Etiquetas

, ,

En lainformacion.com publican unas respuesta de Francisco Polo, director de Change España, que responde a mi apunte crítico anterior. Primero aclararé lo fundamental en temas técnicos, para que quede claro quién habla con pruebas, y quién suelta rollos vacíos intentando desacreditar al otro:

  1. Sí es posible que una persona firme varias veces con correos electrónicos diferentes, sin que se verifique ni que los datos (ni siquiera el código postal) correspondan.
  2. No hay verificación de los datos del formulario, ni siquiera para esos emails que ya tienen cuenta creada en change.org.
  3. No hay verificación de que el email pertenece a la persona que lo pone, y que esa personas tenía la intención de “firmar”.
  4. Sí es sencillo “firmar” automáticamente con un programa.
  5. Aunque creador de la petición recibe la lista (en PDF) de “firmantes” (con los datos falsos y sin especificar el email), y que change.org está en EEUU, argumentan que no pueden hacerla pública por la LOPD. Hay algo que no cuadra ¿no?.

A las pruebas, breves y preparadas sólo para esta respuesta, me remito.

Repito, a las pruebas me remito.

Actualización (Feb 7, 10 hs): Por el comentario de Carles Mateu, he modificado el bot, y he logrado cientos de “firmas válidas” y confirmadas con una única dirección de email (desde ayer no puedo acceder a change.org desde la IP de casa, han puesto mis peticiones de prueba con captcha, y eliminaron esas firmas con gallir+xxxx, espero que sea porque solucionaron este problema en general).

Creo que son bastante claras: un programa que demuestra los 5 puntos anteriores (que ya había explicado en el apunte anterior). Solo puede negar estos hechos alguien que ni siquiera conoce en profundidad el funcionamiento técnica de la plataforma, no le interesa averiguar, y que se intente ocultar los serios problemas de poner un sistema de “firmas” en Internet (que no hace el mínimo de verificaciones para asegurarse por lo menos que la dirección de email es de la persona que lo puso. Un requerimiento básico).

Ahora paso a contestar cada una de las respuestas relevantes de Francisco Polo.

Ahora bien, si vuelves a poner todos tus datos, la plataforma te ‘loguea’.

No sé qué explica esto, pero tampoco funciona así, si no sería un problema de seguridad. Podéis probar que sucede “firmando” con mi email -por ejemplo-, os saldrá mi avatar (¿?), pero no estáis logueados con mi usuario.

 Una petición no se puede firmar dos veces, ni tres, ni cuatro con el mismo correo. Con lo cual, lo que se ha dicho este fin de semana es falso.

Falso, demostrado arriba. Y en el apunte anterior, no se hablaba de correos duplicados, sino de la misma persona con correos diferentes, y de hacerlo con programas. El primer programa con el que hice esas primeras generaba -adrede- direcciones muy poco probables agregando un número de varias cifras (más de 4) al final sólo para evitar llenar de “spam” a la gente que le coincidiera la dirección de email. Es muy fácil que coincidan direcciones como josemaria en gmail.com o mariagarcia en hotmail.com, o imaginaros que tuviese a disposición una lista de emails… no es nada complicado, también se compran, o se obtienen de “tu empresa”.

En este terreno nosotros tenemos un sistema de detección automática de ataques de spam. Cuando nuestro sistema aprecia que hay unas firmas de carácter continuado, generalmente desde una misma IP y siguiendo un patrón definido, lo detecta y las retira. Además tenemos sistemas manuales de comprobación. Comprobamos que no haya correos electrónicos extraños, o similares a los que utilizan para hacer ataques de spam, muchas firmas desde una misma dirección IP, etc. De hecho, en peticiones con tanto flujo mediático como puede ser la de la petición de la dimisión del PP, lo hemos pedido.  La respuesta de la comprobación manual fue que no había ningún indicio de ataque de spam. Con la mayor de las probabilidades podemos afirmar que las firmas que hay en esa petición son fidedignas.

El 100% de las peticiones de arriba no son “fidedignas”, además de demostrar que una persona puede firmar con muchos emails diferentes, como si fuesen “personas diferentes”, y que cuentan en el final. Tampoco hubo intervención manual, y no sé cuánto personal tienen para analizar cientos de miles de firmas.

En el caso de esta petición, hay “firmas fraudulentas”, la mía y de varias personas, pero siguen allí, y sin dar explicaciones. Responde como si estos casos no existiesen, roza el absurdo.

Nosotros no buscamos iniciar un proceso jurídico.

Ya, pero no se privan de contactar a todos los medios y agencias de noticias con titulares como Más de 700.000 personas firmaron la petición. Nadie firmó nada, y ni siquiera se puede asegurar que fueron todas “personas”, ni que los propietarios de las cuentas de correo siquiera hayan oído hablar de la petición.

Nosotros lo que hacemos es que después de firmar una petición el sistema te envía un correo electrónico de agradecimiento por firmar la petición. Si este correo se envía a una dirección inexistente, el mail rebota. Por lo que, entre cinco minutos y dos horas, esa firma falsa se retira.

Demostrado que se pueden usar emails diferentes, que son fáciles de generar “emails válidos” (imaginad que saque la lista de emails de mi buzón de entrada, puedo generar decenas de miles de “firmas válidas” en poco tiempo usando TOR (el ejemplo de arriba usa TOR, y ni detectan que sean IPs de TOR).

En el corro que envían tampoco hay un enlace para eliminar la “firma” de esa petición, solo para “anular” tu email (como creo que me pasó con gallir en uib.es del ejemplo).

En el caso de que tú introdujeras por ejemplo 20 correos electrónicos de gente que existe nosotros realizamos una comprobación manual y podemos ver que esos correos electrónicos provienen de la misma IP, entonces los retiramos. En el caso de que una persona firme por ti,

No lo he visto, ni explican cómo lo hacen, ni cuantas IPs diferentes tienen, por ejemplo, en sus peticiones más populares.

estamos ante un caso de “suplantación de la identidad”, algo que puede ocurrir en Twitter, Facebook… y que a nosotros nos ha pasado en un puñado de ocasiones desde la existencia de Change.org.

Ahora la culpa es de los demás, no de la debilidad de sus sistema de votos, diseñado específicamente para minimizar la “resistencia”, por lo que se fomenta este tipo acciones, que afortunadamente -¡oh, casualidad!- hacen subir los contadores. Además, no es suplantación de identidad, ni tiene nada que ver con Twitter o Facebook: se pueden poner datos falsos, y nunca hubo que confirmar ni un correo electrónico (como hacen todas las plataformas “serias”, desde Facebook hasta oiga.me).

Cuando eso ha ocurrido la persona se pone en contacto con nosotros y lo que hacemos es comprobar qué ha pasado. Si ha sido una verdadera suplantación, ayudamos a esa persona a hacer todas las comprobaciones y retiramos su firma. En el caso de que esa persona quisiera poner una querella contra quien ha suplantado su identidad, nosotros como cualquier otra organización, colaboraríamos con la justicia para esclarecer el caso.

Falso otra vez.

Todo esto comenzó porque detecté que usaron mi email para firmar la “famosa” petición al PP, es público, me respondieron (con excusas por Twitter y Google+), y me está respondiendo su director en un medio de comunicación. Pero no se pusieron en contacto conmigo para informarme nada de lo que había pasado, ni sé quién, dónde o cómo firmaron “en mi nombre” (esa y las demás que usaron también mi email). Otras personas también se quejaron de lo mismo, no he visto tampoco ninguna explicación sobre esas firmas falsas. Como si nunca hubiese ocurrido… exigen transparencia pero no dan ningún dato real, sólo excusas en el aire.

Si no tienes idea de la técnica, no publiques excusas tontas para desacreditar a un programador que te está indicando los problemas que tienes. No vaya a ser que se rebote y haga el programa para demostrarlo. En serio, es ridículo, y desperdiciamos tiempo todos.