Cuidado con lo que instalas

Buenas:

En el anterior artículo te hablaba de cómo una serie de redes de publicidad habían básicamente estafado a Uber cerca de 100 millones de dólares a través de la instalación de aplicaciones en teléfonos Android para fingir que los usuarios estaban buscando la aplicación para usarla en primer lugar.

Una de las cosas que me llevan al famoso "jardín con muros" de Apple es que, algunas cosas (no todas) son más complicadas de hacer que otras, sobre todo desde el momento en el que el creador de los elementos físicos que corren el software son los mismos que diseñan ese software en primer lugar y donde, muchísimo más importante, su modelo de negocio no se sostiene en la recopilación salvaje y agresiva de la mayoría de aplicaciones o servicios que, actualmente, utilizas de alguna forma u otra.

No te líes, Paquito...

Al turrón, que me voy por las ramas... El año pasado, con todo el dolor de corazón del mundo, he seguido el caso de dos pequeñas aplicaciones (extensiones del navegador en el ordenador, para ser exacto) donde, la misma historia, ha sucedido, siempre con resultados nefastos para sus usuarios.

La última es la que más miedo me ha dado, porque yo he sido usuario de dicha extensión y, de eso, hablaremos hoy...

Érase una vez Google Chrome...

La mayoría de nosotros, en algún momento (según las estadísticas de mi blog, la mayoría de las personas que se pasan por aquí) ha usado o usa el navegador de Internet de Google.

Google Chrome, en general, es un navegador fantástico, que se actualiza de forma automática y que, por la cantidad de información que Google recopila, además de su excelente equipo de desarrollo, suele ser muy seguro.

Chrome, como Firefox, Safari o el navegador que utilices, tiene la capacidad para añadir "extensiones" o "plugins", es decir, pequeñas pseudo-aplicaciones que permiten extender la funcionalidad intrínseca del navegador para hacer otras cosas.

En mi caso, desde que he vuelto a la secta de la manzana, utilizo Safari y, en dicho navegador, tengo dos extensiones instaladas:
  1. "Pocket" (que es un servicio para guardar artículos de páginas webs que me encantaría leer y que, al guardarlas ahí, elimina toda la parafernalia de anuncios y formatos de la web, dejando sólo el texto y, lo que es más importante, permitiendo leer esos artículos cuando quiera offline, sin tener que conectarme a internet.
  2. "1Blocker", que es, de lejos, el mejor bloqueador de publicidad y otro tipo de cosas para iOS y para macOS... En este caso, he pagado al desarrollador el dinero que ha pedido desde el primer día, porque es fantástico, fue creado por un chico en un verano (hoy en día son un equipo de tres personas) y, honestamente, se merecen cada céntimo que piden.
En su día, en cambio, cuando usaba Google Chrome, había una cosa que, si no lo sabes, ya te lo contaré yo: el navegador de Google utiliza una barbaridad de memoria de tu ordenador, supongo que para hacer que sea lo más estable posible, pero es evidente que no estaría de más que lo optimizaran un poquito.

Por ese motivo, porque Chrome no usaba memoria RAM, sino que se la bebía como si no hubiera mañana, instalé una maravillosa extensión llamada "The Great Suspender" y que lo que hacía era que, cuando tenías varias pestañas con diferentes páginas webs abiertas en ellas, después de 5 minutos de no acceder a ellas, las suspendía, liberando la correspondiente memoria que esa pestaña le pedía al navegador para mantenerla activa.

Una extensión maravillosa, creada por un tipo en su tiempo libre, con el repositorio del código expuesto en la plataforma Github, signo de transparencia y que permite, entre otras cosas, que otros desarrolladores puedan crear versiones de la extensión o, mejor aún, auditar el código, para poder reportar o solucionar problemas, así como garantizar que, efectivamente, la extensión hace lo que dice y nada más...

Cuando la cosa se tuerce...

El problema de muchos de los proyectos de código abierto, sobre los que se sostienen miles de servicios o millones de usuarios de Internet, están en manos de un grupo muy reducido de personas que, por amor al arte, con toda la pasión del mundo y con un talento descomunal, deciden regalarle al mundo su proverbial inteligencia para crear maravillas como "The Great Expander" que, hasta hace nada, era una extensión utilizada por, ojito, dos millones de personas en todo el mundo.

Y todo esto, ojo, creado por un tipo, "por amor al arte"...

Y el caso es que, hace unos meses, el tipo, que ya va teniendo una edad, compromisos familiares, más trabajo profesional o lo que sea, decide vender la aplicación a otra persona (o entidad, no se sabe a ciencia cierta) para que continúe la labor.

El creador lo anuncia, explica lo que va a suceder y recuerda que todo seguirá siendo código abierto y que el repositorio del código seguirá siendo público, para que la gente siga viendo que es lo que hay detrás de lo que el nuevo propietario vaya a hacer...

El problema es, cuando de pronto, eso no es así: el nuevo propietario del código empuja una actualización de la aplicación a los usuarios pero, curiosamente, el repositorio público del código no refleja ningún cambio...

Como Internet está llena de gente maravillosa (que la hay), inteligentísima (que la hay) y súper capaz, lo que de pronto aparece como algo extraño, se convierte en una carrera por desentrañar qué diablos ha cambiado en esa última actualización...

Lo primero que ven es que, quien sea que sea ahora responsable de la extensión, ha cambiado lo que se supone que son un par de llamadas a un servicio de estadísticas (las extensiones, como todo software moderno, tienen sus propias librerías para entender cómo son utilizadas por los usuarios, bien para reportar problemas, cuando la extensión no funciona bien, o bien para entender qué es lo que haces con ellas).

Hasta ahí, aunque inusual, la cosa está más o menos dentro de lo lógico: a lo mejor el tipo o la empresa que se encarga ahora utiliza un servicio de estadísticas diferente al anterior propietario...

Pero hay un par de problemas: ese cambio se produce sin actualizar el repositorio del código que está disponible para ser revisado y, lo que es todavía más interesante, ese cambio no cumple lo que se supone que son las directivas de analíticas de Google, por cuanto es una extensión que se ofrece en la tienda de extensiones para Chrome que Google tiene puesta a tal efecto.

Detalles, detalles, detalles...

El personal aquí todavía le da un voto de confianza al nuevo tenedor de la extensión pero, como el personal ya se empieza a mosquear, siguen investigando qué ha cambiado en esa nueva versión y descubren otras cosas, como por ejemplo que ha introducido llamadas a otros servicios webs que, potencialmente, pueden cambiar lo que ves en una página web, en particular los anuncios, sin tener en cuenta que, en ese cambio, a lo mejor esas llamadas pueden transmitir otras cosas de esa página, como por ejemplo, tu usuario y tu contraseña, si están en una página donde te registras para hacer tal o cual cosa...

Actualmente, en el propio repositorio de Github, hay una discusión abierta alertando de esto.

¿A qué acojona?

Pues sí: acojona porque no es la primera vez y porque, en el último año, este es el segundo ejemplo que conozco donde algo tan grave sucede...

El primer ejemplo que recuerdo, sin los detalles exactos en este momento, porque tengo una memoria de pez, es de cuando otro proyecto de código abierto, en este caso una librería de JavaScript que era utilizada por millones de páginas web para hacer que el contenido funcionara de la mejor forma posible, en iguales circunstancias (un sólo desarrollador, igual que el caso anterior) decide dejar el proyecto y transmitir la responsabilidad de dicha librería a otra/s personas, con exactamente el mismo resultado (de pronto, se pusieron a cambiar cosas para, si no recuerdo mal, hacer minado de cripto-monedas con tu ordenador a través de todas las páginas webs que utilizaran ese trocito de código de código que pudieras visitar.)

El problema del código abierto actual

El código abierto y el software libre son ideas maravillosas: la gente crea cosas y comparte el código para que otros lo puedan estudiar, usar y/o mejorar, pero muchas de las cosas que millones de personas, de forma consciente o inconsciente, utilizan en su día a día, están en manos de un número extremadamente pequeño de personas que, en muchos casos, contribuyen o crean verdaderas joyas tecnológicas por, repito, "amor al arte" y que, el día que sus vidas o sus circunstancias cambian, como no haya alguien detrás que quiera continuar el trabajo sin ningún tipo de fin negativo, te lleva a sorpresas como éstas.

En general, todo sale fantásticamente bien y, con el tiempo, esa gente consigue algún tipo de donación, beca o alguna forma de compensación económica que les permite dedicar el tiempo y los recursos necesarios para que sus proyectos persistan y mejoren en el tiempo.

Pero, desafortunadamente, a veces eso no sucede, momento en el que cosas como las que te conté antes suceden.

Un par de consejos

El primero: en la medida que puedas, siempre que utilices software de desarrolladores independientes o programas de código abierto mantenidos de forma altruista, en la medida en la que puedas, dona algo de dinero (según tus posibilidades ojo).

El segundo: antes de instalar algo en un tu ordenador, en tu navegador o en tu teléfono móvil, revisa siempre los permisos que esas cosas piden (en el caso de iOS y macOS es muchísimo más difícil de que te la hagan, porque los permisos deben ser concedidos de forma expresa) y, sobre todo, analiza la reputación de la entidad que ha creado el software en primer lugar.

Y uno puede pensar que, estas cosas, así a bote pronto, sucede sólo en pequeñas aplicaciones y son casos marginales...

Es decir: las grandes empresas no hacen cambios en su código con elementos potencialmente nocivos o intensivos... ¿Verdad?

Podrías pensar eso, pero cuando iOS, hace un año, permitió ver qué permisos de seguridad en sus dispositivos o qué tipo de accesos pedían las aplicaciones ya instaladas, fue maravilloso descubrir como la aplicación YouTube, curiosamente, estaba intentando acceder a los permisos de acceso del Bluetooth del iPhone o del iPad para explorar qué otros dispositivos Bluetooth estaban a mi alrededor...

Y esto, y aquí te lo dejaré, es sospechoso de narices, porque yo estaba escuchando el audio de YouTube a través de Bluetooth en primer lugar, así que, si no era para ofrecerme el audio, ¿Para qué diablos quería YouTube saber qué otros dispositivos Bluetooth estaban cerca de mí?

La respuesta, ya la sabes: recopilar datos sobre mí para intentar venderme mierda, a través de una inocente pregunta que no tenía nada que ver con el propósito original (yo ya estaba conectado con mis auriculares Bluetooth al dispositivo, así que no era para ofrecerme el audio que ya estaba recibiendo).

Ya va siendo hora de meter a esta gente en cintura (pero de eso ya hablaremos: la economía de la vigilancia y recopilación de datos masiva a gran escala se ha pasado catorce pueblos, sobre todo cuando, como te conté el otro día, se ha demostrado que todo es una falacia y que, en realidad, ni los anunciantes, ni los usuarios, le están sacando el provecho que se les ofrece en primer lugar).

Ten cuidado y recuerda: antes de instalar nada, revisa bien qué cosas te pedirá esa cosa habilitar y para qué.

Seguiremos informando.


Paquito

Emilio: sugerenciasapaquito (arroba) yahoo (punto) es

Twitter: @paquito4ever

Lugar de Referencia: Amsterdam, Netherlands

Comentarios

Publicar un comentario

Todo comentario, siempre y cuando sea educado, es bienvenido.

Quizás te pueda interesar...

Es cuestión de organizarse

Buenas: Hoy me he despertado pronto y, leyendo la prensa, encuentro un muy interesante artículo de el diario español "EL PAÍS" donde se habla de las condiciones de trabajo de consultores y de personas que trabajan en el mundo de las finanzas. El artículo es accesible haciendo click aquí : ¿Qué nos cuenta el artículo? Básicamente, el artículo nos cuenta lo que la mayoría de nosotros sabemos o ya deberíamos saber: en ciertos sectores, el abuso de las condiciones laborales está a la orden del día, con la promesa de que, si sobrevives, un día empezarás a ganar dinero suficiente para reparar los primeros años de sufrimiento. Esto, repito, no es nuevo y, si no lo sabías, bienvenido al mundo real: es el modelo que, durante décadas, muchos han aguantado sin rechistar aunque, en los últimos años, con las sucesivas crisis económicas, ha empeorado, poniendo todavía más presión en la base de esa pirámide laboral donde, de una forma perfectamente definible como "darwiniana", sól
Sigue leyendo

Tener un coche en Holanda

Buenas, Una de las ventajas (o desventajas, según se quiera ver) de empezar a desplazarse a distancias medias de forma regular es que, llegado el momento, tienes que plantearte dos opciones: 1. Transporte Público. 2. Transporte Privado. Quienes me conocen saben de mi amor por el primero: en este país, además, literalmente tienes un tren, metro, tranvía o autobús a una distancia relativamente pequeña, lo cual es un lujo asiático. El problema con el transporte público es la velocidad, el precio y las conexiones: no sé porqué pero mientras que en otros países, por poner un ejemplo, el metro vuela, aquí en cambio se lo toma más tranquilo, lo cual hace que, relativamente pequeñas distancias lleven comparativamente más tiempo que en otros lugares (en especial también por la cantidad de paradas y porque, curiosamente, este es el único país que conozco donde el metro se retrasa más que los autobuses). El transporte privado te ofrece más flexibilidad y, en mi caso, unas
Sigue leyendo

Bernard Tapie, Thierry Ardisson y el idioma de Molière

Imagen
Buenas: El nombre de la persona que da título a este post hoy probablemente no te sugiera nada: no te preocupes porque, a menos que tengas una cierta edad y/o tengas afinidad o cercanía a la cultura y al mundo de los negocios galos, es lógico que ese nombre no te diga nada... Por eso, quizás, me apetece escribir sobre esa persona y, como en muchos de los artículos que escribo, hay un cierto componente de aleatoriedad, un cierto componente de inevitabilidad y, sobre todo, interés hacia algún aspecto de alguna historia que me llame la atención... Empecemos por el principio, que si no es un lío... He vivido en Francia y hablo francés: esto es así, no hay más discusión... Desafortunadamente, a lo largo de los años, viviendo en otros países y usando otros idiomas, la lengua de Molière ha ido poco a poco perdiéndose en el subconsciente de mi cabeza y de mis recuerdos, quedando cada vez más relegado a pequeñas frases cordiales al encontrarse a una persona de un territorio franco-parlante, en
Sigue leyendo

"No hay huevos" - La compra de Twitter por Elon Musk

Buenas: Hacía un montón que no me sentaba a escribir... Lo sé: en realidad, el propósito del blog fue siempre utilizarlo como una válvula de escape para hablar de cosas que me interesaban o que me sucedían, pero este año ha sido "peculiar" por muchos motivos (no sé si quiero escribir al respecto: uno nunca sabe quién lo lee y quién puede atar cabos). Dicho lo cual: vamos al turrón, que la cosa empieza fuerte... Hace unos meses, el multimillonario Elon Musk empieza a comprar acciones de Twitter: lo hace en grandes cantidades y, eventualmente, traspasa el límite por el cual debe informar a la comisión de valores bursátiles estadounidense (la "Stock Exchange Commission", conocida por sus siglas SEC). La cosa empieza mal... De momento, la cosa empieza mal porque, cuando se producen compras a grandes escala, se debe declarar a dicha comisión, por cuanto eso puede afectar al precio de las acciones y la dinámica de compra y venta de las mismas... Para los que no sepan el p
Sigue leyendo

ChatGPT - Ahora empieza lo bueno

Imagen
Buenas: Hace unos años, en los albores de la revolución digital que estamos disfrutando en estos últimos meses, Google estrenó un tipo de librería para programar cosas donde se podían hacer todo tipo de historias para establecer mecanismos de aprendizaje de máquinas. Aquella librería se llamaba (y se llama) " tensorflow " y en su momento fue una revolución para aquellos que buscaban fórmulas para poder, a partir de un cierto grupo de datos, explorar proyecciones de los mismos para predecir cosas a través de la automatización de un programa informático. Recuerdo que, en aquel entonces, una de las cosas que pensé, al ir leyendo algunas de las posibles aplicaciones, que si pudiera coger todo mi correo electrónico corporativo (años y años de cientos de miles de mensajes cruzados con gente de la organización para la que trabajo) y cargarlo en un tensor para analizarlo, estoy seguro de que podría crear un procedimiento para responder automáticamente a los mensajes que podría recibi
Sigue leyendo