Respuesta al director de Change.org España

Etiquetas

bot, change.org, firmas falsas

En lainformacion.com publican unas respuesta de Francisco Polo, director de Change España, que responde a mi apunte crítico anterior. Primero aclararé lo fundamental en temas técnicos, para que quede claro quién habla con pruebas, y quién suelta rollos vacíos intentando desacreditar al otro:

1. Sí es posible que una persona firme varias veces con correos electrónicos diferentes, sin que se verifique ni que los datos (ni siquiera el código postal) correspondan.
2. No hay verificación de los datos del formulario, ni siquiera para esos emails que ya tienen cuenta creada en change.org.
3. No hay verificación de que el email pertenece a la persona que lo pone, y que esa personas tenía la intención de «firmar».
4. Sí es sencillo «firmar» automáticamente con un programa.
5. Aunque creador de la petición recibe la lista (en PDF) de «firmantes» (con los datos falsos y sin especificar el email), y que change.org está en EEUU, argumentan que no pueden hacerla pública por la LOPD. Hay algo que no cuadra ¿no?.

A las pruebas, breves y preparadas sólo para esta respuesta, me remito.

Repito, a las pruebas me remito.

Actualización (Feb 7, 10 hs): Por el comentario de Carles Mateu, he modificado el bot, y he logrado cientos de «firmas válidas» y confirmadas con una única dirección de email (desde ayer no puedo acceder a change.org desde la IP de casa, han puesto mis peticiones de prueba con captcha, y eliminaron esas firmas con gallir+xxxx, espero que sea porque solucionaron este problema en general).

Creo que son bastante claras: un programa que demuestra los 5 puntos anteriores (que ya había explicado en el apunte anterior). Solo puede negar estos hechos alguien que ni siquiera conoce en profundidad el funcionamiento técnica de la plataforma, no le interesa averiguar, y que se intente ocultar los serios problemas de poner un sistema de «firmas» en Internet (que no hace el mínimo de verificaciones para asegurarse por lo menos que la dirección de email es de la persona que lo puso. Un requerimiento básico).

Ahora paso a contestar cada una de las respuestas relevantes de Francisco Polo.

Ahora bien, si vuelves a poner todos tus datos, la plataforma te ‘loguea’.

No sé qué explica esto, pero tampoco funciona así, si no sería un problema de seguridad. Podéis probar que sucede «firmando» con mi email -por ejemplo-, os saldrá mi avatar (¿?), pero no estáis logueados con mi usuario.

 Una petición no se puede firmar dos veces, ni tres, ni cuatro con el mismo correo. Con lo cual, lo que se ha dicho este fin de semana es falso.

Falso, demostrado arriba. Y en el apunte anterior, no se hablaba de correos duplicados, sino de la misma persona con correos diferentes, y de hacerlo con programas. El primer programa con el que hice esas primeras generaba -adrede- direcciones muy poco probables agregando un número de varias cifras (más de 4) al final sólo para evitar llenar de «spam» a la gente que le coincidiera la dirección de email. Es muy fácil que coincidan direcciones como josemaria en gmail.com o mariagarcia en hotmail.com, o imaginaros que tuviese a disposición una lista de emails… no es nada complicado, también se compran, o se obtienen de «tu empresa».

En este terreno nosotros tenemos un sistema de detección automática de ataques de spam. Cuando nuestro sistema aprecia que hay unas firmas de carácter continuado, generalmente desde una misma IP y siguiendo un patrón definido, lo detecta y las retira. Además tenemos sistemas manuales de comprobación. Comprobamos que no haya correos electrónicos extraños, o similares a los que utilizan para hacer ataques de spam, muchas firmas desde una misma dirección IP, etc. De hecho, en peticiones con tanto flujo mediático como puede ser la de la petición de la dimisión del PP, lo hemos pedido.  La respuesta de la comprobación manual fue que no había ningún indicio de ataque de spam. Con la mayor de las probabilidades podemos afirmar que las firmas que hay en esa petición son fidedignas.

El 100% de las peticiones de arriba no son «fidedignas», además de demostrar que una persona puede firmar con muchos emails diferentes, como si fuesen «personas diferentes», y que cuentan en el final. Tampoco hubo intervención manual, y no sé cuánto personal tienen para analizar cientos de miles de firmas.

En el caso de esta petición, hay «firmas fraudulentas», la mía y de varias personas, pero siguen allí, y sin dar explicaciones. Responde como si estos casos no existiesen, roza el absurdo.

Nosotros no buscamos iniciar un proceso jurídico.

Ya, pero no se privan de contactar a todos los medios y agencias de noticias con titulares como Más de 700.000 personas firmaron la petición. Nadie firmó nada, y ni siquiera se puede asegurar que fueron todas «personas», ni que los propietarios de las cuentas de correo siquiera hayan oído hablar de la petición.

Nosotros lo que hacemos es que después de firmar una petición el sistema te envía un correo electrónico de agradecimiento por firmar la petición. Si este correo se envía a una dirección inexistente, el mail rebota. Por lo que, entre cinco minutos y dos horas, esa firma falsa se retira.

Demostrado que se pueden usar emails diferentes, que son fáciles de generar «emails válidos» (imaginad que saque la lista de emails de mi buzón de entrada, puedo generar decenas de miles de «firmas válidas» en poco tiempo usando TOR (el ejemplo de arriba usa TOR, y ni detectan que sean IPs de TOR).

En el corro que envían tampoco hay un enlace para eliminar la «firma» de esa petición, solo para «anular» tu email (como creo que me pasó con gallir en uib.es del ejemplo).

En el caso de que tú introdujeras por ejemplo 20 correos electrónicos de gente que existe nosotros realizamos una comprobación manual y podemos ver que esos correos electrónicos provienen de la misma IP, entonces los retiramos. En el caso de que una persona firme por ti,

No lo he visto, ni explican cómo lo hacen, ni cuantas IPs diferentes tienen, por ejemplo, en sus peticiones más populares.

estamos ante un caso de “suplantación de la identidad”, algo que puede ocurrir en Twitter, Facebook… y que a nosotros nos ha pasado en un puñado de ocasiones desde la existencia de Change.org.

Ahora la culpa es de los demás, no de la debilidad de sus sistema de votos, diseñado específicamente para minimizar la «resistencia», por lo que se fomenta este tipo acciones, que afortunadamente -¡oh, casualidad!- hacen subir los contadores. Además, no es suplantación de identidad, ni tiene nada que ver con Twitter o Facebook: se pueden poner datos falsos, y nunca hubo que confirmar ni un correo electrónico (como hacen todas las plataformas «serias», desde Facebook hasta oiga.me).

Cuando eso ha ocurrido la persona se pone en contacto con nosotros y lo que hacemos es comprobar qué ha pasado. Si ha sido una verdadera suplantación, ayudamos a esa persona a hacer todas las comprobaciones y retiramos su firma. En el caso de que esa persona quisiera poner una querella contra quien ha suplantado su identidad, nosotros como cualquier otra organización, colaboraríamos con la justicia para esclarecer el caso.

Falso otra vez.

Todo esto comenzó porque detecté que usaron mi email para firmar la «famosa» petición al PP, es público, me respondieron (con excusas por Twitter y Google+), y me está respondiendo su director en un medio de comunicación. Pero no se pusieron en contacto conmigo para informarme nada de lo que había pasado, ni sé quién, dónde o cómo firmaron «en mi nombre» (esa y las demás que usaron también mi email). Otras personas también se quejaron de lo mismo, no he visto tampoco ninguna explicación sobre esas firmas falsas. Como si nunca hubiese ocurrido… exigen transparencia pero no dan ningún dato real, sólo excusas en el aire.

Si no tienes idea de la técnica, no publiques excusas tontas para desacreditar a un programador que te está indicando los problemas que tienes. No vaya a ser que se rebote y haga el programa para demostrarlo. En serio, es ridículo, y desperdiciamos tiempo todos.

«Firmas» falsas, falta de transparencia y controles en change.org, pero mucho autobombo

Etiquetas

bot, change.org firmas falsas

Actualización: Respuesta al director de Change.org España

Hace dos días me quejé públicamente de que en change.org cuentan como que «firmé» peticiones aunque no lo había hecho, incluso la tan mediática del millón de firmas por la dimisión de la cúpula del PP. En el blog Ciencias y cosas recogieron esa info y la ampliaron con más casos. En vez de reconocer el problema, me acusaron de mentir y no comprobar antes de acusar, por lo que hice un vídeo demostrando lo fácil que era. Aún así, responsables de comunicación de change.org España negaban lo evidente y ponían excusas ridículas, llegando a decir que hay que confiar en la honestidad de los usuarios, y que tiene medidas de seguridad para evitar las firmas falsas.

A pesar de lo expuesto, sigo apareciendo como firmante en peticiones que nunca firmé (de todas en la que aparezco como firmante, sólo voté la primera, de hace más de un año, por la ley de transparencia) sin que haya un mínimo control, y a pesar de que tengo usuario creado (por lo que el control es más sencillo, exigir que esté autentificado). Responsables de change.org España reconocieron que es un problema, que «alguien votó por mí» (aunque otros llegaron a decir que «tengo problemas de seguridad con mi email» [sic]), pero ante la petición que hagan pública la lista de votante  la respuesta fue que no les permite la LOPD. Podría ser, pero en ese caso tampoco deberían pasar, como hacen, la lista al que inició una petición. No es de la empresa, es un tercero sin relación, y aún así accede a los datos.

Es ridículo lo de exigir transparencia y no cumplirla. Es ridículo saber que se pueden hacer trampas de forma tan sencilla, y aún así seguir saliendo en los medios asegurando que «más de 700.000 personas firmaron» cuando:

• No es ninguna «firma».
• No se hacen controles para minimizar los abusos.
• Hay evidencias de que hay «firmas» falsas, y lo reconocen (con la boca pequeña).
• No hay el mínimo de transparencia, ni en el código ni en la lista de «firmantes», en un sitio que presume de acciones éticas.

Están engañando deliberadamente.

A pesar de ello, no se hizo nada, ni se dieron respuestas. Ayer domingo me puse a trabajar analizando los controles que hacen en la web al momento de «firmar» una petición. El resultado fue un bot que publiqué anoche, que es capaz de firmar decenas de veces por minuto (sólo depende de la red y velocidad de servidores, en el ejemplo puse un retraso deliberado, para no sobrecargar los servidorees de change.org). Cuando lo publiqué había llegado a casi 100 votos de una petición «de prueba» en pocos minutos, inmediatamente empezaron a reducirse, no sé si por los controles «a posteriori» (aunque el contador ya se había incrementado). Luego hice pruebas con otra petición (creada por Alejandra Ventura), y se llegó al objetivo rápidamente, desde una instancia de Amazon en Irlanda.

Es decir, se pueden hacer trampas fácilmente, por el propio diseño e implementación de change.org. Ellos lo saben perfectamente, aunque lo nieguen en público, hay suficientes evidencias,  se niegan a ser transparentes poniendo como excusa la LOPD (que es razonable) al mismo tiempo que se contradicen permitiendo que un tercero baja la lista completa en PDF, pero no cesan en el autobombo y ruido mediático hablando de «personas que han firmado».

Si exiges transparencia y ética, comienza por dar el ejemplo. Sobre todo si ya hay personas que se están quejando de sus «firmas» fraudulentas, y tu negocio se basa en hacerte publicidad con titulares mediáticos gracias a  la indignación y desgracias de los demás.

Tampoco vale lo de justificar mentiras y trampas porque el objetivo de las campañas son peores, no puedes ir exigiendo ética, responsabilidad y transparencia con métodos que se saltan las tres. Por otro lado, como dice Nicholas Taleb:

Si ves fraude y no le llamas fraude, eres un fraude.