“Ley Lassalle”, ni la economía lo justifica (tampoco a la Sinde-Wert)

Para no agobiar con los números, el siguiente gráfico comparativo de volúmenes de negocio por industrias, en millones de euros:

Después de dos años de mucha genta contra la Ley Sinde/Wert dos años, explicando que no funcionaría, el PP la aprueba. Un año después, verificado el fracaso, pretenden modificar la LPI con lo que conocemos como “Ley Lasalle”. Otra vez insisten en “proteger” a un sector industrial (¿cultural?). Este nuevo borrador, de nuevo, entra en conflicto con derechos fundamentales (privacidad de comunicaciones, derecho a defensa, juicio justo) y seguramente producirá efectos negativos en los negocios digitales básicos (como explica Julio Alonso en Diario Turing).

El borrador de la nueva LPI no mejora derechos fundamentales, chirría con ellos.

Tampoco crea o amplía derechos individuales, los reduce.

Su única justificación es la de “mejorar la economía de una industria”, en detrimento de otras.

Como ejercicio intelectual simple, ubique en el gráfico a qué industrias podría favorecer, a cuáles podría perjudicar, y el volumen de negocio (y capacidad de generar empleo) de cada una de ellas. Si encuentra la justificación, me lo cuenta.

Fuentes de cifras

• INFORME 2010 DEL MACROSECTOR  TIC EN ESPAÑA
• Sinde y el 2% del PIB de la industria editorial
• Conviene recordar algunos datos sobre la propiedad intelectual y la ley Sinde

SpokenPic liberado

Resumen para vagos: el código liberado de la app SpokenPic está en Github. Punto

Hace unos días fue la presentación del Galaxy S4, entre otras cosas mostraron su “novedosa” y “exclusiva” aplicación para poner voz a las fotos, muy similar al SpokenPic (prometo que sonreía, no hay mejor halago que una gran multinacional tecnológica haga algo igual casi un año después, y que lo presenten en un gran cutre show como una “innovación”). Eso me hizo acordar que habíamos prometido liberar el código,  que estaba prácticamente abandonado.

El SpokenPic fue un fracaso, sin paliativos[*]. Aunque tiene buenas críticas y estrellitas en Google Play, sólo tuvo 2.000 descargas, y ahora hay sólo 600 instalaciones activas. Aunque nos llevó dos meses de trabajo a tope (no sé cómo sobreviví haber pasado tantos días durmiendo sólo 4 horas, y dándome de hostias con el Java, el API de Android, y hasta la documentación oficial errónea de la cámara), hasta con lanzamiento grupal emocionado (foto de la derecha), lo cierto es que no caló, y que no tuvimos tiempo para mejorarlo, ni siquiera en las funcionalidades que teníamos previstas (como la de clips con múltiples fotos). Visto en retrospectiva, fue el desánimo que nos desmotivó.

Leer más…

“Particionado funcional” económico en Amazon RDS… y cachea todo ¡estúpido!

El miércoles pasado di una charla de cómo tenemos Menéame en Amazon AWS. Iba a explicar, al final de la charla, un truco de “particionado” [ver nota al final] económico, pero que no pudo ser: me tocó vivir en directo una saturación de la base de datos, producida por el nombramiento del nuevo Papa. Ahora explico cuál es ese “truco” de “particionado” económico y sencillo que sirve para ahorrar costes en RDS, y luego qué pasó y cómo solucioné la saturación de una de las bases de datos (de allí la frase “cachea todo ¡estúpido!”, el estúpido soy yo ).

La base de datos principal de Menéame está en MySQL sobre Amazon RDS, con Multi AZ, lo que significa que tenemos failback y failover over automático y desantendido si el master falla. Da mucha comodidad, pero también tiene su coste: se paga el doble (el tamaño que tenemos es el large).

Leer más…

Un par de bellezas de algoritmos distribuidos que deberías implementar tú mismo

Antes de irme a acostar pensé: “En vez de escribir quejas o de temas políticos-sociales, ¿qué tweet puedo dejar sobre temas de programación que entusiasme y sirva de algo a un programador”. Lo hice, pero luego pensé, son tweets a las 2:30 de la madrugada, los leerán sólo un par de insomnes frikis que no salen de marcha un viernes. Así que mejor lo dejo en mi blog (no pondré ningún enlace, todo está en Internet y es fácil encontrarlo con los nombres).

Este año me tocó dar Programación Concurrente y Distribuida, por lo que tuve que dedicar tiempo no sólo a aprender los algoritmos, sino a estudiarlos en profundidad para poder explicarlos, responder a todas las preguntas posibles, y además diseñar las prácticas en laboratorio. Así, de tanto estudiarlos llegó un momento que dije ¡hostia, que guapo y simple es!. Me pasó con el algoritmo de Chandy-Lamport para ”snapshots” de sistemas distribuidos.

El estado de un sistema distribuido en un momento dado es imposible de obtener, ni tiene sentido. Pero sí que tiene encontrar un “estado consistente”. Este estado se refiere a qué mensajes se enviaron desde cada nodo (u ordenador), y qué mensajes estaban en tránsito en cada arista (o canal de comunicación). Es lo que hace el algoritmo de Chandy-Lamport. Si estás flojo en algoritmos distribuidos, o no recuerdas, o piensas que es muy complicado, te recomiendo que lo implementes. Es una “belleza”, en muchos sentidos. Pero mejor que lo saborees tú mismo

Alerta

Implementar y probar algoritmos distribuidos en un único ordenador suele ser un coñazo. Hay muchos sistemas, pero hay que aprenderlos. Yo encontré que lo mejor es un sistema de paso de mensajes distribuidos, pero usándolo desde un único ordenador. Creo que no hay sistema de mensajes más simple, y con librerías para casi todos los lenguajes, que el Beanstalkd. Te lo recomiendo. De paso aprendes los conceptos básicos de estos sistemas, si es que no lo sabes. Recomendación: que cada nodo tenga un canal (o tubería en terminología beanstalkd) para recibir mensajes hacia él, es lo más simple, y simula perfectamente un sistema distribuido (cada nodo puede ser un proceso, o un hilo, tanto monta, siempre que las variables de los algoritmos no sean compartidas).

Quizás es recomendable implementar antes el algoritmo de “terminación distribuida” de Dijkstra-Scholten. Se usa la misma estructura de procesos y colas de mensajes, es más sencillo de entender (creo), y también es un algoritmo guapo.

Si implementas esto, y los entiendes, será como andar en bicicleta, no te olvidarás más. Y te gustará más la informática

No es “censura”, es la fragilidad del negocio periodístico

El Mundo de Baleares sacó varios artículos sobre la crisis de Orizonia y la participación de Globalia, por lo que Globalia tomó la decisión de dejar de anunciarse en ese medio. El artículo de Agustín Pery está muy bien, reconociendo el derecho a Globalia a decidir dónde poner su dinero, y que no es comparable con lo que hace un político con dinero público. Pero también relata:

Nada más conocer la decisión de la compañía, algunos compañeros de redacción se apresuraron a calificar la actuación de Globalia de censura y no pocos me recordaron los infaustos tiempos de Maria Antònia Munar en el Consell de Mallorca.

Aunque a estas alturas ya no debería hacerlo, este victimismo y falta de análisis crítico del colectivo de periodistas no deja de sorprenderme. No entiendo cómo algunos pueden pretender que una empresa privada no sea capaz de decidir como mejor le venga en gana si poner dinero de publicidad en uno u otro periódico [privado].

Sí, es perjudicial para el periódico, y el periodismo en general, que las grandes empresas eliminen la publicidad por las críticas, haciendo aún más difícil el periodismo independiente, y la supervivencia del medio. Pero no es problema de los anunciantes, es problema de la propia fragilidad del negocio propiciado por las propias empresas periodísticas.

Desde hace varias décadas el negocio de los medios, sobre todo periódicos, pasó de estar sostenido en gran parte por numerosos lectores, a que una parte cada vez mayor de esos ingresos sean de grandes anunciantes: la administración -dirigida por los políticos de turno-, y las grandes empresas. Nadie está libre de estas culpas: los anunciantes que no quieren críticas, y los medios que ofrecían el “no disparar contra el anunciante” y vender así a mejor precio sus anuncios.

Con la aparición de los medios on-line, el problema sólo se agravó, se borró de un plumazo el ingreso de los lectores, el precio de la publicidad web es muy baja, y conseguir “grandes anunciantes” es una cuestión prioritaria. Por supuesto, hay muchos menos grandes anunciantes que lectores, por lo que la supervivencia de los medios se basan casi exclusivamente en conseguir que un banco, telefónica, eléctrica o aseguradora pague precios premium.

Independientemente de la honestidad del anunciante, que puede o no exigir contraprestaciones de “no dispararles”, esa dependencia crea ya un hábito de autocensura difícil de evitar, y, sobre todo, una fragilidad enorme a la empresa: su supervivencia no depende de las decisiones independientes y distribuidas de miles de lectores y anunciantes, sino de unas pocas: los directivos de unas pocas empresas.

La fragilidad es la única responsable de este problema, no la censura. Esa fragilidad fue incrementándose con los años, aunque la época dulce de subvenciones del estado (por vías directas -publicidad institucional-,  o indirectas -anuncios de grandes empresas con negocios con el estado-) ayudó a ocultarla, convenientemente. Como la anécdota del pavo, que creía que su buena vida de engordar sería eterna, ya que tenían un cuidador que parecía feliz dándoles de comer… hasta que llegó el día de acción de gracias. Al pavo, como al periodismo, le apareció el “cisne negro” que creían tan poco probable, y no estaban preparados.

La solución para evitar que los “cisnes negros”  te hagan desaparecer es estar preparados, aumentando la robustez para aguantar el golpe. O mejor aún, aumentar la antifragilidad para poder obtener beneficios de esos eventos inesperados. Pero ha ocurrido lo contrario, en muchos aspectos, desde el sistema bancario, pasando por la burbuja inmobiliaria, hasta la situación de los medios.

Al hablar de “censura” no sólo se está tomando una postura victimista (¡no nos pueden hacer eso a nosotros!), también se están reclamando medidas intervencionistas (¡alguien debería hacer algo!), como subvenciones del estado, cobrar a Google, o leyes de copyright más restrictivas para los ciudadanos. Pero eso sólo aumentaría la fragilidad, y los llantos volverían en pocos años.

Si se pretende reducir esa fragilidad, hay que convencer a los lectores de la importancia de un buen periodismo, y que tengan ganas de pagar por ello. Es muy difícil, pero seguro que no se conseguirá con periodismo de baja calidad, con hacerse las víctimas de una injusticia del sistema, ni reclamando que el público -u otras empresas- tienen la obligación de mantenerlos, sólo porque son importantes para la democracia.

PS: Si te llamó la atención el uso de las palabras fragilidad, robustez y  anti fragilidad, te recomiendo este libro.

Respuesta al director de Change.org España

En lainformacion.com publican unas respuesta de Francisco Polo, director de Change España, que responde a mi apunte crítico anterior. Primero aclararé lo fundamental en temas técnicos, para que quede claro quién habla con pruebas, y quién suelta rollos vacíos intentando desacreditar al otro:

1. Sí es posible que una persona firme varias veces con correos electrónicos diferentes, sin que se verifique ni que los datos (ni siquiera el código postal) correspondan.
2. No hay verificación de los datos del formulario, ni siquiera para esos emails que ya tienen cuenta creada en change.org.
3. No hay verificación de que el email pertenece a la persona que lo pone, y que esa personas tenía la intención de “firmar”.
4. Sí es sencillo “firmar” automáticamente con un programa.
5. Aunque creador de la petición recibe la lista (en PDF) de “firmantes” (con los datos falsos y sin especificar el email), y que change.org está en EEUU, argumentan que no pueden hacerla pública por la LOPD. Hay algo que no cuadra ¿no?.

A las pruebas, breves y preparadas sólo para esta respuesta, me remito.

Repito, a las pruebas me remito.

Actualización (Feb 7, 10 hs): Por el comentario de Carles Mateu, he modificado el bot, y he logrado cientos de “firmas válidas” y confirmadas con una única dirección de email (desde ayer no puedo acceder a change.org desde la IP de casa, han puesto mis peticiones de prueba con captcha, y eliminaron esas firmas con gallir+xxxx, espero que sea porque solucionaron este problema en general).

Creo que son bastante claras: un programa que demuestra los 5 puntos anteriores (que ya había explicado en el apunte anterior). Solo puede negar estos hechos alguien que ni siquiera conoce en profundidad el funcionamiento técnica de la plataforma, no le interesa averiguar, y que se intente ocultar los serios problemas de poner un sistema de “firmas” en Internet (que no hace el mínimo de verificaciones para asegurarse por lo menos que la dirección de email es de la persona que lo puso. Un requerimiento básico).

Ahora paso a contestar cada una de las respuestas relevantes de Francisco Polo.

Ahora bien, si vuelves a poner todos tus datos, la plataforma te ‘loguea’.

No sé qué explica esto, pero tampoco funciona así, si no sería un problema de seguridad. Podéis probar que sucede “firmando” con mi email -por ejemplo-, os saldrá mi avatar (¿?), pero no estáis logueados con mi usuario.

 Una petición no se puede firmar dos veces, ni tres, ni cuatro con el mismo correo. Con lo cual, lo que se ha dicho este fin de semana es falso.

Falso, demostrado arriba. Y en el apunte anterior, no se hablaba de correos duplicados, sino de la misma persona con correos diferentes, y de hacerlo con programas. El primer programa con el que hice esas primeras generaba -adrede- direcciones muy poco probables agregando un número de varias cifras (más de 4) al final sólo para evitar llenar de “spam” a la gente que le coincidiera la dirección de email. Es muy fácil que coincidan direcciones como josemaria en gmail.com o mariagarcia en hotmail.com, o imaginaros que tuviese a disposición una lista de emails… no es nada complicado, también se compran, o se obtienen de “tu empresa”.

En este terreno nosotros tenemos un sistema de detección automática de ataques de spam. Cuando nuestro sistema aprecia que hay unas firmas de carácter continuado, generalmente desde una misma IP y siguiendo un patrón definido, lo detecta y las retira. Además tenemos sistemas manuales de comprobación. Comprobamos que no haya correos electrónicos extraños, o similares a los que utilizan para hacer ataques de spam, muchas firmas desde una misma dirección IP, etc. De hecho, en peticiones con tanto flujo mediático como puede ser la de la petición de la dimisión del PP, lo hemos pedido.  La respuesta de la comprobación manual fue que no había ningún indicio de ataque de spam. Con la mayor de las probabilidades podemos afirmar que las firmas que hay en esa petición son fidedignas.

El 100% de las peticiones de arriba no son “fidedignas”, además de demostrar que una persona puede firmar con muchos emails diferentes, como si fuesen “personas diferentes”, y que cuentan en el final. Tampoco hubo intervención manual, y no sé cuánto personal tienen para analizar cientos de miles de firmas.

En el caso de esta petición, hay “firmas fraudulentas”, la mía y de varias personas, pero siguen allí, y sin dar explicaciones. Responde como si estos casos no existiesen, roza el absurdo.

Nosotros no buscamos iniciar un proceso jurídico.

Ya, pero no se privan de contactar a todos los medios y agencias de noticias con titulares como Más de 700.000 personas firmaron la petición. Nadie firmó nada, y ni siquiera se puede asegurar que fueron todas “personas”, ni que los propietarios de las cuentas de correo siquiera hayan oído hablar de la petición.

Nosotros lo que hacemos es que después de firmar una petición el sistema te envía un correo electrónico de agradecimiento por firmar la petición. Si este correo se envía a una dirección inexistente, el mail rebota. Por lo que, entre cinco minutos y dos horas, esa firma falsa se retira.

Demostrado que se pueden usar emails diferentes, que son fáciles de generar “emails válidos” (imaginad que saque la lista de emails de mi buzón de entrada, puedo generar decenas de miles de “firmas válidas” en poco tiempo usando TOR (el ejemplo de arriba usa TOR, y ni detectan que sean IPs de TOR).

En el corro que envían tampoco hay un enlace para eliminar la “firma” de esa petición, solo para “anular” tu email (como creo que me pasó con gallir en uib.es del ejemplo).

En el caso de que tú introdujeras por ejemplo 20 correos electrónicos de gente que existe nosotros realizamos una comprobación manual y podemos ver que esos correos electrónicos provienen de la misma IP, entonces los retiramos. En el caso de que una persona firme por ti,

No lo he visto, ni explican cómo lo hacen, ni cuantas IPs diferentes tienen, por ejemplo, en sus peticiones más populares.

estamos ante un caso de “suplantación de la identidad”, algo que puede ocurrir en Twitter, Facebook… y que a nosotros nos ha pasado en un puñado de ocasiones desde la existencia de Change.org.

Ahora la culpa es de los demás, no de la debilidad de sus sistema de votos, diseñado específicamente para minimizar la “resistencia”, por lo que se fomenta este tipo acciones, que afortunadamente -¡oh, casualidad!- hacen subir los contadores. Además, no es suplantación de identidad, ni tiene nada que ver con Twitter o Facebook: se pueden poner datos falsos, y nunca hubo que confirmar ni un correo electrónico (como hacen todas las plataformas “serias”, desde Facebook hasta oiga.me).

Cuando eso ha ocurrido la persona se pone en contacto con nosotros y lo que hacemos es comprobar qué ha pasado. Si ha sido una verdadera suplantación, ayudamos a esa persona a hacer todas las comprobaciones y retiramos su firma. En el caso de que esa persona quisiera poner una querella contra quien ha suplantado su identidad, nosotros como cualquier otra organización, colaboraríamos con la justicia para esclarecer el caso.

Falso otra vez.

Todo esto comenzó porque detecté que usaron mi email para firmar la “famosa” petición al PP, es público, me respondieron (con excusas por Twitter y Google+), y me está respondiendo su director en un medio de comunicación. Pero no se pusieron en contacto conmigo para informarme nada de lo que había pasado, ni sé quién, dónde o cómo firmaron “en mi nombre” (esa y las demás que usaron también mi email). Otras personas también se quejaron de lo mismo, no he visto tampoco ninguna explicación sobre esas firmas falsas. Como si nunca hubiese ocurrido… exigen transparencia pero no dan ningún dato real, sólo excusas en el aire.

Si no tienes idea de la técnica, no publiques excusas tontas para desacreditar a un programador que te está indicando los problemas que tienes. No vaya a ser que se rebote y haga el programa para demostrarlo. En serio, es ridículo, y desperdiciamos tiempo todos.

“Firmas” falsas, falta de transparencia y controles en change.org, pero mucho autobombo

Actualización: Respuesta al director de Change.org España

Hace dos días me quejé públicamente de que en change.org cuentan como que “firmé” peticiones aunque no lo había hecho, incluso la tan mediática del millón de firmas por la dimisión de la cúpula del PP. En el blog Ciencias y cosas recogieron esa info y la ampliaron con más casos. En vez de reconocer el problema, me acusaron de mentir y no comprobar antes de acusar, por lo que hice un vídeo demostrando lo fácil que era. Aún así, responsables de comunicación de change.org España negaban lo evidente y ponían excusas ridículas, llegando a decir que hay que confiar en la honestidad de los usuarios, y que tiene medidas de seguridad para evitar las firmas falsas.

A pesar de lo expuesto, sigo apareciendo como firmante en peticiones que nunca firmé (de todas en la que aparezco como firmante, sólo voté la primera, de hace más de un año, por la ley de transparencia) sin que haya un mínimo control, y a pesar de que tengo usuario creado (por lo que el control es más sencillo, exigir que esté autentificado). Responsables de change.org España reconocieron que es un problema, que “alguien votó por mí” (aunque otros llegaron a decir que “tengo problemas de seguridad con mi email” [sic]), pero ante la petición que hagan pública la lista de votante  la respuesta fue que no les permite la LOPD. Podría ser, pero en ese caso tampoco deberían pasar, como hacen, la lista al que inició una petición. No es de la empresa, es un tercero sin relación, y aún así accede a los datos.

Es ridículo lo de exigir transparencia y no cumplirla. Es ridículo saber que se pueden hacer trampas de forma tan sencilla, y aún así seguir saliendo en los medios asegurando que “más de 700.000 personas firmaron” cuando:

• No es ninguna “firma”.
• No se hacen controles para minimizar los abusos.
• Hay evidencias de que hay “firmas” falsas, y lo reconocen (con la boca pequeña).
• No hay el mínimo de transparencia, ni en el código ni en la lista de “firmantes”, en un sitio que presume de acciones éticas.

Están engañando deliberadamente.

A pesar de ello, no se hizo nada, ni se dieron respuestas. Ayer domingo me puse a trabajar analizando los controles que hacen en la web al momento de “firmar” una petición. El resultado fue un bot que publiqué anoche, que es capaz de firmar decenas de veces por minuto (sólo depende de la red y velocidad de servidores, en el ejemplo puse un retraso deliberado, para no sobrecargar los servidorees de change.org). Cuando lo publiqué había llegado a casi 100 votos de una petición “de prueba” en pocos minutos, inmediatamente empezaron a reducirse, no sé si por los controles “a posteriori” (aunque el contador ya se había incrementado). Luego hice pruebas con otra petición (creada por Alejandra Ventura), y se llegó al objetivo rápidamente, desde una instancia de Amazon en Irlanda.

Es decir, se pueden hacer trampas fácilmente, por el propio diseño e implementación de change.org. Ellos lo saben perfectamente, aunque lo nieguen en público, hay suficientes evidencias,  se niegan a ser transparentes poniendo como excusa la LOPD (que es razonable) al mismo tiempo que se contradicen permitiendo que un tercero baja la lista completa en PDF, pero no cesan en el autobombo y ruido mediático hablando de “personas que han firmado”.

Si exiges transparencia y ética, comienza por dar el ejemplo. Sobre todo si ya hay personas que se están quejando de sus “firmas” fraudulentas, y tu negocio se basa en hacerte publicidad con titulares mediáticos gracias a  la indignación y desgracias de los demás.

Tampoco vale lo de justificar mentiras y trampas porque el objetivo de las campañas son peores, no puedes ir exigiendo ética, responsabilidad y transparencia con métodos que se saltan las tres. Por otro lado, como dice Nicholas Taleb:

Si ves fraude y no le llamas fraude, eres un fraude.