Así funciona el spam masivo por celulares

sms-spam1_640_large_verge_medium_landscape

Una de las situaciones que más irritan al Cazafantasmas es recibir decenas de SMSs con spam durante el transcurso del mes, en algunas ocasiones a horas totalmente inapropiadas. Es difícil escapar de esta clase de spam debido a que no contamos todavía con filtros anti-spam tan avanzados como en nuestros ordenadores. Pero ¿qué podemos hacer para mitigar este mal en nuestros teléfonos?.

Las compañías de Telecomunicaciones ofrecen servicios para realizar el envío masivo de SMS que se desee, ofreciendo tarifas diferenciadas según la cantidad de mensajes que se envían. Por ejemplo, un abono mensual de $45 dólares que permite enviar 500 mensajes, por $90 unos 1500 mensajes, por $225 unos 4000 y por $470 unos 10.000 mensajes. Estos paquetes no son ilegales ni nada por el estilo, ya que en últimas depende del uso que se le de. Es aquí cuando entran en juego las listas de teléfonos.

Enviar de forma masiva mensajes de texto a números móviles promocionando productos cuando el titular de la cuenta decidió registrarse no tiene ningún problema, basta con darse de baja del servicio en caso de que se vuelva “cansino”. Este escenario está lejos de la realidad. En su gran mayoría, las compañías adquieren bases de números de manera ilegal, de forma sorprendentemente accesible. La mayoría de las bases surgen desde las mismas operadoras, a partir de las acciones de operarios inescrupulosos que venden estas bases de datos en el mercado negro.

Para obtener una base de cerca de un millón de celulares se debe desembolsar una cifra cercana a los $185 dólares, mientras que por ejemplo, por obtener un padrón actualizado de la última elección se deben pagar entre $2.000 y $4.000.

Anuncios

La delicada línea entre mailing y spam

5249006-close-up-of-an-interface-computer-delete-and-junk-mail-buttons-and-an-arrow-cursor

No en pocas ocasiones he recibido molesto correo electrónico de una empresa que establece un NewsLetter de envíos masivos con sus últimas novedades, llenando mi bandeja (al menos visualmente) con inconvenientes avisos acerca de sus últimos descuentos. Muchos directores de marketing digital no pueden (o saben) discernir entre el concepto de marketing por medio de mailing y el spam.

Todo esto empeora cuando ni siquiera me he abonado a la lista de correo de la empresa en cuestión, lo cual delata a la empresa como compradora de paquetes de listas de correo sin verificar.

Es por eso que lo más recomendable es crear un listado de contactos propio que incluya datos de personas que sean o puedan ser potenciales clientes. ¿Cómo? Se trata de un proceso que lleva su tiempo pero que es fácil de ejecutar. Y es que una vez sentadas las bases, sólo hay que esperar a que la base de datos vaya creciendo cada día un poco más.

Comprar una base de datos de correos no implica que el listado de direcciones electrónicas esté optimizado. Por norma general, esos correos han circulado demasiado por Internet por lo que los filtros anti-spam, que tontos no son, ya identifican los envíos a estos correos como spam. He ahí la clave de todo: la calidad debe estar siempre por encima de la cantidad.

Lo primero es incluir un formulario de inscripción en la web o blog corporativo de la empresa para que los interesados puedan dar su conformidad a la hora de recibir los correos. De esta forma, actuaremos del lado de la ley consiguiendo una base de datos opt-in, es decir, que cuenta con la aprobación previa de los inscritos.

También debemos comprobar que recolectamos bien las direcciones de nuestros clientes existentes para que nuestro mailing llegue a buen puerto. La regla del soft opt-in nos permite enviar mail masivo si tenemos relación contractual con nuestros destinatarios.

También es recomendable que el formulario de inscripción incluya más datos de interés, además de la dirección de correo electrónico, para segmentar las siguientes campañas. Si tenemos, por ejemplo, la ciudad en la que viven nuestros contactos, podemos enviar una oferta exclusiva para los que viven en esa ciudad.

Por último: haz de tu correo algo interesante. No importa cuántas veces reciba correo de Playstation, sus correos son tan interesantes que jamás podría catalogarlos como spam. Por ejemplo, este Optimus Prime escondido cuando las imagenes están bloqueadas por defecto:

ku-xlarge

La historia de Kevin Mitnick

Mitnick_Color2

Este Cazafantasmas tuvo la oportunidad de conocer al famoso Kevin Mitnick durante su visita a Colombia en el marco del Campus Party edición 2009. En se entonces, Mitnick impartió una conferencia acerca de seguridad informática, enfocándose particularmente en los novedosos (por ese entonces)  Smart Phones y cómo estos se convertirían en uno de los principales blancos de los piratas informáticos del futuro. Para demostrarlo, hackeó “en vivo” un teléfono motorola perteneciente a un asistente del evento a través del enlace Bluetooth abierto que el usuario había dejado abierto por error, revelando así sus archivos personales. Realmente inspirador, desde un punto de vista tecnológico.

¿Quién es Mitnick? Kevin David Mitnick es el padre de todos los hackers, o eso parece de acuerdo a la cultura popular. El “pirata informático más famoso del mundo”, según el Libro Guinness de los Records. También es el hacker más escurridizo, ya que ha estado huyendo, en prisión o en tratamiento por “adicción al ordenador” desde que tenía 17 años. Y, según el FBI, es el más peligroso. Mitnick ha sido el único criminal informático que ha figurado en un cartel de “Se busca” de los 10 hombres más peligrosos según el FBI , y pasó ocho meses en una celda de aislamiento porque las autoridades creían que podía arruinar electrónicamente la vida de cualquier persona con la que hablara con sólo conocer un par de datos sobre ella.

Más que un hacker, Mitnick es un ingeniero social: conoce las debilidades inherentes del ser humano y las usa a su favor. Se basta en los siguientes principios:

  • Todos queremos ayudar.
  • El primer movimiento es siempre de confianza hacia el otro.
  • No nos gusta decir No.
  • A todos nos gusta que nos alaben.

Con estos simples principios, Mitnick relató en el 2009 en Bogotá,  el modo a través del cual pudo acceder fácilmente al código de un teléfono móvil en desarrollo, incluso antes de su anuncio en el mercado, con sólo seis llamadas telefónicas y en unos escasos minutos.

La carrera de Kevin Mitnick comenzó a los 16 años, cuando obsesionado por las redes de ordenadores rompió la seguridad del sistema administrativo de su colegio, pero no para alterar sus notas; lo hizo “solo para mirar”. Su bautismo como infractor de la ley fue en 1981. Junto a dos amigos, entró físicamente a las oficinas de COSMOS, de Pacific Bell. COSMOS (Computer System for Mainframe Operations) era una base de datos utilizada por la mayor parte de las compañías telefónicas norteamericanas para controlar el registro de llamadas. Una vez dentro de las oficinas obtuvieron la lista de claves de seguridad, la combinación de las puertas de acceso de varias sucursales y manuales del sistema COSMOS. La información robada tenía un valor equivalente a los 200.000 dólares. En 1987, luego de tratar de poner su vida en orden, cayó ante la tentación y fue acusado, en Santa Cruz California, de invadir el sistema de la compañía Microcorp Systems. Lo sentenciaron a tres años de libertad condicional y tras la sentencia su expediente desapareció de la computadora de la policía local.

Posteriormente buscó trabajo en lo que mejor sabía hacer y solicitó empleo en el Security Pacific Bank como encargado de la seguridad de la red del banco. El banco lo rechazó por sus antecedentes penales y Mitnick falsificó un balance general del banco donde se mostraban pérdidas por 400 millones de dólares y trató de enviarlo por la red (like a boss). Ese mismo año inició el escándalo que lo lanzó a la fama. Durante meses observó secretamente el correo electrónico de los miembros del departamento de seguridad de MCI Communications y Digital Equipment Corporation para conocer cómo estaban protegidas las computadoras y el sistema telefónico de ambas compañías; luego de recoger suficiente información se apoderó de 16 códigos de seguridad de MCI y, junto a un amigo, Lenny DiCicco, entraron a la red del laboratorio de investigaciones de Digital Corporation, conocida como Easynet. Ambos crackers querían obtener una copia del prototipo del nuevo sistema operativo de seguridad de Digital, llamado VMS. El personal de seguridad de Digital se dio cuenta inmediatamente del ataque y dieron aviso al FBI, y comenzaron a rastrear a los crackers. Mitnick fue arrestado en 1988 por invadir el sistema de Digital Equipment. La empresa acusó a Mitnick y a DiCicco ante un juez federal de causarles daños por 4 millones de dólares en el robo de su sistema operativo. Fue declarado culpable de un cargo de fraude en computadoras y de uno por posesión ilegal de códigos de acceso de larga distancia.

Adicional a la sentencia, el fiscal obtuvo una orden de la Corte que prohibía a Mitnick el uso del teléfono en la prisión alegando que el prisionero podría obtener acceso a las computadoras a través de cualquier teléfono. A petición de Mitnick, el juez lo autorizó a llamar únicamente a su abogado, a su esposa, a su madre y a su abuela, y solo bajo supervisión de un oficial de la prisión.

Hoy en día, todo esto forma parte de su pasado, ya que se dedica a ser consultor de seguridad, con muy buenos resultados. Es la clásica historia del hacker reformado, quien utiliza sus conocimiento para hacer el bien, y sacar unos cuantos miles de dólares en el proceso.

5678862485_b7f8101677_o

Glosario: La ley Hadopi

nohadopi

Oh, la infame ley Hadopi, también llamada Ley Creación e Internet, o Ley promotora de la difusión y la protección de la creación en Internet. Para este servidor, un escalón más en la escalera del control estatal Orwelliano en Internet, recientemente constatado con el escándalo de la NSA y su recaudo “legal” de datos. Esta ley pretendía ejecutar la colosal labor de  regular y controlar Internet para perseguir las infracciones de copyright, es decir, aplicarte el peso de la ley cuando te bajabas el último álbum de Daft Punk.

Cuando la ley entró en acción (22 de septiembre de 2010) los titulares de derechos de autor comenzaron a registrar y enviar decenas de miles de direcciones IP a los proveedores de Internet (ISP), correspondientes a los presuntos infractores de dicha ley. Los ISP debían identificar los nombres, direcciones, correo electrónico y número de teléfono asociados a cada IP. Aquellos proveedores que no entregaran la información de los infractores en un plazo máximo de 8 días, arriesgaban a tener que pagar multas que rondaban los 1.500 euros diarios por cada IP sin identificar.

La Ley Hadopi estableció que los usuarios podían recibir hasta tres avisos de sus ISP cuando fueran descubiertos descargando material protegido desde Internet, posteriormente si volvían a reincidir el ISP debía informar a un juez, quien revisaba el caso y procedía a dictar sanciones que iban desde el pago de una multa hasta solicitar la desconexión de Internet del usuario infractor.

Con la finalidad de “cazar” a los usuarios infractores la industria del entretenimiento galo contrató los servicios de la compañía Trident Media Guard, reconocida mundialmente por utilizar algunos métodos poco ortodoxos para evitar la descarga de material protegido por derechos de autor. Entre estos métodos se cuenta el inundar las redes de intercambio de archivos con archivos falsos o fake, efectuando así un ataque de troyanos rastreadores (no destructivos) a gran escala.

Evidentemente, esta ley es todo un despropósito, fruto de la administración de la brillante mente de Sarkozy:

funny-gif-Sarkozy-French-speechEl cazafantasmas no condona el trolling

Pero no hay mal que dure mil años: recientemente, esta ley fue derogada, en un claro triunfo para la libertad en la red. ¿Las razones? la ley es inútil, esencialmente. El nuevo gobierno francés de François Hollande ha decidido suspender las sanciones más importantes que incluía la ley HADOPI, entre las que destacaba la suspensión del servicio de Internet. Además, las multas económicas se rebajarán a una cantidad fija mucho menor, en torno a los 60 euros.

 

Movistar Colombia y los SMS públicos: fallo de seguridad

Un fallo de seguridad que te permitía ver todos los SMS enviados desde una aplicación gratuita en el sitio de Movistar, con logs detallados de horario y número de destino, logs que además estuvieron expuestos más de un año. Sólo en Colombia.

4 Estos archivos contienen miles de mensajes de texto (algunos bastante explícitos) con datos detallados del destinatario.

Recuerdo que la primera persona a la que vi hablando acerca de esto fue a @ocioweb hace ya casi cinco meses. Inicialmente no presté mucha atención, hasta el fin de semana pasado cuando volvió a traer atención sobre el tema, específicamente señalando que era inconcebible que el bug no hubiera sido arreglado después de tantos meses.

Screen Shot 2013-06-06 at 2.17.09 PMLa aplicación “culpable” del bug

Lo realmente escandaloso del asunto es la facilidad con la cual se podía acceder a estos logs: acceder al directorio principal del sitio mediante una revisión nivel kindergardent al código fuente de esta página. Me explota la cabeza, además, al pensar que todos estos archivos eran públicos:

31-700x300Hacking nivel: preescolar

¿Cómo una empresa tan grande pudo permitir esta clase de falencia? la respuesta es Colombia. De cualquier modo, los SMS recuperados fueron material de comedia durante todo el fin de semana, constatando una vez más que en Colombia la infidelidad es trending topic todos los días, así como la mediocridad en seguridad digital. El fallo ya fue solucionado, demasiado tarde:

Screen Shot 2013-06-06 at 3.02.57 PM

Imagenes vía WebSecurity.

Recordando: el caso de hackeo a The Onion

The Onion es el equivalente de Agencia Pinocho a nivel mundial: una fuente de noticias ficticias exponencialmente absurdas, que en algunos casos los más ingenuos toman como verdaderas. Por eso, cuando fueron hackeados inicialmente el pasado 9 de mayo, se pensó en un primer momento que se trataba de una gran broma…pero no fue así.

TheOnionhack

En vista de hackeos tan recientes, muchos descartaron que se tratara de un hack real cuando The Onion empezó a postear imágenes como la de arriba. Sorpresivamente y en lo que parece un caso de meta-trolling, sí fue real: el Syrian Electronic Army atacó de nuevo, no contentos con haberse cargado la cuenta de la AP tan sólo unos días antes. Con casi cinco millones de seguidores en Twitter, y la posibilidad de generar una elevada viralidad mediante el uso del humor, esta cuenta se perfilaba como gran candidata a víctima del próximo hackeo de alto nivel.

¿Lo realmente curioso de la noticia? el enfoque que  The Onion decidió brindarle a la situación. Mientras la AP suspendió su cuenta, The Onion hizo públicos todos los pormenores del acceso fraudulento. En primer lugar, el método fue el mismo de la hackeada a la AP, Pishing con un correo así:

phish1

A pesar de lo mal redactado, algunos usuarios siguieron el enlace, el cual redirigia a una ventana de login en gmail en la cual un usuario efectivamente puso sus credenciales. Una vez adquiridos estos datos, utilizaron la cuenta de este usuario para reenviar el correo de pishing una vez más desde allí. Dos miembros del staff ingresaron sus contraseñas, y uno de ellos contaba con acceso a todas las cuentas de Social Media. De allí en adelante, efecto dominó.

Con dos simples correos electrónicos, los hackers lograron hacerse con una de las cuentas más populares de Twitter. Y no es por alarmar, pero podría sucederle a usted. No está de más recordar: la educación en seguridad informática es fundamental en toda organización contemporánea, o en otras palabras, hay que leer.

El hackeo a la AP: pishing y malas prácticas

Hace poco les contábamos acerca del hack que sufrió la cuenta oficial de la AP. Más allá de sus efectos y connotaciones sociales y políticas, quedamos pendientes en explicar cómo fue la hackeada en sí.

Este ataque puso en entredicho una vez más la ya dudosa reputación de Twitter en materia de seguridad. Los constantes ataques exitosos a cuentas de alto perfil no se detienen, y de hecho parecen más frecuentes últimamente, sin que Twitter haga algo al respecto, o eso parece. Sin embargo, en este caso en específico, puede que la culpa recaiga sobre un empleado de la AP, ya que el ataque se hizo a través de la modalidad de pishing.

El Phishing es un delito que se comete mediante el uso de ingeniería social. El estafador, conocido como phisher, se hace pasar por una persona o empresa de confianza en una aparente comunicación oficial electrónica, por lo común un correo electrónico, o algún sistema de mensajería instantánea o incluso utilizando también llamadas telefónicas. De este modo genera confianza en la víctima y facilita el acceso a su cuenta, en este caso la de Twitter:

TwitterPhishing21

Ejemplo clásico de pishing. Especial atención al URL fraudulento.

A partir de este punto, la víctima ingresa sus credenciales, las cuales son recibidas por el pisher. Para una compañía de la magnitud de Twitter, controlar esta clase de situaciones está más allá de su alcance, y en un mundo ideal en lugar de culpar a Twitter se culparía la *cof cof* ineptitud *cof cof* del personaje que hizo click en el enlace y además se loggeó en esta página falsa, y también a la organización que proclamó la autoría de este crimen, el SEA (siglas del Syrian Electronic Army) quienes se encuentran detrás de  otras falsas noticias como la dudosa sexualidad de la sensación pop del momento.

¿Qué puede hacer Twitter entonces? actualmente basan su verificación de cuentas en el protocolo OAuth para móviles y web, además de un cifrado SSL standard, protocolos perfectamente funcionales y seguros siempre y cuando tus usuarios no sean completamente incompetentes. La idea es implementar un sistema de confirmación de 2 pasos.

Google y Microsoft ya han implementado este sistema, que envía un mensaje de texto al teléfono móvil de los usuarios con una clave que permite confirmar su conexión en caso de que accedan a sus cuentas desde equipos o direcciones IP desconocidas. Facebook también cuenta con un servicio similar, pero que funciona solamente por medio de un mail que es enviado a los usuarios.

Sin embargo, todo esto seguirá siendo inútil si los usuarios no se educan en buenas prácticas de seguridad. Usar el sentido común (tristemente escaso) es el primer y mejor protocolo de seguridad.