Inicio > ética, internet, seguridad > “Firmas” falsas, falta de transparencia y controles en change.org, pero mucho autobombo

“Firmas” falsas, falta de transparencia y controles en change.org, pero mucho autobombo

febrero 4, 2013

ActualizaciónRespuesta al director de Change.org España

Hace dos días me quejé públicamente de que en change.org cuentan como que “firmé” peticiones aunque no lo había hecho, incluso la tan mediática del millón de firmas por la dimisión de la cúpula del PP. En el blog Ciencias y cosas recogieron esa info y la ampliaron con más casos. En vez de reconocer el problema, me acusaron de mentir y no comprobar antes de acusar, por lo que hice un vídeo demostrando lo fácil que era. Aún así, responsables de comunicación de change.org España negaban lo evidente y ponían excusas ridículas, llegando a decir que hay que confiar en la honestidad de los usuarios, y que tiene medidas de seguridad para evitar las firmas falsas.

A pesar de lo expuesto, sigo apareciendo como firmante en peticiones que nunca firmé (de todas en la que aparezco como firmante, sólo voté la primera, de hace más de un año, por la ley de transparencia) sin que haya un mínimo control, y a pesar de que tengo usuario creado (por lo que el control es más sencillo, exigir que esté autentificado). Responsables de change.org España reconocieron que es un problema, que “alguien votó por mí” (aunque otros llegaron a decir que “tengo problemas de seguridad con mi email” [sic]), pero ante la petición que hagan pública la lista de votante  la respuesta fue que no les permite la LOPD. Podría ser, pero en ese caso tampoco deberían pasar, como hacen, la lista al que inició una petición. No es de la empresa, es un tercero sin relación, y aún así accede a los datos.

Es ridículo lo de exigir transparencia y no cumplirla. Es ridículo saber que se pueden hacer trampas de forma tan sencilla, y aún así seguir saliendo en los medios asegurando que “más de 700.000 personas firmaron” cuando:

  • No es ninguna “firma”.
  • No se hacen controles para minimizar los abusos.
  • Hay evidencias de que hay “firmas” falsas, y lo reconocen (con la boca pequeña).
  • No hay el mínimo de transparencia, ni en el código ni en la lista de “firmantes”, en un sitio que presume de acciones éticas.

Están engañando deliberadamente.

A pesar de ello, no se hizo nada, ni se dieron respuestas. Ayer domingo me puse a trabajar analizando los controles que hacen en la web al momento de “firmar” una petición. El resultado fue un bot que publiqué anoche, que es capaz de firmar decenas de veces por minuto (sólo depende de la red y velocidad de servidores, en el ejemplo puse un retraso deliberado, para no sobrecargar los servidorees de change.org). Cuando lo publiqué había llegado a casi 100 votos de una petición “de prueba” en pocos minutos, inmediatamente empezaron a reducirse, no sé si por los controles “a posteriori” (aunque el contador ya se había incrementado). Luego hice pruebas con otra petición (creada por Alejandra Ventura), y se llegó al objetivo rápidamente, desde una instancia de Amazon en Irlanda.

Es decir, se pueden hacer trampas fácilmente, por el propio diseño e implementación de change.org. Ellos lo saben perfectamente, aunque lo nieguen en público, hay suficientes evidencias,  se niegan a ser transparentes poniendo como excusa la LOPD (que es razonable) al mismo tiempo que se contradicen permitiendo que un tercero baja la lista completa en PDF, pero no cesan en el autobombo y ruido mediático hablando de “personas que han firmado”.

Si exiges transparencia y ética, comienza por dar el ejemplo. Sobre todo si ya hay personas que se están quejando de sus “firmas” fraudulentas, y tu negocio se basa en hacerte publicidad con titulares mediáticos gracias a  la indignación y desgracias de los demás.

Tampoco vale lo de justificar mentiras y trampas porque el objetivo de las campañas son peores, no puedes ir exigiendo ética, responsabilidad y transparencia con métodos que se saltan las tres. Por otro lado, como dice Nicholas Taleb:

Si ves fraude y no le llamas fraude, eres un fraude.

  1. febrero 4, 2013 en 10:32 am

    De acuerdo en todo, y muy fan de la frase “BTW, don’t fuck around with lame excuses to programmers, for God sake ;)”

    La verdad, estoy harto de que en casos como este se olviden las formas por que “el mensaje es importante”. A mi me da igual lo justa que sea la petición, pero hacer trampas es hacer trampas, da igual si pides que no se apaleen focas bebé o si pides que todas las féminas caigan a tus pies.

    No deja de ser una “maximización” del típico caso de explicar a un amigo que es técnicamente imposible que Pablito reciba brazos prostéticos por que un mensaje se reenvie un millón de veces y te contesten “no tienes corazón”.

  2. Alnair
    febrero 4, 2013 en 10:33 am

    Con lo fácil que sería que enviaran un correo de confirmación (como cuando te das de alta en cualquier sitio). Así se asegurarían que el votante tiene al menos acceso a la cuenta de correo.

  3. febrero 4, 2013 en 10:48 am

    Esta actitud chapuzera de “esto se hace en dos patás, no tiene ciencia ninguna” que tienen muchos evangelistas de la salvación por la tecnología me repatea.
    Creo que con esta actitud se convierten en un impedimento, fomentando la desconfianza de la sociedad, contra la modernización/digitalización de las cosas que si mejorarían con el cambio.

  4. febrero 4, 2013 en 11:36 am

    Ya me extrañó en su momento de que esta página fuera verídica cuando no pedían DNI para firmar. Consultando a juristas me han corroborado que las firmas deben ir acompañadas del DNI para ser válidas.
    Ahora al leer tu artículo me lo ha confirmado.

  5. febrero 4, 2013 en 11:59 am

    Bien hecho Ricardo. Admiro que te tomes el tiempo para demostrar las cosas como toca.
    Ahora les tocara tomar medidas sobre el asunto si quieren tener una plataforma que sea confiable.
    Por mi parte nunca me intereso firmar cosas de este tipo online y menos dejando mi email.

  6. febrero 4, 2013 en 12:01 pm

    Reblogged this on Fasani and commented:
    Muy buena entrada de Ricardo Galli que sea ha tomado el tiempo para mostrar con pelos y señales por que la plataforma change.org no cuenta debidamente los votos.

  7. pepe
    febrero 4, 2013 en 1:33 pm

    ¿has pensado en denunciarlo ante la Agencia de Proteccion de Datos? Si no ejercemos nuestros derechos, nunca seremos libres.

  8. febrero 4, 2013 en 2:57 pm

    Impechionante.

    Ayer me di de baja de change.org y me acaba de llegar otro mail agradeciendo:

    Sergio, ¡te damos la bienvenida a Change.org!

    Al firmar ayer la petición de Pablo Gallego García ” UN MILLÓN DE FIRMAS POR LA DIMISIÓN DE LA CÚPULA DEL PP #lospapelesdeBárcenas #quesevayantodos” te has unido a los más de 15 millones de personas que utilizan Change.org para conseguir un mundo mejor. Así funciona Change.org :
    Cualquier persona puede iniciar una petición. Change.org permite a cualquier persona, en cualquier lugar crear una petición. Es gratis y puede ir sobre cualquier tema que quieras cambiar. Crea tu petición ahora.

    Juntos, somos poderosos. Cuantas más personas se unan en apoyo a una campaña, mayor será la posibilidad de ser escuchados. (Puedes compartir la petición de Pablo Gallego García ahora en Facebook , Twitter , o vía correo electrónico ).

    Esto funciona. Con el apoyo de personas como tú, cientos de campañas consiguen su objetivo cada mes. Haz clic aquí para ver algunas de las victorias más inspiradoras.

    De vez en cuando te llegarán noticias de Change.org sobre las campañas que creemos que te gustará apoyar. Si prefieres no recibir estos correos electrónicos, puedes cancelar tu suscripción haciendo clic en el enlace situado en la parte inferior de cualquier correo que recibas de nosotros.

    Sergio , creamos Change.org con la esperanza de que serviría para reunir a la gente para hacer del mundo un lugar mejor. Por eso estamos muy contentos de que estés aquí. Te damos la bienvenida a Change.org

  9. febrero 4, 2013 en 4:18 pm

    Y algo que no se comenta aquí, no te avisan del spam que vas a recibir en tu mail solo por “firmar” una petición.

  10. Luis Quecedo
    febrero 4, 2013 en 4:48 pm

    El sistema tiene muchos fallos sin duda, aunque por lo que he podido comprobar las excusas que han dado hasta el momento son ciertas.

    Cree una petición por mi cuenta y efectivamente no deja firmar dos veces con el mismo email, aunque te sale un mensaje de “firmado” no lo contabiliza.

    También probé a inventarme direcciones de correo y al principio funcionaba, las contabiliza, pero pasado un rato las firmas desaparecieron por lo que debe haber un sistema de verificación para los correos.

    No he probado a usar bots para ver si tienen algún sistema para eliminar varias peticiones desde la misma IP aunque tengan email válido.

    En definitiva el sistema es chapucero, y si uno se emperra puede firmar varias veces, pero debe usar una listas de correos válidas, que no son difíciles de obtener.

  11. febrero 4, 2013 en 5:14 pm

    @Luis Quecedo

    No se eliminan las cuentas (o no la mayoría) con correos falsos, lo comprobé, y también @venturita (enlazado en el apunte). La única forma de comprobarlo es que se envíe un correo, y no lo hacen. En todo caso habrán borrado algunas, por alguna razón que desconocemos (ni cuáno y cómo se aplica).

    Sobre lo del bot, puedes bajarte el que publiqué, y probarlo.

    Y no, no hay “listas de correos válidas”, a menos que estén en el mercado negro de spammers, que manejan las suyas, y no están todas.

  12. javier
    febrero 4, 2013 en 6:55 pm

    ¿Hay algún sistema como Changue o Avaaz con firma autentificada… certificado digital o DNI-e? Las peticiones sin autentificar son papel mojado. Una pérdida de tiempo.

  13. Luis Quecedo
    febrero 4, 2013 en 7:35 pm

    gallir :
    @Luis Quecedo
    No se eliminan las cuentas (o no la mayoría) con correos falsos, lo comprobé, y también @venturita (enlazado en el apunte). La única forma de comprobarlo es que se envíe un correo, y no lo hacen. En todo caso habrán borrado algunas, por alguna razón que desconocemos (ni cuáno y cómo se aplica).
    Sobre lo del bot, puedes bajarte el que publiqué, y probarlo.
    Y no, no hay “listas de correos válidas”, a menos que estén en el mercado negro de spammers, que manejan las suyas, y no están todas.

    Bueno, en mi caso creo que borraron todas las falsas que hice a los pocos minutos, aunque al principio salían como válidas luego las borraron, no sé si alguna quedó en el tintero porque introduje muchas y no todas falsas, pero la mayoría seguro que me las borró al cabo de unos minutos.

    Lo de las listas de correo me refería a suscripciones por ejemplo, de grupos de debate o lo que sea, yo estoy en unos cuantos de asambleas y podría obtener fácil cientos de correos reales que poder usar y que no eliminen seguro porque son válidos.

  14. febrero 5, 2013 en 12:05 am

    Luis Quecedo :

    gallir :
    @Luis Quecedo
    No se eliminan las cuentas (o no la mayoría) con correos falsos, lo comprobé, y también @venturita (enlazado en el apunte). La única forma de comprobarlo es que se envíe un correo, y no lo hacen. En todo caso habrán borrado algunas, por alguna razón que desconocemos (ni cuáno y cómo se aplica).

    Bueno, en mi caso creo que borraron todas las falsas que hice a los pocos minutos, aunque al principio salían como válidas luego las borraron, no sé si alguna quedó en el tintero porque introduje muchas y no todas falsas, pero la mayoría seguro que me las borró al cabo de unos minutos.

    ¿Qué tipo de cuentas falsas has probado? Quizá comprueben que existe el dominio y quizá también que tiene servidor de correo pero no la cuenta. Es decir se tragarían estoesunacuentafalsa@gmail.com pero no pepito@estoesundominiofalso.com

  15. febrero 5, 2013 en 11:13 am

    Interesante, Remo lo estuvo comentando en NacionRed y me he puesto a buscar. Esto si que no me lo esperaba… aunque si recuerdo que el procedimiento para firmar me parecía demasiado sencillo, en plan “aquí se puede poner cualquier cosa y se lo tragan igual”.

  16. Luis Quecedo
    febrero 5, 2013 en 12:14 pm

    drodriguezherrera :

    Luis Quecedo :

    gallir :
    @Luis Quecedo
    No se eliminan las cuentas (o no la mayoría) con correos falsos, lo comprobé, y también @venturita (enlazado en el apunte). La única forma de comprobarlo es que se envíe un correo, y no lo hacen. En todo caso habrán borrado algunas, por alguna razón que desconocemos (ni cuáno y cómo se aplica).

    Bueno, en mi caso creo que borraron todas las falsas que hice a los pocos minutos, aunque al principio salían como válidas luego las borraron, no sé si alguna quedó en el tintero porque introduje muchas y no todas falsas, pero la mayoría seguro que me las borró al cabo de unos minutos.

    ¿Qué tipo de cuentas falsas has probado? Quizá comprueben que existe el dominio y quizá también que tiene servidor de correo pero no la cuenta. Es decir se tragarían estoesunacuentafalsa@gmail.com pero no pepito@estoesundominiofalso.com

    Probé con ambas y lo he vuelto a hacer con menos firmas, me acepta de las dos, pero curiosamente las del dominio real han desaparecido a los 20 min y las del dominio falso siguen ahí pasados 40 min, lo contrario de lo esperado.

    Quizá sus sistema sí que tenga un fallo gordísimo y sólo elimine las firmas de emails duplicados y de correos falsos con dominios verdaderos.

  17. febrero 5, 2013 en 12:31 pm

    Lo que es curioso es que Ricardo Galli haga estos experimentos justamente cuando todas esas firmas piden la dimisión del PP. Entre esto y el Nolesvotes, me empieza a cuadrar todo.

  18. febrero 5, 2013 en 1:09 pm

    @votaaotros

    Sí, es fruto de una gran conspiración, me has descubierto. Soy un quintacolumnista de el PP, trabajo para ellos, desde siempre, y también tengo intereses económicos: mi vida laboral y de empresas depende de sus ayudas y subvenciones del PP. Por eso nunca los critico con dureza, lo justo para disimular.

    Por supuesto, contrariamente a lo que puedan creer otros, que se haya dado tanto bombo mediático a las “personas firmantes”, y que yo aparezca como “persona firmante” sin haber firmado nada (ni haber hecho click siquiera), no tiene nada que ver. Es sólo una excusa. El fondo es que el PP está muy acojonado con esta petición, tanto que me ha ordenado destruirla contando la verdad.

    PS: No te preocupes, no eres el único ridículo que justifica las trampas si son “de los nuestros” y ven grandes conspiraciones si les critican, hay muchos, que se solidarizan contigo, y no necesitan probar nada :roll:

  19. febrero 5, 2013 en 3:38 pm

    La critica me parece certera. Lamentablemente Change.org tiene un conflicto de intereses. No les interesa la autentificación. Les interesa el numero de firmas.

    La ausencia de verificación de email deja las cosas bien claras a buen entendedor.

    Sin embargo veo cosas positivas. Como sistema de voto es inaceptable, pero Change.org como altavoz es evidentemente eficaz. Y la difusión es la madre del cordero en política/activismo.

    Tienen casos de éxito. Como lo de Pablo Herreros. Solo por este caso merece la pena “dejarlo correr”, siempre que quede claro que de firmas nada. Una firma es otra cosa.

    Un saludo.

  20. Ignasi Marcos
    febrero 6, 2013 en 9:18 am

    EL FIN NO JUSTIFICA LOS MEDIOS, Javier González…

  21. febrero 7, 2013 en 2:33 pm

    Con tu permiso he cogido las ideas de este blog como referencia para lo siguiente:

    http://www.change.org/es/peticiones/change-org-exigimos-que-change-org-cambie-su-sistema-de-recogida-de-firmas

  22. febrero 7, 2013 en 10:29 pm

    Reblogged this on Crónicas de Murchante City and commented:

    El CAMBIAZO de Change.org

  23. febrero 7, 2013 en 10:30 pm

    Lo reblogueo para que se entere todo el mundo

  1. febrero 4, 2013 en 10:30 am
  2. febrero 4, 2013 en 11:49 am
  3. febrero 4, 2013 en 5:42 pm
  4. febrero 6, 2013 en 2:34 pm
  5. febrero 7, 2013 en 12:16 pm
  6. febrero 7, 2013 en 3:57 pm
  7. febrero 8, 2013 en 4:44 pm
  8. febrero 11, 2013 en 6:17 pm
Los comentarios están cerrados.
Seguir

Recibe cada nueva publicación en tu buzón de correo electrónico.

Únete a otros 485 seguidores

A %d blogueros les gusta esto: