Cómo crear aplicaciones con cualquier modelo de GenAI usando AI SDK

En los últimos meses, han proliferado multitud de soluciones para crear aplicaciones haciendo uso de la Inteligencia Artificial Generativa (GenAI de Generative Artificial Intelligence). Estas soluciones abarcan desde librerías y frameworks hasta servicios Software as a Service (SaaS), que se pueden integrar mediante APIs, plugins o integraciones directas en sitios web y comercios electrónicos.

Figura 1:Cómo crear aplicaciones con cualquier

modelo de GenAI usando AI SDK

Sin embargo, como desarrolladores y hackers que nos gusta exprimir la tecnología, es mejor optar por aquellas integraciones a nivel de código, ya que nos proporcionan mayor flexibilidad y control sobre las funcionalidades que queremos implementar. Hoy os quiero hablar sobre un SDK que, en mi opinión, combina excepcionalmente esta flexibilidad de soluciones de bajo nivel con la facilidad de uso característica de un plugin: AI SDK.

Figura 2: Libro de Machine Learning aplicado a Ciberseguridad de

Carmen Torrano, Fran Ramírez, Paloma Recuero, José Torres y Santiago Hernández

Se trata de una librería escrita en TypeScript, totalmente open-source y creada por la empresa Vercel (junto a su comunidad). Para quienes no estén familiarizados, se trata de una empresa con sede en San Francisco, conocida por ser la creadora del framework de React, Next.js (del cual ya os hablé en este CodeTalk). 

Figura 3:Optimiza tu Web con Next.js: Un Enfoque Práctico

Además de Next.js, cuentan con numerosas aplicaciones y proyectos que para aprender y potenciar tus desarrollos software son muy buenas, como es el caso de v0.dev (un chatbot para crear interfaces web usando código React con TailwindCSS)

Figura 4: v0.dev

    
Tras este contexto, comentar que AI SDK cuenta con multitud de integraciones de terceros (Gemini, OpenAI, Claude, ...) pero también nos brinda la posibilidad de conectar y desarrollar haciendo uso de modelos locales vía Ollama, entre otros más. Otra de las grandes ventajas de AI SDK es que nos permite hacer todo esto directamente desde el frontend, usando la misma base de código, siempre que el framework que utilicemos lo permita.

Figura 5: Integraciones AI SDK

Y si estás pensando que, por hacerlo en el frontend, puede hacer que se exfiltre la API key del servicio de IA utilizado, déjame decirte que no, y ahora te explico cómo hacerlo para que así sea. En la imagen superior podéis ver todas las integraciones (tanto de terceros como Open-Source) con las que cuenta este SDK.

Eligiendo el provider

El primer paso es disponer de un motor de LLM de confianza. Para este artículo estaré utilizando tanto Google Gemini (cuya capa gratuita es bastante interesante) como Claude (de Anthropic), y también probaremos con Ollama haciendo llamadas a una API local en nuestro ordenador.

Como seguro todos tenemos cuenta de Google y además es gratuito y accesible para todos, te voy a explicar rápidamente como conseguir tu API key para hacer llamadas a Gemini vía API. Lo primero será acceder a Google AI Studio.

Figura 6: Google AI Studio

Una vez aquí, en el menú de la izquierda pulsamos sobre el botón “Get API key” de la izquierda y consecutivamente sobre “Crear clave de API”.

Figura 7: Creación de la API Key

Este paso crea en Google Cloud un proyecto llamado “Generative Language Client”. Google AI Studio al final es un "wrapper" para facilitar a los desarrolladores el uso de sus APIs de Inteligencia Artificial Generativa, pero por debajo sigues usando Google Cloud.

Figura 8: Creando la API Key

Tras dar ese último clic ya tienes en tu poder la API key para utilizar en tu proyecto.

Figura 9: API de ejemplo generada

Por supuesto, esta API key la puedes utilizar donde quieras y desees, tanto desde la terminal, como veis en la siguiente imagen o desde código como vamos a estar haciendo en este post junto al SDK mencionado.

Figura 10: Uso de la API Key el POST de curl

El uso de la API, como podéis observar, es totalmente gratuito siempre que se respeten ciertos límites de uso impuestos por Google. Una vez excedidos, comenzaremos a recibir errores al peticionar la API. No obstante, para realizar pruebas de concepto, desarrollos personales y aprender es más que suficiente. 

Integración con Next.js

Lo primero que debemos hacer es implementar un conector que permita enviar las peticiones desde nuestro frontend al servicio de LLM que hayamos seleccionado. Para lograrlo, crearemos una ruta dentro del directorio app o pages con la siguiente estructura:

 \api\<path>\route.ts 

Al utilizar un path que comienza con api, estamos configurando un endpoint interno en nuestra aplicación de Next.js. Este endpoint será el encargado de realizar las llamadas al servicio de GenAI desde el “backend del frontend”.

De esta forma, en lugar de enviar las peticiones directamente desde el navegador del cliente al servidor de LLM, donde un usuario podría interceptar la solicitud o visualizarla junto con información sensible (como el servicio de LLM utilizado, el prompt o, más importante, la API key), la comunicación se realiza desde el navegador hacia el endpoint interno que hemos creado en nuestra API de Next.js (o en cualquier otro framework con soporte de API routes, como Astro).

Figura 11: Esquema de routes

Ahora tenemos que escribir en este fichero, el código para hacer nuestra llamada a Google Gemini, te recomiendo seguir esta documentación oficial, pero básicamente los pasos a seguir son: 

Paso 1: Instalar el AI SDK y el del provider seleccionado, en nuestro caso Google (npm install ai @ai-sdk/google).

Paso 2: Guardar en la variable de entorno GOOGLE_GENERATIVE_AI_API_KEY la API key generada anteriormente.

Paso 3: Escribir el código siguiente en el fichero de la API route creada. Este SDK nos permite generar texto (como en el ejemplo de la imagen), objetos (JSON) o tomar como entrada texto, imágenes e incluso PDFs (a partir de la versión 4 de AI SDK.

Figura 12: Prompting usando el SDK

Ahora desde el frontend tan sólo tenemos que llamar a ese endpoint (en mi caso lo he guardado en /api/curiosity/route.ts) y renderizar el resultado:

Figura 13: Resultado final

Cambiando de provider a Anthropic Claude 3.5 Haiku u Ollama

Ahora es donde llega una de las cosas que más me gusta de AI SDK y es que si queremos cambiar de proveedor ya sea a otro modelo propietario o a uno open-source, es tan fácil como:

1. Instalar la dependencia relativa al proveedor elegido

2. Cambiar la variable de entorno con el nombre que nos indique el proveedor (esta información se puede encontrar en la documentación de AI SDK, en la sección Provider Instance de cada proveedor)

3. Modificar dos líneas en la API route

Siguiendo con este ejemplo, he decidido que ahora quiero utilizar Anthropic y hacer uso de Claude 3.5 Haiku. Pues no hay problema, todo lo que tenemos que hacer es el siguiente cambio y tendremos nuestra aplicación funcionando nuevamente.

Figura 14: Usando Claude 3.5 Haiku

En el caso de Ollama, es muy similar tan solo tendremos que descargar Ollama en nuestro equipo y ejecutar “ollama server” para levantar la API en nuestro equipo. Por defecto, esta API hace uso del puerto 11434 y el endpoint “/api”.

Figura 15: Ollama Server running

Ollama por defecto no hace uso de API keys o Bearer tokens, por lo que si quisiéramos exponer esta API a Internet os recomiendo protegerla con un NGINX o un API Gateway para agregar esa capa de autenticación tan necesaria hoy en día. Para utilizar Ollama desde nuestro endpoint en Next.js como veis el cambio vuelve a ser menor.

Figura 16: Usando Ollama como proveedor

Por cierto, os he comentado que también podemos generar objetos como JSONs con un formato específico. Esto es muy útil para convertir datos no estructurados, en datos estructurados. Os dejo por aquí un proyecto de ejemplo, donde con Google Gemini convierto una parrafada de una receta en un objeto que contiene los ingredientes, instrucciones y consejos en el formato que veis en la imagen. 

Figura 17: Proyecto de ejemplo usando GenAI

En este fichero, está toda la “lógica”. Os ánimo a probarlo, modificarlo y exprimirlo un poquito más… Y eso es todo, espero que os haya gustado. Como veis ya no hay excusas para ponerse a desarrollar aplicaciones utilizando la potencia de estos modelos generativos.

¡¡Saludos hackers!!

Autor: Javier Álvarez Páramo (Investigador en el IdeasLocas)

Contactar con Javier Álvarez Páramo

Cómo verificar tu cuenta de MyPublicInbox con verificación cruzada de tus redes sociales y ser un Perfil Público Verificado

Nuestros compañeros de MyPublicInbox han establecido un proceso de Verificación de tu cuenta utilizando tus redes sociales, ya sea Twitter/X, Instagram, Facebook, Youtube o Linkedin, con un proceso similar al que utiliza Mastodom para verificar sus cuentas, es decir, mediante una doble vinculación de cuentas.

Figura 1: Cómo verificar tu cuenta de MyPublicInbox con verificación

cruzada de tus redes sociales y ser un Perfil Público Verificado

Primero os cuento algunos de los servicios que están disponibles sólo para los Perfiles Públicos que se han verificado en MyPublicInbox, y luego os explico cómo hacer el proceso. Si no tienes cuenta de MyPublicInbox, aquí tienes un pequeño tutorial de cómo crearte una cuenta.

Figura 2: Cómo crearte una cuenta de MyPublicInbox

Servicios para Perfiles Públicos Verificados

Las cuentas Verificadas en MyPublicInbox tienen más servicios y capacidades que las cuentas que no se han verificado y no son Perfiles Públicos.  Tras hacer la vinculación y pasar el proceso de Verificación se habrán activado muchas funciones nuevas como: 

• Tener un Perfil Público visible: Sólo aquellos que han pasado un proceso de revisión tienen el perfil público visible en el que pueden ser descubiertos. Estos son los que se encuentran en la web en las diferentes categorías.

Figura 3: Perfiles Públicos de la categoría Real Madrid

• Recibir mensajes: Se activarán las bandejas de entrada para que puedan llegar mensajes a tu buzón público de cualquiera usuario de la plataforma que invierta Tempos en comunicarse contigo, lo que te permite tener un buzón abierto a Internet pero protegido y filtrado con Tempos. Esta es la funcionalidad principal de los perfiles públicos

• Recibir mensajes de agradecimiento: de la gente que podrás ver en “Mi Impacto en Internet > Agradecimientos”. Yo tengo todos mis mensajes de agradecimiento publicados en mi perfil de la red. Aquí os expliqué cómo funcionan los mensajes de agradecimiento en MyPublicInbox.

Figura 4: Los mensajes de agradecimiento que me dejan

• Tener Vídeo Conferencias: El servicio permite que una cuenta verificada pueda tener reuniones virtuales con cualquier usuario que quiera tenerlas. Yo las tengo habilitadas tanto para hacer negocios como para ayudar a estudiantes.  Os lo expliqué en mi artículo: "¿Quieres hacer algún proyecto conmigo?". Cuando seas un perfil público verificado puedes configurar en “Reuniones Virtuales > Configurar mis reuniones”.

Figura 5: Describe el motivo de petición de tu videollamada

• Análisis de tu “Reputación en Internet”:  Si tienes el perfil público verificado, podrás conseguir un análisis gratuito y solicitar el informe en “Mi Impacto en Internet > Reputación Online". De todo esto os hablé en el artículo:  "Calcula tu Índice de Reputación Online con MyPublicInbox & RepScan"

Pero no solo estás, también tienes servicios extras como Configurar Vídeo Saludos, Promocionar tus productos de Amazon, Publicar tu libro, Tener Salas de Chat, Servicios para Wikipedia, Redes Sociales, etcétera, que sólo están disponibles para los Perfiles Públicos.

Proceso de Verificación de tu cuenta de MyPublicInbox

El proceso que han diseñado los compañeros es muy similar al de verificar tu cuenta en Mastodom, cualquiera de los usuarios de MyPublicInbox puede tener un buzón y una cuenta verificada mediante un proceso que tiene tres fases:

1.- Configurar correctamente tu perfil de MyPublicInbox: Para ello, debes tener una biografía descriptiva, con información tuya profesional, con una fotografía tuya, y con los enlaces a tus redes sociales. Tu cuenta, tiene un nombre de usuario que ese será el que se utilizará para tener tu perfil público visible. Es importante que estén las redes sociales de Twitter/X, Instagram, Youtube, Facebook y/o Linkedin que vas a utilizar para la verificación cruzada de tu cuenta.

Figura 6: En tu perfil deben estar las redes que

vas a usar para la verificación cruzada

2.- Enlazar tu perfil de MyPublicInbox en tus redes sociales: Tu perfil de MyPublicInbox, una vez verificado, estará visible en https://MyPublicInbox.com/Tu_Nombre_De_Usuario, así que deberías poner en la descripción de tu cuenta en redes sociales un enlace a él, para poder garantizar que tienes control de las dos cuentas. Una vez acabado el proceso, esa URL que has puesto, mostrará tu perfil en MyPublicInbox. Aquí tienes ejemplos de cómo lo puedes configurar en tus redes sociales.

Figura 7: En Mi cuenta de Twitter está mi perfil de MyPublicInbox en la descripción

3.- Enviar un mensaje a Héctor pidiendo la verificación: El proceso de verificación tiene una primera fase manual, y otra automática. La fase manual va a revisar los datos, la información publicada en las redes sociales y en el perfil de MyPublicInbox para comprobar que no hay nada raro. Se descartan cuentas con verificaciones cruzadas de redes sociales sin antigüedad, y sin enlazar el perfil de MyPublicInbox. 

Figura 8: Contacta con Héctor para verificar tu cuenta (tiene coste 0 Tempos)

Una vez pasada esta fase, la plataforma comprobará la verificación cruzada periódicamente buscando el enlace en la descripción de la cuenta en la red social, para garantizar que la cuenta sigue estando controlada por la misma persona.

Bonus Track

Si utilizas tu cuenta de Twitter/X para verificar tu cuenta, además, puedes seguir a MyPublicInbox en X/Twitter, y te llegarán las alertas de nuevos mensajes, soporte y ayuda a través de esta red social, así que toma nota.

Figura 9: MyPublicInbox en Twitter/X

Y nada más que animaros a que probéis MyPublicInbox, que no sólo te ayudará a filtrar tus comunicaciones de Internet, sino que te ayudará a tener más presencia y más servicios para potenciar tu impacto en la red.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

Chema Alonso en Threads: Le voy a dar una oportunidad

La verdad es que regalarme en Papá Noel un nuevo canal en redes sociales no era lo que andaba buscando para nada, pero es verdad que tenía muchas ganas de que saliera Threads. Luego, como se hizo de rogar para llegar a España, se me hizo largo y lo dejé un poco de lado. Pero ayer decidí comenzar con él, a ver cómo evoluciona, y si es una buena alternativa a Twitter/X que no me tiene demasiado contento.

Figura 1: Chema Alonso en Threads.

Le voy a dar una oportunidad

Todas estos canales sociales, es para tener presencia en la red, pero como ya sabéis no son para tener ningún mensaje privado. Con mis amigos uso mensajería instantánea (WhatsApp, Telegram, Signal), con mis compañeros de trabajo el e-mail, y para tener mensajes con todo el mundo, uso mi buzón público en MyPublicInbox ( https://MyPublicInbox.com/ChemaAlonso ) donde cualquiera que quiera contactar conmigo para algo puede hacerlo, e incluso tener una reunión conmigo ( https://MyPublicInbox.com/ChemaAlonso/videocall)

Figura 2: Mensajes y Reuniones privadas en mi perfil de MyPublicInbox

La cuenta de Threads (https://Threads.net/ChemaAlonso) la he asociado a mi cuenta de Instagram (https://instagram/ChemaAlonso), que al final cuando más simplifique mi vida mejor, así que así también protejo mi usuario. Además, como ya estaba verificado en Instagram, la cuenta de Threads sale de saque también verificada para que no tenga suplantadores.

Figura 3: Mi cuenta en Threads

Esta es una ventaja que me ha gustado de Threads, ya que a diferencia de Twitter, donde primero echó a todas las cuentas verificadas, luego se montó el caos de suplantadores, y hoy en día me encuentro con cuentas de Twitter de personas súper relevantes perdidas en los hilos. 

Figura 4: Mi cuenta en Twitter/X

Además, el movimiento del Free-Speech que hizo Twitter/X para dejar que campen por la red social todo tipo de comentarios, actitudes, mensajes y Fake News y Odio, tampoco me tiene muy contento, y mi nivel de interacción con la red ha caído, como también ha sucedido con otros amigos, y con muchas figuras públicas que han reducido su presencia en la red a consumir contenido, y retweetear (perdón, repostear), algo de vez en cuando.

Figura 5: Mi cuenta en Instagram

Como alternativa, ya me saqué mi cuenta de Mastodon el año pasado (https://ioc.exchange/@chemaalonso) pero no interactúo demasiado con esta red, y es más una presencia por si pasaba algo con Twitter en cualquier momento.  Pero aún así, tanto en Mastodon como en Twitter he puesto mucho silencio en ambas redes acallando el ruido para que cada vez me quiten menos tiempo estas redes.

Figura 6: Mi cuenta en Mastodon

Con Threads quiero darle más cariño que a Mastodon, y el mismo que a Twitter/X, porque realmente me gustaría que existiera una alternativa a Twitter/X para poder seguir la actualidad, acceder a noticias, opiniones de personas relevantes, y conversaciones rápidas más interesantes. Y no sé si Twitter/X está ahora en esa dirección, aunque ya veremos.

Figura 7: Mi página en Facebook

Por último, para dejaros ya toda la información, sigo manteniendo mi presencia en Facebook, pero solo como canal en mi página (https://www.facebook.com/Chema.Alonso.Maligno/). No hago ningún uso social de esta red, y por ahí saco los artículos de mi blog, el contenido relevante de Telefónica, etc..., además de que he conectado también la re-publicación del contenido de Instagram. Y algo parecido en Telegram.

Figura 8: Puedes suscribirte en la dirección https://telegram.me/elladodelmal

También tengo mi cuenta de TikTok, donde publico mis vídeos con algunas explicaciones de cosas de ciberseguridad, trucos de hacking, y ese tipo de contenido. Y luego lo republico también en Reels a través de mi cuenta de Instagram.

Figura 9: Mi cuenta de TikTok

Y donde me permito, de vez en cuanto, debatir un poco con la gente que comenta en mis posts, es en mi perfil en LinkedIN, donde se puede tener debates más educados y que me aportan más en mi aprendizaje personal. Así que seguiré teniendo presencia allí, y probablemente haga más cosas en esa red.

Figura 10: Mi perfil en Linkedin

Así que nada, según vaya descubriendo más cosas de Threads también os las iré contando, que seguro que se puede jugar mucho con esta red social, que al final es una plataforma más que permite hacer muchas cosas con tokens OAuth, con APIs, y más cosas que tanto nos gustan. 

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

Tutoriales para poner un Segundo Factor de Autenticación en tus identidades digitales

La verdad es que mola ver cómo el servicio Latch que creamos hace años ha crecido tanto. A punto de celebrar el millón de usuarios del mismo, seguimos evolucionándolo, y dentro de no mucho (¡ojo equipo que os vigilo el project plan!), tendrá nuevas capacidades que espero que pronto os pueda contar, basadas en una "IdeaLoca" de hace tiempo que vamos a poner en producción.

Figura 1: Tutoriales para poner un Segundo Factor de Autenticación en tus identidades digitales

Pero hoy no quería hablaros de eso, sino de cómo en Latch - que tiene nueva versión para usuarios de iOS y Android -, tienes disponibles todos los tutoriales de cómo integrar el Segundo Factor de Autenticación basado en Time One-Time Password en las principales plataformas digitales.

Figura 2: Tutoriales y asistentes en Latch para poner un 2FA en servicios digitales

Tienes esta información en la parte de Tutoriales, que tienes en la caja superior del interfaz cuando entras en la sección de TOTP, además de tener una serie de asistentes en la parte final. Pero si entras en la sección de tutoriales, verás como tienes el paso a paso descrito para configurar TOTP en Amazon, Wordpress, Facebook, GitHub, etc...

Figura 3: Tutoriales y asistentes en Latch para poner un 2FA en servicios digitales

Los tutoriales son paso a paso con capturas, y explicaciones que te van guiando para tener un 2FA que te fortifique todas y cada una de las cuentas que tengas en estos servicios digitales. 

Figura 4: Latch para Android en Google Play

Las nuevas versiones de Latch para iPhone y Latch para Android las tienes en los markets de apps, disponibles para descargar cuanto antes. 

Figura 5: Latch para iOS en App Store

En ellas verás también una modernización del estilo del interfaz, que después de tanto tiempo hemos querido hacerle una actualización a las nuevas tendencias de diseño de apps. Esperamos que os guste.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

La década de Yahoo! en el trono de la Web

El otro día vi un vídeo de esos que hacen estadísticas sobre todo, aprovechando los datos de webs como Statista, y me sorprendió ver lo que mostraba. Se trataba de ver el TOP 10 de webs con más tráfico desde el nacimiento de Internet hasta hoy en día. Los datos se muestran mes a mes y pensé que no me iba a sorprender lo que viera, pero.. sí, sí que me sorprendió.

Figura 1: La década de Yahoo! en el trono de la Web

Saber que Yahoo! había sido el WebSite con más tráfico no era algo nuevo para mí. Estuve invitado a la Yahoo! Security Week allá por el año 2009 y pude conocer de primera mano mucha de la grandeza de esa compañía. Según los datos, alcanzó el número 1 de los WebSites más visitados en el año 2.000. En Junio del año 2.000. Cuando yo cumplía 25 años. 

Está claro que Yahoo! es la ganadora de la llamada época de las ".COM", donde los portales horizontales y verticales comenzaban a inundar la red. Portales de contenido. Contenido creciendo de manera exponencial. Y como consecuencia, los buscadores, para que los usuarios llegaran de la forma más rápida a la información más precisa.

Figura 2: Top 10 de Junio de 2002

De aquella época de las .COM, con las arquitecturas de aplicaciones de tres capas, que venían con sus servidores de base de datos Oracle, sus servidores de aplicaciones en entornos como BEA WebLogic con frontales HTTP/S, y sus servidores SUN Microsystems. Una época donde las empresas ganadoras parecían auténticos monstruos que iban a ser los reyes durante mucho tiempo.

Lo cierto es que en aquella época, los datos de tráfico web son bastantes "pequeños" comparados con los que tenemos hoy en día. En aquellos momentos aún no había llegado la movilidad, no habían llegado las apps, y las nuevas formas de utilizar Internet. Lejos estaba la Web 2.0 aún. Estábamos en ".COM", a los pocos años de haber nacido la World Wide Web.

En el año 2006, justo en los albores de la Web 2.0 y la llegada masiva de la movilidad, de iPhone, el 3G, y las redes sociales con clientes móviles, Google consiguió adelantar un mes en tráfico a Yahoo!, pero volvió a ponerse por delante, y en Junio de 2006, Yahoo! estaba otra vez en al cabeza. Ya no hablábamos de .COM. Ya Sun Microsystems no era tampoco la empresa que había sido antes. Y tampoco la forma de hacer aplicaciones. 

Figura 3: Top Ten en Mayo de 2006

Ya no hablábamos de arquitecturas en tres capas, sino de BigData, de High Perfomance Computing, y los albores del Cloud Computing. Acababa de nacer apenas unos meses atrás AWS, proponiendo una nueva forma de hacer aplicaciones escalables, además de ver que el interfaz web iba a dar cada vez más paso al Internet móvil. Pero Yahoo! aguantó en la web.

Figura 4: Top Ten en Junio de 2010

Y aguantó hasta el año 2010. Junio de 2010 y Yahoo!, ya con números de 11.5 B de usuarios por mes, seguía aguantando a Google en la cabeza de lista. Ya estaba, como podéis ver, Facebook, Amazon, Youtube y Google, apretando los números.  Y desde ahí, Yahoo! ha ido perdiendo tráfico. 

En Enero de 2022, el Top 5 lo forman Google, Youtube, Facebook, Twitter e Instagram. Y Yahoo! aguanta con 3.5B , mucho menos de lo que llegó a ser, peleando por no ser adelantado por XVideos, y sobre todo teniendo en cuenta que Google va por 90B de usuarios mes. Un crecimiento brutal.

Figura 5: Top Ten en Enero de 2022

Sin embargo, el mundo ya no es "Web", ya hay mucho mundo móvil, donde otras plataformas como TikTok tienen mucho que decir en el mundo móvil, o con mundos virtuales que cierran el tráfico en sus apps, o con los nuevos mundos virtuales descentralizados que comienzan poco a poco a crecer. Hay que tomarse esta gráfica como lo que es, una simple visión puntual reflejo de un cambio, que no es todo lo que ha pasado en estos años, pero sí que es reflejo del cambio continuo y agresivo de esta era digital en la que vivimos, donde las revoluciones duran... unos años.

Al final, este artículo solo es un recordatorio para ver que cuando llegan los cambios tecnológicos, luchar con el éxito es un problema para todas las empresas. Los ganadores de la Web, de las .COM, o de la Web2.0 no tienen porque ser los ganadores en esta nueva evolución. Ya veremos.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

Do NOT sell my information (e-mail & phone number) @lushadata

Durante los últimos meses he estado sufriendo un acoso bastante fuerte mediante llamadas a mi número de teléfono personal. Llamadas de todos los países del planeta que me han estado intentando localizar. Atendí las dos o tres primeras, para descubrir que todas ellas eran llamadas comerciales de empresas que querían venderme algo, buscar una reunión conmigo u ofrecerme algo.

Figura 1: Do NOT sell my information (e-mail & phone number)

Después de las primeras llamadas, comencé a ignorarlas y bloquear los números de esas empresas. Suponía que habían conseguido mi número de alguna manera, y que serían las mismas empresas con diferentes números. Pero no. Todas eran empresas distintas que tenían mi número.

Figura 2: Más de 30 llamadas en un día de todo el mundo he tenido

En un momento, acepté a hablar con una de ellas, y le pregunté cómo tenían mi número de teléfono. A esa pregunta me dijeron "De LinkedIN". Por supuesto, yo tengo todas mis opciones de privacidad de Linkedin revisadas, y tengo bloqueado todo, pero por si acaso lo revisé. Y no tenía ninguna información de contacto habilitada.

Figura 3: Visualizaciones de mi perfil en 90 días

Al final, mi perfil recibe muchas visitas, y no podría gestionar tantos contactos. Por eso uso mi cuenta de MyPublicInbox como único contacto a través de Internet, y por eso en la descripción de mi perfil de Linkedin pone claro que es el canal para contactar conmigo. ¿Quieres tener un contacto conmigo para lo que sea? Estoy abierto a ello. Tengo mi buzón público en Internet para algo, pero solo si eres respetuoso con mi tiempo. Ni spam, ni llamadas de teléfono a mi número personal.

Figura 4: Información "About Me"

Sin embargo, siguieron llegándome esas llamadas, así que en una de ellas decidí investigar un poco más y volví a preguntar "¿Cómo has conseguido mi número de teléfono?" nada más comenzar la charla. Y volvieron a decirme... "A través de Linkedin". Entonces contesté "No, no es posible. Tengo bloqueada esa información en Linkedin". La respuesta fue la pista: "Es que nosotros tenemos una extensión que mapea los números de teléfono con los perfiles de Linkedin y nos salen". 

Figura 5: Una de las extensiones que venden los datos de contacto

asociados a perfiles de LinkedIN, Facebook o Twitter

Así que, misterio resuelto. Alguien, ilegalmente, ha metido mi número de teléfono personal, obtenido de cualquier lugar y los estaban monetizando. Algo que, han hecho de forma ilegal. Algunas compañías de las que se dedican al mismo tipo de negocio, ya tienen cuidado con esto.

Figura 6: "No Longer" for EU/UK Citizens

De hecho, alguna de esas plataformas ya ha tenido algún problema legal, porque como ya tiré del hilo, se han denunciado muchas de ellas, y en Europa, según el GDPR, si capturan un número de teléfono, deben capturar el consentimiento explícito para este caso de uso,  algo que sé que no he dado en ningún sitio.

Figura 7: Do Not Sell My Information

No me quedé con el nombre de la extensión, así que me dediqué a buscar por Internet, y lo cierto es que es una autentica avalancha la cantidad de sitios que venden datos asociados a perfiles de Facebook, Twitter, LinkedIN, etcétera. Con paciencia, fui buscando en cada uno de ellos la forma de ejercer mis derechos y eliminar mis datos, y en casi todos tenían esa opción de "Do not sell my information", que debe ser lo que dicen la mayoría de las personas que acaban siendo acosados por culpa de estas plataformas.

Figura 8: Les tuve que dar mis datos para borrar mis datos

Por supuesto, me parece muy peligroso que los números de teléfono o direcciones de e-mail estén emparejados con los perfiles de Linkedin de los empleados de una empresa que es un buen lugar para buscar una víctima propicia. De esta forma se lo ponen muy fácil a los atacantes para hacer APTs de todo tipo, así que si tienes un equipo de seguridad en tu organización, prueba estas apps y exige que se borren los datos de todos tus empleados.

Figura 9: A ver si está "removed" para siempre

Yo lo hice de los dos sitios en los que aparecía, pero si alguno de vosotros ve que salgo en algún sitio, por favor, avisadme por los comentarios con el nombre de la extensión o plataforma donde aparezco para que pueda eliminarme. 

Figura 10: Te piden todos tus datos.

Pero hay un caso muy especial, que es el caso de esta compañía: Lusha.

Lusha, una startup que hace un negocio feo con datos capturados ilegalmente

Curiosamente, después de hacer ese proceso en varios sitios, incluida la empresa LUSHA que dice que las relaciones B2B se basan en la confianza, y de recibir la confirmación de que ellos no tenían mis datos en su base de datos, como podéis leer aquí...

Figura 11: Respuesta de Lusha después de pedir el borrado de su BBDD

... recibí una llamada de la empresa Live Person. Hablé con ellos, y me confirmaron que habían obtenido mis datos desde Lusha, así que ya solo me quedó ponerle un Tweet a la empresa y al CEO, antes de pasar a ver cómo puedo denunciar a esta empresa.

@LushaData Hey, you put in your Database illegally, without having my GDPR consent. I did *your* online process to delete my personal data from your database. I put my phone number and you tell me "it´s not here" but... I double check with a new call that You have it illegally...

— Chema Alonso (@chemaalonso) April 12, 2022

Y basta mirar un poco qué tweets les han puesto para ver que no soy el primero, ni el único, que ha sufrido el mismo acoso por culpa del uso ilegal de mis datos por esta empresa.

Figura 13: Quejas de haber sido metido ilegalmente en Lusha

Y muchas más quejas de muchas personas, lo que deja muy a las calaras que esta empresa, LUSHA, no tiene prácticas de negocio transparentes ni éticas, por lo que si se te pasa por la cabeza utilizar estos servicios, que sepas lo que hay detrás.

Figura 14: Más personas metidas ilegalmente en Lusha

No es la única empresa que hace esta venta de datos, y algunas plataformas, los exhiben en su web, con la información de contacto de las personas parcialmente tapada, pero disponible para cualquiera que se registre en esa plataforma para ver las partes que faltan del e-mail o el número de teléfono.

Figura 15: Perfiles indexados en Google

Por si acaso, ya he decidido cambiarme de número de teléfono y avisar solo a los contactos cercanos, porque no me apetece que me estén acosando por llamadas. No sé a quién le parece una buena idea para hacer una introducción de una empresa con el objetivo de hacer negocios esto, pero es lo que publiqué en otro artículo: "Spam Comercial al CEO: ¡Ideaca!". No sé ni cuantos correos electrónicos comerciales borro al día.

Figura 16: Webs que venden e-mails y números de teléfono de CEOs

En mi caso, no es la forma de acceder a mí, y todos los que han conseguido mi número de teléfono sin que haya sido yo el que se lo ha dado o ha autorizado que se lo den, se han llevado una respuesta negativa de mi parte. Para mí, no es la forma de abordar a una persona, utilizando su teléfono móvil personal para una proposición comercial. 

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)