Autor: Jacobo Nájera

La participación de radiaficionados en el restablecimiento de las telecomunicaciones después del 19s

En la Ciudad de México un grupo de radiofacionados realizaba prácticas meses antes a la mañana del 19 de septiembre con la intención de participar en el simulacro en el marco de la conmemoración de los 32 años del sismo de 1985; sin embargo no pudieron participar porque la confirmación de parte de las autoridades llegó demasiado tarde.

 

Ese martes, después del simulacro, pasando el medio día,  se registró el evento sísmico de 7,1 Mw a las 13:14:40 horas con epicentro localizado a 12 km al sureste de Axochiapan, Morelos, según el informe especial preliminar del Servicio Sismológico Nacional de México.

Tras el terremoto las comunicaciones colapsaron, en muchos lugares las redes de telefonía móvil estaban caídas o funcionaban de manera  intermitente. Protección Civil solicitó al grupo de radioaficionados apoyo, en esos momentos sus habilidades, conocimientos así como sus  equipos de transmisión civil de telecomunicaciones eran muy necesarios, cuenta con pasión y orgullo Alejandro Sánchez, integrante del Radio Club Unión de Radioaficionados Mexicanos (URAM).

Con sus equipos de telecomunicaciones, Alejandro se instaló en una de las esquinas de las calles de Amsterdam y Laredo, sus compañeros del radio club se movilizaronn a las oficinas de Protección Civil y al Colegio Enrique Rebsamen.

Mientras tanto un remolque con las letras XE1CRG emprendió la marcha terrestre desde el Club de Radio Amateur del Estado de Guanajuato. Aquella es una unidad equipada con radios para operar en varias bandas del espectro radioeléctrico y con la capacidad de envío, por ejemplo, de correos electrónicos sin necesidad de una conexión a internet.

En entrevista Alejandro reflexiona que el objetivo no era que  “la comunicación tiene que pasar por nosotros, no vamos a solucionar nada, estábamos ahí por si nos necesitaban”.

Si bien las telecomunicaciones y las redes ya habían comenzando a trabajar, tuvieron caídas e interrupciones, los grupos de radioaficionados estaban listos para entrar por si algo no funcionaba. También prestaron sus equipos a los Topos.

Los radioaficionados mexicanos participaron activamente en restablecer las comunicaciones desde la Ciudad de México y otras localidades del país afectadas por los sismos, además de Alejandro, el radio club URAM fue parte del grupo de personas y colectivos que creen firmemente que en situaciones de emergencia tanto sus conocimientos, equipos y el espectro radioeléctrico deben estar al servicio civil y de la población.

 

Pero ¿qué significa ser un radioaficionado?, dejemos que nos lo cuente el mismo Alejandro.

JN: ¿Cómo te iniciaste en la radioafición y radioexperimentación?

AS: Me acuerdo perfectamente bien de todo eso. Si tomamos en cuenta que tengo 50 años, para ubicarnos en distancia de tiempo, mi papá trabajaba en la Ford Motor Company,  muchas veces traía revistas de ingeniería y cosas así, le gustaba mucho lo más nuevo, teníamos grabadoras de carrete abierto que eran como una maleta y grababan como cinco minutos. Desde entonces siempre me gustó la electrónica y todo esto; yo diseñé una videocasetera 10 años antes de que existiera una, imagínate. Nada más me faltaba la cinta, yo quería transmitir por mi televisión.

Cuando ya tuve edad suficiente para comprarme mis cosas, me compré mi primer radio de banda civil. Estamos hablando de hace 35 años. Lo puse aquí, y le daba lata a los vecinos, porque transmitía e interfería sus aparatos, lo tuve un tiempo, me gustó mucho, andaba yo con todo lo que es banda civil, pero luego llegaron las computadoras, y me gustaron más, vendí todo para comprarme una. Y ahí paró la radioafición. Tuve contacto con una persona que era radioaficionado y con los radios, pero las computadoras me atraparon más, y hace unos 4 o 5 años regresé nuevamente al tema de los radios.  Todo lo atribuyo a la edad, uno siempre regresa en el tiempo, cuando ves que la vida no va y te vas regresando, así regresé igual a la banda civil.

Después empecé a meterme más, porque la banda civil no te llena o no me llenaba, entonces investigué cómo ser radioaficionado. Lo que te digo, ser radioaficionado es casi una secta mística, filosófica, misteriosa. Los illuminati, son más vistos que los radioaficionados, yo quería ser radioaficionado y tardé un año en encontrar cómo serlo. O más bien: intenté ser porque todo es muy secreto, y luego ya entré al radio club.

El hobby del radioaficionado resulta peculiar, su experimentación tiene beneficios directos para la sociedad en la que se desarrolla, hay quienes incluso suelen decir que salva vidas y que genera conocimiento, riqueza y cultura para un país.

 

JN: ¿En qué momento pasaste del hobby, del experimento a otro tipo de actividades, por ejemplo en una emergencia?

AS: Bueno, la radioafición siempre ha sido y será un hobby pero uno de nuestros preceptos, es el de servir a la comunidad y eso lo hacemos, es parte del decálogo del radioaficionado. Uno de los preceptos es que nuestros equipos siempre estarán al servicio de la comunidad para lo que se necesite. La prueba más fuerte y de ahí la tradición fue el sismo de hace 32 años, cuando literalmente el mundo creyó que la Ciudad México se había destruido. La primera transmisión que sale es de un radioaficionado “aquí estamos, todavía existimos”. En aquel entonces no existía Protección Civil, ni por error. Protección civil nace de los sismos de 1985.

Alejandro Sánchez, conocido en el mundo de la radioafición como XE1GNU pronunciado con el alfabeto: X-ray, Echo, Uno, Golf, November, Uniform.

JN: El uso del espectro con fines civiles por los radiaficionados, ¿cómo es reconocido por los gobiernos?

AS: Depende, en México pareciera que nos quieren destruir. En Japón, Estados Unidos y Europa están de la mano con los gobiernos. Cuando vino la ley Televisa, se cambió toda la Ley de Telecomunicaciones en México y se les olvidó que existían los radioaficionados, entonces como que alguien en el último momento se acordó y dijo: “chin qué hacemos con estos cuates” pues “pónlos al mismo nivel de Televisa” y ahora no tenemos una licencia de uso sino ahora son concesiones. Se les olvidó ponernos frecuencias, y de pronto nos dijeron: “¿pues sabes qué?, ya no las tienen” y nosotros les dijimos “lo sentimos mucho porque esas son frecuencias internacionales amparadas por tratados internacionales ratificados por el Senado y las tienen que regresar”, y no las regresaron, no había vuelta de hoja.

 

JN: Cuando veo las tecnologías sobre las que trabajan, veo que una parte importante son sistemas analógicos, ¿qué representan los sistemas digitales para la radiación?

AS: Básicamente lo digital es lo que tenemos, pero ahora vamos a transmitir en unos y ceros. Los aparatos van a poder hacer más cosas, qué cosas, todavía no sabemos, no existen radios digitales para radioaficionado. Todo lo digital que hay es a nivel comercial, para las empresas. Pero, como buenos experimentados estamos tomando esos radios, estamos modificándolos y se están haciendo cosas.  Lo digital es una bocanada de aire fresco.

La hipótesis sobre el 19s de los radioexperimentadores coincide en que las redes de telecomunicaciones no tuvieron daños físicos, o al menos no de gran impacto, lo que permitió levantar con relativa velocidad las redes, y lo que causó la intermitencia y su colapso fue debido a que las redes están sobrevendidas, en la explicación de Sánchez.

AS: Cada antena tiene un número de posibles conexiones, hay una estadística que hacen las empresas que dicen: a ver, en esta calle cuánta gente vive, no pues mil, entonces la estadística dice que de esas mil se van a conectar siempre al mismo tiempo 300, ah ok, entonces mi antena debe ser para 300, ok, pero yo voy a vender 900.

Básicamente esa es nuestra participación, estar ahí. De haber sido un terremoto de dimensiones del 85, pues sí hubiéramos sido la columna vertebral, quizá, de la comunicación.


Remolque de la unidad movil de radioaficionados del Club de Radio Amateur del Estado de Guanajuato,

Así  termina mi charla con Alejandro Sánchez conocido en el mundo de la radioafición como XE1GNU pronunciado con el alfabeto: X-ray, Echo, Uno, Golf, November, Uniform.

Testimonios como el de los radiaficionados nos recuerdan el papel que pueden llegar a tener el uso de un bien público desde una perspectiva civil, en este caso el espectro radioeléctrico, donde la tecnología ––de acuerdo a su aceptación social–– se vuelve un espacio propio para entretejer comunidades que buscan dar una interpretación al uso de la tecnología hecha desde dentro. Como también lo fue la red de personas y organizaciones que impulsaron #Verificado19s para priorizar y hacer fluir las tareas de rescate y salvar vidas.

Por mi parte, me uno respetuosamente a la reafirmación y sentir de que el terremoto cambió nuestra historia, en donde la vida de quienes murieron no puede reducirse sólo a una cifra más, y comparto el Memorial19s.mx, una de las iniciativas colectivas que busca recordar a las víctimas del sismo.

Las batallas por la estandarización técnica de la internet

A la memoria de Maria Elena Meneses

Wikipedia recientemente amaneció cerrada en protesta a la directiva sobre derechos de autor que se votó el 20 de junio de este año en el Parlamento Europeo. Durante 26 horas al tratar de acceder al contenido habitual de la enciclopedia se podía leer el mensaje de oposición a dicha propuesta, ya que “de aprobarse, debilitará los valores, la cultura, y el ecosistema en los que se basa Wikipedia”.

Lo que hace peculiar y polémica esta directiva es su búsqueda de impactar directamente en las configuraciones tecnológicas de los servicios de la internet. El artículo 13, uno de los más criticados, propone obligar a los proveedores de servicios a que implementen filtros automáticos que detecten el contenido de los archivos que los usuarios carguen a través de su servicio.

De implementarse dicha resolución habría un impacto en la libertad de expresión y la privacidad de los usuarios de internet. En la privacidad debido a que los servicios desplegarían mecanismos de vigilancia para poder determinar qué contenidos pueden ser subidos a los servidores y cuáles no; y para la libertad de expresión ya que la implementación automática de criterios mayormente definidos por un sector industrial podría devenir en casos de censura previa que contravienen los principios de libertad de expresión.

Para Joe McNamee de European Digital Rights dicha legislación “apoya un «algoritmo de verdad» para filtrar el material protegido por derechos de autor. ¿Por qué? El copyright desde siempre se usa como punta de lanza de políticas muy invasivas”.

A lo cual desde la Fundación Wikimedia responsable legal de la Wikipedia Allison Daveport y Anna Mazgal respondieron con el mensaje: “No obliguen a las plataformas a reemplazar las comunidades con algoritmos” para advertir que quienes escriben las leyes poco a poco introducen soluciones tecnológicas para hacer frente a contenido que puede ser infractor de derechos de autor. En otras palabras les pedían a los legisladores “que consideren los derechos de los usuarios de internet y que dejen margen para el lado humano de la moderación de contenido”.

Cuando delegamos tareas a los algoritmos computacionales, por ejemplo, ordenar y clasificar a las personas en bases de datos, en ese proceso hay dos insumos centrales que los algoritmos necesitan para hacer esta tarea: datos y definiciones. En esa dimensión los algoritmos parten de sistemas de creencias que comienzan desde su diseño. Hay quienes por estos motivos suelen decir que los algoritmos son opiniones que se embeben en código.

En la línea del análisis de McNamee la propuesta representa una ventaja competitiva para Google o Facebook debido a que, para la imposición de un “algoritmo de verdad” con base en los criterios definidos por el sector industrial editorial o musical y dada la naturaleza de diseño de esta legislación de amplio espectro en los estándares tecnológicos, dichas compañías “ya tienen sus filtros en marcha —porque no quieren estar sujetos a licencias—, [si fuera el caso] sólo ellos tendrán el poder financiero para lidiar con el desarrollo de los mecanismos de filtrado en constante cambio, algo que será exigido por los tribunales”.

Una de las primeras discusiones alrededor de la autonomía en la toma de decisiones sobre el diseño de las tecnologías que conforman la internet, sucedió en 1992 en torno a los protocolos. En ese momento, el grupo de Ingeniería y estandarización de internet (IETF), con la meta de “mejorar” y “expandir” el servicio entre las primeras redes disponibles, empujó la problemática sobre quién decide sobre el futuro de internet desde los aspectos técnicos: su propia comunidad o la Junta de Arquitectura de internet (IAB), creada por la Agencia de Proyectos de Investigación Avanzada de Defensa del Departamento de Defensa (DARPA) de los Estados Unidos. La discusión antes mencionada arribó en una reestructuración del grupo de trabajo encargado de la estandarización técnica de internet con la que IAB ya no estaría involucrada en la aprobación de los estándares. Lo cual significó una victoria para la comunidad en su posibilidad de tomar sus propias decisiones.

La definición de los estándares tecnológicos que conforman la internet siempre ha llevado tensiones entre las comunidades de usuarios, legisladores, proveedores de servicio y compañías de internet. Un ejemplo es la incorporación de candados digitales conocidos como Digital Restrictions Management en el protocolo HTTP para la web, introducidos por Microsoft, Netflix y Google como recomendación de estándar bajo el nombre de Encrypted Media Extensions World Wide Web Consortium (W3C).

Frente a la inminente incorporación del controvertido estándar EME en 2016, un grupo de investigadores y tecnólogos enviamos una misiva al W3C donde expresamos lo siguiente:

“[…] los navegadores del futuro serán la interfaz universal para todos nuestros sistemas automatizados, desde los implantes médicos hasta los vehículos. Los investigadores de seguridad del mundo deben saber que las empresas no tendrán la capacidad de amordazarlos con amenazas legales cuando avergüencen a las empresas al revelar sus errores”.

La preocupación principal es que cuando se establecen sistemas de candados digitales para el estudio de la seguridad, estas herramientas pueden devenir en medidas de carácter punitivo o en la criminalización de quienes estudian o aprenden tecnología, investigadores o a cualquier usuario del internet.

Esto nos permite comprender el papel que tienen los estándares en la definición del uso de las tecnologías. El hecho de restringir el uso de las arquitecturas de internet desde su diseño coloca al usuario en una situación de desventaja para explorar en ellas.

Regresando a la emblemática Wikipedia, un proyecto que en su ADN tiene principios fundacionales del software libre. Se trata de una enciclopedia en donde las personas han jugado un papel en la escritura de sus herramientas, mecanismos de confianza y acoplamientos comunes para la moderación de sus contenidos, con sus batallas culturales. Finalmente la propuesta de reforma a la ley de copyright fue rechazada por el Parlamento Europeo y con ello se contuvo el impulso de dar a la industria musical y editorial el control de regular la actividad de los usuarios de internet, por ahora. Pero habrá que estar atentos debido a que el el texto regresará nuevamente a discusión en septiembre.

Para Danny O’Brien y Dia Kayyali, el internet ha abierto posibilidades para la comunicación pero también refleja problemas sociales como el acoso. De cara a ello mantienen un escepticismo sobre las “soluciones” centralizadas y en manos de las empresas. Se inclinan más por pensar que un camino posible es “la descentralización, la creatividad, la comunidad y la capacitación del usuario”.

Si bien es cierto que podemos pensar que estas directivas proponen algo que, incluso técnicamente es ineficiente, no podemos subestimar la intencionalidad de las ideas detrás de una propuesta de ley como esta. La fuerza que se esconden detrás de esta propuesta de directiva sobre los derechos de autor de la Unión Europea, hace visible lo que entienden, tantos los prestadores de servicio, los monopolios y los legisladores, de las tecnologías que conforman internet o lo que quieren entender por ellas.

La autodeterminación de la red refuerza la naturaleza distribuida de internet, dice Luca Belli cuando habla de la internet como derecho humano al tomar como ejemplo los ejercicios de comunidades que desarrollan sus propias redes y las gestionan bajo modelos alternativos para conectarse a la Internet. En un escenario donde parecería que el paradigma de los servicios escalables y masivos es inevitable no dependa de infraestructuras, servicios y plataformas chinas y norteamericanas.

 

Fotografía “cell tower near railway” por Acid Pix bajo licencia CC BY 2.0

¿Cuál es el futuro de GitHub tras su compra por Microsoft?

Los sistemas de los que dependemos son complejos y los componentes que los integran no son desarrollados por una única comunidad o un grupo de programadores. Son interdependientes, como los sistemas operativos de nuestras computadoras, teléfonos, tabletas. Necesitan desde editores de texto, compiladores, controladores y muchas otras partes que vamos instalando como aplicaciones día a día, cada una con diferentes orígenes y autores.

Para desarrollar sistemas de gran dimensión y complejidad se requieren de plataformas y herramientas en las que los desarrolladores puedan trabajar en cada una de las piezas conjuntamente, ver las modificaciones y cambios entre versiones. Estas herramientas reciben el nombre de sistemas de control de versiones.

El sociólogo Richard Sennett suele decir que el “código evoluciona constantemente, no es un objeto acabado y fijo” para referirse a la manera en que comunidades de programadores encuentran errores y realizan mejoras en nuevas versiones de software, al tiempo que encuentran nuevas posibilidades, como una práctica cultural en las comunidades de software libre.

Fuente: http://codicesoftware-es.blogspot.com/2010/11/la-historia-del-control-de-versiones.html

Uno de estos sistemas populares entre los desarrolladores es Git, un software de control de versiones creado ex profeso para el desarrollo de Linux. Fue una respuesta a las problemáticas del licenciamiento de la herramienta utilizada antes para el control de versiones, BitKepper, que era incompatible con los principios del software libre para ser estudiada, usada, modificada y distribuida.

Uno de los servicios basados en Git y que cobró popularidad en los años recientes, y no sólo entre programadores, es GitHub.com. Según sus propios reportes, al 2017 24 millones de personas hicieron uso de esa plataforma. Contaba con 67 millones de repositorios de software.

Sitio web de github.com, en 2008.

Gabriela Rodríguez Berón, desarrolladora que ha estado usando GitHub desde casi el principio del servicio en 2007, describe en entrevista: “Tenía muchas funcionalidades que eran muy potentes en la época y nos dejaban compartir código de mejor manera, con muchas más funcionalidades que otros servicios de repositorios”.

El 4 de junio se conoció en los medios informativos que Microsoft anunció la compra de GitHub por 7,500 millones de dólares, en una operación que se espera cierre antes de fin de año. Nat Friedman asumirá la dirección, según se publicó en el blog de GitHub.

Las reacciones en medios sociales comenzaron con la etiqueta #movingtogitlab para señalar la migración masiva de proyectos de desarrollo de software libre de GitHub al servicio GitLab, un control de versiones y desarrollo de software colaborativo basado también en Git. Los propios reportes del servicio sobre los proyectos importantes desde GitHub comenzaron a crecer por día a más de 10,000.

GitLab felicitó publicamente a GitHub por el anuncio de compra y dijo que su estrategia difiere en enfoques porque “Ser ‘núcleo abierto’ significa que todos pueden construir las herramientas”.

Nat Friedman en la red social reddit expresó que se tomará con seriedad “la responsabilidad de ganarse la confianza” de los desarrolladores y dijo que se sintió triste al ver que distintos desarrolladores sintieran la necesidad de mover su código a otra plataforma.

Para Rodríguez Berón, la compra de GitHub es el anuncio oficial de su muerte. “GitHub ha estado perdiendo desde hace un tiempo a quienes están codeando (escribiendo código) de forma abierta. Y se ha convertido en una herramienta mucho más corporativa. Por un lado han tenido que buscar un modelo de negocios que los ayude a sostenerse y a la vez han escalado demasiado y muy rápido más allá de las propias capacidades. De alguna forma se han tomado el koolaid de scaling de donde están plantados”, en referencia a que se han tragado el cuento de que todo servicio en internet tiene que escalar.

Reporte de GitLab sobre importación de proyectos desde GitHub. Tomado de https://twitter.com/gitlab/status/1004777869862580224

El desarrollador Benjamin Mako Hil suele dar conferencias sobre las herramientas de desarrollo en el contexto de las comunidades de software libre y su opinión de GitHub es que le resulta irónico: “Git fue creado como una forma de escapar de la dependencia de una compañía de software prrivativo que opera un servicio centralizado. Y de muchas maneras, GitHub ha creado muchos de los problemas por los que Git había sido creado”. Se refiere así a la posibilidad de las herramientas de desarrollo para ser replicadas, ejecutadas y construidas de manera descentralizad, como lo es el diseño de Git. Además de no tener que confiar en un sistema central, sino poder colocar instancias independientes o diferentes servicios.

Rodríguez Berón consideró que un aspecto positivo es la oportunidad para la descentralización de los repositorios de software libre, porque “GitHub ha centralizado demasiado el desarrollo de software y es muy bueno que podamos tener otras instancias de Git servers”. Auguró que GitHub va disminuir su uso entre proyectos de software libre y se convertirá más en un proyecto para empresas.

Fotografía “GitHub Office” Por Ben Scholzen
Bajo licencia
CC BY 2.0

Publicado en El Economista en linea el 11 de junio de 2018, y en su versión en papel el 12 de junio de 2018.

Una nueva herramienta de censura en Internet ha sido aprobada en México

La censura en internet por la vía legal ahora es más fácil en México, con la reforma a la ley del derecho de autor.

El pasado jueves 26 de abril el Senado mexicano aprobó un problemático dictamen que reforma la Ley Federal del Derecho de Autor, el cual habilita a las y los jueces para ordenar que se bajen contenidos de Internet que presuntamente violen derechos de autor, sin necesidad de probarlo mediante juicio o sentencia alguna.

Dentro de las medidas que contempla se encuentran la suspensión y remoción de contenidos públicos, e incluso “el aseguramiento cautelar”  de los equipos que permiten la difusión de los mismos.

Además, la aprobación de la reforma se realizó de forma apresurada, sin haberse llevado conforme al proceso legislativo.

La noticia circuló ampliamente bajo la etiqueta #MadrugueteAInternet:

Esta reforma a la ley ha sido criticada por organizaciones, colectivos y asociaciones que trabajan en temas relacionados con derechos digitales, internet y tecnologías de la información y comunicación, por considerar que esto abre paso a la censura previa en internet y atenta contra la libertad de expresión en el ámbito digital.

Por su parte el capítulo mexicano de la Fundación Wikimedia alertó que las modificaciones aprobadas “criminalizan el acto de la copia” y “legalizan actos de violación a derechos fundamentales y constitucionales de difusión de las ideas, libertad de expresión, imprenta, comunicación personal, difusión e información”.

Cabe señalar que toda iniciativa o dictamen que se somete a discusión del Senado de la República debe atravesar un proceso legislativo específico, el cual, en este caso, no fue respetado.

Dicho proceso contempla que toda iniciativa debe someterse a discusión de aquellas Comisiones que estén relacionadas con el tema del proyecto, las cuales analizan y discuten los asuntos que se les turnan, para después elaborar y votar un anteproyecto. Una vez que este anteproyecto es aprobado por las Comisiones respectivas, se debe notificar al Presidente de la Mesa Directiva del Senado para que el dictamen se pueda presentar y votar en el pleno.

Usuarios que han dado seguimiento al tema denunciaron en redes sociales las irregularidades en las que incurrieron los senadores que empujaron la presentación del dictamen ante el pleno:

Así, pareciera que los senadores empujaron por modificar el orden del día, lo cual sólo podrían haber conseguido con la anuencia del presidente de la Mesa Directiva, puesto que actualmente ocupa Ernesto Cordero, quien votó a favor de la reforma en cuestión.

El dictamen ya ha sido enviado al poder Ejecutivo, por lo que sólo resta la aprobación del presidente para que los cambios empiecen a surtir efecto.

Ante este panorama, organizaciones tales como la Red en Defensa de los Derechos Digitales (R3D) han manifestado su interés de impugnar el dictamen a través de un amparo para lograr, no sólo que se declare su inconstitucionalidad, sino para exigir que la reforma no surta efectos sino hasta que la Corte determine su validez. De otra manera, la impugnación podría llevar un proceso de años, periodo en el cual el derecho a la libertad de expresión de las y los usuarios de Internet se vería violentado.

Escrito por Giovanna Salazar y Jacobo Nájera. Publicado en Global Voices Advox, el 1 de mayo de 2018.

Fotografía: The Problem with Censorship is XXXXXXXXX por Cory Doctorow, bajo licencia CC BY-SA 2.0.

 

Reporte de vulnerabilidades en software para servidores de correo: urge actualización en máquinas de todo el mundo

Es común que se encuentren fallas en el código informático que permite el funcionamiento de servicios en Internet, como lo son el correo electrónico, sitios web, mensajería, entre otros; estas fallas pueden ir desde un problema de funcionalidad o estético, hasta brechas de seguridad que exponen la integridad de los sistemas que usamos.

Hoy vamos a realizar el recuento de dos fallos de seguridad descubiertos y publicados del software para servidores de correo Exim (software publicado en 1995 con Licencia Pública General del proyecto GNU), su proceso de solución en una nueva versión de código y la actualización en los servidores del mundo, conectados a Internet.

El 23 de noviembre de 2017 fue reportado un fallo en bugs.exim.org, el sistema de reportes del software con el número 2199. Posteriormente fue incorporado a la lista de vulnerabilidades y exposiciones comunes (Common Vulnerabilities and Exposures o CVE), donde se documentan vulnerabilidades de seguridad conocidas. Al día siguiente otro fallo fue reportado, quedó registrado como CVE-2017-16944.

Estas dos fallas no se trataban de un problema meramente de funcionalidad sin una implicación mayor, sino que representan fallas que han sido y son aprovechadas para realizar ataques remotos como denegaciones de servicio o ejecución remota de código.

Exim como proyecto vivo y activo estudió estos reportes para sacar un arreglo que hiciera frente a estas vulnerabilidades, para ello publicó una nueva versión de software sin estas fallas, la 4.89.1. Proyectos como el sistema operativo Debian han lanzado actualizaciones de este programa, con arreglos a estos ataques.

En Enjambre Digital corrimos un análisis sobre Internet en Ipv4 que muestra que 13 millones de máquinas tienen los puertos para dar servicios de correo electrónico, de ahí solo 336542 máquinas resultaron analizables al tener los letreros/banderas/anuncios de software activados.

A continuación de muestran por nombre de software los resultados:

Del 4% correspondiente al software Exim con 15009 instalaciones de software, sólo el 9% tiene la versión 4.89.1 que hace frente a las dos vulnerabilidades aquí tratadas, para el 8 de diciembre de 2017.

Esta vez Exim ha reaccionado como proyecto, así que si eres un administrador o tienes alguna máquina a tu cargo corriendo con Exim para entregar correos, ten en mente que es necesario actualizar inmediatamente.

Fotografía: Felipe Vidal, CC BY-SA 3.0

El gobierno mexicano ha sistematizado el espionaje de sus ciudadanos

La industria de tecnologías para actividades de vigilancia ha llegado a México para quedarse. Anualmente no solamente se desarrollan ferias comerciales, sino también la relación entre empresas fabricantes y distribuidores con el gobierno mexicano se ha intensificado y se comienzan a ver síntomas y los efectos de las tareas de espionaje.

Diversas filtraciones, investigaciones periodísticas, así como independientes realizadas por organizaciones de la sociedad civil han dado cuenta de esta relación desde 2013.

Las compras de equipos de espionaje

Desde 2013, el laboratorio Citizen Lab de la Universidad de Toronto publicó que el equipo de espionaje de la empresa Gamma Group estaba operando en las telecomunicaciones mexicanas, lo que desembocó en una investigación empujada desde varias organizaciones de la sociedad civil. Se logró documentar, junto con trabajo periodístico, que en efecto, el software de espionaje FinFisher/FinSpy había sido adquirido por varias autoridades mexicanas a través de la empresa Obses de México.

En 2015, a raíz de una filtración masiva, supimos que el gobierno mexicano adquirió software espía de la controversial empresa italiana Hacking Team, a través del intermediario Teva Tech de México S.A de C.V. Los documentos mostraron que México es el principal cliente de esta firma a nivel mundial, habiendo adquirido licencias para el uso de las herramientas de vigilancia Galileo y DaVinci (nombres comerciales para los sistemas de control remoto Remote Control System o RCS).

Asimismo, apenas en septiembre del 2016, el New York Times revelaba que el gobierno mexicano también habría celebrado dos contratos con la empresa israelí NSO Group para adquirir el software de espionaje Pegasus.

Para finales del mismo año, se reportaron compras de equipos con capacidades de intervención de teléfonos móviles conocidos como IMSI-Catchers en 2012, 2013, 2014 y 2015 provenientes de Finlandia y Suiza.

Ahora bien, no conforme con lo anterior, el escándalo más reciente de espionaje gubernamental tuvo lugar este 19 de junio, en donde, gracias a la investigación, documentación y publicación de un informe de las organizaciones Artículo 19, Red en Defensa de los Derechos Digitales (R3D) y SocialTIC, el cual contó con la asistencia técnica del Citizen Lab, se revelaron 76 nuevos casos de intentos de infección con el malware Pegasus en contra de periodistas y defensores de derechos humanos en México.

The New York Times realizó un detallado reportaje sobre la investigación, el cual ocupó la portada del diario estadounidense:

¿Cómo se utilizan estos software?

A pesar de que el marco legal mexicano autoriza la intervención de comunicaciones privadas para la investigación de delitos – previa aprobación de la autoridad judicial federal – y de que el gobierno ha insistido en que los sistemas de vigilancia adquiridos cuentan con el aval requerido (así lo declaraba el vocero de la embajada de México en Washington, Ricardo Alday, al New York Times cuando el periódico norteamericano publicó que el gobierno de México habría celebrado, desde 2013, contratos millonarios con la empresa israelí NSO Group), la evidencia muestra que tales herramientas han sido utilizadas contra activistas, periodistas y personas que, de alguna forma, tienen opiniones disidentes o se oponen de alguna forma al gobierno en turno.

De hecho, ante las múltiples pruebas de vigilancia digital ilegal realizada con software de uso exclusivo del gobierno, el pasado 23 de mayo de 2017, organizaciones sociales que formaban parte del Secretariado Técnico Tripartita (STT) de la Alianza para el Gobierno Abierto (AGA) se retiraron del mismo:

Previo al más reciente informe, apenas el 11 de febrero, el propio The New Yok Times informó que dos miembros de organizaciones que defienden el derecho a la salud, Alejandro Calvillo, director general de El Poder del Consumidor y Luis Encarnación, coordinador de la Coalición ContraPESO, así como un investigador adscrito al Instituto Nacional de Salud Pública, el Dr. Simón Barquera, habían recibido mensajes de texto que contenían códigos invasivos del programa espía conocido como Pegasus, desarrollado por NSO Group.

El centro de investigación Citizen Lab confirmó que, durante 2016, dicho spyware buscó tomar control sobre los dispositivos de dichos activistas para espiar sus comunicaciones mientras preparaban una campaña en respaldo al impuesto a las bebidas azucaradas en el país. De acuerdo con lo señalado por el diario norteamericano:

El descubrimiento de los programas espías en los teléfonos de los impulsores de un impuesto desata preguntas sobre si las herramientas están siendo usadas para promover los intereses de la industria refresquera de México.

En su informe respecto a este caso, Citizen Lab detalla que la misma infraestructura de NSO Group fue utilizada durante 2016 en contra del periodista mexicano Rafael Cabrera – al tiempo que colaboraba en la investigación de Aristegui Noticias sobre la “Casa Blanca”, que involucra a la pareja presidencial de México en actos de corrupción. Junto con el centro Lookout detectaron y reportaron en agosto de 2016 intentos para intervenir los teléfonos celulares tanto de Cabrera como de Ahmed Mansoor, un defensor de los derechos humanos de los Emiratos Árabes Unidos.

En el reportaje especial Ciberespionaje a periodistas, la revista Proceso señala precisamente que la presencia de las compañías que comercializan este tipo de herramientas de espionaje no es nada nueva.

En julio de 2015, Proceso reveló que Hacking Team catalogaba a sus clientes mexicanos en la categoría de “ofensivos”, es decir, los que utilizan los programas espías para penetrar y manipular los aparatos de sus objetivos.
También reportó que el Cisen utilizó el programa espía de la empresa italiana con fines políticos: durante 2013 la instancia solicitó más de 30 veces a Hacking Team que contaminara archivos titulados, entre otros: “Propuesta reforma PRD”, “Reforma Energética”, “La policía secuestra”, “CNTE” o “Marcos y Julio Sherer” (sic). Para infectar al objetivo, éste debe abrir un archivo y para ello, el título le debe llamar la atención.
Los correos electrónicos mostraron que NSO operó en México antes que HT y que la empresa italiana tenía la firme intención de rebasar a su homóloga israelí, la cual había obtenido jugosos contratos con dependencias federales y estatales en la administración de Felipe Calderón http://www.sildalisonline.com/.
Una detallada investigación emprendida por los medios digitales Animal Político y Lado B, da cuenta de cómo el aparato de espionaje en manos del gobierno, es utilizado para vigilar ilegalmente a opositores políticos. Tal es el caso del gobierno poblano encabezado por Rafael Moreno Valle, quien utilizó el software de Hacking Team para espiar a sus contrincantes en tiempo electorales.

 

Es claro que la industria enfocada en el desarrollo y comercialización de productos de espionaje y vigilancia para las telecomunicaciones ha encontrado en México un paraíso para la venta de sus productos, en un marco de alta opacidad por parte de agentes del Estado, tanto al momento de las compras como en su uso.

Escrito por Giovanna Salazar y Jacobo Nájera. Publicado en Global Voices, 19 de junio de 2017.

Mural No Más Espionaje Masivo de @WarDesignCo. Imagen de usuario de Flickr Klepen, reproducida bajo licencia CC BY-SA 2.0.

Botnet contra sitios web de medios independientes en México

Existen grupos que utilizan fallos de la tecnología para hacer negocio, al explotar sus vulnerabilidades con fines específicos; tal fue el caso del ataque informático WannaCry, que secuestra computadoras y dispositivos para posteriormente demandar dinero.

A continuación se da cuenta de la botnet que estuvo detrás del ataque informático al medio de comunicación Másde131 durante 2016, en el contexto de una serie de ataques temporalmente cercanos -y con similitud en técnicas- realizados contra los sitios de Rompeviento TV y Radio Zapote.

La segunda semana de junio de 2016 la infraestructura que hace funcionar el sitio de www.masde131.com detectó que la base de datos encargada de almacenar los contenidos para el sitio había sufrido de una modificación inusual, misma que posteriormente se identificó como realizada por un intruso. Frente a esta situación de inmediato la redacción tomó la decisión de deshabilitar temporalmente el sitio web hasta tener un diagnóstico sobre el nivel de compromiso de la seguridad, con el fin de proteger la navegación de los lectores y editores.

El proceso de análisis inició con la preservación de los registros del sistema y sus configuraciones, para después extraerlos. Dichos registros permiten reconstruir las diferentes fases, técnicas involucradas y su desarrollo para determinar el nivel de compromiso; en otras palabras, los niveles de control que el atacante logró obtener ya sea parcial o completamente.

A través de pruebas de integridad de los archivos antes mencionados, los análisis identificaron lo siguiente:

  1. El atacante logró obtener el control de un usuario con privilegios para escribir artículos, no para publicarlos, esto fue logrado por medio de intentos continuos de acceso con contraseñas aleatorias.
  2. Con este acceso intentó repetidamente modificar las últimas entradas para colocar etiquetas html que permitieran introducir anuncios.

Una vez que logró determinarse el nivel de compromiso se decidió ejecutar un plan de recuperación desde los respaldos, tomando consideraciones y medidas de seguridad; entre ellas, un sistema especial de contención contra ataques desarrollado por Deflect de la organización Equalit.ie. Posteriormente, la investigación continuó para conocer más sobre el perfil del ataque y documentar la infraestructura involucrada.

Algunos de los requerimientos para materializar un ataque como el tratado aquí son capacidades de ancho de banda y procesamiento para realizar las peticiones de forma continua, recurrente y automática. Existen varias maneras documentadas sobre cómo obtener máquinas con ancho de banda y procesamiento para realizar los ataques, una de ellas es alquilándolas o pagando por la infraestructura directamente; otra es por medio de control remoto de computadoras o dispositivos de otras personas, usando una parte de sus recursos disponibles para así tener un conjunto de computadoras… Lo que también se conoce como un tipo de botnet.

La botnet que realizó el ataque contra el Másde131 contaba con al menos 25 mil direcciones IP, de las cuales tomamos una muestra de 1200 para posicionarla en un mapa a modo que la dirección geográfica correspondiera con el registro asociado. Esto quiere decir que cada punto en el mapa está asociado a un registro de dichas direcciones, aunque esto no necesariamente implique que la conexión provenga de los puntos señalados.

Un análisis coincidente por técnica e infraestructura, que incluso comparte varias de las direcciones IP con este caso, fue publicado por la empresa WordFence a comienzos de este año. El reporte de WordFence apunta a que una vez que la botnet logra el control de algún sitio web, busca colocar banners de anuncios de Google en los archivos de encabezado del sitio comprometido como una forma de monetizar el ataque.

Explotar la vulnerabilidad de una contraseña débil en el sitio made131.com, permitió que se obtuviera el control temporal sobre su base de datos. Sin embargo lo que realmente permitió realizar el ataque es un problema exponencial en el que estamos involucradas todas las personas que usamos tecnología, así como los fabricantes y proveedores de servicios; ya que nuestra relación con la tecnología genera un espacio en el que pueden existir grupos que exploran modelos de negocio desde la explotación de vulnerabilidades tecnológicas para generar ganancias.

Publicado en Enjambre Digital, 3 de agosto de 2017

Acuerdo entre Google y Cuba solo mejora el acceso a los productos de la compañía

Google y la empresa estatal de telecomunicaciones cubana ETECSA han firmado un acuerdo, contrario a los que varios medios de comunicación masivos indicaron en sus titulares, con el acuerdo solo mejorará el acceso a los productos de Google y no a internet en general.

En un comunicado de ETECSA, el acuerdo “…permitirá a los usuarios en Cuba acortar el tiempo de acceso a los contenidos de Google en internet, proporcionando una mayor velocidad y calidad en el servicio y la optimización de las capacidades de la red internacional de ETECSA”.

Por el comunicado y las declaraciones públicas de Mayra Arevich, presidenta ejecutiva  de la empresa de telecomunicaciones cubana, sobre el acuerdo firmado el primer lunes de diciembre del 2016 en La Habana, Cuba, sabemos que es para que se pueda acceder a Google Global Cache, parte de la infraestructura de Google enfocada en mejorar los tiempos de respuesta a sus servicios.

El cacheo es una técnica usada por proveedores de contenidos y servicios de Internet para, entre otros objetivos, mejorar la velocidad de acceso a sus contenidos. Por lo tanto, la mejoría en los tiempos de respuesta de acceso, que se estima será de un 20%, solo será para los servicios de Google y no para el acceso general a Internet.

Google y el gobierno cubano han firmado un acuerdo. La imagen es una captura de pantalla.

 

La cobertura, calidad y costo para la conexión a internet en Cuba no se verá afectada por este acuerdo, solo mejora la velocidad de acceso a los productos de Google debido a la instalación de servidores de la compañía que tendrán copias locales de lo más solicitado en la isla. Actualmente, las personas en Cuba se conectan por medio de puntos de acceso WiFi colocados en 35 áreas públicas, por lo que pagan 2CUC por hora (alrededor de $2.00 USD) con una conexión de hasta 1 Mbps (1 megabit por segundo). El salario estatal promedio en Cuba es de unos $20 USD mensuales.

Google cuenta con 15 centros de datos distribuidos geográficamente en América, Europa y Asia. Además, tienen servidores distribuidos para cacheo en centros de datos que no son de su propiedad. En el siguiente mapa se muestra la distribución geográfica de los servidores para cacheo:

Mapa de la distribución de los servidores de caché de Google

 

Pablo Mestre, integrante del Grupo de Usuarios de Tecnologías Libres de Cuba, considera que este acuerdo no afectará directamente a los cubanos y explica:

“Estos servidores están pensados para dar un acceso más rápido a los servicios de Google, pero primero debemos solucionar los problemas y limitaciones de la ultima milla para que este cambio realmente se note”.

Mestre también indicó que la conexión tendrá que ser provista por ETECSA, y por el momento no ve posible que Google tenga un centro de datos exclusivo. Esto debido a las políticas cubanas, ya que las mismas señalan que todo el tráfico y conexiones son responsabilidad exclusiva de ETECSA.

Jorge Luis Batista, coorganizador de la Conferencia Internacional de Sobre Libre en La Habana, comentó en entrevista que hay otros factores a considerar para que la instalación de servidores en Cuba de Google implique un cambio para los cubanos. En primer lugar:

“Tenemos que ser usuarios de Google, masivamente digo, y después habría que ver porque el límite de la velocidad de acceso lo pone el componente más lento. Pienso que los que tienen una conexión muy restringida, los que se conectan a través de una línea conmutada o los que tienen límite de ancho de banda como es mi caso, o los que comparten una sola conexión entre muchos van a seguir teniendo de su lado el cuello de botella y por tanto la causa de la demora en el acceso a los contenidos”.

El Consejo Económico y de Comercio de Estados Unidos y Cuba informó que los costos resultado del acuerdo serán cubiertos por Google.

Publicado en Global Voices,

Hackers trabajan en un router para redes comunitarias

Un grupo de hackers provenientes de diferentes geografías y culturas, pero unidos por la idea de construir un hardware que permita el desarrollo y operación de redes comunitarias, se ha propuesto hacer un router que han llamado LibreRouter.

En agosto de 2016, en el IETF (Grupo de Trabajo de Ingeniería de Internet, donde se normalizan los estándares de Internet), se reconoció por medio de un documento el “despliegue de redes alternativas que buscan conectar a Internet a la gente o proveer infraestructura de comunicación local.” En el documento se destaca que esta clasificación “se basa en modelos de gobernanza y de negocio alternativos y emplean arquitectura y topología diferentes a las redes tradicionales.”

Dentro de las referidas redes alternativas se encuentran las comunitarias. Hay ejemplos de estas iniciativas como AlterMundi en Argentina, Guifi.net en Cataluña, Ninux en Italia, Village Telco en Sudáfrica.

El papel que pueden jugar las redes comunitarias es variado. Por ejemplo, AlterMundi es una asociación civil argentina que fomenta la creación de redes autónomas que permiten a pueblos del país tener acceso a Internet en donde los proveedores comerciales no ven una oportunidad de negocios para llevar sus servicios.

En cuanto a la red comunitaria Ninux, los investigadores de dicha red Stefano Crabu, Federica Giovanella, Leonardo Maccari y Paolo Magaudda dicen que uno de los catalizadores para la participación y materialización de este proyecto es la constante preocupación sobre la centralización de Internet.

LibreRouter

La construcción de redes requiere de equipos físicos, entre ellos los conocidos routers, que juegan una tarea central en la interconexión de las redes.

La idea original de LibreRouter, que era fabricar un router para redes comunitarias, comenzó en 2013, durante un encuentro en Berlin con Steve Song, Elektra, Pau Escrich, Nico Echaniz, Jesica Giudice, y Gui Iribarren; provenientes de diferentes proyectos de redes comunitarias. Sin embargo, la idea se retomó a principios de 2016, en el contexto de las nuevas regulaciones que obligan a los fabricantes a restringir los routers hogareños, lo que impide las modificaciones necesarias para montar las redes comunitarias. Por otra parte, ese mismo año el proyecto ganó una subvención del Fondo Regional para la Innovación Digital en América Latina y el Caribe – una iniciativa de LACNIC – y otro del Fund for Internet Research & Education (Fondo para la Investigación y Educación de Internet) para su desarrollo.

Gui Iribarren, vicepresidente de la organización AlterMundi – una de las organizaciones gestoras del proyecto – comentó en entrevista para Global Voices:

GV: ¿En qué radican las diferencias entre este router y otros que se pueden obtener en una tienda de computadoras? ¿Qué lo hace diferente?

GI: La diferencia más fundamental radica en las libertades que ofrece. En primer lugar, evidentemente no implementamos ningún bloqueo sobre el software (como lo hacen el resto de los fabricantes, desde las nuevas regulaciones), de forma que cualquiera puede modificar el firmware de fábrica (LibreMesh, un Software Libre basado en OpenWrt/LEDE), o incluso reemplazarlo completamente por otro (“reflashearlo”) fácilmente.

Por otro lado, es un proyecto de Open-Source Hardware, es decir, publicaremos todos los documentos de diseño de la placa base para que cualquiera pueda entenderla, modificarla y producir su propia versión. No existen muchos routers en el mercado que ofrezcan esta posibilidad, y de hecho la empresa Dragino – que esta a cargo del desarrollo de la placa y tiene años de trayectoria en este rubro – ha liberado los diseños de productos anteriores.

Por último, hay diferencias enormes respecto a las prestaciones del hardware. Los routers que se comercializan (a precios accesibles) hoy en día para realizar enlaces en exterior normalmente incluyen una única radio WiFi. Existen en el mercado routers con 2 radios, pero son de uso hogareño, necesitan modificaciones de software (cada vez más difíciles) y adaptaciones físicas para que soporten la intemperie y tengan mayor alcance.

El LibreRouter está preparado de fábrica para ser instalado en exteriores y trae incluidas 3 radios que son utilizadas inteligentemente por el software LibreMesh para construir “nubes mesh” de alta performance, requieren solamente una correcta orientación de las antenas y pueden establecer dos enlaces simultáneos en la banda de 5ghz, en direcciones independientes.

De alguna manera, condensa en un único dispositivo las funciones que normalmente se obtienen combinando un router hogareño básico de 2.4ghz, y dos routers de exterior de 5ghz; pero a un costo total menor, con una instalación más sencilla, y ampliando posibilidades de desarrollo futuro.

GV: ¿Por qué una red comunitaria, como AlterMundi, necesita un LibreRouter?

GI: Las redes que fomentamos desde AlterMundi están construidas y mantenidas por gente relativamente no técnica. Con lo cual, desde el principio nos concentramos en que tanto la puesta en marcha como el mantenimiento de los nodos sean lo más simple posible. Sin embargo, con el escalamiento de las redes fuimos encontrando complejidades (como por ejemplo la necesidad de montar dos o más routers en ciertas ubicaciones) que complican el entendimiento por parte de la población en general, y por eso veníamos dándole vueltas a la idea desde 2013. El punto de inflexión ocurrió con las mencionadas restricciones de fábrica, que directamente hacen inviable la posibilidad de que gente no técnica transforme un router hogareño (económicamente accesible) en un nodo comunitario, poniendo en peligro la continuidad de las redes en todo el mundo.

[Nota de Gui Iribarren: AlterMundi no es en si misma una red comunitaria, sino una
asociación civil que fomenta la creación de redes autónomas, como QuintanaLibre, NonoLibre, etc]

Por otra parte, Pau Escrich, de la red Guifinet, escribió un artículo que tituló: “LibreRouter, un proyecto que nos hace soñar” donde concluye que se trata de un proyecto ambicioso pero que responde a una necesidad real. En sus propias palabras: “Todo un reto para los hackers de las redes libres que, en mi opinión, están cerca de dar un paso importante en favor de la libertad y autogestión de la tecnología y comunicaciones http://generiquesindiens.com/.”

Se estima la entrega a principios de 2017 de la primera versión de este router a las redes comunitarias que fomenta AlterMundi en Argentina y Village Telco en Sudáfrica. Los beneficiarios solo pagarán el precio de la fabricación del hardware (alrededor de 90€), lo que servirá para financiar la segunda etapa de producción que abrirá la posibilidad a cualquiera de adquirir un LibreRouter.

“Router”. Imagen de uso libre, Pixabay.