El “secreto de la Cocacola” de Tuenti

Deja un comentario

Recuperando el hábito perdido de comentar vídeos de YouTube…

1. Descargar fotos de Tuenti
Ya es de sobra conocida que una de las características que "vende" esta Red Social sea la opción de no descargar imágenes. A día de hoy ya es más conocido el sencillo sistema con el que es posible obtenerlas. Pero el problema no es ese, si no que además esas imágenes están disponibles para cualquier persona; siempre y cuando conozca la URL de la fotografía.

2. El grupo PRISA promociona su artimaña en sus medios
Parece mentira que a estas alturas ocurra... pero está claro que si un gran grupo de inversores controlan una Red Social que les aporta muchos beneficios, les interesa que sea conocida. Las técnicas de márketing.

Pero en este caso el problema no sólo está en que "te vendan gato por liebre", si no que los usuarios estén ya tan mal habituados que "no distingan un gato frente a una liebre". Valoraciones personales a parte, lo importante de una Red Social son sus características, no la belleza de sus interlocutores. 3. Los menores en la Red
Bien, si es cierto que esos vídeos son de hace cerca de un año, la sopresa llega ahora. Recientemente en una ponencia de la Directora de Privacidad (minuto 54:20) le preguntan sobre ese sistema.

La respuesta treinta segundos después dice:

La primera versión del protocolo de borrado era ir investigando (no se lo digáis a los chavales) pero investigábamos, mirábamos fotos, y también por denuncia de otros usuarios que se denuncian a sí mismos. O sea, enseguida tenemos una cantidad de chavales que reportan que otro grupo de chavales que tienen menos de cartoce, que es alucinante; y una vez que pillas a uno, pillas a todo el grupo de amigos. Entonces, a esa gente le pedíamos el DNI para que lo aportaran en un plazo de 96 horas.
Ahora lo hemos hecho alrevés, como veíamos que no era 100% efectivo, lo que hacemos es desactivar automáticamente a la mínima sospecha el perfil, lo dejamos inactivo (un bloqueo conforme a la Ley de Protección de Datos) y, hasta que el chaval no aporte el DNI, no se le reacciva.
- Pero cuando dice "la mínima sospecha", ¿a qué se refiere?-
Es que no te voy a decir el secreto de la cocacola.
- Por eso te preguntaba, quería que fuera una buena pregunta.-
Pues digamos... digamos que es a través de un sistema de reporte. Cuando denuncian, los compañeros dicen que son menores. Esa es la, la raíz de todo, y a raíz de ahí, tiras de todo el equipo.
- El tema que normalmente las personas que conocen que conocen a una niña de trece años que se ha hecho Tuenti, las personas que conocen a esa niña, tienen entre trece y doce años. O sea, que nadie va a denunciar que hay una menor. La puedo denunciar yo, porque la conozco; [En ese momento, de fondo, Natalia, le dice: "dime el colegio de tu hermana que la voy a denunciar"] pero si no la denuncio yo pues entonces...-
Mira, pero eso pasa con Artemi Rallo, con el director de la Agencia... las hijas le han dejado... o sea, las amigas de las hijas le han dejado de hablar a las hijas de Artemi, porque claro... le está...
Y Artemi insiste que según sus cálculos mentales, tiene que haber entorno a 600.000 y yo lo primero que voy a hacer es borrar su colegio de la niña y el de tu hermana también.
O sea, son métodos; tenemos métodos, tenemos sospechas, tenemos reportes... y hacemos lo que podemos. No es fiable, no es 100% exacto.
-Yo entiendo que es complicado de hacerlo-
Es difícil, muy difícil.
-Pero quería saberlo-
Muchas gracias.

La siguiente pregunta, en la que se revela que "no habría Red Social" si se pidiera el DNI a todos los usuarios para entrar... no tiene desperdicio.

Pues bien, parece que después de un año no han podido hacer un sistema de verificación de la edad para una aplicación que, siendo española, podría ser muy sencillo de hacerlo. Pero, de nuevo, el problema no es ese, si no que hoy en la Plataforma Social "TuEntidad.es" aparece una noticia. En ella indica brevemente que se implementa un nuevo mecanismo con el que se puede certificar el nombre y apellidos (algo que Tuenti valora mucho) y también la edad de una persona... todo ello gracias a un simple documento que tenemos todos los españoles: el DNI.

¿Pero cuál es el problema entonces? Sencillo:

4. Los datos de los usuarios son la moneda de cambio

Un usuario que usa REGALA sus datos personales (paga con ellos) a la empresa (o grupo de inversores) que están detrás de la Red Social, enriqueciéndose. Si no... ¿por qué es gratis entrar en estas Redes Sociales y, sin embargo, siguen siendo rentables?

Un usuario puede decir su nombre, puede decir quiénes son sus amigos, mostrar las fotos de por dónde sale, y compartir sus datos personales... pero ¿quiere certificar que es quién dice ser?

En fin, si bien este sistema es el comienzo de la solución que más se acerca a la 100% eficaz (muy cercana en el caso de España) y encima es presentado de forma libre, no habría que dejar de tenerlo muy en cuenta.

Esto deja de nuevo muy claro la potencia del Software Libre, que ha vuelto a dar una buena patada en el culo a las demás Redes Sociales ofreciendo el secreto de la mejor cocacola de forma abierta y sin tapujos.

Páginas de phishing sobre Tuenti

Deja un comentario

Viendo que desde el blog oficial no emiten ningún comunicado al respecto, hagámoslo aquí:

Durante los últimos días han aparecido diversas fuentes que indican una gran estafa. El robo de contraseñas de cuentas de usuario de Tuenti, en páginas que “se hacen pasar por la original”.

El listado de estas webs son, actualmente, por lo menos:

  • tuenti.host56.com: es quizás la más similar a la actual (2010), salvo que le falta abajo la publicidad de las “Tuenti-páginas”.
  • freesoftwareando.com/proyectos/tuentifake/index.php: usando el diseño del 2010. Quizás este ejemplo no sea considerable phishing, ya que la propia web indica que no se deben poner los datos, y en éstos aseguran que no los guardan… pero poca precaución es poca.
  • zonazero.yoo7.com/Tuenti-Interfaz-de-Zona-Zero-h26.htm: usa un diseño propio basado en el del 2009. Puede que no sea phishing, ya que no parece guardar las contraseñas, si no que redirecciona a Tuenti; podría considerarse un reclamo para acceder al portal de forma indirecta.
  • zopalimpalem.com/8/tuentiii2/body1.html: más de lo mismo… un diseño propio basado en el del 2009, pero que puede no ser considerado phishing, ya que aparentemente no guarda las contraseñas, si no que redirecciona a Tuenti; podría considerarse un reclamo para acceder al portal de forma indirecta.
  • tuentii.netne.net: basada en un diseño del 2009, pero mucho más falso, esta web ni funciona (no roba ni redirecciona) debido a un fallo de javascript.
  • rubenrod.webege.com: utiliza un diseño actual (2010), similar a la anterior. Por fiable que parezca esta página al detectar que fallamos la contraseña, sigue guardando la contraseña.
  • tuentidad.host56.com (desde la Plataforma Social “TuEntidad.es” se ha pedido a sus usuarios que tengan especial cuidado antes de poner las contraseñas en una página web de poca confianza en un comunicado oficial): utiliza el diseño que tenía la página web en el 2008.
  • mtuenti.comxa.com: utiliza un diseño del 2009.
  • drop-ro.net: utiliza un diseño del 2009, similar a la anterior (actualmente no lo muestra ya, el link lleva a la caché de google).
  • megaupl.site40.net: lo mismo ocurre con esta.
  • c0ders.net: al igual que la anterior, ya no está disponible, pero en su día se ve que tenía una página de inicio similar a la de Tuenti de este año 2010.
  • tuentti.freeiz.com: utiliza un diseño similar al del 2009, pero descaradamente falso. Como dato de interés, usa una herramienta de google que incluye los datos enviados en un documento público.
  • robocock.es: utiliza un diseño similar al del 2009; aunque en robocock.es/tuenti.html está con la versión más actual, del 2010, con las “Tuenti-Páginas”. Esta, al ser .es, ha sido inmediatamente puesta en conocimiento a la la entidad pública empresarial Red.es para que inicien los trámites.
  • http://www.canhaveral.com/Acceso%20a%20Tuenti.htm: usa un diseño del 2009; pero lo más destacable es que, si ya es triste hacerlo en un subdominio, en este caso nos encontramos con una página en la que se accede a través de un html.
  • albertoacebo.iespana.es: usa un diseño entre el del 2008 y el del 2010. En este caso, como en el anterior, parece que tienen algún tipo de error en el código JavaScript que no envia las contraseñas a sus posibles almacenes, redireccionando a la página original.
  • quienentraentutuenti.50webs.com: usa un diseño del 2008. Este caso sirve como ejemplo de un típico caso de llamada al phishing: esta vez “aseguran” mostrar la lista de gente que accede a tu perfil. Obviamente, no es más que una trampa más sin ningún tipo de fundamento.

Parece que alguien tiene trabajo de verdad.

El mayor indicio de que se trata de una página web falsa suele ser, paradójicamente, que se parezca demasiado a la original. La clave siempre es fijarse en la dirección a la que se ha accedido, aun así no se está seguro al cien por cien. También es muy importante fijarse en si la página es algún tipo de subdominio, y revisar de dónde cuelga: si la página (como en dos de los ejemplos) termina por .host56.com y en esa web no hay algo relacionado, seguramente sea una estafa. En este caso, además, se trata de un servicio de hosting. Una página medianamente fiable tendrá un dominio (un .com, por ejemplo) explícito.
Esto es un poco avanzado, pero quizás sea de interés para algunas personas: Hasta hace poco había una forma muy sencilla de certificar que una web no era fiable, pero parece que se ha perdido la buena costumbre que se necesita.
El objetivo de una web fraudulenta es conocer la contraseña (lo que escribimos) para después usarla para suplantar nuestra identidad.
Entonces, lo que las páginas falsas hacían era, a la hora de hacer login, enviarse a sí mismas la contraseña para que fuera almacenada. Por lo tanto, si hacíamos una prueba (nos inventábamos unas credenciales: usuario y contraseña) y mirábamos qué pasaba, pues nos daría una pista.
Lo más sencillo que se podía hacer era mirar qué ocurría. Generalmente lo que suele pasar es que las propias páginas nos intentan iniciar sesión directamente en la página real, redireccionando a ésta… y mostrando un error. La segunda forma, un poco más técnica, es revisar los encabezados de la petición para saber si los datos están codificados o no; si veías la contraseña que inventaste, tenía mala pinta.
Como digo, generalmente, la contraseña “al uso” nunca salía de nuestro ordenador… Antes, en las dos grandes Redes Sociales se accedía enviando el usuario y la clave (se codificaba con el algoritmo md5 el password), y así la contraseña nunca se enviaba. Ahora, la contraseña se envía por el canal seguro https, pero tal cual, por lo que en caso de haber algún tipo de vulnerabilidad, sabrán qué hemos escrito.
Por suerte hay algunas que todavía conservan el híbrido entre https y sistema de claves.
PD. A día de hoy (dos días después), parece que algunas dejan de ir funcionando.

PD2. a 12 de Junio de 2010, aparece esta: adrianbernal.es, que conforme a los mismos parámetros que en su momento justificaron la actuación en robocock.es, ha sido puesto en conocimiento de las autoridades.

Nuestra “vida” pende de UN hilo

Deja un comentario

No puede ser, otra vez más, el portal con más tráfico de España está caído.
También la página web www.tuentiadictos.es se ha visto afectada, debido a que sale bastante arriba en los buscadores. Y es que la mayoría de los usuarios acceden a esta Red Social a través de Google, realizando la búsqueda “Tuenti”.

Ese es el motivo que sea la palabra más buscada en España.

El problema del otro día, al parecer, estaba relacionado con un fallo en el proveedor de servicios (ISP) de Tuenti; que dijo su creador en su perfil de Twitter, fue la única respuesta que se publicó, obviamente de carácter no-oficial…
… porque si todo lo que se dice en Twitter lo fuera.

Pero, ¿qué se pretende? Si no les funciona ni el blog (que es un dominio y servicio a parte… porque ni se puede dejar un comentario con el mismo usuario que en la Red Social), habrá que hacer seguimiento en la nueva herramienta de google que sincroniza con twitter para ver qué va pasando; y encima les siguen haciendo menciones sin que la página cargue. Esto es a lo que lleva una política de “qué guapo soy”.
En fin, no se puede tener un sistema tan sencillo cuando se es tan grande; salvo que lo único que se persiga sean los beneficios rápidos: crecer, crecer, y luego ganar, ganar. Menos mal que existen otras alternativas.

D. (12:00) Parece que ya están trabajando en ello… ha costado desapegarse de las sábanas. Dos horas en un frame-time generalmente bastante bajo; pero usuarios insatisfechos igualmente. A ver si se recupera la conexión para que la gente pueda volver a vender gratuitamente su vida.

D2. (12:50) Ahora ya entra… ¿veremos su respuesta en el blog?

Lo que nadie entiende

Deja un comentario

Mientras otras alternativas como Facebook, la Plataforma Social “TuEntidad.es”, Wixet, etc… les dejan atrás como meros plagiadores de sus nuevas ideas, se dedican a:

– CASO TUENTID:
http://diazr.com/de-tuenti-y-el-cd/

(…) ¿Y por qué me llega a mí esto? Porque en su día, ya casi un añito, colgué un script bastante chorra en el dominio tuentid.com (como ya os conté), y que desde el principio tuve la mosca detrás de la oreja (todos conocemos ya los C&D de dudosa moralidad anunciados por Tuenti), aún cuando tuve la precaución de colocar un “Tuentid.com es independiente a Tuenti (©) y no tiene ninguna relación con el mismo.”.(…)

– CASO TUENTIPACK:
http://demondary.blogspot.com/2009/12/que-pasa-con-tuentipack.html

Nos hicieron cancerlar el dominio (que estaba recientemente pagado), el host, y abandonar por completo todo el proyecto de TuentiPack, cuando ya teníamos una comunidad grandísima y unas descargas que superaban el millón.
También tuve el (¿)honor(?) de hablar con Natalia y fue, como mínimo, deprimente con la prepotencia con la que conversaba.
¿En qué piensan los peces gordos de Tuenti? Estas cosas no hacen más que destruir su reputación (y destruir servicios que en absoluto le molestan).
En fin, con el tiempo todo se verá…

– CASO TUENTI MONITOR:
http://www.tuentimonitor.com/

A mí me pasó exactamente lo mismo. Lancé la primera aplicación que interactuaba con Tuenti, llamada Tuenti Monitor, hace ya algunos años. Llegué a tener, en mi primera versión, más de 50.000 descargas de la aplicación. Poco después de lanzar la versión 2.0, recibí varios emails para que abandonara la actividad, que culminaron en un buro-fax solicitando que en un plazo de 48 horas eliminara el contenido de la web tuentimonitor.com, así como cualquier referencia al Tuenti Monitor en mi web, mxldesign.com.
(…)

– CASO TUENTIFY:
http://www.hayunmundoahifuera.es/27-12-2009/tuenti-la-lia-en-el-android-market.php

La red social que lamentablemente sigue dominando a los usuarios jóvenes españoles acaba de hacer otra de las suyas, ha lanzado su aplicación móvil para Android, y de hecho ya está disponible en el Android Market. Sin embargo, ha ordenado que se retirase Tuentify(…)

Como dicen por ahí, ¿en qué están pensando?

Las Tuenti Páginas, la novedad que todos esperaban…

Deja un comentario

Ya están aquí las “Páginas”, un servicio que se une a los “Sitios” que hace unas semanas presentaban en esta Red Social. Hasta aquí es la novedad, ya que al resto de datos a destacar ya estamos acostumbrados.

Una vez más, casi copiando el nombre, vuelven a hacer lo que otros ya han hecho desde el principio copiando la filosofía de “crear las estructuras de la vida real en un mundo virtual” que desde el inicio de la Plataforma Social, que tanto se menciona en este blog, éstos ya se habían planteado.
Parece que esta mejora ha sido financiada por los habituales de la página web, y que ya han conseguido acercarse a miles de usuarios gracias a su posicionamiento dentro del portal.

De todas formas, como siempre, se han quedado cortos y no llegan a ofrecer el servicio por completo, ya que es necesario iniciar la sesión en Tuenti para acceder a estas “Páginas”. Además, las funcionalidades que tienen se equiparan más bien poco a la de sus competidores y no muestran la opción de ver quien es la persona propietaria real de la página. Parece más bien una función sin acabar que seguro que traerá mayores problemas de seguridad y privacidad para enriquecerse a costa de los usuarios, que si bien no pagan dinero por acceder, pagan con su vida y datos personales.

Y bueno, para cerrar, esto parte de que en el blog de la empresa han vuelto a decir lo guapos que son pero ni media mención a los problemas de conexión puntuales de jornadas pasadas (como ya hicieron en el pasado), o los ya habituales fallos de seguridad por cada cambio que se realiza y de los que los usuarios son los únicos perjudicados.