Phishing en Chile

2 Mayo, 2007 at 10:14 pm (Informática, Internet)

Hace un par de meses me llegó un extraño correo cuyo remitente era supuestamente de Bancoestado (un banco chileno). Era evidente para mí que el correo era falso, ya que no soy el tipo de cliente al que iba destinado el mensaje. Era claro que se trataba de un intento de estafa o también llamado phishing. Como dice Wikipedia:

Phishing es un término utilizado en informática con el cual se denomina el uso de un tipo de ingeniería social, caracterizado por intentar adquirir información confidencial de forma fraudulenta, como puede ser una contraseña o información detallada sobre tarjetas de crédito u otra información bancaria. El estafador, mejor conocido como phisher se hace pasar por una persona o empresa de confianza en una aparente comunicación oficial electrónica, por lo común un correo electrónico, algún sistema de mensajería instantánea o incluso utilizando también llamadas telefónicas.

Y a pesar de que este fenómeno no es muy nuevo, en mi país no lo había visto desarrollado de esta manera. Por esto no pocas personas han caído en la estafa (también siguen cayendo en la del concurso por teléfono, pero esa es otra historia…) y han entregado sus datos privados a quién sabe quién.

Pero… ¿Cómo reconocer un intento de phishing? Trataré de dar algunas pistas que cualquier usuario de internet debería conocer.

La primera forma de reconocer que es un correo falso, es que uno no tiene el producto o servicio del que habla el mensaje o incluso no se es cliente del banco o institución. Como estos correos se replican como spam, le llega a mucha gente a la que no corresponde, pero por probabilidades, sí llega a algunas personas que pueden ser el blanco del estafador. Además es necesario tener claro que los bancos e instituciones similares jamás (o casi nunca) solicitan este tipo de información y menos por estos medios.

Otro indicio, que por lo general se repite, es que los mensajes de los estafadores poseen múltiples faltas de ortografía, a diferencia de los textos de empresas profesionales (aunque no es raro también encontrar estas falencias en la prensa escrita, televisión, publicidad, etc. de vez en cuando). Por ejemplo, este es el cuerpo del correo y vemos que faltan tíldes, hay palabras mal usadas (”normatividad” en vez de normativa) y hay localismos (”ordenador” se usa principalmente en España por su cercanía a Francia y no en Latinoamerica), por nombrar sólo algunos detalles.

Cuerpo de correo falso

Esta es la segunda parte del mensaje. Para tratar de dar confianza a los lectores, se suelen colocar tecnicismos o datos como teléfonos, nombres de ejecutivos, direcciones físicas, etc. No tiene mucho que ver, pero podemos ver el mal gusto del programador, al colocar la famosa frasecita del navegador =P . En teoría, todos los bancos deberían tener sitios accesibles para todos los navegadores que respeten estandares, sobre todo si se realizan transacciones a través de él, pero aún en Chile las empresas y lamentablemente las instituciones de gobierno, siguen siendo ignorantes y poco profesionales en este sentido.

Cuerpo de correo falso

Todavía sin hacer nada más que leer el correo, uno puede darse cuenta del engaño. A pesar de los aparentes enlaces para ingresar a “actualizar” los datos, un simple ejercicio nos puede advertir. Colocando la “manito” del mouse sobre el enlace (sin hacer click), se puede ver en la barra de estado la verdadera dirección que se encuentra en ese enlace. Aquí vemos cómo claramente no se corresponden las URLs y que al hacer click seremos redirigidos a un sitio alojado en un servidor gratuito (Lycos.es).

Barra de estado

A estas alturas ya deberíamos tener claro que el correo puede ser pernicioso, por lo que tendríamos que eliminarlo y nunca entrar al sitio web que nos propone, porque dependiendo del enlace, del navegador y del sistema que tengamos en nuestro computador, un mero click podría provocar algo del cual arrepentirnos más tarde (siempre que nos demos cuenta…). Pero por esta vez vamos a dar un paso más allá y visitaremos los enlaces del correo.
Inmediatamente podemos ver que la URL que aparece en la barra de direcciones no corresponde con la verdadera, a pesar que se ha copiado hasta el favicon (el icono que aparece adelante):

URL Falsa

URL Verdadera

Aunque en la URL de la web de empresa se han olvidado del favicon:

URL Empresa

Comparando las páginas verdadera y falsa vemos los siguientes detalles en la columna derecha:

Columna derecha V Columna derecha F

Para prevenir que al usuario se le pase por la mente la posibilidad de engaño, se ha borrado la advertencia que coloca BancoEstado sobre la forma de ingresar a su sitio.

En la columna izquierda, donde aparece el sector de login, ha quedado de la siguiente manera:

Login Verdadero Login falso

Curiosamente el sitio web oficial de BancoEstado se ve descuadrado en este sector (en mi navegador al menos), mientras el falso se ve perfectamente =P.
La diferencia más notoria es que la página de la estafa solicita un dato adicional, que pone aún más en peligro a los clientes que ingresen su información.

Ahora, un extracto de la web de empresas:

Empresa Falsa

La nota final muestra algo de impaciencia y hace todavía más sospechoso el contenido de la página.

Por último, un vistazo al código fuente:

Código Fuente Falso

Por algún motivo se ha insertado un código que aparentemente evita la publicidad de los dominios .tk (www.dot.tk) y se ha agregado información a la barra de título, para que en el navegador la web parezca real.

Estas últimas semanas han llegado a cuentas de correo chilenas (incluso ha tenido cobertura de los medios de comunicación) correos similares, pero esta vez del banco Santander. Las mismas pistas entregadas acá, se aplican a este nuevo intento de phishing, con las únicas diferencias que este último tiene menos faltas de ortografía, esta mejor redactado y su alojamiento es en un servidor de pago y no gratuito. Quizá se estan perfeccionando los procedimientos, habrá que estar atento…

Y por si pueden/desean ayudar a combatir de alguna manera este fenómeno, recuerden que si utilizan Gmail como correo electrónico, pueden marcar cualquier correo como phishing utilizando la opción “Denunciar suplantación de identidad” en el menú desplegable que tiene cada correo (una flechita hacia abajo que esta en el extremo superior derecho). En teoría Gmail podría evitar dichos correos si muchos usuarios lo catalogan como un peligro.

Permalink 1 comentario

Alfombra de baile en Stepmania

24 Febrero, 2007 at 4:02 am (Juegos, Linux, Software Libre, Ubuntu)

Hola a todos:
Quizá sea símbolo de nuestros tiempos o puede que sea sólo mi comodidad personal, pero nunca he sido muy bueno para los deportes… =P
Mi esperanza está depositada en los ciberdeportes (enlace en inglés), aunque jugar Enemy Territory no me ha hecho más delgado todavía. Pero esto podría cambiar, porque he instalado el fabuloso juego Stepmania, clon libre de los populares juegos Dance Dance Revolution y Pump It Up.

Stepmania está increíblemente bien logrado comparado con los juegos originales y presenta algunas innovaciones como permitir que mientras bailes puedas ver imágenes, videos o incluso karaokes de las mismas canciones.


Esta es una de mis canciones preferidas: “Evangelion: Cruel Angel’s Thesis”, aunque no la juego con tanta dificultad como en el video, sólo soy humano… xD

Por ser software libre, hay mucha gente trabajando alrededor del proyecto, por lo que existe mucho material e información disponible. Además posee instaladores para Linux y MacOSX y absolutamente gratis. ;)

Si estás interesado, vamos por parte:

* Descarga la versión que corresponda a tu SO (para Ubuntu descargué el archivo “Linux binary”):
http://www.stepmania.com/wiki/Downloads

* Revisa las instrucciones de instalación y configuración (en linux, si bajas el archivo binario, sólo lo descomprimes, lo ejecutas y juegas):
http://www.stepmania.com/wiki/Install_and_Configure_StepMania

* Descarga e instala las canciones que desees:
- Canciones para descargar desde el mismo sitio del juego.
http://www.stepmania.com/wiki/Download_Songs

- Lista de sitios externos que tienen canciones.
http://www.stepmania.com/wiki/Song_Download_Sites

- Yo he probado y recomiendo las de este sitio:
Stepmania Download Source

Ahora que ya tienes instalado Stepmania y una buena cantidad de canciones, sólo falta jugar. Al principio lo hacía con el teclado y/o con un gamepad para asi tener 2 jugadores. Pero si se quiere emular en algo la experiencia de las máquinas recreativas, una alfombra de baile es imprescindible. Existe una multitud de alfombras plásticas, metálicas, para PSX, PC con puerto USB, PC con puerto de juego o PC con puerto para impresora, además de adaptadores entre uno y otro tipo y para 2 alfombras. Mi novia se había comprado una hace bastante tiempo y estaba bien guardada en su caja, así que se la pedí prestada para probarla y hacer algo del ejercicio que me falta. Es una alfombra plástica con 2 puertos (para PSX y puerto LPT) y es quizá la más “complicada” de instalar (el USB por lo general se enchufa y listo y el puerto de juego la reconoce como un gamepad más).

¿Y cómo lo hice para jugar? Aquí les explico (esto lo hago después de haberla instalado y “testeado” por un par de horas…):

Gracias a una entrada en el Diario de Miry, una usuaria de la Asociación de Usuarios Asturianos de Linux encontré mi respuesta. Ella es debianita, pero como Ubuntu está basado en Debian, el proceso es similar.

Para activar la alfombra se debe realizar esta secuencia en la línea de comandos (no olviden el “sudo” en Ubuntu, ya que se necesitan permisos de root):

sudo /sbin/rmmod lp

sudo /sbin/modprobe joydev

sudo /sbin/modprobe gamecon map=0,8

(lo anterior básicamente elimina un modulo del kernel y lo reemplaza por el modulo del periférico)

Lo que sigue no se si es necesario en Ubuntu, pero lo realicé igual por si acaso, sin problemas (si alguien lo sabe con certeza, por favor orienteme):

sudo /bin/chmod 666 /dev/input/js?

Y para probar si ya funciona:

sudo jstest /dev/input/js0

(aparece una lista de letras y números que son los parámetros de los botones de un gamepad. Si presionas sobre los botones de la alfombra y los valores cambian, es que está reconocida)

Si necesitan un poco más de información técnica, por favor lean el post original de Miry.

Recomiendo instalar los paquetes “joystick” y “jscalibrator” para tener unos programitas que serán utiles para la alfombra u otro periférico de juego (para calibrarlos o reconocer los botones):

sudo apt-get install joystick jscalibrator

Finalmente sólo se deben configurar las teclas dentro del juego y JUGAR!

Espero haya sido lo suficientemente claro, cualquier duda intentaré responderla. salu2 y hagan ejercicios! (aunque sea con los dedos…)

Permalink 11 comentarios

Póker y Linux

6 Enero, 2007 at 2:24 am (Internet, Juegos, Linux)

Hace un par de semanas nos juntamos a jugar póker con algunos amigos de la Comunidad de Rol Cisma en mi casa y como buen principiante, gané. Cómo no sabía mucho de las reglas, mi amigo Ivelios me escribió en un papelito la lista de jugadas, para saber qué mano le gana a otra.

* Carta más elevada o Jardín (si es que nadie tiene alguna de las siguientes)
* Par
Un par
* Dos pares
Dos pares
* Trío
Tr�o
* Escalera (5 cartas seguidas de cualquier pinta)
Escalera
* Color (5 cartas de igual pinta)
Color
* Full (1 trio y 1 par)
Full
* Póker (4 cartas iguales)
Póker
* Escalera de color (5 cartas seguidas de igual pinta)
Escalera de color

(Imagenes de ejemplo: www.wikipedia.org)

Luego de eso, quedé con las ganas de seguir jugando y prácticando como lo hace Ivelios, que ha jugado en torneos, posee un maletín con fichas de casino (con ellas jugamos) y apuesta por internet. Pero para jugar en la red, lo hace a través de un sitio de apuestas que requiere la instalación de un programa cliente para Windows, lo que me presentaba un pequeño inconveniente, pues yo uso Linux.

Y como siempre, me puse a la busqueda de alguna alternativa (siempre las he tenido, con excelentes resultados la mayoria de las veces). Primero busque si para mi distribución existía algun programa listo para instalar. Encontré uno llamado Silly Poker y lo instalé. Luego de hacerlo me acordé que existen muchas variantes de póker y que este programa era para jugar al clásico. Lo que yo buscaba era la variante más conocida y jugada actualmente (incluso transmiten juegos y campeonatos en televisión, como en ESPN con profesionales o Sony con famosos) llamada Texas hold ‘em.

Seguí la busqueda en los foros de Ubuntu Forums, hasta que encontré varias personas que preguntaban lo mismo. Como en Linux las dificultades por lo general se repiten y siempre hay gente dispuesta a ayudar, las respuestas están a la vuelta de la esquina… De esta manera encontré 2 sitios que recopilan casinos en línea para usuarios de Linux y Mac (si, ellos también sufren que sólo se piense en Windows, snif):

Ahí se pueden encontrar portales que, en teoría, permiten instalarse clientes para estos sistemas operativos o, la solución que uso yo, no instalarse nada y jugar en línea usando sólo el navegador web (con Java por ejemplo).

Sólo me he creado cuentas en dos de los sitios que aparecen en las listas y esta es mi experiencia (usando Firefox 1.5 como navegador):

PacificPoker: Me registré sin problemas. Encontré que la interface del juego era bastante pesada y lenta. A pesar de que dice que se puede jugar por diversión, sin depositar dinero real, la verdad es que esa opción es sólo para quienes instalan su cliente (es decir los usuario de Windows). Los usuarios de navegador deben depositar dinero para jugar. Y como yo sólo quiero prácticar, descartado.

Poker Room: Me registré sin problemas. La interface es bastante rápida y clara. Uno recibe $1000 ficticios para jugar por diversión, que puede pedir nuevamente si se acaban. En definitiva, la opción que necesitaba para jugar en línea, sin dinero y en Linux. (La verdad es que fue el primero que probé, pero lo deje al final para darle dramatismo xD)

Ojalá que algo de esto pueda servirle a alguien. Cualquier duda o comentario, sólo escríbanme. salu2!

Permalink 1 comentario

El comienzo de otra utopíax

4 Enero, 2007 at 3:57 am (Personal, Utopix)

Hola a todos, bienvenidos a mi nuevo sitio personal. =)
Ya tengo una buena cantidad de años usando internet como herramienta de trabajo, ocio, sueños, juego, conocimiento, comunicación y un largo etcétera de funciones. Quizá muchos de ustedes compartan este camino o recién se están involucrando en él. Sea como sea, trataré que esta bitácora sea útil o al menos entretenida para ustedes.

Anteriormente he realizado algunos sitios webs de distinta índole. En esta ocasión la idea es compartir aquellas cosas simples e íntimas que voy descubriendo, aprendiendo y reflexionando día a día y que tal vez puedan ser de utilidad a alguien más.

Sus comentarios siempre son bien recibidos y tomados en cuenta, por favor no duden en escribirme, salu2!

Mikael

Permalink No hay comentarios