MAC aleatorias y privacidad (II)

Álvaro Núñez-Romero Casado    22 abril, 2019

Como ya os contamos la semana pasada en la primera parte de este artículoAndroid Q incluirá la posibilidad de transmitir direcciones MAC aleatorias por defecto, suponiendo un nuevo paso hacia un sistema que respeta más y mejor la privacidad del usuario. Vamos a intentar aclarar en esta segunda entrada qué pasa exactamente con los diferentes sistemas operativos.

Qué pasa con iOS
En el caso de la randomización de iOS, no es tan perfecta como podría ser. Desde sus inicios con iOS 8 ya han ido perfeccionando la técnica en diferentes versiones. Según la documentación oficial:

En sus comienzos, se ve como sólo se generaban las MACs cuando el dispositivo no estaba asociado y estaba bloqueado (Unassociated PNO Scans), además de la necesidad de cumplir una configuración que no todos los usuarios tienen, puesto que era necesario tener desactivado los ajustes de localización, indicando de esta manera al sistema operativo que queríamos ser «anónimos» para que no nos rastreasen. Esto resultaba un problema, por la cantidad de usuarios y servicios que dependen de los servicios de localización.

Con la llegada de iOS 9 se incorporaron mejoras, como Location Scans y Auto Join Scans, que permiten la aleatorización en los escaneos y asociaciones de redes wifi cautivas (como por ejemplo en los hoteles), así como en puntos de acceso público (Public Hotspots). Pero siempre habrá pistas para conocer si una misma interfaz está ofreciendo direcciones MAC «falsas». Como ejemplo práctico, observando una captura de probe request en un iPhone con iOS 10, vemos lo siguiente:

Captura de paquetes probe request de un iPhone con iOS 10

Fijémonos en la captura. Podríamos llegar a suponer que la MAC 92:56:28:75:80:5d está emitida por la misma interfaz en el momento t0 y que en el momento t1 se cambia a 9a:cc:97:ee:2d:80. Lo suponemos por lo siguiente:

  • Si miramos el último paquete probe request de la MAC 92:56:28:75:80:5d es el número 5566. El primero de la MAC 9a:cc:97:ee:2d:80 es el 5945. Con esto se pretende destacar que no hay cruce de paquetes entre ambas direcciones. Cuando termina uno, empieza otro sin colisiones. No se cruzan los valores. Algo parecido ocurre con es el número de secuencia (SN). Se puede observar que la secuencia sigue de manera más o menos normal (hay un buen salto, pero tiene relación) aun cuando ha cambiado la MAC.
  • Examinando en detalle los paquetes seleccionados: Comparación de dos paquetes que probablemente se traten del mismo dispositivo.
  • Vemos que uno de los Tag: Vendor Specific corresponde a Apple, por lo que se sabe que el dispositivo es Apple, además que también coinciden los otros Tag: Vendor Specific. Esto puede no ser otra gran pista que aumentan las probabilidades de acierto.
  • El problema de los SSID ocultos: Se vuelve a presentar el problema de los SSID ocultos, y este sí que puede ser un factor determinante para conocer si una MAC está cambiando. En la siguiente captura se han seleccionado los dos paquetes que comparten un SSID concreto (oculto) y que viene a significar que una red oculta recordada por la interfaz, está cambiando su MAC, pero preguntando de forma oculta por el SID que recordaba cada cierto tiempo. Se podría llegar a argumentar que podrían ser dos dispositivos diferentes de un mismo usuario que se hayan conectado a la misma red, pero si unimos todas las razones anteriormente expuestas, se puede suponer con bastante probabilidad que el dispositivo en cuestión es el mismo con diferentes MACs. Para terminar de ver todo esto de forma más clara, si se aplica el filtro que busca por ese SSID oculto obtenemos lo siguiente:
Filtro con probe request a un SSID oculto

Aun con todo esto, una vez que el dispositivo sale del alcance de la monitorización, la próxima vez que vuelva el dispositivo a encontrarse dentro del alcance hay que realizar todo el análisis de nuevo, puesto que el factor del número de secuencia se pierde, y ya hemos mencionado que el único factor determinante que puede existir son los SSID ocultos. Quizás gracias a ellos sea posible volver a detectar a un determinado usuario, pero si no existen SSID ocultos que pregunten los probe request, no se sabrá a ciencia cierta si estamos ante un mismo usuario capturado anteriormente.

Un último detalle importante es que Apple aleatoriza también los 24 primeros bits. Recordemos que estos 24 bits deben ser adquiridos a la Autoridad de Registro de IEEE y definen al fabricante.

Qué pasa cuando está conectado a una red Wi-Fi
Cuando el iPhone está conectado a una red de confianza, los paquetes probe request que envía, sí que los manda con su MAC real. Es a la hora de desconectarse de la red cuando automáticamente empieza a generar los probe request con la MAC aleatoria.

iPhone conectado a una Wi-Fi de confianza y enviando probe request con su MAC Address

En el caso de la captura, vemos como la MAC real deja de serlo y pasa a ser 16:0d:69:bb:84:0d y que el número de secuencia sigue teniendo «secuencia» y sigue buscando por un SSID oculto que coincide.

Creación de punto de acceso falso con el SSID que busca el móvil

Si creamos un punto de acceso falso que coincida con el SSID (podemos conocer un SSID por los probe request que se mandan a los a los SSID ocultos) y con el mismo tipo de autenticación que tenía la red, el móvil se intentará conectar automáticamente y se podrá obtener la MAC real del dispositivo.

Se puede ver que la MAC no se transmite por los paquetes probe request hasta que el dispositivo está conectado, y en este caso, a no ser que se sepa la contraseña del punto de acceso, el cliente nunca se conectará al punto de acceso falsoPero sí que intentará hacer la autenticación y por tanto se obtiene en ese momento la dirección MAC. No se captura la MAC usando Wireshark, pero sí que se captura a través de la creación del AP falso, en este caso con la herramienta airbase-ng, de la suite de aircrack-ng.

Qué pasa con Android
En el caso de Android, la generación aleatoria de direcciones MACs empieza en Marshmallow, la versión 6 del sistema operativo de Google. Según la nota de cambios en Android 6, para mejorar la privacidad de los dispositivos los desarrolladores no tendrán acceso a la dirección MAC del hardware bluetooth y Wi-Fi para usar en sus aplicaciones, y a la hora de intentar obtenerla se consigue el valor constante de 02:00:00:00:00:00.

Además tenemos la siguiente nota relativa a la búsqueda de redes Wi-Fi: «Nota: Cuando un dispositivo con Android 6.0 (nivel de API 23) inicia un escaneo de Wi-Fi o Bluetooth en segundo plano, la operación es visible para dispositivos externos como si proviniera de una dirección MAC aleatoria»

Antes de que fuera implementado de manera nativa la generación de MACs, el desarrollador Chainflare desarrolló la aplicación Pry-Fi que realiza esta misma acción. Es necesario tener permisos de superusuario para poder usarla (teléfono con root).

Qué pasa con Windows
Windows implementa la medida de la generación aleatoria de MACs a partir de Windows 10, aunque por defecto está desactivado. Para activar estas opciones se debe ir a la configuración de Red e Internet y seleccionar el apartado de Wi-Fi. Aquí encontramos la opción (desactivada por defecto) de «Direcciones de hardware aleatorias».

Si la opción no está habilitada, es posible que se haya establecido ya en el registro una MAC diferente a la original. Es necesario eliminarla del registro para poder activar la opción. Se puede comprobar si el sistema es compatible con la aleatorización con este comando:

netsh wlan show wirelesscapabilities

activarlo con este:

set randomization enabled=yes interface=»Wi-Fi»

Una característica que ofrece Windows 10 es que permite generar MACs aleatorias también en las redes preferidas, pudiendo decidir por cada red individualmente si queremos una MAC distinta siempre que nos conectemos, una MAC diferente al día o utilizar la real. Las opciones de aleatorización pueden resultar útiles si no se tiene filtrado de MAC en la red.

Analizando paquetes con la opción de generar direcciones de hardware aleatorias activadas

Nuestras propuestas
Hemos desarrollado dos herramientas para sacar el máximo partido a estas funcionalidades en Windows y Android. Estas herramientas permitirán de forma cómoda mejorar la privacidad y el control de conexión de tu red Wi-Fi desde una única herramienta centralizada y sencilla de utilizar, aumentando posibilidades del sistema operativo y de la interfaz de red.

Primera parte del artículo:
» MAC aleatorias y privacidad (I).

Transformación digital de los servicios sanitarios: el acuerdo entre HM Hospitales y Telefónica Empresas

Mercedes Núñez    22 abril, 2019

La transformación digital de los servicios sanitarios es una urgencia por razones de sostenibilidad y para aprovechar las ventajas del salto cualitativo que la tecnología ya permite. Organizaciones más eficientes, servicios digitales que aportan valor añadido y una mejor experiencia de paciente son tres de las enormes ventajas de extrapolar a este sector el cambio que ya lleva un amplio camino recorrido en otros ámbitos, como la banca o el transporte. Con ello se busca conseguir una sanidad más humana, accesible y sostenible.

En HM Hospitales, que se caracteriza por su orientación al paciente, saben que la tecnología es un aliado necesario para mejorar lo que ocurre a diario en sus centros en cuanto a la información que se maneja, la racionalización de los procesos, facilitar a los trabajadores su quehacer diario y, sobre todo, que el paciente de verdad se sienta el centro de todo.

Carlos Mascías, director médico del Hospital Universitario HM Torrelodones y apasionado defensor de la experiencia de paciente, al que he tenido el lujo de escuchar en distintos foros, señalaba en esta entrevista de Club excelencia en gestión que “las organizaciones sanitarias deben dejar de funcionar como cadenas de producción de actos médicos para convertirse en organizaciones de servicios (de salud o sanitarios) equiparables en accesibilidad, agilidad, personalización, etc. a otras de las que los propios pacientes ya son clientes y con las que nos comparan”. Para ello, las comunicaciones y las soluciones TI resultan claves.

En el post «Cuatro grandes retos en experiencia de cliente” recogía su siguiente declaración “…la experiencia de paciente en un hospital requiere la innovación de Apple, la seguridad de la NASA y el servicio al cliente del Ritz” porque importa la actuación médica pero también la comida o el parking. Y habría que añadir que, desde luego, las TIC también deben ser de un socio tecnológico conocedor del negocio y a la altura de las circunstancias.

En este sentido, HM Hospitales ha firmado un acuerdo de colaboración de seis años con Telefónica Empresas para impulsar el uso de las nuevas tecnologías y la innovación en los procesos asistenciales y de relación con pacientes del grupo hospitalario.

Se encuadra en el Plan estratégico de trasformación digital 2019-2023 que está llevando a cabo HM Hospitales para todos sus centros en la Comunidad de Madrid, Castilla y León, Castilla La Mancha, Galicia y Cataluña.

Entre los servicios que Telefónica Empresas le prestará destaca cloud con gestión administrada, infraestructura y servicios de almacenamiento de datos, seguridad gestionada desde el centro de operaciones de seguridad (SOC), monitorización de indicadores de negocio desde el Command Center, suministro de dispositivos digitales y servicio de mantenimiento y disponibilidad de las comunicaciones 24×7.

Los grandes volúmenes de información que se comparten en un hospital, los requerimientos técnicos de servicios como la teleasistencia o un paciente emergente cada vez más exigente hacen que la transformación digital de la sanidad se haya convertido en un imperativo.

El acuerdo con Telefónica Empresas proporcionará a HM Hospitales una visión de principio a fin de los servicios que ofrecen a sus pacientes, con la garantía de la máxima seguridad, disponibilidad y confidencialidad en todo el proceso.

Como habitualmente escribimos en este blog, ¡el momento de la transformación digital de la sanidad es ahora! La experiencia del paciente en su relación con el sistema sanitario no termina a su salida por las puertas del hospital. Estamos ante un paciente-consumidor que busca una experiencia multicanal, continua y ubicua en los cuidados que recibe. Por poner algunos ejemplos, aplicaciones como la gestión remota de pacientes, la teleasistencia móvil o el seguimiento remoto de la prescripción farmacéutica permiten extender las intervenciones sanitarias fuera del centro médico.

Vivimos, además, la revolución de los datos. La agregación de toda la información médica de los pacientes con otras fuentes, así como el uso de big data o la inteligencia artificial están demostrando que se pueden mejorar los resultados en salud, ampliando el horizonte de ayudas al diagnóstico y al tratamiento.

Imagen: Dominic Smith

Digitalización, economía y agenda digital: ¿en qué punto estamos?

Andrés Macario    22 abril, 2019

Digitalización es sinónimo de Economía, en la medida en que es condición indispensable para mantener una posición competitiva en el mercado entre empresas y globalmente entre estados. La digitalización no es un fenómeno que se circunscriba a las empresas tecnológicas, ni una materia para los departamentos de sistemas o de marketing. Las empresas y países que despunten en la economía digital dominarán cualquier ámbito y zona geográfica, independientemente de cuál sea su procedencia y su legado histórico.

En Europa tenemos la oportunidad de ser competitivos frente a economías como la china o la estadounidense. Con un mercado de 500 millones de consumidores podemos aspirar a liderar la economía digital global, si superamos barreras internas. La economía digital, si se desarrolla adecuadamente, puede permitir la extensión de los mercados, la generación de riqueza y de empleo.

España se enfrenta a magníficas oportunidades si aprovecha las fortalezas en términos de talento, el tejido empresarial formado en gran medida por pymes y el desarrollo de su industria. Para un desarrollo pleno de la sociedad digital, los ciudadanos españoles tienen que implicarse en la adquisición de habilidades y competencias digitales que favorezcan la explotación de los beneficios económicos de la digitalización.

España en el mundo digital

Cuando hablamos de la economía europea y nacional, es obvio que esto es algo que no se improvisa, sino que requiere confeccionar una hoja de ruta para el proceso de digitalización. A su vez, para realizar dicha planificación, es necesario desmenuzar los componentes de la transformación digital y establecer indicadores que arrojen luz sobre la posición actual y sobre el camino que se ha de recorrer. Este paso previo se requiere tanto a nivel macroeconómico como microeconómico pues, en definitiva, ambos se hallan íntimamente relacionados.

En este sentido, el Foro Económico Mundial (WEF, por sus siglas en inglés) viene publicando desde hace un lustro el Índice de Preparación en Conectividad dentro del más amplio “Informe Global sobre Tecnologías de la Información”. Se trata de un indicador que mide el grado de preparación de los países para aprovechar las oportunidades de la transformación digital, con incidencia especial en la conectividad y que, por tanto, da una idea general y homogénea de los aspectos que se deben mejorar.

Según el mencionado índice elaborado por el WEF, España aparece en el puesto 35 del ranking mundial, mientras que siete estados europeos se colocan entre los diez primeros. ¿Puede España conformarse con una posición 35 del mundo en digitalización? La respuesta contundente nos la da la posición que ocupa España en términos de riqueza real, es decir, el PIB, que en este caso es el puesto 12 (con datos de 2017).

Estamos hablando, por tanto, de 23 puntos de distancia entre nuestra posición en la economía “real”, medida en términos de riqueza, y nuestra posición en la economía digital, medida en términos de preparación en “conectividad”. La distancia, mejor dicho, entre la economía de hoy y el bienestar de mañana. ¡Porque la digital es la economía del futuro!

Esta diferencia, casi abismal, debe darnos una idea del trabajo que resta por hacer en la senda digital, si queremos mantener el estatus económico en el futuro. Por adelantar algunos aspectos relevantes del informe, la puntuación de España queda penalizada por indicadores como habilidades digitales, calidad del sistema educativo o el entorno regulatorio. Vemos que el análisis abarca todos los ámbitos de la sociedad, no es tangencial. La foto sobre el nivel de uso de las tecnologías destaca de forma positiva en el entorno individual, pero resulta desfavorecida en el ámbito empresarial.

España en la Europa digital

En la Unión Europea, por su parte, se ha definido la Agenda Digital como la hoja de ruta de la digitalización. Como paso previo al análisis de la situación de los estados miembros, la Comisión Europea establece cinco áreas de desarrollo digital: Conectividad, Capital Humano, Uso de Internet, Integración de la Tecnología Digital y Servicios Públicos Digitales. Son las áreas que se deben tener en cuenta para un despliegue equilibrado de la economía digital.

España ocupaba el puesto 14 en la Europa de los 28, según el llamado DESI (Índice de la Economía y la Sociedad Digitales) correspondiente al año 2017. Sin embargo, en términos de riqueza “real” de PIB (o -mejor diríamos- según la medición tradicional), España era la quinta economía de la Unión Europea en ese mismo año. De nuevo nos encontramos con una distancia de casi diez puntos en un grupo de 28 países.

En el informe europeo de 2018, España ha pegado un salto para situarse en el décimo puesto del ranking europeo, un gran avance, aunque la mitad de bueno que la posición por PIB. Avanzamos, pero la distancia sigue siendo preocupante.
En muchas de las dimensiones analizadas, la evolución del resto de países europeos está siendo más rápida que la de España, siendo la velocidad del cambio determinante en la economía digital.

El informe de la Comisión Europea, en un apartado específico, constata que los negocios españoles no están aprovechando de forma óptima las nuevas tecnologías digitales. España tiene su propia Agenda Digital para aterrizar los planes europeos a través de actuaciones concretas. Esta agenda se inició en el año 2012 y desde el año 2016 existe una cartera ministerial en España (la de Energía y Turismo) que incluye la Agenda Digital en su apellido.

Me gustaría ver en este detalle un punto de inflexión para un desarrollo pleno de la sociedad digital, aunque desde ese año 2016 aún no se han actualizado los planes y objetivos.

Podemos simplemente esperar a que lleguen medidas estructurales. Por el contrario, propongo que ejerzamos nuestra responsabilidad como padres, profesores, directivos, informadores o empresarios. En lo que toca a formación, concienciación, estrategia, especialización e inversión, todos tenemos un papel relevante para convertir la digitalización en palanca que eleve la competitividad de nuestra economía.

Innovación en la empresa de servicios: Cinco pasos para obtener resultados

Raúl Alonso    17 abril, 2019

“En la abogacía ya está todo inventado”, “la mejor innovación del asesor fiscal es hacer bien su trabajo” o “aquí los experimentos se hacen solo con gaseosa”. Expresiones similares las hemos oído todos en boca de respetados profesionales del sector servicios, pero pocos dudamos de que esconden un peligroso conformismo. Es cierto que la innovación siempre se ha asociado más al producto y a la industria que a los servicios, pero ahora que sabemos que es un factor crítico de competitividad, en todos los casos resulta absurda su renuncia.

Descubrir que los abogados se podían anunciar en los autobuses urbanos y además con el reclamo de un futbolista fue una buena imagen del cambio en los despachos. También lo es el concepto de tarifa plana aplicada a la asesoría fiscal o la paquetización online de servicios de consultoría, tanto como la aplicación de franquicia a la administración de fincas o al servicio odontológico. Todos ellos son ejemplos de cómo hoy la innovación es un concepto mucho más amplio que en el pasado.

Cuatro tipos de innovación

Es vital entender que la innovación va más allá del uso de las nuevas tecnologías o las inversiones millonarias en I+D+i. El sector servicios, y muy especialmente sus pequeñas empresas, deben asumir que la esencia de la innovación está en la generación de valor partiendo de una reflexión previa. Y esta sí se encuentra al alcance de una mayoría.

Desde esa concepción posibilista es más sencillo abordar la innovación que, como sintetiza Fundación Cotec en su publicación Análisis del proceso de innovación en la empresa de servicios, podemos alcanzar por cuatro vías:

  • Innovación de servicio o producto. “Implica la creación de nuevos servicios o una mejora significativa de los ya existentes”.
  • Innovación de proceso. “Nuevas formas de producir o proveer un servicio”. Por ejemplo, la adopción de sistemas de planificación y optimización de recursos para mejorar la competitividad en precio durante la fase de producción, o la creación de una app de reserva online de citas para facilitar la operativa con el cliente final de un servicio de salud.
  • Innovación de organización. Es la que se centra en los modelos de gestión empresarial.
  • Innovación de mercado. Es la que implica un nuevo comportamiento de la empresa frente al mercado, por ejemplo, a través de su internacionalización o de la entrada en nuevos segmentos.

Modelo general de innovación en cinco pasos

Pero asumir que la empresa de servicios debe innovar y que sus esfuerzos pueden canalizarse por estas vías y sus intersecciones no es suficiente. La innovación es una actitud de la que debe participar toda la empresa, lo que resulta más sencillo cuando se establecen unas reglas y prácticas. De nuevo Cotec ofrece un modelo al alcance de una mayoría, pensado para estructurar y ordenar todas las acciones necesarias, un modelo que se apoya en cinco acciones:

1. Vigilar

Consiste en “la exploración continua del entorno interno y externo, para identificar y procesar las señales o indicios de una innovación potencial”. Para que esta vigilancia sea efectiva, se debe concentrar en necesidades concretas de la empresa, como las de orientación al cliente, cumplimiento de la legislación o monitorización de las decisiones de sus competidores.

Una buena vigilancia de la pyme de servicios se va a concretar en señales de cambio. Puede ser la aparición de nuevos competidores, la consolidación de la globalización en el mercado o la introducción de nuevas tecnologías, pero ya se identifiquen más como amenazas u oportunidades, lo importante es entender que no pueden ser ignoradas y que representan una oportunidad de innovación.

2. Focalizar

Las señales de cambio son siempre más numerosas que los recursos con los que gestionarlas, por eso es vital focalizar. Se trata de que la pyme dosifique sus esfuerzos y sobre todo los optimice en torno a lo que considera prioritario, porque atender una señal de cambio necesariamente va a significar desatender otras muchas. Y esta selección solo se puede hacer con éxito cuando la empresa tiene una estrategia coherente y enfocada.

3. Capacitarse

Para recorrer el camino elegido y hacerlo con éxito, es imprescindible estar capacitado. Por ello, las organizaciones deben preocuparse por adquirir o atraer ese conocimiento necesario por medio de formación, la compra de tecnología, la colaboración con otras empresas o la incorporación a sus plantillas de las personas adecuadas.

4. Implantar

En opinión de Cotec, “el núcleo del proceso de innovación, ya que es en él donde en la práctica se materializa la innovación”, supone la introducción en el mercado de un nuevo servicio o producto o la implantación de mejoras en los procesos internos, y dada su importancia, el error que se ha de evitar es que todos los recursos del proceso innovador se concentren en esta fase: el éxito depende de acertar en cada uno de los pasos, no solo en este.

5. Aprender

Pese a dar unidad a todo el proceso, en muchas ocasiones es el gran olvidado de la innovación. La empresa debe recoger y almacenar el conocimiento adquirido, identificando las lecciones que ayudarán a desarrollar otros procesos en el futuro. El objetivo es retener tanto el aprendizaje empresarial para gestionar mejor la innovación como el aprendizaje tecnológico, y no se conseguirá sin la utilización de herramientas. Es una de las dificultades de la empresa de servicios, pero debe aprender a establecer indicadores que permitan evaluar y comparar qué prácticas son más efectivas.

Realidad extendida y extensa

Manuel García Gil    17 abril, 2019

Está claro que estamos con un ojo en el presente y otro en el futuro y el tema interesa. Lleno total en “XR design”, el encuentro  que se celebró en Espacio Fundación Telefónica, en el que expertos del sector mostraron las aplicaciones de la realidad extendida en el mundo del diseño.

Desde un escenario mágico, tres ponentes nos hablaron de transformar digitalmente las compañías con ayuda del diseño, porque éste, como decía Steve Jobs, no concierne solo al aspecto sino también a la experiencia. Y la XR puede contribuir a esta transformación (recordad que de martes a viernes por la mañana el Espacio Realidad Extendida de Fundación Telefónica está abierto para público profesional precisamente).

También hablaron de salas de realidad virtual o de cómo la integración de realidad extendida e inteligencia artificial nos pueden convertir en “una mejor especie”.

El evento no pudo ser más interesante. Comenzó con una historia empresarial enfocada al cliente, el núcleo de verdad de las empresas. Una historia que mostraba que una misma compañía se puede entender de muchas formas distintas por aquellos que la dirigen, por quienes trabajan en ella o por sus clientes. Y que para la transformación digital no basta con incorporar tecnología, sino que es necesario un cambio cultural: hace falta que las marcas entiendan qué valor aportan a la vida de los usuarios, que conozcan su experiencia y, a veces, tendrán que reinventarla (aquí sí, con ayuda de la tecnología). Es imprescindible un proceso consultivo que vaya mostrando los patrones de los que tras iterar, y con suerte, talento, método e imaginación surgirán las propuestas que colocarán a la compañía en una nueva dimensión: a la altura del cliente digital.

Luis Zunzunegui, partner de Propelland, habló del trabajo que habían realizado para Pernord Ricard, una empresa del siglo XIX en busca de nuevos modelos de negocio. Se refirió al diseño estratégico para crear nuevas experiencias a través de la innovación disruptiva y de la tecnología como parte de esa experiencia que, para estar bien construida, debe hacerse a raíz de las necesidades de las personas.

En “XR design” también se mostró un producto que rompe los límites existentes hasta ahora del espacio para entornos inmersivos, de forma que permite experimentar unas extensiones antes imposibles, como meternos dentro de un motor, una cueva o un volcán. Jesús Garrido, director comercial de Virtualware España, presentó VIROO, que llevaron al CES de Las Vegas: una especie de sala de realidad virtual multiusuario para los equipos de ingeniería, producción, marketing… lo que convierte una tecnología innovadora en una solución sencilla para el cliente, al servicio de su transformación digital.

Así, ya podemos pensar en hacer converger las realidades virtual y aumentada para adentrarnos en nuevos universos digitales. Las aplicaciones dependerán de nuestra imaginación, aunque, aparte de formación y trabajo remoto, unas de las primeras sea precisamente inventar nuevos mundos. Me gustaría ver cómo se conjuga esto con la evolución de los videojuegos en los próximos años. Tal vez estos avances no sean más que los balbuceos de nuevas industrias aún por eclosionar.

Y, para terminar, nos adentramos en un relato de cíborgs (ya los hay), de la mano de Pedro Mújica, tecnólogo humanista, que ha acuñado el concepto de realidad artificial extendida (mezcla de la realidad extendida y la inteligencia artificial).

Mújica se refirió a la interacción humano-máquina como futuro cercano pero también como presente en el que ya se está trabajando. Predijo el fin de las pantallas en esta cuarta transformación digital, en la que también diremos adiós a lo táctil y empezaremos a sentir el mundo digital a través de gafas normales y «fashionistas», de implantes, de algo que vistamos o llevemos interiorizado pero no externo a nosotros. Avanzamos hacia una nueva forma de interactuar con los objetos, digitalizaremos nuestros cinco sentidos y seremos capaces de transmitirles pensamientos a las máquinas.

Todo esto, bien hecho, nos permitirá poner la tecnología al servicio del ser humano. Pasaremos del smartphone al smartsense, el nuevo sentido que nos hará humanos aumentados. Como tecno-optimista habló de un segundo renacimiento, de la llegada de una especie mejor, del fin de las barreras idiomáticas, de un nuevo orden mundial con un Google personalizado por cada usuario, de la IAnética…

No hay duda de que la humanidad está en vías de transformación y hemos de hacerlo bien: tomar el control y hacer nuestros los cambios para poner de verdad al hombre en el centro, superar las alarmas y que la tecnología nos sirva para mejorar nuestra vida y nuestro mundo. En mis artículos, en los que suelo escribir de cloud o de inteligencia artificial, siempre repito que estas tecnologías están avanzando a pasos agigantados cada día y la transformación llega a todos los ámbitos de nuestra vida. Tenemos que ser capaces de adaptarnos o, si podemos, adelantarnos a los cambios pero sobre todo hacer que tengan sentido para que los cambios se produzcan de la forma adecuada usando mi frase favorita respecto a la tecnología: “¿Esto es todo lo que puedes hacer?”.

En definitiva, transformación digital, realidad extendida sin límites o tecno-humanismo son términos que se van a ir incorporando cada vez más a nuestro léxico. Más nos vale, vaya.

Imagen: Austin Kirk

Deja un comentario en Realidad extendida y extensa
Manuel García Gil
Manuel García Gil

Ingeniero técnico industrial (electrónica industrial y automatización), con eMBA en dirección de empresas. Llevo en el sector TI desde el año 2000 que me incorporé a Nortel, después pasé por Dominion, Cisco, Alien Vault y Colt. En la actualidad trabajo en venta especialista global de cloud en Telefónica, desde donde presto soporte a multinacionales para desarrollar oportunidades multipaís con la propuesta de valor de Telefónica en la nube

Semi-Supervised Learning…el gran desconocido

Alfonso Ibáñez Martín    16 abril, 2019

Durante los últimos años se ha avanzado mucho en la resolución de problemas complejos gracias a los algoritmos de Inteligencia Artificial. Estos algoritmos necesitan de un gran volumen de información para poder descubrir y aprender, de manera continua, los patrones ocultos en los datos. Sin embargo, esta no es la forma en que la mente humana aprende. Una persona no requiere de millones de datos y múltiples iteraciones para solucionar un determinado problema, ya que lo único que necesita son algunos ejemplos para resolverlo. En este contexto, técnicas como el semi-supervised learning o aprendizaje semi-supervisado están jugando un papel importante hoy en día.

Dentro de las técnicas de Machine Learning podemos encontrar varios enfoques bien diferenciados (ver Gráfico 1). Los algoritmos supervisados tratan con conjuntos de datos etiquetados y su objetivo es construir modelos predictivos, ya sean de clasificación (estimando una clase) o de regresión (estimando un valor numérico). Dichos modelos se generan a partir de datos etiquetados y, posteriormente, realizan predicciones sobre los datos no etiquetados. Sin embargo, los algoritmos no supervisados utilizan datos no etiquetados y su objetivo, entre otros, es el de agruparlos, en función de la similitud de sus características, en un conjunto de clusters. A diferencia de los dos enfoques más tradicionales (supervised learning y unsupervised learning), los algoritmos semi-supervisados emplean pocos datos etiquetados y muchos datos no etiquetados como parte del conjunto de entrenamiento. Dichos algoritmos tratan de explorar la información estructural que contienen los datos no etiquetados con el objetivo de generar modelos predictivos que funcionen mejor que los que sólo utilizan datos etiquetados.

Esquema de los distintos enfoques de aprendizaje automático

Gráfico 1: Esquema de los distintos enfoques de aprendizaje automático


Los modelos de aprendizaje semi-supervisados son cada vez más utilizados en nuestros días. Un ejemplo clásico en el que se observa el valor que aportan dichos modelos es el análisis de las conversaciones grabadas en un call center. Con el objetivo de inferir automáticamente características de los interlocutores (género, edad, geografía,…), sus estados de ánimo (contentos, enfadados, sorprendidos,…), los motivos de la llamada (error en la factura, nivel de servicio, problemas de calidad,…), entre otros, es necesario disponer de un volumen elevado de casos ya etiquetados sobre las cuales aprender los patrones de cada tipología de llamada. El etiquetado de estos casos es una tarea ardua de conseguir, ya que etiquetar archivos de audio, por lo general, es una tarea que requiere tiempo y mucha intervención humana. En estas situaciones en las que etiquetado de los casos es escaso, ya sea porque es costoso, necesita mucho tiempo de recopilación, requiere de mucha intervención humana o simplemente porque es completamente desconocido, los algoritmos de aprendizaje semi-supervisado son de gran utilidad gracias a sus características de funcionamiento. Sin embargo, no todos los problemas pueden abordarse directamente con estas técnicas, ya que existen algunas características esenciales que deben estar presentes en los problemas para poder solucionarlos, de manera efectiva, utilizando esta tipología de algoritmos.

Probablemente la primera aproximación sobre el uso de datos no etiquetados para construir un modelo de clasificación es el método Self-Learning, también conocido como self-training, self-labeling, o decision-directed learning. Self-learning es un método wrapper muy simple y uno de los métodos más utilizados en la práctica. La primera fase de dicho algoritmo consiste en aprender un clasificador con los pocos datos etiquetados. Posteriormente, el clasificador es usado para predecir los datos no etiquetados y sus predicciones de mayor fiabilidad son añadidas al conjunto de entrenamiento. Finalmente, el clasificador es reentrenado con el nuevo conjunto de entrenamiento. Este proceso (ver Gráfico 2) se repite hasta que no se puedan añadir nuevos datos al conjunto de entrenamiento.


Gráfico 2: Esquema del funcionamiento del algoritmo self-learning

En el enfoque semi-supervisado se asume cierta estructura en la distribución subyacente de los datos, es decir, los datos más próximos entre sí se supone que tienen la misma etiqueta. El Gráfico 3 refleja cómo los algoritmos semi supervisados van ajustando, iteración tras iteración, la frontera de decisión entre las etiquetas. Si solo se dispone de datos etiquetados la frontera de decisión es muy distinta a la frontera aprendida al incorporar la información de la estructura subyacente de todos los datos no etiquetados.

Ajuste iterativo de la frontera de decisión en el aprendizaje semi-supervisado

Gráfico 3: Ajuste iterativo de la frontera de decisión en el aprendizaje semi-supervisado

Otra situación en la que los datos semi-etiquetados son de utilidad es en la detección de anomalías, ya que se trata de un problema típico en el que es difícil disponer de una gran cantidad de datos etiquetados. Este tipo de problema puede abordarse con un enfoque no supervisado. El objetivo de dicho enfoque es el de identificar, en base a las características de los datos, aquellos casos que difieren mucho del patrón habitual de comportamiento. En este contexto, el subconjunto de datos etiquetados puede ayudar a evaluar las distintas iteraciones del algoritmo, y así, guiar la búsqueda de los parámetros óptimos del algoritmo analizado.

Finalmente, con los ejemplos anteriormente expuestos, queda demostrado que el uso de datos no etiquetados junto con una pequeña cantidad de datos etiquetados puede mejorar considerablemente la precisión tanto de los modelos supervisados como la de los no supervisados.

Escrito por Alfonso Ibáñez y Rubén Granados

Si quieres experimentar en primera persona con el aprendizaje reforzado, no te pierdas esta serie en nuestro blog.

Aprendizaje Reforzado y Deep Learning en videojuegos clásicos: todo lo que hemos aprendido en un año


Para mantenerte al día con LUCA visita nuestra página web,  suscríbete a LUCA Data Speaks o síguenos en TwitterLinkedIn YouTube.

Claves para reinventar el negocio de la moda

Marina Salmerón Uribes    16 abril, 2019

Este año en el Barcelona Fashion Summit, el principal encuentro anual del negocio de la moda en España, se mostraron las claves para reinventar el negocio de la moda. Y es que, tal y como se destacó en el evento, la moda ya no está entre las prioridades de los consumidores en nuestro país ni en ningún mercado maduro. Por ello, el objetivo principal de esta séptima edición fue “poner el contador a cero” con tres grandes retos:

En un entorno en cambio constante en torno a los hábitos y patrones de conducta de los consumidores, a un gran número de compañías se les está atragantando la transformación digital y no son capaces de ponerla en marcha. ¿Cómo ver las oportunidades del sector y no solo las amenazas? La única salida es adaptarse.

Y dicha adaptación se debe producir para conseguir cada uno de los retos anteriormente mencionados, empezando por el aprendizaje de otros sectores. Antiguamente solo existía la competencia dentro del propio sector pero ahora, como ocurre con el ámbito de la seguridad, estamos en un entorno líquido en el que las murallas defensivas han desaparecido: las compañías diversifican y entran en negocios en principio ajenos al suyo y pueden colaborar y competir en distintos ámbitos a la vez.

Los consumidores, por su parte, que son mucho más exigentes porque están hiperconectados, también quieren que les faciliten la vida, que los emocionen... Por ello, uno de los puntos clave de este encuentro, en el que ponentes y asistentes coincidieron, es en la ayuda que representa la tecnología para la consecución de los objetivos de negocio y una mejor experiencia de cliente. Es necesario detectar las posibles soluciones que aportan eficiencia e innovación al sector de la moda desde una visión global.

En este momento las verdaderas lecciones las están dando aquellas empresas que están creciendo y tienen el reconocimiento por parte de los clientes por adaptarse a ellos, las que se alejan del marketing de las 4P para ofrecer experiencias y compartir unos valores comunes.

Por otro lado, esta adaptación no será posible sin el gran impulso de innovación que el sector de la moda necesita. Cristina Zito, responsable de estrategia de la agencia DDB Barcelona, mencionó en su intervención que dicha innovación debe centrarse en tres ejes: producto, negocio y distribución, y que tiene que ir desde dentro hacia afuera en las compañías, que queda mucho camino por recorrer y que los esfuerzos necesarios no son solo de índole económico, sino que se requiere también una apuesta por poner a las personas de verdad en el centro y aprovechar el potencial de su talento y creatividad.

Para terminar, me gustaría referirme al tercer punto clave de esta edición del Barcelona Fashion Summit, sobre el que hemos escrito en numerosas ocasiones en este blog: cómo enamorar al cliente. En la “era del consumidor” es fundamental saber qué quiere, cuándo y cómo. Según exponía Dimas Gimeno, ahora al frente de Dnext Retail,  “la omnicanidad bien ejecutada solo está implantada en el 4 por ciento de los comercios” y se debe en gran parte a que muchas compañías no escuchan verdaderamente a sus clientes, no se preocupan por conocerlos y personalizar realmente su oferta. Simplemente pretenden conseguir aquello que los competidores no tienen y no saben ver las oportunidades que ofrece el canal online ni, sobre todo, el potencial de generar experiencias de compra en la tienda física o la suma exponencial de ofrecer lo mejor de cada mundo; más que de omnicanalidad hay que hablar ya de omniclientes.

l eCommerce en moda es una realidad creciente. En 2018 se vendieron más de 480.000 millones de dólares y se prevé que se incremente alrededor de un 50 por ciento en 2022. La verdadera asignatura pendiente en este momento es la digitalización de los espacios físicos para “una venta digital 360”.

Lo verdaderamente relevante y así se dijo en el evento es que esto no va de canales y, si hablamos de ellos, lo importante es que on y off se complementen al servicio del cliente porque eso redundará en el negocio. La clave es una verdadera transformación de la cadena de valor, la adaptación del modelo de negocio y de la relación con el cliente.

Imagen: AhmadArdity

Todas las fórmulas de financiación para tu empresa

Mar Carpena    16 abril, 2019

Es casi parte de su ADN. La mayoría de las pequeñas y medianas empresas tienen en el acceso a la financiación su principal escollo.

Frente a las grandes corporaciones, los recursos económicos son los más ausentes en el terreno de la pyme, que ve cómo, en muchas ocasiones, lograr el dinero con el que expandir su negocio a otros países, formarse, dar el salto tecnológico o simplemente seguir adelante puede resultar una auténtica proeza.

Una situación en la que son muchas las que deciden pedir ese dinero fuera de su propio negocio. Amigos y familiares suelen ser los primeros a los que acudir pero, agotada esta fuente, existen otras vías.

Los bancos, una opción cada vez menos utilizada

Tradicionalmente, durante muchos años, fueron las entidades financieras las principales valedoras económicas de las pymes de este país mediante los préstamos que les concedían. Sin embargo, tras la crisis económica, que sacudió en 2009 a prácticamente todo el planeta, muchas son las pequeñas y medianas empresas que han decidido distanciarse de este modelo de financiación.

Concretamente y de acuerdo con los datos del Banco Central Europeo (BCE), en septiembre de 2009, los bancos constituían la opción preferente de las pymes europeas a la hora de financiarse, muy por encima de otras vías como la ampliación de capital.

En nuestro país y tan solo entre los meses de enero y febrero de 2019, los bancos han registrado una caída abrupta de los importes en pequeñas y medianas empresas de un 19,5%, según los datos del Banco de España.

Entonces, si no son las entidades financieras, ¿quiénes son ahora las fuentes de financiación elegidas por las pymes?

Ayudas públicas

Una de las vías con las que cuentan las pequeñas empresas de nuestro país es la ayuda pública de organismos como el Instituto de Crédito Oficial (ICO). Esta entidad, en 2018, sufragó más de 41.440 operaciones, por un importe aproximado de 2.500 millones de euros.

De este volumen, el 90% de las transacciones fueron suscritas con pequeñas empresas de menos de 50 trabajadores, registrando un volumen aproximado de 1.600 millones de euros.

Las líneas ICO financian la actividad de autónomos, pymes, empresas y emprendedores, tanto en España (Línea ICO Empresas y Emprendedores, Línea ICO Crédito Comercial) como en el exterior (Línea ICO Internacional, Línea ICO Exportadores, Línea ICO Canal Internacional).

Otro de los organismos públicos más utilizados por las pymes a la hora de financiarse es ENISA, Empresa Nacional de Innovación, que durante el pasado año aprobó la financiación de 534 proyectos, de 1.400 estudiados y destinó 74,5 millones de euros a la creación y el crecimiento de empresas.

La entidad, que depende del Ministerio de Industria, Comercio y Turismo, contempla ayudas de dos tipos: para proyectos semilla y para proyectos en crecimiento.

En el caso de los proyectos de nacimiento o de semilla existen dos líneas de financiación: de emprendedores y de jóvenes emprendedores, que van desde los 25.000 hasta los 300.000 euros.

En el caso de las pymes, son líneas destinadas a que estas empresas “crezcan y se fortalezcan”. Las cantidades oscilan desde los 300.000 hasta los 1,5 millones de euros.

Por su parte, el objetivo de CERSA (Compañía Estatal de Refianzamiento), otra entidad pública a la que acudir, es “fomentar y ayudar a las empresas con su desarrollo, ya sean de nueva creación o ya afianzadas, llegando a pymes y autónomos de toda España. También, apoyando las actividades innovadoras, un 27,5% de sus acciones van dirigidas a sus líneas de Crecimiento de Empresas (sobre digitalización y desarrollo), Internacionalización e Innovación”.

La Compañía Estatal de Refianzamiento ha aportado más de 600 millones de euros a más de 10.000 empresas españolas. Si analizamos estas cifras en los últimos cinco años, el resultado que obtenemos es de un total de 2.453 millones repartidos entre 53.929 pymes beneficiarias, según reza en su propia web.

Nuevos métodos de financiación

Junto a estas ayudas públicas y con el distanciamiento con la banca, son muchas las pymes que han decidido comenzar a valorar nuevas fórmulas que les permitan obtener los fondos económicos que precisan.

Junto al auge del crowdfunding, que ya han adoptado muchas de estas pequeñas empresas, comienza a expandirse también el llamado crowdlending, es decir, los préstamos entre particulares.

Estos créditos, tanto para actores privados como para empresas, permiten satisfacer sus necesidades de financiación, además de en operaciones de capital circulante, también para las de inmovilizado o aquellas orientadas al crecimiento.

De acuerdo con la Asociación de Crowdlending Española (ACLE), durante 2018, el volumen de financiación a través de este método, tanto de proyectos como de particulares, ascendió a 118,25 millones de euros.

La diferencia con el crowdfunding es que en este caso el inversor pacta unos intereses y unos plazos de devolución, por lo que la recuperación de la inversión está ligada a que el proyecto en el que se ha invertido tenga éxito.

Desde la Asociación defienden que el éxito de esta fórmula reside en la agilidad y rapidez, ya que -según explican- los plazos de obtención de fondos son, por lo general, entre un 30% y un 50% más rápidos que los de los bancos.

Subvenciones, créditos, inversores privados… La financiación al alcance de la pyme comienza a tomar múltiples formas que muestran la importancia que estas empresas tienen.

Y es que tan solo hay que recurrir a un par de datos. Las pequeñas y medianas empresas representan el 91% del tejido empresarial en España, según los últimos datos aportados por el Directorio Central de Empresas (DIRCE), y son las principales generadoras de empleo en la economía nacional, ya que concentran el 71% de los afiliados a la Seguridad Social.

DataOps: Del laboratorio a producción de manera ágil

AI of Things    16 abril, 2019

Hace un año, en uno de los workshops tecnológicos que solemos hacer con nuestros clientes, salió a colación la estrategia para implantar advanced analytics. Este cliente ya estaba realizando desarrollos, probando casos de uso y percibiendo un retorno en la inversión realizada.

En este caso, nuestro cliente ya había contratado a un equipo de data scientists con una formación y experiencia en matemáticas o estadística, y había empezado a desarrollar los primeros modelos analíticos con Python y R. La principal dificultad a la que se enfrentaba era al intentar pasar a producción los modelos que estaba desarrollando. Le estaba costando alcanzar una velocidad equiparable a la que solía tener un proyecto de desarrollo tradicional.

Este es un ejemplo más de los que demuestran que los proyectos de analytics en las grandes empresas tienen un grado de complejidad añadido: tienen una organización y una arquitectura tecnológica bien definida, pero adaptada a los proyectos de desarrollo de software tradicional.

En el siguiente gráfico podemos ver el ciclo de vida habitual de un proyecto de analytics:

Figura 1: Analytics Lifecycle.

Figura 1: Analytics Lifecycle.

Analytics Life Cycle

En este ciclo de vida, los equipos de analytics se encuentran con los siguientes retos:

  • Tienen una gran dependencia de los equipos de analistas de datos, al ser estas personas las que conocen dónde está el origen de la información necesaria para desarrollar modelos analíticos
  • No tienen conocimiento de las herramientas tradicionalmente utilizadas para desarrollar aplicaciones en las arquitecturas empresariales, por lo que, a la hora de desplegar estos modelos en una aplicación, surgen problemas de compatibilidad.
  • No tienen las herramientas para monitorizar el rendimiento de los modelos analíticos ni para detectar posibles degradaciones en su funcionamiento.

Para poder ayudar a afrontar estos retos, surgió hace tiempo el concepto de DataOps. Primero fue definido por Gartner, un cambio cultural derivado de DevOps, pero centrado en el dato. Más adelante, surgió el Manifiesto DataOps, en el que se incluye también el proceso de desarrollo de aplicaciones analíticas.

A partir de este manifiesto, es posible definir un marco de trabajo conceptual con las piezas necesarias para poder agilizar y reducir el time to market de los proyectos de analítica avanzada. Estos componentes pueden ser las herramientas y metodologías necesarias que tendrían que existir en cualquier compañía para disponer de un ciclo de vida de analytics ágil y completamente automatizado.

Este ejercicio permite disponer una visión end-to-end que permita definir la estrategia de implantación de analytics dentro de una gran compañía, evaluando el estado actual, y decidiendo qué componentes evolucionar o implantar para conseguir este objetivo.

Figura 2: DataOps Framework.

Figura 2: DataOps Framework.

Los proyectos de analítica avanzada están demostrando retorno de inversión y aportado de manera incremental valor a negocio. Va a ser necesario gestionar cada vez más aplicaciones productivas que contengan modelos analíticos, por lo que agilizar y automatizar lo máximo posible este tipo de desarrollos será una prioridad en todas las empresas. Una estrategia DataOps es el driver necesario para conseguirlo.

Por Angel Llosa Guillen, Digital Architecture Manager en everis

Visita la web del Club en este enlace: http://clubcdo.com/ y puedes contactar para más información en [email protected]

MAC aleatorias y privacidad (I)

Álvaro Núñez-Romero Casado    15 abril, 2019

Android Q incluirá la posibilidad de transmitir direcciones MAC aleatorias por defecto (si bien ya se podía desde la versión 6.0). Esto es un paso hacia un sistema que respeta más y mejor la privacidad del usuario. ¿Por qué? ¿Cómo influye la MAC en la privacidad? ¿En qué casos se transmite y supone un problema? ¿Cómo lo manejan los sistemas operativos? ¿Es suficiente esta aleatoriedad? Vamos a intentar aclarar este interesante asunto.

MAC y redes Wi-Fi
Cuando nos conectamos a una red inalámbrica, los dispositivos guardan información acerca del sitio al que se conectan (cuando está activada la opción “recordar redes”). La próxima vez que el dispositivo vuelva al mismo sitio, se conectará automáticamente a la red y para que esto sea posible, los dispositivos están constantemente en segundo plano preguntado por las redes Wi-Fi que se encuentran disponibles a su alrededor. Si alguna red coincide con la que tiene almacenada el dispositivo en su lista de redes preferidas (PNL), comenzará un proceso de autenticación. Pero, ¿cómo preguntan los dispositivos si hay redes conocidas a su alrededor?

Para estar al tanto de las redes alrededor, se utilizan paquetes llamados probe request. Los dispositivos están constantemente buscando puntos de acceso cercanos, por lo que estos paquetes son mandados a broadcast esperando la respuesta de los puntos de acceso que responderán con paquetes probe response, devolviendo información sobre su SSID (excepto los SSID ocultos) y otra información relacionada con la autenticación. Cuando un SSID coincide con alguno que el dispositivo tenga guardado en su PNL, se manda un probe request a el SSID concreto y comienza el proceso de autenticación y asociación. Este sería el flujo completo de trabajo:

probe request => probe response => authentication request => authentication response => association request => association response

El problema de esto es que cada vez que un dispositivo cliente manda un paquete probe request, se puede obtener su dirección MAC y como estos paquetes se están enviando constantemente, se podría hacer un seguimiento al dispositivo si se tiene acceso a diferentes puntos de acceso que escuchan esa misma MAC.

Crear una red con SSID oculto puede parecer una interesante medida de seguridad para pasar desapercibidos, sin embargo, estas redes tienen un gran inconveniente. Cuando se hace un probe request a broadcast, responden todos los puntos de acceso cercanos que no estén ocultos. Sin embargo cuando el dispositivo busca un punto de acceso con SSID oculto conocido por él, lo que hace es mandar un probe request preguntando por el SSID oculto específico. De esta forma en realidad se está desvelando la identidad de esa red oculta y dando pistas a los posibles atacantes sobre las redes a las que nos conectamos habitualmente o en el trabajo, con lo que volvemos a un problema de privacidad. Los diferentes puntos de acceso podrían escuchar por un SSID oculto característico.

Además de esto, algunos equipos han tenido vulnerabilidades en algunas versiones y al realizar los probe request podían publicar parte de su PNL, facilitando a un atacante poder realizar un ataque evil twin (crear punto de acceso falso que conozca el dispositivo de la víctima y se autoconecte sin que la víctima tenga conocimiento de ello). La solución a este tipo de vulnerabilidad es simplemente tener el software actualizado.

Así que fundamentalmente, tenemos el problema del tracking y el envío de información potencialmente sensible con las MAC y con los SSID ocultos.

Breve introducción al estándar 802.11 y las peticiones
Veamos primero un par de deficiones:

  • Beacon frame: El punto de acceso manda periódicamente los beacon frame para anunciar su presencia y la información como el timestamp, SSID y otros parámetros relacionados con el punto de acceso. Continuamente se escanean todos los canales de radio en 802.11 y escucha los beacons para elegir qué punto de acceso es mejor para asociarse.
  • Probe request frame: Una estación manda un paquete probe request cuando necesita obtener información sobre otra estación. Por ejemplo, se envía un paquete probe request para determinar qué puntos de acceso están en su rango.

Para descubrir redes nuevas, existen dos tipos de escaneo:

  • Pasivo: escaneando todos los canales y escuchando todos los paquetes (beacons), pero no es eficiente. 
  • Activo: en este modelo el dispositivo irá escaneando por canales pero, en vez de escuchando pasivamente las señales de ese canal, se mandan los paquetes Probe Request para preguntar por las redes disponibles en él.

En el escaneo activo, los paquetes Probe Request pueden a su vez ser enviados de dos formas:

  • Broadcast (ff:ff:ff:ff:ff:ff). Una vez que el paquete es mandado se establece un límite de tiempo para obtener las respuestas (el dispositivo o la estación comienza un contador ProbeTimer). Al finalizar el timer, el dispositivo procesa la respuesta recibida. Si no hay respuesta recibida la estación se mueve a otro canal y repite el proceso de descubrimiento. 
  • En el caso de los ocultos (que no mandan probe requests a todos) el punto de acceso o dispositivo puede mandar un paquete Probe Request especificando el SSID que está buscando (son los llamados paquetes Probe Request Directos). En este caso responderá la única estación o punto de acceso que tenga ese SSID por el que se está preguntando. Se da en los puntos de acceso con SSID oculto.

Para entender todo esto a nivel prácticos, son buenas herramientas ProbeKit y Sniff-Probes.

Escaneos y protección de privacidad
Para evitar el seguimiento a través de la MAC expuesta en los probe request, los fabricantes han tomado una medida «radical»: la posibilidad crear direcciones de MAC aleatorias a la hora de realizar este tipo de búsquedas. Los dispositivos móviles fueron los primeros en realizar estas acciones, empezando Apple en su versión de sistema operativo iOS 8, Android en su versión 6.0 Marshmallow y Windows en Windows 10 Mobile. Para Android ya se publicó una aplicación antes de la salida de Marshmallow llamada Pry-Fi, desarrollada por Chainflare, pero que necesita de permisos de root para su ejecución, y por tanto limitando el uso de esta para usuarios avanzados.

Los sistemas operativos de escritorio también se han sumado a esta medida de protección anti-tracking. En Windows 10 aparece una opción para generar direcciones MAC aleatorias en las preferencias de Wi-Fi, donde también es posible asignar la generación aleatoria de MAC incluso en las redes preferidas de manera individual.

Aunque como se ha demostrado en varias ocasiones, la aleatorización no es siempre suficiente (además de las particularidades con las que lo hacen Windows).Incluso recientemente, unos investigadores de la US Naval Academy, han estudiado y descubierto el método con el que aseguran que pueden trackear el 100% de los dispositivos que usan randomización de MACs. Para ello dicen ser capaces de obtener la MAC original del dispositivo. Toda la información de esta investigación en el paper A Study of MAC Address Randomization in Mobile Devices and When it Fails.

En la siguiente entrega, veremos cómo implementan exactamente los diferentes sistemas operativos todo esto.