Fotografía analógica en la Euskal Encounter 21

junio 19, 2013 Deja un comentario

A falta de publicación de los horarios, todo parece indicar que este año repetiré como ponente en la Euskal Encounter, esta vez con una charla-taller de fotografía analógica, donde explicaré los fundamentos de la fotografía química y haré varias demostraciones de procesos tradicionales en película de 35mm (Tratamiento de la película, revelado, ampliado y algunos procesos DIY). Será un reto divertido transformar uno de los WCs públicos del atrio en un cuarto oscuro y estoy seguro de que será un taller bastante interesante.

Si estáis leyendo esto y acudisteis a mi anterior charla no salgáis corriendo. Este año estoy tomando medidas para que aquello (Límite inesperado de tiempo, pérdida de diapositivas y guión dos días antes, visión nula de la pantalla, etc) no se vuelva a repetir ;)

La Euskal 21 se celebrará en el BEC de Barakaldo del 25 al 28 de Julio. Los sitios volaron hace mucho (Si vais solos podéis probar suerte), pero podéis pasar por allí a echar un ojo si tenéis oportunidad, merece mucho la pena.

************************Actualización 2013-07-15************************

Los horarios para los talleres y conferencias han sido publicados y podéis consultarlos en >esta web.

El taller será el Jueves 25 de Julio a las 1800. Existe la posibilidad de que haya un cambio de última hora a un horario más favorable, pero salvo indicación este será el horario definitivo.

La entrada al área de charlas, conferencias y stands es libre, así que podéis asistir sin problemas aún no teniendo entrada o pase de día para la euskal encounter. Habrá grabación de vídeo y audio que publicaré aquí, así como las diapositivas y el material utilizado (Sed pacientes, se publicará después del taller tan pronto como sea posible)

************************Actualización 2013-07-15 (2)************************

Al final SÍ han podido cambiar la fecha. ¡Al sábado! El taller será el sábado 27 de Julio a las 1800, en el mismo sitio y lugar. Ahora no tenéis excusa, espero veros allí!

Categorías:Eventos, Fotografía

Selecciona la respuesta correcta

Desde hace mucho, hacer tests es una de mis aficiones. Me encanta obligarme a darle al coco de vez en cuando y aprender cosas nuevas. Pero desde hace unos años estoy teniendo problemas muy serios para contestar a preguntas relativamente simples.

Hay un problema con los tests, especialmente los de inteligencia estandarizados que se utilizan y se publican en diversos sitios de Internet (Y seguro que en algunos sitios serios también), y es que desde hace un tiempo para mí, el reto no es encontrar la respuesta correcta, sino tratar de adivinar cuál de ellas es la seleccionada con mayor frecuencia. Un ejemplo sencillo:

Completa la siguiente serie: 31, _, 31, 30, 31

Contesté lo primero que se me pasó por la cabeza: 28. Una respuesta válida (Días en los meses del año) que sin embargo el test tomó como errónea. Contesté 29 (Días del mes en año bisiesto), mismo resultado. Contesté 30, y la respuesta fue correcta.

Sin embargo, con una cantidad limitada de elementos es imposible adivinar cuál es el elemento que falta, ya que si se toman todos los datos mostrados como ‘bloque’ (En este caso 31, _, 31, 30, 31) cualquier respuesta es correcta. Yo puedo contestar ’0′ y no estaría mal, ya que no hay nada que indique que la serie no es ’31, 0, 31, 30, 31, 0, 31, 30…’ o ’31, 0, 31, 30, 31, 31, 0, 31, 30, 31…’.

¿Hasta qué punto tiene validez un test con varias respuestas posibles en el que sólo una es la correcta? Esto refleja muy, muy bien la sociedad actual, en el que sólo una aproximación a un problema suele ser la correcta a pesar de haber miles y miles de posibles soluciones.

Un poco desanimado por esta y otras preguntas decidí seguir buscando, y me encontré con uno de los miles de tests que circulan por la red, este orientado a estudiantes de inglés de nivel básico, que consiste en seleccionar la palabra ‘diferente’. Aquí tenéis el enlace.

Mi nivel de inglés es C1. ¿Mi puntuación en el test? 0%. Cero. Y sin embargo todas mis respuestas eran correctas. En este tipo de test puedes seleccionar cualquier respuesta y dar una explicación lógica, y sin embargo sólo una de ellas es considerada correcta. Como ejemplo, os pongo mis respuestas a este test:

1. Which word is different?
   a) flat
   b) house
   c) apartment
   d) beach

B. “House” es la única palabra en la lista sin la letra A


2. Which word is different?
   a) desk
   b) briefcase
   c) chair
   d) table

D. Table (tabla) es el único sistema de organización de datos en la lista.


3. Which word is different?
   a) computer
   b) screen
   c) mouse
   d) diary

C. Único animal en la lista.


4. Which word is different?
   a) banana
   b) apricot
   c) cherry
   d) sherry

A. Es el único elemento de la lista que puede utilizarse como dildo.


5. Which word is different?
   a) walk
   b) run
   c) sneeze
   d) sprint

A. Única acción permitida en un buffet de ensaladas.


6. Which word is different?
   a) think
   b) reflect
   c) type
   d) consider

B. Única acción de la lista que puede realizar un espejo.


7. Which word is different?
   a) shaving cream
   b) saucepan
   c) towel
   d) plug

A. Único elemento no-sólido


8. Which word is different?
   a) eyes
   b) hose
   c) ears
   d) mouth

D. Única palabra que no tiene 4 letras.


9. Which word is different?
   a) rabbit
   b) cow
   c) pit
   d) goat

A. Única palabra que no es monosílaba


10. Which word is different?
   a) sales
   b) marketing
   c) production
   d) humans

A. Única palabra con significado en castellano.


 

¿Os parece exagerado? En la primera pregunta A también sería una respuesta válida (Único adjetivo en la lista). También la C, porque es la única palabra en la lista que viene del francés. Sin embargo, la respuesta correcta es D.

Y así hasta el infinito. En la inmensa mayoría de tests se podrían seleccionar preguntas al azar y justificarlas de manera que cualquier respuesta fuera la correcta. El problema a estas alturas no es elegir la respuesta ‘correcta’, sino tratar de adivinar qué cree el autor del test que es lo ‘Lógico’ y ‘Correcto’.

Esto podría pasar como anécdota, pero tiene dos implicaciones importantes sobre las que me gustaría llamar la atención:

Una, la necesidad que parece imperar por hacer que todo el mundo comparta líneas de pensamiento similar: No importa la situación o la pregunta, siempre existe la ‘Respuesta correcta’, a pesar de que su lógica sea cuestionable y su utilidad sea limitada, y esa ‘Respuesta correcta’ debe ser aparentemente compartida y ser considerada como la única válida.

Dos, las consecuencias que esto tiene a la hora de solucionar problemas o buscar alternativas: La gente está tan acostumbrada a escoger la respuesta ‘Habitual’ (Que no correcta) que es absolutamente incapaz de adaptarse a situaciones para las que no existe experiencia previa (Y por lo tanto, un protocolo de actuación con sus respuestas habituales ya definido). No sólo eso: a menudo esas respuestas habituales no sólo no resuelven un problema, sino que crean otras situaciones que pueden no ser previsibles (Y por tanto resolubles con el método habitual).

Los ejemplos más sangrantes y las consecuencias más obvias de esto se pueden encontrar fácilmente en el mundo de los videojuegos. No tenéis más que jugar a Scribblenauts (3DS/PC): Este juego se vende como una aventura con infinitas posibilidades. Para los que no lo hayan probado, consiste en recorrer un mundo ayudando a la gente a resolver sus problemas a base de hacer aparecer o modificar objetos con palabras (Por ejemplo, escribes ‘Avión’, y aparece un avión. Entregas el avión a alguien que quiera volar y resuelves el problema). En efecto hay no infinitas posibilidades para resolver cada situación, pero sí cientos o miles. La base de datos de palabras es de aproximadamente 25000, y sin embargo sólo UNA aproximación al problema (En ocasiones dos) es aceptada como válida.

Un ejemplo: Una anciana en el metro es débil, está cansada y te pide ayuda. Convertirle en robot no es una respuesta aceptada, a pesar de que solucionaría el problema. Tampoco reducir su peso. Aplicar los adjetivos ‘Fuerte’, ‘Joven’ o ‘Inmortal’ no soluciona el problema. Darle una poción mágica no soluciona el problema. Hacer que flote no soluciona el problema. Darle una silla de ruedas no soluciona el problema. Las únicas respuestas aceptadas son ‘Silla’ o ‘Banco’, a pesar de que ser soluciones temporales que a la larga no solucionarían nada.

Otro ejemplo del mismo juego que me dio especial rabia, durante una misión en la que tienes que ayudar a papá noel / santa claus / olentzero / loquesea: En un punto de la misión te pide que metas en su saco tres regalos para niños buenos. Hay 25000 palabras, y estoy seguro de que más de la mitad son cosas que un niño querría tener: Un portaaviones, el LHC, un telescopio, una nave espacial, un libro, un cañón laser, un dinosaurio, un puzzle, una cámara de fotos, tarta, guitarra, bajo, cromos… Os hacéis a la idea. Bueno, ninguno de ellos era una respuesta válida. Para completar el nivel tenías que contestar dos cosas que tuvieran las cadenas ‘De juguete’ (En inglés, ‘Toy’, es un adjetivo de una sola palabra) y ‘Muñeca’ (¿De verdad?), de tal manera que ‘Bomba atómica radioactiva biopeligrosa mortal de juguete’ y ‘Muñeca poseída contagiosa asesina’ fueron respuestas correctas. ¿Y la tercera? Bueno, de las 25000 palabras, la única que era válida fue ‘Regalo’.

Hay muchos ejemplos más en el mundo de los videojuegos, sobre todo en RPGs que se venden como de ‘Libertad absoluta’ (Fallout, the elder scrolls, far cry, GTA por nombrar algunos), y aunque bien ‘Son sólo juegos’ creo que reflejan muy bien la actitud de la mayoría de la gente respecto a su vida y a sus problemas: Sin cuestionarse la respuesta habitual, y por lo tanto, sin ser capaz de pensar más de lo que un problema requiere. Y esto, en definitiva, no es un problema sólo de personas, sino que es algo que afecta a absolutamente todo con lo que interactuamos y por lo tanto deberíamos preocuparnos un poco por ello.

Tanto subnormal y tan pocas balas

marzo 19, 2013 Deja un comentario

Einstein dijo una vez que sólo había dos cosas infinitas: El universo y la estupidez humana, y que no estaba seguro de lo primero. Razón no le faltaba.

Leo en sigueleyendo.es que el diario parisino Le Monde, que por un acuerdo con El País había cedido un despacho en su sede de París para el almacenamiento de las fotografías del fotógrafo argentino Daniel Mordzinski, ha tirado a la basura (Sí, habéis leído bien) más de 50000 fotografías (Cincuenta mil. Sí, habéis leído bien) de ese despacho sin ningún tipo de aviso.

Más de 27 años de trabajo dedicados a retratar tres generaciones de escritores hispanoamericanos y un archivo de un valor artístico e histórico incalculable se han ido al garete, porque un subnormal decidió por las buenas que esos archivadores molestaban.

Me lo he planteado muchas veces, pero no consigo entender por qué los más gilipollas acaban siempre en los puestos más altos y donde más pueden dar por el culo en lugar de servir como crash test dummies de carne y hueso. Deseo a Daniel que recupere su archivo lo más íntegro posible, y deseo al SUBNORMAL que tomó la decisión la muerte más lenta y dolorosa posible.

Desayuno con diamantes

Hoy, jugando al minecraft, he caído en un pozo de lava y he perdido un stack de bloques de diamante. No pasa nada, es algo que nos ha pasado a todos. Pero me he puesto a darle vueltas a la cantidad de material que se maneja en ese juego y he aprendido cosas curiosas intentando responder a una pregunta que es posible que vosotros también os hayáis hecho: ¿Cuánto cuesta un stack de diamantes?

Para los que no estén familiarizados con minecraft, es (En pocas palabras) un sandbox en el que todo el mundo está compuesto por bloques (Como lego, pero a lo grande). Los materiales que se recogen se pueden usar para crear herramientas y estructuras con posibilidades creativas casi ilimitadas. En dicho juego, la mayoría de objetos del inventario son apilables en cantidades de 64 (Es decir, si recoges 64 bloques de piedra puedes guardarlos en el mismo hueco del inventario). El caso del oro, hierro, diamante y otros elementos es especial: Para poder ahorrar sitio en el inventario se pueden transformar: 9 lingotes/piedras por 1 bloque. Es decir, un stack de diamantes son 64 bloques de 9 diamantes. Huelga decir que los diamantes son el material más raro y difícil de encontrar, y que normalmente se encuentran formaciones de 3 diamantes cada muchos metros de túneles excavados.

Aclarado esto, vamos con los números: Un bloque en el mundo de minecraft es un cubo de 1x1x1m, es decir, 1m³ o lo que es lo mismo, un millón de cm³ (10^6cm³).  Por lo tanto, un stack tendrá 64 veces esa cantidad, 64e6cm³. El diamante, según nuestra amiga la wikipedia, tiene una densidad de aproximadamente 3.5g/cm³, lo que hacen 3.5e6 gramos en un bloque (O 3500 toneladas) y 224e6 gramos en un stack (224000 toneladas). Como curiosidad, si un bloque está formado por nueve diamantes cada diamante pesaría 389 kilos.

Sin embargo el peso de los diamantes y las piedras preciosas no se mide en gramos, sino en quilates. Un quilate métrico equivale a 0.2 gramos, por lo que hay 5 quilates en un gramo de diamante. Es decir, 17.5 millones de quilates en un bloque y 1.120e9 quilates (1120 millones) en un stack.

Y ahora viene la parte complicada, porque la tasación de diamantes es un poco cristo. El precio no es fijo, sino que depende del peso total de la gema (En quilates). Y además esta variación de precio respecto a peso no es lineal ni sigue ningún tipo de función racional, sino que va a escalones como podemos ver en esta gráfica:

Precio de los diamantes entre 1 y 6 quilates. Fuente

Apenas hay diferencia entre, por ejemplo, un diamante de 0.96 quilates y otro de 0.97. Sin embargo, al pasar de 0.99 a 1 quilate el precio se dispara un 20% (Lo que lleva a compañías a prácticas como vender diamantes de 0.97 quilates como diamantes de 1 con descuentos a los principales distribuidores, que a su vez los comercializan al público como diamantes de 1 quilate, con el consiguiente incremento en precio)

Para tasar un diamante normalmente se utiliza la llamada lista rapaport, que se publica cada semana y suministra precios orientativos para los colores (El precio de un diamante decrece con su transparencia) y pesos más comunes.  Sin embargo ninguna página de tasación ni aplicación realiza cálculos con diamantes de más de 5 quilates. Para el resto de diamantes se utiliza otra tasación diferente: Y aprender el valor de los diamantes no identificables con la lista rapaport es algo que requiere años y años de experiencia.

En la tabla anterior podéis ver que un diamante de 6 quilates se tasa en aproximadamente USD 700000, o 530000€. En este caso no estamos hablando de diamantes de 6 quilates (1.2 miserables gramos), sino de 64 moles de 17.5 MILLONES de quilates.

La respuesta fácil es que el precio de algo así es sencillamente incalculable con los estándares actuales (Al menos hasta que podamos explotar planetas compuestos por diamante y cuesten menos que una palada de tierra). Pero por seguir un poco con el juego, supongamos que esos bloques son diamantes de 6 quilates puestos muy juntos como si de un bloque de piezas de lego se tratara. El precio sería de 530000€ por 6 quilates, es decir 88333€ por quilate. Un bloque así costaría 1.55e12€, o lo que es lo mismo 1.55 billones de euros. Un stack costaría 64 veces esa cantidad, es decir 99.2 billones de euros:

99 200 000 000 000€

Como nota, si existiera esta cantidad de diamante el precio caería, pero supongamos que hemos comprado y destruido todas las minas de diamante del mundo y que ahora somos los únicos distribuidores, y por tanto capaces de imponer el precio que queramos mientras esquivamos escuadrones de la muerte, ninjas y flanes envenenados enviados por países de todo el mundo para matarnos y quedarse con ellos.

Es mucho dinero. Pero la mente humana tiene problemas para asimilar números grandes, así que vamos a hacer malabares (Me encanta hacer cosas de estas) para que os hagáis una idea de lo mucho que es.

-Podríamos comprar 1984 billones de gominolas. Si las repartiéramos entre todos los habitantes del planeta tocarían a 283428 por persona, suficientes para que todo el mundo comiera 11 gominolas diarias durante 70 años (Los que nazcan después de esto se quedan sin nada)

-Suponiendo que vivas 60 años más y que no mueras por el colesterol, podrías comprar 49600000000000 tabletas gigantes de chocolate (Esas de medio kilo con galleta o dulce de leche, ya sabéis), con las que podrías pasarte el resto de tu vida metiéndote por vena 26195 tabletas de chocolate (13 toneladas) POR SEGUNDO.

-El SR-71 fue el avión espía por excelencia. Capaz de alcanzar más de 3 veces la velocidad del sonido y alturas de más de 25Km, utilizaba uno de los combustibles para aviación más caros del planeta, haciendo que los costes de operación ascendieran a 80000 dólares (61000€) por hora. Con todo el dinero de los diamantes podríamos mantener uno en el aire durante más de 100000 años.

-Si nos diera por comprar oro y tuviéramos suficiente disponible podríamos comprar (A 39.1€/g según veo hoy) 2.5 millones de toneladas, 10 veces el peso del rascacielos más alto del mundo en oro y suficiente para cubrir toda la tierra en el planeta con casi 1mm de oro.

-Pasando a cosas más grandes, podríamos gastarnos nuestra fortuna en barcos. Portaaviones de clase nimitz, por ejemplo. El precio por unidad es de 4.5 billones (anglosajones) de dólares, o lo que es lo mismo 3400 millones de €. Con nuestro botín podríamos comprar 29176, ponerlos en fila india y recorrer en coche más de 9800Km por mar, suficientes para ir de Londres a Nueva York y de nueva york a México.

-El total de dinero que EEUU ha invertido en la NASA desde su creación asciende a tan sólo  526 billones (de nuevo anglosajones) de dólares, o 404586 millones de euros. Con todo ese dinero se podría financiar la NASA como en la época de su máximo apogeo (En 1965, cuando su presupuesto suponía el 4.31% del presupuesto de los EEUU y disponía de aproximadamente 26000 millones de euros anuales) durante más de 3800 años.

Otro cálculo curioso: Si yo renovara mi vestuario cada día (Botas, pantalones, camiseta y polar) podría seguir estrenando ropa mientras veo mi ropa vieja fosilizada en un museo y seguir estrenando ropa más de 1800 millones de años después de eso.

Seguridad web: Ingeniería social y atención al cliente

febrero 23, 2013 Deja un comentario

Esta semana he tenido un problema. Bueno, más de uno. Resulta que, por esos caprichos aleatorios del destino, mi cuenta de hotmail (Sí, correo hotmail, aún usaba de eso) quedó bloqueada ‘Por motivos de seguridad’.

Inmediatamente entro al formulario de recuperación de cuentas de hotmail, en el que me encuentro con esto, que debo rellenar con el máximo número de campos posible:

Si analizamos el formulario vemos lo que nos piden: Primero, datos personales, respuesta a la pregunta secreta, contraseñas anteriores, carpetas creadas, direcciones y asuntos de correos enviados recientemente, e información de facturación de XBOX live.

Estoy plenamente convencido de que no soy el único que utiliza los servicios de correo de microsoft como contenedores de basura, y estoy igualmente convencido de que nadie en su sano juicio utilizaría hotmail como servicio de correo personal (A pesar de lo cual tiene una base muy amplia de usuarios activos). Utilizar hotmail como yo lo hago implica en este caso que la cuenta no puede ser recuperada, porque 1) Nunca doy mi información personal a ningún sitio web, y si lo hago son datos ficticios y aleatorios, 2) No creé ninguna carpeta porque es una función superflua y sin ninguna utilidad real, 3) No envié ningún correo desde esa dirección en los últimos meses, 4) No tengo cuenta en XBOX live y 5) No recuerdo mi respuesta secreta, que de nuevo es (En mi caso y seguro que en el de muchas otras personas) una cadena aleatoria de caracteres para acabar cuanto antes el formulario de registro.

Decidí dar la cuenta de correo por perdida. Es una cuenta que utilizaba exclusivamente para registrarme en sitios y recibir correo basura o poco interesante (Hotmail no sirve para otra cosa), así que la pérdida no era mayor que el tiempo que me costaría cambiar el correo electrónico en los servicios web que habitualmente utilizo.

Uno por uno fui cambiando el correo sin mayor problema, hasta llegar a flickr. Introduzco mi usuario y contraseña y me encuentro con que, de nuevo por motivos de seguridad (Según ellos, conectarme desde un dispositivo que ellos no reconocían, a pesar de hacerlo desde el único ordenador del que dispongo) han bloqueado mi cuenta. Suspiro y sigo leyendo. Para desbloquearla sólo necesito escoger una de dos opciones: Una, responder a una pregunta secreta que configuré yo mismo hace aproximadamente cuatro años y de cuya existencia ni siquiera me acordaba, y otra, recibir un correo electrónico (A mi cuenta de correo) para recuperar el acceso a la web.

Tras varios intentos por responder a la pregunta de seguridad (Que conociéndome era algún tipo de juego de palabras indescifrable e ilógico que pudo llegar a tener sentido en su día), mi cuenta quedó bloqueada definitivamente y mi única opción era recibir el dichoso correo electrónico.

Por suerte para mí, para este tipo de ocasiones Yahoo dispone de un servicio de atención al cliente en el que te ayudan a… Yahoo dispone de un servicio de atención al cliente. Así que, ni corto ni perezoso, les escribo un email explicándoles mi situación, la cadena de errores que he sufrido, las dificultades para recuperar mi cuenta, los posibles motivos por los que no reconocían mi dispositivo y ofreciéndoles también alternativas para demostrar mi identidad a falta de acceso a la cuenta de correo asociada. <data sprunged> es información omitida al copiar los correos:

Dear sir/madam:

I am having issues logging in to my account due to some chained errors:

Two days ago my hotmail email account (The one I used to receive flickr email) got compromised for some reason and it ended blocked. With the hotmail recovery form it is impossible to recover that account, so I decided to switch addresses in all my accounts to another email account I had.

The problem is, when I tried to log into flickr using my flickr ID this popped out:

I have absolutely no clue about a secret question I set up almost 4 years ago, and the recovery email is the one that just got blocked. I can remember my password (So I could log in if it wasn’t for the block), I am still logged in via uploadr and It’s very likely that I can still upload photos, but I can’t access the web.

As for why the only computer I use it’s a non recognised device, it might be because MAC spoofing (The MAC address on my computer changes randomly every time I boot the computer) or the use of proxies (Which I use occasionally).

I don’t know how to solve this issue and any kind of help would be more than welcome.

As for proving I am Achifaifa (Which it’s probably the tricky bit) I can upload anything via uploadr, answer in twitter (@Achifaifa), show negatives of my film pictures or send a non-watermarked copy of any of the pictures I have uploaded (If you come up with anything else just ask)

Thanks in advance.

A los dos días recibo respuesta. Exactamente, la respuesta que esperaba, un correo prácticamente automatizado y genérico en el que me piden que les escriba desde el correo electrónico asociado a mi cuenta de yahoo para poder confirmar mi identidad:

Hello ,
Thank you for being a Yahoo! user since 2009. We appreciate you choosing to use Yahoo! and truly hope you continue to use Flickr and Mail as you have been.
I want to apologize for any inconvenience this issue has caused you. I assure you that I will do what I can to help resolve your issue.
I’m really sorry that you’re unable to access your Flickr account, and I hope this hasn’t impacted you too much.
Before we can assist you with your Flickr account, we need to verify you as the account owner. This is a security procedure to protect the accounts of our customers.
Please write from the email address associated with the Flickr or Yahoo! Account.
To send us a verification email:
  1. Ensure that you are signed out from Yahoo! and Flickr.
  2. Sign in to your email account.
  3. Compose a new email and send it to:
<data sprunged>
Note: Please write in from each of the email addresses you may have.
We apologize for this inconvenience, but these steps are necessary to prove that you own the account. We appreciate your patience and look forward to hearing from you again.
Additional information on this, and other Yahoo! products, can be found on the Yahoo! help page.
If you have any further concerns regarding this issue , please let me know and I will be happy to assist you.
Thanks,
<data sprunged>

Yahoo! Customer Care

No hay problema, era una respuesta razonable y totalmente lógica: Tienen un protocolo a seguir y no pueden saltárselo a la torera. Envío el correo que me solicitan, pero utilizando una cuenta a la que tengo acceso y les respondo, de nuevo repitiéndoles el problema y ofreciendo alternativas de identificación:

Hello again:

As I said, I can not access the email associated with my flickr account because it has been blocked. This is exactly the problem I am having and the reason I wrote an email to you.

I can upload things via uploadr, I can show you non watermarked or raw files for any uploaded photo, I can show you physical negatives for uploaded film pictures, I can show you the serial number on my camera (Matching the exif data from my uploaded pictures) and god knows what else, but I can not access my email account associated with my flickr account.

Varias horas después recibo otro correo del soporte técnico. Pero esta vez, solicitando (Al igual que el formulario de recuperación automática de microsoft) datos personales y la respuesta a la dichosa pregunta secreta, haciendo énfasis en que la cuenta de correo desde la que les escribía no coincidía con la cuenta de correo asociada:

Hi Yuri,

We appreciate you writing back to us. Unfortunately, the email addresses that you wrote in from do not correlate to the Flickr account that you are inquiring about. To protect the security and privacy of all accounts, we are unable to provide login or other account assistance without completely verifying the account.

Yuri, in order for us to proceed, we need to verify you as the owner. For account verification purposes, please reply with the following information:

  1. Date of birth (mm-dd-yyyy)
  2. Postal code and Country
  3. Alternate email address
  4. Answer to the secret question:
Q1:  <data spunged>
Note: If you are having difficulty remembering your answer(s), please be sure to provide a list of all possible answers, so we can verify them with the answer listed on the account.
We apologize for this inconvenience, but these steps are necessary to prove that you own the account you want to access.
Additional information on this, and other Yahoo! products, can be found on the Yahoo! help page.
If you have any further issues Yuri, please let me know and I will be happy to assist you.
Thanks,
<data sprunged>

Varias cosas me llaman la atención de este correo: Primera, que cada vez que envío un correo al soporte técnico me responde una persona distinta. Este es un buen sistema para evitar ataques evidentes de ingeniería social, pero tiene la enorme pega de que hace el proceso de recuperación increíblemente tedioso y exasperante para usuarios legítimos, al igual que pasa con las compañías telefónicas.

La segunda es que me solicitan información personal (Seguramente siguiendo el estricto protocolo que tienen impuesto). No es el hecho de que pidan información personal lo que llama la atención, sino el hecho de que están pidiéndome información que no les es posible contrastar, ya que no les dí esa información al crearme la cuenta. Como muchos de los que me conocen ya sabrán, mi fecha de nacimiento y código postal es aleatorio en cada servicio web que uso, el país suele ser el primero que aparezca delante mío y dejo en blanco tanta información como me es posible.

Otra cosa que me llama la atención es que siguen pidiéndome la respuesta a la pregunta secreta, a pesar de haberles dicho que no me es posible recordarla.

Sin embargo puedo proporcionarles la dirección de correo electrónico alternativa (La que estaba usando en ese momento), así que de nuevo les envío un correo, conteniéndome para escribir de la manera más educada posible:

Hello.

Of course the email address does not correlate. That is because I CAN NOT access to my email address, which is exactly the problem I am having and the exact reason I am writing to you in the first place.

Date of birth: <data sprunged>, Although is very likely that I did not wrote it in my profile. I normally use a random birth date on all my profiles.
Country: Spain. I did not wrote my real postal code in my profile (But it is <data sprunged> if you still want to know it)
Alternate email address: This one <data sprunged>, but I don’t think I wrote it either.
Answer to the secret question: I have absolutely no idea. If I did I would not have this issue, because the reason of my writing to you is precisely that I can not remember what I used 4 years ago as a secret question.

Again, I have proof more than enough that I am the legitimate owner of the account (Serial numbers on my equipment, physical negatives of my film pictures, RAW files, current uploadr session (I am still logged in through it), etc.) I can even enlarge one of my film pictures and send a postcard to you with a bloody secret code, but I can’t recover it via some automated process that requires you checking information I didn’t gave you in the first place, or using an email account I don’t have access to.

I hope this does not sound rude (Not my intention), I understand it’s an uncommon situation, but this issue is simply unsolvable by following the automated procedures you are following.

Así, por las buenas, y sabiendo que el correo lo iba a recibir otra persona completamente diferente que seguramente seguiría el protocolo ad infinitum, decidí decirles que el problema era sencillamente irresoluble siguiendo manualmente el mismo método automatizado que utiliza la propia web para recuperar cuentas. Sin sorpresa alguna, recibo respuesta al día siguiente:

Hello Yuri,
Before addressing your concern, I apologize that your issue has not been fully resolved.
I apologize for the continued difficulties you are experiencing with Flickr. Thank you very much for your patience and continued communication.
Unfortunately, we were unable to match the information that you provided with the information currently on this account. There are two possible methods to verify your account.
——————————
1. Write from the email address associated with the Flickr account.
——————————
If you have more than one email address and don’t know which one is linked to your Flickr account, please write in from each of the email addresses you may have.
How to send us a verification email:
  • Ensure that you are signed out your Yahoo! and Flickr accounts.
  • Sign in to the email account that is your contact email address for your Flickr account.
  • Compose a new email and send it to:
Emailing us from your Flickr account contact email address will ensure that we can trace this existing case and also allow us to help you as quickly as possible.
Note: Please do not forward this message. Instead, create a new message for each account that includes the required details to identify your case.
——————————
2. Provide the correct account verification information.
——————————
For account verification purposes, please reply with the following information:
  • Date of birth (mm-dd-yyyy)
  • Postal code and Country
  • Alternate email address
  • Answer to the secret question:
Q2: <data sprunged>
Note: If you are having difficulty remembering your answer(s), please be sure to provide a list of all possible answers, so we verify them with the answer listed on the account.
Once we have this information, we will be happy to assist you further.
Additional information on this, and other Yahoo! products, can be found on the Yahoo! help page.
If you have any further issues Yuri, please let me know and I will be happy to assist you.
Thanks,
<data sprunged>

De nuevo sin sorpresa, siguen el proceso. Me piden una de las dos opciones que ya han fallado con anterioridad, insistiendo en que debo demostrar mi identidad para seguir con el proceso. Por un lado, perfectamente entendible, ya que si dieran información de acceso a cualquiera esto sería una casa de putas. Por otro lado ridículo, ya que seguir un proceso una y otra y otra vez a pesar de saber que falla es como una mosca dándose de cabezazos contra un cristal. Seguir el protocolo es importante, pero el servicio de atención al cliente debería ocuparse precisamente de casos en los que el protocolo falla o es insuficiente.

Les expongo brevemente este razonamiento y les pido por favor que me redirijan a alguien que pueda ayudarme, sabiendo ya cuál es el problema, lo que falla y las alternativas propuestas.

Hello again.

I understand you have to follow the process, but as you can obviously see it is not possible for me to recover my account following steps that require me using an email address that has been blocked or giving you information you can not possibly check with anything (Because I did not give you that information in the first place).

If you could forward me to someone who can actually help me and solve this problem I would really appreciate it.

Thank you.

Espero que eso no sonara maleducado. Una vez más me esperaba un correo genérico pidiéndome los dichosos datos o el correo bloqueado, y en su lugar, al día siguiente, recibo esto:

Hello Yuri,
Before addressing your concern, I apologize that your issue has not been fully resolved. I am glad to provide you assistance.
We’ve updated your account information by adding your “<data sprunged>” email address. You can now use this information to clear the verification prompt. Unfortunately, at this time, we cannot clear the prompt for you.
To access your account:
  1. Enter your Yahoo! ID and password; and select Sign In.
  2. Enter the security CAPTCHA code. (If you do not see a randomly generated code, simply proceed to the next step.)
  3. Select Receive Code.
  4. Enter/select the new alternate email address or mobile number, then select Receive Code again. A code will be sent to the email address/mobile number you entered.
    • IMPORTANT: Do not navigate away from the page where you entered your alternate email address or mobile number. If you are using your alternate email address, please open a new browser tab or window to retrieve the code. If you navigate away from the verification prompt, the code that was sent will not be accepted.
  5. Once you receive the code, you will need to enter it on the page referred to above. This will bring you to a screen to update your current password.
Note: Some users have reported that the message is blocked by their alternate email provider’s spam filter. If you do not receive the message, be sure to check in your spam and trash folders. The message will be titled “Your Yahoo! Login Verification Code”.
Please make sure to choose a password you have not previously used on your account before. It is very important to keep your password private at all times. A good password contains a combination of uppercase and lowercase letters; numbers; and/or special characters such as %, $, and +.
For help selecting a strong password and/or safeguarding it against misuse, please review the tips posted in the password section of the Yahoo! Security Center.
Here are some common ways your user name and password could have been compromised:
  • Responding to a fraudulent “phishing” email pretending to be from Yahoo! asking for your user name and password.
  • A type of malicious software called a “keylogger” on your computer.
  • Allowing third parties access to your account.
  • Leaving your account signed in at a public location.
  • Utilizing the same password across multiple online services or applications.
Additional information on this, and other Yahoo! products, can be found on the Yahoo! help page.
If you have any further issues Yuri, please let me know and I will be happy to assist you.
Have a great day!
Thanks,

Yahoo! Customer Care

Con cara de no creerme lo que estaba pasando, seguí los pasos que me indicaban. Tras recibir el código y seguir el enlace que aparecía en el correo estaba ni más ni menos que en mi perfil de yahoo, con pleno acceso a todo. A base de simplemente insistir conseguí acceso a mi cuenta bloqueada sin mostrar ningún tipo de identificación, escribir ningún tipo de contraseña, demostrar que yo era el dueño legítimo de ningún modo o ceder ni un sólo dato personal.

Por un lado estoy contento de haber recuperado mi cuenta, las personas que me atendieron fueron correctas en todo momento y no tengo casi ninguna queja de cómo ha acabado.

Por otro lado, sin embargo, estoy absolutamente horrorizado. Esto que me ha pasado, que a primera vista puede parecer una anécdota irrelevante más, es un agujero de seguridad como la copa de un pino. He estado tentado de intentar ‘Recuperar’ la cuenta de otra persona (La de mi casero, por ejemplo, siempre con su permiso) para ver si este método daría resultado, pero he preferido escribir esto y exponer los evidentes fallos de seguridad a los que se expone cualquier entidad que disponga de un servicio de atención al cliente.

La ingeniería social no es nada nuevo, sin embargo las empresas tienen conciencia de ella desde hace muy poco y aún queda mucho por aprender. Más que aprender enseñar, porque los empleados de atención al cliente o con un puesto de cara al público suelen ser los más vulnerables a este tipo de ataques no sólo por su posición, sino también por la escasa formación al respecto que suelen tener (Seamos francos, ¿Alguien sabe de una empresa que se preocupe por ofrecer a sus recepcionistas cursos de prevención?).

En este caso, el problema no ha sido saltarse el protocolo. El protocolo en call centers y centros de atención al cliente es necesario y es una herramienta absolutamente imprescindible, pero tiene sus limitaciones y hay que enseñar a los trabajadores a desenvolverse en estos casos en lugar de forzarles a seguir dicho protocolo como ocurre muchas veces. El problema ha sido hacerlo a la torera y dar el acceso de una cuenta a quien lo pida sin buscar ninguna alternativa.

En los casos en los que el protocolo falla, por ejemplo, se debería consultar a un superior con conocimientos y habilidades para estudiar métodos alternativos que puedan solucionar el problema sin poner en riesgo la seguridad del servicio, en lugar de mandarlo todo a la mierda y dar información a alguien de cuya identidad no estás seguro como ha sido este caso.

Esta anécdota también deja claro fallos menores de seguridad. O lo que al menos yo considero un fallo de seguridad y de sentido común, como es el uso de preguntas secretas. Los usuarios tienen dos opciones. Una es esponder a las preguntas con información real, exponiéndose a perder la cuenta: En 1999 las preguntas secretas estaban guay. En el año del señor de 2013 con facebook, twitter, linkedin y demás escaparates de información privada, las preguntas secretas son UN RIESGO; la otra es responder cosas aleatorias o no relacionadas, como fue mi caso, y exponerse a no acordarse cuando haga falta, porque es algo que no se utiliza prácticamente nunca.

Hacen falta nuevos métodos de acceso a webs. La identificación via facebook o twitter es un riesgo de seguridad inadmisible, las contraseñas están dejando de ser una opción viable y no hay ningún avance en este campo desde hace mucho, exceptuando excentricidades inútiles y mal implementadas como el DNI-e y algunos tokens físicos. Sin embargo hay margen de maniobra. Pongamos el caso de flickr, por ejemplo. Sabiendo la cámara que tiene un usuario, ¿Por qué no se utiliza la cámara de fotos como token físico para acceder a la web? En el caso de webs dedicadas al sonido como soundcloud, ¿Por qué no se utilizan los números de serie de las controladoras de audio conectadas como token? De nuevo no será la panacea, pero lo importante es dar pasos en la dirección correcta.

Espero que, si al menos flickr no aprende de esta experiencia, alguno de mis lectores lo haga y tenga muy en cuenta el factor humano a la hora de plantear la seguridad de un servicio o sistema, ya que el factor humano suele ser el más vulnerable y es normalmente el más explotado, por difícil de creer que sea para muchos.

Para más información podéis consultar Social engineer o las charlas y concursos de defcon, seguir en twitter a @Humanhacker o @dave_rel1k (Y muchos otros), o consultar muchos de los artículos disponibles en la web (La deep web es un buen fondo de recursos para estos temas). Es un tema del que merece la pena aprender.

Publicidad Sony, obviedades y tormentas (De mierda)

noviembre 22, 2012 Deja un comentario

Tal vez hayáis escuchado algo sobre el nuevo spot de Sony, fabricantes de electrónica de consumo que llevan subiéndose al carro de la fotografía digital una temporada y que (Al igual que el resto de marcas) han lanzado una cámara mirrorless recientemente:


En este anuncio aparecen unas pocas personas que, por desgracia, representan a un sector increíblemente amplio de la población: Aquel que compra cámaras DSLR para utilizarlas como si fueran compactas. En el spot se les comenta lo que todos queremos decirles cuando vemos a esta gente por la calle: Que no tienen ni la más remota idea de lo que tienen entre manos, que es un desperdicio de dinero y que tienen opciones mejores.

El spot va directo al grano, es claro y la verdad es que te hace soltar una risa que otra, pero (Por desgracia) hay que plantearse si el burlarse de tu target comercial es una buena táctica y si Sony ha hecho un buen movimiento con este spot. Imaginaos que los anuncios de apple fueran algo similar (‘¿Eres lo bastante inútil como para no saber manejar un PC? ¡Compra un mac! Te sirve para perder el tiempo en facebook igual pero hay menos cosas donde cagarla’). Honesto, directo y claro sí, pero no creo que la gente se animara a dejarse los cuartos con sus productos.

Veremos las cifras de ventas de esta cámara en navidades, será interesante ver como esta gente reacciona ante el spot. ¿Se sentirán indignados o se darán cuenta de lo que hacen e intentaran aprender fotografía?

Categorías:Fotografía Etiquetas: , ,

El ‘Dilema’ español

noviembre 9, 2012 Deja un comentario

No hay nada que me saque más de mis casillas que enredar y enredar preguntas simples y sencillas hasta convertirlas en algo estúpido e infumable. Y hay que reconocer que los psicólogos y los estudiantes/profesores de ética se llevan la palma.

Ayer me presentaron un ‘dilema’ de los suyos que no tiene desperdicio:

Estás en una estación de ferrocarril y ves que por una de las vías 5 españoles van a ser atropellados por un tren. Cuando corres a advertirlos sobre el peligro, te quedas atrapado/a en otra vía.

Tienes dos opciones: dejar que el tren continúe, dejando que los 5 españoles mueran, o tirar de una palanca que desvía el tren hacia la vía en la que tú te encuentras atrapado, de forma que tú morirás, pero los 5 españoles se salvarán.

Este dilema no es sino un ejemplo más del hábito de abordar problemas sencillos con un tinte ético a través de problemas largos, complicados, técnicamente absurdos y que pueden ser reducidos a una pregunta simple y concisa.

Esta necesidad de poner en contexto cuestiones éticas simples (Que no tienen respuesta correcta y las actuaciones a las cuales dependen enteramente del punto de vista de quien conteste) puede ser causada por la necesidad de influenciar al lector a través de palabras o frases concretas esperando una respuesta predeterminada, o bien de presentarle situaciones que le supondrían dificultad a la hora de elegir a causa de su trasfondo cultural y educativo.

En este caso, ‘Estirar’ la pregunta simple ‘¿Te sacrificarías para salvar a cinco personas?’ ha dado como lugar una situación absurda e irreal, debido principalmente a las siguientes razones:

A) El tendido ferroviario español dispone de sistemas de alarma en estaciones y apeaderos, de tal forma que el tráfico se detiene si hay obstáculos en la vía o se produce una situación que pueda poner en peligro a personas o pasajeros.
B) Para advertir a alguien del peligro que supone estar en una vía de tren no es necesario susurrarles al oído, pudiendo advertirles del peligro desde el propio andén. Cruzar una vía es arriesgado y poco inteligente (Y esta castigado por ley).
C) Los cambios de agujas (La ‘Palanca’ que se menciona en la pregunta) no estan situados en la vía, sino en puntos seguros para el operador, ademas de estar automatizados. Muchos de los actuadores mecánicos que vemos en estaciones, depósitos y cocheras están deshabilitados.
D) Es prácticamente imposible quedarse atrapado en una vía de tren. No hay ningún objeto en el que puedas engancharte, no hay grietas en el suelo, no hay redes ni lazos ni trampas. Lo más cercano que puede suceder es que sufras una lesión que te impida caminar, y en ese caso nada te impide salir arrastrándote de la vía.

Respecto al problema, la respuesta obvia es que ninguna persona con un mínimo sentido común correría a advertir a esas cinco personas en primer lugar (Desconozco la razón por la que se especifica que son españoles). En el momento en el que tocaron la vía el centro de seguridad de ADIF probablemente lo haya notificado al jefe de estación, deteniendo a la vez el tráfico por esa vía y haciendo que este último enviase a los agentes de seguridad a la localización para ponerlos a salvo y entregarlos más tarde a la policía, que sancionaría a estas cinco personas con jugosas multas de entre 3000 y 10000€.

Personalmente jamás entenderé la obsesión que mucha gente tiene con estos ‘dilemas’ cuando en realidad no hay respuesta correcta, a pesar de que casi siempre la respuesta con mayor aceptación social tienda a ser considerada la más ética.

Categorías:Curiosidades
Seguir

Recibe cada nueva publicación en tu buzón de correo electrónico.

%d personas les gusta esto: