Y tú, ¿has dejado ya de cambiar las contraseñas periódicamente?

Sergio de los Santos    30 abril, 2019

Se atribuye a Bernard Shaw la frase de que los políticos y los pañales deben cambiarse a menudo… y por las mismas razones. Pero… ¿Y las contraseñas? Hasta ahora, la mayoría ha dado por hecho que también deben modificarse periódicamente, pero cada vez son más las voces en contra de este movimiento hasta que Microsoft ha eliminado esta política como «base» para la seguridad de Windows.Ha tenido la osadía de romper con años de tradición y no solo eso, sino que literalmente califica la medida de «obsoleta» y «sin ningún valor». ¿Dejamos de cambiar las contraseñas periódicamente? Como siempre, el mensaje de Microsoft (y otras tantas voces) es tan matizable, que puede llevar a su vez a más confusión que beneficio si no se entienden sus consecuencias. Veamos.

Pero entonces, en primer lugar, ¿por qué se pedía el cambio de contraseña?
Suena a buena idea en teoría, pero no tanto en la práctica. Sí, sabemos que un humano obligado a cambiar su contraseña a menudo, fundamentalmente tenderá a repetir un patrón, donde con alta probabilidad se añada un número al final de una palabra y se vuelva totalmente predecibles si dispones de algún valor de la secuencia. Si se le obliga a cambiarla por completo, no podrá recordar sus contraseñas y acabará por escribirlas, cosa que trae más daño que beneficio. Por supuesto, una de las soluciones es un gestor de contraseñas, pero cuando la contraseña es la de «log in» en el propio Windows (o en todo un directorio activo), resulta más complejo. Tu gestor de contraseñas estará «detrás» de la contraseña que necesitas para abrirlo. ¿Y un gestor en el móvil? Estaría bien, pero tendrías que teclear la contraseña compleja mirando al móvil. ¿Otras soluciones? Sí, pero son tokens o lectores más caros. No es cómodo. Al final es necesario memorizar alguna contraseña.

La idea de modificar una contraseña (en concreto las de Windows) cada cierto tiempo, tenía sentido porque en teoría, debía permanecer vigente siempre menos tiempo del que emplearía un potencial atacante en crackearla. Imaginemos una de las muchas técnicas para robar la SAM o volcar la memoria. Estos valores serán atacados por diccionario o fuerza bruta. Si la contraseña es compleja, para cuando la averiguase, el usuario ya la habría modificado. Pero si nos vamos a la práctica, es cierto que hay muchos factores por los que esta argumentación se puede cuestionar hoy por hoy:

  • Ya no se usa LM por defecto y además la potencia de cálculo para realizar crack hoy en día acorta los tiempos, gracias a precálculos como las rainbow tables, etc. ¿Debemos cambiarla cada pocos días entonces? No suena demasiado práctico.
  • Existen otras técnicas que no necesitan de la contraseña en claro. A no ser que pretendas impresionar en un informe de red team, podría usarse pass the hash, por ejemplo.
  • Existen ya sistemas como el Multi Factor Authentication en Azure que permite una integración fácil con el directorio activo. 
  • Si finalmente se crackea «contraseña1» y no le funciona al atacante porque ya la cambió la víctima, hay una altas probabilidades de que sea «contraseña2» o sucesivas si el usuario la modifica a menudo.
  • Hoy por hoy, los segundos factores de autenticación son más comunes… Aunque de nuevo, no tanto en los entornos Windows corporativos.
  • Si el atacante llega a controlar un equipo, realmente tendría acceso a la contraseña prácticamente en texto claro si quisiera gracias a varios programas que permiten recuperarla directamente de la memoria.

¿Y esta nueva tendencia?
Microsoft lo deja claro: Siempre podrás imponer tu política de cambio, pero deja de requerirlo en sus plantillas de «seguridad básica», para que si el administrador está obligado a cumplirlas, se libre de este «check point» al menos. 

Argumenta que cambiarla solo sirve si fuesen robadas durante su vigencia. Y claro, si no son robadas porque están protegidas gracias a una política de seguridad robusta, cambiarlas no es necesario. Y si no has implementado política de seguridad alguna, cambiarlas no alterará en nada tu fatal destino, así que menor no intentarlo. ¿o es este un argumento circular realmente vacío?¿Tenemos que recordar que implementar más y mejores medidas no garantiza la seguridad absoluta? Además esta afirmación viola los fundamentos de la seguridad en profundidad, confiando en una capa de protección superior que desmerece a una mitigación preventiva como es el cambio de contraseña. Tendríamos que valorar hasta qué punto esta medida entorpece en cada ámbito, y si no es así, no vemos por qué puede resultar obsoleta o sin valor. Más bien dependerá de cada usuario, y no deben mandarse mensajes tan tajantes a la ligera.

¿Entonces ya no cambiamos las contraseñas?
Aquí haría una enorme distinción entre usuarios de Windows corporativos (para los que se ha modificado la política) y el resto de servicios protegidos por contraseñas. Un usuario de Windows corporativo es un tipo muy particular de usuario, su contraseña tiene un valor “limitado” dependiendo de sus permisos, y se encuentra en un entorno donde se espera que un administrador vele por su seguridad. Aunque cueste creerlo, para el malware la contraseña de usuario de Windows tiene muy poco valor y no tantas muestras intentan robarla. Mucho malware se asienta en el sistema con todos los privilegios y pocas veces envía la SAM o vuelca la memoria para el atacante. Sin embargo, cualquier otra fórmula de acceso a servicios de terceros (desde espacio en la nube hasta el correo pasando obviamente por los bancos) son un claro objetivo del malware y las muestras que roban esas contraseñas son innumerables. 

Pero las contraseñas Windows sí tienen valor en entornos corporativos susceptibles de ser atacados. Es más, hoy por hoy, en la época de los APT, de las intrusiones pacientes y dirigidas donde los atacantes campan a sus anchas en los entornos durante meses antes de ser detectados, en los que quizás sean precisamente eventos como un cambio de contraseñan los que alerten de la presencia de un intruso (y no al revés)… parece que es en este momento cuando cambiar la contraseña es una medida incómoda pero necesaria. Pero nunca por sí misma, por supuesto. Además de las medidas que sugiere Microsoft para mitigar el robo, sería necesario añadir la educación al usuario (uso de reglas mnemotécnicas, contraseñas sencillas pero largas en vez de cortas y complejas…) como pilar fundamental. Ni que decir tiene que es necesario considerar seriamente incluir doble autenticación, registro y análisis exhaustivo de logs, etc. 

Pero sí, las contraseñas deben morir cada cierto tiempo. Imaginamos otro escenario. La contraseña privada de un certificado web se encuentra muy protegida en un entorno donde es altamente improbable que sea robada. Renovar el certificado periódicamente añade complejidad para el administrador y si bien obviamente no se eligen patrones predecibles de claves privadas de certificados, quizás haga más daño que bien su cambio (pensemos en la caducidad de certificados de cliente en el DNI, y toda la infraestructura necesaria para que haya que renovarlos cada cierto tiempo). Así que podríamos considerar eliminar esta recomendación de restringir la vida de los certificados a algunos años. ¿No sería una justificación parecida? Ahora bien, cambiar los certificados no es gratis habitualmente, y todo un negocio depende de su renovación… algo que no pasa con las contraseñas de Windows.

¡Y no solo Windows!
Pero es que Microsoft no ha sido el primero en sembrar la duda sobre la utilidad de la rotación de contraseñas. Ya desde 2017, en el párrafo 9 de las Digital Identity Guidelines del NIST, se dice A-B5: SP 800-63B sección 5.1.1.2 : 

“Verifiers SHOULD NOT require memorized secrets to be changed arbitrarily (e.g., periodically). However, verifiers SHALL force a change if there is evidence of compromise of the authenticator.”

Donde básicamente se premia la reacción a la prevención. Si estas recomendaciones se amplían a todo el ámbito de la identidad digital (sistemas locales, en la nube, etc), no parece una buena idea. En el ámbito web, es importante cambiar la contraseña. La «evidencia» de compromiso no está tan clara. Aparecen leaks de bases de datos de webs y compromisos de portales constantemente, cuando para los usuarios es quizás demasiado tarde. Y por supuesto, un usuario no es consciente de si un malware le ha robado la contraseña de un servicio si no han saltado sus sistemas preventivos. Así que esto hay que tomarlo como una recomendación que no hay que malinterpretar, porque otros estándares muy importantes como PCI, todavía recomiendan un cambio cada 90 días.

Conclusiones

En 2012 se inauguró el «change your password day», donde se animaba a atodo el mundo a cambiar la contraseña el 1 de febrero. El 2 de mayo es también el «WordPassWordDay» para recordar la importancia de proteger las contraseñas. Algunos prefieren el «strong password day» . Pero no es necesario elegir. Pueden ser fuertes, estar arropados por otras tecnologías y además expirar periódicamente. Es bueno replantear paradigmas arraigados, pero habría que sopesar ese supuesto coste de cambio de las contraseñas en cada entorno. En general, son más los escenarios donde parce que deberían rotar periódicamente a un coste mínimo, acorde con la protección del sistema o el valor del activo protegido. Hay que diferenciar en particular entre la recomendación en entorno Windows, y cualquier otro servicio. Contraseñas fuertes, y cambiadas regularmente (tan a menudo como pueda uno sentirse cómodo) y sobre todo adaptada a las circunstancias de cada contraseña (no es lo mismo un usuario de Windows que el sistema de banca online) parece la medida más prudente.

Lo interesante sería atacar al uso de las contraseñas en sí, no a su formato. Las contraseñas siempre tendrán un componente de debilidad, y debemos elar por que no sea aún más débil de lo que ya son. Proponer sistemas con mayor seguridad a su alrededor, segundos factores, gestor de identidadespromocionar los TOTP… es una solución. Entre tanto, nuestras contraseñas deben ser fuertes, muy vigiladas, respaldadas por otros factores y… por qué no, volátiles como los pañales (siempre que merezca la pena el pequeño esfuerzo).

Plataforma Leemos: el libro, en la frecuencia de onda de los adolescentes

Carmen Menchero de los Ríos    30 abril, 2019

Decía Joseph Addison que «leer es para la mente lo que el ejercicio físico para el cuerpo». Lo afirmaba cuando comenzaban a soplar los vientos de la Ilustración, que elevó la razón a la categoría de culto. Sin embargo, si trasladamos su frase al contexto actual, es posible que defraudáramos las expectativas del célebre autor inglés En la era del conocimiento leemos constantemente, mucho más que ninguna otra generación, pero de forma tan apresurada que terminamos naufragando más que navegando por océanos de información que apenas digerimos. Y es que, como en cualquier deporte, el ejercicio de la lectura necesita desarrollarse en unas condiciones óptimas si queremos obtener el mejor rendimiento.

Por otra parte, cada época cuenta con su propio código de comunicación. Hace unos años los manuales eran el recurso habitual para adquirir de forma rápida una nueva habilidad. Ahora es frecuente acudir en busca de esta ayuda a YouTube. En el terreno del ocio la lectura continúa siendo uno de los pasatiempos favoritos para la mayoría, pero dedicamos el escaso tiempo del que disponemos más al consumo de material audiovisual que a la pausada lectura de un buen libro.

Sin embargo, aunque parezca que nuestra ajetreada vida favorece lo contrario a esa ceremonia íntima que es la lectura tradicional, conforme avanza la sociedad digital el ecosistema del libro se adapta y se está transformando. Y lo más llamativo es que lo está haciendo al margen de los circuitos oficiales, impulsado por los más jóvenes, de la mano del rutilante universo booktuber.

De hecho, el libro encuentra en la cultura 2.0 un nuevo canal de difusión que, en contra de lo que podría pensarse, ofrece bastantes más oportunidades que amenazas. Lo cierto es que no es la primera vez que compite con otros contenidos que amagan con desplazarlo. En el siglo XIX, con el auge de la prensa, debutó otra forma de contar historias y un nuevo público lector. En el siglo XX telenovelas, series y documentales desembarcaron en los hogares para disfrute de la recién alumbrada figura del radioyente o el telespectador, precedentes del moderno internauta. En uno y otro momento el libro no solo no desapareció, sino que las ventas fueron progresivamente en aumento y aparecieron nuevos géneros y formatos, como el célebre libro de bolsillo o la literatura de quiosco.

Además, es precisamente el libro el contenido cuya versión física resiste con más encono la digitalización y no solo entre el público adulto, sino también entre los más jóvenes. Si no me creéis, pensad en la iconografía booktuber, respaldada por una nutrida librería de fondo y alarde de exhibicionismo bibliófilo, como las disertaciones sobre el último alijo de obras en posesión del crítico, que ha dado lugar al nacimiento de toda una jerga asociada a este fenómeno.

Y, por último, puestos a desmontar tópicos, no es cierto que los nativos digitales ya no lean. Según el último Barómetro de hábitos de lectura y compra de libros, la población adulta más lectora se encuentra precisamente en el rango de edad que va desde los 14 a  los 24 años, periodo en el que es cierto que se producen algunas deserciones pero que luego se recuperan en la etapa que comienza a los 35 años. En algunos establecimientos incluso se pueden encontrar secciones específicas con la etiqueta “Young Adult” (YA), por más que las editoriales se resistan a atender la demanda específica del público millennial.

Tema distinto es la calidad de unos textos cuya popularidad se fragua, en el caso de los adolescentes, al margen de la escuela o los padres. Además, el fenómeno “book-fandom” no se relaciona necesariamente con una mejor comprensión lectora, lo cual es un elemento esencial para desarrollar, como decía Addison, la musculatura de nuestra mente.

Lo cierto es que los expertos sitúan la edad de 14 años como el punto de inflexión para consolidar o abandonar la trayectoria lectora de un joven porque en ese momento se es especialmente sensible a los cantos de sirena de las redes sociales. Y en línea con eso de que la mejor defensa es un buen ataque o “si no puedes con tu enemigo, únete a él”, nacen iniciativas como la Plataforma Leemos, que busca conectar con los adolescentes utilizando su misma frecuencia de onda para potenciar una dimensión social de la lectura que enganche con su necesidad de publicar y compartir todas sus pasiones y actividades, en una época de la vida muy proclive a intensas filias y fobias.

El programa viene auspiciado por dos entidades que buscan aunar el afán por fomentar la lectura, como es el caso de la Fundación José Manuel Lara, con la vocación digital de Fundación Telefónica. Pero Leemos no solo ofrece una biblioteca digital gratuita, sino todo un ecosistema colaborativo en el que los protagonistas son los alumnos, de 10 a 14 años, dentro del entorno escolar.

La participación en el proyecto requiere la inscripción del centro escolar en la plataforma a través de un sencillo formulario. Una vez que se ha dado de alta, los docentes pueden acceder para registrar a los alumnos y realizar su seguimiento. Los recursos disponibles van más allá de una nutrida colección de obras; el equipo docente recibe asesoramiento sobre cómo obtener el mayor provecho del programa y puede participar en distintas propuestas de animación a la lectura, que abarcan desde la creación de clubes para primaria y secundaria a la formación de una cantera escolar de pequeños booktubers. La iniciativa, atenta a las reglas de juego en el entorno 2.0, rescata también el potencial de prescripción de los propios adolescentes a través de la figura del mentor, que promueve que sea un niño mayor quien apadrine a otro de cursos inferiores en sus lecturas.

La clave del programa consiste en implicar a los propios jóvenes en el descubrimiento de nuevos títulos y aunar ingredientes lúdicos y pedagógicos como la metodología de aprendizaje-servicio, hoy tan de moda en cualquier tramo educativo y distintos ámbitos de actuación. En dos años ya se han inscrito más de 37.000 alumnos que cursan sus estudios en los 1.500 centros que forman parte de la plataforma Leemos, con la colaboración de las consejerías de cultura de varias comunidades autónomas.

Iniciativas como ésta aspiran a mantener la pasión por la lectura en una generación que ya ha nacido en la era digital. Es posible lograrlo y así lo demuestran casos de éxito como el que representa la famosa autora juvenil Laura Gallego, que fue capaz de convertir durante catorce años su foro literario en un auténtico fenómeno mediático para muchos adolescentes. Y es que, como ella misma dijo cuando anunció en Twitter su cierre, “más allá de Internet, lo que verdaderamente nos une son los libros”.

Cómo decidir cuándo abandonar tu sueño profesional

Alfonso Alcántara    30 abril, 2019

Cada cambio aparenta ser un fracaso cuando va por la mitad.

Gran parte de la literatura de autoayuda se centra en intentar animarnos para continuar persiguiendo nuestros “sueños”. 

Si te está costando alcanzar tus objetivos o ya has desistido, un aluvión de frases positivas y eufemismos animadores acuden a tu rescate emocional en las redes sociales, sentencias insertadas en imágenes que pretenden ser inspiradoras, pero que casi siempre se quedan solo en cursis.

Si has invertido una gran cantidad de esfuerzo y recursos sin resultado, algún gurú del pensamiento positivo te dirá, por ejemplo, que no has fracasado. sino que “abandonaste antes de dedicar el tiempo suficiente”. Yo no sé si esta reinterpretación bienintencionada me animaría o haría que me sintiera más “pringao”: ahora resulta que estaba a punto de lograrlo cuando decidí dejarlo, maldita sea.

Asimismo, cuando has andado gran parte del camino sin vislumbrar resultados, este consejo zen pretende mantenerte en ruta: “No desesperes si aún no lo consigues, quizás solo estés echando raíces”. Lo pillo, es una metáfora que intenta mostrar que, aunque de momento no haya frutos, estás consolidando las bases del proyecto. Pero eso de las raíces lo veo un poco teórico-tristón, suena a que la cosa va a ir muy lenta.

Puestos a elegir, cuando veo que mis esfuerzos no tienen la recompensa que yo creo que merecen, prefiero la reflexión de la psiquiatra Elizabeth Kubler-Ross:

Cada cambio aparenta ser un fracaso cuando va por la mitad.

Y es que me identifico mucho con esa sensación frecuente de que los proyectos parecen que no van a alcanzar nunca la meta, por mucho que perseveres. En este sentido, Doris Lessing, la Nobel de Literatura, resalta la importancia del tesón cuando reconoce que el talento es algo bastante corriente, que “lo que escasea es la constancia, no la inteligencia”. 

Seguramente tú también has comprobado que muchos profesionales exitosos no son especialmente brillantes, pero sí muy trabajadores. Es práctico recordar que los primeros avances son los más difíciles, porque nos obligan a realizar nuevos aprendizajes, crear nuevos hábitos y abandonar los improductivos y, sobre todo, a aceptar los fracasos como parte del proceso sin que cunda el desánimo.

Se puede y se debe aprender del fracaso, pero el más importante y necesario aprendizaje tras fracasar, es aceptarlo. Cuando iniciamos un nueva andadura nos parece un mundo todo lo que queda por hacer. Pero es curioso que, tras alcanzar un logro, cuando volvemos la vista atrás para analizar la trayectoria de ese éxito, tendemos a pensar que fue más fácil de lo que fue, porque perdemos de vista los obstáculos que tuvimos que superar.

Por qué abandonamos

Como motivador de profesionales y equipos, mi experiencia me dice que el abandono de un proyecto o el fracaso en la persecución de un objetivo se debe especialmente a uno o varios de estos cinco factores:

1. Avances insuficientes

La falta de resultados o los resultados negativos son el principal motivo de abandono. Y con razón.

Necesitamos obtener algún logro de vez en cuando, que nos permita continuar en la carrera y que insufle la motivación necesaria. La resiliencia se alimenta de los éxitos, por pequeños que estos sean. Si estamos poniendo casi todo de nuestra parte y los datos muestran que la cosa no va, hay que rendirse a la evidencia.

2. Planificación deficiente

La falta de conocimiento específico y cualificado sobre el sector, la actividad, las competencias o técnicas, los clientes o los competidores pueden acabar con la mejor de las intenciones.

Muchos proyectos fracasan por ir demasiado deprisa o muy lentamente, por no controlar las expectativas y, especialmente, por no obtener las “ventas”, los ingresos o los recursos necesarios para continuar o para crecer al ritmo necesario.

3. Motivación débil

En muchos casos, he comprobado que la meta o el sueño descrito por el profesional no es tan motivador como quiere creer y, por tanto, la dedicación y esfuerzo no son suficientes. Esta situación suele producirse especialmente en el caso de proyectos que tienen mucha valoración o reputación social y hacen más probable que el candidato se anime a perseguirlos.

4. Falta de soporte social

Las críticas y la falta de apoyo de profesionales, mentores, colaboradores, inversores o personas cercanas tienden a debilitar cualquier proyecto profesional. En cualquier caso, esta falta de soporte también podría calificarse como un problema de planificación, por no haber sabido conseguir los apoyos necesarios y no haber previsto la presión del entorno.

5. Meta mal definida

Muchas veces el fracaso no se produce al perseguir un objetivo, sino al no saber exactamente qué objetivo se está persiguiendo. Si el sueño profesional es etéreo, fracasamos antes de empezar.

Es importante definir con suficiente concreción la meta que se quiere alcanzar para obtener un feedback válido y fiable que nos ayude a decidir cuándo perseverar y cuándo abandonar.

Dos técnicas para dar más posibilidades a tus metas

1. Una técnica para empezar: proponte dedicar “solo cinco minutos”

Marisa es una buena profesional con competencias administrativas que quiere aprender nuevas competencias relacionadas con la programación informática. Su objetivo es reinventarse a medio plazo dentro de su empresa actual.

Para dar los primeros pasos, ha decidido realizar un par de cursos gratuitos y breves en una plataforma universitaria online, para valorar después la realización de un curso más avanzado, de mayor duración y coste. Pero me decía que no encontraba la motivación ni el momento para formarse en casa:

— Con lo cansada que vengo del trabajo, me cuesta mucho encontrar el momento para sentarme delante del portátil. No tengo tiempo.
— Y si tuvieras cinco minutos, ¿podrías simplemente sentarte un momento, abrir la primera unidad formativa del curso y dedicarle ese tiempo?
— Bueno, supongo que sí podría estar cinco minutos echando un vistazo al curso.
— ¿Hay algo que te impida empezar ahora mismo? Veo que traes el portátil. ¿Puedes abrir el curso y ponerte a trabajar ya esos cinco minutos?
— Visto así, supongo que podría empezar ya.

Cuando creas que no tienes ganas o tiempo de hacer algo, dedícale un tiempo tan corto que no puedas dejar de hacerlo.

2. Una técnica para “hacer sitio” a tus metas

— ¿Cuánto tiempo tardas en hacer una maleta para salir de viaje?
— El tiempo que tengas.

Existen dos formas de gestionar tu vida personal y profesional para dedicar tiempo a alcanzar tus objetivos: al máximo y “como se pueda”.

Puedes hacer que tu proyecto profesional sea tu vida con la dedicación máxima posible.

No se trata de encontrar tiempo adaptando tu vida actual para perseguir tus objetivos, sino de que la persecución de tus metas debe obligar a tu vida a adaptarse de forma gradual. Esta estrategia solo es posible cuando cuentas con recursos económicos suficientes para dedicar tiempo y energía a tu proyecto de forma significativa.

O puedes hacer sitio en tu vida a tu proyecto con una dedicación discrecional

Empieza dedicando a tu proyecto el tiempo mínimo diario disponible y comprobarás que la efectividad de esa dedicación es muy alta: cuanto menos tiempo tienes para realizar algo concreto, mayor suele ser su aprovechamiento.

Por ejemplo, iniciar un emprendimiento como empresario o como autónomo podría requerir una dedicación total desde su inicio o tal vez pueda ser compatibilizado con el desempeño de otras obligaciones, como un trabajo por cuenta ajena o la realización de actividades formativas. Cada proyecto o reto requerirá planes, métodos y dedicaciones diferentes según tu motivación, tu situación personal y tu perfil profesional. Tú decides.

Haz sitio en tu vida a un objetivo o haz que un objetivo sea tu vida.

La metáfora del aparcamiento: ¿qué hago si los resultados no llegan?

“Hola, ¿crees en el amor a primera vista o me doy otra vueltecita?”. Esta frase cargada de humor debería ser un arma irresistible para ligar, aunque nunca la he puesto en práctica.

La traigo aquí como una frase divertida que resalta la importancia de la constancia para conseguir lo que nos proponemos: hay que dar las vueltecitas que hagan falta si queremos que nos vaya mejor en la vida personal y profesional.

La persistencia es un valor globalmente aceptado. El tránsito exitoso por cualquier camino personal o profesional pasa por insistir, esforzarse y hacer lo que uno tiene que hacer, especialmente cuando las dudas y las malas emociones nos tientan a desistir o abandonar.

Pero, ¿qué pasa si el esfuerzo continuado no da sus frutos? Esta sería una habitual respuesta de frustración que la mayoría hemos experimentado:

—¿No estoy haciendo ya todo lo que puedo? Creo que tal vez no merece la pena, tal vez debería dejar de intentarlo y pensar en otra cosa.

Durante mis primeros años en Madrid viví en la zona de Cuatro Caminos. Las dificultades que tenía para aparcar en ese populoso barrio me inspiraron la metáfora del aparcamiento, un relato adaptable a cada caso que intenta facilitar la toma de perspectiva para decidir si continuar persiguiendo una meta o abandonarla.

Imagina que vuelves a tu ciudad tras un largo viaje en coche.
Se te ha hecho de noche y estás rumiando que seguro te será difícil encontrar aparcamiento a estas horas.
Por fin sales de la autovía y pones rumbo a la zona donde vives.
Al pasar por tu calle ves luz arriba en tu casa, seguro que te están esperando con algún plato calentito para cenar.
Además, mañana es fiesta local y no tendrás que madrugar. ¡Qué ganas de llegar!
Inicias la rutina habitual buscando el ansiado sitio para tu coche.
Has dado ya la primera vuelta a la manzana sin éxito, y la cosa no tiene buena pinta.
Y así una y otra vez.
Tras diez minutos empiezas a ponerte nervioso.
Otras veces te ha pasado lo mismo, es normal, pero esta noche estás especialmente cansado y ansioso por aparcar, ¡por qué tenía que pasar hoy!
Cambias la ruta y conduces por otras calles a ver si hay suerte, y sigues dando vueltas.
Muchos coches están estacionados en doble fila, pero tú no te quedarías tranquilo si hicieras lo mismo.
Cuando llevas media hora sin encontrar aparcamiento, detienes el vehículo y das un manotazo de rabia al volante.
— ¿Y si dejo el coche en cualquier sitio y ya está?, exclamas con desesperación. ¿Qué hago?, ¡parece imposible aparcar esta noche!

Este ejercicio sobre la perseverancia suelo utilizarlo para ayudar a los clientes que ya han invertido muchos recursos, sean tiempo o dinero, en la persecución de un objetivo o en el desarrollo de su proyecto profesional, sin obtener resultados o avances significativos.

¿Cuál sería tu decisión? ¿Continuarías intentando “aparcar” o abandonarías tu vehículo para plantearte otras opciones de “transporte”?

¿Cuál crees que fueron las opiniones o reacciones de casi todos los profesionales que escucharon la metáfora del aparcamiento? Esta conversación es representativa de sus respuestas.

— Entonces, ¿qué has decidido hacer? ¿Vas a dejar el coche en la vía pública o vas a seguir intentándolo hasta que lo aparques?
— Hombre, ¿cómo iba a dejar el coche así? Habría que seguir hasta que logre aparcarlo, no queda otra. Esto del aparcamiento me lo has contado para decirme que tengo que seguir buscando, ¿no?
— No sé, ¿tú que crees? ¿Debes seguir insistiendo o debes abandonar este objetivo y ponerte con otro?
— En fin, no sé. Ya que he llegado hasta aquí, tal vez tendré que dar algunas vueltas más, ¿no? (…)

Y tú, ¿has decidido seguir intentando aparcar?

Puede resultar inspirador que la gran mayoría de las personas elijan ser perseverantes aún cuando hayan invertido muchos meses o años, sin alcanzar lo que se proponen, incluso sin siquiera haber logrado dar pasos relevantes hacia sus metas.

La insistencia puede ser un valor cuando de insistir se trata. Pero insistir es una actitud muy ineficiente cuando son otras las razones del fracaso.

El mejor consejo que puedes dar a cualquier profesional no es que persevere, sino que persevere siempre que vaya avanzando. La vida profesional no trata de percepciones sobre botellas medio llenas o medio vacías, sino de comprobar si las estás llenando o vaciando.

A veces se trata de insistir y lo difícil es insistir; y otras veces se trata de abandonar, y lo difícil es abandonar. 

Cómo decidir cuándo abandonar

Norman Vincent, autor de El poder del pensamiento tenaz (1952), declaró que siempre es demasiado pronto para desistir”. Modestamente podríamos matizar tan optimista reflexión diciendo que aceptar el fracaso cuanto antes es una forma de empezar a abrir otras puertas.

También Malcom Forbes resaltó la importancia de la insistencia con su conocido consejo: “Si quieres tener éxito, inténtalo lo suficiente”. Sin embargo, esta recomendación la acompañó de un corolario tan realista como inquietante: “Si quieres fracasar, inténtalo demasiado”. Y de hecho muchas veces lo hemos intentado demasiado, ¿a que sí? Lo que pasa es que solo lo supimos a toro pasado.

En todo caso, tenemos que valorar los potenciales logros no solo por lo que podríamos ganar, sino también por lo que podríamos perder en el camino. Cuando estamos “subidos” en la completa inercia de la consecución de una meta o de un sueño, es muy difícil “bajarse”.
Cerrar un proyecto al que se ha dedicado mucha vida y mucho esfuerzo exige aceptar la erosión al orgullo propio que supone dar por malas algunas de las decisiones tomadas y por perdidas las inversiones ya realizadas.

Entonces, ¿cuál es la clave para poder abandonar un proyecto cuanto es necesario hacerlo?

La clave para decidir dejar de perseguir una meta profesional es establecer a priori las condiciones o criterios en que debe producirse. De esta forma evitaremos que la toma de decisiones sobre continuar o abandonar se base en lo ya realizado e invertido (el pasado), en lugar de en la viabilidad real del proyecto (el futuro).

Antes de acometer un proyecto, para decidir cuándo deberías abandonarlo, establece el tiempo y la inversión máximas que vas a dedicar.

La aceptación es una salida, no una rendición

“El que no pueda lo que quiera, que quiera lo que pueda o que acepte lo que tenga”. Cuando he compartido esta reflexión en redes sociales, algunas personas han replicado que esa actitud supone rendirse o conformarse.

Pero cuando no se obtienen resultados o avances suficientes tras una inversión razonable (y a veces irracional) de tiempo, esfuerzo y recursos, deben buscarse nuevos retos o replantear el objetivo anterior y la estrategia utilizada para superar el estancamiento.

Aceptar que no siempre se puede no es un fracaso, es un signo de madurez que puede abrir otras puertas.

Nueva investigación: «ML based analysis and classification of Android malware signatures», en la revista Future Generation Computer Systems

Área de Innovación y Laboratorio de Telefónica Tech    29 abril, 2019

La detección basada en firmas de los antivirus hace tiempo que quedó relegada a un segundo plano para dar paso a nuevas soluciones que puedan superar (o al menos, mitigar) las limitaciones que estos sistemas sufren hoy en forma de 0-days o técnicas de evasión avanzadas. Otro problema (para los analistas, más que nada) es la falta de consenso (lack of consensus) y las inconsistencias en la categorización del malware.¿Qué sutil diferencia existe entre un programa potencialmente no deseado, un malware, un troyano concreto, genérico, adware o incluso un hacktool? ¿Y si cada motor opina algo diferente? Si el usuario podría conformarse con la detección, para los analistas es difícil conocer solo con las firmas a qué se están enfrentando.

No todos los antivirus consideran las mismas aplicaciones malware, sino que las detecciones están repartidas de manera muy irregular. Es muy habitual encontrarse con muestras detectadas por uno o dos antivirus que levanta sospechas sobre falsos positivos. Otro problema es el que tratamos en nuestro reciente artículo «Machine-Learning based analysis and classification of Android malware signatures«, realizado junto a la Universidad Carlos III aceptado en la prestigiosa revista Future Generation Computer Systems.

Las inconsistencias de categorización de malware se refieren a un problema que también evidencia falta de consenso entre antivirus, en este caso a la hora de asignar una categoría al malware. Lo que se observa es que lo que para algunos antivirus puede ser una muestra de adware, otros lo consideran un troyano o un spyware, lo que dificulta enormemente el análisis de muestras de manera ordenada. Por ello, en el artículo, nuestro objetivo es analizar las distintas clases asignadas por distintos AVs e intentar obtener patrones u observaciones que ayuden a sistematizar y mejorar la clasificación de malware.

Básicamente, en el artículo partimos de una colección de más de 250.000 detecciones antivirus (unas 80.000 aplicaciones Android en total) proporcionadas por la herramienta de ElevenPaths, Tacyt. Para normalizar estas detecciones independientemente de los AVs que las hagan, utilizamos la herramienta SignatureMiner que desarrollamos dentro de esta investigación y obtenemos un total de 41 familias conocidas de malware de Android. En esta colección de familias, lo primero que identificamos son tres categorías, a las que denominamos: adware, dañinas (harmful) y desconocidas (unknown).

La categoría de adware recoge toda aquella familia relacionada con aquellas aplicaciones que se dedican a abusar de los anuncios, incluidas familias basadas en librerías así como genéricas. La categoría de «dañinos» contiene otras familias cuyos riesgos son mayores, como la exfiltración de datos, la suscripción a servicios premium o conocidas amenazas. Finalmente, la categoría «desconocidas» se refiere a todas aquellas detecciones en las que algún antivirus ha detectado malware, pero su detección es ambigua y no da información sobre familias.

Tras analizar estas categorías, observamos que las detecciones «adware» y «dañinas» no están casi correladas, lo que sugiere que los AVs tienen un consenso claro a ese nivel, mientras que sí observamos una correlación moderada de las desconocidas con «dañinas» (0.44) y con «adware» (0.3). Además, demostramos mediante teoría de grafos que el esquema de familias al que llegamos es robusto (sólo hay dos grupos de dos familias que necesitan una ligera modificación) y la existencia de cuatro grupos de antivirus: uno para cada categoría («adware» y «dañinas») y otros dos que mezclan AVs de aplicaciones desconocidas con los de otras categorías, mostrando que hay sin duda relación entre la categoría de desconocidas y las otras.

Como resultado de todo esto, vemos que las aplicaciones «desconocidas» tienen que ser necesariamente «adware» o «dañinas», a pesar de que los antivirus que generan las detecciones no son capaces de identificarlo por algún motivo. Esto nos motiva a pensar que quizá la lista de antivirus que detectan una muestra en concreto puede ser útil para definir su categoría y, con esa hipótesis, proponemos un sistema de aprendizaje máquina (Machine Learning) que clasifique aplicaciones por categorías de cara a desvelar la categoría más probable para las aplicaciones desconocidas.

El sistema recibe como entrada la lista de antivirus que detectan una muestra y predice la categoría más probable de las dos que están «definidas» (adware o maliciosas). Para entrenar el sistema utilizamos las aplicaciones que han sido categorizadas como «adware» o «maliciosas» y calculamos métricas habituales de desempeño, como accuracy o F-score. Los algoritmos de clasificación que empleamos son regresión logística para proporcionar explicabilidad y un Random Forest para obtener buenos resultados.

En esta imagen se observan los pesos de la regresión logística, que nos permite hacernos una idea de cómo de influenciado está cada antivirus por una u categoría. El positivo (rojo) es «maliciosas» y el negativo (azul) es «adware«. Podríamos decir que el AV61 es muy tendente a clasificar como maliciosas, y el AV34 a clasificar como adware

Con este sistema obtenemos un F-score de 0.84 al validar. Recordemos que el F-score es un compromiso entre precisión (cuánto es realmente malware de lo que afirmo que es) y recall (de todo lo que es dañino, cuánto acierto).

Esto nos proporciona una herramienta bastante buena para predecir aplicaciones con clase, en principio, desconocida. Finalmente, usamos la herramienta validada para determinar la categoría de cada una de las muestras desconocidas, lo que resulta en que el 51.5% de las mismas pertenecen a la clase de maliciosas y las restantes a adware, lo que es consistente con nuestras observaciones previas. El accuracy en este caso es más del 97%. 

Ignacio Martín y el Equipo de Innovación y Laboratorio de ElevenPaths
[email protected]

Contraseñas vulnerables y brechas de datos en las empresas: RootedCON 2019

Rubén García Ramiro    29 abril, 2019

En la última edición de RootedCon en Madrid el pasado mes de marzo tuve la suerte de poder asistir a la ponencia de dos compañeros de Telefónica: Jaime Sánchez y Pablo Caro (Pablo es parte del Red Team, grupo independiente que desafía a la propia organización a mejorar la efectividad de su seguridad.), que llevaba por título “I Know your P4$$W0RD (And if i don´t, I will guess it)” que fue una de las que mayor impacto tuvo entre el público. Trataba sobre contraseñas vulnerables. Éstas son una herramienta habitual, que usamos incluso en el propio bloqueo del teléfono,  y a la que no damos la importancia que tiene en relación a nuestro “yo” virtual, pero que se ha convertido en una de las principales preocupaciones para los CSO.

Y es que ya resulta casi  habitual encontrarnos con titulares que recogen la noticia  de importantes multinacionales que dejan al descubierto millones de cuentas de usuarios (y todo lo que ello conlleva). Están los casos de Equifax en 2017 con 146 millones de usuarios o Marriott a finales del año pasado con la exposición de 500 millones de clientes pero, sin lugar a duda, Facebook se lleva la palma con otra brecha de datos reciente.

Pero, más allá de estas filtraciones, Jaime y Pablo contaron en su exposición cómo podrían llegar a obtener la contraseña de alguien con una mezcla de técnicas que han hecho converger en una herramienta que se apoya además en la computación cloud para romper esa clave. (Comprueba la seguridad de tu password)

La herramienta se llama Kaonashi  (como el personaje sin cara que devora sin control en El viaje de Chihiro, del gran Miyazaki) y alberga e múltiples leaks o fugas de datos, que proporcionan un conjunto estadístico de información que permite reventar las contraseñas de la victima, a partir de «la regla 20/60/20», es decir:

  • El 20 por ciento de las contraseñas son fáciles y se pueden obtener con diccionarios (archivo con lista de palabras) de propósito general o contraseñas comunes.
  • El 60 por ciento tiene una dificultad moderada, son ligeras variaciones de ese 20 por ciento anterior
  • Y el 20 por ciento restante presenta una dificultad alta, son contraseñas complejas y con longitudes superiores a la habitual

Las estadísticas nos muestran, por ejemplo, cómo la longitud media de las contraseñas es de 7 a 9 caracteres o que las mujeres suelen usar en sus contraseñas nombres, a diferencia de los hombres, que suelen usar hobbies para crearlas. Se trata de un importante trabajo centrado en ese 60 por ciento de usuarios que usan variables, que arroja mejoras sustanciales -de hasta un 10,44 por ciento- en el tratamiento de las contraseñas en comparación con servicios y diccionarios de referencia en el “crackeo” (agrietamiento) de contraseñas, . Este estudio que nos mostró la importancia de seguir ciertas recomendaciones a la hora de usar nuestras contraseñas verá próximamente la luz. Tres de dichos consejos son:

  • Usar MFA (Multi-factor Authentication) como factor de seguridad adicional a la contraseña, con el fin de que si ésta queda expuesta no resulte comprometida la cuenta. Para ello, os recomiendo usar TOTP (contraseña de un solo uso)
  • Emplear Latch en aquellos “sitios” en que este protegido con el mismo.
  • Y utilizar contraseñas largas y aleatorias (con el gestor de contraseñas),

Termino con la ponencia, en la que podréis conocer más sobre la herramienta Kaonashi.

Imagen: Psyomjesus

Tres estrategias para reinventar tu tienda

Virginia Cabrera    29 abril, 2019

Los datos de crecimiento del comercio electrónico preocupan a todos los negocios que basan su modelo de relación con el cliente en un punto físico. Parece que Amazon y compañía están devorando su tarta: uno de cada cinco euros se gastan ya en Internet.

Según la Confederación Española de Comercio, los datos son especialmente catastróficos para los negocios más pequeños: crecimiento interanual nulo en la campaña de Navidad, rebajas prolongadas hasta marzo para dar salida a los stocks, petición de declarar al comercio sector estratégico para acelerar su digitalización…

¿Están realmente las tiendas abocadas a cerrar? ¿Es cierto que acabaremos comprándolo todo desde el sillón de casa? Frente a quienes hablan de apocalipsis del comercio físico, son ya muchas las voces que proponen su reinvención tecnológica, jugando con elementos como tiendas experienciales, con la fusión de lo físico y lo digital en un escenario omnicanal.

Algunas de las estrategias empleadas por las grandes marcas están indiscutiblemente alejadas de los negocios más pequeños, que no disponen de tantos recursos. Sin embargo, todos -sea cual sea su tamaño y su contexto- pueden usar la tecnología para reinventarse.

1. Atraer a nuevos visitantes a tu tienda o local

Ningún negocio físico, cuente o no con venta online, puede ya permitirse el lujo de quedarse fuera del lugar donde comienzan el 95% de las compras. Así que el primer paso debe ser desarrollar una presencia en Internet efectiva, que haga de “efecto llamada” hacia tu punto de venta físico. Para ello, es importante tener en cuenta que:

  • Hay que gustar a Google, y no solo trabajando el SEO, el contenido y la actualización constante de la página web. Es preciso utilizar también herramientas como Google My Business, que permite indicar horario, datos de contacto y dirección postal, responder a las reseñas de los clientes y publicar fotos relacionadas con la actividad.
  • En redes sociales no se vende. Funcionan el contenido, la ayuda, las respuestas, el diálogo y la conversación continua, y todo lo que dé muestras de quién eres y qué puedes aportar. Por el contrario, el “ombliguismo”, el autobombo y la publicidad no hacen otra cosa que alejarte de tus objetivos. Si te rechazan online, menos aún van a ir a visitar tu local.
  • El contenido es el rey. Y entre todos los contenidos, el vídeo es la estrella. Adoramos los vídeos y los compartimos compulsivamente. Hoy hacer un vídeo está al alcance de cualquiera. Entrevistas, tutoriales, casos de uso, intervenciones en eventos, noticias y novedades… Publicar contando todo lo que “se cuece” en la tienda es una excelente manera de atraer clientes.

2. Conseguir que quienes te visitan no tarden en volver

El 80% de los consumidores declara que prefiere comprar en una tienda física, siempre y cuando el hacerlo le suponga poder relacionarse con personas que le escuchan y que tienen conocimientos y actitudes de ayuda.  Estarían dispuestos a pagar hasta un 16% más por tenerlo. Sin embargo, según un estudio de Oracle, solo el 1% de las empresas cumplen con las expectativas de sus clientes. ¿Qué está fallando cuando sabemos que la experiencia de cliente ya ocupa el tercer lugar, después de calidad y precio, como factor de decisión en la compra?

En contra de lo que pueda parecer, crear experiencias WOW, que les hagan volver una y otra vez, está al alcance de todos, también de los más pequeños. Los ingredientes son claros y tienen más que ver más con la actitud hacia el cliente que con la creatividad y las inversiones. Aunque, sin duda, la tecnología es el gran aliado que pone al alcance de todos las herramientas para que:

  • Funcione lo básico. Que ver, probar, informarse y comprar sea un proceso sencillo, donde nos hablen de modo simple y claro y donde las cosas sucedan tal y como nos han prometido. Donde el vendedor tenga información de producto y de stock actualizadas, donde pagar sea rápido y fácil, donde esperemos lo justo. Una informática ubicua y siempre disponible es fundamental para que los engranajes funcionen a la perfección y para que los procesos estén realmente al servicio de las personas y no al revés. Casi nadie entiende ya ni los fallos ni las cortapisas que “son culpa del programa o del ordenador”.
  • Reconozcamos y personalicemos las relaciones. Frente a la “frialdad” que asociamos a lo online, cuando entramos en un local queremos sentirnos únicos. Constatar que “allí nos comprenden” y que, sonriendo, buscan ofrecernos un traje a medida, es motivo suficiente para salir de casa. Sabemos que está todo en Internet, pero “infoxicados”, valoramos más que nunca a quien nos coge de la mano y nos guía. Por ello, las empresas deben aprovechar cada interacción para conocer mejor a quien las visita, registrando (y esa es la gran diferencia con los tenderos de antaño) información que pueda ser analizada y procesada. Porque solo así podrán apoyarse en ella para mejorar la oferta y la experiencia en la siguiente visita. Utilizar para ello wifi gratuita en el local o pantallas interactivas es una oportunidad para todos.
  • Posibilitemos que mande “el jefe”. Si algo nos ha dado la tecnología es poder, gracias al móvil. Queremos dirigir a nuestro aire nuestros procesos de compra y que nos atiendan cuando y como nos venga bien, por lo que habilitar un “centro” de atención multicanal que incluya teléfono, correo electrónico, WhatsApp y tal vez chat es casi obligatorio. Cualquiera puede hacerlo si cuenta con las aplicaciones adecuadas, aun cuando solo pueda dedicar una persona a atenderlo. Si además quieres “quedarte” en el bolsillo del cliente que sale por la puerta sin haberte dejado un solo dato, la mejor manera es una app que le permita hacer desde casa esas gestiones previas a su visita (reservas, consulta de stocks, etc..) y que le envíe notificaciones con las novedades.

3. Integrar lo mejor de los ámbitos online y offline

Estamos, sin duda, ante el fin de ese “ir de tiendas” cansado y aburrido que nos hace volver a casa con sensación de que no ha merecido la pena. Llega la compra experiencial: saldremos solo si tenemos la garantía de que resolveremos a nuestro gusto y de que además lo pasaremos bien.

Será la capacidad de metamorfosis de cada negocio para aprovechar el aspecto emocional de la compra, reconociendo y encantando (y por qué no, divirtiendo y sorprendiendo) a sus clientes lo que determine si cierra o amplía el local.

Y en este camino se lleva estar tanto en físico como en online. No están aquí para quedarse ni lo puramente online ni tampoco quien se resista a no meter la patita en la Red. Aunque, claro está, cada negocio deberá definir de qué modo está en cada entorno, tratando de aprovechar las particularidades de cada espacio para resolver necesidades distintas.

Lo online no terminará con los espacios físicos, y además puede (y debe) servir de altavoz a lo que allí suceda, proporcionando la excusa para ir a una tienda que ha digitalizado la relación humana, concediendo importancia a la experiencia y usando la tecnología para aportar un beneficio real.

Suben enteros los comercios que se reinventan combinando lo físico y lo digital para ofrecer un valor que levanta del sillón, que te reservan el aparcamiento desde el móvil, que acercan hasta casa o hasta cualquier otro punto de conveniencia la compra, que tratan de ponértelo fácil; que tienen la sostenibilidad, el desarrollo del barrio o el respeto al medio ambiente como valor. Aquellos que personalizan al máximo su servicio porque no pueden personalizar su producto, que consiguen que cada interacción tenga un “toque” que deje una impresión positiva duradera.

Servicio, personalización y omnicanalidad son apuestas seguras. Por el contrario, complicar la vida al cliente, no preguntarle ni tenerle en cuenta y descuidar esa cara de la empresa que son las personas que les atienden, son pasos certeros hacia el apocalipsis de tu tienda.

Abril en el blog de LUCA: Resúmenes semanales

Paloma Recuero de los Santos    27 abril, 2019

Estamos casi a punto de terminar el mes de abril y seguramente algunos habréis echado de menos nuestro resumen semanal. Entre las vacaciones de Semana Santa, en las que todos andábamos ocupados en otras cosas, y los trabajos de migración a nuestra nueva plataforma de blog, hemos preferido hacer una pequeña excepción y agrupar todos los resúmenes en uno. Así que, disculpadnos por el cambio de «paso» pero no os perdáis los post más interesantes de este mes.

En Abril, os hemos contado muchas cosas en nuestro blog. Os hablamos de cómo fue nuestro último Meetup, de cómo se está usando la inteligencia artificial para temas tan interesantes y variados como la producción de cerveza o el diagnóstico de enfermedades oftalmológicas, hablamos de aprendizaje semi-supervisado, de lo que es el «overfitting«, de sistemas expertos de diagnóstico de fallos en locomotoras y… nuestro «top-post» del mes, una historia de datos: ¿Cómo se mueven los empleados de Distrito T?

Además, hemos seguido con nuestra interesante serie sobre las Matemáticas del Machine Learning, donde hemos visto sencillos ejemplos de aplicación del algoritmo de regresión lineal (para una y más variables), hemos hablado de lo que son las DataOps, y de cuál es la clave para competir en la economía digital.

Y eso ha sido todo. En Mayo, tras el puente, retomaremos nuestro ritmo habitual

¡Feliz fin de semana!

Para mantenerte al día con LUCA visita nuestra página web,  suscríbete a LUCA Data Speaks o síguenos en TwitterLinkedIn YouTube.

Eva Collado: ‘Debemos replantearnos constantemente nuestra profesión’

Raúl Salgado    26 abril, 2019

La eclosión de Internet, la llegada de las nuevas tecnologías y la consecuente y vertiginosa digitalización nos han adentrado en una nueva era que ha enterrado el mundo tal y como lo conocíamos. Ya nada volverá a ser como antes, pero muchos trabajadores continúan anclados en el pasado, viviendo de espaldas a una realidad tan compleja como cambiante.

“Tenemos que pensar constantemente qué pasará mañana. Las empresas necesitan gente curiosa, con ganas de aprender y de replantearse todos los procesos que hacen a diario para ofrecer un valor añadido. Hay que dejar de ser productivos para ser efectivos, lo que pasa no sólo por cumplir, sino por pensar si lo que se hace se está haciendo correctamente o si se podría hacer mejor. Y ahí entran en juego la creatividad, la imaginación y otras muchas competencias básicas de desarrollo. No nos podemos quedar parados”.

Son palabras de Eva Collado Durán, experta en marca personal y autora de “El mundo cambia, ¿y tú?” (Alienta-Planeta), un libro en el que desgrana las principales claves para diseñar el futuro profesional en plena era digital. Y es que, claro, el mundo cambia más rápidamente que las personas…

“Ese es el problema que tenemos. También cambia más rápido que las leyes, la política y la educación, por desgracia. Dicen que solo tenemos en nuestras manos el 20% de las tecnologías desarrolladas. Hay quienes lo asumen rápidamente, pero también quienes creen que no les va a afectar”.

Collado relata que durante la crisis económica muchas empresas únicamente pudieron preocuparse por sobrevivir, mientras otras tantas se rodearon de equipos para prepararse para el futuro. Pero el futuro se ha incrustado en el presente, que ha dejado de trotar para empezar a galopar y ha cogido un ritmo de progreso que ha dejado con la lengua fuera, sollozando, a más de uno, de dos y de tres…

¿Cómo prepararse para esta nueva era?

El verdadero reto que tenemos en las organizaciones es formar al talento interno, que ya tiene el knowhow del negocio, y enseñarle a adoptar los nuevos procesos en la búsqueda del éxito. Por eso, las empresas tienen que ser transparentes y comunicadoras, para ayudar a la gente a subirse a este cambio.

¿Qué debemos hacer para mantenernos empleables en el mercado?

“Replantearnos constantemente nuestra profesión. Ya existen algunas aplicaciones móviles que te dicen el tiempo de vida que le queda a un determinado empleo“.

Eva Collado lleva más de 20 años dedicados a la gestión del capital humano y su desarrollo (formación, selección, comunicación interna…) en diferentes organizaciones nacionales e internacionales. En la actualidad es consultora estratégica. Y uno de los motivos que la ha llevado a escribir su último libro ha sido el de plasmar la necesidad de enfrentarnos a una nueva realidad.

“Tenemos que desarrollar unas competencias internamente, que van desde la gestión del cambio hasta el desarrollo de las competencias interpersonales. Debemos tomar las riendas de nuestras vidas. Si no nos lideramos personalmente, difícilmente podremos liderar equipos y proyectos. Y ahí resulta crucial la vocación, porque no se puede trabajar sin pasión por lo que se hace. Las empresas, cada vez más, van a demandar personas totalmente comprometidas con el proyecto, personas que lleven la camiseta puesta. Personas, en definitiva, con valores y ética”.

¿Cuáles son las competencias que se demandan?

Las de toda la vida, pero con la variante de las nuevas tecnologías. Todas se pueden entrenar. Después del compromiso, son muy importantes los hábitos, la efectividad, las metas y, sobre todo, la gestión óptima de nuestro tiempo y la elección de la innovación y la excelencia como compañeros de viaje para poder aprender cada día”.

¿Aprender o desaprender?

“Cuando se aprende se desaprende. Al final, debemos tener claro que lo que sabemos hoy no será suficiente mañana. Si creemos que los títulos que nos abrieron puertas en el pasado nos las seguirán abriendo en el futuro, estamos muy equivocados. Hay que mantenerse al día y formarse continuamente”.

La autora de “El mundo cambia, ¿y tú?” sostiene que en esta época tan darwiniana, en la que no sobrevivirán las empresas más grandes, sino las que mejor se adapten a los nuevos entornos y ecosistemas, también se ha producido una auténtica transformación de las relaciones laborales.

Collado asegura que lo que puede matar a una compañía son los costes fijos de estructura, como los salarios de los empleados. De ahí que las empresas cada vez vayan a acudir más a los knowmads, que no dejan de ser consultores artesanos, esas personas que se lo cuestionan todo, que dan una versión muy objetiva de cómo ven la empresa y los procesos.

“Son profesionales independientes que aterrizan en una compañía, se quedan un tiempo y dan pistas de cara al futuro. Se trata de personas generadoras de conocimiento, que no pretenden formar parte de ninguna plantilla. En su lugar, prefieren ir de proyecto en proyecto”. La autora cuenta que en Estados Unidos la cifra de freelances es próxima al 40%, que esa tendencia pronto llegará a España y que –de acuerdo con las estadísticas- nuestros hijos trabajarán en doce proyectos a lo largo de su vida.

Por otra parte, Collado recomienda a los empleados mostrarse disruptores si ven que las compañías en las que trabajan van lentas, así como ir con el dato en la mano, ofreciendo soluciones de futuro. En este sentido, indica que los trabajadores por cuenta ajena, cuando ven que esas organizaciones no avanzan a un ritmo adecuado, se marchan. Y lo justifica alegando que el verdadero talento no lo eligen las compañías, más bien “son las personas las que eligen las compañías en las que quieren trabajar”.

Finalmente, al hilo de tu anterior libro, “Marca eres tú”, ¿cómo podemos trabajar nuestra marca personal?

“Desde un punto de vista estratégico, porque la marca personal es una estrategia pura y dura. Hay que hacer una reflexión sobre quién se es, para enseñar al mercado quién se puede llegar a ser. A partir de ahí, se trabaja la propuesta de valor para presentarla en todos los canales posibles. También es importante tomarse la marca personal como un modelo de negocio propio, y revisarlo de forma continua”.

La tecnología necesaria para una buena experiencia de cliente en servicios profesionales

Raúl Hernández Luque    26 abril, 2019

El marketing de servicios lo inunda todo. No solo porque las economías tienden a la terciarización con preeminencia del sector servicios sobre el industrial, sino por la importancia que el consumidor actual concede a los servicios. Pensemos en una empresa que venda productos tangibles como, por ejemplo, portátiles. Dicha empresa ya no solo vende el equipo, sino que asumimos que incorpora una serie de servicios: el asesoramiento del experto en el proceso de compra  (ya sea in situ, virtual, vía blog o comparador), los servicios de postventa: asistencia en la puesta en marcha, primeras incidencias o utilización de la garantía en caso de problema.

Pues bien, el éxito en la prestación de esos servicios crea una experiencia de cliente complementaria y necesaria para que recomiende esa marca de portátil y en la próxima compra vuelva a elegirla.

Incluso a nuestro alrededor ya hay un buen número de servicios que hemos ido incorporando y vemos naturales, a partir de los nuevos hábitos de consumo en el campo del ocio y el disfrute como el entrenador personal, el «personal shopper«o los profesionales de la estética. Todos ellos tienen en común que ofrecen servicios profesionales.

Los servicios profesionales (éstos y los de toda la vida) tienen un alto componente personal: cómo se prestan, el resultado y, por ende, la experiencia del cliente final, depende mucho de la persona que lo presta.

Otra característica diferencial es la organización empresarial: habitualmente los profesionales están asociados en torno a un bufete, un despacho o una clínica que buscan obtener un reconocimiento de marca y prestigio a través del trabajo de cada uno de sus integrantes.

Sin embargo, gestionar la dependencia del resultado final del prestigio/»branding» del despacho versus el prestigio/marca personal de quien realiza el trabajo es uno de los principales retos de estos profesionales.

Por ello, los servicios profesionales exigen de ambiciosos procesos para intentar homogeneizar la prestación de servicios, a veces muy diversos y otras, prestados por personas distintas, y que no acaben con resultados diferentes. Esto desconcertaría al cliente de la clínica o el despacho profesional. Se trata de generar, con toda la información disponible y la tecnología a nuestro alcance, una forma de hacer común para todos para que el cliente tenga experiencias similares.

Para abordar estas cuestiones y ayudar a los profesionales a mejorar la prestación de sus servicios y que la relación con sus clientes sea más fructífera y duradera surge el libro «Marketing para las empresas de servicios profesionales«, en el que participo, junto a Juan Carlos Alcaide  y Juan Andrés Avilés, como coautor.

Se trata de un manual de ayuda a los profesionales para mejorar y monetizar la relación con sus clientes. Las herramientas que se proponen son:

  • Gestión de clientes desde los datos: inteligencia de negocio y machine learning.
  • Automatización en la gestión de clientes con el uso de la inteligencia artificial.

Y, como resultado de lo anterior, mejora de los procesos de prestación de servicios gracias a una  experiencia de cliente superior. La personalización es indispensable para crear una experiencia satisfactoria en la prestación de servicios y, más aún, de servicios profesionales. Resulta imposible satisfacer y emocionar a un cliente si no se le conoce, si no se habla su lenguaje, si no se empatiza con él y se le ofrece una solución a medida de sus necesidades.

Pero para conocer al cliente es imprescindible la inteligencia de negocio y machine learning. Tener la mayor cantidad de datos posibles del cliente, automatizados y consultables, es vital para atenderlo mejor y también para buscar patrones aprovechables para la relación con clientes similares. Pensemos, por ejemplo, en big data en salud, de lo que ya se ha escrito en este blog. Asimismo, la Inteligencia artificial juega un importante papel para la automatización y una mayor eficiencia. Pensemos, en el caso de los abogados, en la cantidad de normativa que requiere, por ejemplo. el comercio internacional: regulación y jurisprudencia dispersa tanto en el país de origen como en el de destino. Herramientas como  Luminance revolucionan la forma de hacer “due diligence”. Gracias a su tecnología de análisis de documentos, lee y entiende ingentes, complejas y desorganizadas bases de datos en unas horas. O Proces@, un proyecto impulsado por el despacho de abogados Garrigues para robotizar la gestión de la documentación legal en los procesos judiciales con el objeto de facilitar a los abogados la recuperación de documentos de fuentes heterogéneas.

La tecnología genera, por tanto, el valor diferencial para conocer al cliente y el contexto y permite interactuar de la manera más efectiva para conseguir una buena experiencia de cliente y alcanzar la excelencia a largo plazo.

Imagen: geralt

De planes estratégicos de ciberseguridad y otras cosas…

Claudio Caracciolo    25 abril, 2019

Cualquier persona que trabaje en seguridad desde hace años es capaz de comprender que no existe el «Plan Estratégico de Defensa» perfecto. Sin duda alguna, también estará de acuerdo con mi afirmación de que, aún si tuviera un plan definido formalmente, el mismo no sería estático y cada evento diario podría modificar sus definiciones.  

Los cambios tecnológicos tan rápidos, y la necesidad de definir nuevos estándares o protocolos modifican siempre el estado de armonía al que uno aspira en su trabajo diario. Pero esto no solo le pasa a las empresas u organizaciones chicas, sino también a las gigantes, como fue la implementación de HSTS de Facebook, que depués de la charla brindada por nuestro equipo en Black Hat Europe decidió modificarla y que seguramente produjo un desvío en su planificación.

No importa cuánto tiempo nos lleve desarrollar un plan estrategico de ciberseguridad, siempre habrá fallas en él, e incluso se generarán desviaciones durante el proceso de implementación del mismo.  Es duro, tal vez, pero es la profesión que nos gusta. Los planes se amoldan al día a dia de cada empresa, de cada organización, de cada país…  Si partimos desde esta premisa, podemos suponer que aunque los Estados Latinoamericanos han estado trabajando fuertemente estos últimos años en tratar de acercarnos más al estado de madurez que posee España, generando los famosos planes estratégicos para la eiberdefensa, seguramente caeríamos en la trampa mental de que todos los problemas de seguridad de la noche a la mañana desaparecerán pero las realidades tanto económicas como políticas para cada país son muy diferentes. Definir un plan nunca es sinónimo de seguridad, como tampoco lo es estar certificado en una norma en particular, pero si implica que hay una voluntad expresa y un camino definido al que todos los integrantes de los equipos de seguridad deben aspirar.

A veces las decisiones de tener una plan estratégico formal pueden tardar mucho en tomarse, o incluso no tomarse nunca. Es por eso que las áreas de ciberseguridad, seguridad informática o seguridad de la información cumplen la función de bomberos, apagando cuanto incendio se inicie por algún lado. Este tipo de ejecución de tareas genera:

  1. Frustración en el propio equipo de trabajo, ya que siente que no construye.
  2. Sensación de inseguridad constante en el resto de las personas, ya que ven que el equipo siempre esta saturado y de mal humor.
  3. Imposibilidad de implementar controles efectivos de prevención y detección, ya que el equipo está abocado a resolver problemas diarios.

Los que llevamos un tiempo en esto, aunque seamos muy técnicos y reneguemos de las funciones relacionadas con escribir y documentar políticas, normas y estrategias, sabemos muy en nuesto interior, que trabajar sin un verdadero plan estratégico, nos lleva al fracaso, sin excepción. Es cierto que en nuestras historias por lo general contamos las proezas técnicas o las métricas conseguidas, porque como dicen algunos: “definir un plan, no mola”, pero sin él muy probablemente no cumpliremos con nuestros objetivos…

La pregunta que muchos se hacen es: «¿cómo defino un plan estratégico?» Y la respuesta no es sencilla, porque depende de cada empresa u organización, pero lo que si es seguro es que nuestro plan debería al menos considerar el estado actual de la seguridad, y el estado deseado.  Debería asegurarse que los objetivos de seguridad estén alineados con los objetivos de negocio de la empresa u organización, y a partir de allí definir cuales serán los proyectos que deberá ejecutar para alcanzar el estado deseado.  Pero algo muy importante no puede faltar en el plan, el tiempo en el que se piensa llegar al estado deseado y la inversión que llevará.

La gestión estratégica no requiere analizar solo las tecnologías a implementar, parte desde los activos a proteger y desde los riesgos a los que se encuentran expuestos, por eso, en mi opinión personal creo que es bueno terminar las peleas con las áreas de auditoría y trabajar en conjunto para no seguir apagando incendios todas las semanas, ya que ellos serán de mucha utilidad para definir el plan estrategico de ciberseguridad, aunque creamos que podemos hacer todo como si fuésemos superhéroes, en una empresa u organización, somos parte de un equipo.

Claudio Caracciolo
Team Leader of the CSA and the Bs. Research Office at ElevenPaths
Innovación y Laboratorio
[email protected]
@holesec