Descuentos trampa en "Los 14 Días Locos de Conforama" descubiertos con Archive.org "The Wayback Machine"

¿Quién no ha visto una oferta en Internet y se ha dejado cautivar por los colores llamativos? ¿Quién no ha sentido la emoción de estar frente a una ganga cuando se puede ver que el precio original ha sido reducido en un 30%? ¿Quién ha dicho un 30%, si hasta puedes encontrar 50% y 70%? ¡El día sin IVA!, el MegaOfertón, la Super-Mega-Oferta-Definitiva. Somos seres consumistas que nos dejamos atraer por este tipo de campañas que nos llevan hipnóticos a comprar.

Pero... ¿realmente estamos seguros de que es una oferta o simplemente nos están haciendo creer que es una oferta? Pues esta es una historia real que me ha contado un lector del blog y que me ha hecho mucha gracia por la desfachatez de la misma. Es una una oferta de Los 14 Días Locos de Conforama, que no es tan oferta y que ha sido pillada por uno de los sistemas que a veces usamos para hackear sistemas: Archive.org

Figura 1: Según Conforama están derritiendo los precios

El sitio de The Wayback Machine es como la hemeroteca de las páginas web. En ese sitio puedes ver cómo ha ido cambiando una página web a lo largo del tiempo, puedes mover el dial de la historia y ver cómo se podría ver una URL hace seis meses, un año o hasta 10 años si lleva mucho tiempo en Internet.

Figura 2: En Archive.org puedes ver el pasado de cualquier URL

Así que, nuestro amigo Alex, vio un ofertón en la tienda de Conforoma en el que se podía ver que un mueble contaba con un 50% de descuento sobre el precio original del producto. Una oferta sin duda que como tal, debe ser solo por tiempo limitado, final de existencias, o cualquier otro motivo que lo justifique como estos 14 Días Locos de Conforama.

Figura 3: El precio actual, con un 50% de descuento. Un ofertón.

Nuestro amigo, conocedor de otros sitios web que a veces no hacen tan buenas ofertas como propone y como además conoce las maravillas de Archive.org, decidió que podría ser una buena idea el comprobar cómo había ido variando el precio de dicho producto. Puso la URL del producto en The Wayback Machine y movió el dial de la historia hasta, por ejemplo, el 2 de Enero de este año, y esto es lo que se puede ver.

Como veis, el precio final no ha variado un ápice en estos 8 meses, - y tampoco dentro de estos 14 Días Locos de Conforama - pero lo mejor de todo es que sí, que ¡el descuento ha aumentado! Ha pasado de un simple 33% a un maravilloso 50%... 

Figura 4: En Enero de 2014 la oferta era menor porque el mueble costaba menos.

¿Cómo es esto posible? Pues por la inflación de las cosas - y eso que el gobierno en España dice que los precios están bajando. Ni mucho menos, el precio de este mueble, como el de los buenos vinos ha subido durante estos 14 Días Locos así que en lugar de derretirse los precios crecen solitos. Este mueble se ha debido convertir en un clásico. Por suerte para el comprador, Conforama ha decidido subir el descuento durante estos 14 Días Locos y mantener el mismo precio. Ahí la oferta.

Lo cierto es que este truco lo puedes hacer con muchas tiendas online, y si haces como Alex y sacas una copia de cada URL con el servicio de web firmada de eGarante, tal vez puedas utilizar esta información para denunciar públicamente alguna falsa campaña de promoción como esta.

Saludos Malignos!

Evernote no quiere hacer nada: ¡Cuida tus publicaciones!

La historia que os voy a narrar ahora tuvo lugar hace más de dos meses con Evernote, pero por la naturaleza de la misma no he podido ni querido publicarla antes. Ahora he sacado un poco de tiempo para contaros con detalle toda la historia, porque sigo indignado con el soporte y creo que es ya demasiado tiempo sin hacer nada. Es una aventura larga, así que más vale que te sientes cómodo en la silla, prepares el cafe y estés tranquilo los próximos minutos. No es artículo con mucha sesera técnica, pero sí que es de longitud, así que ten paciencia.

Evernote y la indexación de las carpetas públicas

Son muchos lo usuarios que publican cosas en abierto en sus cuentas de Evernote. Hasta aquí no hay demasiada novedad. Eso sí, hay que tener cuidado con que se publique una cosa privada cómo pública, porque entonces viene todo el lío. En un artículo en el que hablaba de las posibles fugas de información por las revisiones de artículos con WordPress usaba Evernote como un posible punto de falla para que algo que debería ser privado acabara indexado en la base de datos de Google.

Figura 1: Casi 40.000 documentos públicos en Evernote

Digamos que en una de esas búsquedas, dentro los miles y miles de cosas que hay en abierto di en el Índice de Google con un documento de Evernote en el que un usuario había guardado todas sus identidades [usuarios y passwords] de servicios online. Esto se podía ver en los resultados que muestra Google, pero al hacer clic en el enlace, el resultado es que el usuario había des-publicado de Evernote es documento, y no se podía acceder a ello.

Figura 2: El documento ya no estaba publicado en Evernote

Por supuesto, lo siguiente que había que probar era si ese documento de Evernote estaba disponible en la Caché de Google, pero al intentarlo, no había nada disponible. Por eso de cubrir todas las posibilidades mire en Bing y hasta en Archive.org, pero no. El documento no estaba guardado en ninguno de esos sitios. ¿Eso quiere decir que están a salvo las credenciales que publicó ese usuario? La respuesta es NO.

La Caché de Google y el Índice de Google

Aún mucha gente no entiende las diferencias entre el Índice de Google y la Caché de Google. Digamos que la Caché de Google es un almacenamiento de documentos que han sido visitados por el bot mientras que el Índice de Google es una base de datos en la que el bot guarda la información necesario para poder hacer las búsquedas.

Cuando alguien busca en Google, los resultados se traen directamente desde la base de datos que tiene indexada el motor. En ella no están todos los resultados de Internet, ni mucho menos, y tampoco todos los resultados de un sitio que Google esté analizando. Esto os lo expliqué en el artículo en el que hablaba del Índice principal y el Índice secudario de Google. 

La Caché de Google es, por otro lado, una especia de Archive.org temporal, pero solo para algunos de los documentos que Google indexa. No tienen porque estar todos los indexados, pero sí que no va a estar ningún documento que no haya sido crawleado y puesto en el índice en algún momento. Algunas veces, es posible ver un documento que ya no existe y que aún está en la Caché de Google.

Dicho esto, al final cuando una página web, como por ejemplo un documento público de Evernote es analizado por Google, la información que en él se contiene puede quedar en múltiples sitios, siendo uno de ellos el Índice de Google, que no tiene nada que ver con la caché.

Figura 3: Aunque el documento se quite de Evernote, ha sido copiado en muchos sitios

Por supuesto, en el Índice de Google no está la copia del documento, sino los datos filtrados para que los usuarios puedan encontrar la información. No está, por ejemplo el CSS del documento, pero sí las cadenas de texto que están contenidas dentro de la web analizada. En el caso de un documento de Evernote se encuentran, por ejemplo, las cadenas que el usuario haya escrito en él, como en este caso, los usuarios y contraseñas de sitios web.

Extraer los datos del Índice de Google

Extraer todos los datos del Índice de Google no es trivial, pero tampoco es rocket science que dicen los anglosajones. En cada petición vas a obtener solo un par de líneas de resultado, por lo que si el documento tienen muchas líneas va a ser una ardua tarea extraer todas. Además, Google no va a guardar absolutamente todo el texto de una web. En el procesado de textos para búsquedas se aplican algoritmos que extraen las partes importantes y quitan el resto.

Es decir, ni hay garantía de que el Índice de Google tenga toda la información, ni de que puedas extraer todo con búsquedas, pero ... seguro que puedes sacar un buen trozo. Y eso es lo que hice. Primero manualmente, y luego con una herramienta que hemos hecho en Eleven Paths y que en cuanto esté depurada y pase por QA os pondremos a disposición pública.

Al final, lo que hice fue probar búsquedas con todas las palabras que habían salido una vez, y luego con un pequeño diccionario, todas restringidas a la URL, para poder sacar, haciendo un poco de Hacking con Buscadores, el máximo posible del índice. Y creedme que salió una cantidad bastante grande de datos. 

La protección contra el Indexado y la Caché en Google

Por supuesto, Google ofrece a los dueños de los sitios web herramientas para evitar tanto la indexación como el cacheo de contenidos. Herramientas distintas para cada opción. En primer lugar, para evitar la indexación de URLs de forma preventiva se puede usar la tag HTML NoIndex, y el HTTP Header X-Robots-Tag "NoIndex". Eso evitaría que cualquier URL que se encuentre - sea como sea - acabe en el índice.

En el caso de Evernote, evitar la indexación de contenidos no tiene sentido, ya que hay muchos usuarios que utilizan Evernote como su punto de publicación de cosas, como si fuera un blog, una web o un Tumblr. Si lo hacen público es porque les interesa que sea público y visitado por otros, así que, el que los visitantes encuentren sus contenidos vía un buscador como Google es una buena cosa.

Ahora bien, si en un determinado momento el administrador de un sitio quiere evitar la indexación de algunas URLs, puede hacer uso de los famosos robots.txt - que solo evita que se indexe el contenido y no la URL si es localizada por otros medios -. Para borrar cualquier rastro de un documento en el Índice de Google, incluida la URL, el dueño del dominio, siempre podrá eliminar cualquier URL usando las Herramientas del Webmaster. Solo si eres el dueño del dominio o si se ve afectada tu privacidad y lo solicitas tú. Y aquí viene todo el problema.

El reporte al equipo de soporte de Evernote

Dicho todo lo anterior, al ver que el usuario había des-publicado el contenido, intenté avisarle de que aún era posible extraer la información del índice. Busqué las direcciones de correo que pude del usuario y le puse un par de correos, que no sé si llegaron, porque no me contestó y nada pasó. Lo cierto es que no conseguí localizarle.

Después de eso, me puse en contacto con un viejo amigo del equipo de seguridad de Google, que me volvió a confirmar lo que ya sabía. La URL del Índice de Google solo la puede sacar el dueño de la URL, es decir, el administrador el dominio del que cuelga la URL: En este caso Evernote. Esta es la línea temporal de los acontecimientos.

1 y 2 de Junio: Primer Intento

Con estas me puse en contacto con Evernote y le conté todo el caso. Le pasé la información, el correo que había enviado al usuario, los datos que estaban en el Índice de Google, y le expliqué que solo debían eliminar la URL con las Herramientas del Webmaster de Google y listo. Este fue el correo que les envié.

Figura 4: Reporte a Evernote con el correo enviado al usuario

Por supuesto, como era de esperar en la primera contestación pasaron de leerse en detalle mi correo y me contestaron que todo estaba OK, que ya el usuario había des-publicado el contenido de Evernote. FAIL 1.

Figura 5: Evernote contesta que el usuario ya ha des-publicado el contenido

Me armé de paciencia y le expliqué que el problema es precisamente ese, que el usuario ha quitado el contenido de la web de Evernote, pero que es Evernote quien tiene que quitar el contenido del Índice de Google. 

Figura 6: Segundo correo a soporte de Evernote insistiendo sobre el problema

10 de Junio: Segundo Intento

Tras una semana de paciencia sin dar ninguna contestación, el día 10 de Junio, vuelvo a responder al correo electrónico para insistirles en que son ellos los que deben eliminar el contenido. Como no me han contestado les digo que entiendo que si no me contestan más es que pasan del tema y que lo dan por zanjado.

Figura 7: Insisto el día 10 de Junio en un tercer correo

Pero me contestan. De nuevo, pasan de mover un dedo y de leerse en detalle mi correo. Me dicen que es decisión del usuario contactar con Google para que elimine la URL de la Caché. Dos errores gordos impropios de una empresa que quiere ser alguien en el mundo de Internet. FAIL 2.

- Error 1: No está en la caché, está en el índice.
- Error 2: El usuario no puede pedir a Google que quite la URL, solo Evernote.

En mi cuarto mensaje de correo, el quinto en total intentando resolver este problema, les explico la diferencia entre la Caché y el Índice de Google, y les transmito - de nuevo - que el único que puede quitar el contenido del Índice de Google cuando la URL cuelga del domino Evernote.com es el administrador de Evernote.com con las Herramientas del Webmaster de Google.

Figura 8: Explicación a Evernote por enésima vez que el contenido está en el Índice Google

Para enfatizar aún más por qué es importante que hagan esto les explico que si el usuario ha querido quitar el contenido de Evernote, es porque no quiere que el contenido sea público y que ellos pueden eliminar los datos del índice fácilmente. El usuario puede tener la "falsa sensación de seguridad" de que el contenido ya no es público.

Figura 9: Último intento de enfatizar el asunto

Tras este mensaje, parece que el usar mayúsculas les hace intentar entender qué es lo que estoy explicándoles. Total, solo han tardado 10 días en comprender qué es lo que les estaba reportando. A lo que entonces, contestan que su política es no hacer nada, y se quedan más anchos que largo.

Figura 10: Lo hemos entendido, pero no vamos a hacer nada.

12, 18 y 19 de Junio: Tercer contacto

Yo ya no les contesté a ese correo, y el día 12 de Junio me volvieron a escribir para ver si tenía algo más que decir. Yo les contesté que no, que ya estaba esperando a que se borrase de forma natural el contenido del Índice de Google para publicar este artículo - con la esperanza de que se eliminase pronto -.

Figura 11: Último correo mío al respecto de su decisión de política

Tras ese correo, tardan una semana otra vez, pero parece que piensan que "a lo mejor" todo lo que yo estoy diciéndoles es bueno para ese usuario - que ha cometido un error gordo y que es usuario de Evernote - preguntarle si desea eliminar el contenido del Índice de Google Algo que parece razonable.

Figura 12: Parece que van a poner algo de sentido común al caso.

El día 19 de Junio yo les contesto que me parece una aproximación a la solución del problema mucho más adecuada que la primera respuesta. Creo que esto lo tenían que haber hecho el día 1 de Junio, y no casi veinte días después.

Figura 13: Último correo intercambiado

¿Se eliminó a día de hoy el contenido?

Yo he ido siguiendo el estado de esa URL en el Índice de Google, y os juro que parece cuasi inmortal. Han pasado más de dos meses desde que la descubrí y ayer la firmé digitalmente en las búsquedas con eGarante, por si en el futuro me dicen que la cosa fue rápida.

La política de Evernote es no hacer nada y nada van a hacer. Algo que yo no comparto, porque si ya saben que el usuario ha querido quitar esa publicación, él no espera que esté eso en el Índice de Google. Ellos no lo avisan en ningún momento en su web. Nunca dice la web de Evernote que los datos permanecerán en Google tiempo después de su des-publicación. 

Ahora, tras este caso Evernote lo sabe, así que creo que deberían avisar a los usuarios o hacer algo al respecto. Fuera del canal de soporte les he transmitido mi malestar con su comportamiento en este caso concreto, y creo que debería ser cuasi ipso-facto el que si un contenido de una web de un servicio como Evernote deja de estar publicado se elimine del Índice de Google o que al menos las webs tengan un sitio para pedir este borrado avisando de la situación. No solo en Evernote, sino en cualquier otra web que haga algo similar.

Puede ser incluso que el usuario no conteste a día de hoy porque ya le robaran las cuentas antes de que yo me pusiera en contacto con él explicándole el problema. Si el usuario se diese cuenta de esto, podría forzar al borrado del contenido del índice de Google de esta forma: Solicitar borrado de contenido del índice de Google aunque el sitio no sea tuyo.

Por supuesto, entiendo que el error - seguramente por desconocimiento de lo que estaba haciendo - lo comete el usuario, pero en ningún caso Evernote ha mostrado sensibilidad por los datos de su usuario. Por supuesto, tirarse 19 días intentando explicarles el problema tampoco fue nada divertido, y espero que si más investigadores les reportan problemas presten más atención a los reportes.

Saludos Malignos!

La Guardia Civil usa eGarante para denunciar delitos

Hace ya tiempo, desde que Yago Jesús (@YJesus) presentó su iniciativa empresarial eGarante para firma por un tercero de confianza de correos electrónicos y páginas web, que en los artículos de denuncia de acoso en Facebook o Twitter, o de la existencia de contenido en la red que sea en sí una delito, siempre recomiendo utilizar eGarante. Incluso para contenido que puede verse solo en sitios privados de las redes sociales o Evernote, existe un plugin que ayuda a firmar digitalmente lo que allí se muestre.

Figura 1: Funcionamiento de eGarante en 99 segundos

La solución es sencilla y fácil de usar por todo el mundo y de hecho el año pasado ganó el Premio ENISE a la mejor iniciativa emprendedora en ciberseguridad, debido a los valores de la iniciativa. A mí personalmente me gusta mucho desde siempre, y por ese le pedí incluso que integrara Latch en las cuentas del sistema, para tener mi cuenta con mi pestillo digital. 

Ahora ha sido el Ministerio del Interior de España, quién ha decidido respaldar un poco más la iniciativa, y todos los ciudadanos que deseen denunciar un contenido ilícito en la red, podrán utilizar eGarante desde el portal de denuncia del Grupo de Delitos Telemáticos de la Guardia Civil que hay en Internet.

Figura 2: Anuncio del uso de eGarante en las denuncias online de la Guardia Civil

Si ves un contenido ilícito, denuncialo usando eGarante. Si te están acosando por las redes, ya sea vía Twitter, Facebook, foros o cualquier otro medio, denúncialo usando eGarante. a través del formulario de denuncia online del GDT de la Guardia Civil. El contar con una evidencia digital firmada por un tercero de confianza siempre ayudará a la resolución del caso.

Figura 3: En el formulario de denuncia del GDT podrás usar documentos eGarante

Desde aquí, aprovecho para felicitar a Yago y sus colaboradores en esa iniciativa de eGarante, ya que creo que hace falta mucho emprendedor así en este país y les doy la enhorabuena por todos los éxitos que están consiguiendo.

Saludos Malignos!

Cómo comenzar a utilizar Latch en tu vida digital desde hoy

Si has escuchado mucho sobre Latch y has pensado en probarlo alguna vez, este artículo te ayudará a comenzar de la forma más sencilla posible, ya que te permitirá jugar con la tecnología de una forma rápida. Además, te voy a dejar algunas recomendaciones de uso, así que vamos a ello, paso a paso.

Paso 1: Necesitas descargar la app de Latch a tu smartphone

Para ser usuario de Latch lo primero que necesitas es descargar la app de Latch para Windows Phone, Android o iPhone y desde la misma app podrás registrar un cuenta de usuario de Latch y activarla. Así que, como paso inicial, descarga la app. En la siguiente URL tienes los enlaces de descarga de los markets.

Figura 1: Enlaces a las descargas de Latch para Android, iPhone y Windows Phone

Paso 2: Necesitas un correo electrónico anónimo

Para manejar los pestillos se utiliza una cuenta de correo electrónico. Para protegerte al máximo, esa cuenta debe ser anónima, es decir, no debe contener ningún dato personal tuyo. Yo te recomiendo alguna cuenta que pertenezca a un dominio que tu gestiones directamente o que uses Gmail o Hotmail. Usar Gmail o Hotmail tienen la ventaja de que puedes añadir un 2FA basado en SMS o Google Authenticator para evitar que te puedan robar alguna vez la cuenta de correo anónimo que gestiona tu Latch.

Figura 2: Verificación en dos pasos con Google Authenticator en Gmail

Si alguna vez pasara que te robasen la cuenta que gestiona tu Latch, no te preocupes, nadie podrá acceder a tus cuentas protegidas por Latch y solo deberás hablar con los proveedores de tus identidades para que borren los Latches creados después de verificar que tú eres tú. 

Paso 3: Registra tu cuenta de Latch

Cuando ya tengas la app de Latch en tu smartphone y la cuenta de correo creada, lo que debes hacer es abrir la app de Latch y desde la pantalla de inicio deslizar hacia donde dice "Descubre Latch". Esto te llevará a cuatro pantallas que explican el proceso de pareado de cuentas. En la última de ellas, tendrás la opción de comenzar el Proceso de Registro.

Figura 3: Descubre Latch y pantalla de registro

Cuando comienza el proceso de registro, solo se te va a abrir un formulario con los campos que se pueden ver en la Figura 4. No se pide ningún dato personal, todo es totalmente anónimo. Solo necesitas introducir la cuenta de correo, el nombre con el que quieres que te comuniquemos. Yo he elegido Pato Donald, que siempre me ha gustado, y la contraseña que quieras usar.

Figura 4: Registro de la cuenta de Latch

Paso 4: Activa tu cuenta de Latch

Cuando des al botón de Registrarme, se enviará un correo electrónico de confirmación al buzón de tu correo electrónico. En él, viene un enlace de desafío con un token único para completar el proceso de registro.

Figura 5: Correo electrónico para activar la cuenta de Latch

Si te falla porque tu cliente de correo ha cortado el hipervínculo, en el mensaje tienes las instrucciones para manualmente crear el enlace de confirmación adecuado. Cuando hagas clic, ya podrás comenzar a usar Latch con tu cuenta. El siguiente vídeo te muestra cómo puedes utilizar Latch con Nevele Bank.


Figura 6: Demostración de todas las funciones de Latch en Nevele Bank

Paso 5: Pareando tus primeras cuentas

A día de hoy hay integradas más de 1.200 aplicaciones integradas en Latch. Por la arquitectura del sistema, muchas de ellas no sabemos qué son o dónde están, ya que son integraciones propias de servicios o sitios integrados con alguno de los plugins disponibles para los frameworks de Internet.

Figura 7: Estadísticas de apps integradas en Latch

Sin embargo, te puedes sacar una cuenta de los siguientes sitios en Internet y proteger la identidad con Latch. Esta es una lista corta para que empieces a probar:

- Canal cliente de Movistar en España: Guía de instalación de Latch
- Canal cliente de Movistar en Uruguay: Igual que canal cliente de España
- Universidad de Salamanca: Entorno de Single Sing-ON con Latch
- Cuenta de Tuenti: Manual de Latch en Tuenti y HTTPs
- Cuenta de Shodan con Latch
- Cuenta de 0xWord: Tiene implementado OTP opcional
- Cuenta de Nevele Bank: Implemetado Latch con operaciones y OTP opt-in
- Cuenta de eGarante con Latch
- Cuenta de RecoverMessages con Latch
- Panel de Control de Acens con Latch

En cuanto vayan acabando las implementaciones de sitios grandes que tenemos en curso, os iré informando de ello. Si queréis implementarlo en vuestro sitio, poneros en contacto con Eleven Paths y si queréis que se implemente en algún sitio, pasadnos la información para explorar las posibilidades.

Saludos Malignos!

Usar Latch en eGarante y Shodan

El número de servicios que utilizan Latch crece día a día y lo bueno es que, debido a la arquitectura privada y anónima del mismo que se describe en el artículo de Latch: Cómo proteger identidades digitales, no sabemos muy bien qué es lo que está protegiendo. Nos gusta ver por Twitter o por correos electrónicos como la gente nos cuenta que ya ha integrado Latch en sus sistemas y que está contento por cómo funcionan. Sí que tenemos una estadística de cuántos sitios se han creado en Latch, y como veis el número es superior a 600 a día de hoy.

Figura 1: Número de sitios conectados a Latch

Esta tarde, en la sesión de RootedCON voy a explicar someramente cómo funciona el servicio, pero me voy a centrar en qué cosas se están haciendo y se pueden hacer con los Digital Latches. Para ello os enseñaremos alguna herramienta con algún ejemplo. Por si quieres probar el sistema tú mismo, o si quieres proteger alguna de tus posibles cuentas, dos sitios de seguridad han incluido Latch en estos días.

Latch en eGarante

El primero de ellos es eGarante, que para proteger los datos de la cuenta ya ha añadido el soporte de Latch. Es suficiente con ir a las opciones de Perfil, y allí encontrarás el lugar para poner el Token Temporal de Pareado, parearte y si lo quieres desparearte.

Figura 2: Latch en eGarante

El otro sitio que también lo ha puesto en producción ya es Shodan, el famoso buscador para hacer hacking con buscadores, que tanta vida nos ha dado a laso pentesters. John Matherly (@ahillean) lo integró, y basta con ir a Settings -> Security para encontrar las opciones de Latch para el pareo despareo de las cuentas.

Figura 3: Latch en Shodan

John no solo lo integró en menso de 2 horas - desde que comenzó a leer la documentación hasta que lo tuvo puesto en producción - sino que además nos escribió un e-mail para contárnoslo y enviarnos una mejorar en el SDK de Python que amplia la compatibilidad hacia atrás del mismo. Grande.

Esta tarde contaré más cosas en la RootedCON, pero si queréis ir abriendo boca, ya podéis bajar vuestras apps de latch de los markets y probarlo con eGarante y Shodan.

Saludos Malignos!