viernes, 30 de julio de 2010

¿Llegó el relevo de Java?

Java marcó un hito en la historia de la programación, al conseguir que la programación de aplicaciones funcionaran en cualquier plataforma, gracias al uso de un lenguaje semicompilado, independiente de la máquina. Añadió el paradigma de la programación orientada a objetos, con una sintaxis casi idéntica a la de C++ (del cual se inspiró), pero mejorando los aspectos más críticos de aquel (gestión de la memoria, garbage collector, punteros, herencia, etc). Asimismo, aunque naciera para dar servicio a electrodomésticos, fue en los albores de internet donde floreció, gracias al uso de los applets en las vetustas páginas estáticas HTML. Otra característica que favoreció su expansión fue la accesibilidad al lenguaje, principalmente económica. Hasta ese momento, programar en otros lenguajes requerían de IDE's costosos y licencias. Con Java, cualquiera podía bajarse el JDK y compilar código escrito con un procesador de textos. Después, los IDE's gratuitos NetBeans y Eclipse contribuyeron aún más a su proliferación.

Hoy día es el lenguaje de programación que más se utiliza en los proyectos tecnológicos, pero a lo largo de sus casi 20 años de historia, esa pequeña semilla se convirtió en un gigantesco árbol que ensombrece al más pintado, pero que conlleva también algunos problemas.

Por un lado, los SDK's son inmensos, con una inmensidad de librerías y de clases, que uno se pierde fácilmente. Por otro lado, han surgido multitud de tecnologías y frameworks, que convierten un desarrollo en una pesada cebolla, por la cantidad de capas a utilizar (Maven, Spring, hibernate, etc.) para cualquier cosa, incluso para lo más sencillo. Existen tantas dependencias en los proyectos Java, que es necesario una buena dosis de paciencia en instalar, configurar e integrar todos sus componentes base. Asimismo, en muchos sistemas críticos, el más pequeño cambio en una sola clase puede conllevar la parada del sistema para su implantación, con el consiguiente coste. También hay que tener en mente que el rendimiento es de lo más bajo, y aunque el hardware haya progresado y evolucionado mucho, las necesidades y el uso de los sistemas también. Seguramente, algún lector, podrá añadir más problemas o pegas a esta pequeña exposición.

Lo último a sumar al detrimento de este lenguaje de programación, es que nunca se liberó completamente, y que su adquisición por parte de Oracle (quien compró Sun Microsystems) hace dudar de sus intenciones, de la imparcialidad y de la libertad de Java. Recientemente, la liberación de la versión 1.6.0_21, incluye ya en todo el membrete de Oracle en sustitución de Sun Microsystems (inventor y mecenas del lenguaje), y han empezado a haber problemas técnicos muy graves, como que Eclipse se rompe y que está ocasionando muchos errores de tipo OutOfMemoryError.

¿Es posible que haya un relevo en el número uno del ranking de los lenguajes de programación más utilizados? Parece que hay candidatos muy competentes a arrebatarle ese honor y esa supremacía que ha mantenido durante los últimos años.

El lenguaje C++ sigue siendo uno de los lenguajes más utilizados, y a pesar de ser muy estricto en cuanto la gestión de memoria y de punteros se refiere, el rendimiento es su baza principal, ya que trabaja a muy bajo nivel. Sin embargo, esto conlleva el compilar en un ejecutable, y no en un bytecode. Ello significa que el ejecutable de C++ es dependiente de la plataforma. El lenguaje puede ser ANSI, pero para que el código funcione en una plataforma ha de compilarse con dicha plataforma.

C# también es otra alternativa a Java. Microsoft acertó al liberar este lenguaje y su framework .NET. Sus características como lenguaje son similares y en algunos puntos superiores a la de Java. Su rendimiento es mayor que el de Java, lo que lo hace atractivo en entornos de alto estrés. Aunque nació para sistemas Windows, existe una versión del framework y del lenguaje para otros sistemas, llamado Mono. Las comunidades son muy extensas, y aparecen todo tipo de proyectos opensource en torno a esta tecnología.

Pero no sólo hay que observar al lenguaje, si no también al escenario en el que se desarrollan los proyectos. También ha habido una evolución en cómo gestionar y desarrollar proyectos. Hemos pasado de equiparar los proyectos tecnológicos a los proyectos de obras de construcción, a lo que la realidad demanda: proyectos dinámicos en constante evolución. Los proyectos tecnológicos no deben cerrarse a una planificación predictiva, pues la realidad es que para ser competitivos y productivos, hay que cambiar constantemente, añadir funcionalidades, priorizar partes, evolucionar... Y desde hace unos pocos años están implantándose metodologías ágiles, donde su mayor referente es SCRUM.

Debido a esta agilidad y dinamismo en los proyectos, se piensa también en lenguajes y tecnologías que faciliten esa agilidad y permitan ser productivos. Por ello, lenguajes como Ruby, Python o Perl están siendo cada vez más demandados. Estos lenguajes, a diferencia de los citados anteriormente, son también multiparadigma, agregando además del paradigma orientado a objetos, otros como el imperativo, el reflexivo o el funcional. También se están creando frameworks muy potentes para ser más productivos aún, donde la mayor referencia es Rails. De hecho, Java está asimilando conceptos de este tipo, como JRuby o Groovy. Si bien se gana en agilidad y productividad, estos lenguajes y los frameworks asociados pecan de un rendimiento bastante bajo.

El escenario de las aplicaciones también ha cambiado de 20 años a esta parte. Hoy las aplicaciones de escritorio son una minoría, y las aplicaciones web y la computación en nube, están dominando el parque del software. Es relativamente sencillo, eficaz y rápido desarrollar aplicaciones con PHP, un servidor de aplicaciones y un servidor de base de datos. Los navegadores procesan HTML y JavaScript (y por ende AJAX). Estos recursos son sencillos y baratos.

En cuanto a interfaces de usuario, las RIA's (Rich Internet Application) están acaparando un protagonismo en el desarrollo de aplicaciones basadas en la Web, siendo relativamente sencillo desarrollar interfaces espectaculares, intuitivas y con inteligencia para cualquier navegador y en cualquier plataforma, invocando a procesos de negocio a través de servicios Web o HTTPService. En este panorama, AJAX, Flex y Silverlight son los mayores exponentes, frente a JavaFX u otras RIA's basadas en Java (como Apache Pivot), donde la diferencia de velocidad y el rendimiento es muy evidente. Por último, Adobe AIR permite llevar las aplicaciones Web realizadas en Flex al escritorio, pudiendo además complementar funcionalidades propias del escritorio (como, por ejemplo, el acceso a ficheros o a bases de datos locales, como SQLite).

Java ha sido (y es) un lenguaje muy influyente en el panorama tecnológico. Actualmente hay un punto crítico en el que Oracle amenaza su supremacía, debido a sus prácticas completamente propietarias que empañan la imagen de tan respetado lenguaje de programación. James Gosling, padre de Java, abandonó pesarosamente a su hijo merced del padrino forrado de dinero y sin escrúpulos. Multitud de cerebros y directivos de Sun Microsystems también lo hicieron, como los creadores de MySQL, OpenSolaris o el creador del XML. Las desavenencias entre el espíritu innovador y compartido de estos visionarios, a la mente depredadora de negocio que tiene Oracle, hay más que chispas. A Java no le espera un buen futuro con la mentalidad usurera de Oracle, quien haría un favor a todo el mundo liberando completamente el lenguaje Java y su máquina virtual. Pero como ésto parece muy improbable, y como el CORE de la mayor parte de las aplicaciones de Oracle está basado en Java, está cantado que todo esté ligado a productos y tecnologías Oracle, que obliguen a los proyectos, adquirir dichos productos e incrementar los costes de los proyectos de forma innecesaria, sin posibilidad de elegir con comodidad y libertad otros productos alternativos de otros fabricantes o de comunidades opensource. Esta visión de libertad será decisiva para que Java siga siendo atractivo para los proyectos.

martes, 27 de julio de 2010

Se ha liberado el código de TIFacturas

TIFacturas, el software para PYMES y autónomos para la gestión de presupuestos y facturas, ha sido liberado bajo licencia GPLv3. El código abierto de TIFacturas está a disposición de cualquiera para su libre descarga, distribución, modificación y adaptación.

Se ha abierto un proyecto en SourceForge:

http://sourceforge.net/projects/tifacturas

domingo, 25 de julio de 2010

Disponible MongoDB v1.5.6 (v1.6 RC)

Cada vez está más cerca la versión 1.6 definitiva, que marcará un hito importante en MongoDB al incluir la replicación y la autofragmentación. Las versiones 1.5.x son las versiones beta o de desarrollo para la versión 1.6, mientras que las versiones 1.4.x son las versiones estables en producción.

La versión 1.5.6 acaba de ser liberada, siendo la v1.6 RC (Release Candidate). Dependiendo de lo que se encuentre, podrá haber una v1.5.7 el próximo martes o miércoles, o se podrá liberar definitivamente la v1.6, cerrando así las versiones de desarrollo. Se prevé disponer de la versión 1.6. final para el 30 de Julio o el 1 de Agosto.

Las características a ser testeadas en esta versión:

1) Conjuntos de réplica.
2) Fragmentación. Muchas mejoras de estabilidad y madurez.

Descarga: http://www.mongodb.org/downloads
Fuente: http://groups.google.com/group/mongodb-user/browse_thread/thread/e25d0dd94fc7d1c4

miércoles, 21 de julio de 2010

Automatizar la identidad en la red

Ayer me di una paliza de casi ocho horas, revisando correos antiguos, especialmente de aquellos que fui guardando a medida que me iba dando de alta en distintos servicios en Internet. Recientemente he sido víctima de una suplantación de identidad, y con mi cuenta de correo han estado haciendo pishing en mi nombre. Debido a ello, he estado migrando contactos a otra cuenta de correo distinta, y haciendo limpieza de correos.

Me he percatado de que soy usuario de casi un centenar de servicios: redes sociales, webmails, portales de empleo, delicious, twitter, noticias, wikis, proyectos open source, blogs, tarjetas de fidelidad, cine, clubs, etc. En todos estos servicios tengo una cuenta personalizada, en donde tuve que introducir mis datos personales, y en donde con el tiempo se han ido quedando desactualizados (me mudé de casa hace 3 años, y ahora cambio de cuenta de correo habitual), y en donde tengo un usuario y una contraseña distintos en cada servicio. Imaginaros tener que acordarme de todos los servicios a los que estoy suscrito, acordarme qué usuario utilizo, la contraseña y qué datos son correctos o incorrectos.

Este mundo conectado y tan dependiente de la tecnología, adolece de una carencia muy importante: la automatización de la identidad.

Imaginaros que me interesa darme de alta en una red social, o en un webmail, o en un portal de empleo. Debes crear la cuenta desde cero, introduciendo, uno a uno, todos los campos que solicitan, los cuales suelen ser muy comunes: nombre, apellidos, dirección, teléfono, correo electrónico... Los portales de empleo son una desesperación, pues cada uno solicita un formato de datos muy distinta, pero que en esencia son los mismos datos.

Si en lugar de introducir los datos manualmente, éstos pudieran ser leídos de un servicio de identidad centralizado, aparecerían ya completados. En el caso de los portales de empleo, los datos estarían suficientemente atomizados, y los consultaría y formatearía a su propio formato.

En lugar de tener que decidir un nombre de usuario (que puede ya ser utilizado por otro usuario), puedes usar el de tu identidad, el cual es único mundialmente (similar al openid). A la hora de utilizar un servicio u otro, utilizarías siempre el mismo usuario y la misma contraseña.

Otra ventaja de utilizar un servicio así es la actualización de los datos, pues éstos residen en el servicio de identidad, no en el del servicio de internet. Si cambias la contraseña, ésta es la que utilizarás en cualquier servicio de internet al que estés suscrito, pues la validación es contra el servicio de identidad, no contra la identificación del servicio de internet, el cual meramente atiende al evento de si es válido o no el usuario, y accede mediante dicho usuario. Si cambias de domicilio, o de teléfono, o de cuenta de correo, o de empresa, la información llegaría actualizada a todos los servicios de internet, ya que éstos consultan estos datos consultando al servicio de identidad.

Otro punto importante del servicio de identidad es que permite llevar un registro de servicios de internet a los que estamos suscritos, y a los que hemos autorizado para que realicen consultas a nuestros datos mediante nuestra identidad. Asimismo, podemos en un momento determinado desuscribirnos de un determinado servicio desde el servicio de identidad, en lugar de ir al servicio de internet concreto y darnos de baja de forma implícita, lo que a veces no se puede porque no encontramos esta opción.

Para que un servicio pueda usar nuestra identidad, por una parte hemos de autorizarlo, y por otra, el servicio de identidad debería tener registro de dicho servicio. Únicamente los servicios (o empresas) autorizados pueden utilizar el servicio de identidad, y sólo aquellos a los que, como usuarios, autorizamos el acceso a nuestra identidad, podrán acceder a la misma. De esta manera, se incrementa también la seguridad para el robo de datos, como está ocurriendo actualmente, y de la cual surge el spam, el pishing, la suplantación, etc.

Por otra parte, para mayor seguridad, el servicio de identidad solicitaría confirmación por parte del usuario para autorizar a un servicio de internet (o empresa de servicios) a utilizar nuestros datos para su uso. Es decir, si por ejemplo nos damos de alta en una red social, ésta no podrá consultar nuestros datos (ni nosotros usar su servicio), hasta que de forma implícita, a través del servicio de identidad, autoricemos la petición. De esta manera se evita que un servicio (o empresa) acceda a nuestra identidad sin autorización previa.

Para una empresa de servicios también es una ventaja a efectos legales, pues la ley de protección de datos afecta únicamente al servicio de identidad, salvo que la empresa de servicios realice copia de los datos del usuario, cosa que sería ilegal (de forma contractual, la empresa de servicios comprometería a no copiar los datos de los usuarios, tan sólo consultarlos bajo los protocolos de seguridad establecidos, y bajo las condiciones legales y jurídicas). Por otra parte, habría también un contrato de confidencialidad entre el servicio de identidad y el usuario.

La identidad es una cuestión crítica, y para preservarla, el servicio de identidad puede dar la opción al usuario de escribir en formato libre una o varias preguntas personales, con una respuesta que sólo el propio usuario conoce. De esta manera, la recuperación de contraseña es más segura que en la mayor parte de servicios, donde la pregunta es del tipo "¿cuál es el nombre de tu mascota?", o "¿cual es el nombre de soltera de tu madre?". Cualquiera cercano al usuario puede conocer estas respuestas, mientras que si haces una pregunta libre y personal como "¿En qué ciudad me encontraba cuando un perro se lanzó contra mi coche?", puede sólo conocerla el propio usuario.

Un servicio de identidad universal permitiría a un usuario tener la misma identidad para todos los servicios de internet que utiliza, y evitaría a éste introducir repetidamente sus datos en cada uno de estos servicios. Para las empresas de servicios de internet, no necesitarían registrar los datos de sus usuarios, los cuales son actualizados automáticamente, pues sólo hay un repositorio centralizado de datos (el servicio de identidad). Asimismo, la seguridad se incrementa, mitigando al máximo el robo de identidad, el acceso a los datos personales de forma no autorizada y la obtención de la contraseña por parte de otros. El usuario podría conocer la lista de servicios a los que está suscrito, autorizar o no a un servicio el poder acceder a su identidad, o eliminar o desuscribirse a un servicio.

Safe Creative #1007216881699



AÑADIDO EL 30 DE JULIO DE 2010

A tenor de lo anterior añadiré mi experiencia en la cantidad de servicios que tengo dados de alta. En cada uno de ellos he introducir mi login y mi password (específicos), los datos del perfil son distintos, y, lo peor de todo, es que en algunos no me puedo ni dar de baja, pues no ha accesible enlace alguno para desuscribirse.

Con un servicio de identificación, utilizaríamos el mismo login para todos los servicios, el perfil de este servicio sería el que los otros servicios utilizarían (con lo que la información es la misma y actualizada), y si me quiero dar de baja de algún servicio, lo haría desde el servicio de identificación.

martes, 20 de julio de 2010

El fin de la suplantación en Yahoo

Tras varias semanas de lucha contra la suplantación de identidad en mi cuenta de correo Yahoo

http://rafinguer.blogspot.com/2010/07/suplantacion-en-correos.html
http://rafinguer.blogspot.com/2010/07/correo-yahoo-y-la-suplantacion.html
http://rafinguer.blogspot.com/2010/07/peligro-con-el-webmail-de-yahoo.html

he llegado a la solución de tan molesta y peligrosa situación. Pero antes de comentarla, quisiera publicar en este blog, qué ha pasado desde entonces. Primeramente un resumen (el detalle está en los enlaces a los posts anteriores).

(1) Recibo varios correos supuestamente de mí mismo (3 en un mes), donde alguien suplantándome me insta a realizar acciones que suponen exponerse a un delito o cometer un delito mediante pishing.
(2) Desde el primero de los correos, pongo al corriente a mi proveedor (Yahoo), para que tome las medidas necesarias. Hacen caso omiso.
(3) Tras tres correos delictivos, vuelvo a ponerme en contacto con Yahoo, con la amenaza de denunciarles.
(4) Yahoo responde con un correo "tipo" (o plantilla), sin considerar los detalles del caso, y presuponiendo que el usuario no tiene ni idea, instándome a cambiar la contraseña y a instalar un antivirus (con la recomendación de Symantec). Obviamente, estas medidas las había ya tomado con antelación.
(5) Respondo a Yahoo, dándole toda la información de los correos de la discordia, con cabecera incluída.
(6) Yahoo responde que ellos no pueden hacer nada, y se sienten también víctimas de una suplantación de su dominio.
(7) Pido a Yahoo una solución, pues puede ocurrir que algún usuario al que le llegue un correo en mi nombre, pueda ser engañado y decidir tomar medidas judiciales contra mi.
(8) Nuevamente, Yahoo se desentiende de su responsabilidad, y trata mi caso como si fuera un spam, no una suplantación de identidad (fecha de 19 de Julio de 2010):

Apreciado Rafael,

Entendemos tu preocupación y, como te indicábamos anteriormente, no
podemos evitar que nuestro dominio o las direcciones Yahoo! puedan ser
falsificadas en los encabezados de este tipo de emails.

Te informamos de que en los encabezados completos del email queda
constancia de que tu dirección no es la de origen, siendo ésta una ajena
a Yahoo!.

Si deseas que estos mensajes no entren en tu bandeja de entrada, te
sugerimos bloquear las direcciones que aparecen en dichos encabezados.

El Correo de Yahoo! Te permite bloquear hasta 500 direcciones de correo
electronico. Puedes visualizar tu lista de Direcciones de correo
Bloqueadas en cualquier momento.

Visualizar Direcciones de correo Bloqueadas:
===================

1. Inicia sesion en tu cuenta.

2. Haz clic en el enlace "Opciones" situado en la parte superior derecha
y selecciona la "Opciones de Correo/Mas Opciones..."

3. Selecciona "Spam" de la lista de opciones del lado izquierdo de la
pagina.

4. Dirigete hacia la categoria de "Direcciones de correo Bloqueadas".

El Correo de Yahoo! Tambien te permite bloquear mensajes de correo
electronico de un dominio especifico. Por ejemplo, bloqueando
"dominio.com", impediria el arrivo de cualquier mensaje que este dominio
envio a tu cuenta.

Para bloquear un dominio:
==============

1. Inicia sesion en tu cuenta de Correo de Yahoo!:

2. Haz clic en el enlace "Opciones" situado en la parte superior derecha
y selecciona la "Opciones de Correo/Mas Opciones..."

3. Haz click en "Spam" en la columna del lado izquierdo de la pagina.

4. A?ade la direccion de correo electronico que te gustaria que fuera
bloqueada en la seccion de "Direcciones de correo Bloqueadas".

5. Dentro del casillero "A?adir una direccion bloqueada", ingresa el
dominio que deseas bloquear y haz click en el boton "A?adir". Por
ejemplo, si deseas bloquear todos los mensajes enviados por
"dominio.com", tu puedes ingresar "dominio.com" y hacer click en
"A?adir".

Para remover ("desbloquear") un dominio de la lista, haz lo siguiente:

1. Desde la lista de "Direcciones de correo Bloqueadas", haz click una
sola vez en el dominio que deseas desbloquear.

2. Haz click en el boton "Eliminar" a la derecha de la lista.

* Ten en cuenta que este paso no tiene un impacto externo en la cuenta
de correo que estas removiendo.

Por favor ten en cuenta: Los Filtros son una magnifica herramienta que
te ayuda a administrar tus mensajes. Para mas informacion sobre filtros,
por favor visita:

http://help.yahoo.com/l/es/yahoo/mail/classic/manage/manage-35.html

Cordialmente,

XXXXX
Servicio al cliente
Yahoo! España


(Omito, por razones de confidencialidad, el nombre y apellido de la persona de Yahoo que atendió la incidencia)

(9) Mi respuesta es contundente:

Hola,

Este email plantilla que me han enviado es un absurdo que no corresponde al problema. El problema no es el spam, el problema es que hay delincuentes están suplantándome (usando mi dirección de correo electrónico (rafinguer@yahoo.es) haciendo pishing. Pasar "mis emails" por un filtro spam no evitará que ese mismo email llegue a millones de personas para cometer un delito. Poner el dominio "yahoo.es" en el filtro de spam evitará que correos de mis familiares y amigos no me lleguen.

No me han dado una solución. Creo que la mejor solución es darme de baja, con mi recomendación a todos mis allegados y conocidos a que hagan lo mismo.

Un saludo,


La solución final es un poco trágica y radical, pues llevo con Yahoo más de diez años, y muchas personas y empresas cuentan con mi dirección rafinguer@yahoo.es como forma de contacto. Pero seguir con esta cuenta de correo me supone correr un riesgo muy grave, y además Yahoo no me da una solución técnica ni parece poner medios para evitar este tipo de actividades delictivas, si no más bien se va por los cerros de Úbeda con correos "tipo" y para otros problemas.

Estoy volcando todos mis contactos y correos antiguos e importantes a otra cuenta en Gmail (no me fío ya de Yahoo), lo que me llevará cierto tiempo. Asimismo, he denunciado el caso ante la oficina de delitos informáticos de la Guardia Civil:

https://www.gdt.guardiacivil.es/webgdt/denuncia.php

Tras rellenar el formulario, se genera un documento PDF que hay que imprimir y presentar en el juzgado o en la comisaría, identificándote con el DNI.

Tengo claro que para acabar con la gangrena hay que amputar, aunque duela. Por mi parte, recomendar a todo el mundo no tener una cuenta de correo en Yahoo, pues estás expuesto a que utilicen tu cuenta de correo para cometer delitos, y cargarte a ti la culpa.

Para aquellos que quieran eliminar su cuenta Yahoo, y no sabe cómo hacerlo, acceder a la siguiente URL:

https://edit.yahoo.com/config/delete_user

Introducir la contraseña y Aceptar. Aunque la cuenta se desactive, los datos permanecerán durante 90 días antes de su total eliminación.


Agregado el 21/07/2010

He obtenido respuesta por parte de Yahoo:

Apreciado Rafael,

Entendemos tu malestar y sentimos no poder ofrecerte ninguna otra opción
para evitar la recepción de estos mensajes.

Por desgracia no hay una solución técnica para este problema. Yahoo! (o
cualquier otro proveedor de correo) no puede evitar que el nombre de su
dominio o una dirección email sean utilizados en los encabezados
falsificados de un mensaje. Se aconseja encarecidamente a todas las
personas no falsificar el dominio Yahoo! y, en un futuro, se tomarán
medidas contra estas acciones siempre que sea necesario

Si estás interesado en saber el origen del email puedes averiguarlo ya
que el mismo mensaje puede contener información referente a la identidad
del remitente. La mayoría de los sistemas de email contienen, por lo
general, la dirección de protocolo de Internet (IP) de origen en el
encabezado completo de los mensajes. Las direcciones IP de origen se
suelen encontrar en la última línea Received de dichos encabezados
completos y corresponden al Proveedor de Servicio de Internet del
remitente (ISP).

Si necesitas información complementaria, visita el siguiente enlace:

http://help.yahoo.com/l/es/yahoo/mail/classic/abuse/abuse-17.html

Una vez hayas identificado la dirección IP, puedes realizar una búsqueda
de la misma para determinar qué ISP provee acceso a Internet a esta
persona. Una de las herramientas que pueden permitirte realizar esta
búsqueda es:

http://www.arin.net/whois/index.html

Una vez localizada la ISP, puedes intentar contactar con ellos para ver
si pueden tomar las medidas apropiadas contra este usuario.

No dudes en contactar de nuevo con nosotros en el caso de necesites más
ayuda.

Te agradecemos tu comprensión y paciencia en el transcurso de este
proceso.

Cordialmente,

XXXX
Servicio al cliente
Yahoo! España


Bueno, se evidencia que Yahoo no va a hacer nada al respecto, y se desentiende del asunto ya que no ve su responsabilidad al respecto, ni tampoco ve el daño que puede causarle. Además me insta a que sea yo el que rastree el origen del email y realice yo las acciones oportunas. Así que yo me lo guiso, y yo me lo como.

De momento ya van cinco cuentas de correo Email menos, más lo que el boca a boca, y estos posts consigan hacer. Una mala publicidad, una mala imagen, es mucho peor que intentar poner medios para evitar estos problemas.

jueves, 15 de julio de 2010

Suplantación en correos

Desde hace unas semanas estoy sufriendo una suplantación de personalidad, donde unos execrables individuos están cometiendo delitos por email en mi nombre:

http://rafinguer.blogspot.com/2010/07/correo-yahoo-y-la-suplantacion.html
http://rafinguer.blogspot.com/2010/07/peligro-con-el-webmail-de-yahoo.html

Me he puesto en contacto con Yahoo en dos ocasiones. En la primera hicieron caso omiso, pero en la segunda, con una amenaza de denuncia, han respondido a mi petición, basándose en plantillas ya hechas para estos casos. La primera respuesta me comentan que debo cambiar mi contraseña, utilizar un buen antivirus (recomendándome Symantec (publicidad de un socio?), y que les mande los correos de la discordia. Les respondí que llevo 30 años como informático, y que no les molestaría con estas minucias, por lo que ya he cambiado tres veces de contraseña, así como también llevo desde el inicio de los PC's (con MS-DOS) utilizando antivirus. Les remití las cabeceras de los correos delictivos, e indicándoles que el origen de éstos provienen de un pueblo de Rusia (Rastov) y de Nueva York (para que vean que me tomado las molestias de rastrear dichos correos).

La respuesta de Yahoo! es la siguiente:

Gracias por escribir al servicio de atención al cliente de Yahoo!
España.

Después de investigar dicho caso podemos afirmar que el correo no fue
enviado a través de los servidores de Yahoo!. Todo parece indicar que el
remitente ha falsificado la información contenida en el encabezado de
dicho mensaje para dar la impresión de que ha sido enviado desde tu
propia cuenta de correo.

Nos tomamos muy en serio este tipo de acciones relacionadas con nuestro
Correo Yahoo!. Desafortunadamente, no podemos controlar aquellos
mensajes enviados a través de otros servidores de correo y no nos es
posible prevenir el mal uso de el nombre de Yahoo! en aquellos
encabezados de correo que hayan sido falsificados.

Yahoo! no puede técnicamente prevenir la falsificación del dominio en el
encabezado de un mensaje de correo electrónico, no obstante hemos tomado
acciones contra empresas para prevenir el mal uso de nuestra marca
Yahoo! y reclamar los daños y perjuicios correspondientes. Los
individuos están muy desanimados de falsificar el Dominio de Yahoo! en
el futuro y se tomarán las medidas apropiadas cuando sea necesario.


No quiero desconfiar de la voluntad de Yahoo! en su empeño por erradicar a esta lacra, pero me planteo algunas cuestiones:

1) ¿Cómo es posible falsificar un dominio? Bajo mis pocos conocimientos de red, un dominio está asociado a un conjunto de direcciones IP, y éstas son únicas. Con un WhoIs es posible averiguarlo. Asimismo, los servidores DNS también asocian a los dominios correspondientes. Entiendo que esta asociación es única, y realizada por servidores homologados, certificados o como quieran calificarse. Cuando cualquier usuario se refiere a un dominio, se consulta estos servidores para redireccionar correctamente la petición (navegación Web, correo, etc.). ¿Cómo se puede entonces utilizar un medio (un servidor o lo que sea) no oficial?
2) Con todo lo que llevamos rodado en Internet (varias décadas), no entiendo que en materia de seguridad sea posible falsificar un dominio, y más con un servicio tan utilizado, tan crítico, tan sensible, tan peligroso, como el correo electrónico. ¿Acaso los servidores por donde pasan todas las comunicaciones (incluyendo los correos) no detectan si un email de un dominio determinado es falso, y de esta manera bloquear, avisar, cortar o poner en cuarentena dicho email?
3) La primera medida que me pide Yahoo! es que cambie mi contraseña. Aunque parezca sensato, uno tiene que desconfiar. ¿Para qué cambiar mi contraseña? Se supone que sólo la conozco yo. No se la he dicho a nadie, ni la tengo apuntada en un post-it encima del monitor. Luego recuerdas que en las elecciones de EEUU, una persona consiguió la contraseña de la cuenta de correo de la opositora a las elecciones, y pudo leer todos sus correos y publicarlo en medios digitales y de prensa. Fue tan sencillo como conocer su cuenta de correo y dar a la opción "olvidé la contraseña", e indicando otra cuenta de correo alternativa donde enviar la contraseña. Independientemente de este sistema, no me extrañaría que pudieran obtenerla por otros medios más rebuscados.
4) La segunda medida es la utilizar un antivirus. ¿Por qué un antivirus? La respuesta está en los troyanos y spywares, unos programas que pueden instalarse sin que te des cuenta, y que pueden obtener datos tuyos sin que te des cuenta: qué páginas visitas, preferencias, etc, incluso podrían saber tu cuenta de usuario del sistema operativo o de tu correo electrónico. Yo utilizo un buen antivirus (Avast, aunque anteriormente he utilizado AntiVir y AVG) y un buen antispyware (SpyBot), pero ello no significa que pueda haber algún "bichito" que no detecte. La mayor parte de estos programas se ejecutan en Windows, por lo que suelo utilizar en casa Linux, para evitar en lo posible este tipo de ataques. Ahora uno se plantea que, a pesar de ello, eres víctima de una u otra manera. ¿No será mejor un sistema operativo basado en un navegador como el que propone Google, aunque sea más limitado?
5) ¿No podrían llevar los correos en su cabecera una especie de firma digital autorizada que pueda ser cotejada con un registro mundial sobre el dueño del dominio? Los lectores de correo y los webmails podrían detectar la autenticidad del dominio y poder filtrar los correos convenientemente.
6) Me pregunto cómo han conseguido mi cuenta de correo electrónico, si no es pública. ¿Acaso la han obtenido de la base de datos de Yahoo!, o de Facebook, o de cualquier otro servicio donde yo estoy dado de alta? Si consiguen mi dirección de correo electrónico (así como la de muchos compañeros y lectores que me han escrito con cuentas en Gmail y Hotmail), ¿dónde está la seguridad y la privacidad que prometen aquellas empresas a las que confiamos nuestra identidad?
7) Independientemente del vacío en materia de seguridad que hay en Internet, los abominables y abyectos individuos que cometen estos delitos, realizan estas acciones para un beneficio fácil y lucrativo, y sabiendo que es relativamente fácil hacerlo suplantando a otra persona, sin un castigo lo suficientemente temido. Y yo me pregunto: ¿las leyes son blandas o existen vacíos legales en este sentido, de tal manera que al no haber castigos ejemplares que disuadan a los que lo intenten (no merece la pena hacerlo, pues si te pillan lo vas a pasar muy mal), proliferen estos parásitos para cometer delitos en nombre de pobres inocentes?
8) ¿Qué información hay a este respecto? ¿Qué podemos hacer las víctimas de estos delitos? ¿Podemos denunciarlo? ¿A dónde vamos a denunciar? ¿Qué garantías hay de que la justicia se tomarán en serio este delito, lo perseguirá y llevará a los tribunales a los culpables? ¿Existe acaso leyes en esta materia? ¿O cuerpos especiales de policía para este tipo de delitos? ¿Estos delitos tienen jurisdicciones territoriales? ¿Es posible castigar a un delincuente ruso o estadounidense por un delito que, aunque se haya iniciado en su país de origen, tenga su repercusión en España o en otro país del mundo?
9) ¿Por qué las compañías de servicios, tales como Yahoo! Google, Hotmail, etc, no informan a sus usuarios de estos peligros? ¿Por imagen? Yo depositaría más confianza en una empresa honesta que, proactivamente, informe de estas prácticas, y que aunque también le afrecta a dicha empresa, puede asesorarme en caso de que se produzcan actos como estos.
10) Hace años, Bill Gates propuso una medida anti-spam nada descabellada, pero de la que hubo un rechazo general, ya que implicaba un coste económico para sus usuarios. Esta medida consistía en cobrar un tasa (muy pequeña) por cada email enviado. Para un usuario normal, cada correo enviado podría costar un centavo de dólar, pero para un spammer, el coste sería muy elevado y lo retractaría de cometer tal delito, o por lo menos que el mismo fuera diezmado y no tuviera las dimensiones actuales. A mi no me importaría pagar un euro por cada 100 emails que yo envíe, si con ello se consigue erradicar o diezmar el spamming y el pishing.

En resumidas cuentas, la seguridad en Internet brilla por su calidad y ausencia, lo que me da un miedo terrible ser un usuario expuesto a infinitas posibilidades de delito o de estafa. La privacidad en Internet no existe. Te da lo mismo que confíes tus datos personales a empresas que prometen guardar bajo tierra los datos, cuando te das cuenta de que cualquiera puede tener acceso a tu correo electrónico. Los sistemas operativos también son inseguros, y aunque lo satures con programas de seguridad, siempre hay algún resquicio. Esta seguridad viene acompañada también de unas leyes que no se ha adaptado a esta realidad, y que son muy débiles y tienen grandes agujeros. Si se dictan leyes ejemplares, y algunos de estos deleznables personajes fueran castigados de forma pública, habría disuasión para los que creen que es fácil delinquir y salir indemnes.

Existe un vacío muy grande, y eso que sólo estamos arañando una parte que en mi caso me ha afectado. Pero, ¿y de lo que no nos enteramos? ¿Cuántos delitos se están cometiendo en mi nombre sin yo tener constancia?

Una de las razones por las que dejé Facebook es porque me aparecía publicidad sobre mis gustos y preferencias sin yo haber colaborado en encuestas o sondeos. Estos datos los obtenía automáticamente Facebook sabiendo en todo momento qué páginas visitaba, o qué palabras escribía en el chat, en el muro, o en los mensajes, o en mis publicaciones. Me asusta tener a un duende detrás que sabe más de mi que yo mismo.

En estos momentos me estoy planteando dejar todos mis servicios en Internet, ya que soy una diana pública sin que yo lo sepa. Volver otra vez a la época de nuestros abuelos, donde éramos felices siendo ignorantes y retrasados en cuanto a tecnología.

Mi respuesta a Yahoo ha sido la siguiente:

Muy Sres. míos,

Les agradezco sinceramente su explicación, aunque no me reconforta ni me tranquiliza, pues se están cometiendo delitos en mi nombre. Aún fiándome de su explicación y creyendo en la inocencia de su empresa, la cual es también víctima de una suplantación (de dominio), no puedo dormir tranquilo, pensando que cualquiera de los miles de millones de usuarios que hay en el mundo, le pueda llegar un correo en mi nombre, prométiéndole dinero o que facilite sus datos personales y/o bancarios. No sólo me intranquiliza que a este pobre usuario le roben, si no que además parezca que yo sea el culpable y su compañía parezca mi cómplice. Aún más me intranquiliza que esta pobre víctima, ante un robo decida denunciarme, pues aparezco como remitente en dicho correo. En tal caso podría estar sentado en el banquillo de los acusados de un tribunal, previa vergüenza y humillación de tener a la policía en mi casa con una denuncia, una detención, pasar por comisaría, posiblemente estar encerrado en la cárcel o tener arresto domiciliario, las sospechas y rumorología de vecinos, amigos y no amigos. ¿Y quién dice que la policía no esté investigando otros casos y aparezca yo con más cargos y más denuncias incluso de otros delitos que no me atañen? El chivo expiatorio absorbería otros pecados que nada tienen que ver. ¿Qué hago entonces? ¿Qué defensa hay a mi favor? ¿Cómo podía demostrar mi inocencia? ¿A quién puedo denunciar? Aún demostrando mi inocencia por las cabeceras, la mancha permanecerá ahí. Seré sospechoso para otros, aunque demuestre mi inocencia. Mis familiares, mis amigos, mis vecinos, mis convecinos... me mirarán de otra manera. Aunque mi conciencia esté limpia la sospecha me perseguirá.

¿Por qué tanta tecnología no se aplica a la seguridad? ¿Por qué es tan relativamente fácil suplantar un dominio como Yahoo! o mi cuenta de correo? ¿Por qué no hay leyes ejemplares que disuadan a los criminales de pensar siquiera cometer delitos? ¿Por qué compañías como Yahoo! no informan puntualmente a sus usuarios de la existencia de este problema tan grave, las implicaciones, las responsabilidades, y de los medios para combatirlo? Yo confiaría más en una empresa proactiva y honesta que me tenga al tanto, que en otra que oculte esto para no dañar su imagen.

No sé si hay una solución a este respecto, y su Vds. cuentan con medios para paliar o mitigar sus efectos. Supongo que para los intereses de su compañía sí lo tendrán, pero, ¿y para sus clientes? Me dirán que por ser un servicio gratuito, ¿qué puedo esperar?. Esta gratuidad me saldría muy cara, y no por dinero, si no por las consecuencias psicológicas que puede acarrearme, amén del daño afecticvo y relacional que podría causar en mi entorno.

Creo que mi exposición es muy clara, por lo que sólo les plantearé una pregunta, y les suplicaría una respuesta sincera y de corazón: ante esta situación y sus posibles consecuencias, ¿qué puedo hacer?

Agradezco mucho el tiempo que me está dedicando como cliente, y el interés que están prestando a mi (nuestro) problema. Atentamente, reciban un cordial saludo,



Rafael Hernampérez Martín

martes, 13 de julio de 2010

Correo Yahoo y la suplantación

Nuevamente, he vuelto a recibir en mi propia cuenta de correo Yahoo un correo spam de mí mismo, en el que me han vuelto a suplantar. Es la tercera vez que me pasa, la anterior hace apenas una semana. Y hace tres días, le hicieron lo mismo a un amigo con cuenta en Yahoo! y del cual recibí un correo suyo por parte de un suplantador.

¿Qué ocurre en Yahoo? ¿Cómo puede alguien impunemente utilizar mi cuenta de correo para enviar spam, pishing y demás correo malintencionado? ¿Qué otros correos se están enviando en mi nombre sin que me lleguen? ¿Dónde está la seguridad? ¿Cómo paliarla? ¿Qué recursos tengo a mi disposición en el caso de que a alguien le llegue uno de "mis" correos, le engañen y decida denunciarme? ¿Cómo es posible que Yahoo permita a cualquiera acceder a las cuentas de sus clientes, pudiendo suplantar a los dueños legítimos? ¿Acaso Yahoo es también suplantado?

La cuenta de correo es personal e intransferible. Como sabemos, una cuenta de correo se compone de tu nombre único, acompañado de @ (arroba ó at) y seguido del dominio de la empresa que tiene el servidor de correo. En teoría, todo correo dirigido a alguien con una cuenta en dicho servidor, le llega a dicho servidor, el cual se encarga de redirigir a la bandeja de entrada del usuario. Cuando un usuario envía un correo, es el servidor de correo el que recoge el correo de la bandeja de salida del usuario y lo envía hacia el exterior. La lógica dicta que alguien (uno o más de uno) ha accedido a Yahoo, y ha conseguido mi cuenta y mi contraseña, y con éstas han enviado correos en mi nombre. ¿Cómo ha podido ser? En la primera suplantación, hace unos tres meses aproximadamente, puse en conocimiento de Yahoo este problema y cambié mi contraseña. No sólo Yahoo hizo caso omiso ni me contestó, si no que ahora, en apenas una semana, he sido suplantado dos veces por ¿diferentes? personas para algo tan execrable como intentar engañar a gente en mi nombre, con fines económicos.

El último correo de mi cuenta "rafinguer@yahoo.es", tiene como asunto "Ingresos adicionales/3001 por mes". El cuerpo del correo es el siguiente:

Le pedimos disculpas por la demora en nuestra respuesta.
Nuestra empresa esta reclutando agentes en plantilla para trabajar a tiempo parcial.
Actualmente tenemos varias vacantes en Europa (Espana).

Si Usted esta buscando el dinero extra, solo indiquenos sus datos de contacto y el horario mas conveniente para llamar.
Contacto - Nivea@wfbgroup.net

Nuestro personal se comunicara con Usted con mas informacion detallada sobre las respuestas a todas sus preguntas, que Usted puede preparar.
Seguro que los ingresos adicionales no estaran de mas!
Gracias y buen dia!


Traceando el correo mediante su cabecera:

From rafinguer@yahoo.es Tue Jul 13 00:31:13 2010
X-Apparently-To: rafinguer@yahoo.es via 217.12.10.148; Tue, 13 Jul 2010 00:31:13 +0000
Return-Path: <lzy@ahedu.gov.cn>
X-YMailISG: eUyz9WwWLDsKhDI.tcCeIt5fsGktJrIenIdJn9TQxz.13JfN
yunszw3OAQ4JbA595Ht2wdb8dDeH_qZoVXJ_WEJ.vU7glHBIUproFFYWVdZr
fEcFLrTy2nNdxlCDqUjbm7.rS7pxBJ5npq3nJ77BTbjX25ktkFjXnD81OqNo
SH2_UYlS6CJMitQej97lX9MIOWzqSLlLIy5MvRBo6DRE.9nv4i7DR0Kp7n8m
DG_O2Go_hHo0dSuYpBy.ToauPCUvkdHKENm.ITt.zZw4vUV5_3Fko225erUD
6vx6Ld0k.9QJfGPJbHs5EIPWiR4h3YJOaF2tuFTGnilzj1Udi.zHGDHMhqIu
OCMBMef7NU16cEMGfhI3iPbxOphCWnc9EKzaxjKRl5s4a7qH8v9aMpIbV.AW
ub6OGTaSt6l7qEBBaBSvIYOYkIM83udjBXB31bMWxHOc3H1Sbn0Ju4m1qjGQ
unoYVvAjGqDsv7QmF21455iodEUfRUT53NUSBAvtBXa21DuXk6sevXbEjxY.
t7E.XizPEuOnl4nmbY8dFVahgBrwUElGg0Z5ULu0aVgWHiVfDQOB_ACOsGvj
xVe75VLpu_q61AE6Vk.q_cSi.Ogpc2tud0uIsPlMlWQ_HDbpA41YufVXCfNm
xu70cg1fnquIRR.bFs2PJ.hjBnn2NECGom99H18bvsRzZ1HN6hyplXRFfz3R
_1.Z101Iw4jlLHYWUg9krn3Y32SN8K5k1p5BUnxjmetVyD7RMAAPHzuompUt
d1qBwktNPm5c6B142y_ODjEPtkyWJH01brSQCTAqoi4KOA--
X-Originating-IP: [72.229.5.161]
Authentication-Results: mta1046.mail.ukl.yahoo.com from=yahoo.es; domainkeys=neutral (no sig); from=yahoo.es; dkim=neutral (no sig)
Received: from 127.0.0.1 (HELO cpe-72-229-5-161.nyc.res.rr.com) (72.229.5.161)
by mta1046.mail.ukl.yahoo.com with SMTP; Tue, 13 Jul 2010 00:31:13 +0000
To: <rafinguer@yahoo.es>
Subject: Ingresos adicionales/<88> 3001 por mes
From: <rafinguer@yahoo.es>
MIME-Version: 1.0
Importance: High
Content-Type: text/html
Content-Length: 797


Da la presunta localización en la ciudad de Nueva York:


Los datos del WhoIs:

72.229.5.161 IP:
72.229.5.161
72.229.5.161 server location:
New York in United States
72.229.5.161 ISP:
Road Runner

cpe-72-229-5-161.nyc.res.rr.com IP:
72.229.5.161
cpe-72-229-5-161.nyc.res.rr.com server location:
New York in United States
cpe-72-229-5-161.nyc.res.rr.com ISP:
Road Runner

OrgName: Road Runner HoldCo LLC
OrgID: RRNY
Address: 13241 Woodland Park Road
City: Herndon
StateProv: VA
PostalCode: 20171
Country: US

ReferralServer: rwhois://ipmt.rr.com[Who Is Domain][trace][Reverse DNS Search]:4321

NetRange: 72.224.0.0[Who Is IP][trace][Reverse IP Search] - 72.231.255.255[Who Is IP][trace][Reverse IP Search]
CIDR: 72.224.0.0[Who Is IP][trace][Reverse IP Search]/13
NetName: RRNY
NetHandle: NET-72-224-0-0-1
Parent: NET-72-0-0-0-0
NetType: Direct Allocation
NameServer: DNS1.RR.COM[Who Is Domain][trace][Reverse DNS Search]
NameServer: DNS2.RR.COM[Who Is Domain][trace][Reverse DNS Search]
NameServer: DNS3.RR.COM[Who Is Domain][trace][Reverse DNS Search]
NameServer: DNS5.RR.COM[Who Is Domain][trace][Reverse DNS Search]
NameServer: DNS6.RR.COM[Who Is Domain][trace][Reverse DNS Search]
Comment:
RegDate: 2005-07-21
Updated: 2006-06-06

OrgAbuseHandle: ABUSE10-ARIN
OrgAbuseName: Abuse
OrgAbusePhone: +1-703-345-3416
OrgAbuseEmail: [Who Is Domain][trace][Reverse DNS Search]

OrgTechHandle: IPTEC-ARIN
OrgTechName: IP Tech
OrgTechPhone: +1-703-345-3416
OrgTechEmail: [Who Is Domain][trace][Reverse DNS Search]

# ARIN WHOIS database, last updated 2010-07-12 20:00
# Enter ? for additional hints on searching ARIN's WHOIS database.
#
# ARIN WHOIS data and services are subject to the Terms of Use
# available at https://www.arin.net[Who Is Domain][trace][Reverse DNS Search]/whois_tou.html
#
# Attention! Changes are coming to ARIN's Whois service on June 26.
# See https://www.arin.net[Who Is Domain][trace][Reverse DNS Search]/features/whois for details on the improvements.


Found a referral to ipmt.rr.com[Who Is Domain][trace][Reverse DNS Search]:4321.

%rwhois V-1.5:003fff:00 cdptpa-ipmt-rwhois-01.cdptpa.rr.com[Who Is Domain][trace][Reverse DNS Search] (by Network Solutions, Inc. V-1.5.9.6[Who Is IP][trace][Reverse IP Search])
network:Class-Name:network
network:ID:NETBLK-isrr-72.229.4.0[Who Is IP][trace][Reverse IP Search]-23
network:Auth-Area:72.229.4.0[Who Is IP][trace][Reverse IP Search]/23
network:Network-Name:isrr-72.229.4.0[Who Is IP][trace][Reverse IP Search]
network:IP-Network:72.229.4.0[Who Is IP][trace][Reverse IP Search]/23
network:IP-Network-Block:72.229.4.0[Who Is IP][trace][Reverse IP Search] - 72.229.5.255[Who Is IP][trace][Reverse IP Search]
network:Organization;I:Road Runner
network:Tech-Contact;I:[Who Is Domain][trace][Reverse DNS Search]
network:Admin-Contact;I:IPADD-ARIN
network:Created:20100712
network:Updated:20100712
network:Updated-By:[Who Is Domain][trace][Reverse DNS Search]

network:Class-Name:network
network:ID:NETBLK-ISRR-72.229.0.0[Who Is IP][trace][Reverse IP Search]/17
network:Auth-Area:72.229.0.0[Who Is IP][trace][Reverse IP Search]/17
network:Network-Name:ISRR-72.229.0.0[Who Is IP][trace][Reverse IP Search]
network:IP-Network:72.229.0.0[Who Is IP][trace][Reverse IP Search]/17
network:IP-Network-Block:72.229.0.0[Who Is IP][trace][Reverse IP Search] - 72.229.127.255[Who Is IP][trace][Reverse IP Search]
network:Organization;I:Road Runner
network:Tech-Contact;I:[Who Is Domain][trace][Reverse DNS Search]
network:Admin-Contact;I:IPADD-ARIN
network:Created:20100712
network:Updated:20100712
network:Updated-By:[Who Is Domain][trace][Reverse DNS Search]

%ok


Desde este post, vuelvo a denunciar la falta de seguridad y de competencia de Yahoo en su servicio de email, y de hecho avisar a todo aquel que reciba un correo en mi nombre, que no soy yo el culpable del mismo.

Quiero enviar un nuevo mensaje a Yahoo sobre este problema, el cual me he visto obligado a denunciar públicamente, pues no hacen caso a sus clientes de forma privada y directa. ¡Basta ya de dar un servicio inseguro e ineficaz! ¡Basta ya de hacer caso omiso a este problema que puede acarrear resultados judiciales muy serios!

He accedido a su servicio "Contáctanos", y en base a un problema de "Seguridad", les he enviado el siguiente mensaje para su soporte:

"Hola,

En la última semana he sido víctima de suplantación en dos ocasiones (7 de Julio 2010 y 13 de Julio 2010). Es decir, alguien en mi nombre está usando mi cuenta yahoo (rafinguer@yahoo.es) con fines de spam y pishing. He cambiado mi contraseña, y a pesar de ello siguen suplantando mi cuenta de correo. Hace tres meses ocurrió lo mismo, y lo comenté con Vds., pero hicieron caso omiso.

Me he dado cuenta de ello porque dichos correos me han llegado a mi (no me quiero imaginar los correos que no me llegan). Conservo dichos correos, junto con sus cabeceras, por lo que pueden ser traceados.

Este problema de seguridad me está afectando muy seriamente, y es muy probable que algún destinatario sea víctima de un fraude y me denuncie a mi, siendo inocente.

Es la tercera vez que me ocurre, y les insto a que resuelvan de forma eficaz este problema, pues la cuarta vez que ocurra, no tendré más remedio que poner una denuncia a su compañía por exponer a sus clientes y poner en riesgo su integridad e inocencia.

Atentamente, reciban un cordial saludo,



Rafael Hernampérez Martín"


A ver si esta vez se toman en serio el problema y ponen medios para subsanarlo. De momento, la publicidad que están recibiendo desde este post, es mi única arma.

viernes, 9 de julio de 2010

Manifiesto por la artesanía del software

Como aspirante a Artesanos del Software estamos izando la bandera del profesional del software mediante la práctica y la ayuda a otros para aprender el arte. A través de esta obra valoramos:

No sólo software que funciona, si no también software bien hecho.

No sólo que responda a cambios, si no también que añada valor de forma incesante.

No sólo individuos e interacciones, si no también una comunidad de profesionales.

No sólo colaboración con el cliente, si no también sociedades productivas.

Esto es, en la búsqueda de los elementos de la izquierda, hemos encontrado que los ítems de la derecha son indispensables.

Si te sientes identificado con el manifiesto, y quieres firmarlo, haz click en el siguiente enlace: http://manifesto.softwarecraftsmanship.org/

miércoles, 7 de julio de 2010

Peligro con el webmail de Yahoo

Que todos mis lectores me perdonen, ya que no suelo reivindicar o criticar, denunciar en mis posts, pero creo conveniente hacerlo ahora ente el peligro que supone ser usuario del webmail de Yahoo. Conviene aclarar que yo he sido adepto a este servicio desde hace más de diez años, y que lo he recomendado a todos mis familiares y amigos. Debo decir también, que este servicio ha sido de mi satisfacción hasta ahora, especialmente en lo relativo a spam, pero llevo detectando desde hace unos meses un problema de funcionamiento del servicio y otro problema muy grave de seguridad.

Empezaré por el problema de servicio. Desde hace muchos meses he observado que muchos de los correos no llegan nunca, ni los que me remiten a mí, ni los que yo envío. No hay un patrón identificativo, si no que parece aleatorio. El porcentaje de estos correos no es muy alto (menos del 10%), pero imaginaros la cara que se me queda a mi, a mis colaboradores o las personas con las que colaboro, el confiar en que un correo importante ha llegado al destinatario, y que al cabo de unas horas o unos días, se llama al otro porque se esperaba una respuesta o una acción, y te das cuenta la sorpresa del otro porque se pensaba que te habías olvidado o habías pasado de él. Este problema no deja de repetirse, y por ello, como medida preventiva, si alguien me va a remitir un correo y me lo dice previamente, le indico que mande una copia a una cuenta de correo alternativa.

El problema de seguridad es de los calificados de MUY GRAVE, y no es por virus, si no porque te suplantan para actividades que pueden ser delictivas y tú estás en ese fregado sin saberlo, ni quererlo ni comerlo. En mi caso ya se ha producido dos veces en los últimos dos meses. La primera vez que me ocurrió, inmediatamente se lo comuniqué al servicio de Yahoo, y como seguridad cambié mi contraseña. Pero hoy ha vuelto a ocurrir, y esta vez sí que no lo perdono.

Imaginaros que recibís un correo cuyo remitente ERES TU MISMO, y el contenido del correo es de una empresa o de cierta compañía, para engatusarte con negocios de dudosa legalidad, o con timos, pishing, hoaxes (rumorología falsa), y otros propósitos ilegales. ¿Qué cara se te pone? ¿Y qué escalofrío te llega si te imaginas cuántos de estos correos han llegado a millones de personas con tu cuenta de correo? ¿Y cuántos correos de este tipo no te han llegado pero están circulando? ¿Y si alguien te denuncia a ti por ser el emisor del correo, ya sea por engaño o por puro spam?

La gravedad de este asunto es extrema, y por ello quiero denunciar públicamente este problema, no sólo por mi evidente cabreo, si no también para defenderme y probar, en el caso de que algún usuario defraudado quiera utilizar un tribunal, que yo también soy una víctima, que fui suplantado para estas prácticas execrables, sin mi conocimiento.

Para todos mi advertencia, de que si os llega un correo cuyo remitente es "rafinguer@yahoo.es" <rafinguer@yahoo.es>, y en cuyo asunto figura un titular como "¡Hola!", y cuyo contenido es el siguiente:


Empiece su carrera en la Compania exitosa!

La organizacion esta completando personal. La Compania cuenta con la vacante del "representante regional".
El cargo del representante regional preve la prestacion de la ayuda a nuestros clientes.
Estamos colabotando con las personas privadas y companias que necesiten gestionar su presupuesto flexible y operativamente.

Por lo tanto podemos proponerles a nuestros clientes un nuevo tipo de los servicios financieros y bancarios, y le proponemos a Ud.
que ejerce las facultades del representante. (Esto preve la ocupacion parcial, 3-4 horas diarias, excluyendo los dias de descanso.)

Es posible la ocupaci?n completa o parcial. Ud. tendra que realizar las transferencias del dinero a solicitud de nuestros clientes.
Nuestros directores le ayudaran a Ud. y le daran las explicaciones necesarias.

Le proponemos un sueldo prudente y competitivo. Ud. cobrara unos 2,000 euros a finales del primer mes de trabajo.
Despues el salario aumentaria si Ud. cumpliese sus obligaciones con aplicacion y puntualmente.

Ahora Ud. se encuentra en el punto inicial de su carrera exitosa.

Solamente le hace falta nos envie la carta via correo electronico a la direccion: Deirdre@center-es.com ,
indicando los numeros de sus telefonos (en el forma internacional), pais y ciudad de residencia,
horario de contacto con Ud. para que uno de nuestros gerentes comunique con Ud. y conteste a todas las preguntas.

Atentamente,

Deirdre GOROZA

HR Department


no es mío, si no que me han suplantado. Este correo, además, pretende crear una cadena para conseguir números de teléfono reales, para fines comerciales, no para dar trabajo, si no para vender esa base de datos a empresas que nos freíran a llamadas para intentar vendernos cualquier cosa.

Desde estas líneas condeno a Yahoo por su falta de calidad de servicio y de seguridad en su servicio, que me compromete legalmente a penas muy graves, y de las cuales soy inocente, y que compromete también mi imagen ante multitud de personas conocidas, así como a mis actividades personales y profesionales. Y lo condeno no por un error, si no porque ya tuvo uno anterior, el cual advertí como usuario responsable, y han hecho caso omiso de él, exponiéndome nuevamente a los mismos peligros. Recomiendo a todos lo usuarios de Yahoo, por su privacidad, por su integridad, y por su seguridad, que utilicen otros servicios alternativos y más seguros. Por mi parte, desde luego, a todos mis conocidos se lo indicaré, y yo mismo cancelaré mi cuenta de correo en las próximas 24 horas una vez haya avisado a todos mis contactos.

Condeno también a la execrable chusma que realiza estas actividades delictivas sin el menor pudor ni vergüenza, y utilizando a personas inocentes y desconocidas como autores de sus actos delictivos. Espero que la Justicia dé con ellos y apliquen la pena más dura para que se les quite las ganas de volverlo a hacer, y en el futuro a otros querer si quiera intentarlo.


¿QUE HACER? ¿SE PUEDE PROBAR EL ORIGEN DEL CORREO DELICTIVO?

¿Qué se puede hacer en estos casos? ¿Cómo probar que no has sido tú el remitente del correo? ¡Pero si el remitente soy!

En todos los correos hay una cabecera que se puede consultar. Tiene un galimatías de códigos, y aunque las direcciones de correo incrustadas sean las nuestras, el resto da información para tracear el origen del correo.

En el caso de Yahoo, si utilizas el nuevo correo Yahoo (no el clásico), al hacer clic con el botón derecho sobre el remitente del correo, aparecerá un menú con la opción "Ver encabezado completo". En mi caso, la cabecera fue la siguiente:


From rafinguer@yahoo.es Wed Jul 7 07:23:59 2010
X-Apparently-To: rafinguer@yahoo.es via 217.12.10.151; Wed, 07 Jul 2010 07:23:59 +0000
Return-Path: <jpatho47@1up.com>
X-YMailISG: pu_hF_AWLDuJBzm0RqiUqqFi0f6Fh5nXjzplAR4XNgc04cTf
nC4OMfydU9klHg2nSTW17H0frBFhueD2STyvXVZTviV8T1mrUm6HGvcm1Ur4
9Hcvnq2ANbpmyHW9Z94MDo2PO7QRi9l3a87t2tGlf9ofFbzznJwxF0YWJYto
nAivsMDYSvfjhBbBVomjbrw0t5GRc6S6ED6OMc4ap672IxXaypHAnif1LWPM
QhYtVJDkDMvdDJQCsJK_YZdsyt1EYLnBF6LVKYA.bzMmC6oyvdXGK.uJq3EE
Z1cEdUsSQ.bPkzS3aG7JdaEO1k_oDesZE746Zbea5Z20aKlOxhE6nkxOkDGJ
nX9LrinpDbwJwNKIyZSYEPzA_6YQ_9bYe9Zo3_6dTgM4_dBT5dQ3vmqnrCZN
e.XybrJlwvyawVN7ojcSyW_bjIXS2w82UfTo3JcbPS9XWlecUv0rFTeK1TYn
b_D3QUcyrHjiAAlwTuD8zTmqi5uKMBy5nTdR7o1ZL2nMHYPo5vaLsilqtB3_
GvrMc.zDinx3jGqsUbkrKlKgYVsvdtNb0isWGaAUayVlDJqoYNAGkd6xEr0a
WLYWrUPJLvGsLLFxIdqWqlPFguD2AqVYXOhFS4ZZcxcn_kwySa.z55IO_OzS
2bhlvBFaDAmdqBXX59MLe9Stx2qCjxbsGKJc7uIWTjIQKUlSww2FaQxvBADW
F3c56VIRuEN0d_4TWUt4FKoNe6s0O3kiS55C72h_aopwaiLFfjDdTE6tZhSK
7n71zOJSegBZn7JXoEVjBNFDdkv.f.p5vLjzOQj8IsJY7rnMSohjHLyRuYmO
PjEGU9t8WrzpiVYxioxA.yf15lx2uSu72SzKTsJ8xjHipohpJtQDK9hA1o._
KbCn5tx1JfQTNmSmE3oo0zDPf1qtlg--
X-Originating-IP: [109.165.4.145]
Authentication-Results: mta1047.mail.ird.yahoo.com from=yahoo.es; domainkeys=neutral (no sig); from=yahoo.es; dkim=neutral (no sig)
Received: from 127.0.0.1 (HELO 1up.com) (109.165.4.145)
by mta1047.mail.ird.yahoo.com with SMTP; Wed, 07 Jul 2010 07:23:58 +0000
To:
Subject: iHola!
From: <rafinguer@yahoo.es>
MIME-Version: 1.0
Importance: High
Content-Type: text/html
Content-Length: 1791


Pues se copia esta cabecera y nos vamos a la siguiente página web:

http://www.ip-adress.com/trace_email/

Bajamos hasta el campo "For email tracing copy and paste an email header in this field", y pegar en dicho campo la cabecera. A continuación hacemos click sobre el botón "Trace Email Sender". Tras unos segundos sabremos (si no ha metido anonimizers o falsas pistas) quién es el responsable y dónde está mediante su IP, y situando en un mapa de Google Maps la situación de su servidor (en mi caso fue un pueblo perdido de Rusia, llamado Rostov).


En el caso de que no aparezca el mapa (la primera vez que lo probé sí salía), haz clic en la opción "Click here for a big satellite image", y verás el mapa como si estuvieras en un avión.


A partir de aquí puedes manejar los controles de Google Maps para hacer zooms, o pasar a la vista de mapa de callejero.

Gracias, Daniel, por esta pequeña maravilla.


Reflexiones

¿Cómo ha llegado mi cuenta de correo al desalmado que me suplantado y ha realizado este pishing? Lo ignoro, pues nunca he hecho pública mi dirección de correo personal, y soy muy celoso de que se vea dicho dato en herramientas web, tales como redes sociales, blogs, portales de empleo, etc. ¿Es posible que mediante algún agujero se hayan introducido en las bases de datos de Yahoo y hayan robado direcciones de correo? Yahoo dirá inmediatamente que no, y no habrá pruebas de ello. Pero, ¿no existe algún medio por parte de estas empresas que ejecutan servicios de correo, de comprobar y evitar suplantaciones? ¿Cómo puede uno suplantar a otro, si en teoría desde donde se envía los correos es desde el mismo servidor asociado al dominio (en este caso Yahoo)? ¿También han suplantado a Yahoo en este sentido? ¿No hace nada Yahoo para evitar ésto, ya que le supone un coste de imagen y de clientes insatisfechos (y por consiguiente negocio)?

Mi frase

La tecnología es asombrosa: permite relacionarnos y conocer infinitas personas, comunicarnos con cualquiera, por cualquier medio, en cualquier momento y en cualquier lugar. Su precio nominal son unos irrisorios dineros, pero su precio real es tremendamente caro, pues sacrifica nuestros bienes más preciados: el tiempo y la privacidad.
Rafael Hernampérez

viernes, 2 de julio de 2010

¿Tantas bases de datos NoSQL?

Cuando hay alternativas a los sistemas tradicionales, a veces superan las expectativas y uno cabe preguntarse, ¿para qué tanto? ¿en qué casos me viene bien qué? Quizá esto despierte más dudas que antes, y uno ya no sepa qué decidir, o incluso volver a lo tradicional. Por otra parte, se percibe proactividad y creatividad por parte de comunidades de software libre y de algunas empresas, proponiendo alternativas muy interesantes.

A continuación se expone una lista de 64 bases de datos NoSQL. No están todas las que hay, pero sí las más relevantes y populares.

Familias de columnas
Hadoop/HBase
Cassandra
HyperTable
Cloudera
SciDB


Documento
CouchDB
MongoDB
TerraStore
ThruDB
OrientDB
RavenDB


Clave/Valor
Amazon SimpleDB
Azure Table Storage
Riak
Chordless
Redis
Scalaris
Tokio Cabinet
GT.M
Scalien
Berkeley DB
MemcacheDB
HamsterDB
Membase
NorthScale
Mnesia
LightCloud
Pincaster
GenieDB


Clave Valor eventualmente consistente
Amazon Dynamo
Voldemort
Dynomite
KAI


Bases de datos por grafos
Neo4J
Sones
InfoGrid
HyperGraphDB
AllegroGraph
BigData
DEX
OpenLink Virtuoso
Infinite Graph
VertexDB


Bases de datos de objetos
db4o
Versant
PERST
ZODB
NEO


Bases de datos en Grid
GigaSpaces
Hazelcast
Joafip


Bases de datos XML
Mark Logic Server
EMC Documentum xDB
Tamino
eXist
Sedna
Xindice
Berkeley DB XML


Bases de datos multivalor
U2
OpenInsight


Otros tipos de base de datos
IBM Lotus/Domino
ISIS Family
Prevayler
Yserial



Fuente: NoSQL Databases