lunes, 27 de junio de 2011

¿Es Segura Internet? (III). Las armas de Jack Sparrow

En la primera parte de esta serie, abordamos los conceptos básicos de Seguridad en Internet, incidiendo en la importancia de que los usuarios conozcamos y pongamos en uso unas pocas buenas prácticas que hagan más difícil

Vimos en la segunda parte  que los atacantes pueden acceder a nuestros servidores web utilizando tráfico web estándar (http o https) y, si les damos la oportunidad, se aprovecharán de alguna vulnerabilidad de nuestros sistemas, equipos software base o aplicaciones para comprometer nuestra seguridad.

En esta última parte, de contenido más técnico, queremos responder a las preguntas:

¿Cómo consigue un pirata informático introducirse en nuestros sistemas informáticos? ¿Qué armas utilizan los hackers y con qué resultados?


Habitualmente, lo hacen utilizando como puerta de entrada nuestras aplicaciones Web.

El Top 10 de los ataques a aplicaciones Web
En la gráfica siguiente podemos ver los ataques más típicos a aplicaciones Web según el OWASP (Open Web Application Security  Project). Ver informe completo aquí.


El principal tipo de ataque es el de Inyección, que está asociada normalmente a la falta de verificación de los datos que introduce el usuario en sus interacciones a través de la Web, como veremos más adelante.

Tipos de ataque a aplicaciones Web

Vamos a describir algunos de estos mecanismos de ataque:
  • Inyección de SQL:Normalmente, en las páginas Web se nos pide introducir algún dato. La aplicación recoge el dato y ejecuta algún tipo de acción o comando, habitualmente sobre una base de datos SQL.

    Por ejemplo, en la página inicial de acceso, después de pedir al usuario introducir su nombre y  clave, la aplicación ejecutaría una sentencia sql del tipo: 
Select * from usuarios where usuario=$nombre and clave=$clave;

Donde $nombre y $clave contienen los valores introducidos por el usuario.

Si en la aplicación Web no hacemos una buena comprobación de los valores que introduce el usuario, este podría incluir caracteres de escape o especiales de forma que, al componer la sentencia sql, se podrían ejecutar acciones no deseadas en la base de datos o en el sistema operativo sobre el los que se ejecutan nuestras aplicaciones.
A modo ilustrativo, si el usuario introduce en los campos de la página web los valores:

            Nombre=Andres
Clave=cualquiera’;drop table usuarios;--

La sentencia SQL que se ejecutaría finalmente sería :

            Select * from usuarios where usuario=’Andres’ and clave=’ cualquiera’;drop table usuarios;--‘;

Lo que daría como resultado el borrado en la base de datos de toda la tabla de usuarios!!!!

(Notese que el caracter ; suele interpretarse como separador entre dos comandos SQL, mientras que el caracter -- suele ser empleado para comenzar un comentario. Esto puede variar según la base de datos y/o el sistema utilizado).

De forma similar se podrían realizar acciones más dañinas y sofisticadas.

  • Cross site scripting (XSS):
Es un tipo de ataque de inyección consistente en incluir un script  en un campo de la aplicación, en un parámetro o en una variable. En muchas ocasiones, el comportamiento normal de  la aplicación es reflejar o reproducir los datos que el usuario introduce.

Si la aplicación no hace una comprobación correcta de lo que se introduce en los campos, en parámetros de las URLs o en las variables, y lo que introduzco es un código en Javascript, el navegador del usuario lo ejecutará. 

Realmente, no es una vulnerabilidad que afecte a nuestro servidor web. A lo que afecta es al comportamiento del navegador. Este tipo de ataque se ha utilizado para aparentemente alterar la fotografía de alguno de nuestros políticos en la web corporativa. La foto estaba bien en la Web, pero lo que veía el usuario en su navegador era la página oficial “alterada”.

Sin embargo, no hay que subestimar XSS ya que las posibilidades de utilizarlo para alterar el comportamiento de la web , o de capturar o alterar datos, son casi infinitas y la mayor parte de las webs más conocidas y utilizadas  (redes sociales, periódicos, fabricantes software) son vulnerables a este tipo de ataques . 

  • Cross site Request Forgery (CSRF):
Es un poco lo contrario a XSS. En este caso, el atacante intenta inyectar una petición a la aplicación como si fuera el usuario real. De hecho, la petición la genera el propio navegador del usuario.

El  ataque debe  realizare mientras está activa una sesión . Por ejemplo, si tenemos la costumbre de abrir gmail y dejar la sesión activa todo el día, esto facilita este tipo de ataques.

El atacante tiene que forzar a la víctima a realizar una petición preparada por él.

Esto se puede hacer de la siguiente manera. Mientras el usuario está conectado a su banco, en otra pestaña accede a una web comprometida (en la que por ejemplo, se muestra información atractiva sobre depósitos u ofertas bancarias).

Si el usuario pincha en un enlace de esta web, se genera una petición válida al banco sin saber que el usuario lo advierta. El banco, por su parte, lo considera una petición válida, ya que el usuario se ha identificado correctamente.

Los bancos se protegen de este tipo de ataques añadiendo validaciones adicionales a las operaciones más críticas, como solicitar un código o firma de comprobación adicional (a veces recibido vía SMS)  para autorizar transferencias.

Vamos a pasar a continuación a ver qué medidas pueden adoptarse para protegernos de los ataques de los  piratas modernos.

Evitando a Jack Sparrow

Como resumen a lo que hemos visto hasta ahora, hay dos tipos de aspectos a tener en cuenta en la Seguridad Web: 
  • Los relativos a la seguridad del entorno sobre el que se asientan las aplicaciones que desarrollamos (comunicaciones, sistemas operativos, bases de datos, lenguajes de programación, Servidores de aplicaciones y Web, Gestores de contenido, etc)
  •  Los específicos a los controles que debemos realizar en nuestras aplicaciones Web. 
Las medidas a adoptar deben cubrir ambos aspectos:

·     Actualización del software de base: Sistemas operativos, servidores web, servidores de aplicaciones, bases de datos, etc.

Es algo básico, pero no por eso menos importante y muchas veces olvidado. Debemos utilizar las últimas versiones estables del software utilizado para nuestros servicios web y actualizarlas constantemente.

Esto evita tener vulnerabilidades conocidas que pueden permitir a un hacker explotar debilidades conocidas.

·    Dar la menor información a los posibles atacantes sobre qué sistemas utilizamos en nuestra plataforma web.

Los ataques son más sencillos si el atacante identifica el  sistema operativo, servidor web, bases de datos y  lenguajes de programación utilizados.

Las medidas concretas a adoptar comprenderían:
    • Ocultar en las cabeceras html y en general del código de nuestras  páginas web aquellos datos que puedan dar pistas sobre qué sistemas utilizo.

      Ver el código fuente de nuestra página web es algo que cualquier navegador web permite. Un hacker experto puede buscar en el código referencias a productos utilizados, sistemas operativos, versiones de bases de datos, etc.

      Por ejemplo, si en el código de nuestra página se encuentra algo similar a:

                    "contentviewer_WAR_alfresco_packportlet_INSTANCE_K5zv....

      aunque no entendamos el código, vemos que hace una referencia a un producto en concreto, Alfresco, que es un conocido gestor de contenidos. Con esta información, un hacker buscaría debilidades conocidas y documentadas de este producto para iniciar un ataque dirigido.
    • No utilizar variables que den pistas e las tecnologías de desarrollo utilizadas (ej PhpSession, errormysql, etc)
    • eliminar mensajes de error en los que se indiquen direcciones IP o tecnologías utilizadas,
    • eliminar metaetiquetas que indiquen los productos utilizados o la empresa que ha diseñado la web.
    • Eliminar los comentarios de los programas.
    • Eliminar directorios y contenidos conocidos de las distribuciones estandar del software utilizado.
  • No confiar en las comprobaciones que se realicen en el cliente web (ej. JavaScript). El usuario puede guardar la página web en local, modificarla y enviar datos no validados. Por lo tanto, cualquier valor que recibamos del navegador, debe ser comprobado y validado en el servidor web. 
  • Utilización de Firewalls de aplicación web.
Los firewall estándar no sirven de protección para los servicios web. Únicamente restringen el tráfico a los puertos 80 y 443, pero los ataques suelen producirse sobre el tráfico Web permitido.
Los firewalls de aplicación web permiten  proteger  recursos de nuestro servidor web con vulnerabilidades conocidas.

  • Configuración de IDS (Sistemas de detección de intrusos) para detectar ataques sobre nuestra  infraestructura Web.
  • Realizar auditorias web.

    Los logs pueden permitir identificar comportamientos extraños o no deseados de los usuarios. Suelen utilizarse después de producirse un ataque pero su uso debe ser principalmente preventivo. Es conveniente planificar la revisión de logs como una tarea más de cada día.
  • Formar a los desarrolladores en seguridad Web.
Logotipo del OWASP
Los desarrolladores aprenden todo tipo de técnicas y metodologías, pero frecuentemente se olvidan los aspectos de seguridad como parte de esta formación.

Solo hay que pensar que, en cualquier producto software comercial se corrigen varias vulnerabilidades cada mes. ¿Cuántas vulnerabilidades se corrigen en  las aplicaciones que desarrollamos in house?

Como fuente de conocimiento e ideas para mejorar la seguridad de las aplicaciones, se puede consultar los diferentes recursos que ofrece la web del proyecto de seguridad de aplicaciones web  http://www.owasp.org/.


La regla del 90%

Desgraciadamente, en este caso, las probabilidades van en nuestra contra. Podemos asegurar un 90% de nuestros equipos y aplicaciones web adoptando todas las medidas recomendadas. Sin embargo, a un atacante le valdría  con encontrar un único agujero  en ese 10% que hemos dejado sin proteger, para comprometer nuestros sistemas.

Conclusiones

Con esto finalizamos esta incursión por las aguas de la seguridad Web. El objetivo de esta serie de posts ha sido únicamente el de concienciar sobre la importancia de la Seguridad de las Aplicaciones Web.

La seguridad, en general, es un mundo técnicamente complejo y difícil de hacer comprender a la alta dirección, ya que supone que los proyectos  requieran una mayor inversión en tiempo y dinero para finalmente no poder garantizar una seguridad completa (dicen que las palabras seguridad y completa no deberían estar nunca escritas en la misma frase...).

Sin embargo, es un esfuerzo necesario, particularmente en los aspectos de la seguridad web. Si nos fijamos, hay una tendencia en todas las organizaciones a que todas nuestras aplicaciones, internas y externas,  estén basadas en tecnología  web, lo que aumenta la importancia de las medidas de protección a las que nos hemos referido.

Finalmente, incidir de nuevo en la formación y concienciación tanto de los desarrolladores y técnicos de sistemas de nuestras organización, como de la alta dirección para dispongan de la información y del conocimiento que les permita adoptar las decisiones oportunas relativas a la seguridad de las aplicaciones web y de los sistemas de información que las soportan.

Leer más...

jueves, 16 de junio de 2011

¿Es Segura Internet? (II). Contratando a Jack Sparrow

Comentaba en el anterior post que Internet no es en sí una red segura. Nació en un entorno académico como una propuesta para interconectar redes heterogéneas. Nada hacía pensar que iba a convertirse en el medio de comunicación universal y social que es hoy.

Por este motivo, la seguridad en la navegación por Internet depende de que los usuarios conozcamos y adoptemos unas sencillas prácticas y mecanismos de protección a los que hicimos referencia en la primera parte de este artículo.

Sin embargo, son los proveedores de servicios en Internet, entre los que estamos las Administraciones Públicas, los depositarios de los datos de los ciudadanos y, desde esta responsabilidad, debemos hacer todo lo necesario por garantizar la seguridad de las plataformas web.

Seguridad de las plataformas Web

Desde hace muchos años, todas las grandes organizaciones que ofrecen información y servicios a través de Internet, han establecido zonas de seguridad perimetral.

La idea es:

Si tengo que situar equipos en Internet, pondré por delante de estos equipos una barrera (o firewall) que monitorice y filtre las comunicaciones para evitar tráfico dañino o ataques contra mis servidores de Internet. Además, estableceré otras barreras por detrás de estos equipos para evitar que un atacante pueda acceder a los servidores internos de mi organización.


Estos mecanismos de seguridad perimetral  facilitan el  aplicar políticas de protección del tipo:

No permito que desde Internet se acceda a mis servidores Web con protocolos no autorizados, como Telnet, ftp, etc. Solo permitiré el tráfico Web.

Técnicamente, esto se hace autorizando en los firewall únicamente los protocolos http y https, normalmente sobre los puertos TCP 80 y 443, respectivamente.

Sin embargo, y ahí está el punto más importante, esto no impide a un atacante el acceder al servidor Web con tráfico http o https estándar y realizar alguna acción no autorizada.

Esto nos lleva a la conclusión de que la seguridad Perimetral no evita otros tipos de ataques.

¿Cómo es posible que ocurran ataques?

Si todas las medidas de seguridad fuesen perfectas, no existirían ataques exitosos. Esta afirmación de Perogrullo quiere significar que nuestros sistemas normalmente presentan vulnerabilidades, esto es, deficiencia en su diseño que hace que un atacante, aprovechándose de esta debilidad, pueda realizar un ataque exitoso.

Las empresas que desarrollan sistemas operativos, bases de datos, servidores web, servidores de aplicaciones, etc, lo saben muy bien y corrigen constantemente las vulnerabilidades que presentan sus productos. Periódicamente publican las actualizaciones o parches de seguridad para cada producto corrigiendo las deficiencias encontradas. Es responsabilidad de cada organización aplicar los parches de seguridad y mantener actualizados todos los equipos.

¿Se hace esto realmente?.  Sí….y no.

Las organizaciones más maduras tecnológicamente actualizan todo lo que pueden el software de sus equipos, pero se puede decir que nunca alcanzan el mayor grado de actualización. Esto es en parte por problemas operativos (es un proceso complejo, laborioso, que puede afectar al servicio prestado), pero también por las dependencias entre las distintas versiones de software y de las aplicaciones (para actualizar la versión del servidor de aplicaciones mi equipo de desarrollo debe modificar y probar las aplicaciones corporativas).

Conclusión: Siempre hay software que no está actualizado.

¿Y qué ocurre si un hacker sabe que los servidores web de mi organización no están actualizados y que tienen una vulnerabilidad conocida?  Evidentemente,  aprovecharse de esta situación.

Pero aunque mis servidores estén actualizados, siempre existen vulnerabilidades de día cero, esto es, debilidades que no son públicamente conocidas o para las que no existe aún una solución.

Contratar a Jack Sparrow

Vale, pero estos temas sobre la seguridad  web solo los conocen en profundidad los técnicos y expertos en Seguridad Web. ¿Hay una amenaza real para los que usamos Internet?.

Desgraciadamente, los días de los hackers informáticos amateur, que intentan acceder por diversión a los sistemas informáticos de la CIA se quedaron para las películas.

Actualmente, el mundo de los hackers se ha profesionalizado: Hay mafias organizadas dedicadas al negocio de atacar sitios de Internet, precisamente porque Internet mueve mucho dinero.

Estas mafias en muchos casos se acercan a las Universidades para contratan a los mejores alunmos de las nuevas promociones de licenciados en Informática.

Las vulnerabilidades y los programas para explotarlas se venden en Internet.

Se infectan miles de ordenadores domésticos para poderlos controlar y utilizarlos para realizar un ataque de Denegación de Servicio sobre un objetivo concreto (ej. colapsar una web dirigiendo sobre esta millones de peticiones simultaneas) o amenazar con hacerlo si no se paga una importante suma de dinero..

Se contratan traductores para preparar mensajes falsos simulando una comunicación de nuestros bancos y comprometer nuestras cuentas bancarias por la técnica del Phishing. 

En definitiva, los hackers son ahora profesionales y venden sus servicios por dinero.

¿Qué armas o  técnicas utilizan los modernos piratas telemáticos para conseguir comprometer nuestras Webs?. Lo veremos en parte siguiente de esta serie.

Leer más...

lunes, 13 de junio de 2011

¿Es Segura Internet? (I)

Poco a poco, casi sin darnos cuenta, Internet se ha convertido en un acompañante más de nuestra actividad diaria; Leemos las noticias en Internet, consultamos el tiempo para el fin de semana, buscamos información acerca de los productos que más nos interesan, contratamos nuestras vacaciones, compramos productos, consultamos nuestra cuenta bancaria, chateamos con nuestros amigos y nos relacionamos a través de las redes sociales. Y todo esto lo hacemos en cualquier lugar y en cualquier momento.

Con la llegada de la Ley de Acceso de los Ciudadanos a los Servicios Públicos (LACSP), los ciudadanos Españoles – aunque la mayoría lo ignora - hemos adquirido el derecho de acceder a los servicios de la administración por vía electrónica, incrementando el potencial de uso de la Web; Ahora podemos realizar electrónicamente las tramitaciones más comunes (declaración de la renta, solicitud de vida laboral del trabajador, becas, obtención de la partida de nacimiento, pagos de tributos municipales, etc).

En este novedoso mundo de los servicios web, cada día más cercano y pervasivo, ¿Podemos asegurar que estemos seguros en nuestra relación vía Internet con las empresas o con las Administraciones públicas?.

Si atendemos a las noticias de cada día, la respuesta sería un rotundo NO. Solo pensando en las últimas semanas hemos tenido conocimiento de ataques por parte de Hackers a Sony, a la plataforma de blogs Wordpress, a Google, Amazon, a RSA, al FMI.

El problema es que muchos de estos ataques han sido exitosos, esto es, se ha comprometido información que los usuarios habían confiado a algunas de estas empresas.

Las Administraciones públicas no son ajenas a estos ataques. Basta recordar el ataque de la organización Anonymous al Ministerio de Cultura por desacuerdo con la Ley Sinde, o más recientemente el ataque al Instituto Nacional de Tecnologías y comunicaciones (INTECO), organismo especializado en Seguridad en Internet y TICs, en el que se accedió ilícitamente a datos de usuarios de esta Web gubernamental.

¿Qué podemos hacer para mejorar la Seguridad en la Web?

Lo primero de todo es reconocer que la seguridad Web depende de los diferentes actores que participan en cualquier transacción o actividad a través de Internet, esto es, de los proveedores de los servicios web (Empresas, Administraciones), de los proveedores de acceso a Internet (Telefónica, Ono, etc), de los desarrolladores de software (Microsoft, Google, Mozilla, GNU, etc) y de los propios usuarios.

Cada uno debe aportar su parte para garantizar la seguridad y no habrá seguridad completa si falla alguna de las partes.

Medidas de Seguridad: Usuarios

Como usuarios de los servicios de Internet (lo somos todos) hay algunas medidas esenciales que debemos adoptar :
  •  En primer lugar, debemos asumir que debemos mejorar nuestra formación en aspectos de seguridad en Internet.

    En la circulación vial, todos entendemos que debemos aprender las reglas de juego, los peligros existentes y las mejores formas de evitarlos. Sin embargo, para navegar por Internet no tenemos que estudiar un manual ni pasar un examen que garantice nuestra competencia para hacerlo de manera segura.

    Seguramente los usuarios somos la parte más vulnerable de toda la cadena y es nuestra responsabilidad interesarnos por los aspectos básicos de seguridad.

    Un buen comienzo son los manuales publicados por INTECO. Se pueden encontrar en http://www.inteco.es/Seguridad/Observatorio/manuales_es. Tambien pueden ser de interés las publicaciónes de la Asociación de Internautas.
      
  • Actualizar periódicamente los equipos y navegadores desde los que se accede a Internet para evitar de que los hackers se aprovechen de los errores conocidos (vulnerabilidades) de nuestro navegador o del equipo.

    Los usuarios de sistemas operativos basados en Windows pueden hacerlo fácilmente activando las actualizaciones automáticas.

    Los usuarios de sistemas operativos basados en Linux deberán hacerlo a través del gestor de actualizaciones o manualmente.

    También hay que recordar en actualizar periódicamente el Navegador Web utilizado (FireFox, Crome, Opera, etc).
     
  • Instalar y mantener actualizados antivirus y firewall personales.

    Hoy en día, los mejores antivirus detectan un porcentaje bajo de virus y otros tipos de malware (inferior al 70%) pero reducimos muy significativamente las posibilidades de ser afectados por software dañino utilizando estas herramientas software y actualizandolas diariamente.
  • Acceder a las Web utilizando cifrado en las comunicaciones.

    Para hacer esto, debemos asegurarnos que las direcciones internet que utilicemos empiecen por el prefijo https (por ejemplo https://www.mibanco.es/). Normalmente, las direcciones Internet empiezan por http://. La s que añadimos le dice a la Web de destino que queremos cifran (securizar) las comunicaciones.

    Nunca deberemos introducir un dato sensible, como una contraseña, en páginas a las que no estemos accediendo con el prefijo https (la mayoría de las Web habilitan automáticamente este cifrado cuando piden la autenticación al usuario).

    En general, siempre que podamos, debemos utilizar conexiones seguras https. No todas las Webs permiten esto. Algunas, como Facebook, permiten configurar a los usuarios que por defecto se cifren las comunicaciones:


  • No utilizar la misma contraseña para servicios diferentes.

    Si un usuario usa la misma contraseña para facebook, gmail, twitter, bancos, etc, en el caso de que nuestra contraseña en alguno de los sitios web sea comprometida, esto podría permitir al atacante acceder al resto de servicios.
  • No acceder con nuestro usuario y contraseña desde sitios públicos (bibliotecas, cibercafés, etc).

    Utilizar preferentemente certificados digitales o mejor DNI electrónico para acceder a los servicios de empresas y administraciones públicas.
  • Estar atentos a ataques de Ingeniería social en los que se solicitan claves o datos personales al usuario por medio de llamadas, correos electrónicos falsos, etc.
  • No dejar información personal en las redes sociales que pueda ser utilizada en contra de nuestra seguridad.

    Datos como fechas de nacimiento, nombres de familiares, colegios en los que se ha estudiado, nombres de mascotas, etc forman parte de muchas contraseñas. Esta es una mala práctica cuando esos datos se pueden encontrar fácilmente en las redes sociales.

    A Paris Hilton le lograron suplantar la identidad en una conocida red social porque tenía habilitada la funcionalidad de utilizar una pregunta de seguridad cuya respuesta solo conociera el usuario para permitir el acceso en el caso de olvidar la contraseña. En el caso de Paris Hilton, la pregunta de seguridad elegida era el nombre su mascota....que podía encontrarse facilmente en la propia red social, peródicos, revista del corazón, etc...
  • Ser curiosos y estar atentos a cualquier anomalía o comportamiento extraño en el uso de Internet.
Algunos usuarios con los que he hablado de este tema se quejan, con razón, de que son muchas las medidas que deben tomar para mejorar un poco la seguridad de sus accesos a Internet.

Desgraciadamente, esto es así. Internet no nació segura y hay personas que se ganan la vida aprovechandose de esta debilidad y de la buena fé de los internautas confiados. Se trata de ponerselo un poco más difícil, sin entrar en la paranoia de Mel Gibson en la película Conspiración. 

En el siguiente Post seguiremos analizando las medidas de seguridad, esta vez desde el punto de vista de los proveedores y desarrolladores de los servicios Web, incluyendo entre estos a las AAPP.

Leer más...

miércoles, 1 de junio de 2011

La teoría económica de QWERTY: Apple tambien se equivocó

La historia del teclado de la máquina de escribir es curiosa y controvertida, con ramificaciones en la economía, en la historia....y en las organizaciones actuales.

Hace ya más de un siglo que se diseñaron los teclados universales, que son los que utilizamos todos en nuestros ordenadores y que se conocen como teclados  QWERTY , que son las 6 primeras letras de la segunda fila del teclado, empezando por la izquierda.

Se habían utilizado diferentes teclados antes del QWERTY, pero con desigual suerte. Fuér Christopher Sholes, financiado por Remington el que dedicó más de 6 años a resolver los problemas de los teclados antecesores, a saber:
  • Cuando se tecleaban ciertas combinaciones de teclas rápidamente, las barras de los tipos a menudo se atascaban.
  • El punto de impresión de los tipos estaba por debajo del carro de la máquina. Est impedía al mecanógrafo ver lo que estaba escribiendo o detectar que los tipos se habían atascado.
Para dar solución a estos problemas Sholes rediseño la máquina elevando el punto de impresión de los tipos, pero tambien colocó a las teclas más proclives a ser golpeadas en una sucesión rápida en lados opuestos.

Algunos historiadores dicen que el propósito era mejorar la rápidez de escritura, ya que es más rápido golpear sucesivamente con dedos de distinta mano que de la misma. Otros, dicen que se perseguía precisamente lo contrario, volver  lento al teclado para evitar los atascos de los tipos.

Personalmente, en esto de la historia yo creo que la verdad es.....que no es posible conocer con certeza lo que pasó. En cualquier caso, toda esta historia está conformando uno de los debates más apasionados de la historia de la economía moderna.

El punto de partida es que existía una  distribución diferente de las letras del teclado que había sido patentada por August Dvorak en 1936 (llamada distribución DSK). Según las pruebas de la época demostró ser mucho más óptima y rápida para los mecanógrafos. De hecho, se estudió que reeducar a un grupo de mecanógrafos en su uso necesitaría una pequeña inversión actual, pero se obtendrían beneficios (ROI) a muy corto plazo.



Según las teorías comúnmente aceptadas, el mercado libre debería haber regulado la situación favoreciendo la solución de Dvorak, pero esto no ocurrió.

¿Por qué no se impuso la solución más óptima y rentable de Dvorak a la QWERTY de Sholes ?

El historiador David publicó en 1985 un artículo al respecto que sembró la polémica. David argumentaba que se dieron una serie de pequeños hechos  y relaciones que, combinados, influyeron en la adopción de este teclado:
  • Interrelación técnica entre la disposición del teclado QWERTY (hardware), y la formación del mecanógrado (software).
  • Cada venta del teclado QWERTY tenía influencia sobre otros usuarios del sistema (otros compradores y otros mecanógrafos).
  • Cuasi irreversibilidad de la inversión: Mientras que formar a un nuevo mecanógrafo tenía un coste creciente, el que otros fabricantes rediseñaran sus máquinas al estandard de facto QWERTY era casi inmediato y sin coste.
Todo esto, expuesto de manera más formal y sesuda llevó a David a concluir que "la historia importa" en las decisiones del mercado libre y que un cambio pequeño en ciertas variables de inicio puede conducir a unos resultados impredectibles (esto convertía la economía en un proceso estocático, muy poco predecible).

Con la controversia servida, llevamos más de dos décadas de artículos en prestigiosas publicaciones apoyando o refutando la teoría.

Teoría que afecta al mundo actual y que intenta explicar el triunfo del VHS sobre BetaMax, la predominacia de MS word sobre otros procesadores, la evolución de algunas especies o las consecuencias de las leyes antimonopolio. Es precisamente este intento de contrastar la teoría con la aplicación del mundo real la que genera la controversia y la opinión, revestidas de pensamiento centífico.

Yo, particularmente, sigo pensando que en tanto  se utilicen argumentos basados en datos sobre lo que pasó de verdad en toda esta historia (ej. algunos dicen que los estudios de la época sobre la superioridad del teclado  DSK fueron amañados), no va a haber forma de saber quien lleva razón.

¿Y qué tiene que ver APPLE con toda esta historia?.
Durante muchos años, los equipos de esta prestigiosa marca han incluido la posibilidad de convertir sus teclados QWERTY en la disposición DSK, unas veces con un conmutador hardware y otras con una configuración software que incluía el fabricante. Parece que, en esta ocasión, los de la manzana no acertaron....

Con lo que sí me quedo es con la moraleja de que las cosas hay que hacerlas bien a la primera. Esto es bien conocido en el mundo de las TIC. Por ejemplo, la prestigiosa Rita Mulcahy - desgraciadamente fallecida hace un año - decía acerca de las oficinas de proyectos:

"Hay una marcada tendencia en las organizaciones a crear oficinas de proyectos. Pero hay un riesgo: Si se hace mal, se generará un sentimiento negativo hacia la disciplina de gestión de proyectos que puede provocar retrasos de años en la madurez de las organizaciones [para gestionar adecuadamente los proyectos]."

Una muy acertada observación.

Por cierto, una curiosidad:

Se dice que la distribución de teclado de Sholes, la disposición de las teclas no fue tan científicamente determinada como nos hizo creer:

Las teclas de la primera fila de letras eran QWERT YUIOP, todo lo que necesitaban los vendedores para poder impresionar a sus clientes en las demostraciones para escribir rápidamente las palabras

TYPE WRITER

Es decir, MAQUINA DE ESCRIBIR, que era lo que vendían....

Leer más...