lunes, enero 31, 2022

Cómo detectar a un criptoestafador y qué hacer si has sido estafado

Con el auge de la Web3 y la aparición de criptomonedas Proof-of Work, Fan Tokens y NFTs, gracias a la aparición de BlockChain y los Smart Contracts  también ha aparecido los criptoinversores atraidos por el halo del BitCoin, en el panorama mundial, pero como hemos visto muchas veces ya por este blog, cogido de la mano, también han florecido el mundo de los criptoestafadores en forma de Falsos Brokers. Por supuesto, no se trtata de demonizar las criptoinversiones ni mucho menos, pero hay que estar alerta para detectar a un estafador, sobre todo si estás buscando un broker.

Figura 1: Cómo detectar a un criptoestafador y qué hacer si has sido estafado

En primer lugar todos tenemos, en el sentido amplio de la palabra, la facultad de resolver problemas, extraer conclusiones y aprender de manera consciente de los hechos. Es lo que se conoce como razonamiento. Si alguien nos dice que invirtiendo en su plataforma va a obtener un ROI (Retorno de la Inversión) de un 40% o más, la razón nos debe decir que no es posible conseguir eso de forma predecible y con una 100% de garantía, por mucho que el corazón nos diga que ojalá fuera posible. Está comprobado que inversiones y emociones, si se unen, se convierten en un Cóctel Molotov cuyo final es siempre un pesadilla.


Por ese motivo, como en las inversiones en Bolsa de Valores,  hay que tener la sangre fría y pese a que nos digan que vamos a forrarnos con los beneficios que vamos a conseguir, imponer la razón y dejarse las emociones en casa. Usted piense un momento fríamente:
  • ¿Alguien que gana mucho dinero va a estar en una red social buscando gente que no conoce para hacerla millonaria? 
  • Si de verdad se ganara tanto con las inversiones en criptodivisas, ¿usted no cree que saldrían en los medios de comunicación más famosos anunciándolo? 
  • ¿O conocería mucha gente cercana que gana dinero y usted lo vería con sus propios ojos?
  • Si todos ganan, entonces ¿quién pierde? Esto es un esquema de compra-venta, para que uno gane, otro debe perder, o la escalada debe ser hasta el infinito en un esquema de inflacción
Pues bueno,  de estas reflexiones que todos debemos hacernos, hay que extraer la primera lección aprendida: desconfiar, porque no existen las habichuelas mágicas en el mundo del BitCoin.

Modus operandi de los ciberestafadores

Os voy a explicar la forma de trabajar que tienen estos ciberestafadores para que podáis detectarlo. En primer lugar el contacto con el objetivo a estafar se realiza de varias formas. La más común es por un mensaje privado en las redes sociales. Por ejemplo en Telegram, si te unes a un grupo que tenga que ver con las inversiones o las criptomonedas, otros miembros del grupo pueden escribirte por privado. De esta manera saben que estás interesado en invertir y que posiblemente tengas dinero. 

En segundo lugar utilizan anuncios que han llegado a aparecer en servicio tan conocidos como Discovery de Google o en sitios web de renombre, pero también en medios de comunicación generalista por medio de campañas de malwertising. Y por supuesto, Tweets patrocinados en Twitter, ads patrocinados en Instagram, Facebook o cualquier otra red social, usando campañas, como hemos visto, en las que usurpan la imagen de personas famosas, y hasta al propio Chema Alonso le ha sucedido.  

Hay otras redes sociales que son muy explotadas para captar objetivos a estafar: las apps de citas como Tinder o Badoo. En todos los casos expuestos suelen ser perfiles falsos, habitualmente de chicas muy atractivas. Dichas fotos las suelen sacar de otros perfiles legítimos cometiendo un delito de suplantación de identidad. El último paso es la ingeniería social.

Una vez llamada la atención de la víctima le animan a invertir una cantidad pequeña de dinero en una plataforma. Le prometen unos beneficios muy grandes y le enseñan cómo darse de alta e invertir sus primeros 100€. Aparentemente todo es perfecto, la plataforma y la web está muy lograda, el dinero se ve reflejado en la misma cuando entramos con nuestro usuario y contraseña, vemos como aumenta el volumen del beneficio e incluso si solicitamos el retiro a nuestra cuenta bancaria nos lo ingresan. Sin embarga es aquí cuando la víctima baja la guardia y cae en la trampa. A la vista del beneficio obtenido y cegado por la codicia (o la desesperación en muchos casos) se realizan posteriores ingresos de sumas mayores, las cuales lógicamente no se devuelven.

En última instancia comienza una situación desesperada y agobiante para las víctimas que muchas veces ceden a sus chantajes y extorsiones. Comienza la fase de amenazas y mentiras que van desde la solicitud de más dinero para desbloquear los fondos hasta hacerse pasar por empresas de recuperación de fondos que solicitan dinero por adelantado garantizando la recuperación de los mismos, todo el mismo entramado criminal.

En qué fijares para no caer en este tipo de estafas

Después de llevar varios casos de ciberestafas en criptoinversiones, tras hablar con muchas víctimas, he podido analizarlas y localizar ciertos patrones de conducta que les llevan a caer en este tipo de fraudes. A continuación un resumen para que os sirva de aprendizaje:
  • Avaricia: las ganas de ganar dinero pasivamente en grandes cantidades.
  • Horizonte negativo: gente que tiene mucho dinero, sin empleo, que tiene miedo a que se le acabe y busca multiplicarlo.
  • Impresionables: que una chica atractiva haga creer que le interesas es algo psicológicamente muy potente. El demostrar ante la hembra que se tiene dinero para atraerla es algo que puede salir caro.
  • Exceso de confianza: no informarnos debidamente de la plataforma de inversión. Con una simple búsqueda en Internet de cualquier plataforma podemos encontrar reseñas de personas estafadas con gran facilidad y alertarnos.
  • Teoría de la mala persona: algunos jueces creen que las personas víctimas de este tipo de estafas se lo merecen. Lo ven como algo parecido al “timo de la estampita” donde de alguna manera se sabe que es algo malo lo que se está haciendo y se intenta aprovechar para sacar beneficio.
  • Falta de análisis de la situación: hay que pensar que estás dando todo tu dinero a una persona desconocida y que por lo menos hay que hacer una investigación, teniendo Internet hay que preocuparse un poco y no ser tan cómodos.
¿Qué me puede hacer pensar que me están estafando?

Si después de todo lo expuesto, estás pensando en invertir en cualquier plataforma que alguien te esté recomendando, he aquí otros detalles que utilizamos los ciberinvestigadores para identificar este tipo de ciberfraudes con facilidad. 
  • Teléfonos con prefijos extranjeros extraños tipo +44 y +370, no siempre pero suele ser así.
  • Páginas webs sin demasiada información de contacto verificable.
  • Falta de información sobre protección de datos, leyes de cookies, etc, que pueda ser verificable en fuentes legítimas.
  • Personal que se niega a realizar una conversación telefónica por videollamada ya que no quieren ser vistos.
  • Si intentas contactar con dichas personas desde otros móviles, no suelen contestar, se piensan que les estás espiando o investigando.
  • Si buscas su ubicación en Google Maps te das cuenta que no existen, puedes llamar a algún lugar de las inmediaciones para comprobarlo.
  • Piden las transferencias de fondos a bancos que no tienen sucursales, sólo existen en Internet.
  • La mayoría quiere el dinero de las inversiones en dinero a cuentas extranjeras, o en Bitcoin u otras criptodivisas muy fuertes.
  • -Se conectan con Anydesk o TeamViewer e insisten en abrirte una cuenta en Binance u otro exchange, ellos mismos lo hacen todo, o si tienes allí dinero te lo limpian.
Al final, tienen que montar la tienda rápido, estafar al máximo volumen de víctimas, y cerrar la web para montarla en otro dominio y comenzar otra operación, como vimos en el artículo de este fin de semana en el blog, con lo que van a "volumen", no a ser la estafa perfecta, ya que la mayoría de las víctimas ya están predispuestas a ser estafadas desde antes de caer en sus redes.

Conclusión y últimos consejos

Para terminar hay que tener presente que las criptodivisas tienen cosas realmente buenas pero la no regulación es la peor cara de este mundo. Se ha pasado de necesitar muchos permisos para ser un Broker, todo regulado por la CNMV (Comisión Nacional del Mercado de Valores) al Salvaje Oeste. Los consumidores han perdido gran parte de sus derechos y el lado amargo de todo esto son los miles de millones que se roban cada año entre estafas y hackeos. Si quieres ser dueño de tu dinero y convertirte en un inversor tienes que trabajarlo desde el punto de vista de la investigación de mercados, y el análisis detallado de en qué y cómo inviertes, algo para lo que se necesita conocimiento, o contar con ayuda.

Figura 3: Las ciberestafas con criptomonedas por Deckcard23

En caso de haber sido víctima de una ciberestafa puedes contactar con nosotros. Cuanto antes lo detectes será mejor puesto que el tiempo corre en tu contra. Aún así, aunque somos expertos en recuperación de criptodivisas con grandes éxitos hasta la fecha cuando tiene que ver con la pérdida de semillas, contraseñas, formateo o rotura de hardware con wallets, y similares, en el caso de las ciberestafas es prácticamente imposible conseguir recuperar el dinero. Una vez que llega el dinero de una cuenta a otra en la Blockchain ya no se puede retroceder. Normalmente sólo se puede investigar el ciberdelito, crear un dossier o un informe pericial. Nosotros lo aconsejamos por los siguientes motivos:
  • Dejar bien documentado lo ocurrido por si en un futuro se detiene a los autores.
  • Asesorar a la víctima para que entienda bien cómo lo han hecho y evitar que le suceda de nuevo.
  • Informarle de los pasos que debe seguir una vez estafado.
  • Ayudar a las FFCCSE a entender lo ocurrido a la hora de denunciar los hechos. También les sirve para saber por dónde pueden investigar lo ocurrido, pues son ellos los que más medios tienen para poder detener a los autores.
Quiero, para terminar, agradecer a las FFCCSE por su gran trabajo en este área y por la formación que está facilitando la Policía Nacional en C1berwall Academy que no tiene precio. También me gustaría dejar una crítica a los Exchangers por no tomar más cartas en el asunto ya que ninguno está destinando fondos para la investigación de este tipo de ciberdelitos a parte de no dar el soporte adecuado a los estafados, sus clientes. Yo intenté lanzar hace unos años el proyecto ALACRYPS y no me fue posible conseguir que ningún Exchanger lo apoyara, algo que da mucho que pensar.

Saludos,

Autor: Jorge Esclapez aka Deckcard23, autor del libro “El imperio de bitcoin”, una guía para aquel que quiere aprender más sobre el origen de Bitcoin y todo lo que ha representado durante estos más de 10 años. 

domingo, enero 30, 2022

WWW, Web 1.0, Web 2.0, Web 3.0, Web3 y ¿Web 4.0?

Antes de continuar con la serie de Blockchain y SmartContracts, vamos a hacer un pequeño inciso para explicar el concepto de Web 3.0, Web3 (y la Web 4.0 también) ya que este será el ecosistema desde el cual tendremos que pensar cómo implementar nuestras ideas basadas en Blockchain y Smart Contracts. Vamos a dar un pequeño repaso a lo que se ha denominado como diferentes evoluciones de la World Wide Web, y que se han implementado desde la creación de Internet.

Figura 1: WWW, Web 1.0, Web 2.0, Web 3.0, Web3 y ¿Web 4.0?

Ya sabemos de sobra que alrededor de 1969, en plena guerra fría, surgió Internet con el objetivo de hacer accesible la información militar estadounidense desde cualquier punto del país; al principio se llamaba ARPANET y esta red contaba solamente con unos 4 ordenadores servidores distribuidos por algunas universidades de EEUU

Más tarde Internet se abrió a cualquier persona que con fines académicos que necesitase acceder a la red (o para otras cosas más bizarras, como esta transacción de Marihuana). En este punto también comenzaron a surgir los primeros conceptos de “navegador” de la historia Gopher, los cuales sólo aceptaban texto plano (ASCII).

Web1.0 o la web estática: Content, Links & Browsers

En 1989 llegaría la gran revolución cuando Sir Tim Berners-Lee creó la World Wide Web en el CERN con el objetivo de ser un sistema de intercambio de datos entre los diferentes científicos del CERN. Hasta este punto, Internet prácticamente solo servía para enviar correos electrónicos o transferir archivos. En 1991, Tim Berners-Lee creó la primera especificación de HTML un lenguaje de hipertexto para la elaboración de páginas web, y que tuviera tan solo 18 elementos lo hizo bastante simple y por tanto fácil de adoptar.


Finalmente, en 1993 surgió el segundo navegador gráfico de la historia el Mosaic (el primero fue el que creó Tim Berners Lee para sus primeras pruebas), el cual introdujo HTML como lenguaje principal para la visualización de páginas web. En ese momento la web era solamente de estática - la Figura 2 es un ejemplo de este tipo de web - y por lo tanto el usuario corriente no podía hacer nada más que navegar por internet y consumir el contenido que generasen los desarrolladores.

Web2.0 o Web social: Likes, Follows & Influencers

Se considera el fin de la Web 1.0 alrededor 2004 con la aparición de tecnologías que permitían a los usuarios generar contenido e interactuar con las páginas web. Un ejemplo claro fue la creación de Facebook en 2004. En la Web1.0 el usuario podía consumir información, ahora con la Web2.0 el usuario podría crearla también e interactuar con otros usuarios. 

Esta segunda generación tenía una nueva filosofía, la participación del usuario en los sitios web, por lo que la red pasaba a ser solamente una plataforma. El usuario para utilizar las plataformas deberá generar información; la información es lo que moverá Internet (concepto que hoy día lo tenemos asumido debido a la explosión del BigData).

Figura 4: Nube de etiquetas típica de la Web 2.0 con sus conceptos clave.

Este modelo ha provocado un gran impacto a nivel social dado que facilita la interacción entre usuarios, sobre todo en redes sociales donde la generación de contenido se da de manera masiva (sobre todo cuando la tecnología permitió tener este tipo de accesos en dispositivos móviles). Pero para que tecnológicamente esto fuera posible, se estandarizaron diferentes lenguajes y protocolos con los que los sitios web podrían cambiar el contenido de la base de datos del mismo sitio.

También cabe destacar que durante esta etapa han surgido los centros de datos e Internet se ha centralizado, teniendo así el control de este unas pocas empresas que poseen los servidores en los que prácticamente se aloja todo Internet. Este Internet centralizado ha evolucionado hasta un nuevo concepto de negocio y trabajo de lo que hoy día conocemos como “nube” o “cloud”. 

La computación en la nube será también un protagonista fundamental en la Web 3.0 y posteriores. Este nuevo modelo tiene ventajas y desventajas. La principal ventaja es la facilidad para acceder a servicios y poder de computación los cuales serían muy caros implementar on-premise. Por otro lado, la principal desventaja es la dependencia de estos servicios. Si los servicios de un proveedor de cloud por cualquier motivo se interrumpen, las empresas (y casi podríamos decir que casi todo Internet) se pararía (ya hemos visto algún que otro caso).

Web 3.0 o la web semántica: Inteligencia Artificial

La Web3.0 o también llamada “Web Semántica” - llamada así porque la Inteligencia A nos permite entender mejor el significado de las palabras haciendo más sencilla y potente la comunicación con la web - tiene un claro protagonista: la Inteligencia Artificial. Otra característica que define la Web 3.0 es el cambio de paradigma de centralización que vimos en la Web2.0 el cual deriva a otro más descentralizado, donde el usuario tenga el control de su información, aunque dependeremos de servicios en cloud más que nunca, y dependa también menos de la computación en la nube. Este concepto ya lo estamos viendo en lo que hoy llamamos Edge Computing.

Figura 5: Arquitectura de la Web Semántica.

Volviendo a la Inteligencia Artificial, ésta básicamente se encargará de cambiar los servicios que ya vimos en la Web 3.0 pero ahora de forma automatizada, con menos errores, más eficiente, etcétera (bots autónomos en las web, operaciones internas inteligentes, detección de errores y anomalías, personalización de gustos del usuario que accede, etcétera). En definitiva, la IA se encarga de analizar y gestionar datos, en vez de realizarlo el ser humano. Esto genera respuestas más eficientes y veloces en todo tipo de contextos y aplicaciones

Web3: Descentralización, Blockchain, criptomonedas, NTFs, Tokens y Metaverso (VR/AR)

No se puede decir que Web3 sea distinto a Web3.0, pero sí que los conceptos tecnológicos de Blockchain, Criptomonedas "Proof-of-Work", NFTs, Fan Tokens, Smart Contracts y los mundos virtuales VR/AR del Metaverso se han añadido posteriormente a la definición de la Web3.0 original, así que hay muchos que para diferenciarla prefieren hablar de Web3, pero es la misma evolución con más añadidos a la Inteligencia Artificial.

Antes hablamos de cómo poco a poco Internet se había ido centralizando, y que una de las revoluciones que conlleva la Web3.0/Web3 es la descentralización de la información y los protocolos mediante los cuales se rige. La Web3.0/Web3 busca no sólo ser interactiva, sino también ser más “confiable” gracias a la descentralización. Tal vez la palabra confiable sea una término un tanto desacertado porque estas tecnologías son descentralizadas, con lo cual no hace falta creer en que su comportamiento será de una manera determinada; cualquiera puede asegurarse de cómo funcionan y por ende, dada su naturaleza inmutable, de cómo funcionaran en el futuro.

Actualmente para llevar a cabo esta tarea se están utilizando diferentes tecnologías como la Blockchain y los Smart Contracts, pero no solamente ésta, sino también el uso de servicios de almacenamiento descentralizado como IPFS o protocolos para el funcionamiento de redes complejas de manera descentralizada como el que utiliza la red social Mastodon que cuenta con más de 617 millones de usuarios.

Eso en cuanto al manejo de los datos se refiere, porque la tecnología Blockchain ofrece la capacidad de crear escasez artificial lo que facilita enormemente la creación continua de nuevas tecnologías como las monedas digitales o criptomonedas Proof-of-Work, los tokens no fungibles (NTFs) o incluso sistemas de votación anónimos y descentralizados mediante los cuales se puede dirigir el rumbo que tomará una compañía.

Figura 6: The Sandbox un mundo del Metaverso basado en la Blockchain the Ethereum
  
La revolución del Metaverso será probablemente la más llamativa e importante de todas, la inmersión en la red será total y nuestra vida en Internet tomará aún más importancia de la que ya tiene. Además, gran parte de los mundos virtuales del Metaverso se basan o basarán en tecnologías Blockchain pues como ya hemos dicho facilitan el uso de monedas digitales y la creación de activos finitos junto con las facilidades que nos brinda a los desarrolladores puesto como toda la información de la Blockchain es pública podemos acceder a ella sin ningún tipo de intermediario.

¿Web 4.0?: ¿Inmersiva Total?

Aún estamos comenzando con la Web 3.0/Web3 y ya se empieza a hablar de la futura Web 4.0. Con el auge de tecnologías como la IA y el Metaverso, esta nueva versión de la web se acercará más a la interacción entre el ser humano y la máquina. Un claro ejemplo lo vemos en las gafas de realidad virtual o realidad aumentada (VR/AR) donde literalmente estamos dentro del universo que queramos simplemente con ponernos el dispositivo (donde usaremos sensores hápticos de todo tipo). Las comunicaciones serán más rápidas y más globales, lo que permitirá un mundo más conectado al que conocemos al día de hoy.

Figura 7: Ready Player One, el libro que tienes que leer 
para entender el Metaverso y la ¿Web 4.0?

En definitiva, la Web 4.0 será la evolución donde el usuario se comunique con la máquina y con otros usuarios de la manera más natural posible, utilizando la voz, la vista y el tacto dentro de universos virtuales. Todo esto siempre con la inestimable ayuda de una Inteligencia Artificial, proactiva, con autoaprendizaje cada vez más potente debido a los avances en computación. ¿Tendremos navegadores web en 3D? ¿Nos parecemos cada vez más a la película “Ready Player One'' o al mundo de "Snow Crash"?. 

Pronto lo veremos … Más artículos sobre tecnologías Web3:
 Figura 9: Contactar con Fran Ramírez en MyPublicInbox

sábado, enero 29, 2022

Los Falsos Brokers y las víctimas de sus estafas: Un negocio de escala

Llevo ya tiempo hablando mucho de esto, pero me sorprende cada día más la cantidad de víctimas y lo virulento de las estafas de los Falsos Brokers, que llevan años campando con el BitCoin y el resto de las criptomonedas. Me sorprende de manera muy especial cómo se han extendido los cuentos de las habichuelas mágicas de las criptomonedas y cómo ha llegado a tantas y tantas personas en la sociedad, que cualquiera por la calle me habla y me pregunta por inversiones en criptomonedas, como si hubiera aparecido el nuevo maná para todos.

Figura 1: Los Falsos Brokers y las víctimas de sus estafas: Un negocio de escala

Si alguna vez os han dicho lo complicado que es invertir en Bolsas de Valores, lo complejo que es jugar a "surfear" la ola de las cotizaciones bursátiles, o ser un ganador en el juego de las acciones, pues multiplicadlo por 1.000 en las criptomonedas debido a que aún hay menos controles, menos información, y menos transparencia - a día de hoy - en las cotizaciones y empresas detrás de las criptomonedas

Por supuesto hay gente que vive de invertir en Bolsa de Valores, y gestionan fondos de inversión, invierten en índices, e incluso hacen trading intentando pillar las subidas y evitar las bajadas con "stops" - de pérdidas y ganancias -. Es una profesión compleja, que exige mucha dedicación, conocimiento y disciplina, y que por supuesto respeto, donde ganar un porcentaje de la cantidad que manejas tiene siempre mucho de ingeniera y riesgo que hay que controlar. Y claro que hay gente que apuesta a hacer lo mismo en criptomonedas, pero si la complejidad de los brokers o traders en Bolsa de Valores es alta, en criptomonedas es aún mucho más compleja, mucho más arriesgada, y necesita de mucho más conocimiento.



No me malinterpretéis, no se trata de "demonizar" las criptomonedas, que de hecho creo que tienen una importancia vital en los nuevos negocios digitales que están surgiendo en la Web3 y transformando nuestro mundo actual, y que serán una pieza clave en el futuro "Metaverso", pero la inversión en criptomonedas esperando tener réditos a corto porque "todo sube", es una locura. Solo debes tener en cuenta que se trata de una estructura basada en Compra-Venta. Alguien vende, alguien compra, y solo hay ganancias si ganas tú, así que suerte.

Es cierto que como las criptomonedas "Proof-of-Work" se usan para soportar negocios Web3, sucede que al principio su valoración está siendo sostenida en unos precios de forma artificial por los inversores, que son los que compran las criptomonedas de sus empresas para empujar el funcionamiento de una Startup o una ScaleUp, pero se basa en la hipótesis de que se cruzará el punto de ruptura (el tipping-point ) en el que funcionarán solas con una economía que se autoajuste - como se planteó en BitCoin -, que no es lo que pasa en el 99% de las startups & scaleups. Esto hace que, jugar en el mercado crypto sea mucho más difícil, pero mucho, mucho, mucho más difícil que en el mercado de la bolsa de valores. Y que, si es difícil para los expertos, para los no expertos mucho más complicado.

Dicho esto, como la leyenda de las criptomonedas se ha hecho enorme, y es verdad que algunos, como en todas las historias, ganaron muchísimo dinero jugando con el BitCoin en el inicio, hoy en día siguen proliferando los portales de Falsos Brokers, que, desde grupos de redes sociales siguen capturando a víctimas una tras otra, y todas las semanas me escriben por mi buzón en MyPublicInbox para contarme algún caso.

Figura 3: Testimonio de una persona estafada por GlobalOnlineFX

En este caso en concreto se trata de un portal de inversores que se llama GlobalOnlineFX que ha estafado a una persona por redes sociales, haciendo el mismo truco de siempre. Si quieres recuperar el dinero, tienes que seguir pagando. Esto es lo que os decía que hacen todos los portales de Falsos Brokers, el dinero solo es en una dirección: de tu bolsillo al suyo, y que si alguien te dice que está ganando dinero debes preguntarle si ha podido sacar el dinero o no.

Figura 4: Criptomonedas, 875.000 clientes satisfechos en 6 años

Lo cierto es que como el número de personas que se siente atraída por los cuentos de las habichuelas mágicas de las criptomonedas es tan alto, muchas personas que no entienden cómo funcionan buscan un "broker" que les ayude, y acaban siendo víctimas sencillas de estos portales que se dedican, básicamente, a contestar correos y recibir dinero. Este en concreto de GlobalOnlineFX está publicado en una dirección concreta de Estados Unidos que puedes ir a visitar en Google Maps

Figura 5: Dirección de la empresa que puedes buscar en Google Maps

Allí hay una referencia a otra empresa - que se llama FXOptionTrade.com de la que hay una referencia de una persona que ha sido estafada. El truco, el de siempre, falsos brokers para invertir en criptomonedas, igual que GlobalOnlineFX que presume de 100% de clientes satisfechos. Curioso lo fácil que es localizar que esta información no es cierta.

Figura 6: En esa dirección hay otra empresa FXOptionTradeLive

Pero es que si buscamos FXOptionTradeLive en Google, podemos ver que hay ya empresas ofreciendo servicios - previo pago - para recuperar inversiones de este portal - lo que aún huele mucho peor, porque el dinero que enviaste a este portal está fuera de cualquier alcance -, así que ojo con contratar estos servicios con ligereza. 

Figura 7: Reseña en Google Maps de FXOptionTradeLive

Y mucho más flagrante, es que FXOptionTradeLive.com no ha desaparecido, simplemente ha cambiado de dominio a FXOptionTrade.liveAl final, es una plaga. Una auténtica plaga de pescadores buscando pillar a muchas víctimas que van a entregarle sus 200 € como cuota de inicio, y ver cuánto más les pueden sacar. Y es una pena que cuando llegan a mí esté ya como os conté en este artículo, donde os dejé algunos testimonios de gente que había invertido todos sus ahorros.

Figura 8: Nuevo dominio, mismo truco. FxOptionTrade.live

Repito que mi idea no es demonizar ni mucho menos las criptomonedas y la economía digital basada en Tokens en la Web3, que me parece un modelo de hacer crecer un negocio repartiendo los beneficios con los usuarios de estos, pero que jugar a ser un trader de criptomonedas es una profesión de riesgo, y que buscar un broker online por una referencia en una red social para "forrarte" es el mejor camino para ser estafado, así que, por favor, avisad a vuestros amigos y familiares.

Figura 9: Entender e investigar BlockChain & BitCoin
de Felix Brezo y Yaiza Rubio en 0xWord

Por favor, todos los testimonios que podáis compartirme con experiencias reales de personas que han sufrido con esto, ayudarán a que la gente se conciencie, así que si podéis, dejadme la información que me encantará analizarla y compartirla para evitar el máximo posible de futuras víctimas.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  


viernes, enero 28, 2022

Cómo la app “SaludAndalucía” generó y subsanó un problema de niveles de seguridad de acceso a datos

Adaptar la usabilidad y la universalidad de las apps que usan la mayoría de los ciudadanos es siempre un reto para la seguridad. Incrementar los mecanismos de seguridad implica aumentar la barrera de entrada y dejar atrás a los menos digitalizados, y al contrario, primar la facilidad de uso y el acceso universal, algunas veces puede llevar a tomar decisiones que, haciendo más fácil su uso y dando más acceso, generan problemas de seguridad.

Figura 1: Cómo la app “SaludAndalucía”  generó y subsanó un problema
de niveles de seguridad de acceso a datos

En este artículo os voy a contar cómo la app de "Salud Andalucía" tenía un problema de privacidad al permitir escalar desde el acceso a los datos de primer nivel a los datos de segundo nivel, y cómo lo han subsanado. 

Figura 2: Acceso a SaludAndalucia

Para poder acceder a la app, después de descargarla y abrirla en nuestro terminal, necesitamos autenticarnos haciendo clic en el botón de ClicSalud+ que está en el medio de la pantalla con forma de engranaje.

Figura 3: Acceso por Datos personales sin tarjeta sanitaria de Analucía

En esta segunda parte es donde viene la "usabilidad" frente a la "seguridad", ya que se ofrecen cuatro niveles de seguridad diferentes, y el último de ellos es simplemente "Datos Personales sin tarjeta de sanitaria de Andalucía", que es el que vamos a elegir para la prueba.

Figura 4: Acceso con Datos Personales

Los datos que se solicitan son DNI y Fecha de Nacimiento, información que por desgracia no es difícil de localizar en la red haciendo un poco de OSINT. Muchos de estos datos se encuentran directamente en el Boletín Oficial de la Junta de Andalucía, y la Fecha de Nacimiento en redes sociales con las felicitaciones de amigos y conocidos, en la propia Wikipedia, etcétera. Vamos, que no parecen datos difíciles de conseguir para muchas personas.

Figura 5: Accediendo con DNI y Fecha de Nacimiento

Para hacer esta prueba he usado datos personales míos, porque no necesitamos usar los de nadie para probar esta primera fase. Lo relevante es que este nivel de seguridad, con los datos que hay en la red, no es ninguna barrera para proteger la información y los datos de las personas, pero lo importante viene ahora, ya que si pulsamos en ClicSalud+ nos salen las opciones de seguridad avanzadas para acceder a datos más sensibles.

Figura 6: Para acceder a las citas nos piden aumentar el nivel de seguridad

Ahora, como vemos en la siguiente pantalla nos piden tres datos, que son el DNI y la Fecha de Nacimiento - que ya nos habían pedido antes - más el Número de la tarjeta sanitaria, que como vamos a ver, la propia app nos lo va a dar.

Figura 7: El único dato extra es el Número de Tarjeta Sanitaria

Como ya hemos entrado en la app, pulsando sobre el icono superior derecho, accedemos desde el mismo nivel en el que estamos a los datos del usuario, y como podemos ver, en ellos está el Número de la Tarjeta Sanitaria, así que resuelto la elevación de seguridad, lo que nos permite, con solo tener el número de DNI y la Fecha de Nacimiento llegar a información sensible.

Figura 8: En la información de usuario está el Nº de la tarjeta Sanitaria

Como el fallo parecía bastante sensible, decidí reportarlo y lo hice vía la Guardia Civil, y ahora la app de SaludAndalucía ha subsanado este fallo de seguridad. ¿Cómo lo ha hecho? Pues muy sencillo. El acceso de menor seguridad es para personas que "de verdad" no tienen tarjeta sanitaria. Así pues, si alguien que tiene tarjeta sanitaria de Andalucía utiliza este acceso con solo DNI y Fecha de Nacimiento recibe el siguiente mensaje.

Figura 9: Se deshabilita el nivel de acceso de
menor seguridad si tienes tarjeta sanitaria

Este es un ejemplo donde querer dar universalidad de acceso rebajando el nivel de requisitos de seguridad, si no se hace correctamente, puede generar un problema de privacidad. Ahora se ha aplicado una corrección que fortifica la seguridad y sigue permitiendo la universalidad de acceso, lo que demuestra que no siempre hay que sacrificar seguridad para conseguir usabilidad o universalidad.

Saludos,

Autor: Vicente de la Varga (Contactar con Vicente de la Varga - Ch3nt3)  





jueves, enero 27, 2022

De profesión "Programador de Frontales React en Aplicaciones Web". El mundo quiere cada vez menos "Yo sé de todo un poco". #HackYourCareer

El mundo de la tecnología se ha profesionalizado mucho. Esa profesionalización, con la aparición de un volumen de tecnologías enorme, conlleva una especialización. Un entendimiento cada vez más amplio de tecnologías y ecosistemas paralelos, y un entendimiento cada vez más profundo de una disciplina concreta. Como ejemplo, cuando creamos Singularity Hackers, documentamos 50 roles y profesiones distintos, con diferentes niveles de espcialización diferentes, que van desde CSO, a QA Seguridad, pasando por pentester, ciberinvestigador en CERT, auditor en BlueTeam, ethical hacker en Red Team, forense y analista de malware en el CSIRT, etcétera. Especializarse para encontrar el punto concreto donde tus habilidades son más valoradas, y donde puedes ser mucho mejor profesional porque te va a gustar.

Figura 1: De profesión "Programador de Frontales React en Aplicaciones Web".
El mundo quiere cada vez menos "Yo sé de todo un poco".

Esto sucede en todas las ramas tecnológicas hoy en día, y cuando tengo alguna charla con alguien para orientarle en su carrera profesional - algo que me piden cada vez más, algo que siempre le digo es que haga algo que le guste. Que si hace algo que no le gusta, nunca va a dedicarle todo el tiempo que será necesario para dejar de ser "uno más del montón" en ese trabajo. Y es especialmente sensible con la programación y los profesionales DEVELOPERS. Ser un buen programador exige conocer profundamente un área de disciplina hoy en día, ya que en solo un área de disciplina, hay mucho que saber.
 
Una anécdota personal sobre este ejemplo que os voy a contar. En el año 1996, cuando yo tenía 21 años, había comenzado a trabar ya, y me asignaron ser profesor de un curso de Programación de Aplicaciones Web, y el universo completo para hacer aquello consistía en saber:
  • Para el frontend:
    • HTML 3.2 (con especificaciones no completos de HTML 4 que cada uno hacía como le daba la gana)
    • Javacript recién sacado del horno que iba en unos navegadores sí en otros regular.
    • Herramientas para formatos gráficos: GIF, GIF89a, JPG, Mapas de imágenes.
  • Para el backend
    • Perl
    • PHP (Perl Host Script)
    • ASP
  • Bases de datos
    • SQL
Y más o menos con todo esto, con saber algo de redes y servicios de Internet, te contratabas un ISP, un Hosting, y te hacías tu .COM para triunfar en el boom del año 2.000, donde muchos de los que se subieron a esa ola triunfaron, otros no tanto.

Hoy en día, para ser un buen Front-End Developer, o un buen Back-End Developer, debes conocer otras - y muchas - disciplinas. Los patrones de diseño han cambiado. Antes hablábamos de Programación de páginas web reactivas, en la que se sucedía la lógica de negocio cuando había una petición desde el Front-End por parte del usuario, para luego pasar a Programación Reactiva, entendido que las aplicaciones debían comunicarse, podrían ser distribuidas, y debían tener sistemas de paso de mensajes entre ellas. La Programación Orientada a Componentes aceleró la construcción de este tipo de aplicaciones, y con el paso del tiempo, las Aplicaciones Reactivas con lógica de negocio en Front-End basada en eventos y mensajes fue haciéndose más popular, junto con las necesidades de apps en Tiempo-Real que reaccionaran tanto en situaciones de cliente como en datos de servicios en forma de Datos en Stream. Y el mundo sigue cambiando. 
Es decir, que de aquella arquitectura de tecnologías que alguien podía conocer en suficiente profundidad como para montarse una .COM, hemos pasado a un nivel de especialización enorme, en todas las áreas tecnológicas. En el caso de las aplicaciones con Front-End Reactivo este cambio ha sido mucho más importante. El cuidado con que debe construir sus interfaces tiene una importancia brutal en el negocio. 

De sus decisiones arquitectónicas, del cuidado de su código, y de la optimización de sus componentes depende el negocio. El SEO, el SEM, la hiper-personalización, el buen funcionamiento Responsive en los diferentes end-points, etcétera, es vital para que un sistema funcione o no. Los Front-End Developers son joyas de la corona, junto con el equipo e User eXperience y User Interaction para que la aplicación web funcione o no funcione en su interacción con el cliente. Sin dejar de lado la importancia del BackEnd, claro está. Pero un gran Backend no luce sin un buen FrontEnd y un Backend bueno, puede parecer espectacular con un gran FrontEnd.
Son profesionales muy demandados, que deben conocer muchas tecnologías que han surgido en los últimos años desde la irrupción de React en 2013, la biblioteca Redux, la aparición de frameworks como Angular, los nuevos entornos de trabajo con GitHub, las apps en Node, o las necesidades del despliegue continuo de Apps donde es necesario entender el mundo DevOPs, DevSecOps, las herramientas de mocking para testing Apps y conocer los ataques client-side y APIs, etcétera. Es decir, muy lejos de todo lo que era necesario antes.

Si tienes en mente emprender en el mundo tecnológico, y vas a tener una WebApp Responsive, que va a ser clave en tu negocio, vas a necesitar a estos especialistas, y si quieres aprender de estas tecnologías, puedes hacerte un BootCamp Online en FrontEnd React Developer que te pongas al día con todas ellas. Verás que son hoy en día son muy demandadas. En Telefónica, siempre tenemos ofertas de profesionales especializados en Frontend, y en la zona de Talento Tech de GeeksHubs Academy, verás que también las tienes.
Así que si quieres que tu futuro pase por la creación de tecnología para hacer servicios y/o webapps, ponte las pilas en las nuevas tecnologías, y haz una especialización profunda, que el mundo de la tecnología cada vez demanda menos perfiles de "yo sé un poco de todo".

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  


miércoles, enero 26, 2022

Hoy "El lado del mal" cumple 17 años

Se dice pronto esa cifra. Diecisiete años hace que comencé a escribir en este blog. Antes, como sabéis los más viejos del lugar, escribía unos textos en unas listas privadas con el título de "Un informático en el lado del mal", pero solo a amigos y conocidos cercanos. Después, el 26 de Enero del año 2006 comencé a escribir en este blog, que se convirtió en mi piel digital en la red.

Figura 1: Hoy "El lado del mal" cumple 17 años

En aquel día no tenía un objetivo claro. Lo usaba para recordar y registrar lo que iba aprendiendo, lo que iba descubriendo, lo que iba viviendo. Sin ninguna pretensión. En aquel entonces, aunque es verdad que llevaba años dando charlas por España en multitud de eventos, ferias y congresos, aún no había usado nunca mi gorro de rayas. En aquel entonces simplemente comencé a escribir.

Con el tiempo, este blog fue creciendo en importancia y en relevancia para mi vida. Fue ocupando más lugar y tiempo, porque me fue dando mucho más de lo que esperaba inicialmente. Porque este blog se convirtió en muchas cosas para mí. Mi lugar de pasar resumen de mi día. Qué voy a publicar hoy, qué aprendí ayer, qué viví, qué voy a hacer mañana. Mi punto de control en el mundo digital para lo que ha sido, es, y espero que siga siendo mi vida. La tecnología.

Por el camino en este blog ha cabido de todo. Los artículos de muchos amigos. La agenda de muchos eventos, charlas, congresos, conferencias, cursos, másters. Mis intereses e investigaciones en el mundo del hacking. Los retos de hacking. La publicación de cuentos y relatos. El anuncio de hitos y nuevos proyectos. Los cambios y evoluciones profesionales. Mis anécdotas personales. Mis textos reflexivos e intimistas. El recuerdo de personas. Los tutoriales para compartir lo aprendido. Mis pequeños aportes al mundo de la tecnología. Mis gustos. Mis fobias. Mi concienzuda e inexorable transformación provocada por el tiempo. 

No pensé nunca que escribir y exhibir públicamente letras en modo "quick & dirty" pudiera ser tan reconfortante, darte tanto, exigirte tanto. Como cuando consigues la redención por haber sufrido mucho en la consecución de un objetivo. Para mí, levantarme y preguntarme qué publico hoy en "el lado del mal" es tan natural, que es parte de las tareas esas que me fiscaliza "el demonio cabrón". Y me compensa. 

Siento, además, que el día que deje de querer publicar, será el día que habré dejado de querer ser parte de la vida. Que me habré convertido en otra persona. Que ya no seré Chema Alonso. Ni Josemaricariño. Seré alguien distinto. Una persona mayor que se ha dejado llevar fuera del hoy. Que se ha implantado en la resistencia al cambio. En querer hacer algo que no sea crear tecnología. Disfrutar la evolución. Emprender nuevos proyectos. 

Así que, a todos los que venís aquí a diario. A los que os habéis tenido que operar la vista. A los que ahora usáis gafas o habéis configurado la resolución más grande. A todos los que venís a ver cómo estoy. De qué habla hoy Chema Alonso. Qué ha puesto éste en su blog. A los que chequeáis que estoy vivo solo porque sigo publicando. A los que me habéis ayudado a hacer pruebas, hacks, e inventar locuras. A los que habéis cruzado vuestras vidas con las mías un rato del camino solo porque caisteis, tropezasteis, u os encontrasteis un día leyendo un post. Y habéis venido más. A todos los que habéis compartido algo más allá en mi vida después.  A los que habéis venido a verme hablar. Gracias por venir a verme.

Yo seguiré escribiendo para que vuelvas, para que regreses, para que te animes a estar cerca de este lado maligno mío. Al final, queramos o no, el tiempo que tenemos en la vida para hacer cosas es limitado, pero mientras tenga un minuto que gastar en vivir, publicaré por aquí, con la esperanza de que vuelvas otra vez.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  


martes, enero 25, 2022

Cada día nuevas criptomonedas. Cada día nuevos ups & downs

Si habéis visto que últimamente estoy hablando más de Blockchain, BitCoin, SmartContracts, Criptomonedas "Proff-of-Work", NFTs, Fan Tokens o los Mundos Virtuales, es porque creo que esta evolución de la Web 3.0 es imparable, como sucedió con la Web 2.0 y la llegada antes de la WWW. Eppur Si Muove, y disfruto con este caos loco de evolución tecnológica. Pero no os vayáis a tomar este interés en todas las tecnologías, modelos de negocio y creación de valor en el mundo digital, que van a sostener el Metaverso, como que Chema Alonso está invirtiendo en criptomonedas y lo recomienda.

Figura 1: Cada día nuevas criptomonedas. Cada día nuevos ups & downs.

No, Chema Alonso ni lo recomienda ni lo deja de recomendar. Estas formas de creación de modelos de valor son evolución de la economía digital como reacción y solución a problemas que tienen las economías de nuestras sociedades, pero distan mucho de ser perfectas, y tienen, como en la "economía" clásica de acciones que surgió en la Europa de las Empresas Marítimas y la bolsa de Amsterdam a principios del Siglo XVII, mucho riesgo, fraude y estafas.

Las bolsas de las criptomonedas

Pero también muchas cosas buenas, que son las que hay que aprender, utilizar, y evolucionar. Por eso, últimamente me dedico a revisar qué nuevas empresas han llegado a la economía de la Web 3.0 con nuevas criptomonedas, que son muchas. Es suficiente con irse a un Exchanger y ver las nuevas monedas que se han listado, donde no son pocas. Por ejemplo, en CoinMarket se han listado en el último día ha habido 12 nuevas monedas dadas de alta.
Cada uno de ella con una historia detrás que hay que entender. Con una propuesta de empresa, con una forma de construir la moneda, con un modelo de negocio detrás para sostener el valor que puedes creerte o no. En el caso de Metania Games, parece que es una plataforma de PlayToEarn, con un market de NFTs y objetos, niveles, etcétera para los gamers. ¿Hay que invertir en Metania? Pues no tengo la respuesta, evidentemente, por mucho que haya una evolución de cotización. No lo sé.
A partir de aquí, hay una fase en la que la moneda va a ser sostenida en su valor por los inversores, que compran emitiendo órdenes de compra en el Exchanger la moneda que se genere en las plataformas, pero después deberá existir un motivo económico para que alguien quiere emitir órdenes de compra a un valor concreto. Es decir, será la ley de oferta y demanda en función del valor que haya detrás de ese bien. Y por supuesto, también cuenta con el factor especulativo, donde una criptomoneda que no tiene ningún valor detrás, alguien se lo quiera atribuir.
Por supuesto, se parece mucho al mercado de bolsa de valores de empresas, donde alguien invierte porque le van a dar beneficios a final de año, porque especulativamente puede crecer, o porque va a sostentar mucho valor en el futuro el uso de esa criptomoneda porque será necesaria para muchas actividades económicas de valor de compra y venta. Por ejemplo, si quieres firmar en la cadena de bloques de Ehtereum necesitas Gas, si hay mucha demanda de firmas en la cadena de bloques subirá el precio del Gas por firmar. 

Reflexión final

Pero... como decía el gran Linus Torvalds en el año 2006 en una entrevista, "el tiempo para soluciones sencillas a problemas sencillos hace mucho que pasó", y por supuesto, como esto es ley de oferta y demanda, compra y venta, alguien compra, alguien vende. Y las cosas pueden pasar. La empresa puede dejar de funcionar, la cadena de bloques que utiliza puede desaparecer, la moneda de esa empresa se puede diluir por un error de control en su generación, y por supuesto, también muchos otros inversores pueden tirar las cotizaciones, subirlas artificialmente para sacar tu avaricia, etc....

Figura 5: Libro dedicado a "Bitcoin: La tecnología Blockchain y su investigación"
de Yaiza Rubio y Félix Brezo

En definitiva, es muy similar a jugar en la bolsa, pero sin tanto control, y a veces según mi experiencia, con muchos inversores que compran y venden criptomonedas en función de tendencias en plazos de tiempo que pueden llevarlos a tomar decisiones desinformadas y de riesgo. Por eso, en el último año he estado prestando mucha atención a todo este "Tsunami 3.0" que ha llegado, para entenderlo mejor. Nada más. No recomiendo ni dejo de recomendar invertir, pero sí que os recomiendo muy mucho, entender cómo funciona. Más artículos sobre este mundo Web3:
¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)