“There are four piles of things in the world:

• Things you like/love.
• Things you are good at.
• Things you can be paid to do.
• Things that are important.

But only you can sort out what belongs in each pile, or hopefully, all four piles at the same time. Growing up, we’re fed many stories about what we’re supposed to like, or enjoy, or find pleasure in, and only some of that turns out to be true. It’s implied you need a great career to be happy, but many people with fancy careers seem miserable. You can’t be passionate if you’re living your parents’ dream and not your own. And to separate the two requires some wandering, some courage, and some time where you know the answer won’t come quickly.

My advice is simple: pick something. Do it with all your heart. If you can’t keep your heart in it, do something else. Repeat. Your desires will change as you age, and to assume you can do one thing your whole life and be satisfied is foolish. Developing selfknowledge will help you make the next choice, and the next, leading to a passionate life. Few people have the courage to do this, even for a year, much less a lifetime. But my suspicion is, if you ask passionate people how they make choices, this is what you’ll hear.”

Scott Berkun, “Mindfire”

Es muy fácil recurrir a los marcos de trabajo clásicos, normativas, Sistemas de Gestión de Seguridad de la Información (SGSI), o simplemente “comprar productos de seguridad” esperando que los problemas se resuelvan “automágicamente” o bien demostrar la diligencia debida (también conocida como “cover your ass”) en caso de incidente (“¡pero si tenemos firewall y antivirus! ¡qué podíamos saber!”).

El mundo de la PYME y la micro-PYME es el gran olvidado. Las amenazas a los que están expuestos son las mismas en principio:

• pérdida de continuidad de negocio por indisponibilidad de infraestructura y/o aplicaciones
• pérdida de continuidad de negocio por pérdida o corrupción de datos
• robo de “propiedad intelectual”, suponiendo pérdida de ventaja competitiva
• sanciones legales por mala gestión (o pérdida de control) sobre datos de carácter personal (LOPD)

Sin embargo estas empresas no suelen tener un departamento de Seguridad (muchas ni siquiera tienen un departamento de T.I.), ni gente dedicada al análisis y gestión de riesgos, ni un presupuesto dedicado a mitigar riesgos.

Según datos de INTECO, alrededor del 98% de las empresas pequeñas y medianas usan algún tipo de antivirus, un 72% cortafuegos en el PC, 61% algún tipo de filtro para SPAM, y sólo un 8% usan herramientas de cifrado de disco. Los datos son para 2009, por lo que no están actualizados (aunque dudo mucho que la magnitud de gasto en seguridad de las PYMES sea muy grande estos dos últimos años).

¿Qué se puede hacer? Inspirado por esta presentación de Wendy Nather (“Living Below the Security Poverty Line“), aquí van algunas sugerencias de lo que se puede hacer o bien gratis, o por 2000€.

Gratis (o casi)

• Cambiar contraseñas por defecto en routers, switches, puntos de acceso WiFi, etc.
• Configurar autenticación segura en el punto de acceso o router wireless (¡WPA, no WEP!)
• Habilita Windows Firewall en todos los puestos de trabajo.
• Configurar puestos de trabajo y servidores Windows para que se actualicen automáticamente (¡sin excusas!)
• Utilizar TrueCrypt para cifrar datos o disco completo en portátiles.
• Usar productos antivirus gratuitos como AVG, Comodo, avast!, etc. (pero cuidado con los “falsos antivirus”, mejor usar uno recomendado y conocido)
• Leer la norma PCI y comprueba si te aplica (si cobras con tarjeta de crédito o débito, seguro que sí)

Por 2000 €

• Solución de navegación web segura (filtrado URLs y antivirus/antispyware) basado en “cloud” para 40-50 usuarios.
• Solución de correo electrónico seguro (anti-SPAM y anttivirus) basado en “cloud” para 75-100 usuarios.
• Producto de “endpoint protection” (antivirus, antispyware, detección de ataques, firewall personal) para unos 75 usuarios.
• Herramienta de escaneo de vulnerabilidades (2 años de actualizaciones).
• Servicio de consultoría (3 o 4 jornadas) para ayudar con normativas PCI o LOPD.

La lista por supuesto no es exhaustiva, sino unos pocos ejemplos de entre la infinidad de cosas que se pueden hacer. Los precios y estimaciones son aproximados, y en el caso de productos comerciales no doy nombres, porque no es el objetivo de este post, sino contribuir a la concienciación de que se puede hacer bastante con poco dinero.

Es importante tener en cuenta la diferencia entre PREVENCIÓN y DETECCIÓN. Como dice la presentación de Wendy Nather, se suele recomendar DETECCIÓN porque la PREVENCIÓN termina fallando en algún momento. Pero si quieres algo gratis o por 2000€, lo que puedes conseguir es PREVENCIÓN (que es mejor que no tener nada).

Cruzando los primeros apellidos en las listas electorales (para partidos mayoritarios) y la lista de apellidos comunes, por provincia de residencia, me sale los siguientes resultados:

Para interpretar estos datos, hay que tener en cuenta que

• en Madrid, los 50 apellidos más comunes, representan al 33,27% de la población (como primer apellido),
• en Barcelona, los 50 appellidos más comunes, representan el 26,04% de la población (como primer apellido).

Por lo tanto, en Madrid, el PP estaría en la media, y el PSOE e IU un poco por encima. En Barcelona sin embargo, los partidos “no nacionalistas” estarían por encima de la media, bajándo mucho el número de candidatos con apellidos comunes para CiU y sobre todo para ERC.

Paso de hacer interpretaciones, que luego me linchan. Pero como indicador (imperfecto, simplista y reduccionista) de “representatividad” de los candidatos de cada partido, a mi me dice mucho.

Para ver los resultados completos, están aquí en PDF.

NOTA: Sobre todo en la lista candidatos del PP de Madrid (aunque se da en menor medida en otras listas), proliferan mucho los apellidos compuestos (Ruíz-Gallardón, Álvarez de Toledo, Pérez-Hickman, etc.). En este caso los he contado como “top 50″ si uno de los dos está en la lista de más comunes.

NOTA: He incluido a los partidos que me ha dado la gana. El proceso es manual y paso de andar comprobando cómo queda UPyD en Soria o Falange en Cantabria.

UPDATE

Por aclamación popular de mis dos lectores (you know who you are), he rehecho los cálculos excluyendo los apellidos compuestos (que se dan sobre todo en Madrid, exceptuándo a Alicia Sánchez-Camacho en Barcelona).

Como podéis ver, en Barcelona el PP se iguala a PSC e ICV-EU. En Madrid sin embargo, el PP cae a niveles de CiU en Barcelona.

• El router WiFi (por supuesto)
• Un NAS (disco duro accesible por red)
• Una impresora wireless
• El PC de sobremesa (con Linux)
• Un tablet Android
• Tres teléfonos móviles (Blackberry y Android)
• Tres portátiles (dos con Windows, uno con Linux)
• La televisión con conexión a internet (YouTube, Twitter, navegador, etc.)
• El reproductor Blueray
• La Xbox 360 y la Wii

Y luego pienso en el “mantra” que los que nos dedicamos a la seguridad aprendemos desde “pequeñitos”

“Configura de forma segura. Usa autenticación fuerte. Actualiza y parchea de forma regular. Monitoriza los logs. Vuelve al principio.”

¿Véis alguna dificultad?

Muchos de estos dispositivos no son configurables, otros no se pueden actualizar (o el fabricante no publica actualizaciones), muchos no son multi-usuario ni se le puede poner contraseña, y en general son difíciles de monitorizar. Los “entornos de T.I.” domésticos se están volviendo complejos, y desde el punto de vista de la seguridad, hay que re-pensar muchas cosas.

La precisión con la que me ha agrupado a mis 600 contactos de diferentes entornos o empresas es espectacular. Por ejemplo, el grupo naranja de la izquierda es la gente que conozco Roche, aunque hayan cambiado de empresa desde entonces. Los grupos verde y rosa claro que están juntos a la derecha son los contactos de Symantec (verde para los españoles y rosa claro para los italianos). El grupito pequeño de abajo (rojo oscuro) son los de Renacimiento (ahora Aventia). El azúl claro de arriba a la izquierda son todos de Cantabria. Los de naranja de arriba son del “master”, y el grupo grande de azul más oscuro son de diferentes empresas pero todos relacionados con la seguridad informática.

Si usas LinkedIn puedes hacerte tu mapa aquí.

Asco y pena es lo que da este video, especialmente entre el minuto 1:30 (en el que pegan a la chica) y el minuto 2:30 (en el que apalean a un fotógrafo por haberlo visto).

Cómo decían los Manic Street Preachers, “If you tolerate this, then your children will be next“.

UPDATE: La noticia en RTVE http://www.rtve.es/noticias/20110819/policia-agrede-fotografo-vio-como-agente-propinaba-punetazo-chica/455900.shtml.

1. Money can’t buy happiness but

somehow, it’s more comfortable to cry in a BMW than on a bicycle…

2. Forgive your enemy, but

remember the motherfucker’s name.

3. Help a man when he is trouble & he will remember you

when he is in trouble again.

4. Many people are alive only because

it’s illegal to shoot them.

5. Alcohol does not solve any problem, but then,

neither does milk.

Visto en mi lector de feeds.

Los ataques de Denegación de Servicio (Denial of Service, DoS) son casi tan antiguos como las redes de comunicaciones, pero de un tiempo a esta parte se han popularizado entre las bandadas de script kiddies, para atacar a todo lo que no les gusta. Ya sean partidos políticos, webs de ministerios e instituciones del estado, empresas privadas, etc. Nadie está a salvo de la “ira vengadora” de un quinceañero con ínfulas de guerrillero (mientras sus padres piensan que está haciendo “los deberes”).

Primera observación: es delito en España desde diciembre del 2010 participar en este tipo de ataques. Leo en Twitter a algunos que argumentan que ellos “sólo se ponen de acuerdo para visitar una página web“. Menuda desfachatez. Llamar al 112 no es delito, por supuesto. Ponerte de acuerdo con 1000 colegas para que cada uno haga mil llamadas al 112 a una hora concreta puede poner vidas en peligro si nadie puede avisar a los bomberos de un incendio o avisar a la policía de un crimen.

Pero dejándo disquisiciones ético-legales a un lado, ¿qué se puede hacer para defenderse de ataques DoS? No es fácil y no hay soluciones mágicas, pero hay cosas que se pueden hacer:

Estar preparado

Los ataques que consisten en miles de conexiones válidas por segundo funcionan porque cada una de las conexiones supone una carga en nuestros servidores (mostrar la información de la página web, quizá haciendo consultas a una base de datos, etc.)

Todo el mundo que tiene página web debería tener calculado el impacto en rendimiento de sus páginas, y tener siempre un “website” alternativo de bajo impacto para situaciones de sobrecarga. Por ejemplo, durante los ataques en Nueva York del 11-S, muchos medios de comunicación sufrieron un “ataque DoS” no intencionado al tener a millones de personas por todo el mundo intentando enterarse de qué pasaba. Algunos, como la CNN cambiaron su página normal por una de sólo texto, sin publicidad, ni elementos innecesarios, de forma que cada petición se pudiera procesar en menos tiempo y así poder atender más conexiones por segundo.

Esto se puede incluso automatizar, de forma que los servidores web cambien automáticamente a la versión “light” en cuanto detectan un aumento inesperado del nivel de peticiones.

Usar redes de distribución de contenido (CDN)

Los CDN son sistemas que permiten a las empresas distribuir su contenido estático por servidores distribuidos por todo el mundo, como los proporcionados por la empresa Akamai. Durante los ataques DDoS a partidos políticos a finales de diciembre de 2010, casi todos cayeron enseguida (PP, CiU, etc.). Algunos de ellos tienen sus páginas alojadas en empresas de hosting de las de 10€/mes, y se merecen lo que les pase. Sin embargo, hubo una web de un partido que, aparentemente, no sucumbió, y es la del PSOE. Simplemente hicieron que su página principal fuera estática y fuera servida por servidores de Akamai. Da igual que se caigan los servidores, en todo momento se podía seguir visitando la web (con una funcionalidad reducida). Algunos críos participantes en el ataque se indignaron por esta “trampa”.

Como si quiero entrar en tu casa y digo que haces trampa por echar la llave. En fin.

Que te ayude tu proveedor de acceso a Internet

Si tienes un proveedor de acceso serio, siempre podrás pedir que te ayuden en caso de ataque. Como mínimo deberían ser capaces de reenviar el tráfico que está dirigido a tus sistemas, a una ruta inválida (null route) de forma temporal.

El problema de este sistema es que nadie podrá acceder desde fuera, ni los atacantes ni tus usuarios legítimos. Entre los participantes en el ataque, que normalmente no tienen conocimientos suficientes, se cree que el ataque ha tenido éxito, ya que la página web deja de estar accesible.

Esto viene a ser la estrategia de “hacerse el muerto”, que puede ser muy válida en algunos casos, sobre todo combinada con contenido estático en CDN (ver punto anterior).

Utilizar una solución anti-DDoS proporcionada por tu proveedor de acceso

Esto suele ser lo necesario cuando quieres evitar el ataque, pero quieres mantener tu sitio accesible por usuarios legítimos, y que el contenido no sea estático, sino transaccional. Es decir, seguir operando “business as usual”. Estas soluciones son complejas, y normalmente las ofrecen los proveedores de acceso a Internet a las grandes empresas, con un coste por supuesto.

Suelen consistir en:

• Sistema de detección - elementos de red (tipo Arbor Peakflow) que detectan la anomalía en el tráfico de red y hacen análisis del tráfico. Si se situan en la “ruta” entre Internet y tu perímetro, suelen estar gestionados por el ISP. Si los situas en tu perímetro, pueden estar gestionados por el ISP o por la empresa cliente.
• Mecanismo de redirección – puede ser iniciado por el ISP o por la empresa atacada, y suele consistir en “publicar” una ruta nueva usando el protocolo de rutado BGP, de forma que el tráfico a ciertas IPs se redirija a través de un sistema de mitigación.
• Sistema de mitigación - son elementos de red (tipo Cisco Guard), gestionados por el ISP, que se “comen” todo el tráfico (suelen tener una capacidad enorme, difícil de saturar por el ataque típico), y se encargan de “separar el grano de la paja” mediante análisis estadístico, y reenvían a la empresa atacada el tráfico “limpio” mediante un túnel GRE cifrado.

Si la disponibilidad y el libre acceso a nuestras aplicaciones y contenido son vitales, es imprescindible tener algún tipo de preparación contra ataques de denegación de servicio. Dependiendo de nuestras necesidades y/o presupuesto, podremos usar unas medidas u otras. Para un estudio estupendo sobre el estado de las cosas, lo mejor es el “Network Infrastructure Security Report” que publica Arbor Networks anualmente.

La “burbuja” del ron ya terminó, y el “moderneo” necesitaba algo más.

Llegó la ginebra. Se acabó el gin&tonic de Larios y Schweppes. Por un lado los fabricantes de tónicas haciendo su campaña para hacernos creer que ponerle pepino a la Schweppes es algo “de toda la vida”. Por otro lado otra escalada de ginebras premium. Ya no vale a Bombay, ni siquiera la Bombay Sapphire. Ni la Tanqueray. Tenemos que pedir copas con ginebras que cuesten 50, 60 o más euros por botella.

Y el gin&tonic, antiguamente hecho con ginebra “seca”, tónica y rodaja de lima, ahora se ha convertido en una verdadera “ensalada” con su pepino, sus bayas, sus hojas de menta, etc.

Yo entiendo que el vino excelente sea caro, por lo complejo de su producción y el tiempo que lleva desde la uva hasta su venta. Y lo mismo con el whisky, que lleva unos 15 o 18 años tener un whisky excelente, y eso después de siglos de experiencia acumulada. Los rones, en menor medida, también tienen unos requisitos de tiempo de madurado importantes (un ron premium de verdad debería tener al menos 7 años).

Pero la ginebra, por muy premium que sea, se hace a partir de vodka (como destilado base), una infusión de hierbas y especias (pricipalmente enebro común), y a veces una segunda destilación. Vamos, en total un proceso que con equipo industrial se puede hacer en 3 o 4 días.

Pero esta burbuja, como todas, está llegando a su fin. Hasta el más “paleto” sabe pedir una copa de Citadelle con Fever Tree, esencia de romero y hoja de menta seca.

Creo que la siguiente es la del vodka premium. Esa bebida humilde y neutra. Hasta hace poco, los mejores vodkas del mundo (“Wyborowa” polaco, “Absolut” sueco, y “Standart” ruso) no costaban más de 15€ la botella. Ahora puedes encontrar vodkas de la misma marca o de otras, por precios escandalosos, al mismo nivel que las ginebras y los rones. Ayer mismo me regalaron una botellita de muestra de un vodka sueco de patata (de sólo 1 destilación) que cuesta unos 45€. Me parece exagerado.

Foto: http://gordsvirtualhomeinthesouthoffrance.blogspot.com/2010/04/bar.html

Este año está siendo movidito en lo que a incidentes graves de seguridad se refiere. Hemos tenido Wikileaks, ataques de denegación de servicio por doquier (Mastercard, VISA, partídos políticos, etc.), el gusano Stuxnet dañando el programa nuclear iraní, el ataque y posterior “puteo” a HBGary, el ataque a la Sony Playstation Network, ataques a instituciones del estado francés, etc.

Por un lado, muchas categorías de ataques se vuelven “fáciles” y al alcance de casi cualquiera, como pueden ser los ataques de denegación de servicio. Por otro lado, creo que ahora se informa de los ataques más que antes (las empresas ahora están obligadas, en muchos paises, a informar de los ataques que sufren, especialmente si se sospecha que datos personales pueden haber sido extraidos). Y por otro lado, algunos de los ataques empiezan a ser muy sofisticados, posiblemente con financiación (pública o privada) y recursos al alcance de pocos. Por poner un ejemplo de ataque sofisticado, con recursos y bien planificado:

Primero hackeas RSA (una de las empresas líderes del mundo en temas de seguridad):

• Envías un email a directivos de la empresa (puedes averiguar los nombres y emails en cualquier directorio o en LinkedIn) con subject “2011 Recruitment Plan.”
• El email contiene un fichero Excel (“2011 Recruitment Plan.xls”) que contiene un exploit 0-day (desconocido hasta el momento) que utiliza una vulnerabilidad de Adobe Flash (CVE-2011-0609) para instalar una puerta trasera en los equipos de los “incautos” que lo han abierto.
• Los atacantes, a través de la puerta trasera, instalan una herramienta de control remoto (una variante de Poison Ivy).
• Durante un largo periodo de tiempo, los atacantes van accediendo a servidores de la empresa y van robando datos de interés.
• Finalmente se hacen con las “joyas de la corona” de RSA, los ficheros “semilla” para los tokens de One-Time Password que RSA comercializa.

Esto último es importante y grave. Ya he hablado en este blog de los tokens OTP. Los tokens OTP generan un número pseudoaleatorio (pero con secuencia determinista) y permiten ser un complemento al tradicional método de usuario-y-contraseña, aportando una parte de la contraseña que cambia cada 60 segundos. Para poder acceder a un sistema protegido con este método, el usuario debe conocer su contraseña y tener el token OTP a mano (no vale con saber la contraseña). El robo de los ficheros “semilla” permite clonar tokens OTP.

Luego hackeas Lockheed Martin (contractor del Departamento de Defensa de EEUU, fabricante de aviones, misiles, y muchas cosas más):

• Se clonan tokens OTP de RSA con las “semillas” robadas.
• Además para que el ataque funcione es necesario hacerse con nombres de usuario, su PIN, y qué token (identificado por su número de serie) corresponde a qué usuario.
• Entras en la red víctima de forma remota usando su servicio de VPN (para los que trabajan desde casa) y las credenciales robadas.

Es verdad que el paso intermedio de conseguir los nombres de usuario, los PINes, y la asociación entre usuario y token es complicada. Por lo que me imagino que habrá un trabajo previo de investigación, ingeniería social, etc. para averiguar esta información. Desconozco cómo lo harán en Lockheed Martin, pero yo he trabajado en varios sitios donde el token OTP tiene pegado una etiqueta con el nombre de usuario (cualquiera puede hacer una foto al token desde lejos y tener así el usuario y el número de serie del token), y el PIN suele ser de 4 dígitos. En muchos sitios ni siquiera el usuario puede cambiar el PIN.

 Conclusiones que se pueden extraer:

• Los troyanos hechos a medida para un número muy reducido de víctimas, tardan mucho en aparecer en los ficheros de firmas de las empresas antivirus, ya que no existen suficientes copias por el mundo como para que alguien lo detecte por casualidad. Tecnologías basadas en la reputación de los ficheros o en whitelisting son el único camino.
• RSA fabrica soluciones de seguridad, de monitorización, de correlación de eventos, de antivirus, y muchas cosas más. Me imagino que utilizarán sus propias soluciones internamente. Y no les ha servido de nada. Porque alguien ha abierto un fichero que no debería haber abierto.
• Alguien abre un adjunto malicioso en una parte del mundo, y varias semanas después tu empresa es el hazmerreir del mercado, pierdes millones de dólares en gestionar la crisis y compensar a tus clientes, y encima uno de tus principales clientes (con unos requisitos de seguridad que no tiene nadie en el mundo) es hackeado por tu culpa.
• La seguridad de la información es difícil. No hay productos mágicos que te resuelvan la papeleta. Hace falta conocer muy bien tu entorno, a tus usuarios, sus necesidades (sobre todo lo que NO necesitan), y tener muy claro qué es normal y qué es anómalo, y tener mecanismos para detectarlo.
• Las conexiones salientes de Poison Ivy, en la red de RSA, deberían haber sido detectadas por cualquier IDS que se precie. Por cualquiera. Cualquier producto de “endpoint security” decente hubiera detectado y bloqueado las conexiones salientes.
• El producto de RSA de monitorización y correlación de eventos (Envision) debería haberlo detectado y generado un incidente.
• ¿Por qué las “semillas” de los tokens no estaba cifrada y/o almacenada en un HSM (Hardware Security Module) que las proteja y que sea tamper-proof? Existen muchos en el mercado, y no cuestan más que unos miles de dólares. ¿Calculamos el ROI?

Hay muchas empresas corriendo para adaptar sus sistemas, redes, procesos, etc. para que los directivos de las mismas puedan “trabajar” con juguetes como el iPad o similar, “necesitando” conectarse desde cualquier parte del mundo. Dejando de lado la cuestión de si alguien, de verdad, necesita estas cosas para desempeñar su trabajo, creo que el panorama se va a complicar enormenente en el futuro próximo.

Ya se que es fácil dar consejos a toro pasado, y que aún siguiendo todas las buenas prácticas, no estás a salvo, pero por lo menos haz un mínimo…

De momento tengo mucho que aprender, y mucho que desaprender. Y en ello estoy.

El “síndrome de la nueva etapa” viene con efectos secundarios. Uno de ellos es ponerme a pensar seriamente qué voy a hacer con este blog, que, sinceramente, tengo medio abandonado. Una opción es retomarlo, centrándome en contenido más de tecnología y seguridad de la información, que en temas personales, culinarios, o de otro tipo.

Aunque como dice mi amigo Enrique, “Coño si lo guay es que pasas de una receta de bizcocho a seguridad informatica y cerveza! O recomendaciones de libros!“. Lo pongo verbatim, para que veais con lo que tengo que lidiar.

Otra opción es empezar uno nuevo, colaborativo, centrado en la “tecnología de verdad”. Vamos, un blog de ingenieros escrito para ingenieros, donde no nos cuelen como “tecnología” el que hayan lanzado un iPhone blanco, o que la nueva versión del cliente de Twitter de moda ya soporta corta&pega después de años de desarrollo. Sabeis a lo que me refiero. Tengo algunas ideas en la cabeza que, cuando tenga un rato para sentarme, intentaré dar forma, para poder “liar” a algunos amigos y ponernos a ello.

No lo tengo decidido todavía, pero una cosa tengo clara:

“Un ser humano debería ser capaz de cambiar un pañal, planear una invasión, despiezar un cerdo, construir una barca, diseñar un edificio, escribir un soneto, cuadrar un balance, levantar una pared, colocar un hueso dislocado, confortar a un moribundo, obedecer órdenes, dar órdenes, cooperar, actuar en solitario, resolver ecuaciones, analizar un nuevo problema, esparcir  estiercol, programar un ordenador, cocinar una comida sabrosa, luchar eficientemente, y morir dígnamente. La especialización es para los insectos.”

(Robert Heinlein, en “Time Enough for Love”, 1973)

La Garrotxa

Pequeña tienda en Boadilla del Monte, con productos exquisitos. Aceites, patés, quesos, vinos, dulces, pasta, embutidos, etc. A destacar que tienen cerveza Domus (de Toledo), Santa Margarida (de Girona), y La Garrotxa (de Girona). Además venden un vermú casero a granel que es espectacular (rico de sabor, pero ligero).

La Garrotxa
Avda. Siglo XXI, 16 – 28660 Boadilla del Monte
Tel. 91 632 5915

Cooking TKC

Cooking The Kitchen Company es una tienda de cosas de cocina. Desde cuchillos y sartenes, a los accesorios más originales y especializados. Casi cualquier cosa que busques la vas a encontrar. Tienen tienda en Barcelona, en Madrid, y en Las Rozas (Madrid). Es esta última la que yo conozco.

Cooking TKC
C/ Londres, 30B (Európolis) – 28232 Las Rozas
Tel. 91 626 6063

La Cerveteca

En Barcelona. Voy siempre que puedo. Una combinación bar-tienda genial. Una selección impresionante de cervezas de todas partes, con preponderancia de las cervezas “tradicionales”, lambic, y ale. Muchas cervezas de pequeña producción de Francia, Bélgica, etc.

Foto del blog de Paolo Polli (http://paolopolli.wordpress.com/barcellona-giugno-2010/)

La Cerveteca
Gignàs, 25 – 08002 Barcelona
Tel. 93 315 04 07

La Maison Belge

De esta tienda ya he hablado en el pasado. Para los aficionados a la cerveza belga. Muchas marcas de muchas brasseries/brouwerijen pequeñas y grandes: Westmalle, Rochefort, Val Dieu, Caracole, Lindemans, La Binchoise, etc. Además tienen chocolates y quesos de abadías belgas. Tienen tiendas en Barcelona, Madrid, Tenerife, etc.

La Maison Belge
Paseo Santa María de la Cabeza, 42 bis – 28045 Madrid
Tel. 93 315 04 07

TorreVinos

Una tienda estupenda de vinos y licores. Siempre he encontrado lo que busco, y los precios son bastante buenos.

TorreVinos
C/ Azafrán (CC. Milenium – Mediamarkt) – 28220 Majadahonda
Tel. 91 602 9688

UPDATE: Estas son las recetas que he publicado hasta ahora:

• Sandwich de bonito y anchoas
• Sandwich de ternera y mostaza
• Guía de cuchillos de cocina
• Gin & Tonic con fresas
• Sartenada vasco-francesa de pescado
• Receta de potaje
• Rape a la naranja
• Receta de moussaka
• Arroz con conejo a la cerveza
• Cómo hacer cerveza en casa
• Cómo hacer yogurt casero
• Rape al horno con berberechos
• Helado de fresas con sobao pasiego

Estos últimos años han sido una locura de viajes de trabajo (y algunos de placer). No creo que haya tenido más de 2 o 3 semanas este año que no haya cogido un vuelo.

Hace ya unos 3 años escribí en este blog un post titulado “Tecnología para viajeros frecuentes“. Revisándolo veo que se me ha quedado un poco obsoleto, así que aquí va de nuevo, mejorado y actualizado.

HTC Hero – Aunque es el que uso para mi número personal (y por tanto tengo que vigilar un poco el tráfico de red cuando estoy en “roaming”), mi HTC Hero (rooteado y con una ROM Android 2.2 de Cyanogen) es una de mis herramientas favoritas para los viajes, sobre todo por las siguientes aplicaciones que tengo instaladas:

• Google Maps – No hace falta que lo explique, imprescindible.
• Spotify – Para no tener que llevar el iPod encima (casi no lo uso ya). La versión Premium (9,99€/mes) te permite escuchar la música en el móvil, cacheando localmente las playlists que quieras.
• TripIt – Versión para Android del servicio comentado anteriormente.
• FlightTrack – Aplicación estupenda que informa sobre el estado de los vuelos. La aplicación cuesta 4,99$, y si quieres que además sincronice los vuelos directamente de TripIt tienes que pagar un upgrade de otros 4,99$. Esta aplicación la he empezado a usar hoy mismo gracias a esta página sobre aplicaciones para viajeros que me ha recomendado Dondado.
• TweetDeck – Cliente Twitter para no perderme el último chascarrillo tuitero mientras paso largas esperas, y para quejarme amargamente a @iberia y otros cuando hay retrasos o cancelaciones.
• La página para móviles de AENA guardada en el navegador del móvil – Para consultar el estado de vuelos desde (y hacia) España.

TripIt – Un descubrimiento TripIt. Es una aplicación web para organizar tus viajes (vuelos, coches de alquiler, hoteles, etc.) Tiene la ventaja que puedes reenviar tus emails con las confirmaciones de la agencia de viajes a una dirección de email, y automáticamente te importa la información, añadiendo planos, estados de los vuelos, itinerarios, etc. Además si tus amigos también lo usan, te avisa de si vas a coincidir con alguno en algún momento.

Mi portátil del trabajo, por supuesto, junto con una colección de discos duros externos, pendrives, etc. y un Modem USB para 3G/HSDPA.

Auriculares Sony MDR-NC6 con Noise Cancelling. Son un poco viejos pero me han dado un resultado excelente. Los compré en Seattle en 2006 por unos 40$. Comparados con algunos auriculares de gama media y alta que hay por ahí, son muy humildes, pero les tengo bastante cariño. Tengo además unos Sehnheiser CX300II para cuando quiero dar menos el cante.

iPod 5G (80GB) que uso de vez en cuando, aunque teniendo el Spotify en el móvil me da pereza llevarlo. Para vuelos largos sí, ya que la batería dura infinítamente más que la del HTC Hero.

Cargadores universales USB (tengo varios), a los que pueda conectar el cable adecuado para cada dispositivo. Intento no comprar cacharros que no permitan carga desde micro-USB o mini-USB, para poder reutilizar los cables. Por supuesto, siempre viene bien tener a mano adaptadores para el Reino Unido y para EEUU.

Cosas que ya no uso – Me he dado de baja en Dopplr. Aunque es más bonito que TripIt, es un proyecto muerto, y no han introducido nuevas funcionalidades desde que empecé a usarlo hace 3 años.

Cosas que no quiero usar, aunque todo el mundo me insiste - Lectores de libros electrónicos. Gracias, me apaño con el papel. Además no tengo que apagarlo para despegar y aterrizar.

Me da pereza escribir más sobre el tema, y lo que puse en 2007 sigue siendo vigente.