Ley de cookies en Europa

Llevaba tiempo queriéndote decir esto: estás usando incorrectamente los mensajes de la Ley de Cookies. La primera pregunta que te quiero hacer es: ¿te has leido la ley? ¡Venga ya! Aceptaría que te hayas molestado en visitar la página simplificada de la Unión Europea en la que se explica la parte de cookies y si has de poner ese mensaje y cómo.

Primero vamos a situarnos rápido: una cookie no es una galleta, es un pequeño bloque de información que se guarda en tu navegador de Internet y que ayuda a los sitios webs por los que navegas a saber que eres tú y qué preferencias tienes en un sitio (por ejemplo, cuando seleccionas el idioma del menú de la página y cuando vuelves aparece ese mismo idioma).

Cookies hay de dos tipos, las de sesión (cuando cierras el navegador, se eliminan) y las permanentes (duran hasta la fecha final que se le indica). Por otro lado hay las de first-party (que son las cookies propias, las que genera el sitio por el que navegas) y las third-party (que las genera un servicio externo sobre el que no tienes control). Para acabar tienes la posibilidad de permitir solicitar cookies de forma implícita o explícita.

¿Cuándo NO hay que pedir permiso para las cookies? Cuando las cookies las provee el propio sitio web (first-party) y son para que el sitio funcione correctamente o tenga datos de configuración. Tampoco lo serían aquellas cookies de sesión o las que, como máximo, están un año.

¿Cuándo SÍ hay que pedir permiso para usar cookies? Cuando las cookies las provee un servicio externo que simplemente utiliza esas cookies para almacenar datos de uso o análisis. Ejemplos son Google Analytics, Hotjar y cosas de ese estilo. En definitiva, cosas que si no tuvieras, tu sitio funcionaría y que sólo pones para recopilar datos que se almaenan “por ahí”.

Existe una excepción y son las cookies de “redes sociales”. Por ejemplo, las cookies que Facebook, Google, Twitter ponen en tu sitio para identificar a los usuarios que han accedido a sus redes desde estos sitios.

Entonces ¿he de poner el mensajito que toca los webs en todos mis sitios? Depende. Sólo has de ponerlo cuando utilizas esas cookies de terceros que comentaba. En caso de ponerlo, y aquí es cuando decía al principio “que lo estás haciendo mal”. Voy a internet explicarme muy claramente:

Cuando pones el mensaje de las cookies ha de haber siempre dos opciones: Aceptar o Rechazar. El aceptar permite que incluyas esas cookies de terceros que trackean al usuario, pero el rechazar no puede sacarte de la web y mandarte a Google o Disney (si no dejas acceder a un usuario por no usar cookies loe stás discriminando, y eso es delito), te ha de permitir usar el sitio web, pero como propietario del sitio no puedes incluir los scripts de terceros.

Eso sí, ten presente que además de mostrar ese mensajito “flotante”, cuando lo aceptes o rechaces, igualmente y durante toda la visita del usuario, en cualquier momento el usuario puede decidor aceptar o rechazar de nuevo esto, y ha de estar visible de nuevo. Un ejemplo de este caso es el que se muestra en los puntos 1 y 3 de la imagen siguiente:

¿Cuál es la mejor manera de gestionar todo esto? Usando el sistema de Do Not Track que es una herramienta de los navegadores que automatiza la solicitud de este mensaje de las cookies. Si tu utilizas un sistema que detecte las cabeceras del sitio buscando la DNT y en caso de que esté activo no muestras los scripts de terceros, ya estarías cumpliendo en no tener que mostrar el mensaje de “aceptar las cookies”, ya que al estar activo y tú no mostrarlo, no hay que aceptar nada (ya que no muestras nada).

Eso sí, no olvides que independientemente de lo que hagas con la aceptación o no de las cookies, sí que hay que incluir en los sitios una zona en la que se explique qué tipo de cookies usas (ya sean first o third-party) y qué información almacenas en ellas. Ahora toca ponerse manos a la obra y arreglar lo que tengas mal en tus sitios (que es lo que voy a hacer yo ahora mismo).

WPdanger, análisis de seguridad para WordPress

Un clásico de los sitios web que usan un CMS de fondo es la falta de actualización de los mismos. Esto hace que si en un par de meses tu sitio está sin actualizar sea objetivo de cualquier ataque, ya que todos los problemas que puedan haber, estarán.

Si a esta preocupación personal le sumamos que en verano suelo hacer “cositas por entretenerme”, salen proyectos como WPdanger, un sitio web en el que pones la dirección de tu sitio en WordPress y te da algunas vulnerabilidades o te puede servir para encontrar problemas que puedas tener y que todos pueden verificar.

Al principio comencé usando WPscan para hacer algunas pruebas, pero aunque en particular funcionaba, a lo grande ya no era tan simple. Así que monté un primer sistema que mostraba los resultados por pantalla web, posteriormente comené a procesarlos y al final ha salido una web en la que analiza más de lo que hacía al principio (que era puramente reactivo) a algo un poco más decente y que da más datos, además de mostrar enlaces a todos aquellos problemas que pueden aparecer.

Pero esto era poco… si cualquiera tiene acceso a este tipo de herramientas ¿cómo evitar que los datos que aparecen sean útiles para prevenir ataques? Obviamente la primera fase era evitar enseñar lo que no se tiene que enseñar, es decir, que la herramienta crea que lo que realmente hay no esté. Así, si un hacker usa estas herramientas, y ve que aparentemente no hay mucho que hacer en el sitio, pase de él. Esto me ha llevado durante algunos días a hacer y hacer análisis hasta poder ir bloqueando aquellos elementos que bloqueasen ataques pero hiciesen que la web siguiera funcionando. Tras varias horas revisando y analizando y probando con mi sitio, llegué a varias conclusiones.

La primera de ellas es que WordPress funciona mejor con nginx que con Apache HTTPD. En principio debería dar igual, pero a la hora de configurar elementos ys eguridad, ya no tanto. Entre uno y otro, me quedo con nginx. Lo segundo es que hay que montar PHP 7, principalmente por temas de rendimiento. A partir de esta combinación, podemos comenzar a trabajar.

La segunda es que hay plugins (muy utilizados) que no piensan en la seguridad, no permiten desactivar determinados elementos y que ponen en riesgo todo t sitio. El principal que me he encontrado es el Yoast SEO. Me gusta, no me importa que tenga código que ponga que lo usas, pero por favor, no indiquemos la versión, o al menos que la versión sea un eleemnto que se pueda desactivar. Como digo, es el plugin más inseguro (desde ese punto de vista) que he encontrado.

La tercera es que el hecho de que WordPress sea tan estándar y tan sencillo, hace que se puedan detectar versiones de plugins y plantillas de forma extremadamente sencilla (y sobre todo, de forma automática). Obviamente hay que encontrar un mix entre funcionalidad y seguridad. Me ha costado, pero he acabado encontrándolo.

El cuarto es que las configuraciones de seguridad que hay por Internet sobre WordPress se quedan extremadamente cortos. Es obvio que hay que informar, siempre lo primero, en que tu WordPress esté actualizado, obvio ye s así, pero por ejemplo, en todos los manuales se habla del famoso “usuario admin” que desde hace muchísimas versiones ya no viene por defecto. Está bien decir que no se use, pero han pasado años de que sea el mayor problema de seguridad de los usuarios. Lo que más me molesta es que no se explique esto, que es un tema histórico y que una instalación nueva no debería preocuparse en exceso por este asunto.

El quinto es que me ha parecido extraño que los grandes proveedores de hosting especializados en WordPress no den soluciones de seguridad sencillas más avanzadas, sobre todo en la parte preventiva.

Obviamente, no hay sitios 100% seguros, ni pretendo que los haya, pero sí que la prevención de la que siempre se habla en seguridad, se aplique. No tiene sentido decir que tienes un Firewall si luego puedo saber la lista de plugins que tienes instalados, o qué plantillas usas, y mucho menos saber qué versiones son y si están al día o no, incluyendo al núcleo.

¿Qué he aprendido con todo esto? A mejorar la ocultaciónd e información de la manera más simple posible que he encontrado, y principalmente poner difícil a los demás saber qué uso o dejo de usar. Un ejemplo, ahora mismo, es que si lanzo un análisis contra mi sitio, hace unos días me decía qué versión de WordPress tenía (exactamente), toda la lista de plugins, con sus versiones y sabiendo sie staban actualizados o no, y lo mismo con las plantillas… Ahora me dice una versión casi exacta de la que tengo en realidad de WordPress, pero ya no me dice qué plugins o plantilla tengo.

Esto no significa que si te miras un poco el código no se pueda saber, pero el hecho de que “de forma automática nos e sepa” me hace sentir un poco mejor, porque mucha gente que quiera hacer maldades lo tendrá ligeramente más difícil o, como mínimo, tendrá que dedicarle tiempo humano (y no tiempo máquina) para hacer maldades (a alguien que, la verdad, dudo que le aporte o vaya a conseguir nada útil).

Para acabar, tengo escrito un ¿folleto? de 15 páginas sobre seguridad de WordPress en el que explico con pelos y señales cómo solventar prácticamente todos estos problemas. La cuestión es si debería publicarlo por completo o parcialmente y plantear como vía de negocio / modelo de vida (y más ahora que no estoy trabajando en ningún proyecto y he vuelto al autonomismo) y de esa forma, ofreciendo uns ervicio barato, ofrecer la posibilidad de montar WordPress de forma segura a quien no sepa qué hacer con su sitio web. Aún así, como siempre, si alguien necesita ayuda con algo, parcialmente como parte de la comunidad, parcialmente como modelo de vida, estoy aquí para ayudar.

VPS baratos para desarrolladores

Los programadores tenemos esa ligera manía de querer probar cosas. Pero para probar cosas lo más parecido a un entorno de producción lo que se suele necesitar son máquinas virtuales (VPS) que tengan características similares aunque no el rendimiento adecuado; es decir, la misma máquina con menos CPU y RAM. El hecho de que tecnológicamente un sistema tenga menos recursos también tiene una ventaja: si funciona en pequeño, debería funcionar en grande. De la misma manera, al contrario, si no funciona en pequeño, aunque funcione en grande, es probable que no escale.

Es por esto que me gustan mucho las máquinas VPS baratas que se encuentran por ahí. Probablemente no sean las mejores máquinas pero son tan baratas que te ayudan a poderte hacer una idea de cómo funcionaría tu producto alrededor del mundo.

Para este artículo voy a plantearme hacer una comparativa basada en una relación 1 CPU + 1 GB de RAM, y a partir de ahí, “lo que surja”. El objetivo es encontrar máquinas baratas, con un mínimo de RAM y procesador y que tengan cierto rendimiento.

La tabla que presento ahora es una lista de algunos sitios web donde contratar, con algunas características simplemente por comparar de forma rápida.

SitioCPURAM (GB)Disco (GB)TráficoConexiónVirtualizaciónPrecio/mes
1and11150 SSDilimitado100 MbpsVMWare4.99 USD
A2 hosting1120 SSD2 TBOpenVZ7.63 EUR
Atlantic1140 SSD3 TBKVM10.00 USD
bandwagonhost2120 SSD1 TB1 GbpsOpenVZ / KVM4.99 USD
brightbox1130 SSDKVM15.00 GBP
budgetvm1175 SSD3 TB100 MbpsOpenVZ4.99 USD
digitalocean1130 SSD2 TBKVM10.00 USD
hetzner1125 SSD2 TB1 GbpsKVM3.90 EUR
linode1120 SSD1 TB1 GbpsKVM5.00 USD
ovh1210 SSDilimitado100 MbpsKVM3.49 USD
ramnode1140 SSD1 TBOpenVZ3.50 USD
ramnode2120 SSD2 TBKVM5.00 USD
scaleway2250 SSDilimitado200 MbpsKVM2.99 EUR
scaleway4850 SSDilimitado300 Mbpsninguna11.99 EUR
stablehost1140 SSD2 TB1 GbpsOpenVZ / KVM9.95 USD
upcloud1130 MaxIOPS2 TB10.00 USD
vpsdime4 compart.630 SSD2 TB10 GbpsOpenVZ7.00 USD
vpsdime1 dedic.460 SSD2 TB10 GbpsKVM20.00 USD
vps.net4125 SSD3 TBXen10.00 USD
vultr1125 SSD1 TBKVM5.00 USD

NOTA: Los precios pueden ser aproximados, pero son los que había en la web en el momento en el que se hizo la tabla.

Espero que esta lista de sitios donde encontrar alojamiento barato para hacer pruebas sea útil, y que además sirva para descubrir otros posibles alojamientos para tus proyectos.

Bootstrap 4.0

Se acerca la llegada de Bootstrap 4 a nuestros hogares web y es hora de ver algunos elementos a favor y contra de lo que ya conocíamos. Y es que en estos últimos meses he tenido la oportunidad de probar la versión alpha 4, y la alpha 6, y ahora que llega la versión beta estamos cerca del lanzamiento final.

Entre las primeras cosas a tener en cuenta es que se ha añadido un fichero JavaScript más. Así que ahora tendremos que poner una línea de código CSS en la cabecera, y 3 líneas en el pie. Una de ellas sigue siendo jQuery, algo bastante estándar hoy en día en muchos sitios web, pero el hecho de tener que usar muchos ficheros JavaScript es algo que en principio no me acaba de gustar. Si realmente vamos a utilizar los 3 ficheros a lo largo del sitio, quizá sería mejor incluirlo todo en uno único y hacer una petición mayor y cacheárselo al usuario.

Otro elemento que me gusta es la paleta de colores nueva que se ha generado, con una serie de varios colores, los de los botones y alertas y finalmente la escala de grises.

El siguiente elemento importantísimo en este sistema es el del grid, que se ha actualizado bastante, han variado algunos tamaños. Esto hace que el sistema anterior sea incompatible en cuanto a tamaños… y por tanto hay que hacer un replanteamiento bastante importante en cuanto a los tamaños de pantalla sobre los que queremos trabajar. Aún así, también se han hecho muchas mejoras para simplificar su aplicación. Sin duda habrá que dar un repaso en profundidad a la información sobre el nuevo funcionamiento del grid, que valdrá la pena.

Otro detalle importante, siguiendo con la parte del grid es el de la alineación vertical de los distintos bloques. De la misma forma, cuando no completamos todas las columnas, podemos cambiar el comportamiento horizontal, hasta ahora sólo alineado a la izquierda. Y a esto podemos sumar una forma mucho más sencilla de ordenar los elementos como queremos.

El siguiente elemento básico es que han cambiado las fuentes a un sistema mucho más estándar y compatible con todos los dispositivos; se ha seguido una regla publicada sobre fuentes nativas de Smashing Magazine. Además, se han aplicado ligeros cambios en la tipografía, que siempre son de agradecer para dar una mayor flexibilidad a la hora de mostrar contenidos por pantalla; de forma similar se ha hecho con las tablas, que aunque no varía en exceso lleva algunos detalles visuales interesantes.

Algo que me ha gustado bastante es la mejora en las alertas, sobre todo porque se ha planteado un sistema más extendido (que hasta ahora parecía que sólo se pudiera poner una simple línea de texto).

El gran nuevo elemento son las card, que es el sistema de crear contenedores, más parecido al concepto Android Material. Estos elementos dan mucho juego, son bastante ampliables y configurables y van a requerir de una gran cantidad de tiempo para aprenderse todos sus detalles.

Otro de los componentes nativos que es muy importante en determinados sitios es el del carousel, que incluye algunos elementos nuevos para hacerlo más visual, como el de los indicadores y textos. De la misma forma, aunque sin grandes cambios, hay detalles en los sistemas de collapse que permiten multi-target y que ayudarán a facilitar cómo y cuándo mostrar determinados elementos.

Uno de los elementos que quizá se haya quedado corto es el de los dropdowns en el que sigo teniendo en falta la opción de al menos un nivel de sub menú por defecto en el sistema. Seguramente también para algunos los formularios deberían evolucionar algo más, aunque creo que el hecho de que la validación automática (sin necesidad de recargar) haya añadido unas buenas mejoras, va a suplir cualquier otro cambio. En la misma línea de las tablas tenemos las ventanas modales, que tampoco han sufrido grandes cambios aunque sí algunos detalles que ayudarán a mejorar la visualización de sus contenidos.

Otros elementos como la navegación o la barra de navegación tampoco lleva muchas mejoras en sí, pero sí que incluyen algunos detalles que mejoran todo el funcionamiento, al igual que lo hacen los popovers que incluyen mejoras en su contenido.

Entre las utilidades, una de las interesantes es la de los bordes, que hasta ahora había que ponerlos a mano mayormente. Y la siguiente es la de los tamaños, que en general las horizontales no suelen ser muy problemáticas pero sí las verticales cuando trabajas con muchos bloques; ahora te permitirán definir alturas y anchuras de los bloques de forma sencilla.

Y finalmente el cambio quizá más curioso es que la nueva versión no incluye ninguna biblioteca de iconos por defecto, por lo que simplemente te recomiendan una lista de posibilidades.

Como opinión personal, el cambio de la versión 3 a la 4 es a veces un poco traumática, principalmente por la mentalidad de las cards, aunque el resultado es ahora más plano (más Material) y a mucha gente no le acaba de convencer, creo que esta nueva versión aprende de algunos errores del pasado, mejora muchos elementos con pequeños detalles, y sin duda creo que hará la experiencia mucho más agradable para los usuarios, principalmente en aquellos que usen tecnologías móviles. Y si quieres comentar a trastear, sólo has de probar los distintos ejemplos de casi todos los elementos de esta nueva versión.

Proveedores NS

Cuando hablamos de Internet hemos de hablar de resolución de nombres, principalmente los de dominio. Son las llamadas NS o DNS. Este es un servicio básico ya que lo que permite es convertir un dominio tipo [example.com] en una IP, además de hacer lo mismo con el correo y otras entradas.

Habitualmente los servicios de registro de dominio ofrecen una versión gratuita de este sistema, básico, pero suficiente para funcionar. Aunque si nos vamos a detalles más de tipo Web performance, la cosa cambia y deberíamos elegir un sistema algo más amplio, mundial, con multicast o anycast, que tenga redundancia, intentando tener tiempos altos de TTL.

Y aquí una lista de servicios gratuitos de DNS que existen en la red (ordenados alfabéticamente):

  • 1984: Aunque se centran en dar alojamiento, tienen su servicio de Free DNS para cualquier usuario.
  • ClouDNS: Aunque la versión gratuita no es muy amplia, no deja de ser otra opción distribuida importante y conocida.
  • Cloudflare: Ofrecen varios servicios y parece que ahora mismo tienen cerca del 40% de la gestión de DNS del mundo.
  • FreeDNS: Es de estos servicios que la comunidad pone a disposición de todo el mundo, siempre actualizado y a la última.
  • Geoscaling: Lo interesante de este servicio es que permite distribuir las entradas dependiendo del punto de origen del usuario. Si un usuario está en América, lo mandas a un servidor en US, si está en Europa, a uno en DE…
  • Hurricane Electric Free DNS: Personalmente el que más me gusta y uno de los que utilizo. Es visualmente feo pero funcional y si sabes de DNS te deja hacer prácticamente de todo. Además acaban de añadir soporte a las CAA y tienen servicio dinámico. Ofrecen 50 entradas gratuitas.
  • Namecheap FreeDNS: Aunque se centran en registrar dominios, puedes usar sus servicios de DNS de forma gratuita aunque el dominio no esté con ellos.
  • NS1: Tiene buena pinta, y su servicio de pago parece muy interesante. Ofrecen 50 entradas gratuitas con 500K consultas gratuitas.
  • Rackspace: Tienen el servicio simplemente gratis por darte de alta con ellos. Usan el estándar de BIND9 en modo Anycast.
  • BuddyNS: Aunque sólo ofrecen 300K peticiones/mes, es más que suficiente y tienen una buena infraestructura distribuida.

Como he comentado, personalmente estoy usando los servicios de Hurricane Electric, aunque también uso y he usado algunos otros para distintos proyectos. Al final es siempre escoger lo que a uno le vaya mejor. Y para eso, un par de herramientas interesantes. La primera un comparador (historizado) de velocidad de DNS. La segunda un comparador por zonas y listados de cuota de mercado por proveedor DNS.

Y, como siempre, si necesitas ayuda para montar o usar este sistema o cualquiera de ellos, no dudes en contactar conmigo que te podré ayudar con ello.

Correo gratis con tu propio dominio

Cuando uno empieza en Internet suele hacerlo con una cuenta de correo de tipo GMail, Hotmail o similar. Son grandes servicios pero no muy profesionales. Por ejemplo, cuando entregas tu curriculum en la b´ñusqueda de empleo, al menos yo, es una de las cosas que me fijo, porque un correo personalizad dice mucho de esa persona.

Y es por esto que te propongo algunas opciones a la hora de montar tu propio correo electrónico con tu dominio, el cual ya doy por hecho que tienes. Personalmente te recomiendo un .COM, pero si no es el caso, siempre tienes los .CONTACT, .MAIL, .NAME, .EMAIL, .ABOGADO, .ACTOR… o cualquier cosa que te interese.

A partir de aquí ¿cómo consigo mi cuenta de correo completa y gratis? Pues te propongo algunas opciones (aunque la verdad es que no hay muchas).

  • Zoho: Seguramente es de todas las opciones la más conocida, aunque personalmente para mi no es la más potente. Si visitas su página de pricing tienes la opción de gratis / free que te da hasta 25 cuentas de 25GB de espacio además de otros servicios. vendría a ser una especie de Office o Google Suite. A partir de ahí es cuestión de configurar tu dominio.
  • Yandex: el llamado “Google ruso” ofrece un servicio casi ilimitado -1000 cuentas- de correo (y otros servicios) con tu propio dominio. Para ello puedes usar su servicio de Yandex Domain y que están ampliando con su Yandex Connect en el que también dan espacio en disco y otros servicios.
  • Migadu: Es un servicio con cuentas ilimitadas para un dominio, pero con la restricción de máximo 20 correos salientes al día, algo que considero simplemente irrisorio.
  • Pawnmail: es un servicio sencillo y simple de correo, gratuito por completo pero al que cuesta acceder ya que no siempre está disponible para dar de alta nuevas cuentas.
  • Mailsac: este servicio es interesante ya que es para cuentas “de usar y tirar”, y que te permite usar tu propio dominio, lo que hace que para darte de alta en sitios parezca una cuenta de correo “seria” (sobre todo porque hay sitios donde no se permite el uso de cuentas de GMail o Hotmail).

Sin duda, si vas a comenzar con algo, no te importa que su versión webmail esté en inglés, y vas a usar, por ejemplo, un lector de correo o una App en el móvil, mi mejor opción es la de usar Yandex Mail. he tenido la oportunidad de probarlo y usarlo y es una elección interesante, fácil de usar y que tiene todo lo necesario para un servicio de correo que no te lo acabarás. Y si necesitas ayuda para montar o usar este sistema o cualquiera de ellos, no dudes en contactar conmigo que te podré ayudar con ello.

Porqué no estoy en Redes Sociales

En general tengo fama de anti-social, aunque más que “anti” diría que “a”. Pero el hecho de no estar en Redes Sociales seguramente es más por mi experiencia e historia en Internet que otra cosa.

Pongo por ejemplo como redes sociales las siguientes: Twitter, Instagram, Linkedin, Tumblr, Facebook, Pinterest, Youtube, Flickr, WhatsApp, Reddit, Snapchat, Google+, Periscope, Medium, Meetup, Askfm, Viber, Vine, WeChat…

Si alguien me busca me va a encontrar, eso seguro, porque sólo hay que poner mi nombre en cualquier buscador y aparecerá mi sitio web principal -javiercasares.com-. Allí está mi contacto, teléfono, correo… todo lo necesario para que cualquiera se comunique conmigo. Además está Threema, que es el sistema de mensajería que prefiero; es de pago, pero tiene unos niveles de seguridad que considero mejores en comparación con otros, ya que está descentralizado [parcialmente].

Además, me considero un feeder de Twitter, que más que una red social considero una buena fuente de comunicación y de emisión de conocimiento en tiempo real, probablemente junto a la Wikipedia, a la que cada año dono 12 euros para su mantenimiento (creo que 1 euro al mes para devolver lo que me da es lo mínimo que puedo hacer). Alguna vez incluso he comentado que si Twitter diera un servicio premium para usuarios “normales” de entre 12 y 48 euros al año, seguramente también lo pagaría.

Por último Linkedin, es seguramente más que una red social un lugar de comunicación interesante desde el punto de vista profesional, para cualquier persona que trabaje en cualquier sector. No digo que todos deberíamos estar en Linkedin, pero casi. Si se usa mínimamente bien es un lugar que puede generar muy buenas relaciones.

Como veis, en general todo se centra en información y contactos profesionales. Y es que, como decía al inicio, llevo ya 20 años generando contenidos en Internet (y 23 rondando por aquí) y cada vez aprecio más cierto grado de privacidad, no tanto entendida en cuando a la seguridad de saber dónde vivo o quién soy, sino en lo que hago en el día a día, que creo que no le ha de importar a nadie, excepto a mi familia y amigos cercanos, con los cuales me comunico de otra manera (no de forma pública).

Y es aquí el punto a destacar… ¿hay que ofrecer tu vida de forma pública? Si te dedicas profesionalmente a algo que tiene que ver con “ser conocido” es obvio que sí. Aquí lo que hay que saber es dónde están los límites de lo personal y lo privado. Un ejemplo claro puede ser la política, los actores… pero, por ejemplo ¿yo?. He de reconocer que me considero un personaje público en determinados ámbitos, sobre todos los que tienen relación con Internet. En los eventos a los que asisto, mucha gente me conoce por mi historia en la red, por todo aquello que he hecho, he dicho y he aportado, y me parece correcto que se acerquen a mi y me pregunten y tengamos charlas acordes… no deja de ser un “subidón de ego” cada vez que eso ocurre, y más cuando alguien acaba diciéndote lo de “pensaba que nunca me ibas a contestar o a pasar de mi”. No soy tan famoso como para tener que ignorar a gente a la que puedo ayudar (o al menos eso es lo que espero).

Y esto lleva a “las otras redes sociales”, como Facebook, Instagram, Snapchat, WhatsApp. Por supuesto que doy por hecho que hay un uso profesional en estas redes, aunque considero que la mayoría de veces es extremadamente vendido (ya sea en forma de publicidad o de marketing extremo). Entiendo que haya cuentas de empresas y que la gente las siga “porque quieren”, pero no es ahí donde quiero ir, sino a la parte más personal. Facebook me parece un sitio de chismorreo, de cotilleo extremo en el que uno va ahí simplemente para cuchichear en la vida de los demás. Lo más extremo que me ha pasado es que me entere de que unos amigos han sido padres (hace ya algunos años) y cuando me los encuentro su frase sea: lo dijimos por Facebook. Eeehhhmmm… vale. De toda la vida se ha llamado o se ha informado “de tú a tú” este tipo de información (y creo que es lo suficientemente importante como para informar de forma personalizada).

El caso de WhatsApp y yo es el de una relación de amor-odio. Aunque todo el mundo piensa que no tengo WhatsApp he tenido que acabar volviéndomelo a poner, al igual que Telegram. Ahora mismo tengo 4-5 sistemas de mensajería porque “hay cosas únicas en cada una de ellas”. El caso de WhatsApp y Telegram ha acabado siendo el de algunos grupos. En el caso de Telegram, principalmente los uso para estar al día de temas pastafaris. El de WhastApp por temas más profesionales, como por ejemplo la comunicación con los alumnos del Máster en Mobile Business, y con algún grupo de amigos. Al final todo se resumen en La teoría del bar (al final del post la explico). En general si alguien me habla por WhatsApp acabo pasando de sus mensajes y los grupos acaban silenciados un año porque son ingestionables, excepto en los que la gente se comporta y escribe de forma razonable (en estos casos cuando se desmadra sólo los silencio 8 horas). Últimamente escucho cada vez a más gente decirme que se va a quitar de WhatsApp. Sé que no lo van a hacer, yo lo he hecho varias veces, y la presión social de comunicación que hay bajo este servicio de mensajería es extremo. Lo que más me preocupa es que los datos de quién habla con quién y cuánto, aunque los mensajes sean cifrados, dan tanta información como la que en su día daba (y sigue dando) el correo electrónico; esa información dice mucho más de lo que pensamos y que esté en manos de una corporación como Facebook es preocupante.

Así que, poco más a decir… sólo acabar de explicar La teoría del bar que en su día me explicó Gina Tost:

Imagínate que en una calle hay un montón de bares. En todos hay gente, aunque en algunas más que otras; de la misma forma, algunos bares son más grandes y más nuevos y ofrecen más bebida gratis que otra. Lo bueno de los bares es que puedes cambiarte de uno a otro con cierta facilidad, pero has de tener una pulserita para entrar. ¿Qué pasa cuando no tienes la pulserita para entrar en el bar donde está todo el mundo? Pues que sólo acabas entrando en los bares más pequeños, con menos gente y en los que probablemente nunca te acabes de encontrar y puedas hablar con la persona que quieres hacerlo.

Pues eso son los WhatsApp, Telegram, Threema y demás redes de mensajería instantánea, una especie de bar en los que si no tienes la App instalada simplemente no estás y no puedes hablar con quien quieres. Y por muy bonito que sea el bar en el que tú estás, si no está la gente con la que tú quieres hbalar, de poco te va a servir estar ahí.

Ese soy yo en Threema. Y tan a gusto que estoy.

Reset profesional

Mi día a día profesional de los últimos 15 años ha sido muy movido. En 2001 comencé a programar en PHP algunas webs (principalmente porque estaba harto de tener que replicar menús HTML y cambiarlos, y los “include” fueron la solución), y eso hizo el despuntar del desarrollo web que había comenzado en 1997. En 2003 tuve un trabajo que no olvidaré nunca, el de socorrista acuático (en playas), que era una de esas cosas que hay que hacer una vez en la vida tras un año sabático, y tras eso comenzó mi recorrido digital en ITnet. Allí comencé OJObuscador, que acabó convirtiéndose en una empresa (mi primera empresa), y a partir de ahí, emprendedor siempre.

Hace 10 años OJO no acabó muy bien con mis primeros socios, y posteriormente hubo cambios y entraron otros. Tras eso muchos otros proyectos (Ethek, TuManitas…) y un viaje a Estados Unidos que me hizo entender Internet de otra manera mucho más global y darme cuenta de que había que hacer las cosas de forma diferente. Como ya expliqué en su momento, arruinarse está bien visto en algunos lugares, y hay que complementarlo con la vida personal del emprendedor.

Hace algo más de 4 años comenzó la historia de Geenapp, seguramente el proyecto del que estoy más orgulloso de haber creado desde cero, seguido de TuManitas. Aunque hace ya casi 10 meses que no estoy en el día a día en él y hoy finaliza mi colaboración en él, saliendo por completo de la compañía. Desde octubre que no estoy el proyecto ha cambiado muchísimo, y aunque hace unos meses podría haber tenido la posibilidad de volver a él e incluso tratar de liderarlo, no tenía ningún sentido cuando todo el equipo había cambiado y ese proyecto había dejado de ser parte de mi.

Estos últimos meses me he dedicado parcialmente a las empresas participadas en las que estoy a trabés de Keep It Simple Lab, tras la salida de trip4real (adquirida por Airbnb) han llegado proyectos como stayforlong o MAM Originals y principalmente seguir con BoatBureau, que justo hace unos días ha conseguido una ronda de inversión.

Con la salida de Geenapp ahora comienza una etapa. Seguramente estos primeros meses (y hasta finales de 2017) volveré a hacer consultoría SEO y WPO, algo que he ido siguiendo de cerca y ejerciendo a nivel personal con algunos proyectos, pero no de cara a fuera, y principalmente con otros elementos que he ido aprendiendo, cosas tan sencillas más tirando a sistemas, APIs y similares. De forma informal he lanzado en Home Null para dar soporte a estos temas.

¿Qué es lo que voy a hacer a partir de ahora? La verdad es que no lo sé. Mi círculo más cercano me insiste en que emprenda con algún proyecto, pero ahora mismo no me veo con la energía suficiente para hacerlo. Para emprender hay que estar al 100% y requiere de muchas horas al día, y ahora mismo no me veo con las capacidades necesarias para ello. También me preguntan qué sé hacer, algo difícil de contestar. A estas alturas no me veo programando (aunque lo hago de forma puntual con proyectos que me motivan o tienen un punto interesante), y quizá sí que me veo dirigiendo algún proyecto, aunque más enfocado a producto que a tecnología. Hace un par de años que hice el Máster en Mobile Business y me abrió los ojos para dejar ligeramente de lado la parte tecnológica a la que me he dedicado estos últimos años, para volver a la parte más de marketing y producto (sobre todo esta última).

Con el paso del tiempo, y exceptuando algunos temas concretos en los que creo que sigo teniendo buenos conocimientos, he conseguido un nivel horizontal entre tecnología, producto, analítica y negocio que hace que me sienta a gusto en todos los ámbitos pero sin querer dedicarme a sólo uno de ellos. Prefiero ser multidisciplinar. Y eso se demuestra con mis proyectitos chorra como el del apoyo a las licencias EUPL o la base de datos de Códigos Postales.

Aprovechando que el 31 de agosto es “fin de año” 😉 (como todos ya sabéis) voy a aprovechar para hacer un reset profesional y comenzar a meterme en algún tema, ya sea conocido o desconocido.

Proveedores SMTP

Gestionar correo es quizá una de las cosas de Internet más desagradecidas debido al spam y a la dificultad de mantener una limpieza si envías muchos correos. Y es que cuando hablamos de correo siempre hemos de hablar de tres tipos de correo: el corporativo, el de servidor y el de boletines.

Hasta hace un tiempo siempre decía que lo ideal era separar estos tres correos separados, incluso en dominios distintos, aunque con las medidas que se han ido aplicando en estos últimos tiempos ya no haría falta hacerlo. Aún así, hay que tener presente que si mandas poco o mucho correo, el envío ha de hacerse correctamente.

Para comenzar hay que diferenciar el correo de entrada del de salida, es decir, el POP / IMAP -entradas MX en las DNS– de la salida de correo con el SMTP -entradas SPF, DKIM y DMARC-. Teniendo en cuenta esto, hay que trabajar de forma separada para cada uno de ellos.

Normalmente, para la entrada y gestión de correo hay dos grandes opciones: gestionarte tú mismo el correo en tu propio servidor (teniendo en cuenta la carga de trabajo que puede sufrir, la cantidad de usuarios, el anti-spam…) o externalizarlo en un servidio del estilo GSuite, Office365, Yandex.Mail, etcétera.

Pero para la salida de correo (para el corporativo, suele usarse el mismo que te proporciona el servidor de entrada) la cosa cambia, sobre todo si envías correo desde tus servidores a tus clientes o usuarios, o si envías boletines. En estos casos aunque en algunos casos se puede usar el mismo sistema de correo que el corporativo, hay que tener presente que si mandas mucho correo, te puedes bloquear tu cuenta. Para eso existen los servidores SMTO de salida externalizados.

Como el objetivo es enviar correo a través de máquinas externas, voy a focalizarme simplemente en un elemento: el precio. hago esto porque al final todos estos sistemas te permiten enviar correos con la configuración de un usuario, contraseña, servidor (hostname) y puerto.

GRATIS30001000025000100000300000
Activetrail0/total79,00139,00
Amazon SES0/total0,301,002,5010,0030,00
AuthMailer0/total3,323,326,6612,5012,50
Elastic Email150000/mes0,000,000,000,0016,00
InboxRoad0/total1,053,508,7535,00105,00
MailGun10000/mes0,000,007,5045,00145,00
MailJet6000/total7,507,507,5075,00165,00
Mandrill0/total20,0020,0020,0080,00240,00
MNB0/total30,0060,00115,00175,00
Pepipost25000/mes0,000,000,0015,0055,00
PostmarkApp25000/total0,451,503,7515,0037,50
Sarv0/total6,926,926,9217,5045,00
SendGrid40000/total10,0010,0010,0020,00170,00
SendInBlue9000/mes0,006,006,0029,00
SendPulse12000/mes8,008,008,0070,00160,00
SMTP.com0/total15,0015,0070,00160,00500,00
SMTP2GO1000/mes14,0014,0069,0069,00199,00
SocketLabs2000/mes15,0039,0079,00250,00450,00
SparkPost100000/mes0,000,000,000,00199,00
SwipeMail0/total20,0020,0020,0020,0020,00
Tipimail10000/mes0,000,0039,0079,00279,00
TurboSMTP6000/mes9,009,009,0070,00190,00

NOTAS:
– Los precios son aproximados en euros (cambios USD/EUR, etc…)
– Pueden depender del servicio elegido. Habitualmente se elige el menor posible para el caso.

Tras ver la tabla, obviamente la primera elección es clara: Elastic Email; es la que ofrece una mayor cantidad de mensajes de correo gratuitos, y cuando te pasas del límite los precios son muy bajos.

A partir de aquí hay que plantearse opciones, como por ejemplo si llegas a los 100.000 correos mensuales (unos 3.000 correos/día) o si te pasas de ahí. En este caso las opciones podrían ampliarse:

En el caso de enviar menos de 100.000 correos al mes tenemos la opción de SparkPost, de SendGrid, de PostmarkApp y de Amazon SES.

A partir de esta cifra, o de tener mucho volumen la cosa cambia. Sin duda, la mejor opción sigue siendo Elastic Email, aunque tenemos los de Amazon SESo el de SwipeMail, que ofrece un servicio ilimitado de mensajes con una tarifa plana.

Y como siempre, si tienes alguna duda en cómo configurar el correo (ya que no es sólo darse de alta y enviarlo), sino que hay que hacer varias configuraciones para asegurarse de que el correo está certificado y no hay suplantaciones, no dudes en escribirme.

ads.txt como anti-fraude en la publicidad digital

La publicidad programática es la última forma de poder gestionar tus anuncios a nivel mundial de la forma más rápida, pero ¿es posible tener control de dónde aparecen los anuncios? La respuesta es sí, gracias al nuevo estándar propuesto por la IAB en el que se plantea poner una serie de filtros a los sistemas publicitarios decentes.

Para ello, y usando una base similar a la del robots.txt, el sistema de ads.txt también trata de ser un fichero de texto que se encontrará en la carpeta raíz del hostname de la dirección donde llegan los anuncios y que permitiría que las plataformas publicitarias confién en la existencia de dicho control.

La versión 1.0 del sistema ads.txt ya está disponible y básicamente trata de ser un fichero de texto con una serie de reglas, parecido a esto:

#<dominio>, <IDcuenta>, <FormaPago>, <TAG>
dominio1.com, 12345, DIRECT, ABC123
dominio2.com, 45367, DIRECT
dominio3.com, 89012, RESELLER

El fichero ads.txt deberá estar codificado con un MIME Type “text/plain” y en “UTF-8” [Content-Type: text/plain; charset=utf-8], devolviendo un código 200 OK (no se permiten redirecciones). En caso de no encontrar el fichero, el sistema asumirá que no existen limitaciones y por tanto seguirá haciendo lo que deba.

Los campos estarán separados por comas (,) y serán los siguientes:

  1. Dominio de la plataforma publicitaria: Es obligatorio y la plataforma publicitaria debería decir qué dominio es.
  2. Cuenta del publisher: El identificador del publisher en esa plataforma.
  3. Tipo de relación: Si la publicidad que se utiliza es directa o de reventa. para eso se usarán los valores DIRECT | RESELLER.
  4. Authority ID: El identificador del Trustworthy Accountability Group, si se tuviera.

Así que, aunque todavía nadie ha dicho que lo está implementando, siendo una petición formal de la IAB, es probable que en los próximos meses comencemos a ver sistemas publicitarios que lo implementan para verificar la veracidad de los anuncios y también evitar el fraude en la reventa y otros servicios que nunca has contratado.