El Blog de Enrique Dans

Nintendo y el hacker: lecciones aprendidas

Escrito a las 9:17 am
36

El reciente caso de hacking denunciado por Nintendo en España invita a un análisis. No porque el caso sea especialmente grave o complejo, sino porque demuestra los problemas que las compañías tienen cuando se enfrentan a un fenómeno cada día más frecuente: el de personas que descubren y reportan errores en páginas o servicios que generan problemas de seguridad.

En la mayor parte de los casos de descubrimiento de vulnerabilidades, quien las descubre sigue una ética claramente marcada. Una ética que las compañías deben conocer y, sobre todo, aprender a reconocer. Suelen notificar la vulnerabilidad a la compañía, dejar un plazo para su resolución, y solo si son ignorados, hacerla pública o notificar a las autoridades, y generalmente solo esperan a cambio un agradecimiento. Saber diferenciar entre quien únicamente quiere avisar a la compañía para evitar un daño mayor y quien pretende explotar la vulnerabilidad para obtener algo a cambio puede ahorrar, en muchos casos, problemas que pueden llegar a tener cierta importancia en términos económicos y de imagen.

En el caso que nos ocupa, perfectamente documentado por una de las partes a través del conocido foro ElOtroLado.net, todo apunta a un tema del primer tipo. Una persona descubre una vulnerabilidad en una página de Nintendo. Para probar su punto, entra y hace una copia de la base de datos de usuarios. Contacta a la compañía, notifica la vulnerabilidad, y se encuentra casi inmediatamente con un caso abierto en el juzgado, una nota de prensa que lo acusa de protagonizar un intento de extorsión, y una visita a Comisaría. Quien descubre la vulnerabilidad no tiene el perfil de un delincuente ni nada parecido. Puede ser poco adecuado en las formas, pero considerarlo de alguna manera un “mafioso” o un “extorsionador” resulta poco creíble, y enviarlo directamente a Comisaría, algo desproporcionado. Algo a lo que posiblemente contribuyan tonterías que habitualmente se ven en los medios, como esta reciente portada del XL Semanal, revista dominical de enorme difusión, y otros medios irresponsables que cuando hablan de hackers los pintan habitualmente como sujetos malencarados, enmascarados o de mirada sombría. Por favor, un poco de rigor: aunque la verdad nos estropee un buen titular, los hackers son personas perfectamente normales, que simplemente tienen algo más de curiosidad que el resto. Y que además, por lo general, hacen avanzar el mundo.

Quien se pone en contacto con Nintendo es, simplemente, una persona que encuentra algo que la compañía había resuelto mal. Un fallo que puede ocurrir – hasta el mejor escribano echa a veces un borrón – pero que no debería. Un caso claro de revisiones no pasadas cuya existencia se debe única y exclusivamente a un error de la compañía. Quien lo descubre no usa “técnicas de hacking“, a no ser que entendamos como “técnicas de hacking” algo tan sumamente básico como sustituir “www” por “admin” y pulsar Intro sin poner usuario ni contraseña. Por favor, eso se me puede ocurrir hasta a mí, y mis habilidades técnicas son sumamente limitadas. Saber diferenciar a una persona razonable y con intenciones sanas de un delincuente que pretende causar un daño a la compañía o extorsionarla es algo que puede ahorrarnos muchos problemas en todos los ámbitos de la vida, y en la gestión empresarial también es así. Conviene revisar la secuencia de mensajes intercambiados entre la persona que descubre la vulnerabilidad y Nintendo para hacerse una idea clara en este sentido y entender los errores cometidos y la secuencia de acontecimientos.

¿La actuación de la empresa? También hay que entenderla. Se enfrenta a un más que probable escarnio público, a una posible multa de elevada cuantía y, según la imaginación que le echen, a una posible extorsión. Por eso, la otra parte tampoco está exenta de culpas. Cuando se encuentra uno en una situación como ésta, contactar a la compañía es algo que debe entenderse como un acto de buena intención. Se podría simplemente poner el asunto en conocimiento de la Agencia Española de Protección de Datos y dejar que hagan su trabajo. Si se decide contactar a la empresa es para evitar un impacto económico innecesario. Pero en ese caso, hay que tener en cuenta que se está “haciendo un favor”, y por tanto, adoptar una actitud clara e inequívoca en este sentido, un tono adecuado, dado que existe la posibilidad de que se confundan tus intenciones. Es importantísimo tener en cuenta que si la comunicación se realiza mediante correo electrónico, no existe empatía ni signos externos que indiquen la actitud de la persona que está al otro lado, y que lo que se escribe puede resultar, a los ojos de quien se siente amenazado, patentemente equívoco. En este caso, el tono de los correos es innecesariamente arrogante, y uno de los párrafos del correo es peligrosamente equívoco:

“Por todo ello, le propongo iniciar una vía de negociación dialogante por la cual lleguemos a un acuerdo que nos evite esfuerzos legales innecesarios tanto a la empresa que usted dirige como a mí personalmente.”

Innecesario y equívoco, un error que puede incluso llegar a justificar la actuación de Nintendo. Hablar de “negociación” invita a suponer “extorsión”, e incluso a pensar que en algún momento pasó por la cabeza de esta persona, aún sin ser un delincuente, la posibilidad de aprovecharse del tema. En realidad, la persona que está al otro lado es muy posible que persiga únicamente algo de notoriedad o simplemente un agradecimiento, pero decididamente, lo ha expresado mal: buscar un agradecimiento no es una “vía de negociación dialogante”, sino simplemente un aviso del tipo “ya que te he notificado un problema que podía haber tenido consecuencias, al menos dame las gracias”. El problema, por tanto, surge cuando la compañía encuentra justificado pensar que esa persona buscaba más, probablemente algo económico: ¿”negociar” un “agradecimiento” con plazos? Eso, desde el punto de vista de la ética hacker, es inadmisible. Y da pie a que Nintendo te denuncie con (casi) toda la razón del mundo y que todo lo que era “positivo” acabe enterrado por una simple cuestión de formas. Si la persona ha ahorrado a la compañía un problema y un quebranto económico, compensar con un agradecimiento, una visita a la compañía o incluso en especie puede ser una práctica adecuada y razonable. Si, por el contrario, se comprueba fehacientemente una reclamación económica, el juzgado es la única solución posible. La compañía no puede bajo ningún concepto mostrar una voluntad negociadora: lo que está en juego son los datos de los usuarios. Por eso, ante una actitud equívoca, puede entenderse que la compañía decida poner el asunto inmediatamente en manos de las autoridades. De ahí al tono alarmista y amarillo, innecesariamente “adornado”, de la nota de prensa que la compañía cuenta a los medios, va un trecho. Posiblemente la compañía podría haber aclarado las intenciones de la persona y dejado clara su nula disposición a negociar en una respuesta mesurada que hubiese atajado el problema, pero decidió no hacerlo y proceder por la vía de la denuncia.

Al final, el resultado es malo para todos. Una persona que seguramente dista mucho de ser un delincuente pasa a tener registrados unos antecedentes penales, y una compañía que cometió un error afronta una multa y un problema de imagen que seguramente pudo haberse ahorrado. Lo normal es que quien contacta a una compañía porque ha encontrado un problema de seguridad se limite a eso, a informar del mismo. Es FUNDAMENTAL, en ese caso, prestarle atención y proporcionarle tanto una interlocución adecuada, como una inmediata resolución del problema. Es una crisis, que debe ser gestionada como tal. Si lo ignoramos, lo despreciamos o lo consideramos “un bicho raro”, la persona, tras dar un tiempo prudencial a la compañía para que reaccione, hará público el problema, o directamente lo pondrá en conocimiento de las autoridades. Para una compañía, contar con una actitud positiva de la comunidad hacker puede ser una baza muy interesante. Y viceversa: atacar a dicha comunidad de manera vana o injustificada puede poner a la compañía en el disparadero para que sufra más ataques.

En este caso, por tanto, errores en ambas partes. Y para quienes en algún momento puedan encontrarse en situaciones parecidas, un montón de lecciones que aprender.

1 trackbacks

[…] Nintendo y el hacker: lecciones aprendidas http://www.enriquedans.com/2011/02/nintendo-y-el-hacker-leccione…  por likiniano hace 2 segundos […]

35 comentarios

001
David Bonilla
13.02.2011 a las 09:51 Permalink

Me he pasado por tu blog en domingo y de buena mañana ya que, gracias al GateDefender de los amigos de Panda, desde el trabajo no se puede. Ya me contarás que les has hecho.

Esta vez lo has clavaó. Tanto en la mediocre gestión de la situación por parte de Nintendo, como en el, dejémoslo en “confuso”, lenguaje del hacker de todo a 100.

Menudo palo que le has metido al establishment con este artículo. A ver que dicen los que habitualmente comentan que estás vendido a el :)

002
Bou
13.02.2011 a las 10:24 Permalink

Enrique, creo la secuencia de hechos que expones no se corresponde con la realidad. Dices que el usuario “contacta a la compañía, notifica la vulnerabilidad, y se encuentra casi inmediatamente con un caso abierto en el juzgado” pero eso no es cierto. El usuario contacta a la compañía, notifica que hay una vulnerabilidad (pero no cual) y ofrece, no su colaboración para arreglar el desaguisado, sino sencillamente no ejercer su deber ciudadano de denuncia si “llegan a un acuerdo”.

Hasta aquí todo está sujeto a interpretación y podemos suponer que es una persona que pretende ayudar y que se ha expresado realmente mal. Y es lo que hace Nintendo, que da el silencio por respuesta y se dedica a arreglar el fallo de seguridad.

Cuando el usuario descubre que Nintendo ha solucionado el problema les envía un segundo correo notificándoles que va a proceder a denunciar los hechos “salvo oposición por su parte”. En este otro correo ya no cabe suponer ánimo de colaborar, sencillamente porque el problema de seguridad ya no existe, y la única interpretación posible es que el usuario, efectivamente, pretende obtener algo a cambio de no materializar su amenaza.

Hay bastantes más detalles que hacen dudar de la buena fe de Adan Gecko, pero creo que éste, individualmente, es lo bastante significativo como para incluírlo en el análisis y sinceramente, no sé por qué no lo has hecho.

003
Enrique Dans
13.02.2011 a las 10:41 Permalink

#002: la secuencia de hechos está convenientemente vinculada en la entrada para que cada uno la pueda seguir con total facilidad. Lo que apunto en mi entrada es MI interpretación, que no impongo a nadie: cada uno puede hacerse la suya. Yo a la persona que protagoniza esta situación no la conozco de nada, he dicho que no tiene perfil de delincuente y que ‘posiblemente’ en algún momento pudo pasar por su cabeza aprovecharse del asunto, lo que provocó la denuncia de Nintendo. Nada más, porque no tengo datos ni pruebas para afirmar nada más. Yo solo intento contar el tema y derivar algún tipo de enseñanza del mismo, ni juzgo ni aporto más pruebas de las que ya están en la red.

004
asmpredator
13.02.2011 a las 10:46 Permalink

Si solo pretendes avisar de algo no hay nada que negociar, avisas y ya esta, ahora bien, si quieres sacar algo añades esas lineas que dejan claras tus intenciones.

005
Bou
13.02.2011 a las 10:56 Permalink

Enrique, es cierto que enlazas a la secuencia de mensajes, pero las personas que decidan no seguir el enlace y quedarse únicamente con tu versión de los hechos (o incluso leer solamente el resumen inicial y prescindir de la interpretación posterior) se van a llevar a error ya que omites datos vitales, al menos en mi opinión.

006
Maivista
13.02.2011 a las 11:48 Permalink

Enrique, estoy de acuerdo con Bou. Y me extraña tu falta de rigurosidad, que por otra parte se me antoja tendenciosa. Como intentando maquillar de buena fe lo que a todas luces es maquillable como extorsión. No entiendo en qué momento de los emails deduces que el Buen Chico se conformaría con un “Gracias” o una visita a Nintendo (aquí hasta me he reido).
Y de paso también me gustaría darte una “colleja electrónica” ya que cuando alguien con tu “notoriedad mediática” y “capacidad de análisis” deja de ver cosas o ve las que no hay y lo cuenta, me parece peligroso y casi irresponsable.

007
José Manuel Robles
13.02.2011 a las 11:53 Permalink

A mi me parece más interesante el caso de Sony contra GeoHot.

GeoHot es el hacker/cracker que descubrió la clave raíz de la consola PS3 (además de permitir los jailbreaks en los iP{hone,od}). Esto permite descifrar todo el software que Sony envia vía PSN o en BluRay y poder hacer un disassemble del código, modificarlo y volver a cifrar/firmar.

Es algo muy grave para la industria.

La respuesta de Sony ha sido llevarlo a los tribunales y juez ha ordenado una medida preventiva para que GeoHot retirará la root key de su sitio y se abstenga de hacer declaraciones sobre el procedimiento de obtención de la misma.

En relación con esta entrada, este GeoHot sólo buscaba reconocimiento y trabajo en Sony (los hackers son expertos en seguridad con un ego muy difícil de alimentar) . Si ha sido capaz de reventar un sistema de seguridad que ha costado un pastón, es también capaz de solucionarlo o al menos hacerlo más complicado. ¿tiene sentido no?

Para generar un poco de polémica en la red, incluso ha hecho una canción rap relatando sus problemas con Sony (es un auténtico crack).

The Light It Up Contest — geohot

Salu2!

008
soglex
13.02.2011 a las 12:06 Permalink

Cuando eres uno de los cuatro mil perjudicados las cosas no son tan fáciles de entender. Primero porque yo mismo debería ir a denunciar al “hacker” por tener mis datos guardados y los datos de 3999 personas más, sin permiso alguno. Segundo, porque si usted ha leído todos los mensajes enviados por el “hacker” entonces el artículo cambiaría de parecer. Esta claramente orientado en favor de ese chico, y en mi opinión no es para nada justo defender el hecho que ha cometido, que si no debería de haber sido fichado por la policía, etc. Ha vulnerado el ámbito privado de seguridad de una web, y eso está penalizado. Tan sólo con el hecho de entrar a “probar” si existían vulnerabilidades ya quita toda credibilidad al asunto. Nadie pulsa el botón de “alarma contra incendios” para “probar” qué puede ocurrir. Nadie abre la puerta de una casa ajena para “probar” si está abierta, y si lo está robar los muebles y “negociar” con su dueño para no denunciar que la puerta estaba abierta. Y esa misma frase la ha citado usted “negociación dialogante”, eso no se puede entender de otra forma, y en el segundo mensaje que le envía el hacker a la compañía les dice que va a denunciarlos aún habiéndose arreglado el problema, es decir, que al hacker no le importaba para nada la solución de la seguridad de la web,sino sacar tajada del asunto, está clarísimo, y así lo ve la mayoría de usuarios de la web citada por usted. Usted mismo intenta defender el acto cometido, y en mi opinión no hay defensa factible para alguien que vulnera la seguridad y no por “probar”, luego guarda los datos de miles de usuarios como yo que a saber dónde están ahora mismo mis datos pululando por la red, y encima intenta chantajear a la compañía, y si usted no ve este último punto es porque no ha tenido la consideración de leer e investigar sus fuentes, porque este artículo desde luego carece de veracidad.

009
Español del Montón
13.02.2011 a las 12:08 Permalink

Nintendo… Miedos, Lios, Torpezas, Nervios e ilusiones.
Enrique el tema de Nintendo creo que es algo parecido a lo siguiente:

– Nintendo quiere que sus beneficios sigan viento en popa con la Nintendo 3DS, cosa poco probable ya que bajaron con la XL…
– Algún tipo de campaña de Marketing necesitara hacer para ello. ¿Sera esta, la que esta ocurriendo y de la que estamos hablando?
– ¿Ha salido como ha querido la Empresa de Marketing?
– En un principio, mi olfato me dije que si.
– Alguien ha encontrado una fisura que “alguien, tarde o temprano, podía y casi debería encontrar”.
– ¿Como ha sido la reacción de la persona que la ha encontrado la, falsa, “vulnerabilidad”.?
– Pues la normal, propia de la cultura de los Hackers y Piratas a los que se les da premios por encontrar “vulnerabilidades”. Vease sino el premio 20.000 Dolares que da Google a quien descubra “vulnerabilidades” en Chrome. ¿A quien le gustaría que otra persona se lleve el premio?
– ¿Como ha reaccionado Nintendo?
– Pues Nintendo ha reaccionado al más puro estilo Kamikaze. En vez de tomar a la persona que ha encontrado esa “presunta vulnerabilidad” como un amigo que le va a ayudar a vender la 3DS a destajo. Lo ha tomado como un enemigo.
– No se sabe ni que pensar, ya que esta estupidez de Nintendo, no de la empresa a la que llamo de Marketing, es algo que hace que las personas que tenían pensado comprarse la nueva NINTENDO 3DS, se lo piensen. Y piensen que aparte de la Pantalla 3D la pantalla táctil es más pequeña que la de la del modelo XL.
Por lo tanto las personas inteligentes se darán cuenta de que la Nintendo 3DS, lo más seguro es que sea un timo.

En fin… que os invito a reflexionar sobre esto.
Lo de estos Japoneses es terrible.
¡Creen que algo real como su ira, su enfado y sus frustraciones monetarias pueden usarse como técnicas y Marketing para Venta!

Entre la idiotez periodística de “callar” las malas noticias sobre “productos y empresas” esta la idiotez de “la mayoría de los blogs” en los que está prohibido poner spam o publicidad tan simple como decir que el producto que tiene un comentarista del blog lo consideran publicidad…
¡Como si fuera un medio que puede llegar a Millones de personas como la Tele!
Un ejemplo de Spam que muchos blogs quitarían sería decir:
“Pues tengo un Sintonizador de TV de Alta Definición que además se le puede añadir disco duro para grabar y hasta ver películas en HD hasta 1920×1080. Es el modelo Siemens Gigaset HD 600T. Así que ya sabéis si tenéis una tele que no tiene sintonizador de HD, no necesitareis comprar otra.

Bueno me voy ya… no sea que venga algún japones gritando: BANZAI… BANZAI…

Saludos.

PD.
– ¿Cuándo es el Día de los Inocentes, en Japón?
– ¿Se llama el Día de los Inocentes, o el Día de los Tontos?

010
Enrique Dans
13.02.2011 a las 12:13 Permalink

#005 #006: pues escribid vosotros vuestro relato de los hechos. Yo escribo el mío, me limito a constatar, no a “interpretar”, y no pretendo juzgar (para eso están los jueces), sino derivar aprendizaje de una situación. Vosotros presuponéis cosas que yo, seriamente, no puedo asumir. Vosotros asumís directamente sin pruebas que esa persona es un delincuente, un extorsionador, y seguramente os lo imagináis enmascarado y malencarado como en la portada del XL Semanal. Yo digo que es una persona normal que ha cometido errores, y doy detalles de los mismos, el enlace a la conversación, y el entrecomillado de sus palabras. Repito: no conozco de nada a esa persona y sí conozco a personas que en Nintendo me han dado su relato completo de los hechos, porque yo me preparo las entradas y consulto varias fuentes. Y con todo y con eso, vosotros ya estáis dando a entender que “soy tendencioso”… qué queréis que os diga, si estimáis que soy tendencioso, que tengo algo que ganar o que maquillo la realidad, cuando he proporcionado enlaces a toda la información disponible, allá vosotros. Os recomiendo que no me leáis.

011
Genzai Kawakami
13.02.2011 a las 12:27 Permalink

Enrique por favor, corrige el fallo que te ha comentado Bou. Adan no revela en ninguna ocasión cual es el fallo.

Es como si alguien te escribe un mail y te comenta que tu blog tiene un fallo. Tu tienes que ver si es verdad y cual es…

Te pido otra vez por favor que modifiques la frase: “notifica la vulnerabilidad”. Ya que para nada es cierto. Y eso no es tu opinión como le has dicho a Mou.

012
Bou
13.02.2011 a las 13:07 Permalink

A ver, Enrique. Voy a pedirte que no lo lleves a lo personal porque creo que en ningún momento he dado a entender que el usuario sea uno de los Dalton, ni que sea conocido tuyo, ni ninguna otra de las presuposiciones que pones en mi boca.

He dicho y mantengo que tu relato (ya que te niegas a hablar de interpretación) está repleto de inexactitudes, que no repetiré porque ya las he expuesto claramente en mi primer mensaje y que tú sin embargo parece que has preferido obviar.

Nadie se salva de escribir un artículo “rana” de vez en cuando. Sin embargo nuestra forma de aceptar la crítica constructiva sí dice mucho de nuestra calidad como comunicadores. Hay quien la aprovecha para mejorar, y hay quien se emberrincha y te responde que si no te gusta no le leas.

Tú sabrás de qué grupo quieres ser.

013
Enrique Dans
13.02.2011 a las 13:57 Permalink

#012: Bou, escribo todos los días desde hace más de siete años. Te aseguro que no soy infalible. Pero si cada vez que alguien aparece con una interpretación distinta a la mía tuviese que cambiar mi entrada, no haría otra cosa. A lo mejor eres tú. En esta página puedes disentir y poner tu opinión en sentido contrario en los comentarios, pero no descalifiques la mía ni la intentes imponer. No funciona así.

014
Felix
13.02.2011 a las 14:26 Permalink

No estoy de acuerdo con el tono que le das. Es cierto que el pensamiento hackin etico es como dices, pero ese parrafo no está malinterpretado, el chico queria algo a cambio de nintendo y no creo que fuera solo una palmadita en la espalda…
En estos casos, directamente denuncias y punto y como mucho remites un mail diciendoles que les has denunciado y poco mas.

015
Raúl de la Cruz-Linacero
13.02.2011 a las 15:01 Permalink

Enrique, te sigo desde hace años y aprendo cada día. Gracias
Con respecto al tema de hoy, lamentar que todo se haya desplazado al tema de las opiniones y no del fondo del problema.
Pero, lamentablemente aunque digas que no, sí has juzgado y has calificado, por eso los comentarios de hoy todos son de opiniones y de juicios, no de hechos (yo me voy a abstener de opinar, si no te importa)
Solo extraigo partes del post
– has declarado culpable a los medios de comunicación de la mala imagen de los hackers; y has dicho que solo dicen tonterías, que son irresponsables y que son amarillstas (buscan un titular en vez de la verdad)

– has declarado culpable de alarmismo y de amarillismo a Nintendo, por no haber sabido leer entre líneas las buenas intenciones del hacker

Nada más. Gracias siempre.

016
javier
13.02.2011 a las 15:20 Permalink

Coincido a 100% en todo, sin duda las formas del joven no fueron correctas al dar a entender algo que suena a extorsión aunque me juego una cerveza a que lo que el joven se referiría es a que a cambio del descubrimiento le regalasen una 3ds y aquí paz y gloria en el cielo, ademas la imagen de la compañía y sobre todo de los desarrolladores de esa web que son 8media quedan por los suelos en un error mas que grabe, a quien se le ocurre no poner admin!!

017
Bou
13.02.2011 a las 15:26 Permalink

Enrique,

No solamente no he intentado imponer mi opinión, es que ni siquiera la he dado. He expuesto que algunos de los datos que das en tu artículo son inciertos, y que otros importantes te los saltas. Ni he dado mi opinión sobre el caso ni he cuestionado la tuya, más allá de decir (y eso no lo había hecho hasta ahora) que se cimenta en una versión sesgada de los hechos y que por lo tanto poco puede aprenderse de ella.

Si estás en desacuerdo con alguno de los datos objetivos que te he dado será un placer oír tus argumentos. De lo contrario disculpa que no siga participando en un debate que no nos aporta nada ni a ti ni a mí, y espero que entiendas que en todo momento he hablado sin actitud y con el ánimo de criticar constructivamente.

Un saludo.

018
Sun1321
13.02.2011 a las 15:33 Permalink

#012
Creo innecesario que le digas a Enrique que no lo lleva a lo personal, pues no lo hace, tú sabrás que pretendes con esa frase.

Dices no creer que hayas pretendido dar la imagen de delincuente de este muchacho, sin embargo, en mi opinión, si lo has hecho y de forma notoria.

La última frase que empleas te va mucho más a ti que a Enrique, creo que deberías ser tu quién se preguntase a que grupo perteneces.

#014
Bueno, una interpretación como otra cualquiera, posible si, cierta… no lo puedes saber. Sigo quedándome con los datos que aporta Enrique, mejor que con la interpretación que alguien quiera hacer.

Sigo a Enrique desde hace tiempo, en lineas generales casi siempre estoy de acuerdo con lo que dice y en como lo dice, otras veces no es así, pero lo que nunca haré es lanzar acusaciones gratuitas del tono que #014 las hace. Yo, desde luego, si pensase que aquel a quién me tomo la molestia de leer, es una persona que se enfada por nada, lee lo que quiere y no sabe rectificar, pues mejor no lo leo, ¿no?.

Ánimo Enrique y sigue como hasta ahora, me gusta leerte.

019
wally
13.02.2011 a las 16:29 Permalink

Seguramente este usuario no será hacker, pero sinceramente ¿qué visitante de una web que no busca “cierta maldad” se pone a buscar en qué url se encuentra la cuenta de Administrador?

Vamos, es que yo que llevo varios años en la informática, no voy probando a entrar como admin. Es que ni lo intento, ni se me ocurre perder el tiempo en eso a no ser que esté buscando entrar en el sistema.

El usuario se ha equivocado y Nintendo también, pero mientras lo de Nintendo puede ser un descuido o una mala programación (grave eso sí), lo del usuario tiene mayor delito ya que busca beneficiarse de los datos que ha obtenido.

020
El Barón Rojo
13.02.2011 a las 16:44 Permalink

Enrique, yo creo que te has salido con este artículo. Tu interpretación me parece, a todas luces, acertada y neutral. Adan_Gecko debería haber tenido más cuidado con sus palabras, y Nintendo tendría que contratar un Community Manager.

No hagas ni caso, Bou y Kawakami son miembros de EOL que desde el principio han abogado porque a Adan_Gecko lo metan en una checa, como mínimo. Y todas las opiniones que difieran son automáticamente descalificadas.

Es muy peligroso eso de estar en posesión de la verdad absoluta.

Saludos,

021
Josue
13.02.2011 a las 16:48 Permalink

Enrique, cambiar “www” por “admin”, entrar en el sitio y bajarse la base de datos de usuarios son técnicas de hacker lo mires por donde lo mires. Que sean avanzadas o no es otro asunto, pero si yo dejo la puerta de mi casa mal cerrada y llega un tío, la empuja, entra en casa, coge algo y se lo lleva, está empleando técnicas de robo de pisos, y que lo tuviera muy fácil no lo justifica en absoluto.

022
Genzai Kawakami
13.02.2011 a las 17:42 Permalink

El Barón Rojo, siento que te equivoques. Cualquiera puede leer el hilo y ver como soy el primero en apoyar a Adan, cuando el informa de la situación.

Pero luego cuando posteo los dos correos, empezaron mis dudas. Porque cualquiera se equivoca en un correo, pero en dos, puedo permitirme dudar.

Y lamento Enrique que te cierres tanto con Bou, que lo único que te ha notificado son los errores claros que hay en tu articulo. Yo te he solicitado que cambiases una frase errónea y has hecho caso omiso.

023
Manu1oo1
13.02.2011 a las 17:45 Permalink

Como mi análisis del artículo es demasiado extenso para colgarlo aquí, le dejo en enlace a ElotroLado, donde estamos hablando del asunto, y de su entrada.

http://www.elotrolado.net/hilo_la-verdad-sobre-el-supuesto-robo-de-datos-y-chantaje-a-ninte_1571256_s570#p1723800147

Un saludo.

024
Español del Montón
13.02.2011 a las 17:55 Permalink

Nada… que viendo tantos comentarios de Enrique…

Parece que hemos pasado de la moral o ética social; a la ética o moral individual, personal, única e inamovible.
Quien quiera y guste profundizar en el tema puede ir a este link:
http://ar.answers.yahoo.com/question/index?qid=20070713221534AAhVrSf

Lo que me parece ver es que después de los comentarios de Enrique, algún comentarista quiere que Enrique los cambie, al creer que nos son los adecuados.
Esto seria posible en una clase donde lo que ha escrito Enrique estuviera puesto en una pizarra donde se puede corregir. Pero en los Blogs, no es posible; que le vamos a hacer, si la vida es asi.

Ahh… ¿Pero no iba esto de Japoneses?
– Viendo lo siguiente, pregunto:
– ¿Los Japoneses son Tontos-Listos, Listos-Tontos o todo lo contrario?
– La pantalla táctil de Nintendo 3DS es más pequeña que la XL, va hacia atrás como los cangrejos.
– Los nuevos dispositivos electrónicos además de Hardware, llevan Firmware que se puede cambiar, emular, virtualizar, etc. ¿Tendrán amnesia los Japoneses?
– Los Japoneses compraron a precios de Oro una empresa cinematográfica de EE.UU, que tuvieron que volver a vender a EE.UU. a precios irrisorios. ¿Sería que nadie quiere trabajar con los Japoneses?
– Los eBooks Readers de los Japoneses y de los EE.UU. no admiten la lectura de los eBooks en formato FB2, que es el más extendido en España. Cuales son los más aconsejables, pues los Chinos. Papyre 6.1 Ed.2 y Book Avant XL. – Si no estáis de acuerdo, por favor:
-¿ Decirme en que me he equivocado yo; si me roban dinero, o me roban tiempo. Para dar mi tiempo o mi dinero, a quién?
– Aparte de que los Japoneses y Orientales tienen que comer, no por ello los demás tenemos que ser tontos para que ellos coman. Y si siguiéramos ciertas pautas de moda Oriental resultaría que las tallas de la ropa crecerían a lo ancho no a lo alto, si siguiéramos las antiguas clásicas pautas de la belleza y la riqueza oriental y de sus antiguos Emperadores y Dioses.
– En fin, que no somos T………., lo seríamos si lo dijéramos.
– A mi; nadie, ni ningún país; me regala continuamente cosas. ¿Y a ti?
– ……………………………………………………………………….
– ……………………………………………………………………….

– Hay muchísimas cosas e ideas sueltas… y las puede poner tu, que lees esto.

Saludos.

PD.

Decía un Japones:
-¡Me Cache en Diez… Ya nos han vuelto a robar “el gusano de la seda”!

-Al Chiste:
– Eres más listo o más tonto que 2 Japoneses:
– Uno me quería vender una cámara de fotos digital con tecnología táctil: Panasoci Lumix DMC-FX70.
– El otro me quiere vender en marzo otra, Nikon COOLPIX P300.

(Enrique, si consideras que esto último es Spam, bórralo. Yo espero tener la P300 este verano)

025
LOPD
13.02.2011 a las 17:58 Permalink

Enrique, por mucho que me guste tu forma de redactar, tus argumentos son sesgados al no tener en cuenta para nada ni la LOPD ni el Código Penal. Según el código penal, artículos 197 a 200, adan cometió uno o más delitos. Para empezar, según la actualización reciente del código, entrar en un sistema informático con datos privados sin autorización, sea cual sea el método utilizado, es delito.

Segundo, acceder y copiar datos privados es delito (artículo 197).

Tercero, la cesión es delito agravado (197.2). No pones nada de que para demostrar que tenía los datos puso en el foro EOL las siglas y letra del DNI de otro forero.

Bueno, no se si omitiste todo lo relacionado con estos temas por voluntad propia o simplemente fue un descuido. Pero si te adentras a valorar un caso, lo suyo es hacerlo teniendo en cuenta todo, no sólo una parte, porque al final a ojos de alguien que se ha informado de todo lo ocurrido tus comentarios parecen demagogicos. A mí me da igual lo que parezcan, sólo lo digo para que no vayas por el mismo camino que los periodistas actuales que sesgan la información para crear confusión, alarmismo y en definitiva conseguir audiencia.

026
Moog
13.02.2011 a las 18:51 Permalink

El caso no parece tan complicado de entender.

http://www.anaitgames.com/sobre-nintendo-iberica-los-chantajes-y-las-chapuzas/

Quizás se está intentando desviar la atención cuestionando solo la actitud del hacker para que no se hable de la irresponsabilidad de Nintendo al no proteger correctamente los datos personales de sus usuarios.

La sección hispano-portuguesa de la gran N confesó ayer a los medios que alguien había accedido a sus servidores y se había hecho con los nombres, códigos postales, números de teléfono y hasta el DNI de miles de usuarios

Ya está bien de que grandes empresas multimillonarias dejen sin la necesaria protección -o en manos de profesionales chapuceros o irresponsables- los datos sensibles que la gente les proporciona confiadamente.

Lo del hacker en cuestión en realidad es algo anecdótico, pero que en el fondo ha sido positivo para mejorar la seguridad de esta empresa en la red.

027
NKAlien
13.02.2011 a las 21:55 Permalink

Mi hermano y yo siempre hemos sido de expresión compleja y adornada, hasta un punto ciertamente retorcida. Sin embargo, como bien que le conozco, sé que por eso puede parecer que nuestras intenciones son poco limpias y diáfanas. Él y yo siempre hemos seguido a Nintendo y puedo asegurar que para mi hermano vale más un agradecimiento de la compañía que nada en el mundo. Lamento que uno tenga que estar a la defensiva porque la presunción de buenas intenciones es un alto riesgo hoy en día.

028
Manu1oo1
13.02.2011 a las 22:51 Permalink

¿Poco limpias y diáfanas? Si que sois de expresión compleja, si… No me extraña que Nintendo no os haya entendido.

029
Maivista
14.02.2011 a las 00:27 Permalink

Me quedo con el análisis hecho por #023. Me parece más coherente y documentado.

030
Sergio
14.02.2011 a las 10:51 Permalink

Enrique toma la postura que debería tomar, hasta que se demuestre lo contrario este chico es inocente.

Pero la verdad es que por el modo de actuar suena más bien a chantajillo, ya hablará el juez.

031
Dr. Heinz Doofersmith
14.02.2011 a las 15:09 Permalink

Este crío ha estado vanagloriándose en tuenti de sus hazañas, solo ha sido un intento más de apuntarse al carro de aquellos que han encontrado trabajo tras algún caso similar y le ha salido mal la jugarreta. La falsa diplomacia empleada en todo momento, así como la obviedad de que en cada mensaje enviado les pide su pin de Mario, le dejan como un vulgar patán.

Amenazar a una multinacional, es de ser inútiles.

032
Manu1oo1
14.02.2011 a las 15:38 Permalink

Por lo visto ha sido detenido.

033
RevolucionPC
14.02.2011 a las 18:18 Permalink

Moraleja : La próxima vez que encuentres una “vulnerabilidad” en algún sistema dejate de tonterias y hazlo público… cuanto más público mejor y que la empresa se dedique a dar explicaciones…

034
Manu1oo1
14.02.2011 a las 19:53 Permalink

Tampoco eso es correcto. Lo que hay que hacer es:

1) Ponerlo en conocimiento de la AEPD (Agencia Española de Protección de Datos). Puede hacerse incluso por Internet.

2) Comunicarlo a la empresa afectada para que ponga rápido remedio.

Y, por supuesto, JAMÁS descargar esos datos para “probar nada”. Como prueba, sobran los logs de los servidores y los análisis de los expertos. Acceder a información restringida es un DELITO, por muy simple que sea la forma de acceder.

035
Iker
14.02.2011 a las 19:57 Permalink

Una cosa que querría decir… Si yo soy un niño y voy mirando qué buzones están abiertos en mi portal por pasar el tiempo, y de repente hay uno abierto porque al dueño se le ha olvidado cerrarlo con llave, no estoy cometiendo ningún delito. Sin embargo si decido meter la mano y coger las cartas que hay en él, sí lo estaría cometiendo. Tener la puerta de tu casa abierta no da derecho a un ladrón a robarte lo que hay dentro, pero hay que diferenciar qué actos se llevaron a cabo tras abrir esa puerta (si entró, si robó algo, si asomó simplemente la cabeza…).

Yo simplemente hago un apunte para que la gente recapacite; lo digo porque antes creía en Adan, pero tras lo que está pasando últimamente… ahora pienso que es más tonto que las piedras y que ha hecho lo que ha hecho con intención de sacar tajada, y que ha hecho mucho más de lo que él ha dicho en EOL.

Comentarios cerrados

Logotipo de Blogestudio Logotipo de Acens