“El periódico ha de estar siempre como los correos antiguos, con el caballo enjaezado, la fusta en la mano y la espuela en el tacón.  Debe desobedecer los apetitos del bien personal y atender imparcialmente al bien público”.
José Martí
 

¿Nos roban Internet?

j-longo-illustration-685x342Tomado de Progreso Semanal

El rumor –ese noticiero extraoficial- esta vez tiene razón: las cuentas Nauta de Internet están siendo atacadas en los puntos de acceso wifi. Para los usuarios es difícil percibirlo, y para los “piratas” resulta fácil robar tiempo de conexión. Muy fácil.

Una forma común de ataque radica en generar una señal falsa, que puede llamarse igual o parecido a la red de Etecsa. “El phishing consiste en simular algo con el objetivo de obtener información –explica Andy Velázquez (*), cibernético-.  Por ejemplo: cuando alguien se conecta al Nauta, tiene que pasar por una página de registro, en la cual pone su nombre de usuario y contraseña. Lo que la persona ve es puro diseño. Quiere decir que, con un poco de conocimiento de diseño web, se puede montar una página idéntica a la de Nauta, y engañar al usuario común”.

Así, el malhechor conserva los datos de registro del cliente. Ante el fallo, este pensaría que el servicio está saturado, como suele ocurrir. La próxima ocasión que esa persona se conecte pueden suceder dos cosas: el temporizador muestra un número menor que el dejado por la persona la vez anterior; o el sistema responde que hay otro usuario conectado –con la misma identidad-, por lo tanto no se puede acceder.

gráfico-1

En la segunda variante, si el usuario no se fijó cuánto tiempo le quedaba, apenas se da por enterado, hasta que simplemente no tiene saldo. “Tan sencillo como abrir una computadora en medio de un parque”, reafirma el informático Camilo Díaz (*).

Otra posibilidad, algo más elaborada, es el llamado Man in the middle, cuando el atacante se coloca como intermediario entre el portal de entrada y el usuario. En este caso también ocurre una suplantación de identidad: el “hacker” dice ser ETECSA y todo el tráfico del cliente pasa a través de él.

“De hecho, puedes llegar a navegar –describe Camilo-, porque tú me estás dando tu nombre de usuario y contraseña, y yo me voy a conectar con eso; y cuando lo haga voy a proporcionarte servicio a ti. Entonces te permito unos minutos de navegación, para que no sospeches, después te desconecto, y a ti te parece que hay dificultades en la red; lo normal. O puedo quedarme conectado, termino lo que necesito, y si pasa algo malo es culpa tuya, porque se conectaron desde esa dirección IP”.

Ante tal situación los usuarios permanecen vulnerables en extremo; apenas existen maneras individuales de protegerse contra un ataque. De todos modos, Andy recomienda evaluar siempre el saldo, antes y después de cada conexión, y si hubiera problemas, reportarlo a ETECSA, y cambiar el  nombre de usuario y contraseña.

gráfico-2

Mario Carreras (*) no sabe cuándo ni dónde usurparon su identidad, solo que cuando volvía a navegar, tenía menos tiempo del que dejaba. Como quien llega a casa y nota que le falta algo. “No puede ser que se pierdan cinco horas”, anota. Sin embargo tampoco ha ido a reclamar a ninguna oficina de ETECSA. “Cuando me conecto gasto todo el saldo, así ya no pueden utilizar mi cuenta”.

En este ambiente donde unos devienen presas y otros cazadores, Mario ha sido las dos cosas. Sí, él también le ha quitado Internet al prójimo, y aunque reconoce esa contradicción “difícil de explicar”, no le remuerde demasiado la conciencia. “Yo estoy cogiendo la conexión de alguien, pero quizás esa persona se la puede estar robando a otro. Porque al final, lo que a mí me estafaron, ¿quién me lo repone?”.

Navegar… a la deriva

A nivel mundial resultan frecuentes los Brute Force attacks: un programa empieza a probar combinaciones de usuarios y contraseñas, hasta que logre entrar. “En realidad, a veces el hackeo a un cliente no es culpa del proveedor de servicio –señala Andy-. Si tú te llamas Fefa, y el password es 1234, un ataque de fuerza bruta tomaría poco en acceder a tu cuenta”. Aun así, la Empresa de Telecomunicaciones no debería cruzarse de brazos.

“¿Te has leído el contrato de Nauta?”, pregunta Camilo. La verdad, no. Pero, ¿quién lo lee? El documento tiene una letra diminuta, se obtiene después de esperar en una cola, y la ejecutiva de ventas observa (des)esperando por que uno acabe de firmar. Además, si la persona estuviera en desacuerdo, tampoco tiene otras opciones: firma o no firma; lo toma o lo deja.

Bueno, pues precisamente el contrato de cuenta Nauta establece entre las Obligaciones del usuario: “Informar a ETECSA de cualquier sospecha de acceso fraudulento al servicio mediante el uso de sus códigos personales y contraseñas. El costo por el tiempo utilizado de esta forma, será asumido por el usuario.”

Y más adelante: “ETECSA queda exonerada de responsabilidad civil por las limitaciones de acceso a los contenidos (…), así como por pérdida de datos por el actuar de terceros”. En suma, para estos ladrones no hay policía. “El texto es muy ambiguo –señala Camilo-, pero básicamente exime a ETECSA de toda responsabilidad, y te la transfiere a ti”.

En días recientes, la empresa desarrolla una campaña de Protección al Consumidor, que incluye su sitio web y sus cuentas de redes sociales. El correo [email protected] está disponible para quejas, reclamos e información (el contrato también lo dice). Sin embargo, al escribirle como usuario averiguando por este fenómeno, ETECSA no responde. En Twitter tampoco.

tweets-Etecsa_recorte

Si preguntamos lo mismo en el 118, número de Información Comercial y Protección al Consumidor, atiende Daniela: “¿En la wifi? ¿Están robando las contraseñas?… No tenemos ninguna información de eso”. Volvemos a intentar y Deysi asegura: “No tenemos ninguna información de que eso esté pasando”.

Una vez más, y Anabel repite: “Nosotros como empresa no contamos con información alguna”. Insisto un poco, y la voz de mujer comienza a impacientarse: “A ver, señorita, usted sabe que en todo hay quien se dedica estafar”, y agrega que si me conecto “normal” con mi teléfono no pasa nada; la cuenta “se queda enganchada” cuando alguien se conecta a través de otra gente, y a lo mejor por ahí les estafan. “Pero la  señal de ETECSA no tiene problema ninguno”, remata, convencida de sus palabras.

No obstante, la empresa conoce lo que ocurre. En el programa Mesa Redonda del 30 de marzo, el ingeniero Eliécer Samada, alertaba sobre “personas inescrupulosas que están robando las credenciales de algunos usuarios”, y luego agotan la cuenta o la revenden. “Ese cliente, cuando logra darse cuenta de lo que pasó, no sabe a quién reclamarle, y el sistema no detecta ese proceder porque no hay anomalía en el acceso”.

El cliente –medio diezmado en su “tiene siempre la razón”- sí sabe a quién reclamar. En la unidad comercial del Edificio Focsa (en el Vedado), un custodio afirma que cada día muchas personas llegan con el mismo problema, y el procedimiento radica en modificar su nombre de usuario y contraseña. Solo eso. Y si les roban de nuevo, les vuelven a cambiar los datos. “No te sientes cercar de las laptops”, aconseja el hombre, en tono subrepticio.

Camilo opina que la cuestión de fondo reside en el Certificado de Seguridad (SCL) que utiliza ETECSA, el cual no está avalado por ninguna entidad pertinente a nivel internacional. Eso explica la advertencia que aparece cuando los usuarios se registran. “El navegador no puede comprobar matemáticamente que está conectado a ETECSA, porque no tiene ese certificado válido”. Por demás, las wifis constituyen ambientes colaborativos, no concebidos para resistir ataques.

La Resolución 127 / 2007, del Ministerio de Informática y Comunicaciones, establece el Reglamento de Seguridad para las Tecnologías de la Información. Esa normativa se centra principalmente en las instituciones, en detrimento de los usuarios individuales, y no hace referencia a la conexión wifi.

Claro, en aquel momento la penetración de Internet era menor y no existían puntos públicos de acceso. En materia de tecnología de la información y las comunicaciones, una normativa en vigor hace casi 10 años equivale a regirse por leyes del siglo pasado.

“No hay que ‘acabar con los estafadores’: ellos surgen porque no se cubren las necesidades”, sentencia Camilo. A su juicio, la solución implica necesariamente firmar un Certificado de Seguridad correcto. Y se atreve a soñar: “Quizás parece un poco surrealista, pero Cuba no lo pensó dos veces para implementar un montón de cosas gratuitas ¿Por qué la wifi no puede ser una de ellas?”.

Mario (el cazador cazado) comparte una opinión parecida: “Para mí la única salida está en bajar el precio de la conexión. En definitiva, Internet no es un lujo; es para aprender, comunicarse, resolver problemas… Es para mejorar la calidad de vida de la gente”.

(*) Los nombres han sido cambiados a solicitud de los entrevistados.

About Eileen Sosin Martínez

Periodista cubana. Bicho nocturno, cafetera y buena amiga. Muy teatral (que no trágica), despistada y trabajadora, con malos pensamientos pero buenas intenciones.

 
 

18 thoughts on “¿Nos roban Internet?

  1. Ellos podrían resolver preliminarmente el problema: comprando un certificado válido para su dominio. Así sería fácil para el usuario que no es informático simplemente evitar conectar a un sitio con certificado inválido. Eso es algo que ellos como empresa de telecomunicaciones saben muy bien, deberían arreglar el problema cuanto antes.

  2. Feliz día de los padres a todos, mis deseos que usted lo disfrute con su familia Fernando, una pregunta que me salta que quizás parta de no estar al día de las condiciones concretas de las telecomunicaciones y sus redes en Cuba. Porque en Cuba no existen planes de acceso a la red desde la plataforma de cableado, no publica e inalámbrica, recuerdo que inclusive desde la época del dial-up cuando emigre a principios de siglo, las compañías ofrecían esos planes de cierta cantidad de minutos por mes por diferentes precios con servicios a tu domicilio. Sé que algunos escogidos por su rango de poder público o monetario tienen esos servicios me dicen anclados al teléfono de la casa, y creo que eliminaría conexiones inalámbricas en puntos públicos mucho más vulnerables, y haría más fácil de controlar un tráfico mucho menos voluminoso. Me pregunto el porqué de la decisión de priorizar conexiones inalámbricas a redes públicas que inclusive aquí es reconocido y tratado como conexiones muy poco…

  3. Loque hay esqueponer internet usando el saldo del telefonoy ya.No complicarle tantola vida a los usuarios y facilitándosela a los revendedores de tarjetas y ladrones de cuenta. Sería eso tan dificial? Por Dios !

  4. Felicidades en el Dia de los Padres a todos los miembros del blog. In cluyendo al dueño.
    Gracias Fernando por tu trabajo en el blog..!
    Saludos…

  5. A los que sugieren que Etecsa compre un certificado digital, no es taaan simple, las leyes estadounidenses (y no precisamente las relacionadas con el embargo|bloqueo) prohiben explicitamente la exportacion de tecnologia de criptografia a una lista de paises, en la que por supuesto se encuentra Cuba.

    Un certificado digital, solo puede ser comprado a un punnadito de empresas norteamericanas, y ademas eso es por definicion, tecnolgia de criptografia.

    Las restricciones con respecto a Cuba estan cambiando constantemente, a razon de una o mas veces por mes, con algo de suerte pronto esto sera posible.

  6. Feliz días de los padres a todos igual.
    Sobre el articulo, es un tema típico de Cuba, un problema cotidiano para el resto del mundo civilizado es noticia en Cuba por las locuras de querer monopolizarlo todo y se ineficientes a la máxima potencia, por el simple hecho de que es imposible monopolizar una empresa estatal de comunicaciones en un país pobre, en fin ojala algún día logren cambiar estas cosas antes que se seque el malecón 🙂
    Saludos

  7. Muchas felicidades a todos los padres que participan en este blog! Un abrazo y mucha suerte en la vida y proyectos de cada uno.

  8. Anon (5) no generalice. Existen múltiples proveedores de servicio en Internet que venden certificados SSL (no SCL como dice en el articulo) que no tienen nada que ver con USA. Por otra parte incluso organizaciones sin ánimos de lucro que regalan esos certificados (https://letsencrypt.org/). Ademas existen organizaciones en Cuba con menos recursos que ETECSA y que si tienen su certificado. ETECSA brinda un servicio pesimo a sus clientes porque basicamente no los percibe como clientes. Si ETECSA no tiene en sus paginas un certificado SSL entonces si tiene responsabilidad en lo que esta pasando. Lo quiera aceptar o no. Ademas bien podría estipular en el contrato de servicio el que los usuarios acepten en sus dispositivos un certificado raíz emitido por ellos. Eso es si tuviera alguna consideración por la seguridad de sus clientes. Que nadie diga que no son responsables. Su desidia para con los usuarios permite ambos tipos de ataques.

  9. Pues de verdad que como todo en el día a día del cubano es un problemón esto también, no me había detenido a pensar en ello pues no la utilizo, pero es una realidad + 100%, y como sucede siempre, pues el problema se lo pasan al cliente. Ya de por si lo venden caro y encima de ello pues con el grave riesgo pendiente.
    Igual como todo cuanto acontece, pues ahí vemos en el COMENTARIO # 5, en que cae en el embargo.
    Por lo regular estas son las respuestas que se encuentran cuando se trata de profundizar un poco, aun cuando es de dominio público todas las ofertas de “los enemigos” para sobre todo liberalizar comercio y cooperación en ese reglón especifico.
    Como todo monopolio, esto es lo que dan, así y si les conviene lo toman y si no….

  10. @Yeiniel Lleva parte de razon en lo que dice, pero no en todo. No quiero entrar en careos aqui, pero la idea es que los certificados “gratis”, o “baratos” no servirian para lo que se comentaba anteriormente, dado que no son aceptados como “confiables” por los grandes jugadores como Google (Android), Microsoft, Apple y familia.

    Lo otro que dice de que Etecsa podria emitir su propio certificado y obligar a los usuarios a usarlo es 100% viable y coincidimos plenamente en que seria una solucion rapida, efectiva y economica en este caso.

  11. Anon, cuando vaya a comentar primero infórmese sobre lo que está diciendo. Los certificados de Let’s encrypt son pefectamente válidos. Si quiere comprobarlo abra un sitio que use estos certificados con cualquier navegador web actualizado para que compruebe que este los considera confiables. En cuanto a los grandes jugadores, consulte la página https://letsencrypt.org/sponsors/ y verá que entre los patrocinadores de Let’s Encrypt se encuentran Mozilla, Chrome (de Google), Facebook, Cisco y otros muchos gigantes de la tecnología.

  12. Si los encargados de la SEGURIDAD informática se dedicaran más a la verdadera seguridad y no a estar vigilando a dónde entra la gente; seguramente ya hubieran podido eliminar estos “hackeos”; pero la prioridad no es esa.

    Y en cuanto a que ETECSA lo sabe, claro que lo sabe, yo también vi el programa de la Mesa Redonda cuando hablaron de ello, y cogí tremendo insulto cuando Randy le recomendaba a los usuarios que “tenían que tener cuidado” con esto, o sea, el que va a conectarse es el que tiene que protegerse de que estén hackeando el nauta, no la empresa a la que se le paga, y bien carísimo, el servicio.

  13. Como casi siempre los conocedores de la materia aportando elementos sólidos y suficientes, y sobre todo SIN FANATISMOS.
    Gracias Rainer Martínez Fraga EN ESPECIAL y a Anon también sobre todo en su segundo comentario 11, un poco más realista que el primero.
    Coincido 100% + con cubana 13……

  14. Estimado Rainer. le retorno su propio consejo, infórmese antes de hablar. En el propio sitio web que menciona se dice lo siguiente:

    We are not planning to restrict issuance to any countries/ccTLDs as a whole. We will, however, be restricting issuance to various government owned and operated domains for the following five countries:

    Iran
    Sudan
    North Korea
    Cuba
    Syria

    De todas formas, como ya se dijo, hay otras soluciones

  15. Anon (15): Touché. No obstante, los certificados sí son perfectamente válidos, no como quería hacer ver en el comentario 11. En cuanto a que Etecsa emita su propio certificado y obligue a sus usuarios es lo que está haciendo actualmente, solo que no ha sido capaz de (o no ha querido) comunicarlo efectivamente a sus usuarios y estos se encuentran con un error que no conocen sin haber sido alertados por su proveedor de internet.

  16. Me disculpa el lector no interesado en verborrea informática por este comentario y los anteriores:

    #Rainer y #Yeiniel: Reconozco que asumí erróneamente que letsencrypt era simplemente una suerte de pepe-el-cojo de la esquina emitiendo certificados de poca monta, ya veo que no es el caso, y les agradezco la info y que me hayan forzado a indagar sobre el tema. Mantengo sin embargo que por ahora no sirve para el problema en cuestión.

    Respecto a lo que hace actualmente Etecsa, hasta donde yo sé, simplemente usan un self-signed certificate, lo cual no basta para evitar que el navegador muestre errores, por ejemplo cuando entras a granma punto cu por https en Chrome te sale esto:

    This server could not prove that it is http://www.granma.cu; its security certificate is not trusted by your computer’s operating system. This may be caused by a misconfiguration or an attacker intercepting your connection

  17. Una solución podría ser que etecsa ofrezca una copia de su certificado con solo la llave pública para que los usuarios lo instalen como “trusted certificate” en sus PCs, tablets o telefonos (no estoy seguro si se puede hacer en iOS, pero en Android, Windows, Linux y Mac OS X sé que puede). Luego quedaría “educar” a los usuarios para que no entren sus datos de nauta en una pagina que muestre errores.

    Otra solución tal vez más efectiva para el usuario normal es que Etecsa desarrolle aplicaciones para cada plataforma que permitan (OPCIONALMENTE) hacer la autenticación con sus servidores nauta, y las distribuya de mano a mano en sus puntos de venta a la hora de crearse una cuenta, de esa forma se hace bastante más difícil que un hacker de mala muerte se meta en el medio a robarse las cuentas.

    Si luego un usuario decide “copiar” la aplicación de otra fuente que no es Etecsa, y resulta que la aplicación copiada es falsa, ya es claramente su responsabilidad y sabe a lo que se…

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *