(In)Seguridad

abr 172008

Securitas Direct te da los datos del cliente que quieras

Con ánimo de buscar las grandísimas deficiencias de seguridad en cuanto a protección de datos que tienen muchas empresas en este país, he hecho una prueba esta mañana.

Tras lo que le pasó a un amigo, en donde vimos que Securitas Direct, daba los datos de nombre y apellidos, y dirección, con sólo llamar por teléfono para realizar alguna consulta o queja, he querido ir un poco más allá esta mañana.

Invito a hacer la prueba a cualquiera. Llamas por teléfono a Securitas Direct al 902 121 122. Dices que tienes todavía "un problema técnico que no te resuelven". Inmediatamente después te preguntan por tu "número de cliente".

Estos números suelen ser de 6 cifras, y para asegurar más "la tirada", mejor que empiecen por 58xxxx (que es una tanda que tiene seguro ocupada de clientes).

Tras decir CUALQUIER NUMERO de cliente te comunican el nombre y apellido a lo que tu dices "ajá" o "si", y luego te dicen "en la dirección xxxxx, ¿verdad?"… Y tu, "si, si, ahí".

Bueno, yo he probado 3 números distintos de clientes y he conseguido nombre, apellidos y dirección completa de esos clientes, incluso uno de ellos estaba a nombre de una mujer y se ha quedado la chica extrañada con mi voz, pero ¡ha colado!

Bochornoso, denigrante y por supuesto denunciable.

Nunca me haría cliente de una empresa que trata así a sus clientes, más aún cuando se dedican a la seguridad.

feb 282008

¿Cuánto cuesta una página Web?

Ayer me preguntaron eso… de nuevo, y yo siempre contesto con otra pregunta: ¿cuánto vale un coche?. Cuando me responden que "depende", digo que lo mismo para las páginas. Bueno, pero habrá una media de coste, ¿no?. En los coches podríamos decir que la media donde se engloban el 90% de los coches es entre 15.000 y 30.000 euros, pero con las páginas Web no se puede decir algo parecido.

Existe un grandísimo abanico de empresas y particulares que realizan páginas web por precios desorbitados, tanto por mucho como por poco. He visto proyectos que sinceramente no sobrepasarían los 5.000 euros, alcanzar cifras de hasta 30.000 euros, y (recientemente además) he visto un cartel en una farola de Madrid que nos invita a realizar una página por incluso 50 euros.

El mundo del desarrollo de páginas web se ha desmoronado. Muchísima gente tras un uso doméstico del (ya desaparecido afortunadamente) FrontPage, o del Dreamweaver, inundan de carteles las ciudades, las universidades y demás. Y por el otro lado, empresas que se lo tienen muy "creído" no te abren la puerta si no te gastas al menos 60.000 euros con ellos en una simple página con administración de contenidos.

Dejando a un lado estas empresas caras (que lo "caro" siempre tiene que estar en todos los productos), el problema reside en aquellas personas que por 50, 100, 300 euros te hacen una página, y que además contiene programación, bases de datos, etc. Hace poco un amigo me contó un ejemplo de una programación que vio realizada por "un equipo experto de programadores" que dejaban un agujero de seguridad tal que se podía coger la base de datos enterita por su página Web (SQL Injection).

El problema es que mucha gente que ha pasado por estas personas, cuando van a empresas normales, desarrolladores de precio medio y buenos, y comentas que una página cuesta (por ejemplo) 5.000 euros, se llevan las manos a la cabeza porque ellos han oído o visto sitios donde lo hacen por 400.

¿Todo el mundo sabe hacer una página web? Una web no es ordenar y maquetar contenidos como hacemos en un Microsoft Word o en un Frontpage, una página Web tiene un sinfín de características que hay que tener en cuenta, como la carga de los contenidos. ¿Quien no ha visto páginas en donde se meten fotografías de 1 mega ajustando su anchura a 100 pixeles como si fuera un icono? Se les ve cargar lentamente. También es importantísima la usabilidad, una página que no cumpla unos requisitos de usabilidad básicos, por más que tenga una programación impresionante por dentro, no servirá de nada. El usuario tiene que encontrarse cómodo. Recomiendo un libro impresionante del tema: "No me hagas pensar".

En fin, existen muchísimas cosas que se van aprendiendo con los años, que ahora no voy a listar aquí, pues se podría escribir varios libros sobre ello (y ya hay cientos en el mercado). El tema que me preocupaba era el del cartel que vi en Madrid y que, de alguna forma, degrada la profesión de desarrollador de páginas Web.

Supongo que se sentirán de la misma forma los profesionales de la cirugía estética, cuando se enteran de consultas "médicos" que ejercen ilegalmente y que hacen liposucciones por la cuarta parte del precio estandar.

Seguiremos intentando tener un hueco…

feb 202008 Tagged with , , ,

Securitas Direct y la protección de datos

La verdad es que me estoy sorprendiendo últimamente de los casos que yo mismo me voy encontrando y los que me voy enterando por ahí. Hace muy poco comenté un problema de protección de datos con Yoigo, y en los propios comentarios comenta otra persona que en Orange, con sólo dar un número de móvil, puedes saber el nombre y apellido de la persona que tiene ese móvil si es de contrato.

Hoy, en casa de un amigo, me he encontrado otro ejemplo que traslado aquí, a mi blog, para saber si algún abogado o alguien que conozca el tema de la protección de datos, puede revelarme (revelarnos) si es normal esta actuación.

Resulta que llamo al servicio de Securitas Direct y comento que existe una incidencia técnica, y de repente me dicen si soy "tal persona" y vivo en "calle bla bla bla número tal", sin yo decir nada de nada. Claro, ven el teléfono desde donde se llama, eso les aparecerá en los ordenadores y para verificar los datos de la persona en lugar de preguntarlos y verificarlos con los datos que tienen delante, te los dicen directamente y tu sólo tienes que decir "si, soy yo" y "si, es la dirección".

Estoy absolutamente asombrado con este hecho, porque la llamada se realizaba desde un móvil, ya que es el número de móvil el que está en la ficha de cliente de mi amigo en Securitas Direct. Ahora bien, pongamos el caso, que te roban el móvil en un bar, y llaman a Securitas y al ladrón le dicen donde vive y el nombre de la persona de este móvil (obviamente si está dado de alta como cliente). Todo esto antes de decir la palabra clave que existe entre Securitas y el cliente, que es la que ya confirma definitivamente la identidad y te permite realizar operaciones, con lo que simplemente llamando desde un número de teléfono dado de alta con Securitas, puedes saber el nombre, apellido y la dirección.

¿Es esto legal? ¿Alguien conoce algún caso similar y si se puede denunciar? Porque mi amigo está bastante decepcionado, y creo que yo también lo estaría. ¿Es serio esto?

, , ,
feb 142008 Tagged with , ,

Protección de datos en Yoigo NULA

Estoy cansado de explicar a la gente lo delicado de que te entren en un ordenador, por la cantidad de información que existe en él sin que nos demos cuenta, y sobre todo porque en este mundo en el que vivimos ahora, (y como demostraba muy bien la película "La Red" de Sandra Bullock) toda nuestra vida está metida en ordenadores.

Con un poco de ingeniería social, como hacía muy bien Eddie Murphy en las películas de Superdetective en Hollywood, y con lo pasotas que son los servicios de atención al cliente en cuanto a la seguridad y protección de datos de sus clientes, se pueden conseguir muchísimas cosas de alguien.

El último caso que me he encontrado es que en Yoigo, llamando al 622 de atención al cliente, con decir un número de teléfono de Yoigo te dicen el nombre y apellidos de esa persona. La primera llamada que hice, que era para solventar un problema que tengo con ellos, dije mi número de teléfono de Yoigo y luego mi nombre, a lo que me confirmaron mi apellido. No le dí mucha importancia hasta que colgué y me percaté de que mi apellido había sido facilitado con demasiada facilidad.

Pensando que podía haber sido un despiste (que aun así, vaya despiste), llamé de nuevo hasta 3 veces y en 2 de ellas, sin decir ni siquiera mi nombre, me dijeron mi "nombre y apellidos" con sólo decir mi móvil. Increible.

Para los que esteis pensando que no es una violación de la protección de datos porque al llamar desde tu propio móvil las operadores deducen que eres tú, deciros que la llamada la hacía desde otro móvil que no es de Yoigo, sino de Vodafone, con lo que no existía ninguna vinculación entre el número que llama y el número de Yoigo del que solicitas cualquier acción.

Con Yoigo saber el apellido, con Vodafone (hace tiempo) conocer el nombre de la entidad bancaria de un número de contrato, en Endesa (la semana pasada) ¡¡ el DNI !!… en fin… estoy por hacer un blog con lo que "se puede conseguir" de cada operadora con una buena conversación telefónica y sabiendo manejar a la operadora.

Tendrían que tener más cuidado las empresas que tienen nuestros datos, en facilitar datos así…

, ,
feb 132008 Tagged with , ,

Triste aprovechamiento de una licencia CC

Ricardo Cárdenes, Francisco A. Valero, Isod, Rogue Two, José Calvar, Remo, Irene, Luis Vicente, M. Guijarro, Gerard, Gerardo Blanco, Alejandro Pardo, Rainer Parrales, Roberto Alday, Antonio Pijuan, Alejandro Nicolás Llor, Rafael Becerra, Angel González, … y así hasta 74 personas han colaborado altruistamente en un proyecto llamado Observatorio.

Tras obtener el permiso de la NASA nos pusimos a la obra traduciendo las más de 4500 imagenes de los últimos 13 años y se continúa cada día traduciendo de manera altruista los textos que pone la NASA a cada una de las fotos que muestra en su admirable y popular APOD.

Ya no por mí, sino como digo, por las 74 personas que hay detrás de esto y que ponen su esfuerzo, fastidia ver que, con una licencia CC que tiene la página para poder copiar los textos y divulgarlos por la red (además de que existe una forma de sindicación de contenidos por RSS y por Javascript), todavía hay gente que se aprovecha de un trabajo puramente divulgativo.

Me refiero a Rogelio Bernal y su página http://fadd.corank.com, que ha copiado íntegramente todos los textos de Observatorio, realizados por un grupo de voluntarios, y cada día sigue copiando automáticamente manualmente, y no pone ninguna referencia a la web original en la explicación de su sitio web. La única referencia que pone es el nombre del traductor debajo de cada texto, pero no es directa, sino que pasa por sus servidores, supongo que para contabilizar la visitas que envía.

Esta vulnerando varios puntos de la licencia CC que todos los traductores escogimos para este proyecto, extendiendo así la que suele utilizar NASA para sus contenidos, y cuya licencia estuvo de acuerdo Robert y Jerry, fundadores del servicio original de la NASA (APOD).

No estamos hablando de videos de Youtube, ni imagenes graciosas ni el típico chiste, sino de contenidos divulgativo-científicos, que se traducen cada día sin cobrar nada, en una web que no tienen ningún medio publicitario, aún con la alta tasa de transferencia de datos que tiene, y que ha sido totalmente fusilada bajo otro nombre.

Es simplemente una lástima y es tal la impotencia que, un abogado experto en estos casos, me aconsejó que lo denunciara en mi propio blog, para que al menos quede constancia del tema. He de decir que, antes Rogelio Bernal ponía dos referencias a Observatorio en su texto de "sobre la web", pero después de hablar conmigo e intentar (para colmo) unir ambos proyectos, y tras varios emails intercambiados que no han llevado al final a ninguna parte, ha quitado todas las referencias pero sigue aprovechándose de los contenidos que generan, como digo y repito, varias personas desinteresadas pero que aman la astronomía, la ciencia y la divulgación. Quería esperar unos días a ver si cambiaba de opinión pero lleva así la cosa casi un mes.

Lo más gracioso de la historia es que se me propuso unir ambos proyectos. Vamos, como si yo copio entero el 20minutos.es (que tiene licencia CC) y luego le digo a los del periódico que quiero unir mi sitio y el suyo. A mi me dan igual las visitas que reciba esto porque lo hacemos porque nos gusta hacerlo, sin ánimo de lucro y sin banners de Adsense (como si que pueda tener este blog), y se puede seguir copiando como mucha gente ha hecho. Lo triste, es que algunos, toman con demasiada desfachatez la licencia CC.

Peor incluso es que FADD no está siguiendo tampoco los créditos que exige la NASA por las fotos, y sólo los enlaza, cuando todos los sitios que colaboramos con NASA traduciendo o realizando copias por el mundo, ponemos bien claro los créditos en el pie de todas las páginas.

Actualización: Gracias a Meneame por la presión que ha ejercido en este caso. Después de 3 meses de emails y que era imposible convencer y llegar a alguna parte con Rogelio (que incluso me citó a escribirme con su abogado para convencerme de unir proyectos y de que no estaba haciendo nada malo), al menos ya ha cambiado la página y cita como dios manda el lugar de donde coge el 100% de los contenidos de una página, que sigue diciendo que es creación suya. Bueno, al menos ahora cumple con la licencia… ¿Hará lo mismo con el resto de proyectos que tiene que son copia de otros? jejeje

, ,
1 8 9 10 11 12 22