Robo de información a BuyVIP


Escribí este post hace algunos días y lo dejé en borradores. Mejor publicarlo tarde que nunca.

Las noticias en Internet vuelan y lo que es actualidad un lunes, ya no lo es un jueves. Por eso este post puede parecer un poco obsoleto, ya que hace días que BuyVIP mandó un email a todos sus usuarios activos indicando que habían sido víctimas de un robo en el que les habían sustraído la información de sus usuarios. Fui CTO de BuyVIP durante un año y medio y por tanto soy especialmente sensible a estas cosas y en base a ello me gustaría compartir con vosotros mi opinión.

Información sustraída
Tal y como indica la propia BuyVIP en su comunicado, les han robado nombre, dirección de email, dirección de envío, fecha de nacimiento, teléfono y contraseña. Es decir, les han robado aquella información que tenían en la base de datos. Ellos mismos dicen que los datos de pago no se han visto afectados, pero creo que está mal expresado. No se han visto afectados porque BuyVIP no almacena esa información y por tanto al no tenerla no se la pueden robar. Yo hubiera remarcado este hecho, ya que creo que transmite más confianza al usuario.

Otro punto que merece la pena comentar es el de la contraseña. BuyVIP no almacena la contraseña en claro, si no encriptada con MD5 usando una semilla, dando por tanto un código alfanumérico de 40 caracteres. Un MD5 no se puede desencriptar y para saber si la password es válida lo que se hace es encriptar la recibida y comparar con la almacenada. Por tanto si alguien quisiera obtener la password debería hacer un proceso de prueba y error encriptando todas las combinaciones de letras y números (si no recuerdo mal hasta 100 caracteres) y compararlo  con lo almacenado. Eso suponiendo que tenga la semilla, ya que si no la tiene ni aún así se obtendría la password. En resumen, han robado la encriptación de la password, pero no la password real. Personalmente estoy tranquilo porque tengo claro que nadie va a obtener mi password en base a lo robado de BuyVIP.

Comunicación a los usuarios
Todo el mundo intuía que pasaba algo ya que tiraron voluntariamente la tienda un miércoles (hablo de memoria) y no volvió a estar operativa hasta el sábado, pero la gente pensaba que estaría relacionado con la apertura de la tienda de Amazon en España. El mismo sábado avisó a sus usuarios activos en los términos comentados, pero hasta varios días después no avisaron a los usuarios dados de baja. Ya comenté en twitter que pensaba que era un error ya que, si bien un usuario dado de baja ha decidido no recibir más notificaciones, estamos ante un hecho extraordinario y al fin y al cabo también han robado la información de los usuarios dados de baja. Pero lo más crítico de este hecho es que indirectamente BuyVIP ha reconocido que guarda toda la información del usuario a pesar de haber sido dado de baja. Me gustaría conocer la opinión de un abogado al respecto ya que esa información debería haber sido borrada con la baja y podría haberse hecho perfectamente ya que no debería afectar en ningún caso a la información financiera relacionada. Algún abogado en la sala que nos de su opinión?

Qué pueden hacer con la información robada
Si el autor del robo lo ha hecho con el fin de obtener datos de pago, la jugada le ha salido mal, pero si simplemente quería obtener una bbdd grande, cualificada y bastante completa de usuarios y compradores de toda Europa, le ha tocado el gordo, ya que BuyVIP tiene varios millones de usuarios en su base de datos. Esa información la puede vender a empresas de email marketing no muy legales para enviar publicidad. La pueden vender incluso a empresas de publicidad física que te envían cartas a tu buzón. Se pueden hacer muchas cosas y no me extrañaría que en los próximos días o semanas recibiéramos más spam del habitual.
Otra alternativa es usar esa información para obtener todavía más info por physing, mucho cuidado con las próximas notificaciones que recibáis en el email pidiendo confirmar datos.

Espero que dentro de unos meses todo quede en una anécdota y los problemas no vayan a más para BuyVIP.

Amazon compra BuyVIP por 70 millones


Mañana día 7 de octubre de 2010 se anunciará formalmente en rueda de prensa la noticia de la que llevan hablando varios medios como Cinco Días o Expansión e importantes blogs como el de Carlos Blanco, que una vez más demuestra tener las mejores fuentes de información. Se trata de la compra por parte de Amazon de BuyVIP, uno de los más grandes, si no el más grande, club de ventas privadas de España, por 70 millones de euros.

Antes de entrar en más detalles, mi mas sincera enhorabuena a los tres fundadores Gustavo García, José Luis Vallejo y Gerald Heindenreich. Sin duda su visión y trabajo han hecho de BuyVIP una de las empresas de comercio electrónico más importantes de España, con una visión internacional desde su nacimiento.

Buena o mala negociación

Una operación de este tipo lleva varios meses de duro trabajo y negociación por lo que sin duda cuando se cierra es siempre un éxito, aunque en las últimas horas se ha visto empañada por la excelente operación que ha cerrado Privalia, que ha hecho una ronda de 70 millones, los mismos que ha pagado Amazon por BuyVIP, lo que pone de manifiesto que quizá Amazon es buen negociador o  los responsables de BuyVIP son malos negociadores.

En mi opinión la valoración ha sido baja, teniendo en cuenta el fuerte crecimiento que siempre ha tenido BuyVIP desde su nacimiento y su presencia internacional, aunque sin duda el momento económico que vivimos habrá afectado. Además, al igual que pasa con Privalia, su mayor competidor nacional, corren rumores de su precaria situación financiera, lo que sin duda ha reforzado la posición de negociación de Amazon.

Acuerdos de permanencia

Ahora se abre una nueva etapa en BuyVIP en la que está por ver cómo se integra dentro del negocio de Amazon y cómo Amazon desembarca en España y cómo afectará esto a los directivos de BuyVIP. Se habla de que la cúpula directiva ha firmado un acuerdo de permanencia de tres años y que parte de sus participaciones en BuyVIP se transforman en phantom shares convertibles año a año. Éste es quizá el punto que veo más controvertido y al que si yo fuera todavía CTO de BuyVIP hubiera puesto más pegas, aunque no conozco los detalles de dicho acuerdo por lo que es mejor no especular.

Operaciones de este tipo son muy buenas para el sector, ya que ponen de manifiesto que Internet y el comercio electrónico son negocios con grandes posibilidades, tanto para los emprendedores como para los inversores. Espero que esta sea otra más de una larga lista de operaciones de éxito para empresas de Internet españolas.

Cambio en el modelo de facturación del ADSL


Hace varios días que me rondan por la cabeza varios pensamientos y reflexiones sobre el más que posible cambio del modelo de cobro de la conexión a Internet en los hogares, dejando de ser tarifa plana de tráfico con ancho de banda limitado a un modelo de tráfico limitado con ancho de banda también limitado. Es decir, prácitamente igual que el modelo que se usa casi desde su nacimiento en la llamada Internet móvil donde en la mayoría de los casos tenemos límite de un gigabyte al día pasando a pagar extra o a reducir la velocidad si se supera dicho límite.

La infraestructura tiene un límite

Creo que a casi nadie pasa desapercibido que la infraestructura de comunicaciones que tenemos ahora tiene un límite. Cada día los contenidos y servicios que consumimos requieren de mayor y mejor conexión y por ende los usuarios cada vez reclamamos más y mejor conexión. En mi casa me han subido la conexión de 1Mbps a 3 y ahora a 6, sin pagar más y todo porque soy un poco coñazo y siempre que puedo me quejo a Telefónica. Pero esta escalada tiene un límite que deben fijar los operadores a partir del cuál a ellos no les es rentable seguir mejorando la infraestructura cobrando lo mismo y por lo que parece ese momento está bastante cerca.

No quiero entrar a discutir si lo que pagamos en España en comparación con nuestros vecinos es mucho o poco, eso será motivo de otro post. Aquí quiero hablar sobre todo del modelo en si mismo.

Llegados al punto en que lo que pagamos los usuarios residenciales no es suficiente para hacer rentable una mejora continua de la infraestrcutura sin subir los precios y que cada día más un porcentaje de usuarios avanzados reclama mejor y más rápida conexión, debemos pararnos y pensar en alternativas.

Soluciones si, pero no ésta

De todas las posibles alternativas que se me ocurren a este problema, la última que hubiera elegido es la de limitar la conexión por tráfico y hacer que paguen más los que más consumen. Creo que esta alternativa supone un gran freno para la mayoría de internautas que no quieren o pueden pagar más por su conexión en su consumo de contenidos y servicios y por tanto un freno importante para miles de empresas presentes y futuras que basan su modelo en este tipo de público. Esta alternativa es como volver a la época de Infovía donde pagábamos por tiempo conectados y eso echaba para atrás a mucha gente con un perfil menos experimentado.

Priorización de tráfico por segmentación de usuarios y horario

Sin ser un gran conoceder de las telcos por dentro, mi alternativa sería ofrecer a las empresas un modelo de subasta de priorización de tráfico segmentando por tipo de usuario (residencial, empresa, básico, avanzado) y por horario de manera que, por ejemplo, tagUin pagara por priorizar nuestro tráfico a usuarios medios o avanzados durante los fines de semana desde las 16:00 hasta las 02:00. Ahora entro en el terreno de la pura expeculación, pero este modelo de priorización seria tipo subasta donde cada empresa pagara lo que considerara por que su tráfico fuera lo más rápido posible a los usuarios target en el rango horario adecuado y de esa manera el usuario pudiera consumir los servicios o contenidos de la mejor manera posible sin pagar más. Otro caso podría ser Baquia que podría pagar por priorizar su tráfico (por ejemplo) en horario laboral de lunes a viernes y para usuarios empresariales.

Este modelo daría la posibilidad a las empresas de llegar a sus usuarios de la manera más rápida posible sin matar moscas a cañonazos y las telcos tendrían una fuete de ingresos extra que deberían invertir en que sus clientes tuvieran la mejor conexión posible para que pudieran consumir los contenidos o servicios de las empresas que pagan.

En fin, posibilidades hay muchas. ¿Se os ocurren otras alternativas? ¿Cuál creeis que sería la mejor?

mi opinión de la venta de Tuenti a Telefónica


Ayer desayunábamos con la noticia de la venta del 90% de Tuenti a Telefónica, aunque no sorprendió a nadie después del adelanto que nos hizo Carlos Blanco hace unos meses dando la primicia de la noticia.

Sin duda es una noticia importante en el mundo de Internet en España, aunque para Telefónica 70 millones de euros sean poco más que calderilla después de haber cerrado la compra de Vivo por 7.500 millones de euros. Operaciones como esta se ven muy pocas cada año en España, aunque llevamos un verano muy activo ya que hace pocos días se anunciaba la compra de eDreams por parte de Permira.

Bajo mi punto de vista la compra de Tuenti por Telefónica es un gran noticia por los motivos que a continuación enumero:

  • La noticia tiene la repercusión mediática necesaria para poner Internet de nuevo en el punto de mira de muchos inversores, lo que sin duda nos beneficia a todos los que trabajamos en este sector.
  • Es una operación de éxito para los inversores, tanto en fase semilla como de capital riesgo lo que les da oxígeno para acometer nuevas inversiones y quién sabe si de alguna de esas inversiones nos beneficiamos algunos.
  • Es una operación de éxito para los emprendedores, lo que me produce una gran satisfacción. Se habla de muchos emprendedores de éxito en España, pero son muy pocos los que han hecho un exit en el momento adecuado y ganando mucho dinero.
  • Pone de manifiesto que las redes sociales SI son un buen negocio para inversores y espero que más de uno se de cuenta de que merece la pena invertir en este tipo de negocio (como tagUin ;-) ).
  • Creo que alguno o varios de los emprendedores de Tuenti empezarán a ejercer de business angels y pueden ayudar y mucho a nuevas empresas de Internet.

No será la última gran operación de este año, ya que en pocos meses veremos otra en el sector del eCommerce, aunque no será ni tan mediática ni tan rentable para los emprendedores.