Haciendo open data en modo low cost

Mil seiscientos millones de euros y cinco mil puestos de trabajo.

Esa es la cifra de volumen de negocio y empleo que, según el Proyecto Aporta, generó durante 2010 el sector infomediario, entendiendo como tal al conjunto de empresas que generan aplicaciones, productos y/o servicios de valor añadido destinados a terceros a partir de la información del Sector Público.

Es decir, empresas que basan su modelo de negocio en información proveniente de modelos open data, de la apertura de datos públicos regulada por la Ley 37/2007.


Situación actual de los planes open data 

Hay una enorme cantidad de planes para abrir los datos públicos, casi tantos como Administraciones, y en muchos de los casos el modelo se basa en la creación de un portal adhoc que sirva como repositorio de los datos públicos en el ámbito de actuación de la Administración que lo pone en marcha.

Se trata de construir una aplicación -un portal de open data- que recolecte periódicamente la información desde el origen y la publique para su consumo por ciudadanos y empresas. Es una especie de agregador de noticias pero con información pública.

En este modelo la información no se consume directamente de la fuente primaria -es una copia de la información original- lo que, sin duda, no incide muy positivamente en la calidad del dato. Además, el trasiego de datos genera costes extras a la Administración, tanto para el paso periódico de datos en sí como para la adaptación de las interfaces cada vez que cambian las aplicaciones o bases de datos de origen. Eso, en el mejor de los casos en el que hay una fuerte coordinación interna en la Administración y el responsable del portal de open data es informado de que los datos de origen han cambiado -en calidad o formato-.


Un nuevo modelo low cost de dato abierto

La tecnología nos brinda la capacidad de hacer aplicaciones internas -de intranet- que a la vez pueden tener una cierta capacidad de visibilidad externa en Internet. ¿Y si se diseñasen las aplicaciones de la Administración de forma que expusieran los datos públicos por sí mismas? Con ese modelo, no harían falta los portales de open data porque todas las aplicaciones internas de la Administración expondrían su información (obviamente, solo la que sea pública).

De hecho, bien pensado, los servicios web (o el mecanismo que se determine para compartir la información) podrían reutilizarse de la base de los que la Administración ya está obligada a implementar para la interoperabilidad con otras Administraciones, siempre con las debidas cautelas de protección de la información, como es lógico.

Se obtendrían dos ventajas muy importantes.

• Las administraciones públicas harían lo que Google denomina dog fooding, esto es, comerse su propia comida para perros. Si el dato no tiene utilidad para el consumo interno de la propia Administración, bien por el dato en sí o bien por el formato en el que se sirve, es más que discutible que el dato tenga validez para terceros.
  
  Hace unos días releía un interesante artículo de un colega que decía, aunque en otro contexto, lo siguiente: cuando decides dejar de hacer, y dedicarte sólo a pensar cómo se hacen las cosas, pronto descubres que la mejor forma de pensar es haciendo y si olvidas cómo se hace, pronto olvidas cómo se piensa. Si quien sirve el dato no es a su vez consumidor es enormemente complejo que lo sirva en un formato adecuado, simplemente porque no se sufrirá a sí mismo. De hecho, no cuesta demasiado encontrar portales públicos de open data con datasets que parecen estar pensados únicamente para hacer ruido mediático y llenar el portal y no para ser reutilizados.

• Aumentaría la eficiencia y la calidad del dato ya que no habría copias de datos a terceros portales. El dato vendría en tiempo real de la aplicación interna de gestión por lo que, por pura necesidad de la Administración, el dato sería siempre cierto y el modo de generación sería el más eficiente posible.
  
  Este punto es especialmente importante ya que cuando los presupuestos para el desarrollo y mantenimiento de aplicaciones se recortan es probable que lo primero que se caiga sean las aplicaciones que no son core para el funcionamiento interno de la Administración. Las aplicaciones de open data estarán en el punto de mira para el recorte lo que provocará una espiral de desconfianza: ninguna empresa infomediaria en su sano juicio diseñará un modelo de negocio sobre información que podrá estar o no estar disponible de forma discrecional.
  
  Sin embargo, si la aplicación interna de gestión y la de open data son la misma no habrá presupuesto extra para su mantenimiento. El dato siempre estará disponible y al día sin coste adicional.

El objetivo del open data

La Administración debería centrarse mucho más en compartir toda la información pública disponible (tiene mucha en cantidad y calidad) y no tanto en la creación de portales para su publicación. Fundamentalmente, porque lo relevante es abrir cuanta más información mejor y no que ésta sea publicada en el portal de tal o cual Administración.

Nadie más que la Administración puede hacer pública su información pública (obvio) pero cualquiera puede hacer -incluso los propios infomediarios- portales de integración. Es más, Google -y otros- demuestran una vez tras otra que son mejores agregadores de información que la más eficiente de las Administraciones que pueda imaginarse.

Entonces, ¿por qué empezar la casa por el tejado anunciando portales de open data a bombo y platillo?

www.tonsofit.com

Las formas de pago que vienen

Eran legión quienes durante la burbuja de las punto com, a principios de siglo, pregonaban el final del dinero tal y como lo conocemos, la muerte de las tarjetas de crédito tal y como las entendemos hoy o incluso la desaparición de Visa o Mastercard en favor de nuevos actores como PayPal.

Todo sería digital, totalmente digital y los nuevos tiempos nos traerían nuevas formas de ver el mundo. Un nuevo mundo -Internet- en el que parecía que las tarjetas de crédito y el dinero tradicional no encajaban.


El dinero y el conservadurismo

El dinero no es metal, es confianza impresa*. Existen muy pocas cosas más cobardes y conservadoras que el dinero porque a las personas, por diseño genético, no les gusta el cambio y menos aún si lo que cambia es algo que incide en su situación económica y, por tanto, afecta a su bienestar presente o futuro.

Cuando Bank of America lanzó las tarjetas de crédito en la década de los sesenta los políticos e intelectuales de todo signo y condición las tildaron de poco solidas e inseguras. La BankAmericard permitía a los ciudadanos tomar prestado dinero de ganancias futuras -crédito-, al instante, en cualquier lugar del mundo y únicamente con un trozo de plástico, algo que algunos creían que llevaría al colapso financiero.

Hoy sabemos que la confianza en algo o alguien está directamente relacionado con la cantidad de oxitocina -una hormona mucho más conocida por otra de sus funciones- que nuestro cerebro es capaz de sintetizar y poner en el torrente sanguíneo. Hay experimentos que demuestran que las personas se vuelven más confiadas, incluso irracionalmente confiadas, cuando inhalan esta hormona.

A la banca le ha costado mucho tiempo, dinero y esfuerzo generar en sus clientes la suficiente oxitocina como para convencerles de que el pago mediante tarjeta de crédito era seguro. Han sido muchos años de asumir fraudes con tal de no aparecer en las portadas de los periódicos.

Y en ese contexto, la explosión de Internet se vio como una descomunal amenaza, un nuevo escenario para el que las tarjetas de crédito no estaban preparadas. Surgieron conceptos como el ciberdinero, los intentos de lanzar monedas virtuales -algo así como monedas neutras de Internet-, los métodos de pago como PayPal o más recientemente los Facebook Credits.

Pero todos ellos se han topado siempre con el mismo escollo: en un tiempo en el que el dinero no representa reservas de oro sino simplemente confianza, todos esos medios de pago encuentran que su aceptación masiva se ve frenada por su falta de seguridad. Y da igual que su falta de seguridad sea real o solo percibida, las dos apalean a la confianza que es la base del dinero.


Compañías de tecnología y financieras uniendo fuerzas

Pero por mucho chip EMV que se ponga en los plásticos, algo de cierto había en lo que nos contaban de que las tarjetas de crédito no estaban preparadas para la nueva era. Y eso lo han sabido leer muy bien algunas empresas que han corrido para tomar la iniciativa en el pago mediante NFC.

El teléfono móvil con soporte para NFC será, probablemente, la base de los medios de pago de los próximos años. Podremos (podemos ya de hecho) pagar con el móvil, simplemente acercándolo al lector y tecleando una clave en el propio teléfono. Parece que tras la cámara de fotos, la PDA, la agenda, el GPS,... el teléfono móvil va camino de canibalizar un nuevo gadget: la tarjeta de crédito.

La unión de Google, Mastercard y Citi para conformar Google Wallet ha sido la primera acción coordinada en torno a la tecnología NFC pero no será la última. Hace falta mucha tecnología e innovación en un sector que empieza a mostrar dinamismo -en este caso eso lo aporta Google- pero donde a la vez sigue siendo fundamental mantener la confianza -eso lo aportan Mastercard y Citi-. Paulatinamente irán entrando más bancos, más empresas tecnológicas e incluso compañías de telecomunicaciones. Y tras ellas -o a la vez- vendrán los merchants como Coca-Cola que ya permite el pago mediante NFC en miles de sus máquinas o Renfe que ya ha habilitado 300 tornos con NFC para el pago en billetes de Cercanías.

Basta echar un vistazo a la lista de miembros del NFC Forum (Visa, Mastercard, American Express, Microsoft, Nokia, Samsung, Sony, LG, Google, Intel, Motorola, Barclays, RIM..., por cierto, sorprende no ver a Apple) para darse cuenta de que esta tecnología ha venido para quedarse.

Con un poco de fortuna en la puesta en marcha, se trata del intento definitivo de conceptos fracasados o con escaso éxito como el monedero digital, las tarjetas para el transporte público o los dispositivos prepago de las máquinas de vending, al tiempo que potenciará la adaptación tecnológica de la tarjeta de crédito tradicional. Incluso hay quienes exploran un sinfín de nuevas posibilidades como la sustitución de las llaves (y las smartcards) para la apertura de puertas o su uso en procesos de firma electrónica. Tal vez incluso veamos cómo pasa por encima de la aberración tecnológica que supone el uso de certificados digitales de usuario.

Parece que finalmente los agoreros de la burbuja punto com tenían algo de razón. Algo si va a cambiar: no tendremos que llevar una tarjeta de crédito, bastará con el teléfono móvil. El tiempo dirá si son capaces de hacernos generar la suficiente oxitocina como para confiar en el móvil todo lo que ahora confiamos en nuestro pequeño trocito de plástico.


www.tonsofit.com

* Niall Ferguson. El triunfo del dinero.

Crónica de un ataque

Desde hace ya algún tiempo, cada vez que leo sobre un ataque a un sitio web pienso en lo que deben estar pensando y sintiendo sus responsables.

Ahora, tras vivirlo en primera persona, creo que lo sé y hay tres reflexiones que me gustaría compartir.


1ª. ¿Cuánto cuesta un ataque?

Seguramente habrá quien piense que soportar un cíber-ataque por denegación de servicio basado en fuerza bruta resulta inocuo económicamente, pero nada más lejos de la realidad.

En primer lugar hay que valorar los costes energéticos. Hay una relación directa entre el consumo energético de los sistemas del datacenter y la carga que éstos deben soportar. La electrónica de red, los firewalls, los servidores de aplicaciones, los frontales web, los motores de base de datos, el almacenamiento y su consiguiente refrigeración consumen más y más energía a medida que aumenta la carga.

Y la cifra no es despreciable; un datacenter de tamaño medio consume en torno a 250.000 vatios/hora (por supuesto, muchísimo más si hablamos de grandes datacenters). Para poder entender la magnitud de la cifra, decir que es equivalente al consumo máximo de un edificio de viviendas de 20 plantas con 4 viviendas por planta. Cada minuto que el datacenter está al máximo de carga equivale a un importante incremento en la factura energética.

Pero aún siendo el gasto energético relevante, se queda realmente pequeño cuando se compara con los aumentos de potencia de TI para soportar hipotéticos futuros ataques.

Si en lugar de hablar de infraestructuras de TI se hablase de autopistas nadie en su sano juicio plantearía nuevas vías con cincuenta carriles para absorber la operación salida de verano. Como es de esperar, las infraestructuras de TI no se diseñan para soportar una carga infinita sino para soportar un número de veces limitado (5, 10, 20, ¿100?,...) la carga máxima estimada.

Y cada vez que se produce un ataque de denegación de servicio los responsables de la infraestructura atacada sienten la inmediata tentación de multiplicar por cinco la potencia de procesamiento disponible. Y esos aumentos de potencia suponen una inversión inicial enorme en hardware (decenas o centenas de miles de euros), otra a continuación en software (muchos sistemas basan su sistema de licenciamiento en la potencia de las máquinas), y otra última en forma de mayor consumo energético.

Y lo peor de todo: habrán construido su particular autopista de cincuenta carriles con el coste que ello supone pero ni aún eso les garantiza salir airosos del siguiente ataque.


2ª. Atacar un sitio web es muy similar a atacar una oficina tradicional

Algunas empresas no tienen presencia física, son ciento por ciento virtuales. Otras muchas tienen una parte importante de su negocio depositada en el éxito de su sitio web. Para ellas tener su sitio web fuera de línea puede suponer importantísimos costes económicos, bien sea por falta de ventas, por daños a su imagen pública u otros.

En el caso específico de una administración pública, y más en el de un ayuntamiento por ser la administración más cercana al ciudadano, su sitio web es algo muy similar al mobiliario urbano. Su web, construida con dinero público, permite la tramitación administrativa de ciudadanos y empresas, pero también permite otras cosas mucho más terrenales como reservar una pista de tenis o baloncesto para el día siguiente, renovar un préstamo de un libro en su biblioteca, consultar la agenda cultural de su ciudad,... En definitiva, constituye lo que podría llamarse el cíber-mobiliario urbano.

Sin embargo, la percepción ciudadana y mediática es muy diferente frente a hechos razonablemente similares. Se responde de forma muy diferente al hecho de quemar un contenedor de recogida de basuras y al ataque de un sitio web pese a que ambos suponen una merma de servicios ciudadanos y tiene un importante coste para las arcas públicas.

La legislación norteamericana habilita el uso de fuego real para responder a cíber-ataques, lo que a todas luces parece excesivo pero también es anormal el que los ataques a sitios web se publiquen en las redes sociales con absoluta impunidad. En algunos casos se pueden leer tweets que claramente incitan al ataque, en ocasiones incluso lanzados desde cuentas de Twitter asociadas a empresas.


3ª. El término cíber-activista

La última reflexión que considero relevante es la cobertura que los medios de comunicación dan a los cíber-ataques y más en concreto a quienes los realizan. Éstos son denominados cíber-activistas, posiblemente, en la búsqueda de similitud con los jóvenes de principios del siglo XX que viajaban a otros países para participar en guerras. Lo hacían únicamente por ideología, algo que, probablemente, terminó con la segunda guerra mundial.

Y es cierto que participan personas de todos los lugares. Cuando se geolocalizan las direcciones IP del ataque (los ataques actuales rara vez utilizan equipos zombies, por lo que suelen ser direcciones IP reales) se observa que muchos accesos provienen de lugares que nada tienen que ver con el problema que origina la protesta. Es decir, hay una cierta carga solidaria o ideológica similar a la de los jóvenes de principios del siglo XX.

Sin embargo, hay algo que falla en la denominación de cíber-activista. Si se da por buena la segunda reflexión, la de equiparar los cíber-ataques con los ataques a instalaciones reales, por reducción a lo absurdo habría que considerar activista (sin el prefijo cíber) a quien destruye mobiliario urbano o cristaleras de locales comerciales durante las manifestaciones. No tengo claro que la opinión pública esté tan de acuerdo con esto porque, probablemente, un ciber-activista es otra cosa.


Die endgültige

Internet y las redes sociales son en sí mismas una enorme oportunidad para igualar la potencia y capacidad de llegada del mensaje de las grandes corporaciones con el de las pequeñas asociaciones o incluso con el de las personas individuales, tanto en cantidad y calidad; Wikileaks es un claro ejemplo de ello. Pero mal vamos si se confunde esa potencia con la capacidad de realizar impunemente en el mundo cíber cosas que en el mundo real serían claramente punibles.



Enlaces relacionados:

     › Seguridad TI: ¿hemos perdido la batalla?
     › 8 lecciones de TI aprendidas con Wikileaks

www.tonsofit.com


* Nada de lo aquí expuesto juzga en modo alguno la razón -o su ausencia- para protestar contra medidas de empresas o instituciones que se consideren injustas. Lo único que analiza es si los cíber-medios para canalizar la protesta son adecuados.