Médicos y el Estúpido Chivismo Expiatorio

Me decepciona Costa Rica. Toda esta la controversia con los médicos hace patente una serie de actitudes que es vergonzante.

No defenderé a los médicos porque son tan pecadores como los que nos tienen así. Vamos con la lista:

1. El aprovecharse. Este es el mal mayor, todo el mundo tratando de aprovecharse sin medir lo que esto cuesta. Comenzamos por el gobierno y la tontera de poner salarios paupérrimos comparados con el sector privado. Esta genial idea (para ahorrarse cincos) ha hecho que los mejores huyan para la parte privada y, de paso, ha dado soporte a las famosas convenciones colectivas donde se trata de equiparar la falta de salario con beneficios. Pero claro, como respuesta al gobierno que trata de aprovecharse, los que se aprovechan sin importar a quien dañen son ahora los sindicatos que piden cosas abusivas. El punto es estar bien yo sin importar quien se muera de hambre. Y eso es el punto dos.

2. La falta de racionalización y solidaridad. Es claro que la Caja está en crisis. También puede ser que los médicos, en su salario base, no ganen como lo harían si se dedicaran tiempo completo a trabajar en una clínica privada. Pero, a todas luces, la Caja está con problemas económicos y puede que no tenga capacidad de atender pacientes e incluso necesite recortar plazas. Entonces: ¿Qué están haciendo en los juzgados esos 2000 juicios pendientes de médicos para que les reconozcan más salario? ¡Por Dios! Eso representa el mayor acto de egoísmo, del “me importa nada que el país se muera yo quiero mi plata” que nadie pudiera imaginarse. Eso y los trucos diputadiles para sacar pensiones, claro está. La gente se muere porque no hay campo en hospitales, niños piden en los estadios para que les permitan ir afuera a una operación y PUEDAN VIVIR, quirófanos en mal estado, hospitales destruidos por terremotos. ¿Qué no lo ven? ¿Qué es que soy el único que aceptaría no me den aumento para que tales niños puedan vivir? No lo creo. Qué vergüenza.

3. Pero los que tiran piedras también han de avergonzarse. La crisis de la Caja no es culpa de los médicos. Empezando por los políticos de turno que ponen a gente incompetente a dirigir las instituciones, hasta los aborrecidos oportunistas que usan leguleyadas para sacarle plata al estado. Sin embargo, la gente quiere sangre ¿Cierto? La gente en todo lado. Los periodistas quieren circo que les venda sus medios, los criticones en medios sociales quieren linchar y usar sus palabrotas contra los abiertamente declarados médicos, el gobierno quiere algo para divertir la atención de sus otras tortas. La gente ahora odia a los médicos, como si no les hubieran salvado la vida o asistido en su nacimiento. Los médicos son profesionales que cumplen una buena labor y son humanos, tan pecadores y llenos de defectos como el que escribe y el que lee estas líneas. Ni son más ni son menos. Deben tener los mismos deberes proporcionales y los mismos derechos. Que nadie por no ser médico se sienta ángel puro para tirar la piedra, cuidado se le devuelve.

4. ¿Qué hacer? Me gustaría ver a todos esos médicos preocupados por su salario quitar los juicios pendientes antes de que se vote el segundo debate que aclara la ley famosa. Quisiera ver al gobierno hacer un análisis y tomar acciones para dar salarios justos que no requieran “ajustes” por beneficios en convenciones colectivas y que compita con la parte privada como corresponde. Que los profesionales saquen su ética y no sólo su amor a la billetera. Quisiera ver a los tuiteros y faibuqueros siendo racionales y tratando de entender el embrollo, no buscando pretextos para sacar su más vulgar y escatológico vocabulario de odio reprimido. Quisiera tener una Costa Rica ordenada y pacífica y no una en la eterna búsqueda el chivo expiatorio de turno.

Sobre turismo, servicios y Costa Ricas Azules

La iniciativa de Costa Rica Azul, leído su primer post en el sitio donde explica qué es, me parece un poco confusa. Inician diciendo que es un proyecto país que busca fomentar el empredurismo y fortalecer las micro empresas, promoviendo la educación en todos los niveles. Eso es grandioso y si me quedo con sólo ese párrafo yo me imaginaría una serie de proyectos enfocados en justamente eso: educar, promover microempresas y dar un socollón a la economía nacional injectando miles de pequeñas locales dosis en lugar de buscar una o dos grandes empresas que nos den un empujón ellas solas.

Pero al seguir leyendo, se aclara y desinfla un poco ese ideal inicial. En realidad el proyecto se enfoca en un tipo particular de servicio, el llamado turismo médico. Y no es que esté mal: El turismo médico es una necesidad que está surgiendo con gran auge dadas las problemáticas en temas de salud de muchos países. La parte importante es que no sólo hay la necesidad sino que Costa Rica posee la capacidad de suplirla, por lo que es muy importante tomarle el pulso y comenzar a apoyar iniciativas de este tipo casi que ya. Lo digo porque yendo en un avión hacia Colombia, leo en la revista de la aerolínea un artículo justo sobre el tema, y ¡no se menciona a Costa Rica para nada! Ya hay gente en México, Colombia y otros latinoamericanos que se nos están llevando el mandado y tienen visibilidad en prensa. Eso implica que hay competencia y necesitamos estrategias de captura de mercado (que está naciendo), diferenciación y generar lealtad de marca.

Ahora, volvamos al ideal inicial: El turismo médico (incluso yo le diría Turismo Medicinal, que es algo más grande), es sólo un servicio que puede brindarse. Hay otros de los que somos capaces y podríamos incorporar en iniciativas que cumplan esa meta hermosa del inicio. ¿Cuantas veces no hemos oído que vienen científicos a estudiar mares, volcanes, flora, fauna, e incluso estudios sociales (somo el país feliz)? Un turismo científico, incluyendo las ideas actuales de Procomer de llamar a turismo de conferencias, donde Costa Rica se convierta también en cuna de la investigación y el conocimiento dado a las masas. La propuesta de hoy, 3 de Mayo, de parte del MEIC y una PYME, Costa Rica 2050, que intenta la divulgación del quehacer y del conocimiento científico del país, es un ejemplo.

¿Algún otro? Pues la misma Presidenta en su discurso del primero de Mayo menciona que incluso la exportación de servicios de alta tecnología ha superado los ingresos por turismo. Eso es un dato que no se puede pasar por alto. Los servicios tecnológicos son otra necesidad importante que podemos suplir, pero no en masa. No tenemos tanta gente como para competir con India en servicios masificados, pero tenemos cerebros como para competir en servicios de alta tecnologías y altamente especializados.

En fin, la iniciativa de Costa Rica Azul es excelente. Considero que deben abrirse otras similares en otras áreas o que la misma Costa Rica Azul se diversifique (cuando tengan ya fórmulas probadas y más experiencia) de forma que no sea sólo con turimos médico sino con otros servicios, que por qué no, pueden amalgamarse con el turismo (por experiencia se que muchos conferencistas internacionales y participantes amarían venir a Costa Rica a una conferencia, y no solo por lo bello del país, el mismo Zachman me lo dijo).

¿Billeteras Digitales o Micro Sucursales Bancarias?

La semana pasada tuve el agrado de participar como panelista en una charla abierta sobre Billeteras Digitales, patrocinada por la revista Summa. Moderado por Ian McCluskey, CEO de Thought Leadership International, y contando con la co-panelistas Claudia Madariaga, Directora de desarrollo de Producto de YellowPepper para America Latina, y Alejandra Castro, Abogada Asociada Arias & Muñoz, el evento contó con la participación de muchas empresas de comunicación, servicios y banca. Importantes personeros se hicieron presentes y nos pasamos del tiempo por lo interesados que estaban en el tema.
Lo anterior me indica que ideas innovadoras llaman la atención y que nuestro país tiene gente atenta a tales innovaciones que consideran importante incorporar. Claro, las diferentes preguntas que se realizaron nos dan una pista sobre las barreras que dichas tecnologías pueden encontrar. Primero, cierto recelo a la seguridad. Segundo, incertidumbre sobre la capacidad e infraestructura del país. Tercero, una clara esperanza en la reducción de costos.

Y es sobre este último punto que quiero comentar. Consultando en diferentes lugares, el concepto de las billeteras digitales está muy asociado a las tarjetas de crédito. Para muchos son el reemplazo de las mismas, para otros es un contenedor. Para los que no está familiarizados con el tema, la billetera digital es un micro sistema de software y hardware que permite a la persona realizar transacciones financieras de forma digital. Claro, mucha gente simplemente piensa en Smartphones y la implementación común que Google lanzó hace ya varias semanas, usando un comunicador especial en el aparato celular para comunicar de forma inalámbrica los datos de la tarjeta de crédito registrado. Ya no más pasar tarjetas, simplemente se ondea el celular frente a un receptor y el pago está hecho.

Precisamente, esa implementación es la que hace pensar a la gente que la billetera digital se basa en celulares y ese famoso chip (NFC Near Field Communication). En realidad no, esa es solo una manera de lograrlo, el concepto se puede implementar de muchas otras maneras. También eso hace pensar a la gente que el sistema no es más que la misma tarjeta de crédito solo que ya no en plástico sino en un celular. En cierta forma lo es, por lo que se implementa, pero el concepto es mucho más amplio.

Y es aquí cuando consultan si esta nueva forma de pago suplantará a las tarjetas de crédito y al problema que tiene debido a las altas comisiones. La respuesta es lamentablemente no. Doña Claudia comentó que hay casos en los que los comerciantes deciden que la forma de pago no sea con tarjeta registrada de marca conocida, sino que sacan su propia tarjeta, asumiendo los riesgos del crédito. Pero esta solución no es tan sencilla, pues depende de legislación e infraestructura. También menciona que ya los nombres de tarjetas importantes están tomando en cuenta la tecnología y que puede ser que decidan bajar dichas comisiones, pero en términos generales la billetera no es un reemplazo libre de costos.
Ahí, mi posición es que a pesar que las comisiones se mantengan, hay que mirar los beneficios. Y es que la billetera no es solo un contenedor de tarjetas “virtuales”. Podemos pensar que una billetera digital es una micro sucursal financiera. Ahí puedo guardar mis tarjetas, mis cupones de descuentos, mis cartas de fidelidad (¡esas de cliente frecuente!), mis facturas digitales, puedo tener retención logrando ahorros forzados para pagos, en fin, cualquier idea que la gente se le ocurra para sacar provecho de su billetera. Esto es, para el comerciante, que alguien pague una tarjeta de crédito es solo una manera más de pago, pero con una billetera digital, puede llevar control de compras, fidelidad, lanzar promociones instantáneas, lograr más captación y recurrencia de la clientela. Viéndolo de esa manera, la billetera no es solo un medio de pago con costo asociado, sino que dicho costo se puede revalorizar como inversión en promoción, si se usan bien las herramientas.

¿Lo implementaría usted? ¿Usaría su billetera digital?

Banca, fraudes, jurisprudencia y acción

Publicado en La Nacion (08 Oct 2008)

Don Pablo Ureña (Dos Sentencias Preocupantes) analiza las posibles consecuencias del fallo contra el “Banco del Estado”, dictado hace algunas semanas. Hay ciertos puntos en los que no estoy muy de acuerdo. (Advierto que mi campo no son las leyes, sino la tecnología de la información).

Discrepo sobre la aplicabilidad general del fallo. Por lo poco que entiendo, la responsabilidad objetiva se aplica en este caso debido a que el servicio ofrecido por el banco creó un riesgo significativo que fue explotado por los culpables, con el agravante de que ese riesgo ya había era conocido internacionalmente (un solo nivel de autenticación no es suficiente). No estoy seguro entonces de que se pueda, o deba, aplicar igual para todos los demás casos, actuales o futuros, porque depende de si el riesgo (que sería equivalente al nivel de seguridad) presentado en el momento de la transacción es igual de significativo o agravado.

Visión de seguridad. También discrepo de la visión de seguridad. Esta nunca es completa. La seguridad de un sistema es igual a la del componente más débil. Desde el punto de vista informático, un sistema no solo es el computador central, sino todos los componentes, internos o externos, que lo conforman.

El Internet Banking, inherentemente, incluye como componente a la plataforma Internet, los navegadores de los clientes y las páginas creadas por el banco para que se realicen transacciones. Siendo así, no es cierto que el sistemas es seguro, porque su componente más débil es la interfaz web.

Puede ser que la jurisprudencia atraiga las mafias internacionales, pero estas no vendrán atraídas solo por este fallo. Vendrán por las facilidades brindadas aquí por usuarios ignorantes, un país atrasado tecnológicamente y una banca sin planteamientos serios.

Mi apreciación es que estamos tapando fallas con parches sin un análisis adecuado. ¿Ejemplos? Para incrementar su tope de transferencia obligan al cliente a enviar por internet todos los datos vitales de la tarjeta de crédito, ¡negándose a hacerlo por ventanilla! Hace años que no se practican ataques de fuerza bruta para obtener contraseñas, por lo que la práctica de cambiarlas cada 30 días es obsoleta.

No estamos preparados. Ya nadie imagina usar solo la contraseña como autenticación, por eso ya hay otras maneras de fraude más complejas que el robo de contraseñas y nosotros apenas comenzamos a atacarlo. Incluso el phish- ing ha dado paso a ataques más sofisticados, como el pharming (y este ya lleva tiempo en México). Es decir, no estamos preparados.

¿Seguros? La solución de la tarjeta de códigos es inoperante ante un ataque de “intermediario” con algo de paciencia. Lo mismo para el teclado virtual, que es solo efectivo contra keyloggers . Incluso el famoso token cae ante este ataque. La falta de fraude luego de estas “soluciones” no es prueba de seguridad. El colmo es que, para usar dichas soluciones, se obliga al usuario a renunciar a su derecho de reclamo. (Véanse condiciones obligatorias para activar las soluciones).

¿Que hacer? La lista es simple: El intermediario se anula con certificados de cliente, como los de la firma digital estancada hace meses. Los usuarios que verifiquen el emisor del certificado del banco (clic doble en el candado del navegador) y bancos publicando su numero de serie de certificado en prensa. Obvio: los usuarios deben saber qué es un certificado digital, pero, primordialmente, todas la entidades involucradas (Banca, Gobierno y usuarios), deben analizar los peligros y proponer una solución integral de defensa.

Debilidad en seguridad bancaria

Publicado en La Nacion (27 Dic 2007)

Concuerdo con don Roberto Sasso (Tontera Digital) en su comentario sobre los “palos de ciego” que están dando los bancos para asegurar nuestro capital. Discrepo, eso sí, de la tendencia actual y generalizada de “fortalecer” la contraseña con dispositivos complejos.

Se dice que el problema es la debilidad de la contraseña ( password ) que usan las personas para ingresar en los sistemas. El sistema cumple con lo suyo: si la contraseña está correcta, deja al usuario hacer lo que necesita. La idea es entonces complicar la contraseña para que no pueda ser “adivinada”. Pero el problema no está ahí, sino en el usuario que, inocente o negligente, no tiene cuidado y permite que otros obtengan su contraseña.

Cuando la contraseña es compleja, se tiende a usar la misma para todos los sitios, sean estos seguros o no. Esto acarrea mayor peligro. Es como crear una llave maestra de todas mis cerraduras y dejarla por ahí. Y esto es inducido por esas políticas.

Riesgo elevado. En teoría de seguridad, se sabe que la contraseña es una de las medidas más débiles de autenticación: el banco requiere saber quién es la persona, le pide su cédula y le pregunta por una palabra que “supuestamente” solo la persona conoce. Basarse en ese supuesto para dar acceso a dinero es bastante arriesgado. ¿Porqué no mejorar el método de autenticación?

Una manera de lograr autenticación es usando certificados: “sellos” digitales emitidos por una entidad certificadora que dan fe de que dicha persona es quien dice ser. Con ese “sello”, todo mensaje es cifrado y si el banco logra descifrarlo, entonces es porque procede del legítimo dueño. Si, además de eso, para usar el sello se pide al usuario una palabra de paso, tenemos autenticación de dos fases. Estos certificados son necesarios para las firmas digitales, base de las facturas electrónicas y parte de la iniciativa del gobierno digital. En este caso, la entidad certificadora sería el Banco Central. Actualmente, los bancos tienen su sello propio, solo es cuestión de crear certificados para los clientes (como cédulas digitales) y que la autenticación sea de dos vías.

Ahora, hay muchos tipos de ataques. Uno de los más fuertes es el del “Intermediario” ( Man-in-the-Middle ). En este, un servidor malévolo asume la cara del banco y el usuario realiza sus operaciones con él, engañado. Este servidor se comunica a la vez con el banco y repite toda operación que el cliente realiza. Al final, toda interacción del cliente y toda respuesta del banco es duplicada, ninguno de los dos se da cuenta del engaño. El intermediario tiene ahora suficiente información para simular ser el cliente.

Educación indispensable. Las tácticas descritas en varios artículos tienen sus puntos débiles, como en todo. Por ejemplo, la de la imágenes (conocida como SiteKey y desarrollada para Bank Of America), se ha demostrado que es susceptible a ataques “Intermediario” (http://cr-labs.com/publications/SiteKey-20060718.pdf). La lista de claves, incluso la tarjeta personal de números, pueden ser víctimas de este ataque. El usuario debe educarse en seguridad.

Actualmente, hay muchos dispositivos electrónicos que permiten a la gente administrar su seguridad. Algunas se parecen a las muy conocidas llaves “maya”, pero son mucho más inteligentes: permiten guardar certificados, generar contraseñas complejas, e incluso generar las “claves por tiempo”. Y estas llavecitas no pueden usarse si no se aplica una clave que solo el usuario conoce.

Se sugiere a los bancos escuchar a sus expertos en seguridad web. Si no los tienen, debieran contratarlos. A los usuarios, seguir los consejos de los expertos y tener mucho cuidado.