre que el relleno aleatorio sea corto. Concretamente, cuando e = 3, la longitud del relleno debe ser inferior a la novena parte de la longitud del mensaje.
  • Ataque de Bleichenbacher contra las firmas: recuerda que para verificar una firma hay que exponenciar al exponente e. De nuevo, si e = 3, existe un ataque muy sencillo de implementar debido al criptólogo Daniel Bleichenbacher que permite falsificar firmas RSA basadas en el esquema de relleno definido en el estándar PKCS#1 v1.5.

Es justo mencionar que con el relleno adecuado los ataques anteriores se neutralizan. Si te han picado la curiosidad los entresijos matemáticos de todos estos ataques, puedes leer una descripción muy asequible en este trabajo clásico de David Boneh.

El tamaño del exponente privado también importa

Aunque el proceso habitual para generar las claves de RSA es el descrito al principio de este artículo en tres pasos, algún desarrollador, presionado por la necesidad de velocidad en dispositivos con potencia de cómputo limitada, podría querer fijar primero un valor pequeño para d y calcular e después. Así agilizaría drásticamente la velocidad de exponenciación, hasta por un factor de 10.

El criptólogo Michael Wiener ideó un ataque que permite recuperar d a partir de la clave pública (n, e) siempre que d < ⅓n¼. Para un módulo típico de 2048 bits, significa que la longitud de d debe ser superior a 512 bits, lo que aun así sigue siendo largo para dispositivos muy modestos, como las tarjetas inteligentes.

Si d es pequeño, entonces e es necesariamente grande. Si, contrariamente a la tradición, una clave pública (n, e) presenta un valor de e enorme (e ≫ 65537), puede valer la pena comprobar el ataque de Wiener contra ella.

Sin relleno adecuado no hay seguridad ninguna

El tamaño del mensaje m no puede exceder el tamaño del módulo n. Por consiguiente, habrá que rellenar m (padding). Pero ¿cómo? ¿Tal vez rellenar con 0’s por delante del número hasta llegar a los 2048 bits? ¡Craso error!

El relleno detallado en la especificación PKCS#1 v1.5 resultó ser vulnerable a los ataques de Bleichenbacher. Si un atacante envía a un servidor TLS paquetes cifrados con RSA y el servidor devuelve un mensaje de error si un determinado paquete cifrado ha sido incorrectamente rellenado bajo las reglas de PKCS#1 v1.5, puede necesitar tan sólo 15.000 paquetes para obtener información suficiente para descifrar un texto cifrado con RSA o para falsificar una firma.

Y existen otras muchas versiones de este tipo de ataques contra los esquemas de relleno, como el recientemente célebre ataque ROBOT. De hecho, este tipo de ataques resulta tan insidioso y tan difícil de eliminar, que en la nueva versión de TLS, la 1.3, se ha eliminado a RSA por completo de la ecuación para intercambio de claves, confiando en Diffie-Hellman Efímero (DHE) como único método.

PKCS#1 v1.5 presentó otros problemas. En el protocolo TLS, el cliente genera aleatoriamente una clave de sesión que cifra con la clave pública del servidor (en realidad el proceso es algo más complicado, pero lo dejaremos aquí). Cualquier persona con acceso a la clave privada correspondiente puede recuperar la clave de sesión, comprometiendo la seguridad de la sesión. El ataque no tiene que ocurrir en tiempo real. Un adversario podría almacenar todo el tráfico cifrado y esperar pacientemente hasta que obtenga la clave privada. Por ejemplo, los avances en potencia de cómputo podrían hacer factible un ataque de fuerza bruta en el futuro. O tras la llegada de los ordenadores cuánticos podría factorizarse n. Alternativamente, la clave puede obtenerse utilizando poderes legales, coacción, soborno, irrumpiendo en un servidor que la utiliza o explotando alguna vulnerabilidad en el software TLS, al estilo Heartbleed. Después del compromiso de la clave, es posible descifrar todo el tráfico previamente registrado.

Los otros mecanismos comunes de intercambio de claves usados en TLS no sufren de este problema, por lo que se dice que exhiben secreto perfecto hacia adelante: cada conexión utiliza una clave de sesión independiente. Una clave de servidor comprometida podría utilizarse para hacerse pasar por el servidor, pero no para descifrar retroactivamente el tráfico.

En la actualidad se utiliza el esquema de firma probabilística (RSA-PSS). Combina la firma y la verificación con una codificación del mensaje. Este enfoque, a diferencia de otros esquemas basados en RSA como PKCS#1 v1.5, introduce un proceso de aleatorización que permite demostrar que la seguridad del método está estrechamente relacionada con la seguridad del propio algoritmo RSA. Esto hace que RSA-PSS sea más deseable como opción para la firma digital basada en RSA y haya sido adoptado por TLS 1.3.

Moraleja: ¡nunca, nunca, nunca utilices RSA sin relleno!

No se vayan todavía, que aún hay más

Y eso por no mencionar los ataques contra implementaciones físicas deficientes, derivadas de la exponenciación modular.

Los ataques de temporización: dado que para descifrar hay que exponenciar con la clave privada (d) como exponente, midiendo el tiempo empleado en descifrar se puede estimar el valor de la clave. Los más conocidos son el ataque de Kocher, el ataque de Schindler o el de Brumley-Boneh. Todos ellos pueden contrarrestarse mediante descifrado ciego: para descifrar el texto cifrado c, primero se calcula el valor intermedio y = rec mod n, donde r es un número entero aleatorio. A continuación, y se descifra de la manera usual, seguido por la multiplicación por r−1 mod n:

r−1yd = r−1(rec)d = r−1rcd = cd mod n

Puesto que r es aleatorio, y es aleatorio y la medición del tiempo de descifrado de y no revela ninguna información sobre la clave privada d. No hace falta repetir que debe usarse un número aleatorio r distinto para cada descifrado.

Por otro lado, los ataques de canal lateral obtienen información de un criptosistema a partir de sus parámetros físicos, como temperatura, consumo energético, emisiones electromagnéticas, etc. Después de todo, RSA no existe solo en los libros de matemáticas, debe materializarse en el Mundo RealTM. En el caso de RSA, el consumo de energía cuando está operando con un 1 es distinto que con un 0.

Por último, los ataques de glitch buscan inducir errores (glitches) en las operaciones del dispositivo, como por ejemplo una tarjeta inteligente. Aunque parezca mentira, en algunas implementaciones de RSA ¡un simple error inducido puede permitir a un atacante factorizar n!

¡Aviso para programadores!

A la vista queda la cantidad de pequeños detalles y sutilezas involucrados en la codificación correcta de RSA. ¡Ni lo intentes! Utiliza bibliotecas criptográficas especializadas y evitarás los errores más comunes al introducir criptografía en tus desarrollos.

Y la pregunta que queda en el aire: si no utilizo RSA, ¿con qué cifro y firmo? La respuesta rápida es: con criptografía de curva elíptica (ECC), más eficiente, más segura. La respuesta larga será material para otro artículo.

Si quieres saber más sobre el algoritmo RSA, aquí te dejamos la primera parte de este artículo:

RSA contra las cuerdas: 1.001 razones por las que está cayendo en desgracia (I)

Técnicas de negociación del FBI que podrías aplicar en tu trabajo

José María López    13 enero, 2020

El ámbito profesional se nutre de conocimientos de cualquier área que podamos imaginar. Quién iba a pensar que un libro sobre táctica militar como El arte de la guerra de Sun Tzu sería estudiado en universidades y escuelas de negocios para ser aplicado en las técnicas de negociación. Lo mismo ocurre con casos de éxito en el ámbito deportivo.

Data Engineer: poniendo orden en el caos de los datos

Ismael Rihawi    13 enero, 2020

Vivimos en una sociedad digital e hiperconectada, volcada en las redes sociales, acostumbrada a convivir entre sensores inteligentes y una nueva realidad con múltiples facetas (virtual, ampliada, mixta). En este contexto, apremia la inmediatez en el uso de los servicios, la improvisación y espontaneidad en la generación y consulta masiva informacional, la ausencia de miramientos en la exposición de contenido sensible en la red salvaguardados por la nueva ley de protección de datos. Por ello, cobran especial importancia roles como el data engineer o ingeniero de datos, cuyo papel no siempre está muy claramente definido en las organizaciones. El objetivo de este artículo es arrojar luz sobre esta cuestión.

La realidad implícita en esta vorágine de sobreconsumo es la del incremento exponencial de nuevas plataformas de datos de cada vez mayor diversidad de naturaleza, fiel reflejo de la interacción de humanos, servicios y máquinas. En el ánimo de dar respuesta a las nuevas necesidades que el mercado demanda a cada instante, y que derivan en conocer al mayor nivel de detalle posible al usuario final y su entorno para así proveerle de la mejor experiencia de uso, es preciso preguntarse entonces qué rol profesional es capaz de cumplir con ese cometido. Esa figura es la del ingeniero de datos, pieza central de todo equipo multidisciplinar de soluciones de Big Data e Inteligencia Artificial dedicado a las labores de recolección, modelización y normalización de la información clave para describir el presente y predecir el futuro.

Perfil todoterreno: experto técnico, especialista en negocio e impacto social

Cada revolución tecnológica trae consigo nuevas destrezas a adquirir, renovados mecanismos de operabilidad a integrar sobre los ya existentes, profesiones emergentes que reúnen un abanico de responsabilidades de reciente incorporación.

Desde aquel Big Bang que convergió en el universo Big Data, que unos remontan a cuando Google presentó su sistema de ficheros distribuido Google File System o GFS (2003), y otros a la publicación en 2004 del paper que enunciaba el paradigma de procesamiento en paralelo MapReduce (lo que posteriormente constituiría la primera plataforma open-source Hadoop), el collage y superposición de roles ha sido de aúpa.

El ingeniero de datos, proveniente en sus inicios de funciones recurrentes de desarrollo backend y/o administración de bases de datos, se ha llevado la palma todo este tiempo, representando a un profesional con infinitas acepciones en la red, propiciando en muchas organizaciones un halo de misticismo ante el desconocimiento de no saber qué papel real encomendarle.

Funciones del data engineer y conocimientos necesarios

Con amplios conocimientos en ingeniería de software, estructuras de datos de la información y paradigmas de computación distribuida, entre otras habilidades técnicas, un data engineer es el encargado de la implementación de los procesos de captura masiva de información provenientes de múltiples orígenes, así como de las etapas de normalización, anonimización y limpieza de la misma. Automatización, operativización, minería de datos, exportación de insights e interfaces de aplicaciones (API) son términos de funciones que también nos acompañan en nuestro día a día.

El objetivo primordial de este perfil es el de hacer uso de la infraestructura tecnológica desarrollada por la figura del arquitecto Big Data para aprovisionar las siguientes formas de explotación de los datos una vez procesados:

  • Modelos analíticos para la identificación de patrones conductuales y la predicción de tendencias resultantes del histórico recogido desde el origen de los tiempos por parte de los científicos de datos.
  • La puesta en valor de las conclusiones extraídas o insights, a través de múltiples vías de representación (siendo las más frecuentes el dashboarding y los chatbots) que permitan facilitar la toma de decisiones en base a escuchar lo que el dato siempre ha tratado de decirnos y hasta hace no mucho ni habíamos reparado.

Por si aún no era suficiente, no solamente de tecnicismos vive un Data Engineer. Es preciso conocer el estado del arte de la información que manejan con propósito multisectorial, al ritmo de la célebre expresión “saber del negocio”, cuestión vital para modelar contenido desestructurado de distinta procedencia bajo unos criterios de estandarización coherentes y versátiles en el tiempo.

Labores recurrentes de ingeniería en soluciones de Big Data e Inteligencia Artificial

A continuación, se indican 4 pilares considero claves que agrupan distintas funciones a las que todo data engineer hace frente de manera cotidiana en todo ciclo de vida del dato. Para cada supuesto se aporta un listado de tecnologías, servicios y/o lenguajes asociados que sirven para ejemplificar la etapa que comprenden, entre un portfolio de alternativas innumerable, citando únicamente las implementaciones base en su versión Open Source, omitiendo para sintetizar su comprensión los servicios análogos de los principales proveedores de Cloud Computing. Por descontado, otras tareas adicionales pudieran verse añadidas a las siguientes expuestas, no viéndose excluidas por ello (como la implementación de API’s de consulta de las métricas obtenidas, como interfaz puente a la renderización en una capa de presentación al uso).

Figura 1: Funciones del ciclo de vida del dato.
Figura 1: Funciones del ciclo de vida del dato.
  • Captura masiva de la información: extracción desde fuentes externas e internas al proyecto según casuística, persistencia de los datos en bruto en sistemas de almacenamiento distribuido on-premise (Hadoop Distributed File System o HDFS) o en la nube (véase S3 en Amazon Web Services o Azure Storage en la plataforma de Microsoft). Las tecnologías requeridas para dicha labor son de tres tipos: a partir de peticiones de servicios a métodos de consulta tipo API REST, mediante técnicas de extracción a través de arañas de rastreo de contenido web (scraping), o con servicios dedicados Big Data según el tipo de dato a capturar (eventos, logs, bases de datos relacionales) y su frecuencia de generación (Batch vs Near-Real Time vs Real Time).
  • Transformación, limpieza, anonimización y consolidación: Procesos de refinamiento del contenido ingestado hacia la calidad del dato, antesala de las etapas analíticas y de visualización de las conclusiones extraídas. La utilización de frameworks de computación distribuida como Apache Spark, Apache Flink o Apache Storm resultan vitales para el aprovechamiento de los recursos de la infraestructura Big Data y su capacidad de reparto del trabajo entre múltiples nodos paralelamente. A destacar también servicios para la consulta, agregación y análisis de datos y metainformación como Apache Hive o Cloudera Impala, administrados bajo la interfaz de usuario web Apache Hue. Todo ello sustentado por lenguajes de programación (Java, Scala) y consulta (SQL) robustos, escalables, extensibles, orientados a su uso en entornos productivos, y bajo el amparo de una gran comunidad de desarrolladores comprometidos con su evolución y mantenimiento.
  • Automatización de procesos de ingesta y normalización: Orquestación de trabajos de manera programática, acotando el esfuerzo computacional de los procesos según intervalos de vigencia del dato, facilitando en consecuencia la ejecución secuencial de tareas que aprovisionen con información un Data Lake, como antesala a los procesos de gobernanza de los mismos. Apache Oozie y Apache Airflow son dos grandes servicios que cumplen la misión de programación de workflows.
  • Integración y despliegue continuo al servicio de la eficiencia operativa: Papel determinante en la evolución del software que se despliega en un entorno productivo partiendo de un estado inicial, cumpliendo debidamente a cada iteración con las etapas de revisión estática, pruebas funcionales (unitarias, aceptación, integración y regresión) y no funcionales (carga, estrés, escalabilidad, portabilidad) que acreditan su validez y minimizan el riesgo adherido. Todos los componentes indicados en esta sección forman parte de conglomerado de piezas que todo ciclo de operativización ha de contar, en cuyo diseño e implementación el data engineer ha de respaldar a la figura del DevOps en su consecución. Git como repositorio de control de versiones del software; Jenkins como servidor de integración continua, SonarQube como servidor de revisión de código estático; Junit y JMeter como librerías de soporte de pruebas unitarias y rendimiento (QA); Docker como proyecto de despliegue de contenedores efímeros (“sandboxes”) para la abstracción de dichas validaciones; Openshift como plataforma de despliegue de los mismos (Platform as a Service o PaaS); Nexus como servidor gestor de repositorios y artefactos finales de los aplicativos productivos.

Queriendo fomentar que los equipos de transformación digital dedicados al tratamiento del dato cuenten con los integrantes precisos para no verse frenados en la consecución de sus propósitos de proyecto, si veis a alguien por la oficina presentar dudas al respecto, ¡hacedle saber quién pone orden en el caos de los datos!

Para mantenerte al día con LUCA, visita nuestra página web,  suscríbete a LUCA Data Speaks o síguenos en TwitterLinkedIn YouTube.

Cómo articular tu comunicación para aumentar tus ventas

Virginia Cabrera    13 enero, 2020

Durante años hemos dado por cierto que un buen envoltorio hace más atractivo el producto que contiene. Que una buena campaña de publicidad dispara las ventas. Que la habilidad y las dotes de comunicación de un buen vendedor conseguirían vender arena a las tribus del desierto.

Sin embargo, como consumidores hemos cambiado y hoy nos engancha más una buena historia que mil hojas con las características y las bondades del producto.

El cambio es tan evidente que toca preguntarse qué relación siguen teniendo comunicación y venta y cómo debe ser la comunicación en la era digital para que siga apoyando al alza al negocio.

Hace unas semanas, en un debate organizado por Juan Martínez de Salinas y Zaragoza Activa, tuve ocasión de charlar con un grande del marketing, Lucas Aisa.

Juntos revisamos las 4 P del marketing tradicional, cuestionándolo todo para reflexionar, con los asistentes, sobre qué aspectos han cambiado y cuáles siguen inmutables.

Quiero compartir el contenido de esta interesante jornada.

El producto

En un mundo «infoxicado», hay que replantearse cuál es hoy el peso del producto y cuál el de la comunicación en la venta.

Nos dicen que hoy la calidad ya no importa, que no debemos hablar de ella. Y nos preguntamos: ¿es posible vender con una buena comunicación un producto mediocre?

En esto, la coincidencia es total. Claro que el producto importa, pero ya no podemos seguir vendiendo productos “a pelo” (ni siquiera siendo excelentes).

Hoy llegamos al consumidor cuando él, gracias a Google, ya ha decidido si el producto cumple lo suficiente en relación con el precio que está dispuesto a pagar.

Así que, ante un consumidor que ojea por su cuenta, solo cabe atraer su atención (y también su simpatía) hablando de sus problemas y de cómo solucionar sus necesidades.

La oferta comercial tradicional que ensalza al producto debe dejar paso a la propuesta de un proyecto compartido que le haga crecer de manera clara y tangible. Porque ya no eres lo que tú vendes, sino lo que el cliente necesita.

El precio

Con la competencia a golpe de clic es más fácil que nunca hacer comparativas. Nos preguntamos si es efectivo hablar o no de precios, si el descuento sigue siendo una táctica efectiva de venta o no.  

Y aquí la respuesta es que depende. Si eres el más barato, y serlo es tu estrategia, cuéntalo alto y claro. El ahorro sigue siendo un gran valor y no hacerlo sería de tontos. No obstante, la mayoría no puede «jugar» con el margen.

Así que, asumiendo el atractivo indudable de las “ofertas irresistibles”, es más efectivo en el largo plazo jugar la baza de construir marca, poniendo en valor tu propósito de servicio y tus capacidades de atención y asesoría al cliente.

Porque hoy, o eres una marca que aporta un diferencial o serás una commodity. Y ahí siempre habrá alguien que pueda vender más barato que tú.

El placement o canal elegido

Cuando parece que ya casi todo nos es indiferente, elegir el momento y el canal adecuados para captar la atención del cliente no es una cuestión menor. Y aquí surge la pregunta: ¿Son efectivas las campañas online o sigue siendo la venta presencial un gran valor?

La conclusión al encendido debate llega en forma de otra pregunta: ¿Elegimos nosotros como vendedores el medio o es el cliente quien lo hace?

Lo tenemos claro: es el cliente quien tiene el control, así que la comunicación debe ser omnicanal y debemos dejarle que elija.

Tu papel ha de centrarse en proporcionar valor por tierra, mar y aire, respetando siempre sus preferencias y también sus datos personales.

Freírlos a ofertas una vez conseguido el número de móvil o el email no funciona. Porque si eres agresivo y no recabas primero su acuerdo y su permiso, van a bloquearte, y puede que incluso hablen mal de ti.

Por muy efectiva que sea tu campaña, piensa si no cederle el control te merece la pena.

El packaging o contexto

Este contexto bien podría asociarse en la actualidad con la reputación del vendedor o con los comentarios hacia la marca. ¿Qué comportamientos alrededor de la venta siguen siendo efectivos y cuáles deberían ser desterrados?

Porque por encima de “la labia” de un vendedor concreto, cada vez pesa más la opinión de otros compradores. Vendamos o no online, disponer de plataformas de presencia en Internet donde los usuarios puedan dejar sus comentarios y gestionar adecuadamente la reputación online de tu negocio es cada vez más necesario.

Y como las 4 P se nos hicieron cortas, aprovechamos para cuestionarnos alguna otra.

Otras P del marketing

El público objetivo

No es extraño encontrar convencidos sin fisuras que saben de cierto lo que necesitan los usuarios.

Así que nos preguntamos hasta qué punto conocemos de verdad el nuevo mercado, recordando que nadie es quien solía ser. Además hoy, con Internet ampliando sin límites el foco comercial, tu público puede ser cualquier persona.  

Eso sí, y esta es la recomendación, siempre debes intentar entender de verdad al cliente y «ponerte en sus zapatos». Si no eres capaz de “mimetizarte” con él, aunque vendas un producto genial, difícilmente podrás darle el servicio que demanda para quedarse contigo.

Es vital definir claramente el valor concreto que aportas para no acabar siendo irrelevante para todos.

La posventa

Una compra sencilla, rápida y sin fricciones es imperativa para no perder al cliente.

Sin embargo, puede que no baste para que repita la compra. Hoy la venta es un ciclo en el que el cliente entra y sale a su antojo y hay que estar apoyándole en todas las fases.

El servicio de asesoría y de información previa a la venta, así como la atención posventa para resolver dudas o incidencias y atender sus reclamaciones, son más que nunca factores de indiscutible impacto para garantizar la repetición de la compra y la fidelidad del cliente.

Las personas

La revolución digital trae consigo cambios en herramientas, procesos y plataformas. Pero sobre todo nos ha traído cambios en las personas, en lo que esperamos de nuestras relaciones con las marcas y también en los valores que esperamos encontrar en ellas.

Aún así, una comunicación efectiva es aquella que cumple su propósito, que sabe hacerse presente en los “momentos de la verdad”, para poner de relieve el contexto del antes y del después, para inducir a la acción, poniéndolo muy fácil. Es aquella que te llega porque parte del conocimiento de tu realidad y del interés sincero por tu bienestar.

En definitiva, una comunicación de persona a persona que busca ayudar por encima de vender.

Porque, como dice mi admirado Francisco Alcaide, “el afecto hace proyecto”. Siempre cierto, pero hoy más que nunca.

Realidad aumentada móvil: otra forma de relacionarnos con nuestro entorno

Manuel García Gil    13 enero, 2020

Estamos camino de poder ver cosas que no existen y, lejos de alarmarnos, nos parecerá bien porque la tecnología o tendencia que lo hace posible llega para aportarnos valor. Se trata de la realidad aumentada móvil o MAR (Mobile Augmented Reality).

Consiste, de forma simplificada, en que, a través de un móvil, wearable, una tableta o unas gafas podamos interactuar con nuestro entorno. El tema es más potente de lo que podríamos imaginar en un primer momento. Y es que sobreponer imágenes a la realidad que vemos no solo sirve para cazar pokemons, sino que puede proporcionarnos información en tiempo real de nuestro entorno. Esto no solo tiene aplicaciones en el segmento de consumo, sino también en el empresarial, adaptadas a las características y necesidades de cada sector. A finales del año pasado, por ejemplo, 5G y la realidad aumentada permitieron realizar una operación en Málaga con el cirujano en Japón.

Según un estudio reciente de Juniper Research, el mercado global de realidad aumentada móvil alcanzará 40 mil millones de dólares en 2024 y lo conformará en un 15 por ciento el mercado empresarial y el resto consumo. Se espera, así, que se produzca una generalización de esta tecnología en los próximos cuatro años.

El impulso de 5G y edge computing a la realidad aumentada móvil

Obviamente esto requiere algunos apoyos tecnológicos como 5G, edge computing, inteligencia artificial, asistentes personales o cascos de realidad virtual reducidos (Reduced VR-HMD). Cada cosa y la convergencia de ellas impulsará la realidad aumentada móvil. Uno de los grandes puntales es 5G tanto por la promesa de grandes velocidades de navegación y transferencia de datos como por los nuevos casos de uso. Y lo acompaña edge computing que, con su reducción de latencia, contenidos más próximos y procesamiento cercano de la información, se acerca al paradigma de cloud distribuido, o cloud ubicuo. De esta forma, 5G y edge se retroalimentan para apoyar la realidad aumentada móvil.

Aplicaciones en el entorno empresarial y de consumo

Solo con este impulso en el entorno empresarial se puede potenciar la gestión e interacción de entornos productivos. Por ejemplo, tener información sobreimpresa a lo que se ve en un almacén: número de parte, trazabilidad, cantidad en stock, grúa más cercana para mover el equipo o redistribución dinámica de áreas con barreras inexistentes en la vida real. Se podrá ver instantáneamente una vía de escape, tener la información de prohibido el acceso a cierta zona porque hay máquinas en movimiento o conocer en qué punto estamos… Las aplicaciones se acercan a infinito.

En el entorno del consumidor la explosión de usos sería también enorme: sobre la accesibilidad de edificios, informaciones de calles, comercios próximos o recorridos culturales, sin entrar en el gaming.

Si a esto le añadimos un asistente de voz con el que interactuar, que cambie bajo petición del usuario el entorno sobreimpreso, se avanza además bastante en la usabilidad del tema. Pensemos, por ejemplo, en el caso de atención a personas muy ancianas, a las que remotamente se les podría ir indicando el camino si se hubieran desorientado.

La guinda de la inteligencia artificial

Y la guinda a la realidad móvil aumentada se la pondría la inteligencia artificial personal, nuestro querido Mastuerzo, ¿lo recordáis? Ese Jarvis personal que haría a la vez de coordinador, asistente, buscador y quién sabe qué más.

La realidad aumentada móvil está a la vuelta de la esquina y puede significar un cambio importante en la manera en que usamos nuestros dispositivos móviles y la forma en que vemos el mundo.

Juniper, como señalaba, tiene buenos pronósticos al respecto. Mi apuesta es que a partir de ese despegue cercano que pronostican va a crecer aún mucho más porque es algo que se va a integrar en nuestras vidas como ya lo ha hecho Internet o con mayor naturalidad y éxito aún.

Imagen: Rolls Royce Power Systems

#NoticiasCiberseguridad: Boletín de ciberseguridad semanal 6-10 de enero

ElevenPaths    10 enero, 2020

Ataques a servidores Pulse Secure VPN con ransomware Sodinokibi

Una vulnerabilidad en Pulse Secure VPN (CVE-2019-11510) está siendo utilizada por agentes amenaza para introducir el ransomware Sodinokibi (REvil) en las organizaciones que no tienen dicho software parcheado. El investigador de seguridad Kevin Beaumont señala que el error de Pulse Secure VPN es crítico ya que permite a los atacantes remotos, sin credenciales válidas, conectarse remotamente a la red corporativa, deshabilitar la autenticación multi-factor y ver los registros y las contraseñas en texto plano almacenadas en caché, incluyendo las contraseñas de las cuentas de Active Directory. Según un análisis realizado el pasado cuatro de enero por la empresa de seguridad Bad Packets, existen hasta 3.825 servidores VPN Pulse Secure que no habían sido parcheados. Algunos investigadores apuntan a que el incidente de seguridad que sufrió la empresa Travelex, que se apuntó días más tarde habría sido como consecuencia de una infección por Sodinokibi, podría guardar relación con una falta de parcheado de algunas vulnerabilidades en servidores Pulse Secure VPN.

Más información: https://doublepulsar.com/big-game-ransomware-being-delivered-to-organisations-via-pulse-secure-vpn-bd01b791aad9

Mozilla parchea vulnerabilidad 0-day en Firefox

Mozilla ha lanzado Firefox v72.0.1, una nueva versión del navegador web que corrige una vulnerabilidad 0-day que estaría siendo explotada activamente. Este fallo afecta a IonMonkey, que es el compilador JIT para SpiderMonkey, el intérprete de JavaScript que se emplea en Firefox. La vulnerabilidad fue categorizada como type confusion, un error en el que una entrada de la memoria se asigna inicialmente como un tipo, pero se cambia a otro durante su manipulación, causando errores en el procesamiento de los datos, pudiendo dar lugar a la ejecución de código en un sistema vulnerable. Desde la propia compañía aseguran que este fallo ya está siendo aprovechado por actores maliciosos.

Más información: https://www.mozilla.org/en-US/security/advisories/mfsa2020-03/#CVE-2019-17026

PowerTrick, nueva puerta trasera de TrickBot

Los actores amenaza detrás de TrickBot habrían desarrollado una nueva puerta trasera en PowerShell denominada PowerTrick cuyo objetivo final sería evitar las restricciones y los controles de seguridad más actualizados para atacar objetivos de alto valor como instituciones financieras. Según los investigadores de SentinelLabs que han analizado esta nueva amenaza, esta nueva puerta trasera se desplegaría como un módulo después de que la infección inicial de TrickBot se haya hecho con el control del sistema, y estaría diseñado para ejecutar comandos y devolver los resultados codificados en Base64. La amenaza fue descubierta una vez que se identificó un script de puerta trasera que establecía contacto con uno de los servidores Command & Control de Trickbot, desde el que los operadores proceden a enviar el primer comando en forma de descarga de PowerTrick.

Más información: https://labs.sentinelone.com/top-tier-russian-organized-cybercrime-group-unveils-fileless-stealthy-powertrick-backdoor-for-high-value-targets/

Vulnerabilidad en Paypal permite obtener contraseñas de usuarios

El investigador de seguridad Alex Birsan ha informado sobre la explotación de una vulnerabilidad que afecta a Paypal y por la que se podrían obtener contraseñas de usuarios. El error fue reportado a PayPal a través de HackerOne el pasado día 18 de noviembre y la compañía no lanzó un parche hasta el 11 de diciembre, tras haber verificado toda la información. Birsan descubrió un fichero Javascript dinámico en la plataforma que contenía los valores csrf y el _sessionId utilizados para la resolución de reCaptcha. Al encontrarse esta información en JavaScript, los datos eran accesibles mediante un cross-site script inclusión (XSSI), con lo que siguiendo una serie de pasos podría obtener las contraseñas de los usuarios aprovechando los citados valores y la funcionalidad reCaptcha. PayPal ha corregido la vulnerabilidad implementando una tercera clave necesaria en la resolución del captcha que no es explotable por un XSSI. Como consecuencia de este vector de ataque se ha demostrado que la compañía mantenía las contraseñas los usuarios en texto plano.

Más información: https://medium.com/@alex.birsan/the-bug-that-exposed-your-paypal-password-539fc2896da9

Nuevo ataque contra SHA1

Un grupo de investigadores ha descubierto un nuevo mecanismo para encontrar colisiones en el algoritmo de hash criptográfico SHA1. Si bien en el pasado ya se habían publicado otros ataques capaces de identificar colisiones, con este nuevo descubrimiento se reduce la complejidad y se dispone de una mayor versatilidad. Una aplicación posible de este ataque es la suplantación de claves PGP, mediante una falsificación de su firma. Esto apoya la recomendación ya existente de evitar el uso de SHA1 en nuevos proyectos y su reemplazo siempre que sea posible.

Más información: https://eprint.iacr.org/2020/014.pdf

¿Qué hacer ante el fin del soporte de Windows 7?

Andreu Esteve de Joz    10 enero, 2020

El próximo 14 de enero es una fecha señalada para los que tengan equipos con Windows 7, ya que a partir de ese día Microsoft dejará de ofrecer soporte a este sistema operativo.

Si no tomamos medidas al respecto, mantenerlo en los equipos puede suponer un grave riesgo para la seguridad de la empresa.

Riesgos que no merece la pena correr

Con un sistema operativo sin soporte oficial, Microsoft no se compromete a poner a disposición del usuario actualizaciones del sistema operativo que garanticen la protección frente a las últimas amenazas de seguridad.

De esta forma, seremos más vulnerables a recibir ciberataques que afecten a los equipos, es decir, a la información que contengan y a los programas que ejecuten.

BAF promoción

Entonces, ¿vale la pena asumir este riesgo? Desde nuestro punto de vista, no.

En primer lugar, porque un ciberataque afectaría al día a día del negocio, comprometiéndolo durante un periodo de tiempo con pérdidas irrecuperables, y afectando también a la reputación de la empresa.

Según datos de IDC de 2018, el 56% de los usuarios que vean comprometidos sus datos no confiarán más en la organización.

Y en segundo lugar, porque desde la entrada en vigor del Reglamento General de Protección de Datos (RGPD), las empresas al ser las responsables de garantizar la seguridad de los datos personales que recopilen, tienen la obligación de comunicar a la Administración si han recibido un ciberataque, exponiéndose así a ser sancionadas.

Windows 10, mejor si es versión empresarial

De esta forma, Windows 10 se posiciona como la mejor alternativa para tener un entorno seguro que fomente la productividad de los equipos.

Windows 7 se une a la lista de sistemas operativos sin soporte que ya conformaban Windows XP o Windows Vista, pero a la que aún no pertenece Windows 8.1, que tiene el fin de soporte extendido previsto para el 10 de enero de 2023.

Windows 10 es el sistema operativo de referencia para Microsoft. Desde su lanzamiento en 2015 ya conocemos sus ventajas: un sistema polivalente para ordenadores y dispositivos 2 en 1 como la gama Surface y que se caracteriza por ser más ligero, potente y seguro que sus antecesores, también añade integración con Cortana y otras soluciones cloud de Microsoft.

Frente a la modalidad «Home«, las versiones empresariales de Windows 10 -que son las idóneas para uso profesional- se distinguen por incluir protección integral contra amenazas de seguridad con Bitlocker, Windows Hello… y otras opciones avanzadas como acceso vía escritorio remoto, opciones de identidad centralizada y la posibilidad de configurar máquinas virtuales con Hyper-V.

Alternativas para actualizar a Windows 10

De cara a actualizar los equipos con Windows 7 a Windows 10, ¿qué opciones hay en el mercado?

Nuevos equipos

Muy fácil, la primera opción es aprovechar este momento para sustituir los equipos por otros PC más ligeros, potentes y seguros que ya incluyan Windows 10.

De esta forma, potenciaremos el trabajo en movilidad, los empleados serán más productivos y la administración de los dispositivos será más eficiente, al disponer de un parque homogéneo con el sistema operativo más actualizado.

Es importante que los equipos para uso profesional sean de gama empresa, que se distinguen de otros usos por tener mayor autonomía, un diseño más ergonómico e incluir más opciones de seguridad y conectividad.

Microsoft 365

Y si ya disponemos de Office 365 o queremos modernizar el puesto trabajo al completo, la mejor alternativa es Microsoft 365. Es un servicio que ha revolucionado el mercado, porque en modo suscripción mensual incluye:

  • Servicios de colaboración y productividad de Office 365, como Teams, Onedrive o las aplicaciones Office instalables hasta en cinco equipos por usuario.
  • Soluciones avanzadas de seguridad (Enterprise Mobility + Security), para proteger la información, independientemente de dónde esté ubicada, en los equipos o en la nube. 
  • Y la posibilidad de actualizar a Windows 10 siempre y cuando partamos de Windows 7 Pro o Enterprise.

Para casos excepcionales, en los que las empresas deban mantener Windows 7 en determinados equipos, Microsoft ofrece la opción de extender el soporte hasta 2023. Se trata de una alternativa de pago, que aunque sea minoritaria para las pymes, es mejor que mantener equipos con sistemas operativos sin soporte.

La mayor red de blockchain privada en España, una iniciativa de Telefónica y parques científicos y tecnológicos

Alberto García García-Castro    10 enero, 2020

Como venimos contando en este blog, es una realidad que blockchain empieza a ganar relevancia en el ámbito empresarial, donde otorga una capa adicional de transparencia y confianza a las operaciones tradicionales en grandes corporaciones. Ahora, gracias al convenio de colaboración entre la Asociación de Parques Científicos y Tecnológicos de España (APTE) y Telefónica para la creación de la mayor red de blockchain privada en España, miles de pequeñas y medianas empresas también podrán aprovechar las ventajas que esta tecnología proporciona, sin los inconvenientes derivados de su complejidad y coste.

Esta iniciativa se convierte en una de las mayores experiencias de adopción de esta tecnología en nuestro país, ya que podrá ser utilizada por las más de 8.000 empresas que albergan los parques miembros de la asociación.

TrustOS: los beneficios de blockchain sin su complejidad

El acuerdo comenzará con el despliegue del piloto BLOCKPCT, en el que Telefónica ofrecerá su plataforma TrustOS. Gracias a ella, los miembros de la APTE y las empresas a las que dan servicio podrán desarrollar sus soluciones, aprovechándose de los beneficios que ofrece la tecnología blockchain, pero abstrayéndose de su complejidad. Dicha solución les ofrece componentes estándar para desarrollar soluciones de trazabilidad, almacenamiento seguro de información, gestión de activos digitales, etc. a través de una API, sin necesidad de conocer las tecnologías subyacentes.

Casos de uso: identidad y «tokenización»

En un primer momento se llevará a cabo una prueba de concepto de tres meses en la que se probarán dos casos de uso: identidad y “tokenización”. Por un lado, dentro del llamado servicio de identidad digital innovadora se creará un catálogo público gestionado por la APTE, en el que se podrá consultar si una empresa ha sido acreditada como innovadora a través de un registro inmutable de los certificados expedidos por los parques tecnológicos.

Por otro lado, se generará un token que las compañías pertenecientes a la APTE podrán integrar con sus productos y servicios para intercambiar valor con otras empresas y clientes y crear así mercados digitales confiables. También servirá para involucrar a los usuarios en el uso de estas soluciones mediante el desarrollo de mejores estrategias de “gamificación”.

El despliegue de dichos casos de uso se realizará en colaboración con la consultora tecnológica iZertis.

Finalizada esta fase, la infraestructura irá creciendo progresivamente a medida que se unan nuevos parques y empresas para desplegar sus proyectos.

Independencia y descentralización de los datos: claves de la plataforma

La plataforma utiliza una red de Hyperledger Fabric, la alternativa más frecuente para el desarrollo de soluciones blockchain empresariales en el ámbito de las tecnologías de registro distribuido (DLT o, Distributed Ledger Technologies). Gracias a ella y a la capa de API que añade TrustOS, las empresas podrán desplegar sus casos de uso sobre una infraestructura descentralizada compuesta por nodos gestionados por los parques tecnológicos, lo que proporciona un entorno confiable para desarrollar los proyectos.

Dicha plataforma se desplegará dentro de Cloud Garden, el servicio de Telefónica Empresas con el que las organizaciones pueden desplegar soluciones que utilizan big data, inteligencia artificial o blockchain de forma ágil. Les proporciona la capacidad de escalar y adaptarse a las necesidades de negocio, así como la velocidad y flexibilidad necesarias para modernizar y lanzar rápidamente nuevos servicios digitales para sus clientes.

El proyecto BLOCKPCT garantiza la independencia y descentralización de los datos almacenados dentro de la red, lo que genera mayor confianza a las empresas, ya que no dependerán de una única entidad centralizada que gobierne toda la plataforma. Los 52 parques tecnológicos podrán disponer así, dentro de la mayor red de blockchain privada en España, de sus propios nodos dentro de la red, de forma que una vez almacenada la información sea imposible modificar o eliminar los datos registrados.

Imagen: Mars P.

¿Qué se espera de la Inteligencia Artificial en el 2020?

Olivia Brookhouse    10 enero, 2020

A finales de 2019 lanzamos en Twitter la campaña #LUCAtothefuture para explorar qué tecnologías basadas en Inteligencia Artificial serán protagonistas en este nuevo año. No es difícil predecir que 2020 será un año importante para la IA, igual que lo han sido los años anteriores. Ya en 2019 muchas industrias reconocían la IA como una necesidad, pero actualmente ya empezamos a ver su incorporación en muchos aspectos de nuestra vida cotidiana.

La IA ya no es una tecnología disruptiva, sino la base del éxito.

En 2020 empezaremos a ver como la IA se vuelve una parte totalmente relevante no solo de los negocios sino también de nuestro día a día, si es que no lo ha hecho hasta ahora. En nuestra encuesta de Twitter, te pedíamos que eligieses en cuál de los siguientes campos te gustaría ver avances sobre Inteligencia Artificial. Los vamos a ver uno a uno, ordenados según las preferencias de los participantes en la encuesta.

Figura 1: Encuesta en Twitter #LUCAtothefuture
Figura 1: Encuesta en Twitter #LUCAtothefuture

Telemedicina

La telemedicina es la práctica de atender a los pacientes a distancia utilizando varios servicios conectados a la red. También se utiliza para referirse al uso de la IA avanzada y el Machine Learning para diagnosticar enfermedades. La telemedicina es vital para proporcionar un diagnóstico y tratamiento rápido cuando no es posible asistir a una cita presencial. Hace apenas unos días, el software de IA de Google DeepMind logró identificar un cáncer de mama con mayor precisión que los radiólogos. Esto demuestra que los médicos deben incorporar esas tecnologías en sus prácticas. Empresas como Gyant están desarrollando un chatbot médico que, con el uso de los datos de los pacientes, puede asesorar para un tratamiento apropiado con muy buenos resultados (tasa de satisfacción de los pacientes 4.9/5 ).

¿Qué esperamos en 2020?

Para 2020, en el área de la Telemedicina, esperamos que:

  • La telemedicina llege a las comunidades más vulnerables y sustituye las visitas presenciales
  • Aumente del uso de la videoconferencia en los países desarrollados
  • Mejoren los chatbots de asesoramiento médico
  • Se introduzca el control virtual de enfermedades crónicas con el desarrollo de dispositivos de “hospital en casa”

Drones repartidores

Aunque el gasto militar continuará siendo el principal contribuyente al consumo de drones, muchas industrias de diversos tipos se han dado cuenta de la utilidad de estos, desde la gestión de existencias o las entregas a domicilio hasta la fotografía.

Los drones repartidores, también conocidos como UAV (vehículos aéreos no tripulados), están transformando el mercado de la logística y reemplazando los métodos de transporte tradicionales. En junio de 2019, Amazon anunció en su conferencia sobre IA que las entregas con drones mejorarían enormemente la eficiencia de su servicio de entrega y que esperan lanzar completamente Amazon Air en 2020. Deberíamos esperar que a esto se sumen otras de las grandes compañías.

¿Qué esperamos en 2020?

Para 2020, en el área de Drones repartidores, esperamos que:

  • Aumente el uso de los drones repartidores por parte de las grandes compañías para entrega de mercancías, especialmente en los Estados Unidos.
  • Mejore el alcance de los drones para llegar a zonas alejadas
  • Hay un mayor control jurídico de los drones

Vehículos autónomos

Hace ya muchos años que esperamos la llegada de los coches autónomos, pero ¿cuán cerca estamos de que se haga realidad?

Hasta ahora, la tecnología está restringida a maniobras específicas como la dirección, la aceleración o la desaceleración y cualquier otra automatización sólo puede realizarse en áreas cerradas. El principal obstáculo para muchas empresas es la mejora de la precisión de los sistemas de percepción, que permite a los vehículos comprender su entorno.

Tesla ha adquirido este año una Start-Up especializada en la identificación de objetos, llamada Deep Scale, que le ayudará a alcanzar al nivel 3 de automatización, donde los vehículos son completamente responsables de la supervisión del entorno de conducción. Elon Musk comentó que sus coches son «capaces de conducir desde casa hasta el trabajo, prácticamente sin intervenciones, pero con supervisión».

¿Qué esperamos en 2020?

Para 2020, en el área de Vehículos Autónomos, esperamos que:

  • Aumenten las horas de prueba para desarrollar un sistema de percepción a través del Machine Learning
  • Se evolucione desde el nivel 2 de automatización (Automatización de la asistencia al vehículo) hasta los niveles 3 y 4 (vehículos de autoconducción)
  • Aumente la discusión sobre cuestiones de responsabilidad civil

Asistentes robóticos, físicos y virtuales 

Aunque algunas películas de ciencia ficción de los últimos 20 años han presentado una visión negativa de la robótica, la realidad nos muestra cómo los asistentes robóticos, tanto en términos físicos como virtuales nos ayudan en muchos aspectos de nuestras vidas.

Japón ha anunciado que los robots tomarán un rol importante en los Juegos Olímpicos de Tokio de 2020; algunos se usarán para recoger y distribuir equipaciones; otros permitirán que las personas asistan al evento de manera virtual.

El área de la robótica está creciendo a un ritmo excepcional, volviéndose más inteligente cada día, pero las empresas utilizan principalmente la Inteligencia Artificial Estrecha (ANI) para realizar tareas específicas. Por otro lado, la Inteligencia Artificial General permanece en su etapa inicial, algunos expertos creen que todavía estamos, al menos, a 50 años de distancia de la robótica de tipo humano.

En los últimos años esta innovación tecnológica se ha hecho más presente en las vidas de los usuarios. Una muestra de ello es la implementación de asistentes virtuales en su día a día como es el caso de Telefónica, cuya Inteligencia Artificial, Aura, está presente en 8 países con más de 1.300 casos de uso, ofreciendo respuestas personalizadas e inmediatas a sus clientes.

¿Qué esperamos en 2020?

Para 2020, en el área de Asistentes Robóticos, esperamos:

  • Que se dedique más atención a la Inteligencia Artificial General
  • El Desarrollo de asistentes físicos domésticos por parte de Big Tech para realizar tareas rutinarias
  • La incorporación de asistentes digitales en el ámbito laboral para realizar tareas rutinarias
  • Que el 50% de las búsquedas sean realizadas con voz
  • Que chatbots inteligentes den servicio al cliente

La próxima década promete cosas emocionantes para el desarrollo de la IA, en todas las industrias y en cualquier aspecto de nuestras vidas. Síguenos en Twitter para asegurarte de que no te pierdes nuestra serie de #LUCAtothefuture. También exploraremos las cuestiones éticas que acompañan en el desarrollo de muchas de estas tecnologías.

Para mantenerte al día con LUCA, visita nuestra página web,  suscríbete a LUCA Data Speaks o síguenos en TwitterLinkedIn YouTube.

Los 24 pasos para crear una empresa de éxito

Raúl Alonso    10 enero, 2020

¿Es posible aprender a emprender? El profesor Bill Aulet considera que sí. Para demostrarlo ha ideado un modelo de creación de empresas en 24 pasos, que asegura es una precisa guía para lanzar productos innovadores de éxito.

Concebido casi como un juego de sobremesa, las 24 casillas diseñadas culminan el recorrido que conlleva la creación de una startup en un periplo poco ortodoxo. Por ejemplo, propone que no nos preocupemos por el modelo de negocio hasta pasado el ecuador del proceso.

Para profundizar en el modelo de empresa de éxito creado por Bill Aulet, director del Martin Trust Center del MIT (Massachusetts Institute of Technology), es recomendable leer La disciplina de emprender (LID Editorial).

Los 24 pasos del modelo Bill Aulet

A modo de aperitivo, esbozamos los 24 puntos y los objetivos de cada uno de ellos para crear una empresa de éxito.

1. Segmenta el mercado

No hay empresa sin potenciales clientes. El primer paso propuesto es identificar los diferentes perfiles de usuarios finales de la idea de negocio o la tecnología que se va a desarrollar. Construir el modelo de negocio desde la óptica del cliente es el objetivo de esta primera casilla.

2. Selecciona un mercado inicial

Abordar todos esos mercados desde el arranque de la actividad puede ser un suicidio para una startup, en la mayoría de las ocasiones con recursos limitados. Por ello, se debe seleccionar el segmento del mercado que se considera prioritario o estratégico.

3. Traza el perfil del usuario final

Llega el momento de profundizar en el conocimiento del usuario. Utilizando técnicas de investigación primaria se debe hacer una descripción demográfica de ese segmento, cifrando su potencial de crecimiento y determinando sus necesidades.

Además de para no perder el foco en el usuario final, la información debe servir para entenderle mejor y, muy importante, calcular el tamaño del mercado total disponible (TAM).

4. Calcula el TAM del mercado inicial

La cifra de TAM sería la resultante de controlar el cien por cien de cuota de ese mercado. Es muy importante para evaluar si es rentable y/o abarcable.

5. Describe al personaje del mercado inicial

Todas las decisiones que se van a tomar serán más sencillas y efectivas si se conoce al detalle al cliente: género, edad, dónde se informa y reúne, tipo de trabajo, nivel económico, lugares de compra y medios de pago, preocupaciones y motivaciones, ocio, deportes…

6. Caso de uso de la vida útil del producto

Se trata de identificar cómo encaja el producto dentro del flujo de trabajo del personaje, un ejercicio de gran utilidad para identificar barreras de entrada en el proceso de venta.

Creación “online” de empresas, una realidad en 2021

7. Especificación de alto nivel del producto

Hay que crear una representación visual lo más detallada posible, así como la ficha de producto. Esto ayuda a que todo el equipo aúne su percepción en una misma y única idea.

8. Cuantifica la propuesta de valor

Un nuevo paso para perfeccionar el producto es concretar tanto como sea posible el valor real que ofrece al cliente.

Solo cuando sepamos qué cualidades son las más importantes para él, podremos comunicarlas con claridad y continuar trabajando en su mejora.

9. Identifica a tus próximos diez clientes

Hay que validar al personaje creado y todos los supuestos realizados hasta el momento. Para ello se debe identificar a diez potenciales clientes y comprobar que reúnen las mismas características descritas.

10. Define tu esencia

Qué haces mejor que nadie o qué valores serán muy difíciles de copiar por los demás operadores. Los recursos con los que cuentes deben enfocarse en reforzar estos valores.

11. Fija tu posición competitiva

Siempre desde la óptica del personaje, se debe representar la posición de producto frente a otras alternativas del mercado.

Hay que tener en cuenta que las preferencias siempre deben ser concretadas en los beneficios de uso, y que estos no siempre coinciden con las fortalezas competitivas que el emprendedor ha identificado.

12. Determina la UTD

Un paso de gran importancia consiste en identificar la UTD (unidad de toma de decisiones del cliente), es decir, a todas las personas que están involucradas en la toma de decisión de comprar tu producto. Aquí estarían incluidos los que influyen, ya sean medios de comunicación, influenciadores profesionales, publicidad o un colectivo, como los dietistas para introducir un nuevo alimento.

Este ejercicio va servir para determinar el costo de adquisición del cliente.

13. Haz un esquema del proceso de adquisición del cliente

Recorre el camino que los miembros de la UTD hacen hasta tomar su decisión de compra.

Este ejercicio ofrece una visión de la mayor o menor complejidad del proceso, identificando los obstáculos que habrá que salvar.

14. Calcula el tamaño total disponible de los próximos mercados

Dando por hecho que se alcanzará el éxito en el mercado inicial, se deben calcular los ingresos anuales que ofrece la explotación de los otros mercados.

Además de evidenciar el potencial de escalado del negocio, mostrar la recompensa que espera tras el esfuerzo motiva a todo el equipo para avanzar con rapidez.

15. Diseña un modelo de negocio

El paso de diseñar un modelo de negocio implica crear diferentes modelos para luego elegir el que mejor defiende todos los intereses clave del proyecto.

Aulet considera que esta elección debe reducir dramáticamente el coste de adquisición de cliente (CAC) e incrementar el valor a largo plazo de un cliente adquirido (VLP),  aportando grandes ventajas competitivas.

16. Determina tu política de precios

Se debe fijar la política que servirá para determinar el precio del nuevo producto. Siempre hay que tener claro que pequeños cambios en los precios pueden tener un gran impacto sobre la rentabilidad.

17. Calcula el VLP de un cliente adquirido

Se trata de estimar el valor presente neto del total de beneficios que obtendrás de un nuevo cliente sobre el valor a largo plazo de ese cliente.

El VLP (valor a largo plazo) debe ser de al menos tres veces superior al del CAC (coste de adquisición de cliente).

18. Haz un esquema del proceso de ventas para adquirir un cliente

Se trata de visualizar las estrategias en el corto plazo, pero también en el medio y largo. Este desarrollo es imprescindible para seguir calculando el VLP.

19. Calcula el CAC

No abandonamos la calculadora, ahora para estimar los costes de ventas y de marketing de nuevos clientes sobre un determinado período. Esta cantidad se debe dividir por el número de nuevos clientes para estimar el coste de adquisición de cliente (CAC).

20. Identifica tus supuestos clave

Los supuestos económicos sirven para simplificar la realidad y construir modelos económicos.

En este ejercicio de síntesis es necesario suponer que pasan ciertas cosas para poder predecir qué ocurrirá. Por ejemplo, que si bajamos el precio de producto, vamos a vender más.

Identificar los supuestos clave del modelo de negocio en esta fase inicial debe servir para saber hacia dónde dirigir las inversiones principales para el desarrollo de producto.

21. Prueba tus supuestos clave

Se debe experimentar de forma barata con los supuestos económicos que acabamos de identificar. Así se sabrá cuáles son válidos y ciertos y cuáles no, con una mínima inversión de tiempo y dinero.

22. Define el PMVE

Para validar si el cliente obtiene valor del producto y si está dispuesto a pagar por ello, hay que definir el producto mínimo viable de la empresa (PMVE).

Es el inicio de un ciclo de retroalimentación de información con el mercado que nunca finalizará.

23. Demuestra que “los perros se comerán la comida para perros”

Aunque no parece muy afortunada esta frase, con esta comparación el autor propone en la recta final del modelo comprobar qué ofrece el PMVE al cliente objetivo, obteniendo métricas de tasa de adopción de producto.

Los números no mienten, ahora debemos saber si el producto merece o no la confianza del mercado.

24. Desarrolla un plan de producto

Es el momento de pensar en el largo plazo y desarrollar un plan de las funcionalidades que iremos añadiendo al PMVE, incluyendo también cómo vamos a dirigirnos a los mercados adyacentes.

Entre otras muchas cosas, este plan debe servir para fidelizar el talento del equipo, motivándole para que acompañe el proyecto más allá de su fase de lanzamiento.

Imagen de MasterTux en Pixabay.