Normalmente levantarme de la cama resulta una tarea titánica, algo cuasi-imposible que conlleva que mi mujer (mi no posesivo) patee mi (este sí es posesivo) costado hasta que resulta doloroso permanecer en posición horizontal. Hoy no ha sido así, es de los raros días que me he despertado antes que ella, me he preparado y he salido al curro fresco cual lechuga. Eso sucediendo un lunes, ya de por sí tiene mérito, al menos para mí. Me ha resultado extraño, pero he llegado con ganas de comerme el mundo.

Pues el hecho es que dicha frescura ya ha reportado sus beneficios. Al realizar una tarea de rutina de mantenimiento de uno de los servidores de Internet de mi empresa, localizado en un datacenter de un famoso ISP internacional, me he percatado de que había un individuo intentado entrar en el FTP como administrador. Los sucesivos intentos de login (un servicio al que solo yo accedo como admin) lo han delatado. Al tirar de la manta, o del log, me he percatado de algo más grave; la IP de origen de las conexiones es la de otro servidor del mismo Datacenter. Como a mi también me gusta jugar al hacker y soy persona valiente, he dicho ¡¡Juguemos!!

Tras realizar varias comprobaciones, me doy cuenta de que los intentos también se están realizando sobre el servicio de Terminal Server (sí, uso servidores Windows, ya pueden fustigarme por ello). Tomo las medidas para evitar las conexiones desde dicha IP, reviso la política de seguridad (por ver si me he dejado algo atrás) y me pongo a investigar. Se trata de un servidor Linux, concretamente un Fedora. Parece ser un servidor dedicado, me recuerda al caso de Arsys de hace meses (los jaquers contrataron un hosting y desde ahí pusieron patas arriba varios servdiores) y compruebo que como yo pensaba, está en el mismo Datacenter que el mío.

Puesto que hacer la guerra por mi cuenta conllevaría mucho tiempo y esfuerzo, uso el sentido común (lo tengo guardado en algún bolsillo del pantalón y me pongo en contacto con mi querido ISP.

En menos de una hora me han confirmado que dicho servidor había sido hackeado, que lo han bloqueado y van a proceder a realizar la reinstalación del mismo. Enciendo un puro y digo al modo de Hannibal Smith: “me gusta que los planes salgan bien…”. Acto seguido apago el puro (no se puede fumar en el trabajo).

Una “lista Robinson” o “lista de exclusión” es una directorio de personas que han manifestado su deseo de no recibir publicidad de ningún tipo. Este tipo de listados se lleva realizando muchos años, generalmente lo hacen las empresas de prospección comercial o asociaciones con el mismo fin, para no “molestar” demasiado al personal, es decir, me inscribo y ellos ya saben que su información no será bien recibida.

El caso es que ni todas las empresas la tenían, ni era algo obligatorio, por lo que la publicidad más agresiva pasaba del tema, enviando a diestro y siniestro con la excusa de coger tus datos de fuentes accesibles al público (listín telefónico…).

Pues bien, el pasado sábado se aprobó entró en vigor el nuevo reglamento de la Ley Orgánica de Protección de Datos (RLOPD), que dice textualmente en su artículo 49.4:

Quienes pretendan efectuar un tratamiento relacionado con las actividades de publicidad o prospección comercial deberán previamente consultar los ficheros comunes que pudieran afectar a su actuación, a fin de evitar que sean objeto de tratamiento los datos de los afectados que hubieran manifestado su oposición o negativa a ese tratamiento.

Es decir, que las empresas que se dedican a enviar publicidad a diestro y siniestro, están obligadas a realizar cruces de sus datos con los de estas listas para evitar enviar a quien explícitamente ha dicho que no desea recibirla. De esta forma, se protege el derecho a la protección de los datos personales.

El punto flaco de este artículo es que no se especifica ninguna lista de exclusión en particular, solo las que puedan afectar a su actuación. De todas formas es un buen comienzo, y espero que la agencia haga las modificaciones o promociones necesarias para crear listas comunes de fácil acceso y consulta general.

En esta dirección podéis encontrar un formulario para daros de alta en una de estas listas. Lo ideal sería que se creara una a nivel nacional de obligada consulta.

Por cierto, si la publicidad que recibes es de una empresa que te prestó un servicio algún tiempo, lo más probable es que tengan tu consentimiento para enviarte esa publicidad, y aunque estés en la lista de exclusión, se basarán en dicho consentimiento para seguir haciéndolo. Es por ello que puedes hacer uso de tus derechos (OPOSICIÓN).

Cuando recibimos un correo de phishing, existe un entramado detrás del mismo que busca sacar nombres de usuarios y contraseñas de cuentas bancarias por Internet. Estos datos son recogidos por sujetos que los suelen vender a otros sujetos que se encargarán de sacar el dinero de las cuentas.

El Ojo Virtual te propone un divertido juego. Basándose en que quien envía esto pretende recibir gran cantidad de datos, vamos a hacer sus sueños realidad. La idea es acceder a las páginas (imitaciones de las reales de los bancos) y rellenar con datos no reales. Si ellos imitan, hagamos lo mismo:

Paso 1: Recibir el correo.
Probablemente sea de un banco del que no eres cliente. Incluso lo sea de uno que no sabías ni que existe. Aunque tu programa de correo se empeñe en avisarte, haz clic en el enlace.

Paso 2: Logarse en el sistema

Introduce un nombre de usuario cualquiera. Maravillas de la ciencia, esa cuenta existirá, no lo dudes. No encontrarás errores de usuario desconocido ni nada por el estilo. Por supuesto, seremos corteses y escribiremos siempre en el idioma de la web. Faltaría más!!

Paso 3: Seguir metiendo datos

Esta parte es opcional, ya que estos datos es posible que no lleguen a ningún sitio. De todas formas, si te sientes bondadoso, regala a nuestro amigo el phisher un par de minutos para rellenar el último formulario.
Seguiremos nuestra máxima de usar el idioma de la web. Dedícale unas frases cariñosas a tu querido phisher.