jueves, 15 de julio de 2010

Suplantación en correos

Desde hace unas semanas estoy sufriendo una suplantación de personalidad, donde unos execrables individuos están cometiendo delitos por email en mi nombre:

http://rafinguer.blogspot.com/2010/07/correo-yahoo-y-la-suplantacion.html
http://rafinguer.blogspot.com/2010/07/peligro-con-el-webmail-de-yahoo.html

Me he puesto en contacto con Yahoo en dos ocasiones. En la primera hicieron caso omiso, pero en la segunda, con una amenaza de denuncia, han respondido a mi petición, basándose en plantillas ya hechas para estos casos. La primera respuesta me comentan que debo cambiar mi contraseña, utilizar un buen antivirus (recomendándome Symantec (publicidad de un socio?), y que les mande los correos de la discordia. Les respondí que llevo 30 años como informático, y que no les molestaría con estas minucias, por lo que ya he cambiado tres veces de contraseña, así como también llevo desde el inicio de los PC's (con MS-DOS) utilizando antivirus. Les remití las cabeceras de los correos delictivos, e indicándoles que el origen de éstos provienen de un pueblo de Rusia (Rastov) y de Nueva York (para que vean que me tomado las molestias de rastrear dichos correos).

La respuesta de Yahoo! es la siguiente:

Gracias por escribir al servicio de atención al cliente de Yahoo!
España.

Después de investigar dicho caso podemos afirmar que el correo no fue
enviado a través de los servidores de Yahoo!. Todo parece indicar que el
remitente ha falsificado la información contenida en el encabezado de
dicho mensaje para dar la impresión de que ha sido enviado desde tu
propia cuenta de correo.

Nos tomamos muy en serio este tipo de acciones relacionadas con nuestro
Correo Yahoo!. Desafortunadamente, no podemos controlar aquellos
mensajes enviados a través de otros servidores de correo y no nos es
posible prevenir el mal uso de el nombre de Yahoo! en aquellos
encabezados de correo que hayan sido falsificados.

Yahoo! no puede técnicamente prevenir la falsificación del dominio en el
encabezado de un mensaje de correo electrónico, no obstante hemos tomado
acciones contra empresas para prevenir el mal uso de nuestra marca
Yahoo! y reclamar los daños y perjuicios correspondientes. Los
individuos están muy desanimados de falsificar el Dominio de Yahoo! en
el futuro y se tomarán las medidas apropiadas cuando sea necesario.


No quiero desconfiar de la voluntad de Yahoo! en su empeño por erradicar a esta lacra, pero me planteo algunas cuestiones:

1) ¿Cómo es posible falsificar un dominio? Bajo mis pocos conocimientos de red, un dominio está asociado a un conjunto de direcciones IP, y éstas son únicas. Con un WhoIs es posible averiguarlo. Asimismo, los servidores DNS también asocian a los dominios correspondientes. Entiendo que esta asociación es única, y realizada por servidores homologados, certificados o como quieran calificarse. Cuando cualquier usuario se refiere a un dominio, se consulta estos servidores para redireccionar correctamente la petición (navegación Web, correo, etc.). ¿Cómo se puede entonces utilizar un medio (un servidor o lo que sea) no oficial?
2) Con todo lo que llevamos rodado en Internet (varias décadas), no entiendo que en materia de seguridad sea posible falsificar un dominio, y más con un servicio tan utilizado, tan crítico, tan sensible, tan peligroso, como el correo electrónico. ¿Acaso los servidores por donde pasan todas las comunicaciones (incluyendo los correos) no detectan si un email de un dominio determinado es falso, y de esta manera bloquear, avisar, cortar o poner en cuarentena dicho email?
3) La primera medida que me pide Yahoo! es que cambie mi contraseña. Aunque parezca sensato, uno tiene que desconfiar. ¿Para qué cambiar mi contraseña? Se supone que sólo la conozco yo. No se la he dicho a nadie, ni la tengo apuntada en un post-it encima del monitor. Luego recuerdas que en las elecciones de EEUU, una persona consiguió la contraseña de la cuenta de correo de la opositora a las elecciones, y pudo leer todos sus correos y publicarlo en medios digitales y de prensa. Fue tan sencillo como conocer su cuenta de correo y dar a la opción "olvidé la contraseña", e indicando otra cuenta de correo alternativa donde enviar la contraseña. Independientemente de este sistema, no me extrañaría que pudieran obtenerla por otros medios más rebuscados.
4) La segunda medida es la utilizar un antivirus. ¿Por qué un antivirus? La respuesta está en los troyanos y spywares, unos programas que pueden instalarse sin que te des cuenta, y que pueden obtener datos tuyos sin que te des cuenta: qué páginas visitas, preferencias, etc, incluso podrían saber tu cuenta de usuario del sistema operativo o de tu correo electrónico. Yo utilizo un buen antivirus (Avast, aunque anteriormente he utilizado AntiVir y AVG) y un buen antispyware (SpyBot), pero ello no significa que pueda haber algún "bichito" que no detecte. La mayor parte de estos programas se ejecutan en Windows, por lo que suelo utilizar en casa Linux, para evitar en lo posible este tipo de ataques. Ahora uno se plantea que, a pesar de ello, eres víctima de una u otra manera. ¿No será mejor un sistema operativo basado en un navegador como el que propone Google, aunque sea más limitado?
5) ¿No podrían llevar los correos en su cabecera una especie de firma digital autorizada que pueda ser cotejada con un registro mundial sobre el dueño del dominio? Los lectores de correo y los webmails podrían detectar la autenticidad del dominio y poder filtrar los correos convenientemente.
6) Me pregunto cómo han conseguido mi cuenta de correo electrónico, si no es pública. ¿Acaso la han obtenido de la base de datos de Yahoo!, o de Facebook, o de cualquier otro servicio donde yo estoy dado de alta? Si consiguen mi dirección de correo electrónico (así como la de muchos compañeros y lectores que me han escrito con cuentas en Gmail y Hotmail), ¿dónde está la seguridad y la privacidad que prometen aquellas empresas a las que confiamos nuestra identidad?
7) Independientemente del vacío en materia de seguridad que hay en Internet, los abominables y abyectos individuos que cometen estos delitos, realizan estas acciones para un beneficio fácil y lucrativo, y sabiendo que es relativamente fácil hacerlo suplantando a otra persona, sin un castigo lo suficientemente temido. Y yo me pregunto: ¿las leyes son blandas o existen vacíos legales en este sentido, de tal manera que al no haber castigos ejemplares que disuadan a los que lo intenten (no merece la pena hacerlo, pues si te pillan lo vas a pasar muy mal), proliferen estos parásitos para cometer delitos en nombre de pobres inocentes?
8) ¿Qué información hay a este respecto? ¿Qué podemos hacer las víctimas de estos delitos? ¿Podemos denunciarlo? ¿A dónde vamos a denunciar? ¿Qué garantías hay de que la justicia se tomarán en serio este delito, lo perseguirá y llevará a los tribunales a los culpables? ¿Existe acaso leyes en esta materia? ¿O cuerpos especiales de policía para este tipo de delitos? ¿Estos delitos tienen jurisdicciones territoriales? ¿Es posible castigar a un delincuente ruso o estadounidense por un delito que, aunque se haya iniciado en su país de origen, tenga su repercusión en España o en otro país del mundo?
9) ¿Por qué las compañías de servicios, tales como Yahoo! Google, Hotmail, etc, no informan a sus usuarios de estos peligros? ¿Por imagen? Yo depositaría más confianza en una empresa honesta que, proactivamente, informe de estas prácticas, y que aunque también le afrecta a dicha empresa, puede asesorarme en caso de que se produzcan actos como estos.
10) Hace años, Bill Gates propuso una medida anti-spam nada descabellada, pero de la que hubo un rechazo general, ya que implicaba un coste económico para sus usuarios. Esta medida consistía en cobrar un tasa (muy pequeña) por cada email enviado. Para un usuario normal, cada correo enviado podría costar un centavo de dólar, pero para un spammer, el coste sería muy elevado y lo retractaría de cometer tal delito, o por lo menos que el mismo fuera diezmado y no tuviera las dimensiones actuales. A mi no me importaría pagar un euro por cada 100 emails que yo envíe, si con ello se consigue erradicar o diezmar el spamming y el pishing.

En resumidas cuentas, la seguridad en Internet brilla por su calidad y ausencia, lo que me da un miedo terrible ser un usuario expuesto a infinitas posibilidades de delito o de estafa. La privacidad en Internet no existe. Te da lo mismo que confíes tus datos personales a empresas que prometen guardar bajo tierra los datos, cuando te das cuenta de que cualquiera puede tener acceso a tu correo electrónico. Los sistemas operativos también son inseguros, y aunque lo satures con programas de seguridad, siempre hay algún resquicio. Esta seguridad viene acompañada también de unas leyes que no se ha adaptado a esta realidad, y que son muy débiles y tienen grandes agujeros. Si se dictan leyes ejemplares, y algunos de estos deleznables personajes fueran castigados de forma pública, habría disuasión para los que creen que es fácil delinquir y salir indemnes.

Existe un vacío muy grande, y eso que sólo estamos arañando una parte que en mi caso me ha afectado. Pero, ¿y de lo que no nos enteramos? ¿Cuántos delitos se están cometiendo en mi nombre sin yo tener constancia?

Una de las razones por las que dejé Facebook es porque me aparecía publicidad sobre mis gustos y preferencias sin yo haber colaborado en encuestas o sondeos. Estos datos los obtenía automáticamente Facebook sabiendo en todo momento qué páginas visitaba, o qué palabras escribía en el chat, en el muro, o en los mensajes, o en mis publicaciones. Me asusta tener a un duende detrás que sabe más de mi que yo mismo.

En estos momentos me estoy planteando dejar todos mis servicios en Internet, ya que soy una diana pública sin que yo lo sepa. Volver otra vez a la época de nuestros abuelos, donde éramos felices siendo ignorantes y retrasados en cuanto a tecnología.

Mi respuesta a Yahoo ha sido la siguiente:

Muy Sres. míos,

Les agradezco sinceramente su explicación, aunque no me reconforta ni me tranquiliza, pues se están cometiendo delitos en mi nombre. Aún fiándome de su explicación y creyendo en la inocencia de su empresa, la cual es también víctima de una suplantación (de dominio), no puedo dormir tranquilo, pensando que cualquiera de los miles de millones de usuarios que hay en el mundo, le pueda llegar un correo en mi nombre, prométiéndole dinero o que facilite sus datos personales y/o bancarios. No sólo me intranquiliza que a este pobre usuario le roben, si no que además parezca que yo sea el culpable y su compañía parezca mi cómplice. Aún más me intranquiliza que esta pobre víctima, ante un robo decida denunciarme, pues aparezco como remitente en dicho correo. En tal caso podría estar sentado en el banquillo de los acusados de un tribunal, previa vergüenza y humillación de tener a la policía en mi casa con una denuncia, una detención, pasar por comisaría, posiblemente estar encerrado en la cárcel o tener arresto domiciliario, las sospechas y rumorología de vecinos, amigos y no amigos. ¿Y quién dice que la policía no esté investigando otros casos y aparezca yo con más cargos y más denuncias incluso de otros delitos que no me atañen? El chivo expiatorio absorbería otros pecados que nada tienen que ver. ¿Qué hago entonces? ¿Qué defensa hay a mi favor? ¿Cómo podía demostrar mi inocencia? ¿A quién puedo denunciar? Aún demostrando mi inocencia por las cabeceras, la mancha permanecerá ahí. Seré sospechoso para otros, aunque demuestre mi inocencia. Mis familiares, mis amigos, mis vecinos, mis convecinos... me mirarán de otra manera. Aunque mi conciencia esté limpia la sospecha me perseguirá.

¿Por qué tanta tecnología no se aplica a la seguridad? ¿Por qué es tan relativamente fácil suplantar un dominio como Yahoo! o mi cuenta de correo? ¿Por qué no hay leyes ejemplares que disuadan a los criminales de pensar siquiera cometer delitos? ¿Por qué compañías como Yahoo! no informan puntualmente a sus usuarios de la existencia de este problema tan grave, las implicaciones, las responsabilidades, y de los medios para combatirlo? Yo confiaría más en una empresa proactiva y honesta que me tenga al tanto, que en otra que oculte esto para no dañar su imagen.

No sé si hay una solución a este respecto, y su Vds. cuentan con medios para paliar o mitigar sus efectos. Supongo que para los intereses de su compañía sí lo tendrán, pero, ¿y para sus clientes? Me dirán que por ser un servicio gratuito, ¿qué puedo esperar?. Esta gratuidad me saldría muy cara, y no por dinero, si no por las consecuencias psicológicas que puede acarrearme, amén del daño afecticvo y relacional que podría causar en mi entorno.

Creo que mi exposición es muy clara, por lo que sólo les plantearé una pregunta, y les suplicaría una respuesta sincera y de corazón: ante esta situación y sus posibles consecuencias, ¿qué puedo hacer?

Agradezco mucho el tiempo que me está dedicando como cliente, y el interés que están prestando a mi (nuestro) problema. Atentamente, reciban un cordial saludo,



Rafael Hernampérez Martín