El problema

En aquel artículo, casi al final de todo, comentaba que hacía falta aplicar una solución para que el tráfico XMPP del resto de puertos (5000, 5222,… todos los que no son el 80 ó el 443) fuese reenviado desde el VPS a mi servidor en casa.

Probé algunas cosas con la configuración de NGINX y su módulo streams, pero no funcionó, así que voy a describir aquí cómo acabé usando las capacidades de filtrado de paquetes de Linux (el núcleo mismo) a través de iptables (en inglés).

Mi solución está basada y adaptada a partir de lo explicado en este artículo (en inglés) de Ryan Welch.

Al final del artículo, en cualquier caso, dejaré las configuraciones que intenté aplicar en NGINX para procesar tráfico TCP y UDP en general. Quizá lo necesitemos más adelante, o a lo mejor decides probarlo y comentarme qué es lo que hice mal.

Solución

Como comentaba antes, Linux (NO GNU/Linux, sino “Linux” sin más, el núcleo) tiene funcionalidades de filtrado de paquetes de red incluidas, que podemos configurar para nuestros propios fines.

Para configurar la redirección de tráfico en el VPS, entramos por SSH y habilitaremos IP forwarding en el núcleo:

sudo sysctl -w net.ipv4.ip_forward=1

Esto puede que se aplique entre arranques, o no, dependiendo de tu distribución. Para asegurarte, edita el fichero /etc/sysctl.conf y descomenta la línea net.ipv4.ip_forward=1.

Tras ello, ya podrás redirigir puertos y rangos de puertos con instrucciones como la siguiente:

iptables -A PREROUTING -t nat -p tcp -i eth0 --dport 5222 -j DNAT --to-destination <IP Destino>:5222
iptables -A POSTROUTING -t nat -p tcp -d <IP Destino> --dport 5222 -j MASQUERADE

Y, para rangos de puertos:

iptables -A PREROUTING -t nat -p udp -i eth0 -m multiport --dports 49152:65535 -j DNAT --to-destination <IP Destino>:49152-65535
iptables -A POSTROUTING -t nat -p udp -d <IP Destini> -m multiport --dports 49152:65535 -j MASQUERADE

Vas a tener que cambiar los puertos del ejemplo por los tuyos propios, así como poner tu propia dirección IP de destino en lugar del texto <IP Destino>.

Para el caso de XMPP hay que añadir todas las reglas de renvío correspondientes a sus puertos, cambiando el texto <IP Destino> por la dirección IP del servidor de casa, patata en el artículo previo de la serie, y teniendo en cuenta que la dirección que tenemos que configurar es la de patata en Tailscale.

iptables -A PREROUTING -t nat -p tcp -i eth0 --dport 5222 -j DNAT --to-destination <IP Destino>:5222
iptables -A POSTROUTING -t nat -p tcp -d <IP Destino> --dport 5222 -j MASQUERADE
iptables -A PREROUTING -t nat -p tcp -i eth0 --dport 5269 -j DNAT --to-destination <IP Destino>:5269
iptables -A POSTROUTING -t nat -p tcp -d <IP Destino> --dport 5269 -j MASQUERADE
iptables -A PREROUTING -t nat -p tcp -i eth0 --dport 5000 -j DNAT --to-destination <IP Destino>:5000
iptables -A POSTROUTING -t nat -p tcp -d <IP Destino> --dport 5000 -j MASQUERADE
iptables -A PREROUTING -t nat -p tcp -i eth0 --dport 3478 -j DNAT --to-destination <IP Destino>:3478
iptables -A POSTROUTING -t nat -p tcp -d <IP Destino> --dport 3478 -j MASQUERADE
iptables -A PREROUTING -t nat -p tcp -i eth0 --dport 3479 -j DNAT --to-destination <IP Destino>:3479
iptables -A POSTROUTING -t nat -p tcp -d <IP Destino> --dport 3479 -j MASQUERADE
iptables -A PREROUTING -t nat -p udp -i eth0 --dport 3478 -j DNAT --to-destination <IP Destino>:3478
iptables -A POSTROUTING -t nat -p udp -d <IP Destino> --dport 3478 -j MASQUERADE
iptables -A PREROUTING -t nat -p udp -i eth0 --dport 3479 -j DNAT --to-destination <IP Destino>:3479
iptables -A POSTROUTING -t nat -p udp -d <IP Destino> --dport 3479 -j MASQUERADE
iptables -A PREROUTING -t nat -p tcp -i eth0 --dport 5349 -j DNAT --to-destination <IP Destino>:5349
iptables -A POSTROUTING -t nat -p tcp -d <IP Destino> --dport 5349 -j MASQUERADE
iptables -A PREROUTING -t nat -p tcp -i eth0 --dport 5350 -j DNAT --to-destination <IP Destino>:5350
iptables -A POSTROUTING -t nat -p tcp -d <IP Destino> --dport 5350 -j MASQUERADE
iptables -A PREROUTING -t nat -p udp -i eth0 --dport 5349 -j DNAT --to-destination <IP Destino>:5349
iptables -A POSTROUTING -t nat -p udp -d <IP Destino> --dport 5349 -j MASQUERADE
iptables -A PREROUTING -t nat -p udp -i eth0 --dport 5350 -j DNAT --to-destination <IP Destino>:5350
iptables -A POSTROUTING -t nat -p udp -d <IP Destino> --dport 5350 -j MASQUERADE
iptables -A PREROUTING -t nat -p udp -i eth0 -m multiport --dports 49152:65535 -j DNAT --to-destination <IP Destino>:49152-65535
iptables -A POSTROUTING -t nat -p udp -d <IP Destino> -m multiport --dports 49152:65535 -j MASQUERADE

Prueba que todo funciona y graba las reglas de iptables con sudo iptables-save > /etc/iptables/rules.v4, de tal forma que se apliquen cada vez que reinicies el VPS.

En su artículo, Ryan comentaba otras configuraciones adicionales para temas tales como control de congestión. Consulta ese artículo para saber más, y aplica todo aquello que te sea de utilidad.

NGINX con tráfico TCP y UDP genérico

Esta parte del artículo no está del todo probada, porque no me acabó de funcionar para la instalación del servidor XMPP Snikket. Sin embargo, de acuerdo a su documentación, ésta es la forma en la que se configura NGINX para tráfico que no es Web.

Instala libnginx-mod-stream para habilitar el soporte a proxies inversos TCP y UDP.

Modifica /etc/nginx/nginx.conf para añadir un bloque stream:

stream {
        include /etc/nginx/streams-enabled/*;
}

Tras ello, crea los directorios correspondientes siguiendo el mismo esquema existente para las webs: sudo mkdir -p /etc/nginx/streams-available /etc/nginx/streams-enabled

Crea un fichero /etc/nginx/streams-available/tcpudpservice.example.com.conf con reglas como las siguientes:

# Puerto TCP (tráfico no HTTP):
server {
        listen 5222;
        proxy_pass <IP Destino>:5222;
}

# ...

# Puerto UDP:
server {
        listen 3478 udp;
        proxy_pass <IP Destino>:3478;
}

# ...

# Se aceptan rangos, también. En este caso, fíjate
# en el uso de $server_port en la sentencia proxy_pass.

server {
        listen 49152-65535 udp;
        proxy_pass <IP Destino>:$server_port;
}

En caso de definir rangos de puertos muy grande, como los que propone Snikket para conversaciones de audio y vídeo por XMPP en instalaciones con muchos usuarios, NGINX devolverá un error al tener demasiados ficheros abiertos. La configuración de Snikket espera poder tener hasta 16384 conexiones UDP abiertas al mismo tiempo.

Si queremos resolver esto en lugar de reducir el rango de puertos UDP, hay que aumentar el parámetro LimitNOFILE de NGINX. Para eso, ejecuta sudo systemctl edit nginx.service; esto abrirá un fichero de extensión de la definición del servicio

Escribe lo siguiente y graba los cambios:

[Service]
LimitNOFILE=65535

Tras ello, en el preámbulo de /etc/nginx/nginx.conf (fuera de cualquier bloque http, events o stream), añade la línea worker_rlimit_nofile con un valor menor a 65535 (30000 funciona para Snikket), e incrementa el valor de worker_connections dentro de events:

...
include /etc/nginx/modules-enabled/*.conf;

worker_rlimit_nofile 30000;

events {
        # worker_connections 768;
        # 3 veces 8192 será suficiente
        worker_connections 24576;
        # multi_accept on;
}

...

Como dije antes, esta configuración no me sirvió para XMPP, pero puede ser útil para otros casos de uso.

Este texto detalla los pasos a seguir para conectar un proxy inverso (NGINX) instalado en un servidor A, y dar acceso a servicios web instalados en otra máquina diferente, un servidor B. Si la máquinas están en ubicaciones o redes diferentes, la conectividad la podremos resolver mediante varias alternativas, como una VPN.

En mi caso concreto, esto sirve para instalar NGINX en un VPS, y usarlo para exponer mis servicios alojados en un servidor que tengo en casa, “barcas”. Para conectar las dos máquinas y que NGINX pueda redirigir el tráfico a esos servicios, he usado Tailscale.

Este artículo continúa la serie que empezó con “Cambios en mi red de la mano de XMPP”. Si te preguntas por qué querríamos hacer esto, o qué valor tiene esta configuración, visita ese enlace.

Solución

Para llevar a cabo esta solución necesitarás:

1. Un servidor VPS contratado con tu servicio de alojamiento de confianza, al que poder acceder por SSH.
2. Un servidor en tu casa, con al menos un servicio aceptando conexiones HTTP. Por ejemplo, en el puerto 5000 (0.0.0.0:5000). A este servidor lo llamaremos patata en el resto del artículo, por claridad.
3. Una cuenta gratuita en Tailscale. En general, valdría con cualquier otro proveedor de VPN, pero es preferible que esté basada en WireGuard, porque ofrece un mejor rendimiento que OpenVPN.
4. Opcionalmente, o para que esto tenga sentido, un dominio con sus registros de DNS apuntando al VPS que mencionamos en el punto 1.

En las instrucciones de este artículo supondré que ambos servidores (el VPS y patata) tienen instalada una Ubuntu LTS Server (por ejemplo, la 24.04).

Si no hay problemas, en 20 minutos deberías tenerlo todo listo.

Servidor en casa

Nos conectaremos a patata, donde está nuestro servicio web esperando peticiones en el puerto 5000.

Instalamos Tailscale y autenticamos a patata en nuestra cuenta. Esto asociará una dirección IP dentro de la VPN a patata:

# Las órdenes para instalar tailscale no las reproduzco 
# porque podrían cambiar en cualquier momento.

sudo tailscale up
# Seguimos las instrucciones por pantalla

# Habilitamos Tailscale como servicio de sistema permanentemente
sudo systemctl enable tailscaled --now

# Obtenemos la IP de esta máquina en la tailnet y la anotamos.
tailscale ip -4
100.85.67.22

En el panel de control de Tailscale podremos ver su nombre local, además de la IP devuelta por la última orden.

También podremos configurar la máquina para que no haya que re-introducirla en la red, desactivando la expiración de la clave usada para autenticar la máquina en Tailscale.

Opcionalmente, podemos activar el “MagicDNS” para podernos referir a ambas máquinas mediante un nombre, en lugar de mediante una dirección IP, sin tener que configurar nada localmente en las máquinas.

Una vez la máquina está en Tailscale, debemos abrir el puerto 5000 en el cortafuegos de patata, si es que no lo habíamos hecho ya, para que pueda recibir peticiones desde el VPS por dicho puerto.

sudo iptables -A INPUT -p tcp -m tcp --dport 5000 -j ACCEPT

A este respecto:

1. Si no tienes iptables-persistent instalado, es el momento de instalarlo para poder grabar las reglas de cortafuegos de tal forma que se apliquen con cada reinicio de la máquina.

sudo apt install iptables-persistent 
sudo iptables-save > /etc/iptables/rules.v4

2. Personalmente, abro los puertos en todos los interfaces y no sólo en el de Tailscale.
   • Al no tener que abrir ese puerto en el router, no estoy haciendo nada que me deje demasiado expuesto.
   • Al hacerlo así, no necesito acceder por Tailscale a patata cuando, estando en casa, necesito hacer alguna prueba.
   • Cada caso es distinto: decide qué hacer tú mismo con tu cortafuegos dependiendo de lo crítico que sea el servicio que estás configurando, y lo sensibles que sean los datos que gestiona.

VPS

En segundo lugar, nos conectamos al VPS por medio de SSH e instalamos un proxy inverso. Aunque no vayamos a tener más de un servicio escuchando en los puertos 80 y 443, configurar y entender un proxy inverso es más fácil que configurar y entender reglas de reenvío de tráfico y DNAT en un cortafuegos como iptables.

En mi caso, suelo usar NGINX.

sudo apt update && sudo apt install nginx

Instalamos Tailscale y repetimos los mismos pasos al respecto que en el caso de patata. Anotamos la dirección IP de el VPS en “la tailnet”, por ejemplo 100.85.77.36.

Obtenemos un certificado de Let’s Encrypt para nuestro dominio, con CertBot. Para esto:

• Debemos configur previamente los registros DNS de nuestro dominio, ejemplo.com, para que apunten a la IP pública (no a su IP en Tailscale) del VPS en el que estamos trabajando.
• Es posible tengamos que parar NGINX para esto (sudo systemctl stop nginx), dependiendo de nuestros proveedores de dominio y los plugins de CertBot disponibles para interactuar con él.

sudo certbot certonly --standalone -d ejemplo.com
...
...
Successfully received certificate.
Certificate saved at: /etc/letsencrypt/live/ejemplo.com/fullchain.pem;
Key is saved at:      /etc/letsencrypt/live/ejemplo.com/privkey.pem;
...
...

Configuramos el servicio en el proxy inverso, poniendo en la sentencia proxy_pass la IP de nuestro servidor patata en Tailscale. Para ello, en /etc/nginx/sites-available/ creamos un fichero de configuración, por ejemplo ejemplo.com.conf para una web https://ejemplo.com.

upstream ejemploweb {
        # Sustituye [IP o nombre de máquina] por el valor de tu 'patata'
        # **en Tailscale**.
        # 100.85.67.22 en el texto del artículo.
        server [IP o nombre de máquina]:5000;
        keepalive 64;
}

server {
        server_name ejemplo.com;
        listen 80;

        location / {
                return 301 https://$host$request_uri;
        }
}

server {
        server_name ejemplo.com;
        listen 443 ssl http2;

        # Other SSL stuff goes here
        ssl_protocols TLSv1.2 TLSv1.3;
        ssl_ciphers HIGH:!MEDIUM:!LOW:!aNULL:!NULL:!SHA;
        ssl_prefer_server_ciphers on;
        ssl_session_cache shared:SSL:10m;
        ssl_session_tickets off;

        ssl_certificate     /etc/letsencrypt/live/ejemplo.com/fullchain.pem;
        ssl_certificate_key /etc/letsencrypt/live/ejemplo.com/privkey.pem;

        location / {
                # The final `/` is important.
                proxy_pass http://ejemploweb/;
                add_header X-Frame-Options SAMEORIGIN;
                add_header X-XSS-Protection "1; mode=block";
                proxy_redirect off;
                proxy_buffering off;
                proxy_set_header Host $host;
                proxy_set_header X-Real-IP $remote_addr;
                proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
                proxy_set_header X-Forwarded-Proto $scheme;
                proxy_set_header X-Forwarded-Port $server_port;
                proxy_read_timeout 90;
        }
}

Creamos un enlace simbólico a este fichero en /etc/nginx/sites-enabled, probamos la configuración de NGINX y, si todo va bien, la recargamos.

cd /etc/nginx/sites-enabled/
sudo ln -s ../sites-available/ejemplo.com.conf
sudo nginx -t
nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
nginx: configuration file /etc/nginx/nginx.conf test is successful
# Si hemos detenido el servicio de NGINX para obtener el certificado, 
# lo arrancamos; si no:
sudo systemctl reload nginx

En este punto, deberíamos poder interactuar con nuestro servicio en patata desde https://ejemplo.com.

Posibles errores que te puedes encontrar

• El navegador no muestra nada, el servicio no contesta. Si hay actividad en los logs de NGINX en el VPS (sudo tail -f /var/log/nginx/access.log), y la petición se abandona tras un tiempo (timeout), hay varias posibles causas que me he encontrado con mi limitada experiencia. En patata:
  • El servicio al que quieremos acceder a través de NGINX no está funcionando, y tenemos que arrancarlo,
  • o el servicio está expuesto en el puerto 5000 de un interfaz de red específico, en lugar de 0.0.0.0 (que significa todos los interfaces de red de patata), y que no es el de Tailscale; por ejemplo, en 127.0.0.1,
  • o hemos hecho algo mal con el cortafuegos y la petición se está rechazando de esta forma.
• La configuración de NGINX es correcta (sudo nginx -t dice que 👍), pero NGINX no arranca o se muere al recargar la configuración. La causa más frecuente es que NGINX no se puede comunicar con patata, al que estaríamos apuntando con la sentencia proxy_pass, porque no lo encuentra.
  • O bien hemos cometido un error al configurar el proxy_pass,
  • o bien NGINX ha intentado establecer contacto con patata antes de que Tailscale estableciese el túnel, por ejemplo si esto ocurre tras reiniciar el VPS,
  • o bien el servicio de Tailscale se ha parado en alguna de las dos máquinas.
  • Esta causa se confirma con el mensaje host not found in upstream en la salida de sudo systemctl status nginx:

nginx.service - A high performance web server and a reverse proxy server
     Loaded: loaded (/usr/lib/systemd/system/nginx.service; enabled; preset: enabled)
    Drop-In: /etc/systemd/system/nginx.service.d
             └─override.conf
     Active: active (running) since Fri 2025-08-29 11:05:51 UTC; 3 days ago
       Docs: man:nginx(8)
    Process: 1154 ExecStartPre=/usr/sbin/nginx -t -q -g daemon on; master_process on; (code=exited, status=0/SUCCESS)
    Process: 1156 ExecStart=/usr/sbin/nginx -g daemon on; master_process on; (code=exited, status=0/SUCCESS)
    Process: 58676 ExecReload=/usr/sbin/nginx -g daemon on; master_process on; -s reload (code=exited, status=1/FAILURE)
   Main PID: 1157 (nginx)
      Tasks: 3 (limit: 1110)
     Memory: 46.9M (peak: 200.2M)
        CPU: 29min 57.349s
     CGroup: /system.slice/nginx.service
             ├─1157 "nginx: master process /usr/sbin/nginx -g daemon on; master_process on;"
             ├─1158 "nginx: worker process"
             └─1159 "nginx: cache manager process"

...
Sep 02 05:32:49 vps-hostingprovider nginx[58676]: 2025/09/02 05:32:49 [emerg] 58676#58676: host not found in upstream "100.85.77.22" in /etc/nginx/sites-enabled/ejemlo.com.conf>
Sep 02 05:32:49 vps-hostingprovider systemd[1]: nginx.service: Control process exited, code=exited, status=1/FAILURE
Sep 02 05:32:49 vps-hostingprovider systemd[1]: Reload failed for nginx.service - A high performance web server and a reverse proxy server.
lines 1-28/28 (END)

• Recibimos un código de estado HTTP 502. Esto quiere decir que, si bien NGINX está funcionando correctamente, el servicio al que nos conectamos (expuesto en el puerto 5000 de patata), está devolviendo errores.
  • Si haces una prueba local en patata y el servicio funciona, casi seguro que se trata de un tema de proxies de confianza. Describir el problema en detalle excede los objetivos de este artículo, pero en resumen se trata de que tienes que especificar en la configuración de ese servicio, en patata, que NGINX está instalado en una máquina diferente, el VPS, y configurar la dirección del VPS en Tailscale como proxy de confianza. Consulta los logs del servicio para confirmar esta hipótesis.
  • Esto no es un problema, es una característica de seguridad bastante interesante.
  • Por ejemplo, esto me pasó con mis instancias de Mastodon y de Nextcloud. En ambos casos, la documentación contenía las soluciones: Mastodon – trusted proxies, Nextcloud – trusted proxies
  • Depende de cómo esté implementado el servicio que estamos intentando arreglar, puede ser que acepte un proxy de confianza tanto como nombre de máquina o como direccion IP, o sólo como IP. Ármate de paciencia y si no te funciona con el nombre de la máquina no te desesperes.

En éste os voy a contar cuáles son esos problemas, por qué surgen, por qué los quiero resolver y cómo los he resuelto, pero desde un punto de vista de diseño por el momento. No vas a encontrar instrucciones de terminal para resolver todo esto, sino el contexto necesario para saber qué estoy intentando resolver; las instrucciones detalladas vendrán en los siguientes artículos.

Hasta ahora, todos mis servicios alojados bajo mi impresora eran servicios Web, es decir, basados en comunicaciones a través de los puertos 80 y 443 (HTTP y HTTPs). Estos puertos eran suficientes para comunicar todos mis servicios con mis dispositivos o con mi navegador, o con otros servidores en el caso de mi instancia de Mastodon. Para poder atender a tantos servicios tras los mismos puertos, uso NGINX como proxy inverso:

A diferencia de mis otros servicios, XMPP usa más puertos TCP y UDP que el 80 y el 443: 5000, 5222, 5269,… En el caso de Snikket como, supongo, toda otra serie de alternativas, los puertos 80 y 443 también se usan para proporcionar un panel de control Web y poder administrar usuarios y salas de chat.

Sobre el papel, la configuración para instalar Snikket sería la siguiente:

• Configurar los puertos 80 y 443 en NGINX para poder usar el panel de control de usuarios y conversaciones de Snikket.
• Configurar acceso directo a todo el resto de los puertos de Snikket: 5222, 5269,… ésta es la lista completa (en inglés). Como no son puertos compartidos entre varios servicios, no hace falta configurarlos en un proxy inverso.
• Configurar las DNS de mi servicio de XMPP en mi proveedor de dominios, que es Cloudflare.

Esta configuración, que a priori tendría buena pinta, se resume en esta figura:

Sin embargo, esto tiene un problema que no es evidente, y la configuración de arriba no funciona sin más. Las características de seguridad de Cloudflare que están disponibles para las cuentas gratuitas en forma de “el proxy de Cloudflare” sólo soportan los puertos 80 y 443. Con el proxy de Cloudflare activado, todo el tráfico que no es web (80 y 443) se descartaba, por lo que ninguno de los puertos que entran en juego en las conversaciones de XMPP llegaba a mi servidor.

Desactivando el proxy de Cloudflare para la configuración de los subdominios de Snikket todo funciona, pero queda así:

Desactivar el proxy de Cloudflare no es ideal, porque expone la IP del servidor al resto de internet. Mi servidor está en casa, por lo que un ataque de denegación de servicio que, por puro azar, incluyese la dirección IP que mi operador de acceso a internet me asigna, tiraría por tierra toda mi red doméstica. Eso nos impediría trabajar o estudiar desde casa y, probablemente, me traería problemas con mi proveedor de servicio.

Una alternativa a esto es contratar un servidor barato en cualquier proveedor de alojamiento en la nube (un VPS) y mover toda mi configuración de NGINX a él, conectando este servidor en la nube con el servidor de mi casa mediante una VPN (la cuenta gratuita de Tailscale funciona muy bien y es más que suficiente).

• El proveedor de alojamiento en la nube protegería mi servidor porque la IP expuesta sería la suya, no la de mi casa, y este tipo de empresas protegen su infraestructura ante ataques, por lo menos a un nivel de red. Tras los puertos XMPP no hay contenido, sino un servicio de mensajería que además cifra el tráfico, así que no hay problema por perder la capa de seguridad y anti-bots que proporciona Cloudflare para estos puertos.
• Conectar el VPS a mi servidor a través de una VPN es perfecto para este caso, porque oculta la dirección IP de mi red doméstica ahorrándome configurarla en el panel de control de DNS, y también el tener que abrir puertos en mi router. Además, para todo el tráfico que iría entre la VPS y mi servidor, se aplicaría una capa de cifrado que lo protegería en caso de que, de por sí, no estuviese ya cifrado.

¿Por qué mover sólo la configuración de NGINX y no todos los servicios? Por una cuestión de recursos y precio: para ejecutar NGINX y una serie de reglas de cortafuegos, los requisitos que necesitamos son mínimos. Con un servidor que tenga 1 GB de RAM y con una CPU es más que suficiente, y eso cuesta entre 3 y 6€ al mes. Si muevo todo² necesitaría entre 8 y 16 GB de RAM, mucho más almacenamiento potencia de CPU, una solución de copias de seguridad,… Con todo ello me estaría moviendo en un rango de unos 40€, o más, al mes. Teniendo un servidor en casa donde ejecutar los servicios, moverlo todo a la VPS acarrea un coste innecesario en mi caso.

Así pues, parece que contratar una VPS sencilla para tener NGINX configurado allí, y conectarla al servidor de casa mediante Tailscale, resolvería mis problemas a un coste muy bajo (3 a 6€ al mes).

La única complicación adicional de este método es que tenemos que tener algún mecanismo para redirigir el tráfico de los puertos de XMPP (varios puertos como el 5222, 5269,… en TCP y UDP) desde el VPS hacia nuestro servidor (en casa o donde fuere). Al final lo he resuelto configurando el VPS para que haga IP forwarding y luego he configurado una serie de reglas DNAT³ en su cortafuegos.

En próximos artículos veremos más en detalle la configuración de todos los elementos.

Entre otras cosas, lo hice porque la filosofía de Ghost de obligaros a daros de alta en un perfil determinado de suscriptor para poder comentar me parecía demasiado agresiva. Es cierto, la membresía para ello era gratis, pero no dejaba de ser una barrera artificial y confusa. Por otro lado, Ghost parece más orientado a boletines de noticias (newsletter, en inglés, para los despistados) que a blogs, por varias cosas pero también por el rollo de las membresías.

Por otro lado, Hugo tiene ciertas ventajas para mí, como por ejemplo que me permite crear un blog en dos (o más) idiomas, si es que me decido a traducir todos los artículos. Así, por ejemplo, si pulsáis en la banderita australiana (🇦🇺) que está en la cabecera de la web, podréis acceder a todo el contenido en inglés. En aquellos artículos o páginas con una traducción al inglés, veréis una banderita australiana (o, si estáis en una página en inglés, veréis una banderita española si está traducida al español).

Vais a notar alguna diferencia, más allá de cambios de aspecto. Mientras Ghost es una aplicación web con un servidor y con una base de datos que genera páginas al vuelo, Hugo es un programa que yo ejecuto en mi PC para crear un sitio web estático que luego subo a un servidor web, mucho más sencillo que un servidor de aplicaciones. Eso tiene ventajas e inconvenientes. Sin entrar en demasiados detalles:

• Como ventaja inmediata, no hay ningún software del que preocuparse que se ejecute en otro sitio diferente a tu PC. Tu navegador se descarga mi web entera y te la representa.
• Como inconvemiente inmediato, en Hugo no tendremos comentarios. Algo pensaré.

Aunque a lo mejor hay algún bache por el camino, como por ejemplo que el feed RSS cambie y recibas artículos antiguos como nuevos, no hay tantos artículos como para que esto sea un gran problema; no deberías tener que preocuparte de nada. En cualquier caso, si te preocupa algo, deja un comentario mientras puedas o escríbeme un correo a gabriel arroba el dominio de este blog.

En ocasiones, algo pasa y la opción correspondiente para grabar el escritorio del ordenador desaparece. No sé si OBS está traducido al Español, o si lo está, si está bien traducido; en Inglés la opción que desaparece es “Screen Capture (PipeWire)”:

En mi caso este problema se debió a que los recursos correspondientes a la funcionalidad de Wayland para compartir pantalla se quedaron bloqueados en algún estado inconsistente.

Tras mucho trastear, acabé por recuperar la funcionalidad perdida borrando el contenido de los directorios ~/.cache y ~/.local/state/:

rm -rf ~/.cache/*
rm -rf ~/.local/state/*

No creo que esta solución sirva a todo el mundo, porque Wayland está aún en fase de desarrollo y pueden estar fallando muchas más cosas. Las pistas que me sirvieron para probar estas cosas fueron las siguientes:

• Esta característica funcionaba, no mucho tiempo atrás.
• Creando un usuario nuevo, ese usuario tiene la opción disponible.

Esto quiere decir que OBS y Wayland están bien instalados y funcionan en el ordenador, por lo que todo apuntaba a ficheros temporales.

Para poder colocar la respuesta automáticamente por encima del texto al que respondes, deberás editar las plantillas por defecto del editor. Para eso, en Settings → Composer → *Standard Templates, *o sus equivalentes en español, deberás cambiar todas las plantillas de respuesta para que el comando %CURSOR aparezca por encima del comando %QUOTE.

Por ejemplo, la plantilla de responder a todos pasaría de ésto:

%REM="Default reply all template"%-
On %ODATE %OTIMELONG %OFROMNAME wrote:
%QUOTE
%CURSOR

A ésto:

%REM="Default reply all template"%-
%CURSOR

On %ODATE %OTIMELONG %OFROMNAME wrote:
%QUOTE

Deberás cambiarlas todas. Y para más inri, si usas KMail como un plugin de Kontact, probablemente debas cambiar estas plantillas en ambas aplicaciones; por alguna razón no hablan entre ellas muy bien. En cualquier caso, ese cambio funciona una vez ambos escenarios reconocen el cambio.

Siendo esta aplicación parte de KDE, entorno de escritorio famoso por la ingente cantidad de opciones que ofrece, que falte algo tan básico es casi un síntoma de la falta de diseñadores de producto colaborando con proyectos de software libre que, por otro lado y desde cualquier punto de vista, son fantásticos.

Aún así, no hace falta buscar muy a fondo en internet para encontrar respuestas como la que sigue:

No tiene nada de malo que la comunidad de KDE eduque a usuarios como tú en conceptos avanzados de los clientes de correo electrónico [como las plantillas]. … … entender cómo funcionan las plantillas de texto no es mucho pedir para un usuario de KDE/Plasma. Siempre puedes instalar Thunderbird si piensas diferente.

Y así es como el software libre pierde usuarios: con respuestas pedantes que piensan que forzarte a perder el tiempo con algo tan de nicho como un lenguaje de marcado específico de un editor de plantillas de mensajes correo electrónico es más razonable que mejorar un producto con una opción en forma de una casilla de verificación. Una triste casilla de verificación.

El pasado viernes 29 de noviembre estuve instalando Linux en arranque dual con Windows 11, en través de twitch. Y me ha gustado el resultado, tanto que es muy posible que haga muchos más vídeos de ahora en adelante, tanto en directo como “producidos”.

El resultado está disponible en PeerTube, en mi cuenta de veedeo.org, próximamente en YouTube, y lo puedes ver aquí mismo:

También he creado, por fin, una cuenta de Patreon para que, quien quiera, pueda apoyar este blog, el podcast y los vídeos que iré creando a medida que el tiempo y el material disponible me lo permitan.

Sin embargo, el fichero de copia de seguridad del certificado (formato PKCS #12, de extensión .p12) que generan las herramientas oficiales usa una versión de los algoritmos de cifrado que está considerada obsoleta. Esto genera un fichero aparentemente inservible, imposible de usar en la mayoría de navegadores modernos, como Firefox en mi caso.

Esto te puede estar afectando ya mismo aunque no uses Linux, y aunque no hayas renovado nada.

• El problema se debe a un cambio en los estándares de seguridad de los navegadores, que busca elevar el nivel de seguridad de este tipo de cosas. Si tienes esta copia de seguridad almacenada en tus archivos y quieres importarla en un navegador moderno, meses o años después de haberla generado, probablemente tengas este problema.
• Al ser algo relacionado con la seguridad de forma general, el problema no debería estar limitado a Firefox ni a Linux, y puede estar pasando ahora o en un futuro cercano con Safari, Chrome o Edge en Windows o en macOS.

Los siguientes comandos en GNU/Linux producen un fichero certificado.p12 que podrás importar en tu navegador. Antes de empezar, algunas notas:

• VISO_CARRERA_GABRIEL___[NIF].p12 es el archivo de certificado con problemas, así que tendrás que usar el nombre de tu propio fichero.

• Los ficheros .p12 están protegidos con contraseña. Necesitarás introducir una contraseña para operar con el fichero .p12 con problemas, y fijar una nueva contraseña en el fichero .p12 resultado del proceso. Esto no está representado en los comandos siguientes.

  openssl pkcs12 -legacy -in VISO_CARRERA_GABRIEL___[NIF].p12 -clcerts -nokeys -out certificado.crt openssl pkcs12 -legacy -in VISO_CARRERA_GABRIEL___[NIF].p12 -nocerts -out cifrado.key openssl rsa -in cifrado.key -out privado.key openssl pkcs12 -export -in certificado.crt -inkey privado.key -out certificado.p12

Un comando por línea.

Una vez hecho esto, certificado.p12 podrá ser importado en tus navegadores, sin problema alguno.

Este proceso no me lo he inventado yo, ni lo he descubierto por mi mismo; lo he encontrado en esta respuesta en el foro de la comunidad de Fedora.

Si usas GNU/Linux en tu día a día pero tienes Windows en una máquina virtual por si las moscas, esto también es un problema aunque no uses Windows más que una o dos veces al año. Por ejemplo, si usas Windows para entrar en la típica página de la administración porque no has sido capaz de configurar un navegador de forma que funcione correctamente, vas a tener que tener un sistema compatible pero actualizado. No quieres usar un sistema desactualizado, sin parches, etc., para cosas tan sensibles como tu declaración de la renta o gestionar cosas con la Seguridad Social. Aunque creas que te da igual, no te da igual, y no quieres hacerlo.

Para poder llevar a cabo este proceso tu ordenador físico tiene que cumplir con los requisitos de hardware de Windows 11 en términos de microprocesador, módulo de seguridad TPM, y demás. La virtualización es un proceso que comparte dispositivos reales de la máquina física entre distintos sistemas operativos: uno anfitrión, que es el que está instalado sobre la máquina física, y los distintos sistemas operativos huéspedes, instalados en las máquinas virtuales.

Aunque pudiese haber productos que, además de virtualización, tuviesen capadidades de emulación para exponer un chip TPM realizado por software, o para que Windows 11 percibiese un microprocesador de una serie más moderna que el tuyo, VirtualBox no es uno de ellos.

Por lo tanto, utilizar VirtualBox no te va a servir para instalar Windows 11 en un PC que no esté soportado.

Al igual que actualizar un ordenador a Windows 11, actualizar una máquina virtual tiene sus curvas, sus terraplenes y sus trucos: si cambiamos el hardware virtual de nuestra máquina virtual, nuestra licencia de Windows 10 no será válida, y tendremos que comprar una licencia de Windows 11. No podemos crear otra máquina virtual, instalar Windows 11 y usarlo, porque no tendremos licencia de Windows para ese hardware. Incluso si creamos la máquina virtual con los mismos identificadores de hardware, sospecho que al no haber cambiado de Windows 10 a Windows 11 de forma controlada podríamos tener algún problema de licencia porque la licencia vinculada a esos identificadores de hardware es de Windows 10.

Por si fuera poco, VirtualBox no se caracteriza por ofrecer una experiencia de virtualización de Windows 11 adecuada, ni por facilitar la actualización desde Windows 10:

1. Hasta hace relativamente pocos telediarios, las máquinas virtuales de VirtualBox tenían una definición equivalente a un PC de hace 20 años, y no exagero: BIOS, esquema de particiones MBR, nada que se parezca a un chip TPM es ofrecido a la máquina virtual, el arranque seguro es ciencia-ficción y la EFI “sólo es válida para sistemas operativos especiales”.
2. Por las razones arriba expuestas, estas máquinas no soportan Windows 11. Para usar Windows 11 en estas máquinas debías usar el proceso existente para decirle a Windows que no comprobase sus requisitos de hardware. Esto cae en un terreno gris donde Microsoft no termina de posicionarse, pero siempre ha barajado no permitir que dichos PC recibiesen actualizaciones.
3. En VirtualBox 7, como quien dice, anteayer, Oracle por fin implementó todas las características que requiere Windows 11 de forma nativa y ya permite definir una máquina virtual con EFI, arranque seguro, TPM 2.0 y todas esas otras características.
4. En una máquina virtual existente, activar esas características permitiría, en teoría, ejecutar el proceso de actualización a Windows 11 sin perder la licencia ni tener que hacer arcanos de terminal ni editar ficheros a mano.
5. Sin embargo, activar la EFI, TPM y arranque seguro en nuestra máquina virtual existente la dejará aparentemente inservible, porque no arrancará.

No es un problema tan descabellado, tiene su sentido, la causa del problema es trivial y, por suerte, tiene fácil solución. El problema es que la máquina no encuentra el sistema operativo: el disco donde está Windows 10 es un disco formateado con un esquema de particiones MBR, típico de la época de los PC con BIOS, mientras que los PC con EFI espera discos formateados con esquema de particiones GPT.

Así pues, para poder activar la EFI hay que convertir la tabla de particiones de un disco desde MBR a GPT. Para ello y como se discute en el enlace anterior, Microsoft proporciona un programa llamado mbr2gpt.exe. Afortunadamente, todas las instalaciones de Windows 10 que conserven su partición de recuperación lo tienen disponible, y las instalaciones hechas en VirtualBox no son una excepción. Además, y por si las moscas, ese programa está incluido en todas las imágenes de DVD o de memoria USB que usaríamos para reparar, actualizar o restaurar el sistema.

Esto es lo que hay que hacer específicamente en Virtual Box:

• Actualiza tu instalación de Windows 10 hasta la última actualización disponible.

• Realiza una copia de seguridad de tus ficheros, por si la conversión desde MBR a GPT fallase por alguna razón y debieras reinstalar Windows 10.

• Recuerda: tu licencia está vinculada a Windows 10. Hasta que no tengas un sistema actualizado a Windows 11 y con Windows 11 activado, creo que no puedes formatear e instalar Windows 11 desde cero.

• Descarga el programa de creación de medios de instalación de Microsoft para crear dos medios de instalación en formato ISO: Windows 10.iso y Windows 11.iso.

• Reinicia tu sistema operativo en modo recuperación pulsando la tecla de mayúsculas mientras pinchas en el botón Reiniciar de Windows 10

• Alternativamente, utiliza cualquiera de las ISO que acabas de descargar para reparar el sistema.

La ISO de Windows 11 ofrece opciones para reparar el sistema, igual que la partición de recuperación de Windows 10.

• En este entorno, abre un intérprete de comandos (Troubleshoot > Advanced Options > Command Prompt o algo como Solución de Problemas > Opciones Avanzadas > Intérprete de Comandos) y ejecuta los comandos siguientes:

  mbr32gpt /validate

Comando para validar tu unidad de disco. Si todo va bien, la salida del programa terminará con MBR2GPT: Validation completed successfully.

mbr2gpt /convert

Comando para convertir tu unidad de disco desde MBR a GPT. Si todo va bien, la salida del programa terminará con MBR2GPT: Conversion completed successfullyMBR2GPT: Update WinRE config fileMBR2GPT: Before the new system can boot properly you need to switch the firmware to boot to UEFI mode!

Diferentes pantallas del proceso explicado en los puntos anteriores, donde podemos ver el aspecto del proceso de recuperación y la salida de los comandos.

• Apaga la máquina virtual de forma ordenada y, en VirtualBox, cambia la configuración para que EFI, Arranque Seguro (Secure Boot), el chip TMP 2.0 y la aceleración de gráficos en 3D estén activadas en el siguiente arranque.

Activando las opciones EFI y Secure Boot.Activando la aceleración 3D, y dotando a la máquina de suficiente memoria de vídeo (256 MB, que es el máximo)

• Arranca la máquina virtual. El sistema debería arrancar perfectamente y funcionar como si nada.
• Actualiza Windows 10 una vez más.

Windows seguirá diciendo que tu sistema no es compatible con Windows 11, y sólo obtendrás actualizaciones de Windows 10. Esto no es cierto gracias a los cambios que hemos llevado a cabo en la máquina: mi sospecha es que el programa de compatibilidad que Microsoft ha escrito tiene una base de datos de fabricantes reconocidos que no está preparado para máquinas virtuales. Pero esto no es un problema, porque tenemos una ISO de Windows 11 y podremos iniciar el proceso pese a todo.

• Monta la ISO de Windows 11 en la unidad de DVD que tiene tu máquina virtual.
• Ábrela con el Explorador de Ficheros y ejecuta el programa setup.exe.

Programa de instalación de Windows 11, en el Explorador de Ficheros de Windows 10

• Selecciona las opciones adecuadas para conservar tus ficheros y aplicaciones (o no), y actualizar el sistema.

Si todo te ha ido igual de bien que a mí, deberías tener una máquina virtual con Windows 11 donde todos los requisitos están cumplidos, la activación del sistema es correcta y está vinculada a tu cuenta de Microsoft. Detalle de la máquina virtual Windows 11 mostrando los detalles del chip TPM que le es ofrecido. Es hora de actualizarla una última vez para recibir actualizaciones específicas de Windows 11, crear una copia de seguridad de acuerdo a tu propia estrategia, y dedicarte a cosas más productivas.

Compatibilidad con Linux GNU/Linux

A día de hoy y con la distribución que uso, que es Fedora en alguna de sus variantes, la compatibilidad es total, excepto con el lector de pantalla. No hay ningún dispositivo que no funcione; sin embargo, para que todo funcione bien, debemos tener en cuanta algunas cosas y, dependiendo de nuestras elecciones, hacer algunos ajustes.

🐧 Como siempre, pero esperemos que por poco tiempo, GNU/Linux tiene sus servidumbres.

Esta sección no trata de desanimarte, sino todo lo contrario porque todos los problemas que detallo aquí son salvables de una u otra forma; sin embargo, y para poder disfrutar de un portátil Framework, conviene leer este apartado.

Lo primero es que debemos escoger la mejor distribución para nuestras necesidades de accesibilidad: Fedora funciona bien para mí, pero no para una persona que necesite un lector de pantalla. Fedora utiliza Wayland por defecto, que es el protocolo de gestión de ventanas y gráficos destinado a reemplazar a X, que acaba de cumplir 40 años y tiene toda una serie de problemas. Lamentablemente, Wayland rompe la compatibilidad con los lectores de pantalla de Linux, y aunque se está trabajando en restaurar la accesibilidad, el trabajo no está terminado. Si necesitas usar un lector de pantalla te recomiendo que evites Fedora por el momento y que uses otra distribución que utilice X por defecto, como Pop!_OS o Linux Mint en alguna de sus variantes.

En cualquier otro caso, este portátil requiere usar Wayland por la mera razón de que la pantalla tiene una resolución demasiado alta. Aunque parezca contradictorio, es aquí es donde nos podemos desanimar un poco.

• Con la pantalla que trae este portátil, necesitas escalado fraccionado. Si no configuras una ampliación a 125% ó 150%, la resolución nativa del portátil es tan alta que no vas a poder trabajar.
• Esto no funciona bien, o no funciona en absoluto, con X.
• Si usas Linux con Wayland, el escalado fraccionado funciona bien en KDE por defecto, queriendo decir “bien” que las aplicaciones se ven nítidas. Da igual lo antiguas que sean las aplicaciones: en general se ven todas igual de nítidas.
• En Gnome, sin embargo, vas a tener que arreglar las aplicaciones antiguas una por una, añadiendo parámetros por línea de comandos en aquellas aplicaciones que se vean borrosas.

Por aplicaciones antiguas me refiero a aquellas aplicaciones que todavía no se han adaptado nativamente al uso de Wayland como protocolo de pantalla.

A continuación una imagen donde se puede comparar “aplicación borrosa” con “aplicación que se ve bien”: se trata de una superposición de la misma web mostrada en Firefox (al fondo, nítida) con la misma web mostrada por una aplicación que no está corregida para usar el escalado fraccionado moderno, implementado por Wayland (en primer plano, texto borroso):

Parece una diferencia trivial, pero cuando la ves y tu cerebro aprende a distinguirla sin esfuerzo, no es algo que puedas “desver”. Echa por tierra la experiencia de usuario que, de otra forma, disfrutarías con esta pantalla.

Este problema, como señalaba antes, afecta predominantemente a Gnome. Aún así, con la excepción de las aplicaciones que utilizan Java para la gestión de gráficos, como los entornos de programación integrados de JetBrains, he podido solucionar todo actuando sobre cada aplicación. Esto se hace añadiendo opciones adicionales por línea de comandos en sus accesos directos; sin embargo, al tener que hacerlo aplicación por aplicación, es algo que se lleva su trabajo. Si no estás por la labor, este asunto me llevaría a recomendarte evitar Gnome y usar KDE. Si prefieres Gnome y necesitas ayuda, escríbeme un comentario por aquí mismo o por mastodon, y te ayudaré hasta donde pueda.

En cualquier otro aspecto, la experiencia que ofrece este portátil con GNU/Linux es impecable. Con un mínimo de configuración opcional, para dejar las cosas a nuestro gusto, tanto Fedora Workstation como los spins con KDE, o las versiones atómicas Silverblue (Gnome) y Kinoite (KDE) encajan como un guante.

Ampliabilidad y reparabilidad a prueba de torpes

La realidad es que tengo un portátil que es más fácil de montar y desmontar que mi sobremesa.

Y no exagero: allá por 2017 cometí el error de comprarme un sobremesa primero y la tarjeta gráfica después. Esto me llevó a descubrir que, según la tarjeta gráfica que quieras, no vale cualquier fuente de alimentación: la fuente de alimentación que había montado no tenía salidas de alimentación suficientes como para conectar una Nvidia GTX 1070. Para cambiar la fuente de alimentación tuve que desmontar todo el sobremesa y las pasé canutas con la cantidad de tornillos y cables, y la gestión de los mismos. De hecho, me sobró un tornillo que tengo guardado por ahí.

Sin embargo, el Framework se monta y desmonta con un solo destornillador, la organización del interior es excelente, y cada componente tiene un código QR que te lleva a la guía de instalación o reemplazo de cada uno. La batería se desconecta automáticamente cuando detecta que el dispositivo está abierto, y el portátil no tiene clips de presión: todo se ensambla o bien con el destornillador que trae, o bien se fija con imanes. Como prueba, un vídeo de iFixIt (en inglés) en el que actualizan la pantalla, placa base y batería de un Framework de primera generación a los componentes que vienen con el modelo que tengo:

El vídeo está extremadamente resumido, pero por propia experiencia os puedo decir que los 20 minutos que menciona el presentador se pueden convertir, todo lo más, en 30 si tienes que pensarte las cosas dos veces y consultar las instrucciones para mayor seguridad. Fácil, divertido y responsable con tu bolsillo y el planeta.

Montar un sobremesa con la misma facilidad es difícil y sale más caro, porque vas a necesitar cajas mejores, y fuentes de alimentación modulares para evitar manojos de cables por ahí colgando. El diseño mecánico de cajas y componentes fáciles de cambiar, y que encajen bien entre ellos sin hacer encaje de bolillos, es de suponer, tiene un precio.

Pese a estas posibilidades, el acabado se nota muy bueno, y la rigidez de todo el conjunto es mucho más alta de lo que personalmente me podía imaginar. No hay crujidos ni zonas donde el portátil dé la impresión de ser frágil.

El hardware

La pantalla que escogí es la de acabado mate. Es una pantalla IPS que ofrece brillo superior a 400 *nit *(candelas por metro cuadrado) y un contraste superior a 1500:1.

Cubre el rango del espacio de color sRGB al 100% y tiene una resolución de 2256×1504 píxels en sólo 13.5 pulgadas. La resolución arroja una densidad aproximada de 200 puntos por pulgada, que para la distancia normal de uso de un portátil (aproximadamente 50 cm.), hace muy difícil que la imagen resulte pixelada. Por otro lado, obliga a usar escalado fraccionado de gráficos para que el tamaño del texto y los controles resulte razonable. Mientras que en Windows esto es un simple ajuste, con Linux tuvimos que remangarnos un poquito más, como ya he comentado. La relación de aspecto es 3:2, quizá no tan cómoda para ver películas como una 16:9, pero mejor para trabajar, porque cabe más texto en vertical.

La batería es de 61Wh pero se queda en un aprobado. Mientras que su autonomía cumple, proporcionando unas 12 horas escribiendo texto con poco brillo en la pantalla, el soporte a umbrales de carga y a características de cuidado de la misma se queda muy corto en comparación a las baterías de otros portátiles profesionales, como los ThinkPad. Es de esperar que tanto la controladora de la propia batería, como el software proporcionado por Framework, y la eficiencia de los microprocesadores mejoren en un espacio de dos o tres generaciones hasta darnos una eficiencia que pueda acercarse a la de un Apple Silicon, y el control esté a la altura de un ThinkPad, pero por ahora esto es lo que hay. Lo bueno es que, cuando estas cosas vayan mejorando, portátiles como el Framework podrán irlas adquiriendo componente a componente, y no teniendo que reemplazar el equipo entero.

El trackpad, creo, es lo peor que tiene el portátil. No porque tenga un tamaño o una respuesta inadecuadas; al contrario, soporta gestos con tres y cuatro dedos de forma ágil y precisa. Es por el rechazo de palma: al menos con Linux, el rechazo de la palma de la mano es realmente malo, lo cual quiere decir que en medio de un texto puedes mover el ratón, seleccionando texto, escribiendo encima, y estropeando constantemente el flujo de trabajo. Y es que el controlador no soporta ningún mecanismo de ajuste de presión o de sensibilidad, así que la única solución que he encontrado para esto ha sido ponerme manos a la obra y configurar un atajo de teclado para desactivarlo cuando necesito escribir textos largos, como es este caso, programando un pequeño script al que poder asociar una combinación de teclas (Meta+T, en mi caso) en Gnome.

#!/bin/sh

state=$(gsettings get org.gnome.desktop.peripherals.touchpad send-events)

if [ "$state" == "'enabled'" ];then
	gsettings set org.gnome.desktop.peripherals.touchpad send-events disabled
else
	gsettings set org.gnome.desktop.peripherals.touchpad send-events enabled
fi

El rendimiento no merece demasiado comentario porque es excelente. Con un Intel Core i7-1360P a 5 GHz con 64 GB de RAM, no hay nada que yo necesite ejecutar con lo que se quede corto, y el microprocesador tiene una cantidad de núcleos suficiente (4 de alto rendimiento y 8 de alta eficiencia) como para ser un microprocesador excelente a la hora de utilizar contenedores y máquinas virtuales. Como referencia para los usuarios de Macintosh podríamos decir que, sin tener en cuenta el ancho de banda de acceso a memoria, el rendimiento de este microprocesador se sitúa entre el Apple M2 y el M2 Pro. Una nota negativa es que, pese a que el microprocesador soporta DDR5 y LPDDR5, la placa base de Framework para este modelo sólo porta DDR4. Esto afecta no sólo a la velocidad alcanzable, sino también al consumo de energía del ordenador. Eso sí, el kit de placa y procesador sólo tiene un ventilador, y cuando sopla, sopla de verdad. Con tareas exigentes este portátil no es silencioso en absoluto.

El almacenamiento que le he puesto ha sido un módulo Crucial P5 Plus PCIe 4, de 2 TB, en lugar de los Western Digital que ofrece Framework, porque éstos no ofrecen cifrado por hardware y el Crucial sí. El cifrado por hardware funciona como sigue: el disco está siempre cifrado, hagas lo que hagas, pero de fábrica no solicita ninguna contraseña en el arranque. Cuando, en la UEFI / BIOS de tu ordenador, configuras una contraseña para el disco, lo conectes al ordenador que lo conectes, si no introduces la contraseña correcta el disco es ilegible. Esto permite configurar la seguridad de forma independiente al sistema operativo, con el inconveniente de que perdemos algo de velocidad. Por poner valores concretos, los módulos que vende Framework ofrecen una velocidad de lectura secuencial de 7300 MB/s, mientras que el Crucial que he montado ofrece 6600 MB/s. En mi caso personal, el cifrado por hardware vale más que los 700 MBps que he entregado a cambio.

El teclado es muy bueno. Teclas y recorrido amplio, buen tacto y respuesta sólida. Con una retroiluminación que aparece bajo las teclas, sin resaltar los glifos en las teclas, pero que, aún así, resuelve. Personalmente lo sitúo como bastante mejor que el teclado de los Macbook Pro actuales (uso un M3 en el trabajo) pero por debajo del teclado de los ThinkPad que, en mi opinión, está próximo a ser perfecto. Sin embargo, tiene dos defectos: uno cosmético y otro funcional.

• Cosméticamente, es un teclado con la tecla de Windows. En Linux, esa tecla se llama Meta y no necesita estar marcada con el logotipo de Windows, ni con ningún otro. Es un modificador de teclado más. Actualmente (2024), Framework está preparando kits de teclado con una tecla Meta agnóstica del fabricante del sistema operativo, pero cuando compré el portátil no estaba disponible.

• El defecto funcional es que no tiene un indicador luminoso del estado de las teclas de función (Fn). En este teclado, como en muchos otros, tenemos las teclas F1 a F12 con doble comportamiento: F1 a F12, o extensiones como el control de volumen, brillo de la pantalla, etc. Estos modos se pueden bloquear mediante Fn+ESC, pero no hay ningún indicador visual que te diga, antes de pulsar la tecla F1, si se va a abrir la ayuda (F1), o si se va a poner el sonido en mudo (mute). Y esto no es algo que se pueda arreglar con extensiones o controladores, porque a diferencia de indicadores como el bloqueo de mayúsculas, y demás modificadores estándares, éste ocurre en el hardware del teclado sin exponer ningún indicador al sistema operativo.

El lector de huellas es realmente bueno. Rápido, fácil de configurar y con un soporte en Linux excelente, me ahorra una cantidad de tiempo increíble. En Linux se puede usar el lector de huellas en la Terminal, a diferencia de en macOS que hay que teclear la contraseña cada vez que tenemos que usar sudo.

El sonido ni impresiona ni molesta, lo mismo que la cámara web a 1080p y 60 Hz. El micrófono es suficiente como para tener una conversación inteligible.

Conclusión

No puedo estar más contento con este portátil. Es ligero, razonablemente bonito, y con unas prestaciones y una calidad muy altas.

La compatibilidad con GNU/Linux, que define en muchos aspectos lo que yo necesito y quiero, es excelente y sólo puede mejorar.

En cuanto a lo que distingue este portátil de otros: su reparabilidad y ampliabilidad, merecen mucho la pena. En mi caso concreto, y salvo que necesite un dispositivo con mayor capacidad gráfica, este es en teoría el portátil definitivo: todo lo que a día de hoy me disgusta, lo que se rompa o lo que se quede corto se podrá cambiar, y en muchos casos reutilizar de alguna forma. Mientras la compañía sobreviva, estas características compensan con creces el sobreprecio que suponen en comparación con otras alterantivas menos reparables o, directamente, de usar y tirar.

Los puntos negativos, como el trackpad, el rendimiento por watio, el control de la batería y lo ruidoso del ventilador son cosas de las que el fabricante es consciente y se irán superando.

Desde los primeros anuncios de Recuerdos / Recall, la cosa ha estado muy movida y muy loca. Escribo este artículo a modo de cronología, en parte para darle un poco de seguimiento a lo que escribí en su día, pero sobre todo para poder aparcar este tema.

• Microsoft anuncia recuerdos

• Numerosos expertos en ciberseguridad y derechos humanos critican este mecanismo porque no ofrece la seguridad y privacidad que cabría esperar.

• ¿Derechos humanos? Sí: un PC con Recuerdos activado es muy atractivo en regímenes autoritarios y estados policiales, además de otras situaciones como violencia doméstica donde un usuario pueda ser coaccionado o torturado para dar acceso al contenido de recuerdos.

• Microsoft y sus seguidores dentro de la prensa tratan de quitar hierro al asunto, interpretando este rechazo como un error de comunicación de Microsoft, haciendo énfasis en las premisas que deberían hacer seguro a Recuerdos: las capturas de pantalla se almacenan cifradas mediante Bitlocker, un atacante debería ganar acceso a tu ordenador, etcétera.

• Numerosos analistas consiguen reventar el chisme por todas partes, siendo el más notorio dentro del grupo al que yo sigo, Kevin Beaumont.

• Al parecer, la información de las capturas de pantalla se procesa mediante reconocimiento óptico de caracteres (OCR) y se guarda en una base de datos SQLite sin cifrar.

• Un usuario que sepa dónde está guardado el fichero SQLite puede acceder a él símplemente aceptando un diálogo de control de acceso de usuarios (UAC) de Windows. El usuario no tiene que tener permisos de administrador.

• Al estar la información dentro de SQLite en texto claro, si se tiene acceso a ésta, no importa que la máquina tenga activado Bitlocker o no. Accediendo localmente a este fichero o copiándolo a otra máquina, la actividad del usuario estaría completamente expuesta.

• Programando es incluso más fácil

• Más o menos al mismo tiempo, Microsoft empieza a darse cuenta del fiasco y a cambiar el enfoque añadiendo medidas adicionales que pasan por esperar a que el usuario lo active (en lugar de activarlo por defecto), y por proteger el acceso a Recuerdos mediante Windows Hello (un autenticador FIDO2 basado en biometría).

• Empieza a haber preocupación acerca de tener activado recuerdos en un entorno profesional que maneje datos personales y datos sensibles de sus clientes, ya que la falta de seguridad de este mecanismo hace que un atacante ni siquiera tenga que esforzarse en buscar los datos en diferentes documentos: toda la información de interés estaría contenida en un único punto.

• Al final el impacto es tan negativo que Recuerdos se retrasa oficialmente y no estará disponible en los primeros PC Copilot+.

¿En qué quedará la cosa? Personalmente espero que sepan encontrar un equilibrio entre seguridad y comodidad, porque por muy atractivo que Recuerdos pueda parecer a usuarios privilegiados (esto es, sin problemas) del primer mundo, la cosa está muy verde.

Era genial.

Entonces, llegó Spotify, primero como inversor, y luego comprando Anchor. Al poco tiempo, todas las características sociales y el funcionamiento que comentaba arriba, como la emisora, desaparecieron del producto y nos quedamos con una plataforma de podcasting solvente, y nada más.

No voy a dar cuenta en detalle del proceso de enmierdificación de Spotify en este artículo, sino que me voy a limitar a decir que no estoy cómodo en esa plataforma desde hace tiempo, y he decidido autoalojar en casa mi propio podcast. El soporte a mi podcast me lo da ahora Castopod, una plataforma de podcasting libre y de código abierto que, además, ofrece integración con el fediverso mediante Activity Pub y soporte a múltiples características del podcasting 2.0, como la posibilidad de dejar comentarios desde tu propia aplicación de escucha de podcasts entre otras cosas.

Vamos a ver cómo se migra un podcast a Castopod. En este artículo se trata de Spotify, pero el proceso va a ser muy similar en cualquier otro caso.

Obtén Castopod

Castopod está disponible para instalar en tu propio servidor, que puede ser una VPS o una máquina sencilla conectada a internet, o puedes contratarlo en varios proveedores especializados. En castopod.org tienes acceso a información acerca de todas las opciones. Yo lo he instalado en un mini PC, en mi casa, usando Docker y NGINX como proxy inverso. Publicaré algo al respecto en lo sucesivo, pero hoy me voy a centrar en el proceso de salida de Spotify.

Opcional: obtén tu propio dominio y, si es posible, una CDN

Si lo vas a instalar en tu casa, vas a necesitar un dominio. Si lo usas ofrecido por alguno de los proveedores, probablemente puedas usar un subdominio proporcionado por ellos.

En cualquier caso, como un podcast sirve archivos de cierto peso, es buena idea contratar un servicio que te ofrezca una red de distribución de contenidos (CDN) con presencia en múltiples geografías: actuará de caché, relajando los requisitos de ancho de banda de tu proveedor, y además acelerará el acceso a tu podcast desde geografías lejanas. Personalmente, uso la cuenta gratuita de Cloudflare para los dos asuntos: dominio y CDN.

Importa tu Podcast en Castopod

Una vez Castopod está funcionando en tu servidor, es hora de importar tu podcast en Castopod. Esto se hace indicando la dirección del feed RSS a Castopod en su panel de control, así como el nombre de usuario en el fediverso, la categoría y el idioma del contenido.

![)Formulario de importación de un podcast en Castopod Es importante tener en cuenta que Castopod va a reinterpretar todo el feed y a validarlo. Uno de los problemas que tuve derivados de este aspecto es que, si a alguno de tus episodios le faltan las notas (el contenido del campo <description />), el proceso va a fallar, tendrás que corregir el episodio en concreto, esperar a que Spotify republique tu feed, y reanudar el proceso donde se interrumpió. En mi caso, llevó unos cuantos intentos:

Opcional: activa las estadísticas OP3

Las estadísticas que ofrece Castopod por defecto son bastante buenas, pero si te interesa la iniciativa Open Podcast Prefix Project, OP3, es un buen momento para unirte a ella activando las estadísticas con un sólo click en el formulario de edición de tu podcast.

Redirige tu antiguo feed al nuevo, permanentemente

Éste es el paso más sencillo, y más crítico. En Spotify para Podcasters, en el panel de edición de tu podcast, encontrarás un campo de texto para introducir un nuevo feed al que redirigir el antiguo. Esta redirección se implementa mediante un código de estado del protocolo HTTP, 301, que indica a los clientes, índices, buscadores y directorios de podcasting que el feed se ha mudado y nunca volverá a Spotify. En el cuerpo de la respuesta que acompaña a ese estado de redirección permanente 301 está la dirección del nuevo feed. El comportamiento esperado para clientes HTTP (cualquier aplicación o servicio que quiera acceder al feed) cuando reciben una respuesta con estado 301 es actualizar sus registros a la nueva dirección y no volver a intentar acceder a la antigua nunca más.

A partir de este momento, y en un tiempo indeterminado, todos tus suscriptores empezarán a recibir contenido por el feed nuevo, y si tienes la misma experiencia que yo, de una forma totalmente transparente.

⚠️ Cuando esto pase, perderás el control de tu podcast en Spotify para Podcasters

Esto es algo de lo que Spotify no te avisa claramente, pero cuando Spotify perciba que el podcast ya no está bajo su control, perderás acceso a funciones de edición del mismo, e incluso a la posibilidad de borrar los datos del mismo en Spotify.

Aún cuando veas que esto está pasando, no borres aún tu cuenta de Spotify para Podcasters: si algún rezagado no ha recibido la instrucción de redirección y borras tu cuenta, se borra la redirección, con lo cual podrías perder oyentes. Personalmente, yo voy a borrarla pasado un mes.

⚠️ Escoge cuidadosamente el momento de hacer esto si alojas tu nuevo podcast en tu casa.

En el momento en el que actives la redirección en Spotify, servicios de directorio que probablemente no sepas que estaban indexando tu feed recibirán las coordenadas del feed nuevo. Estos servicios de directorio usan procesos tipo arañas (mala traducción de web crawlers) para recorrer el feed y reindexarlo todo.

El cambio desde Spotify para Podcasters a Castopod es muy profundo. En términos de la propia estructura del feed, de dónde están alojados los ficheros, y del nombre de los mismos, el efecto es que todos estos procesos perciben tu podcast como una reedición completa. Como decimos en España, a este feed no lo reconoce ni su padre. Esto hace que todos estos actores invaliden todos los datos previos y lo recorran todo de nuevo, descargando todos y cada uno de tus episodios, metadatos, imágenes… todo. Y en este momento, aunque tengas CDN, su caché todavía está vacía, por lo que todas las peticiones van a ir directas a tu casa.

Estos servicios tienen una capacidad de cómputo y de red inmensamente mayor que la de tu casa, por lo que todos* ataquen tu feed a la vez*, tu conexión a internet va a experimentar un pico de tráfico de subida muy significativo, que puede afectar a tu conectividad, especialmente si hay alguien trabajando desde casa.

Por eso, mejor hazlo por la noche. No seas como yo 😅

Solicita el traspaso de tu Podcast a tu propiedad en los distintos directorios (que te interesen)

Esto es importante.

Me voy a centrar en Apple Podcasts, pero es fácil entender que esto deberías hacerlo allá en donde te interese tener presencia, en tu caso particular.

Acabas de redirigir tu feed a Castopod, tu conexión a internet en casa las ha pasado canutas, y has tenido que dar explicaciones a tu mujer e hijos de por qué internet iba como una patata, pero todo ha vuelto a su cauce normal, todo funciona y los primeros oyentes que sabían que ibas a cambiar esto te felicitan, te dicen que las descargas van más lentas…

Sin embargo, los directorios de podcasting como Apple Podcasts no te tienen registrado como el autor o el responsable del mismo a la hora de enviarte alertas y avisos con respecto a tu podcast. Situaciones en las que te podrías ver involucrado y que te interesaría resolver con Apple, como una potencial violación de los Términos y Condiciones de su servicios de directorio, no te serán notificadas.

Por otro lado, tampoco tienes control sobre tu podcast en Spotify para Podcasters, que es a donde Apple enviaría este tipo de mensajes en caso de conflicto. Spotify te ha dado la patada en cuanto la redirección se ha vuelto efectiva.

Estás en tierra de nadie.

Es hora de ponerse en contacto con Apple Podcasts Connect y solicitar que te den control sobre tu podcast.

Para eso, ármate con tu fluidez en el idioma de Shakespeare, porque creo que el formulario no se ofrece en Español, y haz lo siguiente (efectivo en Mayo de 2024):

1. Entra en Apple Podcasts Connect, o regístrate si no tienes cuenta.

2. Abajo de todo, selecciona “Contact Us”

3. En el formulario que aparece, rellena tus datos y selecciona como tema de consulta “Missing Podcast(s)” dentro de “Content Management”. Tendrás que introducir los siguientes datos:

4. El título del podcast ("Podamigos del cocido")

5. El id del podcast. Entiendo que se trata de los números al final en la URL del podcast en Apple Podcasts: “id817487481”.

6. La URL completa a la página del podcast en Apple Podcasts.

7. La URL del nuevo feed.

8. En el cuerpo del mensaje, indica que has migrado tu podcast desde Spotify a otro hosting, indica también la del anterior por si acaso el operador que te atienda todavía tiene el antiguo feed en sus cachés, y pide instrucciones como te gustaría que te las pidiesen a ti.

Este fue el mensaje enviado, nada fuera de lo común:

Good afternoon.

I am writing as the author of the show “sobre la marcha”, which was previously hosted on Spotify for Podcasters. I recently re-hosted the show on my own hosting server, and I would like to claim ownership and be able to manage it under my Apple Podcasts Connect dashboard. I hope this is the right method / channel to request so.

Looking forward to hearing from you,

~Gabriel Viso Carrera

PS – before today, the show’s feed was “https://anchor.fm/s/dd4f78/podcast/rss". As part of the migration, it has been placed a 301 permanent redirection to the feed I filled in this form; please take it into consideration of you see that the redirection hasn’t been followed in your systems yet. Please note that no further episodes will be appearing in such feed.

Te enviarán un correo en un plazo de un par de días, pidiéndote más datos (como el ID de tu cuenta en Apple Podcasts Connect), y dándote un código numérico que deberás introducir en algún campo del feed. Por ejemplo, mí me dieron como opciones el campo de <copyright />, <keyword /> o <verification />.

En negrita los aspectos clave que nos piden en esta respuesta de ejemplo, que es lo que me contestaron a mí con algunas cosas cambiadas.

Hello Gabriel,

Thanks for reaching out to us. I hope you’re doing well.

To get access to the show in Apple Podcasts Connect, we can transfer the ownership of it to your account.

To transfer ownership, enter the six-digit authorization code “381234” in the verification, keyword, or copyright fields of your RSS feed.

You can update the six-digit authorization code on your hosting provider’s platform or edit the metadata tags in your RSS feed. If you need assistance with this update, contact your hosting provider. We’ll review your request after we receive your reply.

When you reply, tell us where you entered the authorization code so we can find it and include the Account ID of your Apple Podcasts Connect account.

You can locate the Account ID on the Details pane in the Account section in Apple Podcasts Connect.

Example Account ID: 12a345bc6-d7ef-8901-2ghi-j3k4lm56n7o8

If you have additional questions related to this request, please reference case number 384791872432.

Best regards,

Mary Jane Apple Inc.

El feed que genera Castopod no tiene campo <verification />, pero como añadir campos a medida es sencillísimo, es la solución ideal porque nadie recibirá ese cambio de forma visible. Ve al panel de control de edición de tu podcast, y abajo de todo encontrarás un campo donde poder poner el campo extra:

Salva los cambios en tu podcast, verifica que en unos segundos, el feed tiene el mencionado campo dentro del objeto <channel />, y contesta a Apple con los datos que te han solicitado, que incluyen dónde pueden encontrar el valor en cuestión.

Good morning, Mary Jane.

Thanks for your prompt reply. As requested:My Podcasts Connect Account ID is 12a345bc6-d7ef-8901-2ghi-j3k4lm56n7o8.I’ve just included the code you provided in the tag of my feed, inside the <channel /> element:

<rss version=“2.0”> <channel> … ** <verification>381234</verification>** … </channel> </rss>

Thank you for your help and kind regards, ~Gabriel

Cuando recibas la confirmación y al cabo de un tiempo prudencial que te indicarán, deberías poder controlar tu relación con el directorio de Apple Podcasts tú mismo.

No tengas prisa en borrar cosas

En realidad ya está, pero es importante que no corras a Spotify y a tu feed a borrar cosas y deshacer cambios, porque puedes revertir el proceso sin querer.

1. Como comentaba en el apartado de la redirección permamente, no tengas demasiada prisa en borrar tu cuenta de Spotify, porque podrías perder oyentes.
2. Aún cuando ya tengas tu podcast en Apple Podcasts Connect, no corras a editar tu podcast en Castopod para retirar el campo de verificación. Ten en cuenta que el directorio de podcasts de Apple tienen páginas en todo el mundo, y no nos interesa que, por alguna razón, alguna versión antigua del feed se haya quedado en algún sitio y reasignen tu podcast a Spotify. Deja ese campo de verificación en tu feed el tiempo que te parezca oportuno.

Pues ya estaría

Hasta aquí mi experiencia. Espero que te resulte útil e interesante.

En lugar de hacerme eco de comentarios de otros, he estado leyendo información acerca de Recuerdos en la web de Microsoft, partiendo de la base de que un usuario que se compre un PC “Copilot+” quiereusar Recuerdos. Los comentarios a continuación son mis propias dudas acerca de este producto y sus implicaciones.

1. Aunque no está cubierto en la página de Microsoft, Recuerdos se puede desactivar en las versiones de vista previa “Insider Preview”, según varias fuentes en inglés (ejemplo). Nada se sabe de las versiones finales, pero es de suponer que se puede desactivar completamente.
2. Permite excluir aplicaciones, webs visitadas en un navegador soportado. La coletilla de “navegador soportado” es preocupante, porque esto puede ser un incentivo impuesto más por parte de Microsoft para empujarte hacerte más cómodo y conveniente cambiarte a Edge. Esperemos que los demás navegadores se soporten también, si no desde el primer día, pronto.
3. Permite pausar las capturas. Bien.
4. No captura las sesiones InPrivate de Edge. Mal. Debería soportar las sesiones privadas / anónimas de otros navegadores.
5. No captura el contenido con DRM. Irrelevante para el usuario final, entiendo que esto se ha aclarado para evitar la oposición de las productoras que producen este tipo de contenido cautivo. Una muestra, sin embargo, del control que tiene Microsoft para hacer ajuste fino de estas capturas.
6. No realiza moderación de contenido. Como la propia Microsoft aclara, Recuerdos captura indiscriminadamente información sensible como contraseñas y números de tarjeta de crédito. Esto es fundamentalmente malo, pero por lo menos Microsoft es transparente con ello.
7. Las capturas no se comparten entre perfiles de usuario ni con Microsoft. Esto es una configuración de mínimos: no ofrece unas medidas de seguridad que no tuviésemos con otro material cualquiera (a no ser que los memes que te descargas de la web se estén enviando a Microsoft, claro). De hecho, no ofrece ninguna seguridad contra acceso coercitivo, como la negación plausible que soportan otros esquemas de cifrado de datos para proteger a víctimas de casos de violencia doméstica u opresión por parte de gobiernos autoritarios.

💡 Ya que el enlace anterior es a una definición en inglés, en resumen: la negación plausible en sistemas de criptografía hace el contenido cifrado indetectable a no ser que se sepa que está ahí, además de conocer la clave correcta.

Por ejemplo, si introduces una clave, el acceso es parcial, y si introduces una segunda clave, el acceso a la información es completo.

La idea es que, si no se conoce la existencia de esta segunda clave, el contenido cifrado está almacenado de una forma que no se puede probar que existe; por ejemplo, camuflado como residuos de información borrada, u oculto en otras partes del sistema de almacenamiento mediante técnicas esteganográficas.

Tengo muchas preguntas, no ya desde el punto de vista del propio usuario de Windows 11: asumo que quien se compra un PC Copilot+ lo hace porque quiere usar Recuerdos, entre otras funcionalidades extra. Pero, ¿y qué pasa con los demás? ¿Cómo, las decisiones de esos usuarios, pueden afectarnos?

Por ejemplo, yo no soy usuario de Microsoft Windows, ni lo seré fuera de mi horario laboral. Pero, de ahora en adelante, siempre tengo que sospechar que cuando me comunico con alguien, de cualquier forma, voy a dejar una huella grabada en el ordenador de alguien. Esto incluye cualquier aplicación de comunicaciones mediante texto o imagen: correo electrónico, video llamadas, o cualquier comunicación por voz que soporte transcripciones automáticas o extensiones de accesibilidad y se estén mostrando en pantalla. ¿Tengo que estar pidiendo en cada llamada que se pause Recuerdos?, ¿tengo que creerme que los han pausado?

Quitando datos financieros y contraseñas, que nunca deberías decir de viva voz a nadie, puede que no nos preocupe por la parte del uso que mis amigos, familiares, o compañeros de trabajo hagan de esas capturas de pantalla. Puede que a mí no me afecte demasiado en mi pequeña esquina privilegiada del mundo, de hombre blanco occidental heterosexual ciudadano de dos democracias, pero eleva el riesgo al que se expone mucha gente si sus contactos están usando Recuerdos.

• Una mujer que está discutiendo tratamientos de fertilidad o abortivos en Estados Unidos, en ciertos estados hoy por hoy, y probablemente en cualquiera en un futuro no tan improbable, puede estar dejando comentarios incriminatorios en las capturas de Recuerdos de otras personas.
• Un activista de un país oprimido se comunica con gente de fuera, utilizando cuantas precauciones pueda para que el contenido de sus comunicaciones no se intercepten, y todo para que acabe en las capturas de Recuerdos de alguien, por puro descuido.

Las reservas que podemos tener acerca de funcionalidades como Recuerdos, muchas veces, no van tanto del usuario del *chisme *en sí. Van de cómo nuestras decisiones pueden estar afectando a la privacidad de nuestro círculo de contactos, a los datos de las personas de nuestro entorno, y a comunicaciones que todos deberíamos proteger.

Básicamente, hemos visto cosas tan absurdas como las siguientes:

“Hay vulnerabilidades conocidas en Signal que no están siendo corregidas. Parece raro…”

~Elon Musk

Por supuesto, ni un sólo enlace a hechos, ni a información contrastada, ni a nada verificable. Como cuando se habla del chupacabras.

“Un número alarmante de gente importante con la que he hablado asegura que sus mensajes ‘privados’ de Signal han sido utilizados en su contra en juicios o por la prensa”

~Pavel Durov

“Gente Importante”. Eh, chavales, hacedme caso, que yo me codeo.

Argumentos del nivel de calidad de cuando, en primaria, otro niño nos aseguraba que no debíamos tomar refrescos de cola porque “una vez un niño se murió”.

No voy a copiar o reproducir aquí la cronología, porque está más que publicada en todas partes. Por ejemplo, el artículo “In the battle of Telegram vs Signal, Elon Musk casts doubt on the security of the app he once championed” de Business Insider da cuenta de todo ello de una forma bastante detallada.

En lo que sí quiero hacer hincapié es que los propios verificadores de Twitter X desmintieron a Elon Musk casi inmediatamente:

Sin embargo, y casi al momento, hordas se apresuraron a señalar que en Signal no existen “compilaciones reproducibles” de las aplicaciones de iOS, con lo cual no se puede establecer una certeza del 100% de que el código publicado se corresponda con el código de la aplicación que te instalas. Esto, por si lo dudábamos, es lo que sostiene Pavel Durov en su propio canal de Telegram.

Sin embargo, es fácil de explicar desde un punto de vista técnico. El problema es que las aplicaciones de iOS que te instalas a través de la tienda de Apple están cifradas por la misma tienda, con lo cual es imposible conseguir una aplicación a partir del código que sea idéntica al paquete que te entrega el Apple App Store: no tienes las claves privadas de Apple para reproducir el cifrado. Es culpa de Apple, vaya. También es cierto que Telegram ha hecho esfuerzos notables por romper este problema, pero el método que han conseguido para ello es incompleto y requiere de un iPhone antiguo con jailbreak, con lo que en cualquier momento puede dejar de funcionar. En este hilo de Matthew Green en X podéis encontrar material interesante al respecto

No he entrado a enlazar a la propia Meredith Whittaker, la presidenta de ¿la fundación? Signal porque, la verdad, no creo que haga falta cuando las cosas se caen por sí solas y cuando la propia comunidad es capaz de proporcionar información con cierta profundidad.

Lo que quiero comunicar con este artículo es que el mero hecho de que gente tan significativa como el propio fundador de Telegram y gente tan deleznable como Elon Musk hagan causa en contra de una aplicación (la que sea), sin aportar hechos comprobables y apelando a la conspiración, no hace más que reforzar mi gran reticencia a usar Telegram para temas serios. Porque, además, cuando Meredith Whittaker les contesta, aparece gente que se va por la tangente de la falacia, señalando que Katherine Maher es la presidenta de la junta directiva –falacia ad-hominem. Como si una ejecutiva pudiese invalidar el modelo de seguridad de Signal, hacerlo cuestionable, o para establecer una correlación conspiranoica con la dificultad de conseguir complicaciones reproducibles en iOS.

Pika Backup es una solución de copias de seguridad para GNU/Linux que, sin dejar de ser extremadamente sencilla de utilizar, proporciona características muy interesantes y es muy eficiente. Está basado en Borg Backup, un sistema que crea copias de seguridad comprimidas, cifradas, y que además detecta y elimina duplicados en la copia de seguridad.

Las características de Pika Backup que me han convencido han sido las siguientes:

• Permite realizar copias de seguridad a discos USB y a cualquier directorio remoto, y soporta Borg en el lado del servidor:

• Directorio “tonto”: cualquier directorio en donde tengas acceso local (por ejemplo, servicios tipo Drop Box o One Drive), y a localizaciones remotas “tradicionales” como servidores de ficheros FTP, o carpetas compartidas en red.

• En sí, esto ya es muy potente y versátil.

• Servicio remoto con soporte para Borg Backup, si quieres mejor rendimiento. Esto no es más que un servidor donde el ejecutable borg esté instalado, y al que tengas acceso por ssh. Una Raspberry Pi con el paquete borgbackup instalado y un disco duro enchufado por USB es suficiente para tener copias de seguridad en red en casa, con rendimiento mejorado.

• No hay por qué saber usar Borg; Pika Backup lo hace todo por ti, tanto en tu ordenador de trabajo como en tu servidor de copia de seguridad.

• Más adelante os cuento por qué esto es tan ventajoso.

• Permite tener más de una tarea de copia de seguridad configuradas sobre el mismo conjunto de datos, para poder tener tu copia de seguridad en varios lugares. Por ejemplo, en un servidor en red, donde ejecutas la copia de seguridad de forma programada, y en un disco externo por USB, donde ejecutas la copia manualmente, cuando te parece bien.

• Esto permite desarrollar una **estrategia 3:2:1 **sin salir de Pika Backup.

💡 Una estrategia 3:2:1 significa que deberíamos tener 3 réplicas de los datos, 2 de las cuales serían las copias de seguridad, ubicadas en sistemas almacenamiento diferentes, para 1 conjunto de datos en particular.

De esa forma, siempre nos protegemos en caso de daño físico tanto a nuestra estación de trabajo como a discos de las copias, siendo extremadamente difícil que fallen las tres réplicas a la vez.

• Es amigable para portátiles, porque detecta si el ordenador está conectado a la corriente, y si no lo está, ni siquiera intenta realizar la tarea de copia de seguridad programada.
• Proporciona filtros predefinidos para excluir de la copia de seguridad máquinas virtuales, contenedores, cachés y aplicaciones flatpak instaladas en el directorio de usuario. Esto simplifica bastante la configuración, aunque si no es suficiente, se pueden añador desde ficheros y carpetas individuales, hasta filtros basados en nombres de fichero y en expresiones regulares.
• Las copias de seguridad se pueden programar (hay reglas horarias, diarias, semanales, mensuales o anuales), y permite especificar el día y la hora 🎉. Esto parece baladí, pero si sabes que, por ejemplo, los domingos por la tarde el portátil va a estar en el escritorio con tareas de mantenimiento como actualizar el sistema, con sólo dejarlo enchufado la copia de seguridad se va a realizar automáticamente.

De por sí, las funcionalidades que proporciona Pika Backup en su interfaz gráfico son ya suficientes para convencerme; sobre todo el hecho de poder tener todas las copias de seguridad de mi estrategia 3:2:1 en la misma aplicación. Pero donde lo remata es en el aspecto de ser un cliente de Borg, y por lo tanto soportar servidores con Borg, para acelerar todas las operaciones de copia y restauración, y en especial la verificación de las copias de seguridad.

En general, hay que verificar las copias de seguridad, al menos cada cierto tiempo. Con ello nos aseguramos de que los archivos se han generado y almacenado correctamente, y que no hay nada corrupto. Y esto es un proceso que, si se hace en red, es muy costoso: Pika debería descargarse un trozo de la copia de seguridad desde el servidor de red, verificar su integridad, buscar el siguiente trozo, y así… hasta 130 GB en mi caso. He presenciado verificaciones de integridad hechas así que tardaron 20 horas. Y así es como se hace cuando Pika Backup deposita las copias de seguridad en un directorio de red, “tonto”, es decir, sin Borg.

Con Borg, la cosa cambia. El hecho de que Pika Backup esté basado en Borg Backup y, a todos los efectos, que sea un cliente de Borg, acelera el proceso de una forma drástica. Según la documentación de Borg, el proceso del lado del servidor realiza las operaciones de gestión de almacenamiento completas cuando se hace la copia de seguridad, y la verificación en sí. Esto incrementa el rendimiento sensiblemente, porque elimina el trasiego de datos por la red, y reduce el tiempo de verificación de una copia tan masiva como 130 GB de 20 horas a unos 35 minutos.

En general estoy muy contento con el cambio, ya que me permite realizar las cosas más eficientemente, utilizar mejor los recursos, y sobre todo, sobre todísimo, poder realizar todas las copias de seguridad de mi estrategia con la misma aplicación y de forma sencilla.

Extremadamente recomendable.

¿Cómo se compara Pika Backup con Déjà Dup?

Déjà Dup es una solución basada en duplicity que se ofrece, tradicionalmente, como parte del entorno de escritorio Gnome. Realiza copias de seguridad cifradas, incrementales, y las almacena en un formato de archivo comprimido que, independientemente de dónde almacenes estos archivos, preserva los permisos de los ficheros en tu máquina.

• Soporta discos externos y todo tipo de almacenamiento remoto –la lista completa se puede consultar en la documentación de duplicity, pero sólo soporta una única configuración para tu copia de seguridad. La copia de seguridad que configures, es única y a un sólo destino. Esto dificulta el realizar una estrategia de copias de seguridad robusta, 3:2:1, con la misma herramienta.
• Por otro lado, el sistema de copias de seguridad no tiene parte servidora, como la tiene Borg (y la aprovecha Pika Backup al ser éste un cliente gráfico y versátil de Borg); esto quiere decir que la verificación y el almacenamiento sea mucho más lento.
• No está bien pensado para portátiles, si es que han pensado en portátiles en absoluto.
• No permite escoger el día o la hora de las copias de seguridad programada. Si cuando configuras Déjà Dup las copias semanales caen en miércoles por el artículo 33, moverlas al domingo no es nada intuitivo, si es que el posible. Y, si cuando entra la copia de seguridad, te tienes que ir con tu portátil, el proceso se va a quedar por ahí medio enganchado.
• Las copias de seguridad programadas siempre se intentan realizar, estés funcionando en batería, sin red, o lo que sea. Esto consume energía y genera errores de forma innecesaria.

Todo este tipo de cosas hacen que Déjà Dup se vaya quedando atrás. Si bien es igual de sencillo de usar que Pika Backup, el ritmo al que añaden el tipo de funcionalidades que me afectan más es bastante bajo, casi diría que cae en la apatía, y estas cosas van desluciendo al producto poco a poco.

Comentarios previos

Antonio, el 8 de mayo de 2024 , comentó:

Gabriel, estupendo artículo muy interesante para los que tenemos que hacer respaldos de los archivos regularmente. Recomiendas alguno para macOS?. Gracias

Gabriel Viso Carrera, el 8 de mayo de 2024, respondió:

Para macOS solo tengo experiencia con Time Machine y Super Duper. Los dos hacen bien su tarea.

No descarto probar Vorta, que está basado en Borg Backup, igual que Pika Backup. Si quieres echarle un vistazo ve a https://vorta.borgbase.com

A pesar de que es cuestionable sacar al mercado un producto así, todo eso son cosas que se pueden arreglar. Lo que no creo que funcione, y veo difícil arreglo, es la propuesta de valor del dispositivo, en sí.

El Rabbit R1 no sólo incorpora un LLM que hace las veces de interfaz del usuario, sino que han desarrollado lo que ellos llaman un LAM: Large Action Model, que se podría traducir como un “modelo extenso de acciones”. Es un modelo de aprendizaje máquina que tiene como objetivo usar aplicaciones web y móviles. A grandes rasgos, y tal y como se ha entendido hasta el momento, el chisme aprende a reconocer elementos de interfaz gráfico y flujos de trabajo básicos para pedir comida, un taxi, la reproducción de una lista de música, etc., a partir de una pregunta sencilla y natural, y sin que tú tengas que hacerlo por ti mismo. El dispositivo envía tu orden a sus servidores “cómprame un kebab del Bar Tolo en DoorDash”, y mediante técnicas similares a los que hacen posible las pruebas automáticas de interfaz web y móvil en la nube, Rabbit R1 *pulsabotones y menús, introduce texto, paga*, y lo que haga falta, en algún sistema en la nube, para conseguir tu objetivo**.

Es un asistente digital que usa aplicaciones por ti.* Sin que tú tengas que**ver nada*. Es muy interesante.

Pero ahí es donde yo veo el problema: la mayoría de los servicios web que usamos han definido su interfaz de usuario, en mayor o menor medida, en base a criteros de economía de la atención:

• Un servicio de música quiere que escuches música nueva todo el tiempo. De otro modo, podrías llegar a la conclusión de que te es más rentable comporar los 2, 3, 10 discos que estás reproduciendo en bucle, y abandonar una suscripción. ¿Cómo te sugieren nuevos álbumes y artistas? Mediante su propio interfaz gráfico, diseñado para capturar tu atención. Estos asistentes le quitan la salsa.
• Cualquier red social comercial quiere controlar lo que los usuarios ven, en qué orden, qué contenido se les posiciona delante, y maximizar el tiempo de exposición a todo esto para maximizar sus ingresos. ¿Leerte las notificaciones, sin más, sin introducir contenido posicionado en tu rango de visión y de atención? Sería casi como un bloqueador de anuncios perfecto.
• Servicios de comida a domicilio, como DoorDash, tienen un diálogo orientado a venderte extras para subir el precio de compra final. “Pídeme un kebab al restaurante XYZ y que me lo entregen a las 20:30”. En última instancia, este tipo de servicios posicionan nuevos restaurantes, crean cupones de descuento, te sugieren añadir extras al carrito de la compra, y toda una serie de cosas que intentan generar más gasto. ¿Qué pasa si Rabbit R1 se limita a pedir el kebab? Por el contrario, ¿te va a estar dando la paliza con todos esos extras y esas opciones, creando una conversación larguísima, y arriesgándose a que la próxima vez uses el teléfono, porque tardas menos?

La propuesta de valor del dispositivo pasa por capturar la relación con el cliente de las cuatro aplicaciones que, por el momento, el Rabbit R1 soporta. Spotify, DoorDash, Uber y MidJourney ven retirados sus interfaces de usuario, específicamente diseñados para mantener al cliente dentro, en el carrusel de ofertas y de publicidad mostrada (allá en donde tenga sentido, claro; no conozco MidJourney). Es decir: la propuesta de valor del Rabbit R1 pasa por negar a esos servicios la atención del usuario.

Estas cosas no suelen gustar.

O bien Rabbit llega a acuerdos de compensación por el coste de oportunidad que supone perder el control sobre lo que el usuario ve, y por cuánto tiempo, o mucho me temo que el LAM no va a terminar por cuajar. Por mucho que me guste. No quiero engañar a nadie: a mí me encantaría poder tener una cabecita de conejo, o de otro animalito, rebotando en mi PC y que yo le pudiese decir “procesa todas las mágenes de la carpeta XYZ para publicación en web, con un ancho máximo de 900 píxeles, y súbelas a mi librería de medios en Ghost” y que el chisme se las arreglara para decirme “hecho; la imagen más pesada ocupa 230 kB”. O “descarga la última imagen de Fedora Server, crea una máquina virtual con ella con 16 GB de RAM, 80 GB de almacenamiento y 4 CPU y crea un usuario test sin contraseña. Y luego haz una copia de seguridad de todo. Cuando acabes, envíame un correo y apaga el ordenador”. Y mientras, yo me voy a dar un paseo. Pero cuando intento razonar cómo aplicar este tipo de mecanismo a un servicio donde la relación con el cliente, el control de lo que el cliente ve, y el tiempo que el cliente está expuesto a un determinado contenido son tan cruciales, veo un conflicto difícil de resolver. Y al final, ese conflicto se acabará trasladando a los inversores de los servicios operados mediante LAM y del Rabbit R1.

Mi predicción, ya puestos: una de las empresas afectadas, la más grande, probablemetne con su propio departamento de desarrollo de modelos extensos del tipo que sea, comprará Rabbit. O bien para desmantelarla, o bien para desfigurar el producto tal y como está ideado, y convertirlo en parte de su estrategia de captura de atención.

Espero equivocarme. Creo que el LAM es una buena idea. Me gustaría tener un modelo bien entrenado, que funcionase en local, para poder encargar flujos de trabajo completos por voz. Pero tal y como está el panorama, no lo veo despegando con este tipo de servicios de terceros.

Si tienes 30 años o más, probablemente recuerdes una época en la que usar un ordenador personal era personal; nadie más allá de ti mismo y tu ordenador tenía ni parte ni intereses en lo que estuvieses haciendo. Probablemente sí había interés en con qué lo estabas haciendo, porque siempre hubo competencia: con qué tipo o marca de ordenador, con qué sistema operativo, con qué programa. Pero más allá de eso, estabas tú solo, con tu tarea. A tus cosas. A tu suerte. Tu éxito dependía de tu capacidad de aprender, habilidad de análisis, de tu criterio y de ti mismo

Cuando yo estaba en educación primaria, en los años 1980 y principios de los 1990, todo se hacía en total desconexión; si acaso, consultando un libro o, más frecuentemente, una revista. Más tarde, cuando estaba estudiando en la Universidad entre 1998 y 2004, las conexiones a internet empezaban a extenderse por los hogares españoles, pero aún no había muchos hogares conectados permanentemente a internet. Los equipos conectados a internet en la Escuela Técnica Superior de Ingenieros de Telecomunicación de Vigo, aún siendo la pera limonera de las telecomunicaciones del Campus, eran bastante limitados. Había que hacer cola. Aprender a programar se hacía con un libro al lado, y las prácticas se hacían consultando manuales de referencia, hojas de características del fabricante, y estándares. Pilas de páginas áridas como pocas otras cosas: era la norma y lo que había. ¿Necesitabas la documentación de las librerías de Java? ¿Un manual de referencia de ensamblador de Motorola 68000? ¿Lenguaje C? Ve a reprografía, toma prestado un libro de la biblioteca, o descarga y copia todo a disquetes para consultar en casa. Sin conexión.

Y una de las cosas más valiosas que ganabas con eso es que, con el tiempo, tenías criterio suficiente, incluso, para atribuir calidad y fiabilidad a los libros y fuentes que consultabas. Priorizabas y valorabas unos autores sobre otros. Enviabas correcciones a la editorial, incluso.

La era de la información instantánea, los buscadores, y Stack Overflow, esta época en la que no hay que anotar nada porque todo está en Google o en el historial de navegación, tardaría algo más en llegar. Pero cuando llegó, empezamos a depender del buscador en lugar de nuestra propia colección de referencias, y en lugar de consumir documentación empezamos a depender de algo que nos devolviese la información en un formato de pregunta y respuesta. Esto elimina un montón de contexto, y hace que no tengamos que esforzarnos en ver más allá del siguiente escollo particular. Y lo que es peor, nos hace susceptibles a que se nos tire información sesgada a la cara, sin nosotros pedirla, distrayéndonos de nuestro trabajo, limitando los ángulos de análisis del problema que estuviéramos intentando resolver y, probablemente, dándonos una visión parcial y polarizada de muchas cosas. Añádele posicionamiento pagado, y ya tenemos un buen lío montado: nos puede sugerir una solución que no es la mejor para nuestro propósito, y nos lo podemos creer.

Este modelo funciona, y cuando es muy sutil, pasa desapercibido. Por eso se llama manipulación. Cuando no es sutil, en cambio, la cosa revienta, se destapa un escándalo, y se acaba en un juicio y en una condena, como ya pasó con el escándalo de Cambridge Analytica. Cuando este modelo se lleva a un extremo, se crean burbujas de realidad, cámaras de resonancia, y la realidad se distorsiona. Se pierde la capacidad de criticar a la fuente, y se asume que la realidad es lo que se nos muestra.

La situación sigue avanzando en ese mismo sentido y el siguiente paso, según parece, es envolver el conocimiento dentro de modelos extensos de lenguaje que hacen las veces de “el listo de la clase”, o “el listo del equipo”, a quien preguntarle cómo resolver un cierto problema. “ey, copilot, ¿cómo tengo que configurar un cliente HTTPS para poder usar certificados auto-firmados?” y te escupe un código que pinta razonable y que probablemente funcione, o lo haga con mínimos cambios. Probablemente ni siquiera tenemos que ir más allá, con preguntas más elaboradas que requieren más conocimiento, tipo “¿dónde tengo que configurar la cadena de confianza, y qué herramientas necesito para ello?”. Y no hablemos ya del “¿por qué?”. El conocimiento ya no se tiene, se delega y se consume.

No me considero un ludita ni un neoludita, pero hay cosas para las que no basta con preguntar y saber seguir instrucciones. Ni con copiar y pegar. El conocimiento adquirido, en lugar del que se delega a una base de preguntas y respuestas ajena, nos puede evitar errores muy graves. Hay errores técnicos, errores de ejecución, y errores de concepto, y estos últimos se evitan con conocimiento propio, construido sobre una base que hemos adquirido estudiando, y luego refinado a base de experimentar y equivocarnos en un entorno controlado hasta que tenemos los conceptos claros. Una vez se tienen los conceptos claros, no veo problemas en el asistente en sí, en el modelo de lenguaje o, si lo queremos llamar así, en la IA (😒). Yo mismo, probablemente, empiece en algún momento a usar este tipo de herramientas para tareas sencillas, repetitivas, tediosas y de bajo riesgo. Aún tengo mis reservas, claro, que es de lo que va este artículo, pero no pienso darle la espalda por completo a las posibilidades que tiene la tecnología en sí.

En donde primero veo un problema es que no todas las tareas son de bajo riesgo, y cuando hay riesgos altos para la salud, las finanzas personales o del común, o procesos industriales sensibles, es mejor no preguntar a un chisme, y que el trabajo lo haga alguien a quien se le puedan exigir responsabilidades. Hay una cita que se ha hecho famosa en los últimos años, atribuida a una presentación de IBM en 1979 (cuyo origen no he podido comprobar totalmente), que lo plantea ya entonces: “A computer can never be held accountable; therefore a computer must never make a management decision”: “A una computadora nunca se le puede hacer responsable, por lo tanto, una computadora no debe nunca tomar una decisión de gestión”. No podemos atribuir responsabilidad sobre las consecuencias de una decisión a una máquina. No podemos llevar a juicio a un secador de pelo por una electrocución en una bañera.

En segundo lugar, hay intereses ajenos detrás de los modelos. Estos desarrollos, visto lo visto, no se hacen poniendo tus objetivos o los míos, o el bien común, como primera prioridad. Por ejemplo, hay quienes sugieren que los niños no necesitan aprender a programar, y que se pueden centrar en usar este tipo de modelos, como el CEO de Nvidia. Claramente. Si yo fuese el consejero delegado de la plataforma de hardware que más se usa y mejor se usa para entrenar y ejecutar modelos de lenguaje y aprendizaje automático de todo tipo, también me gustaría que la gente los usase en vez de programar. Si cada vez menos gente usa o depende más de proveedores cuyos modelos, a su vez, dependen de mis sistemas, y por lo tanto me los compran, ¡mejor! Si yo fuese el CEO de Nvidia, de hecho, me encantaría que los únicos programadores sobre la faz de la Tierra fuesen los empleados de Nvidia. Es como cuando salieron las calculadoras; el primer defensor de usar las calculadoras en lugar de aprender aritmética probablemente sería el que las vendía. Pero, intepretaciones mías aparte, la idea es que va a haber que seguir sabiendo programar aunque en la práctica y en el día a día sea menos necesario que hoy. Aprender a programar no se trata de aprender a escribir programas, sino a descomponer una solución en pasos sencillos, automatizables y repetibles –y eso va a seguir formando parte del día a día para muchísimos profesionales.

❓ ¿Quién decide si el conjunto de datos con el que se ha entrenado un modelo extenso de lenguaje, como Chat GPT, es fiel a los hechos?, ¿qué garantías hay?, ¿cómo se mide la *imparcialidad *o la equidad de una respuesta?

En tercer lugar, no me gusta que seleccionen información, en general, de acuerdo a cómo una empresa me percibe. Al hilo de lo que comentaba en La economía de tu atención, la información que se nos coloca delante no está sujeta a nuestros intereses, sino a los de quien cobra por posicionarla. Nos van a devolver primero la información que ofrezca mejores resultados correlacionando el dinero que el autor haya pagado y la probabilidad de que nosotros la leamos, de acuerdo al perfil que han ido construyendo a base de espiarnos. De todos los contenidos por los que la plataforma de turno recibe ingresos, se nos coloca delante el subconjunto de enlaces en lo que podríamos a hacer click, y ahí es donde vamos a entrar y a quedarnos más tiempo. Y da igual si hacemos nuestro trabajo, porque si lo piensas, en una sesión de estudio o de trabajo, si se nos pone delante contenido más divertido, nos vamos a ir por el terraplén de la carnaza, los vídeos de gatitos, artículos escritos para polarizarnos y que van a conseguir una respuesta más rentable para la plataforma. Van a cobrar lo mismo, y probablemente mucho más, que si estamos trabajando; el tiempo invertido en escribir un informe o programar es tiempo perdido para ellos porque no estamos viendo anuncios. No pueden monetizar nuestro tiempo productivo. Tu productividad es coste de oportunidad.

💡 Tu atención no tiene por qué ser productiva. Salvo a ti y a tu empleador, a nadie le importa si tú aprendes, o si haces tu trabajo, con tal de ingresar dinero por publicidad.

¿Cómo se traslada esto al uso y al consumo de información a través de un modelo extenso de lenguaje? ¿Se podría estar explotando económicamente la fase de aprendizaje de los modelos para hacer unas respuestas más probables que otras?

Tampoco me gusta el hecho de que nos estamos moviendo a un modelo en el que los modelos de lenguaje van a estar definiendo cómo accedemos a la información, y cuál es la información a nuestro alcance. No me gusta la perspectiva de hacer depender el conocimiento disponible, el rango posible de respuestas, de mi habilidad a la hora de formular preguntas. Leer un libro te plantea preguntas en las que no habías pensado, sobre todo si eres un neófito en la materia en cuestión. Plantéate, por ejemplo, lo difícil que es encontrar la solución a un problema, o saber si en realidad tienes un problema, si ni siquiera sabes cómo articular una pregunta. Qué tienes que introducir en el cajón de texto del buscador. Por ejemplo, en mi caso, en el ámbito de lo legal: hay veces que ni sé formular una búsqueda básica en la web. Sin embargo, tras algo de lectura en una enciclopedia cualquiera, incluso en la Wikipedia, tras adquirir ciertos conceptos básicos, ya tengo la competencia suficiente como para distinguir un problema de otro, y puedo pensar en qué tengo que preguntar.

El problema de los modelos extensos de lenguaje que se están desarrollando a día de hoy es que ni siquiera ves los resultados de una búsqueda para ver varias fuentes o para ver qué tiene sentido y qué no. Ni siquiera podemos juzgar si la búsqueda era la adecuada para la serie de resultados que hemos obtenido, porque obtenemos una única respuesta, totalmente procesada. En una búsqueda web tradicional, a veces ves resultados tan dispares en la primera página que, de una forma más o menos intuitiva, decides refinar la búsqueda. Abres un par de resultados y no te ves reflejado, vuelves a buscar. Un modelo de lenguaje es como si el bibliotecario, experto en clasificar información y recuperarla, de repente dice haberse**leído toda la biblioteca, te asegura que lo ha entendido todo, y te da la información en viva voz, pero en realidad sin entender de qué leches está hablando. “No te preocupes por esos tochos de libros, hazme caso a mí, que ya te lo explico yo”. En casos concretos y superficiales, eso está bien. Pero si el riesgo es alto, ¿confiarías en esos resultados?, ¿en qué casos te gustaría tener acceso a los libros y dedicarle un par de horas a contrastar un poco la información y tomar tus propias notas? Y, lo que es peor, ¿qué ocurre y de quién es la responsabilidad, en general, si un modelo empieza a dar prioridad sobre ideas, soluciones, productos o servicios de un determinado proveedor?, ¿cómo puede esto afectar a la competencia? ¿Qué ocurre si estos modelos empiezan a sesgar y a ponderar interpretaciones ideológicas en sus respuestas?, ¿de quién es la responsabilidad y a quién o en qué grado afecta a nuestra sociedad?

Imagínate que, hojeando el libro de texto de tu hijo, ves algo extraño y te das cuenta de que el libro de ciencias naturales quita importancia al cambio climático. Rascas un poco, y ves que el principal accionista de la editorial de turno es un lobby de los combustibles fósiles. Es un ejemplo muy extremo, pero una metáfora bastante clara de lo que me preocupa, que puede ser mucho más sutil y difícil de detectar si se hace diseñando el conjunto de material con el que se entrenaría un modelo. No hay que entrar en terrenos muy obvios, símplemente que un modelo sugiera que “en general, la interpretación más aceptada es X”, cuando se aplica a ámbitos socio-políticos, ideológicos o a la interpretación de hechos históricos, en sí es bastante serio. El trabajo de contrastar semejantes aseveraciones puede ser inmenso.

Mi opinión es que, en general, estos modelos reducen la independencia a la hora de tomar decisiones, aprender y llegar a conclusiones, o directamente avanzar el propio conocimiento. Abusar de ellos o utilizarlos como atajo puede mejorar la productividad cuando se utiliza para tareas que no aportan mucho valor para el tiempo que consumen, pero en ciertos casos puede convertirnos muy rápidamente en prisioneros de intereses ajenos a los nuestros, sin nosotros ser conscientes. Personalmente, creo que si no tenemos un mecanismo claro para garantizar que las respuestas son neutras, equilibradas, y que ponen nuestros intereses en primer lugar y no los de terceros, creo que es un sistema increíblemente fácil de manipular y enmierdificar, y podemos estar siendo cómplices.

Telegram es una aplicación de mensajería instantánea que, según su muchas fuentes, está centrada en la seguridad y en la velocidad.

Sin embargo, y para empezar, no es para todos porque no cumple con los criterios de accesibilidad móvil y, de esa forma, excluye a todos los usuarios con deficiencias visuales de su público objetivo. Para ellos, ni seguridad, ni velocidad, ni nada.

En cuanto a la seguridad en la práctica, la forma de abordar este tema es bastante cuestionable. El protocolo de seguridad que esta aplicación utiliza, MTProto, si bien usa técnicas de cifrado estándar, es un desarrollo a medida injustificado, ya que existían alternativas abiertas disponibles. Y no es de código abierto en su totalidad. En este punto habrá muchas opiniones bastante fuertes, y equivocadas, diciendo que MTProto es de código abierto. Lo que han publicado y es abierto es la documentación, a modo de**estándar. Ni siquiera es un estándar, han adoptado el modelo de estándar abierto. Es decir, Telegram ha publicado documentación suficiente para que muchos otros desarrolladores implementen MTProto para sus aplicaciones, a un nivel de detalle suficiente e inequívoco como para que, si fuera un estándar, pudiese considerarse como tal. Por la parte del código fuente, los clientes son de código abierto, pero la implementación de la parte servidora no lo es. Como consecuencia de la apertura de la documentación existen versiones de código abierto de la parte del servidor, pero el código fuente que usa Telegram en su servidor no está disponible ni hay indicios de que vayan a liberarlo pronto. Por lo tanto, el desarrollo que ejecutan los servidores de Telegram no es de código abierto, y por lo tanto el sistema no lo es en términos absolutos, o extremo a extremo.

Esto fue muy criticado en su día porque era muy difícil demostrar la seguridad de la red al ser cerrado, nuevo y a medida. En general, escribir tu propio código de seguridad es desaconsejable; cuando se programa se comenten errores, y cometer errores en el código de seguridad es fatal porque se pone en riesgo la integridad de la comunicación y de los usuarios. Pero, además, hacerlo con el código cerrado obliga a gastar grandes cantidades de dinero en auditar la seguridad por medios privados, y hace más lenta la reacción de la empresa ante fallos de seguridad: la cantidad de potenciales correctores del código es mucho menor. No estamos hablando de una empresa como Microsoft, con cientos de miles de empleados, sino de una start-up.

En cualquier caso y gracias a que han seguido el modelo de estándar abierto, a día de hoy nadie duda de la seguridad de Telegram; de hecho la seguridad de su protocolo ha sido formalmente probada por la Universidad de Udine. Pero hay que tener muy claro que lo que ha sido probado es la seguridad del protocolo, y formalmente: sobre el papel. La seguridad de la implementación de MTProto en la red de Telegram sigue requiriendo un ejercicio de confianza porque no se ha probado de forma práctica. Hay que confiar en Telegram, en sus mantenedores y en sus prácticas.

Por si esto no fuese suficiente, los mensajes no están cifrados extremo a extremo por defecto: es opcional. Para usar el cifrado extremo a extremo y tener conversaciones seguras entre usuarios hay que usar la característica “chat secreto”. Si no, los mensajes se cifran en tránsito, punto a punto: en lugar de enviarme mensajes cifrados de tal forma que sólo yo los puedo descifrar, los envías usando claves de Telegram, que luego me los envía a mí. Por lo tanto, en los servidores de Telegram, los mensajes son legibles porque Telegram tiene acceso a las claves de cifrado. Sin poner en duda la política de privacidad de Telegram y su estructura y prácticas internas, lo que esto quiere decir a nivel práctico es que, si sus servidores o sus empleados se ven comprometidos y hay una brecha de seguridad con fuga de datos, esos mensajes van a aparecer en la tercera página de resultados de Google Dark Web. Y es innecesario: nadie, en realidad, entiende por qué no se aplica cifrado extremo a extremo a todo. Por otro lado, no es posible aplicar cifrado extremo a extremo a los grupos, en absoluto.

Esto último, además, no es conocido por todos los usuarios. Todos, incluido yo, tomamos decisiones de oídas, sin contrastar los hechos, en mayor o menor medida. Lo que la prensa generalista publica y el consenso popular asume, es que Telegram es una aplicación enfocada en la seguridad, y que por lo tanto es segura (por defecto), y ya está. Todos felices. Y lo cierto es que, si bien puede ser segura, puede que sea segura, o es segura sobre el papel, desde luego no lo es por defecto.

Además de todo esto, la prensa española a menudo se inventa un énfasis en la privacidad que, en realidad, no existe. Incluso en la web oficial, Telegram se tilda a sí mismo de Privada, aludiendo a que los mensajes están cifrados de forma robusta y se autodestruyen, cosa que ya hemos discutido que no es el comportamiento por defecto. Pero, independientemente de la seguridad opcional y de cómo sea la política de privacidad de Telegram como empresa hacia los datos de los usuarios, la aplicación no protege nuestra privacidad frente a otros usuarios; al menos no como debería.

A mi parecer y a día de hoy, Telegram tiene tres carencias muy grandes, de las cuales dos que son funciones de pago o, peor, inefectivas cuando tu problema es un usuario de Telegram Premium:

1. Si eres un usuario de Telegram Premium, puedes ver los estados de última conexión y en línea de los usuarios sin compartir tus propios estados. Esto no es demasiado grave, porque si un usuario no comparte estos estados no los vas a ver; sin embargo rompe la reciprocidad de esta opción. En su día, y en otras plataformas de mensajería, si quieres ver si Pepe está conectado, debes permitir que Pepe vea si estás conectado. Es un principio de igualdad y de respeto mutuo. Con Telegram, si pagas, estás exento de reciprocidad. Muchos podéis argumentar que si no quiero que un cualquiera sepa si estoy conectado, puedo ocultar esta información de todo el mundo, pero, ¿y si yo quería compartirla con mis contactos? En cualquier caso, esta decisión de producto es agresiva, injustificada, y supone un privilegio arbitrario que sólo se explica desde el punto de vista puramente comercial.
2. Mucho más grave es que un usuario de Telegram Premium puede establecer contacto con cualquiera, sin ningún tipo de límite, a no ser que esté bloqueado o reportado. Esto quiere decir que nadie tiene derecho a decidir si permite que un desconocido le envíe un mensaje. En colectivos amenazados, desfavorecidos, o tradicionalmente objeto de abuso, esto quiere decir que el acosador siempre tiene acceso a las víctimas u objetivos. Un acosador, con un número de teléfono nuevo y 5€ puede enviar mensajes de todo tipo a quien quiera, durante un mes o hasta que sea bloqueado y reportado. Y luego sólo tiene que registrarse con otro número y volver a hacerlo.
3. Si no quieres compartir tu número de teléfono, puedes crear un nombre de usuario. Pero si lo haces, cualquiera puede encontrarte a través de la búsqueda global, porque los usuarios de Telegram son públicos. Por lo tanto, si no quieres compartir tu teléfono para evitar exponerte hasta ese punto, te obligan a exponerte de otra forma y completamente.

Las distintas características “premium” a las que me refiero en este artículo mostradas por la propia aplicación

El hecho de que cualquiera pueda establecer contacto contigo, y que ocultar tu número de teléfono suponga aparecer en el buscador global, hace de Telegram una aplicación extremadamente rentable y atractiva para el spam, el phishing y el timo digital, en general: no puedes impedir que te contacten al menos una vez. Además, esto es especialmente grave para usuarios que están amenazados, de alguna forma. Un acosador siempre tiene acceso a su víctima en tanto en cuanto es capaz de encontrarla en Telegram.

🚨 Telegram no es una aplicación que ponga la privacidad de sus usuarios como una prioridad a la hora de definirse. Puede que Telegram respete nuestra privacidad como parte interesada, y no esté inspeccionando nuestros datos ni explotándolos comercialmente, pero, ¿qué pasa con los timadores, los nazis, los racistas, los homófobos, los asesinos, y el resto de la escoria? Pues, al parecer, que cada palo aguante su vela.

Que una empresa cobre por la privacidad es algo que no encaja con mis principios, sobre todo cuando da gratis tanto, y tan bueno; no hace falta hacer ahora una lista de canales, grupos, bots, almacenamiento, y demás características de casi cualquier tipo que para muchos de nosotros, como Adrián, en realidad sobran en una aplicación de mensajería. La mayoría de las veces, la gente que realmente necesita privacidad es gente con dificultades en muchos ámbitos de su vida; hacerles pagar precisamente por la privacidad es una estrategia de negocio cruel. Es cierto que hay formas de limitar el spam, o que podemos vivir con él, podemos ignorarlo, reportarlo, e incluso denunciar a nuestros acosadores. Pero el hecho de que una característica premium dé el privilegio de saltarse la privacidad de los otros como parte de su oferta comercial deja ver una cultura de producto y unos principios que dejan mucho que desear.

Si necesitas privacidad, Telegram no es una opción. Tenlo en cuenta a la hora de decidir para qué usarlo.

Comentarios previos (en Ghost)

mdd, el 25 de abril de 2024, comentó:

Es cierto que promocionan el premium de forma turbia, y que la app es lenta y pesada.

Pero el post ese tiene bastantes cosas falsas o malinterpretadas en mi opinión:

• No soporta APIs de accesibilidad: Falso. No lo hicieron inicialmente cuando estaban corriendo por sacar features, pero lo implementaron como en 2019.
• No era necesario crear MTProto: xdddd ahora hay el protocolo de Signal y otros, pero en 2014 no habia un solo protocolo que soportase todo lo que inventó Telegram: canales, grupos de 2000 personas, super grupos, chats e2e, etc… todo eso se inventó con MTProto.
• MTProto server no es open source: cierto, pero aunque lo fuera, sería imposible saber si es el código que están usando. Probablemente, tienen una versión que se ejecuta de forma distribuida y muy optimizada que no quieren liberar para que nadie pueda lanzar un competidor de TG a gran escala. Lo que quiero decir es que no añadiría ninguna a los usuarios que lo fuese, y crearía amenaza de clones a Telegram.
• Encriptacion e2e no es por defecto, y no se sabe porqué: si se sabe porqué: no hay NINGUN protocolo que sea e2e con grupos, canales y soporte multidispositivo que funcione bien. Whatsapp y Signal son los que estan más cerca, y mira lo mal que funciona WPP Web. Es técnicamente difícil de conseguir.
• “un usuario de Telegram Premium puede establecer contacto con cualquiera”: Esto a mi me parece más una función chorra que han metido al Premium para venderlo que algo que haya “quitado” al resto. No existe en ninguna otra app y no tiene utilidad práctica salvo que seas famoso y la gente sepa tu número.
• “Si no quieres compartir tu número de teléfono, puedes crear un nombre de usuario. Pero si lo haces, cualquiera puede encontrarte”: acaso hay alguna app en la que la gente no pueda hablarte adivinando tu usuario o número? Es justo el point de estas apps. Si no quieres que te encuentren, ponte un @ raro y listos

En resumen: yo lo único que veo sketchy es lo de pagar por ver las últimas horas sin que se vea la tuya, pero vamos, no es para tanto. Bastante peor es lo lenta que va la app y la forma de desarrollo a trompicones.

Gabriel Viso Carrera, el 25 de abril de 2024, respondió:

Me parece que quien está interpretando mal el artículo eres tú.

1. El lector de pantalla en iOS sigue sin funcionar correctamente en Telegram. Puedes seguir los comentarios a este post en Mastodon y encontrarás quien te lo confirme: usuarios con discapacidades visuales. No lo digo yo, lo dice quien no puede usar la aplicación por falta de accesibilidad. Por lo tanto, de falso nada.
2. El protocolo MTProto y el de Signal no es la única forma de hacer cifrado extremo a extremo. El protocolo PGP se puede automatizar de forma transparente al usuario y es décadas anterior a MTProto.
3. Signal y Matrix funcionan bien en ese sentido, e iMessage funciona impecablemente bien. ¿Hay un compromiso entre seguridad y comodidad? Sí, pero eso no quiere decir que funcione mal.
4. Que los usuarios Premium puedan establecer contacto con cualquiera es una falta de privacidad y seguridad total. Será una función chorra para ti, pero hay mucha gente (países enteros) para los que esto es un vector de ataque claro.
5. De lo que se trata es de escoger. Si tú quieres que la gente te pueda buscar, me parece perfecto, pero tu preferencia no tiene por qué ser la de los demás. Yo prefiero dar mi número de teléfono y / o mi nombre de usuario a quien yo quiera. Si no puedo escoger no estar en los resultados del buscador global, no tengo la privacidad que quiero o que necesito.

Que estas cosas te parezcan cuestionables habla más de tus circunstancias que de la propia aplicación. No tienes problemas de privacidad, no necesitas comunicaciones seguras: muy bien, suerte la tuya. El punto del artículo es que este tipo de decisiones hace que Telegram no sea una aplicación tan seria como se quiere vender en lo que se refiere a privacidad y seguridad.

En lugar de escribir, me he dedicado a mover mi instancia personal de mastodon, este blog, y micromáquina, desde una Raspberry Pi 4B de 4GB a un Intel NUC. Ya tenía pensado mover todo a mi NAS utilizando Docker, pero finalmente decidí separar las cosas: en vez de seguir apilando Raspberrys, esta semana consolidé todo en una nueva máquina de mayor potencia pero consumo relativamente contenido.

Esta Raspberry Pi 4, de 4 GB, llevaba encendida dando servicio a mi instancia de Mastodon y a Micromáquina durante más de 1 año y medio, ininterrumpidamente.

La motivación principal para este movimiento ha sido la experiencia de Jacobo Vidal Pascual, del podcast Desde El Reloj, con una serie de fallos en su NAS.

Podéis escucharle aquí: “E0822: 32 horas sin NAS, sin Docker y sin página web”

Desde El Reloj @desdeelreloj@mas.to

Sigo con la web caída, disculpad las molestias… 😩

9:48 AM · abr. 9, 2024

El relato de los problemas causados por componentes moribundos, el precio de reemplazarlos y el riesgo que corrieron sus archivos personales, me dejaban claro el mensaje: tener varios servidores en mi NAS, constantemente accedidos por todos vosotros y por Activity Pub en el caso de Mastodon, elevaría el acceso a los discos a un ritmo fuera de mi control, reduciendo su vida útil. Los componentes de un NAS son *bastante *más caros que los componentes de un equipo tradicional, porque están pensados para evitar errores que no afectan el tipo de servicios que quiero alojar: para mi instancia de Mastodon y mis webs no necesito ni memoria ECC, ni discos en RAID; con una buena estrategia de copias de seguridad me basta. La perspectiva de poder llegar a ver todos mis datos en riesgo por el hecho de alojar webs públicas y los costes asociados no me hacían ninguna gracia.

Por otro lado, mi NAS es de Synology, lo cual tiene una serie de inconvenientes derivados de la licencia de su software y su política de soporte. No ya por cuestiones éticas de licencias del software y potencial enmierdificación futura a varios nieveles, sino también porque todo esto nos sujeta a políticas de soporte y fin de actualizaciones por las que podemos llegar a vernos obligados a renovar un equipo que, de otra manera, tendría una vida útil mucho mayor.

Así que nada: cuanto, antes mejor, y me puse manos a la obra.

Los beneficios de este cambio son varios:

• A corto plazo, el aprendizaje. Estoy aprendiendo un montón acerca de proxies inversos y de Docker, puesto que mover una instancia de Mastodon desde una máquina física a contenedores Docker, sin perder datos, no es trivial.
• A medio plazo tiene los beneficios ya comentados en el área de la vida útil del hardware donde tengo nuestros datos personales y los de la familia.
• A largo plazo, estos cambios transforman la forma de relacionarnos con internet y a través de internet, ya que nos devuelven un control que perdimos hace tiempo porque hacen de la tecnología algo mucho más personal.

Por el momento, ya se va notando una mejoría de rendimiento importante.

En cualquier caso, enmierdificación en estado puro.

Antes buscabas soluciones a tus problemas, cuando los tenías, poniendo algo de esfuerzo en ello. Aprendías por el camino, comparando soluciones, mirando el problema desde varios ángulos. Ahora Windows se encarga tirarte a la cara anuncios de aplicaciones que probablemente no necesites pero tu telemetría apunta un posible interés, y que lo más seguro es que te van a distraer todavía más.

Un sistema operativo que Microsoft ofrece por 145€ en su versión más básica a 15 de abril de 2024 utiliza recursos del ordenador que has pagado con tu esfuerzo para obtener más ingresos. Todo esto, por supuesto, utilizando la telemetría opcional, que recoge el uso de aplicaciones y servicios, tu identificador de publicidad y, en definitiva, tus datos. Y no para ofrecerte mejores experiencias, sino para ofrecer a los fabricantes de software que han pagado una puerta de entrada en tu vida, y por lo tanto acceso a tus datos, tu atención o a tu dinero.

No sé qué más decir que no sea repetir más y tirarme a lo más hondo del pozo de la náusea, pero hoy más que nunca me alegro de estar usando GNU/Linux en exclusiva y con todas las consecuencias.

Sin embargo, yo voy a hablar de cómo funciona y qué tenemos que tener en cuenta para ajustar nuestras expectativas y respetar las de los demás.

Para quien no sepa qué es Beeper: se trata de una aplicación cuya misión es aglutinar todas las redes de mensajería instantánea en una sóla aplicación. Esta premisa, muy atractiva y potente, se consigue desplegando un servidor de Matrix y habilitando todos los bridges o puentes necesarios. De esta forma, la aplicación de Beeper se comunica con su servidor, o con el tuyo puesto puedes alojar tu propio servidor, usando el protocolo de Matrix (si es que no han implementado el suyo propio), que de por sí es seguro, eficiente y descentralizado. Una vez en el servidor, éste cede el mensaje a la red que corresponda, usando el puente adecuado.

En sí, Beeper actúa como una pasarela o relé de mensajería. Es una propuesta bastante sensata e inteligente. Y que requiere poco trabajo por parte de Beeper, ya que la mayoría de esos puentes existían ya bajo alguna u otra licencia de código libre o abierto, para ser utilizados directamente o producir un derivado. Sin embargo, tiene una clara desventaja que hay que tener en cuenta porque nos afecta tanto a nosotros como a nuestros contactos.

De acuerdo a cómo funcionan las cosas, y a sus preguntas frecuentes, el cifrado extremo a extremo deja de serlo cuando usamos Beeper para comunicarnos a través de servicios como iMessage, WhatsApp o Signal. Ninguna de estas redes de mensajería utiliza Matrix nativamente, por lo que lo que Beeper hace es:

1. Cifra tu mensaje en tu dispositivo, mediante la aplicación de Beeper, utilizando el protocolo de Matrix (si es que no han implementado el suyo propio), y lo envía al servidor de Beeper.
2. El servidor de Beeper descifra el mensaje, selecciona la pasarela correspondiente, y lo cifra utilizando el protocolo de la red de destino.
3. Lo envía al destinatario a través del puente adecuado.

Por lo tanto, y como ya deberíamos haber sospechado, el mensaje está en texto claro, en algún momento, en el servidor de Beeper. Esto tiene dos consecuencias:

1. Usar Beeper requiere un ejercicio de confianza hacia el servidor de Beeper, hacia Beeper y hacia Automattic. El servidor en sí, su software, su proveedor de infraestructura, o las librerías que usa, puede tener una vulnerabilidad y que, en caso de un ataque a cualquiera de esos elementos, tus comunicaciones se filtren. Beeper puede declarar que no almacena los mensajes ni a propósito ni por accidente y que no los van a estar mirando, como creo que lo declaran. Automattic puede tener un registro impecable en lo referente a respetar los principios y la independencia de sus adquisiciones en lo que se refiere a la privacidad y al uso de los datos. Todas estas cosas están muy bien, pero somos nosotros quienes debemos decidir si nos lo creemos o no.
2. Usar Beeper afecta a nuestros contactos, no sólo a nosotros mismos. Nuestros contactos pueden haber elegido Signal**porque está cifrado extremo a extremo. No deberíamos presuponer que nuestros contactos van a estar contentos con el hecho de que los mensajes se descifren en Beeper, y el hecho de que nosotros confiemos en Beeper no quiere decir que ellos tengan por qué hacerlo.

🚨 Si usas Beeper, ten en cuenta que a alguno de tus contactos le puedes estar haciendo la puñeta. Háblalo con ellos.

A mí, personalmente, me parece que esto va a hacer algo más difícil las comunicaciones seguras desde regiones geopolíticas menos amigas de los derechos humanos. Ahora mismo, alguien que quiera establecer comunicaciones con el exterior desde países de gobiernos autoritarios no sólo deben confiar que el destinatario con quien quieren hablar es quien dice ser, sino que además tienen que tener en cuenta que la seguridad puede estar comprometida en favor de la mera comodidad de la persona con la que quieren hablar. Sé que es algo a lo que muchos no nos afecta pero en general me parece, como poco, preocupante.

Igualmente me preocupa cómo esto afecta a los whistleblowers, esas personas que, asumiendo un alto riesgo personal y profesional, deciden denunciar un caso de corrupción o irreguridades corporativas: ¿qué ocurre si la persona, el periódico, o el organismo a quien denunciamos los hechos, está usando una pasarela como Beeper o de otro tipo, y se compromete?

En conclusión, mi opinión personal es que rebajar la seguridad de nuestras comunicaciones no es una decisión puramente personal, sino una decisión en la que tienen que estar de acuerdo las dos partes. Si usas Beeper, procura que se sepa.

👤 Cory Doctorow (wikipedia 🇺🇸) es un escritor de ciencia-ficción, periodista, blogger y activista por los derechos digitales con doble nacionalidad, canadiense y británica. Es posible que te suene no sólo por sus novelas y por sus ensayos, sino también por ser un *blogger *veterano muy ligado a Boing Boing, donde fue coeditor durante muchos años y también autor; sus artículos en Boing Boing y en Pluralistic se cuentan por miles.

Además, trabajó para la Electronic Frontier Foundation (wikipedia 🇪🇸), para la cual todavía colabora como asesor.

La palabra fue acuñada en su artículo “Social Quitting”, escrito enero de 2023 en Locus Magazine y reseñado tanto en su blog de medium como en su blog personal, pluralistic.net. Poco después, la carga semántica del término cuajó completamente en el artículo “Tiktok’s enshittification”, y empezó a repetirse en más artículos del propio autor y de otros. Entre esos otros me incluyo, me he referido a ella en varios foros como enmierdificación, que es la traducción que creo que mejor recoge ese matiz de transformación o *transmutación *en 💩

Es tan relevante que la Sociedad Americana del Dialecto escogió enshittification como la palabra del año en 2023. Y como es un término que voy a usar mucho en este blog, quiero capturar su esencia en este artículo.

La palabra se introdujo al describir la decadencia y el desdén hacia los usuarios y los clientes de las redes sociales y mercados-plataforma. Un mercado-plataforma es un servicio en internet que pone en contacto productores con consumidores, de productos o servicios, y se lleva una tajada por cada transacción. Por ejemplo, eBay y Amazon empezaron cobrando una comisión por cada venta, y plataformas más extendidas hoy en día como AirBnb para alquiler de alojamiento de corta duración, o AirTasker, para ofrecer nuestra capacidad para realizar micro-trabajos, también. Si ganas dinero usando cualquiera de estas plataformas, por ejemplo porque traduces un trabajo mediante AirTasker, ésta se lleva una comisión.

Google también es un ejemplo de mercado plataforma, que pone en contacto productores de información con consumidores de la misma.

A través de su historia, este tipo de plataformas ha seguido más o menos consistentemente el siguiente proceso de enmierdificación, primero para los usuarios del gran público (quien compra, quien busca en Google), y luego para sus clientes (quien paga las comisiones para que sus anuncios o su contenido patrocinado aparezca arriba). Y es fácil reconocer cómo los servicios digitales, no ya sólo los mercados plataforma, van progresando a través de un ciclo de vida que los empeora constantemente hasta que ya no resultan útiles ni provechosos a nadie:

Here is how platforms die: first, they are good to their users; then they abuse their users to make things better for their business customers; finally, they abuse those business customers to claw back all the value for themselves. Then, they die.

(Así es como mueren las plataformas: primero, son buenas para con sus usuarios; después abusan de sus usuarios para favorecer a sus clientes; finalmente, abusan de sus clientes para acaparar todo el valor para ellas mismas. Después, mueren.)

El caso de Google es enorme, y como ejemplo es fantástico: su propia transición hacia un mercado plataforma de la publicidad es su enmierdificación en sí misma, y sigue la descripción de Cory Doctorow etapa a etapa:

1. Primera Etapa: en aquellos dos años entre 1998 y 2000, cuando Google todavía no tenía una división de negocio de anuncios y de posicionamiento por palabras, los resultados eran clasificados excelentemente por pura relevancia, y todos sus usuarios estábamos maravillados: por fin era fácil encontrar cosas en internet.
2. Segunda Etapa: entre el 2000 y hoy, los usuarios reciben anuncios y resultados de búsqueda promocionados, cada vez más arriba y paulatinamente cada vez más; mientras, aparece la figura del cliente, que son los anunciantes que les pagan y reciben visitas gracias al posicionamiento comprado. Este posicionamiento se consigue realizando seguimiento a nuestra actividad en internet, que cada vez es más difícil de entender, limitar o evitar aún sin usar Google o tener cuenta de usuario. Con la llegada de Android, Google nos sigue a todas partes porque está en el bolsillo. Es el abuso de los usuarios en favor de sus clientes.
3. Tercera Etapa: los cada vez peores resultados de la búsqueda de Google a pesar de su cada vez mayor apetito por tus datos personales son sólo los efectos más recientes del proceso. Ahora mismo, sólo quien más paga aparece en primera página: los resultados de búsqueda son cada vez peores, menos diversos y menos relevantes para el usuario, y cada vez más clientes se quedan fuera de la primera página porque no pueden competir. Y recordemos: según Javier Cansado, la tercera página de Google es la**Dark Web. Y Google no deja de cobrar y de crecer, acaparando el valor para ella misma mientras abusa de sus clientes.
4. Obviamente, Google sigue ahí; todavía no se ha cerrado el proceso.

Pero aunque el término se empezó explicando con las plataformas, es fácil extenderlo a otros ejemplos relacionados con la tecnología, como pueden ser los impedimentos a la reparación independiente de los dispositivos por los que has pagado bajo el pretexto de protegerte. Sí, te impedimos reparar tu dispositivo para protegerte: es absurdo pero cierto. O que Windows, un producto cuyo precio oficial es 145€, muestre publicidad y contenido posicionado sin ningún tipo de rubor.

Todas estas cosas hacen que te pares, te plantees que las cosas, antes, no eran así. Que antes todo era más transparente, más honesto y más personal. Y que te enfades, lógicamente.

Y todo lo que se enmierdifica lo hace al mismo tiempo que eleva los costes del cambio para que los usuarios y clientes no tengan tan fácil el irse a otro lado. Por ejemplo, cualquier aplicación de mensajería instantánea o red social comercial hace imposible o lamentable el contactar con usuarios de otras. Desde WhatsApp no podías contactar con un usuario de Telegram. Desde iMessage no podías contactar de forma segura con usuarios de Android, a los que enviaba mensajes SMS como si estuviéramos en la década de 1990.

Estábamos tan metidos en el barro que probablemente lo veíamos normal, hasta que recordamos que hay redes sociales federadas como Mastodon, y mensajería descentralizada, como XMPP, que ponen en tela de juicio cualquier justificación técnica.

De hecho, la Ley Europea de Mercados Digitales ha bastado para, por un lado resolverlas, y por otro para poner en evidencia a todo el mundo. Apple implementará compatibilidad con RCS, el sucesor de los SMS, permitiendo así contactar con usuarios de Android con un mínimo de seguridad; sin embargo, seguirá mostrando las burbujas del chat RCS en verde, color asignado actualmente a los SMS, lentos, obsoletos y que nadie debería usar por pura seguridad. Tú y yo lo sabemos, pero probablemente muchos usuarios de a pie ni se enteren del matiz, y sigan asociando las conversaciones con burbujas verdes con poca calidad. WhatsApp también tiene lo suyo: permitirá interoperar con otras alternativas, pero segregará las conversaciones con otras plataformas en una pestaña aparte, haciendo de todo el tema un ejercicio de segregación bastante descarado. Ambos cumplen, sí, pero de forma que genera rechazo, fricción y vergüenza ajena.

La situación, a estas alturas, es tan pobre y generalizada que este tipo de cosas son casi como un despertar.

La enmierdificación puede afectar a cualquier cosa más allá de la tecnología y los servicios digitales, como a los coches, los tractores y, en general, a cualquier cosa en la que su responsable pueda llegar a pensar que no te está sacando el suficiente dinero. Aún así, en este blog me centraré en la tecnología y en servicios digitales, señalando víctimas de la enmierdificación y comparándolas con los remansos de calidad a los que todavía nos podemos retirar.

Lo has notado tú, lo he notado yo, y lo recoge The Verge en el artículo “It’s time for a hard reset on notifications”: enmedio de notificaciones que querrías recibir porque pudieran interesarte, cada vez más aplicaciones y sitios web insertan notificaciones puramente publicitarias que no tienen otro objectivo que hacerte abrir la aplicación:

• Hace mucho tiempo que no publicas nada, deja que tus contactos sepan que estás bien.
• Hemos seleccionado estas subastas para ti.
• Termina tus deberes de Klingon Coloquial, porque un chaval de 13 años de Nebraska está a punto de superar tus logros.
• Sólo queda una hora para completar los desafíos diarios de Parky Crunch.
• ¿Te gusta nuestra aplicación? Escribe una reseña, sólo te llevará 2 minutos.

Todas esas cosas de arriba se podrían completar con un “… y lo que estés haciendo nos importa un bledo”.

Con esas notificaciones, vuelves a entrar en su aplicación y te arriesgas a caer en el pozo de *hacer scroll *durante un tiempo suficiente para imprimir unos cuantos anuncios para ti, y convertir la atención que has perdido en unos pocos ingresos para ellos. Porque cuando abres una de esas notificaciones, el diseño de la aplicación va a tirarte a la cara todo tipo de argucias y estímulos para que te quedes.

Y, mientras tanto, tu trabajo, pareja, amigos, familia, tu libro, la serie o la película que estabas viendo, están desatendidos.

Llevo unos 7 años con pocas notificaciones en mi teléfono más que las llamadas telefónicas, mis bancos, y mensajes personales directos. Empezaba este viaje en agosto de 2017 y daba cuenta de ello en mi podcast “sobre la marcha”; al poco tiempo (mayo de 2018) me daba cuenta de lo que este hecho cambiaba mi forma de relacionarme con mi teléfono móvil. Y no ha habido vuelta atrás.

En resumen:

• Si no es una llamada, no es tan importante. Si alguien te necesita ya, lo que tiene que hacer es llamarte. Y si quien te llama no está en tus contactos o, peor, oculta su número, no es importante.
• Gestiona tu tiempo y tu atención tú mismo. Es muy molesto estar tomando un café con alguien y que esa persona esté constantemente mirando de reojo su teléfono móvil, porque no para de vibrar. No seas esa persona. No empeores tus relaciones sociales para cubir la cuota de ingresos por publicidad de algún desconocido al otro lado del mundo.
• Decide cuándo entrar en un aplicación tú mismo, no le des ese poder a ningún desarrollador. “¡Hace mucho tiempo que tus contactos no saben de ti!” es una forma muy falaz de decir “hace mucho tiempo que no recibimos ingresos de tu actividad y ya es hora de que entres de nuevo en la aplicación”.
• La inmensa mayoría de las notificaciones no sirven para nada. Es un completo despropósito que se te informe de todos los pasos que tu compra sigue desde que haces un pedido hasta que el repartidor te la deja en la puerta, y después un recordatorio de que metas los productos frescos en la nevera, y que luego se te acose para que dejes una reseña. Ése es un ejemplo con el que coincido palabra por palabra con el artículo de The Verge. Ya sé que he puesto un pedido y me considero capaz de abrir una aplicación por mí mismo. Si quiero saber si hay algún cambio, ya sé dónde mirar. Si estoy esperando un paquete de cualquier otro tipo, también: seguro que tengo un enlace de seguimiento para mirarlo cuando yo quiera. No me hacen falta notificaciones.

Excepciones notables son las ya mencionadas llamadas telefónicas, mensajes personales de contactos conocidos en aplicaciones de mensajería instantánea, tu cuenta de correo importante (donde recibes información personal, de tus bancos y de tus obligaciones como ciudadano) y la de tu trabajo, de tus bancos por si hay actividad fraudulenta, aplicaciones de autenticación que usan notificaciones… ¡y poco más! Con esas notificaciones esenciales, personalmente desactivé las notificaciones de más de 60 aplicaciones ya en 2017, momento en el que tenía instaladas unas 75. Y, mientras el número de aplicaciones instaladas ha ido, en general, subiendo, el número de aquellas que pueden enviarme notificaciones han ido, en general, bajando.

Es cierto que hay otras formas de controlar este tipo de interrupciones, y que cada cual ha de tomar su propia decisión, pero personalmente las desactivo sin piedad. Nunca he usado características tipo “resumen programado” o “modos de concentración”, porque no son más que soluciones mediocres que los sistemas operativos móviles proporcionan en favor de los desarrolladores de aplicaciones y en contra tuya. Las notificaciones no están a tu servicio, y tenerlas aparcadas para que te distraigan más tarde sólo retrasan el problema. Tú sigues perdiendo tu tiempo y alguien sigue ingresando dinero gracias al tiempo que pierdes… más tarde.

Desactiva (casi) todas tus notificaciones. En realidad, ni necesitas tantas, ni son tan útiles.

Las premisas fundamentales son, más o menos, las siguientes:

• La atención de un individuo, y de la sociedad en su conjunto, es un bien escaso.
• Consumir información utiliza atención. Ocupa recursos.
• Si un individuo no encuentra información suficiente, o lo suficientemente rápido, se irá a buscar lo que sea a otro sitio.

La industria de las tecnologías de la información lleva bastante tiempo adoptando y aplicando este modelo al diseño de las webs y aplicaciones. Y es normal, porque es una forma de hacer aplicaciones de acceso a información más efectivas. Es más, si esas tres premisas se pusiesen siempre a nuestro servicio, como usuarios que somos, el resultado sería fantástico porque tendríamos aplicaciones diseñadas para quitarse de enmedio lo antes posible, dándonos información de forma rápida, precisa y eficiente. Porque nuestra antención es escasa y tenemos que pasar a lo siguiente que sea que tenemos que antender.

Pero esto no es así casi nunca, porque la mayoría de aplicaciones y webs no se diseñan a nuestro favor. Especialmente si se sostienen mediante anuncios: el dueño de la web o aplicación obtiene más ingresos cuantos más anuncios se nos muestren, y por eso es importante que nos quedemos más tiempo dentro, desatendiendo todo lo demás.

Por ejemplo, las redes sociales comerciales como X (Twitter, hablando claro) o Facebook son famosas provocando que nos desplacemos por la cronología de publicaciones un tiempo obscenamente alto, “haciendo scroll” sobre una sucesión de contenido que la plataforma va posicionando en base a nuestros intereses. Cuanto más tiempo, mejor. Y luego nos damos cuenta a las 3 de la mañana que llevamos 5 horas viendo vídeos de gatos en Tik Tok.

El problema se complica cuando este tipo de aplicaciones añaden otra premisa, obvia, al conjunto anterior:

• *Si Gabriel consume otra información de otros,**o hace otra cosa, *otros se llevan su atención: hay que hacer algo.

Esos “otros” incluyen tu trabajo, tu familia, tus amigos o el coche que se ha saltado el semáforo en rojo y te va a pasar por encima. Y es básicamente lo mismo que decir que nuestra atención no es tal: es su**recurso a explotar. Este tipo de negocios se autoatribuyen el derecho a disponer de nuestra atención por encima de nuestros propios intereses. El que nosotros hagamos cualquier otra cosa distinta a scroll en su plataforma, como deporte, leer, jugar con nuestros hijos, tomar un café prestando atención a quien tenemos en frente, usar otra web o aplicación, supone un coste de oportunidad para ellos.

¿Cómo nos mantienen dentro? Calculando qué mostrarnos en cada momento. ¿Cómo nos arrastran dentro si salimos? Mediante notificaciones. Las notificaciones son lo que nos atrae y nos hace asomarnos al pozo.

Cuando el producto se sostiene mediante anuncios, tus datos personales o tu atención son los recursos a explotar.

Desactiva las notificaciones.

En breve, más sobre estos y otros temas.