Tenía tanto tiempo sin escribir en mi blog que ya me estaba poniendo nostálgico. Sin embargo, hoy se presentó una oportunidad interesante y
decidí separar un poquito de tiempo de mi apretada agenda (la verdad es
que pude arreglar el aire acondicionado más rapido de lo que tenía
programado, sólo se daño el capacitor esta vez) y escribir un poco sobre
unos temas que veo recurrentemente maltratados en la Internet hoy en
día: Tor, privacidad, seguridad, anonimato, etc.
Como siempre, el twit que lo inició todo:
@D4nnR
El contexto es más o menos el siguiente: al igual que muchas personas últimamente, alguien se puso a comentar sobre Tor y su “privacidad” en video. Este primer video estaba, en efecto, lleno de impecisiones. Como respuesta a estas imprecisiones, otra persona, a motu-propio, decidio proactivamente “corregir” los errores de este primer video en otro video. Ironicamente, este segundo video tambien! Contenía varias imprecisiones, errores y nociones equivocadas que poco contribuian a aclarar el oscuro panorama que habia dejado el primer video. Mi comentario a toda esta polémica, como es usual, fue hacia motivar a la gente a estudiar más en profundidad señalando que ambos videos tenían muchas imprecisiones. Usualmente dejo que las personas que estan aprendiendo se esfuerzen un poco por su cuenta para aprender y profundizar (TRY HARDER), y no doy comentarios donde no me los han pedido. Sin embargo, la persona que publicó el segundo video me pidio educadamente que le indicara las imprecisiones en las que habia incurrido en los comentarios de su blog y pues con ánimos de ayudar a los principiantes que piden ayuda, decidí escribir este post. En los comentarios de su blog era imposible describir la cantidad de imprecisiones del video.
El link donde pueden observar ambos videos se encuentra
aqui.
Sin más, comenzamos con los errores del segundo video.
Definición de proxy. En el segundo video no se dá una definición de proxy directamente, sin embargo, en el minuto 1:23, Dedalo (el autor del segundo video) afirma que el “señor define”
1:23 – De manera correcta lo que es un proxy.
Y no iba a comentar nada del primer video porque no me lo han pedido, pero como ésto es una referencia directa, me veo obligado a citar el primer video en donde se define un proxy como:
1:12 - "Software que permite realizar una salida a Internet con ciertas politicas."
Para Dedalo, esta es una definición “correcta” de lo que es un proxy. Nada más alejado de la realidad. En realidad un proxy es un sistema que actua como intermediario entre dos entidades que se comunican. Es decir, la noción de proxy es mucho más general que lo que ambos autores de los videos tratan de comunicar. En redes de computadoras, incluso se puede hablar de distintos tipos de proxies dependiendo de los protocolos de comunicacion para los que actúan como intermediarios y la forma en que funcionan. De esta manera, existen proxies HTTP (que es lo que ambos autores parecen estar hablando), pero hay muchos otros más. De hecho, muchos proxies no tienen necesariamente ni siquiera la función de proveer privacidad, ni “salida a Internet” en lo absoluto. Hay proxies internos que proveen servicios de intermediación para recursos internos de una compañia que nunca “salen a Internet”. Hay otros proxies, de hecho, que en lugar de “salir a Internet”, mas bien “entran de Internet”, se conocen como “proxies reversos” que permiten aislar los servidores de contenido del tráfico (posiblemente malicioso) de Internet. Esto es nada más proxies HTTP, pero todavía existen proxies para muchos otros protocolos. Es mas, incluso hay proxies ARP! Cuyo tráfico jamas se supone que deba salir a Internet, pues sirve para interconectar redes locales, etc. En otras palabras, podemos crear proxies para cada una de los protocolos en las capas del modelo de interconexión de sistemas abiertos (OSI). Como tarea, para Dedalo, revisa cada una de las capas del modelo OSI, y selecciona un protocolo, el que mas te guste. Busca un proxy para ese protocolo, y veras la gran cantidad de proxies que existen y en consecuencia te daras cuenta lo limitada e incorrecta fue tu “definición de proxy” transitiva de la definición provista en el primer video.
Ahora bien, en el minuto 2:17, Dedalo trata de explicar como provee “un anonimato” un “proxy” diciendo lo siguiente:
2:17 - Si bien el proxy sabe que vengo desde mi PC o sea desde mi IP, la WEB no sabe que estoy vieniendo desde mi PC... ahí hay un “anonimato”.
Tomando en cuenta las nociones corregidas sobre la definición de “proxy” que discutimos anteriormente, al referise a una intermediación entre su PC y la “WEB”, asumimos que Dedalo en realidad quería referirse a un “proxy HTTP” y no a un “proxy” en terminos generales. La diferencia sobre el tipo de proxy aquí es muy importante porque tiene incidencia directa sobre la forma cómo funciona y si provee o no "un" anonimato (o dos o tres o ninguno? #lol).
En todo caso, la tarea para Dedalo, es averiguar cómo funcionan los proxies HTTP, su protocolo y demás; en especial algo que se llama: “X-Forwarded-For” (gracias @). Éste es un encabezado que muchos proxies HTTP agregan a cada petición para la que actúan como intermediarios. En este encabezado se agrega la dirección IP original para la cual se está haciendo la intermediación. En otras palabras, a pesar de que la “WEB” en el diagrama de Dedalo sólo observa una conexión desde la IP del proxy HTTP, si éste está configurado para agregar el encabezado X-Forwarded-For, lo único que tiene que hacer la “WEB” de Dedalo es mirar este encabezado HTTP y eliminar el “un anonimato” que Dedalo creía que tenía.
Ahora bien, hay otros proxies HTTP que se “alegan” anonimos. De hecho, muchas listas son compiladas por gente “acomedida” (para usar los mismos términos que usan los autores de los videos) que supuestamente verifican la “calidad de anonimato” de estos proxies. De esta forma, se publican listas con proxies “altamente anonimos”. Lastimosamente, muchas de estas “verificaciones” son tan pobres / mediocres que el único chequeo para declarar un proxy HTTP como “anonimo” es que no incluyan el encabezado X-Forwarded-For! Si se presta atención, creo que es obvio por qué este chequeo es sumamente mediocre. El servidor proxy HTTP puede agregar cualquier otro encabezado, incluso utilizar cualquier otro tipo de "side-channel" para pasar esta información a la “WEB” final. Todo esto sin contar, por supuesto, con simplemente almacenar el record de todas las peticiones y cuando el responsable de la “WEB” lo solicite, simplemente proveer la dirección IP original. En conclusión, NO, un proxy HTTP como el que aparece en el diagrama de Dedalo, a menos que tengas control directo tu mismo sobre él, difícilmente podría proveerte algún tipo de anonimato confiable.
En la medida que alguien más tenga capacidad para configurar el proxy HTTP que usas, la privacidad que este proxy HTTP te puede proveer está limitada a la que la persona que lo configura desee darte. Por como están las cosas hoy en día en la Internet, puedo decir, sin mucho temor a equivocarme, que la privacidad que los demás quieren darte es bien poquita. Es mas, no me sorprendería nada si agencias gubernamentales ponen proxies que “parecen” anonimos pero que en realidad son trampas caza-bobos para dar un falso sentido de privacidad en donde no debería haber ninguno o muy poco.
Adicionalmente, en caso que Dedalo no se haya estado refiriendo a un proxy HTTP (como asumimos inicialmente), sino a cualquier otro proxy, por ejemplo un proxy SOCKS, para comunicarse con su “WEB”, el hecho general de que el proxy siempre sabe el verdadero origen de la comunicación permite demostrar la misma “falta de privacidad” en estas otras situaciones a menos que uno mismo tenga control sobre la configuración de dicho servidor.
Ahora bien, el siguiente punto que hace Dedalo es decir que usar una VPN “comprada” ya no puede ser anonima, puesto que:
4:03 - es un producto que “yo” estoy comprando.
Este es un clásico ejemplo de decir algo que es correcto, pero por las razones incorrectas. Muy ejemplarizante. Dedalo correctamente intenta apuntar que si “yo” pago por el servicio de la VPN de una forma que pueda ser rastreada hacia mí, pues, en efecto, mi anonimato se ve limitado. El argumento es que la “WEB” puede averiguar (whois? Ehem, no necesariamente, pero no voy a ser tan picky) cual es la IP de la VPN, quien es el responsable de su administración y simplemente preguntar quien es el que pagó por este servicio, eliminandonos toda posibilidad de anonimato. Aunque correcto, esto es un escenario de pago con muy poquita imaginación. Por ejemplo, puedo minar alguna criptomoneda alternativa de forma muy barata, comprar bitcoins en un exchange como btc-e (donde no hay ninguna necesidad de proveer tu identidad), y pagar con bitcoins cualquier servicio de VPN que los acepte (los cuales hay un monton). Por cierto, tarea para Dedalo, averiguar las razones por las que una criptomoneda minada es sumamente anonima, no tanto así una comprada en algún exchange en donde tendría que revelar mi identidad. Ahora bien, cuando la “WEB” de Dedalo venga a preguntar quien pagó por el servicio de VPN, el proveedor de servicio con mucho gusto le puede dar una información como: 17ada...d20 (BTC Address). Si el comprador de la VPN usa correctamente su cliente BTC, no hay forma de obtener su identidad a partir del hecho que haya “adquirido un producto que EL ha comprado y por tanto no puede ser seguro”. Hay muchas formas hoy en día de comprar anonimamente muchas cosas. Sobre todo cuando se trata de servicios como VPNs.
Sin embargo, usar una VPN paga, aún comprandola de la forma descrita anteriormente, NO provee un nivel de anonimato muy distinto al uso de un proxy HTTP como el que comentamos en el punto anterior. De hecho, el principal riesgo al usar una VPN, paga o no, es el mismo que al usar el proxy HTTP. Explicitamente, el riesgo es que el administrador de la VPN esté almacenando tu información de origen y que la provea a quien se la pida en algún momento dado. De nuevo, a menos que uno mismo tenga control sobre el servidor VPN, no hay forma de confiar aceptablemente en la privacidad que te puedan proveer ninguna de estas dos soluciones
por si solas.
Llegamos a Tor. En el minuto 4:36 Dedalo provee una definición de Tor como:
4:36 – Tor ... No es un proxy, es una RED de proxies.
Lamentablemente, no. Si hablamos de “Tor”, es más preciso hablar que es un protocolo que blah, blah... Si hablamos del “PROYECTO Tor” es más preciso hablar de un proyecto para el desarrollo de una red de comunicación distribuida superpuesta sobre la Internet con objetivos bien precisos sobre la integridad y la privacidad de su contenido, blah, blah... etc. La definición de Dedalo no calza en ningún lado! De repente si hablaramos de la “RED Tor”, pero ni siquiera, realmente he tratado muy fuertemente encontrar algo que este relacionado con “Tor” y que pueda ser definido tan simplemente como “una red de proxies” y me ha sido imposible. En todo caso, los
nodos que participan en la red Tor en efecto tienen
cierta funcionalidad de proxies SOCKS (tarea para Dedalo, averiguar sobre el protocolo SOCKS y como se diferencia del protocolo HTTP y cuales son las caracteristicas del protocolo SOCKS implementadas en los nodos Tor y cuales caracteristicas NO están implementadas), pero de ninguna manera es la única funcionalidad que tienen presente. En consecuencia, definir a la red Tor como una red de proxies es una terrible sobre-simplificación, en el mejor de los casos. Como ejemplo de otras funcionalidades aparte de la de proxy, podemos citar resolución DNS para dominios .onion, puntos rendevous para servicios ocultos, y un gran etcetera. Mas tarea para Dedalo, averiguar toda la funcionalidad adicional que se encuentra presente en un nodo Tor por defecto.
Llegamos al minuto 5:00 y ahora es que faltan correcciones, no estoy seguro que pueda destinar tanto tiempo más a esto, asi que voy a tratar de sacrificar las correcciones explícitas para abarcar mayor cantidad de puntos.
5:00 – Explicacion de cómo funciona Tor.
Se presenta un diagrama de una cadena de 3 nodos que es la configuración por defecto de muchos clientes Tor. La longitud de esta cadena es en realidad parametrizable, y dependiendo de la forma en que usas Tor puede ser más conveniente cadenas de otras longitudes. Incluso, en
ciertas situaciones, una cadena de un sólo salto es mejor que una de 3, pero necesitas saber y entender muy bien lo que estás haciendo. En consecuencia, decir que “Tor funciona así” como axioma, es simplemente incorrecto. Tarea para Dedalo, averiguar en qué situación es mejor utilizar una cadena de un sólo salto en lugar de tres.
En el minuto 5:38 se hace una anotación importante:
5:38 – Mi proveedor de internet empieza a escuchar a todos los sitios donde yo me conecto, para mi proveedor de Internet yo estoy yendo a un sitio en Francia.
Y se continua diciendo sobre las siguientes conexiones a los demás proxies en la cadena de 3 nodos Tor. Aquí hace falta apuntar algo muy importante, tu proveedor en efecto no sabe necesariamente o inmediatamente que te estas conectando en realidad a tu destino en Colombia, pero puede facilmente averiguar que te estas conectando a un nodo de “entrada” de la red Tor. Aún si usas un nodo de entrada no indexado, tu proveedor ISP puede verificar, interactuando directamente con el nodo Tor en francia, que en efecto la comunicación que estas llevando a cabo, tú Dedalo, es parte de la red Tor. Tarea para Dedalo, averiguar cómo se hace esto :-). Entonces a pesar que Dedalo, entediblemente, piensa que tu proveedor sólo sabe que te conectaste a Francia, en realidad ésto es incorrecto. Tu proveedor puede saber más que eso. Explicitamente, sabe además que estás usando Tor y puede medir la cantidad de tráfico que estás introduciendo a la red, el momento en que lo haces, etc. La importancia de ésto será evidente más adelante cuando hablemos de correlacionar estos datos con otros.
Similarmente, en el minuto 6:18, se comete el mismo error diciendo:
6:18 – Para el sitio en Colombia yo estoy viniendo de Ucrania. - Y todavía pregunta, en tono “challenging” - Yo quisiera que me expliquen aquí donde no hay anonimato. #lol, really? Here it goes.
De nuevo, igual que en el punto anterior, aquí hace falta darse cuenta que para el sitio en Colombia, no sólo vienes de Ucrania, sino que también vienes de un nodo de salida de la red de Tor. De hecho, aquí es peor! Aquí el sitio de colombia puede estar seguro! Que vienes de un nodo Tor sin necesidad de interactuar activamente con el nodo Tor. Tarea para Dedalo, estudiar el protocolo Tor y aprender por qué existe esta asimetría entre nodos de entrada y nodos de salida.
La pregunta mayeutica para Dedalo que responde a su muy grosero “Yo quiero que me expliquen aquí donde no hay anonimato” es simplemente la siguiente: Que pasa si alguien puede observar, analizar y correlacionar el tráfico de los dos últimos puntos descritos en este artículo?
Este es en efecto, el ataque más importante (y conocido) de la red Tor, que ni siquiera lo voy a explicar yo, lo dejaré a la gente de Tor, pero si se ha prestado atención a las dos explicaciones anteriores, en especial a los puntos para los que Dedalo no pudo identificar su importancia, entonces será muy fácil entender el siguiente punto sacado directamente del FAQ de Tor:
https://www.torproject.org/docs/faq.html.en#AttacksOnOnionRouting
What attacks remain against onion routing?
As mentioned above, it is possible for an observer who can view both you and either the destination website or your Tor exit node to correlate timings of your traffic as it enters the Tor network and also as it exits. Tor does not defend against such a threat model.
No me voy a molestar en traducir esto, si quieren pueden usar Google Translate. Sin embargo, quiero enfatizar que a diferencia de lo que mucha gente dice, Tor no te puede proteger adecudamente si no entiendes cómo funciona. Hay muchos otros casos en donde no es necesario observar estos dos puntos, incluso una seleccion incorrecta de nodos intermedios te puede traer problemas (Más tarea para Dedalo). En consecuencia, para usar Tor correctamente se hace necesario también un control cuidadoso de la selección de nodos en la cadena que permita oscurecer suficientemente las posibles correlaciones de tiempo y volumen del tráfico que estás generando. Como siempre, la verdad es mucho más complicada de lo que parece.
Por cierto, si alguien todavía está pensando que para una organización con respaldo gubernamental le es muy dificil monitorear los dos puntos descritos anteriormente, creo que no ha estado atento a las revelaciones de Snowden.
Quiere decir que todo está perdido? No. En lo absoluto, sin embargo, espero que con todas estas reflexiones haya ayudado a entender a la gente común y corriente que si pretende simplemente bajarse el TBB y esperar que puede hacer cualquier cosa sin consecuencias sobre su identidad, realmente se equivoca grandemente. Obviamente si sabes muy bien lo que estas haciendo, puedes hacer que tu contrincante requiera muchisimos recursos para descubrir quien eres, tanto así, que es posible que tu contricante sea disuadido de perseguirte pues la recompensa de encontrarte eventualmente llegaría a ser menor a los recursos que tendría que gastar en hacerlo. Ésta es la única verdad que se puede asegurar sobre el anonimato y es el único anonimato que alguien jamas podrá asegurar. El anonimato perfecto, al igual que la seguridad perfecta, no existe. Todo es cuestión de cuantos recursos me va a costar la defensa, el ataque y la recompensa.
Continuando, en el minuto:
7:07 – Tor te da anonimato, te ayuda a ser anonimo en la red.
Aunque es tentador otorgarle un perdon misericordioso a lo que se quiere decir en la anterior frase, lamentablemente, ésto también es impreciso. Es cierto que el protocolo Tor ha sido construido con muchas caracteristicas que buscan conseguir anonimato. Lamentablemente, estas caracteristicas también requieren de ciertas condiciones para que estas caracteristicas provean la funcionalidad esperada. Por ejemplo, supongamos que el grupo de criminales informáticos Lulzsecperu quiere atacar la red del PCM. Para esto pretenden usar Tor porque piensan que, como dice Dedalo, “Tor da anonimato”. Imaginemos (irrealmente, pero sirve para hacer el punto clave del anonimato que realmente provee Tor), que la única persona que usa Tor en el Perú es Dedalo. El PCM fácilmente podría detectar que sus atacantes utilizaron la red Tor. Si la única persona que usa Tor en el Peru fuera Dedalo, de qué le sirvio utilizar Tor? Despues de hacer el perfil criminalístico y otros indicadores (no necesariamente cibernéticos) de los atacantes de la red PCM, como mínimo, la policia militar tendría causa probable para visitar la casa de Dedalo y revisar sus equipos, si Dedalo en realidad hubiera llevado a cabo estos ataques, de que le sirvio utilizar Tor? De absolutamente nada. Aquí viene el punto clave que quiero hacer: El anonimato que te da Tor, no te lo da tanto por su protocolo y su criptografía y demás, si no por el hecho que trata de confundir tu tráfico con el de los demás usuarios, asumiendo que no hay ninguna entidad omnipresente que puede escuchar todo el tráfico de toda la Internet, todo el tiempo. Es por esta razón que muchos “zealot power users” de Tor son tan vehementes en decirte que uses Tor (tienen una agenda oculta, propia), y te afirman y confirman que es super “seguro” (a pesar de que no lo es tanto como hemos visto en el FAQ, y por muchas otras razones, que para explicarlas se necesitarían muchísimos más posts, mucho mas largos). En realidad el verdadero interés de muchos de estos usuarios es simplemente no quedarse siendo los únicos que están usando Tor. Para un miembro de una comunidad pequeña, usar Tor, de hecho, es CONTRAPRODUCENTE, puesto que basicamente le pinta una diana en la espalda. Particularmente, pienso que es sumamente inmoral por parte de estas personas andar engrandeciendo maliciosamente los poderes de anonimato que provee Tor sin advertir sobre sus riesgos simplemente porque tienen sus propios intereses, i.e. el de protegerse ellos mismos a costa de los más desposeidos en términos de conocimiento técnico. A estos tipos no les interesa que te metas en lios porque no te advirtieron que debías usar Tor de forma cuidadosa. Lo más irónico es que ni siquiera la gran mayoría de estos “power users” se ha tomado la molestia de entender en profundidad el protocolo para hablar con propiedad sobre su privacidad o la falta de ella. Lamentable, pero cierto.
8:07 – Está cifrada y no se puede leer.
Este tipo de afirmaciones son temerarias. El riesgo obvio aquí es que si el generador de números aleatorios no es bueno, o si, para llevarlo a nuestros tiempos, alguien ha envenenado la implementación de los algoritmos de generación de números aleatorios, por más cifrada que esté esta información, los responsables de haber hecho este envenenamiento podrán leer esta información sin ningún problema. No viene al caso de lo que quiere ejemplificar con el tema que habló el expositor del primer video, pero es sin embargo, una afirmación al menos imprecisa. Paranoia? Para ejemplo, un botón: http://www.theregister.co.uk/2013/09/05/nsa_gchq_ssl_reports/
9:06 – No todos los exit nodes les van a robar la información, de hecho la mayoría van bien.
Esta es una de las peores afirmaciones que he escuchado en toda mi vida. La peor recomendación que se le puede dar a alguien es: “confia en los exit nodes”. Por el contrario, lo que se debería asumir, es que TODOS los exit nodes son maliciosos, y en consecuencia usar SIEMPRE HTTPS desde tu PC, como lo dice (imprecisamente) Dedalo. La manera correcta de decirlo es que hay que proteger SIEMPRE TODO el tráfico, no solo el HTTP, desde el punto de origen. De hecho, hay que asumir que todo el tráfico que sale por los exit nodes puede ser espiado, pero PEOR AUN, puede ser MODIFICADO. Si leen mi TL de twitter, pueden encontrar al menos un caso de un exit node ruso que estaba modificando binarios de forma transparente al vuelo sin que los usuarios se dieran cuenta. Las consecuencias de un ataque como éste son tarea para Deadalo, ésta es la tarea más facil de todo el post probablemente. Adicionalmente, la afirmación sobre que “la mayoría” de exit nodes "van bien" (no son maliciosos?), en general, no sólo es atrevida, sino que es una de las peores prácticas que se puede asumir. Es mas, aún si no usas Tor, hoy en día, tal como estan las cosas, si no te preocupas cada vez que visitas una página web sin usar TLS, realmente no estas prestando atención a lo que esta pasando alrededor tuyo. Tarea para Dedalo, investigar cuales son los peligros de usar HTTP en lugar de HTTPS, aún cuando no estas usando Tor.
9:41 – Si el señor sabe como decifrar este tráfico, que lo comparta, porque sería una brecha de seguridad en Tor...
Ok, este comentario de verdad es de alguien que no sabe donde está parado. Para comenzar, más arriba yo dí una forma explicita (bien conocida y descrita en todas partes) de cómo descifrar ese tráfico, que no tiene nada que ver con una brecha en Tor, sino con la forma en que se genera el material aleatorio en que esta basada la implementación de los algoritmos criptográficos que usa la red Tor. Así que descifrar ese tráfico, como dice Dedalo, no quiere decir necesariamente una brecha en Tor. En realidad ésto es así en muchas situaciones, las vulnerabilidades vienen de componentes secundarios y no del componente principal que usualmente recibe el mayor escrutinio y evaluación. Pero adicionalmente! Y mucho más importante, si alguien sabe de una forma de vulnerar catastróficamente la red Tor que no sea bien conocida y bien documentada, en realidad crees que le puedes pedir a alguien “que lo diga”? LOL. O sea, en serio, quien en su sano jucio haría algo así? De repente hace 15 años que viviamos en una utopia naciente de donde existía el “full disclosure”, todavía, lo encontraría más razonable. Hoy en día la gente hace millones y millones de dolares en un mercado de vulnerabilidades que se mueve entre compradores con mayor y menor ética. Los que no se acoplan a esta realidad, son castigados con distintos grados de severidad! Con sus
honorables excepciones, la gran mayoría de vulnerabilidades que se “dicen publicamente” son las de menor sofisticación y de menor importancia. Las que son más sofisticadas solamente se publican una vez que los grandes compradores de vulnerabilidades las han aprovechado al máximo y ya no se pueden abusar más. Compran, venden, re-venden, con esos programas de intermediación, y finalmente, alimentan al populacho con el desecho que no sirve para casi nada más. En consecuencia, a menos que la solicitud haya sido netamente retórica, particularmente, la encuentro de muy mal gusto, por su increible ingeniudad, casi criminal. Sólo voy a mencionar un caso que ejemplifica lo que digo: Jack Barnaby. Tarea: Buscar lo que paso, lo que se dijo, y lo que no se dijo de este caso.
Y bueno, con ésto cierro este largo post, despues de una larga ausencia en la escritura de este blog, con unos comentarios parecidos a los de Dedalo:
Mi intención no es decir que Dedalo no sabe, o que es malo. Sin embargo, hay muchas imprecisiones en su video que, a petición suya, me solicitaron que corrigiera y que le pueden servir de mucho para seguir avanzando en su conocimiento. Adicionalmente, no importa cuanto te corrijan, o cuanto pidas que te corrijan, la mejor forma de aprender es profundizando, tu mismo, cada vez más en los temas que te interesan, para vencer la mediocridad y la ignorancia que tanto daño le hacen a nuestra comunidad. Honestamente, tenemos ya demasiados charlatanes, la tarea es convertirlos en gente que pueda comunicar conceptos de forma precisa y correcta para hacer un mundo mejor. Eso nada más.