Que no te roben la wifi… ni el saldo

Por: Yurisander Guevara

Correos electrónicos, comentarios en sitios noticiosos cubanos y hasta conversaciones con conocidos dan cuenta de personas que han sido víctimas de actos fraudulentos en zonas de navegación pública, las populares zonas wifi. Al respecto Juventud Rebelde conversó con directivos de la Empresa de Telecomunicaciones de Cuba S.A. (Etecsa).

 

Jorge Sacre, jefe del Departamento Antifraudes de Etecsa, explicó que entre las principales modalidades detectadas se encuentran la instalación de falsos puntos de acceso (AP, por sus siglas en inglés), la navegación simultánea a través de aplicaciones como Connectify o equipos de redes inalámbricas —principalmente NanoStation y MicroTik—, y en algunos casos el envío de señales por parte de los defraudadores que interfieren con la conectividad del usuario para «obligarlos» a conectarse por una vía que no es la implementada en la zona wifi.

Hoy en Cuba el servicio de acceso inalámbrico se encuentra ubicado, generalmente, en un parque. Allí Etecsa coloca varios AP para cubrir la zona y permitir la conexión inalámbrica de los usuarios mediante Nauta. Sacre recordó que ya esta plataforma cuenta con un certificado de seguridad en el portal de usuario, aunque señaló que todavía persisten vulnerabilidades aprovechadas por persona inescrupulosas.

Una de ellas es el AP Fishing (pescador), la cual funciona como un supuesto punto de acceso para que los usuarios accedan a Nauta y de ahí a internet. Pero como este tipo de punto de acceso es falso, una vez que el usuario intentó conectarse de forma infructuosa y perdió la conexión, ya sus credenciales fueron robadas.

Estos AP falsos, montados generalmente con los mencionados NanoStation y MikroTik, se ubican a veces en puntos distantes del parque, lo cual brinda supuestas «comodidades» a los usuarios para un acceso en sus hogares.

Sin embargo, Sacre apuntó que estos equipos, si bien permiten la navegación, tienen además la capacidad de cortar la conexión del usuario y, al mismo tiempo, guardar sus credenciales de acceso, las cuales pueden ser utilizadas para que naveguen otras personas con un saldo ajeno.

El directivo acotó que, generalmente, los fraudes se combinan. El AP Fishing se encarga de robarse las credenciales, las cuales se usan luego a través de conexiones simultáneas con software como Connectify.

Acciones como estas son combatidas por Etecsa, que ha emprendido la batalla en varios frentes: el tecnológico, el educativo y el penal, este último de conjunto con los organismos encargados de velar por la legalidad y el orden interior.

No te quedes callado

Cuando un cliente se encuentre en una situación de fraude, puede dirigirse a una oficina comercial de Etecsa para realizar la denuncia, instó Aymé González Hernández, directora de Protección al consumidor de la empresa.

Etecsa analiza cada caso denunciado, aseguró González Hernández, y cuenta con las herramientas para detectar si el usuario es víctima de una acción fraudulenta. Cuando se ha descubierto una acción de este tipo, los usuarios han sido resarcidos, acotó.

En cuanto a los estafadores, las cuentas asociadas a ellos son congeladas, y al menos seis personas ya han enfrentado procesos penales por esta causa, confirmó González Hernández.

A todo ello hay que añadir que el usuario no debe ser ingenuo. En caso de un servicio tan demandado como el acceso a internet en una zona wifi, la desinteresada ayuda de un extraño a quien le brindemos el usuario y la contraseña de la cuenta puede desembocar en la pérdida total del saldo. Y tal y como afirman los directivos de Etecsa, navegar por las autopistas digitales del Connectify o los AP falsos es una travesía peligrosa.

Cuidado con las llamadas «de afuera»

Acaso le sucedió, estimado lector, que su celular registrase una llamada perdida que comienza por 00 —originada en el extranjero—, cuyo número desconoce. Sinceramente, este redactor espera que, de ser así, no la haya devuelto.

Y es que este tipo de llamadas, registradas durante las últimas semanas en el país, están destinadas a conseguir un fraude masivo: generar tráfico a un número internacional, lo que, para quien lo tenga registrado (o secuestrado), se traduce en ganancias monetarias.

Jorge Sacre detalló que este tipo de llamadas por lo regular «suenan una o dos veces y luego se caen. El usuario, que podría tener familiares o amigos en el extranjero se preocupa, y devuelve la llamada. La respuesta que obtiene generalmente viene de una operadora que alarga el tiempo de la llamada y así se consume el saldo disponible».

Aunque el número simule un origen en, digamos, Estados Unidos o España, en realidad el usuario podría haber conectado con un robot telefónico en Tanzania u otro destino con un alto costo por minuto.

En este caso, el directivo de Etecsa aconsejó no responder a estas llamadas si el usuario no conoce los números que siguen al 00. Así se evitará un sobresalto en el bolsillo… y en el corazón.

 

¿Cómo navegar seguro con Nauta?

Estas son las medidas recomendadas por Etecsa para que los usuarios disfruten de una navegación segura y eviten acciones fraudulentas:

  • Conéctese solamente a la red inalámbrica WIFI_ETECSA en los espacios públicos declarados como sitios wifi.
  • Conéctese siempre como usuario de Etecsa y no a través de otras personas o aplicaciones para abaratar la conexión. Esto afecta su calidad y expone su seguridad.
  • No se conecte cuando aparezcan ventanas con advertencia de seguridad alertando que existen problemas con el certificado del sitio. Es posible que algunas personas intenten robar sus credenciales (usuario y contraseña). Ante esta situación intente conectarse nuevamente solo cuando se muestre el portal sin notificaciones previas.
  • No comparta sus credenciales (usuario y contraseña) con extraños. Pueden hacer uso indebido y no autorizado de las mismas.
  • No guarde las credenciales en su equipo y no preste los dispositivos con los que suele conectarse.
  • Cambie periódicamente la contraseña en el portal de usuario de Nauta.
  • No acepte propuestas de transferencia de saldo de desconocidos en los sitios wifi, pues pudieran estar asociadas a robos de cuentas de otros usuarios y verse involucrado en la investigación por fraude.
  • Elimine los datos de su navegador (cookies, caché, certificaciones, etc.) cada vez que se conecte.
  • Solicite el «reseteo» o «bloqueo» de su cuenta Nauta de acceso permanente a través del 118, en caso de que se muestre la notificación «Su cuenta está en uso» antes de autenticarse.

Consejo Móvil

Desde este 29 de mayo Etecsa lanzó la campaña Consejo Móvil, destinada a elevar la cultural informacional de la población en cuanto a las diferentes generaciones de conectividad de datos móviles, expresó Arely González Fernández, directora de Comunicación Institucional de Etecsa.

Consejo Móvil, disponible en la web de Etecsa (www.etecsa.cu) y en sus redes sociales, se enfoca en las características de las redes 2G y 3G, brinda lecciones sobre los entornos para lograr una mejor cobertura en el uso de este servicio, así como las especificaciones para conocer cuándo un teléfono soporta la conexión 3G en la banda de 900 MHz, empleada en Cuba.

La cobertura de la red 3G abarca actualmente a casi toda La Habana, así como a otras zonas de alta concentración poblacional. El lanzamiento de esta campaña, a juicio de González Fernández, ayudará conocerla mejor. A este redactor se le antoja como una antesala de los servicios de datos móviles de conectividad a internet que próximamente ofertaría Etecsa. ¿Cuándo y a cuánto? Esperemos que sea posible responder pronto a esta última interrogante.

Algunos datos de interés

  • Cuba cuenta hoy con 1 050 zonas wifi, 709 de ellas operadas por Etecsa.
  • Las zonas wifi están presentes en todos los municipios, y la empresa espera llevarlas este año al 40 por ciento de los Consejos Populares del país.
  • A ello se añaden 663 salas de navegación, 207 de Etecsa y el resto de terceras empresas o instituciones.
  • Nauta Hogar ya ha sido contratado por 36 900 familias.
  • Nauta tiene hoy registradas 1 708 000 cuentas permanentes.
  • De los 5,1 millones de líneas móviles activas ya en Cuba, al menos 1,5 millones utilizan el correo Nauta.

 

Fuente: Juventud Rebelde 

Comparte en las redes sociales

24 comentarios de “Que no te roben la wifi… ni el saldo

  1. Gracias jorgen por este magnifico post, es bueno que todos conozcamos lo que esta pasando hoy en dia en la wifi, para asi prevenir lo que le ha sucedido a otros, por mi parte siempre me conecto con el navegador Firefox para acceder al portal de ETECSA y hasta ahora me va de maravilla.

    • Yo tambié me conecto pero con el chrome y hasta ahora no me ha dado problemas. Son muy buenas esas aclaraciones e instructivas las ayudas y explicaciones de los funcionarios de ETECSA pero a mi me sucedió en la misma sala de navegación de etecsa con dos usuarios, entramos a la sala a cambiarle la contraseña de accesoporque la cuenta se habia vencido y hubo que activarla cuando entrams a la sala a cambiar la contraseña de acceso que te pone el servidor automáticamente y no pudimos porque decia que el usuario no tenia acceso y probando y probando ponia entonces usurio conectado y estuvo casi 35 minutos el supuesto jaker conectado y fue en la misma sala que nos conectamos y la otra cuenta fue de una prima mia que entramos a recargarla y cuando entramos que pusimos el usuario y la contraseña en el portal de usuario para recagar la cuenta me percaté que habían varias pestañas abiertas y estaban navengando con el portal de usuario abierto. no es solamente revisar las violaciones que comenten esas personas inscrupulosas que se aprobechan de las vulnerabilidades de las personas sino también de las vunerabilidades que puedan tener los mismos servicios que presta ETECSA.

  2. Son muy buenas esas aclaraciones e instructivas las ayudas y explicaciones de los funcionarios de ETECSA pero a mi me sucedió en la misma sala de navegación de etecsa con dos usuarios, entramos a la sala a cambiarle la contraseña de accesoporque la cuenta se habia vencido y hubo que activarla cuando entrams a la sala a cambiar la contraseña de acceso que te pone el servidor automáticamente y no pudimos porque decia que el usuario no tenia acceso y probando y probando ponia entonces usurio conectado y estuvo casi 35 minutos el supuesto jaker conectado y fue en la misma sala que nos conectamos y la otra cuenta fue de una prima mia que entramos a recargarla y cuando entramos que pusimos el usuario y la contraseña en el portal de usuario para recagar la cuenta me percaté que habían varias pestañas abiertas y estaban navengando con el portal de usuario abierto. no es solamente revisar las violaciones que comenten esas personas inscrupulosas que se aprobechan de las vulnerabilidades de las personas sino también de las vunerabilidades que puedan tener los mismos servicios que presta ETECSA.

  3. Hola Jorge, muy buen post. Me gustaría invitarle a dar una conferencia en mi escuela. Se le agradecerá. Gracias y suerte.
    Román.

  4. segun amigos mios de etecsa en la habana que son jefes de los que estan trabajando en el tema hoy se comenzaba con el internet por datos moviles pero se detectaron algunas cositas y se posterga para la proxima semana…ya se esta calentando el tema, los precios asequibles segun mi fuente…. saludos!!

  5. Hay aplicaciones como el QVACALL que reconocen el portal de Etecsa, si vas a conectarte a otro te avisan. Estas APK que tienen un prestigio y un historial debían ser las más usadas.

    También sería provechoso que ETECSA hiciera su propia aplicación para una conexión segura, y aunque soy fan de Android, no estaría mal que la hiciera también para otras plataformas como iOS y Windows.

  6. Hola Jorge muy buen post, pero me puedes explicar lo siguiente:
    ¿Cómo un usuario (yo) que se conecta exclusivamente a WIFI_ETECSA (conexión que el teléfono guarda y no olvida permitiendo diferenciarla de otras redes con el mismo nombre), no usa conectify ni apps de terceros, no comparto mis credenciales ni con la familia, nunca he transferido ni me han transferido saldo, cambio mi password; pierde su saldo de un día para otro?
    ¿Cómo se pueden robar credenciales que no se utilizan y probablemente ni existan a través de un conectify?
    ¿Cuál es el certificado del portal de usuario, hasta hace dos días (miércoles 30 de mayo 2018), el portal no tenía certificado?
    Yo también soy Ingeniero Informático y trabajo como desarrollador de sistemas y administrador de redes. Debido a mis estudios todavía tengo grandes interrogantes que he ventilado en oficinas comerciales, cubadebate, foro debate de la mesa redonda cuando se trata de estos temas y ninguna ha recibido una respuesta que valga la pena.
    ¿Por qué WIFI_ETECSA no tiene seguridad WPA/WPA2? Ponerle una contraseña sencilla como “wifi” o “etecsa” ya le agregaría un nivel más de seguridad a la red y sería un poco más complicado cometer delitos informáticos (el cual no está tipificado aún). Las redes abiertas son muy inseguras, son de todos y no son de nadie.
    ¿Por qué es tan fácil robar el saldo, por qué ETECSA no protege los activos de sus usuarios (en este caso tiempo de conexión que es dinero)? Ahora es muy fácil robar el saldo de una cuenta nauta, con solo obtener las credenciales de una cuenta se pasa a la opción de transferir saldo, se llenan los datos del formulario se acepta y ya… el saldo se ha ido sin que nos enteremos. Deberían implementar un método para que esto no ocurra así tan fácil. Por ejemplo si mi tarjeta de banco se pierde o es robada, quien se la encuentre no puede hacer nada sin el pin, necesita de dos informaciones, objetos, datos, token de seguridad para completar la transacción, ahora mismo en ETECSA solo se necesita uno, las credenciales de acceso y ya está. Si se enviara un mensaje con código de confirmación, como lo hace el apklis (que usa ese servicio de ETECSA así que no sé cómo la misma compañía no lo tiene implementado y otros si… candil de la calle), al teléfono y luego de verificar ese código se realiza la transacción de saldo; de esta forma el que se quede con las credenciales no puede hacer nada, lo más que va a hacer es consumir el saldo o cambiarnos el password (que tampoco se notifica de esto). En caso de que se consuma el saldo se guarda la mac del dispositivo y se puede rastrear a otras cuentas que se hayan usado y listo, tienes un caso que puedes presentar.
    ¿Por qué el portal de usuario brinda tan poca información? Ahora mismo lo único que puedes ver en el portal de usuario es cuánto tiempo y cuantas veces te has conectado. Si las operaciones las hace el usuario (conectarse, transferir, cambiar password), ¿por qué no son mostradas todas como se muestra el tiempo de conexión? ¿Por qué no puedo ver desde que dispositivo me he conectado con anterioridad (esto se guarda junto al mismo log o record de tiempo de conexión que ya se muestra, lo digo porque lo he visto en las oficinas de etecsa)? En mi opinión el sistema está implementado con mucha oscuridad, es como si supieran que es lo que va a ocurrir y te mostraran solo lo que conviene, tiempo de conexión pero nunca de dónde.
    ¿Por qué he de ir a las oficinas de ETECSA a cambiar un password olvidado, a ver desde donde me he conectado, soportando las colas? Es muy fácil como he explicado notificar al usuario del cambio de contraseña olvidada y que el mismo confirme la operación con un token generado para eso, si realmente la está haciendo el, de lo contrario invalida la operación y punto nada pasa. Unas pocas líneas de código aliviarían el conglomerado de personas en las oficinas de ETECSA para tales temas tan banales… ¿o es que el pago por resultado de las operadoras de esas oficinas viene dado por cuantos passwords cambian al día? Si ponen cualquier cosa por encima del usuario de sus servicios van muy mal, estarían cobrando por inestabilidad no por estabilidad.
    ETECSA tiene muchas temas que zanjar en lo que a seguridad informática respecta, ahora mismo desde mi punto de vista están en 0.0, no deberían usar redes abiertas, deberían dejar de criticar las aplicaciones de terceros y desarrollar las suyas propias que automáticamente reconozcan su red y se conecte, deberían facilitar más información al usuario fuera de las oficinas comerciales para aumentar en experiencia de usuario. ETECSA pretende que con unos consejos móviles el usuario gestione su propia seguridad, lo cual no está mal, pero para llegar a este punto se deben cumplir ciertas pautas en el entorno que ETECSA ni se acerca. Han implementado seguridad con oscuridad y debes de saber que esa es la peor seguridad que se puede tener

    De todas formas gracias por la información y para la próxima por favor si puedes, profundiza un poco más.

    • Voy a tratar de responder mas menos sus preguntas de poco en poco porque son muchas….
      ¿Cómo un usuario (yo) que se conecta exclusivamente a WIFI_ETECSA (conexión que el teléfono guarda y no olvida permitiendo diferenciarla de otras redes con el mismo nombre), no usa conectify ni apps de terceros, no comparto mis credenciales ni con la familia, nunca he transferido ni me han transferido saldo, cambio mi password; pierde su saldo de un día para otro?

      R/ si te conectas a un portal cautivo que no es el de etecsa pero usa el mismo nombre de WIFI_ETECSA y no te fijas si el certificado de seguridad es el que usa por etecsa (que pocas personas le dan clic al candadito verde para ver si es el certificado que usa ETECSA) facilmente te pueden robar las credenciales, tambien existen otros mecanismos en redes no seguras (hasta los otros dias ETECSA no tenia certificado de seguridad ni usaba htpps) hay mecanismos (que no voy a mencionar) para ver el trafico en la red. En fin que robarte las credenciales para alguien con conocimiento no es dificil.

      ¿Cómo se pueden robar credenciales que no se utilizan y probablemente ni existan a través de un conectify?

      R/ Cuando se habla de credenciales se refieren de tu user y pass…logicamente si tienes cuenta nauta existen….

      ¿Cuál es el certificado del portal de usuario, hasta hace dos días (miércoles 30 de mayo 2018), el portal no tenía certificado?

      R/ El portal si tiene certificado hace unos meses

      ¿Por qué WIFI_ETECSA no tiene seguridad WPA/WPA2?

      R/ Porque usa un portal cautivo, las wifi publicas en ningun lado del mundo usan ese tipo de seguridad, por cierto hace rato que el WPA/WPA2 es vulnerable

      ¿Por qué es tan fácil robar el saldo, por qué ETECSA no protege los activos de sus usuarios (en este caso tiempo de conexión que es dinero)?

      R/ Robar el saldo no es tan fácil, incluso la mayoría de las veces no te lo están robando, tu lo estas gastando por no desloguearte correctamente o por problema de la conexión. Si te roban las credenciales no es culpa de ETECSA recuerda que el mejor antivirus es el sentido común recuerda que no solo obtienen tu nombre de usuario sino el password tambien que vendría a ser lo mismo que el pin. es absurdo pensar que para conectarme aparte de poner el user y el password tuvieras que poner un código que te mandaran por SMS.

      ¿Por qué el portal de usuario brinda tan poca información? Ahora mismo lo único que puedes ver en el portal de usuario es cuánto tiempo y cuantas veces te has conectado. Si las operaciones las hace el usuario (conectarse, transferir, cambiar password), ¿por qué no son mostradas todas como se muestra el tiempo de conexión? ¿Por qué no puedo ver desde que dispositivo me he conectado con anterioridad (esto se guarda junto al mismo log o record de tiempo de conexión que ya se muestra, lo digo porque lo he visto en las oficinas de etecsa)?

      R/ El portal brinda la información necesaria pues se supone que TU seas el que se conecte con tu user and pass por lo que no tienen porque ponerte desde que dispositivo te conectaste, cuando tu firmas el contrato (si quieres leelo) tu eres responsable de no compartir y cuidar tus credenciales.

      ¿Por qué he de ir a las oficinas de ETECSA a cambiar un password olvidado, a ver desde donde me he conectado, soportando las colas? Es muy fácil como he explicado notificar al usuario del cambio de contraseña olvidada y que el mismo confirme la operación con un token generado para eso, si realmente la está haciendo el, de lo contrario invalida la operación y punto nada pasa. Unas pocas líneas de código aliviarían el conglomerado de personas en las oficinas de ETECSA para tales temas tan banales…

      R/ Notificar al usuario con un tokem…haber, si se te ha olvidado el password como vas a recibir el token?? o es que pretendes que también te casen la cuenta a un dispositivo?? como sabrian que lo estas haciendo tu y no ¨alguien¨ que te ha cogido el movil??

      ¿o es que el pago por resultado de las operadoras de esas oficinas viene dado por cuantos passwords cambian al día?

      R/Creeme las operadoras tienen tantas ganas como tu de que las colas sean menores para tener mas tiempo para…no se, jugar solitario XD

      ETECSA tiene muchas temas que zanjar en lo que a seguridad informática respecta, ahora mismo desde mi punto de vista están en 0.0, no deberían usar redes abiertas, deberían dejar de criticar las aplicaciones de terceros y desarrollar las suyas propias que automáticamente reconozcan su red y se conecte, deberían facilitar más información al usuario fuera de las oficinas comerciales para aumentar en experiencia de usuario. ETECSA pretende que con unos consejos móviles el usuario gestione su propia seguridad, lo cual no está mal, pero para llegar a este punto se deben cumplir ciertas pautas en el entorno que ETECSA ni se acerca. Han implementado seguridad con oscuridad y debes de saber que esa es la peor seguridad que se puede tener

      R/ Eso debes tramitirlo a ETECSA yo no trabajo en ETECSA ni tengo voz ni voto en sus planes…

      De todas formas gracias por la información y para la próxima por favor si puedes, profundiza un poco más.

      Estamos para dar la información y ayudar a los usuarios a aprender cada día un poco más, y sí, no te preocupes todos los días profundizo y aprendo un poco más. PD: También soy Ing. Informática eso de que eres ing. Informático no viene al caso cualquiera puede tener estas dudas. Gracias por visitarnos

      • Gracias por tu pronta respuesta, no pretendo que seas el vocero de ETECSA contando yo mis problemas, solo que pudieras preguntar. El problema es que ETECSA cada vez responde a preguntas, lo hace con preguntas que ya ha respondido o lo que responde no tiene profundidad ninguna. Ahora aclaro algunas cosas que al parecer no entiendes de lo que he escrito:
        Su respuesta: si te conectas a un portal cautivo que no es el de etecsa pero usa el mismo nombre de WIFI_ETECSA y no te fijas si el certificado de seguridad es el que usa por etecsa (que pocas personas le dan clic al candadito verde para ver si es el certificado que usa ETECSA) fácilmente te pueden robar las credenciales, también existen otros mecanismos en redes no seguras (hasta los otros días ETECSA no tenía certificado de seguridad ni usaba htpps) hay mecanismos (que no voy a mencionar) para ver el tráfico en la red. En fin que robarte las credenciales para alguien con conocimiento no es difícil.
        Me parece haber dejado claro que es WIFI_ETECSA, el teléfono recuerda esa WIFI y no se equivoca al conectarse porque dice guardada así existan 10 WIFI_ETECSA más. Además el certificado de etecsa lo tengo descargado e identificado. Es fácil para personas con conocimiento y lo han hecho fácil para las que no lo tienen también. Todo este dilema de si es o no es o las antenas piratas lo resuelves desarrollando tú propia APK que sabe cuál es tu red. ¿O piensas que los proveedores de servicios desarrollan sus propias aplicaciones porque les gusta perder el tiempo?
        Su respuesta: Cuando se habla de credenciales se refieren de tu user y pass…logicamente si tienes cuenta nauta existen….
        Sé que te refieres al user y pass lo que al parecer no sabes es que cuando usas conectify, lógicamente, te conectas a una red, nunca te auténticas con tus credenciales nauta en caso de que las tengas. Lo que haces es usar la red de otros que lo que hace es compartir la conexión nauta con las credenciales del dueño de la red… lógicamente es imposible que te roben credenciales que no son tuyas (son del negociante del conectify), y las tuyas no se utilizan y que probablemente no existan ya que los que suelen hacer esto no tienen cuenta nauta. Lo ilógico y absurdo es decir que una de las causas del robo de saldo es el uso del conectify.
        En realidad mencione WPA por mencionarlo solo porque es lo más básico no porque fuera lo mejor.
        Su respuesta: Robar el saldo no es tan fácil, incluso la mayoría de las veces no te lo están robando, tú lo estas gastando por no desloguearte correctamente o por problema de la conexión. Si te roban las credenciales no es culpa de ETECSA recuerda que el mejor antivirus es el sentido común recuerda que no solo obtienen tu nombre de usuario sino el password tambien que vendría a ser lo mismo que el pin. Es absurdo pensar que para conectarme aparte de poner el user y el password tuvieras que poner un código que te mandaran por SMS.
        ¿En serio? parece que le contestaras a un niño pequeño. Aunque te quedes conectado por no desloguearte bien, como dices, a pesar de que si lo hago; si la conexión se establece con un protocolo orientado a la conexión pasado un tiempo si no existe confirmación de paquetes la transmisión finaliza. Por decirte más hay veces que intencionalmente lo he realizado de la forma que expones para probar y cuando más lo que ha consumido son de dos a tres min, no dos horas enteras. El que me roben las credenciales no es culpa de etecsa, jamás dije que fuera de esa forma. El que no se haya previsto este tipo de delito, y que no se haya desplegado un sistema de seguridad para prevenirlo y proteger los activos ESO si es culpa de ETECSA. Por otro lado estas muy equivocada o no sé si tratas de desviar mis preguntas, jamás dije que necesitabas una confirmación para conectarte (pensar eso es absurdo y yo no lo he pensado ni lo he dicho).
        Lo que yo he dicho y explicado es que eso es necesario para realizar una transacción monetaria fuera de la cuenta, dios, si un Ingeniero informático piensa que establecer una doble verificación fuera de la plataforma donde se realiza la operación es absurdo entonces tenemos serios problemas y dejaré de considerarme Ingeniero informático, y deberé volver a cursar estudios para ver si comprendo ese absurdo.
        Su respuesta: El portal brinda la información necesaria pues se supone que TU seas el que se conecte con tu user and pass por lo que no tienen por qué ponerte desde que dispositivo te conectaste, cuando tu firmas el contrato (si quieres léelo) tu eres responsable de no compartir y cuidar tus credenciales.
        Su respuesta: Notificar al usuario con un tokem…haber, si se te ha olvidado el password como vas a recibir el token?? o es que pretendes que también te casen la cuenta a un dispositivo?? como sabrian que lo estas haciendo tu y no ¨alguien¨ que te ha cogido el movil??

        ETECSA no puede determinar por mí que es lo que yo considero necesario o no, ni tampoco puede suponer que soy yo quien se conecta, en una infraestructura bien pensada esto es de las primeras pautas que se establecen… no asumas nunca nada (si te interesa cuidar a tus clientes); de la misma forma es en términos de seguridad, si en el mundo de la seguridad asumes que… estas mal. Me leí mi contrato y no comparto mis credenciales no comparto nada y aun así estoy expuesto a ataques XSS, redirecciones de antenas piratas, sniffers y otras maravillas. En base a eso no veo razón de porque no puedo ver como usuario del servicio que soy de donde me conecto o con que dispositivos lo hago (si tienes cuenta de google sabes a lo que me refiero). Ahora imagina que para cambiar tu password de google tengas que ir a sus oficinas, eso es absurdo. Si etecsa sabe mi correo, mi número de teléfono y mi usuario porque no me da esa opción… señorita la cuenta mía si no la tienen ya anclada a mi dispositivo(o a mi línea) es porque no les da la gana porque es la misma compañía que te vende el teléfono, la línea telefónica y que te da el correo y el servicio de internet, y que además te pone por telebanca en conjunto con el banco. Además la última vez que llamé al 118 o al 2266 lo único que me preguntaron fue si mi cuenta era del mismo número que yo estaba llamando, confirmé con mi CI y me aclararon las dudas que tenia de si mi cuenta se había bloqueado o no… Entonces está o no está el anclaje o el vínculo. Estamos en el pueblo y no vemos las casas_???!!! La parte del robo de móvil eso si ni google lo maneja, ya ese caso si es extremo. Pero increiblemente, y nunca pensé decir esto, etecsa en ese campo le gana a google pero no lo aprovecha. ETECSA me vende la línea y si se lo reporto como robado que cancele el uso de mi cuenta desde ese dispositivo o de todos o que me cambien el password como se hace ahora… pero solo a ese extremo. Google solo bloquea el dispositivo y no me dejaría cambiar el password ya que me enviaría un sms a un teléfono bloquedo, ya sería más engorroso.
        Al parecer no estamos conscientes de la infraestructura que tenemos y por eso damos estas respuestas, todo está ligado, línea, internet, correo, telebanca y tarjetas de crédito (esto último si es nuevo). Si etecsa sabe mi número sabe mi cuenta nauta, si sabe mi cuenta nauta sabe mi número y los puede bloquear después de confirmar un delito.

        AVISO: No te juzgo ni te cargo con los errores de ETECSA solo que me sorprendí al ver que eras Ing. Informática (lo pone en tu perfil) y que me hayas dado esas respuestas.
        AVISO: No pretendo comparar a ETECSA con google (^_^). Es solo que debemos aprender a tomar referencias de los que saben, aquí todo se puede si se quiere.

        Segun Bruce Schneier “El usuario escogerá cerdos bailando antes que seguridad, una vez tras otra”. Etecsa le deja la seguridad al usuario a lo que piensa, como expones tú, que el usuario necesita para conectarse. Y bueno seguirá fallando como lo explica el periódico granma en su publicación del 23 de mayo del 2018 en su artículo “Wifi falsas y otros delitos en la red cubana” que hasta el mes de abril y cito ” Hasta el pasado mes, se había resarcido a clientes por un monto total superior a los 5 300 CUC, por causa del consumo o la transferencia injustificada de saldo.” Entonces esto me dice a mí que a la compañía no le interesa perder más de 5300 CUC porque precisamente eso te lo quitas de encima haciendo que el usuario te confirme (no con un cartelito de OK) la transacción con una doble verificación. La doble verificación solo fallaría si te roban el teléfono pero eso si es muy poco probable ya que el que te monta la antena pirata dudo que baje también a carterearte. Aquí hablo de seguridad Básica. En este caso extremo ya el problema se va a mayores por robo, etc. Ten en cuenta que esos 5300 CUC fueron consumidos en un conectify cualquiera, me preguntó ¿qué compañía pierde 5300 CUC y no se da cuenta de que necesita prevenir delitos de ese tipo? Esto es sentido común como tú dices, si les reintegro saldo a mis usuarios por transferencia injustificada (en las oficinas de etecsa no se atreven a decir robo) pierdo dinero, debo idear un mecanismo para que esta transferencia siempre sea justificada (^T^), después de esto la única transferencia injustificada que hay va acompañada de un robo con fuerza. Ni hablar. Sólo hay un problema con el sentido común: que no es demasiado común.

        Nunca aceptes la forma en que las cosas se han hecho siempre, como la única forma en que pueden hacerse.

      • Jorge amigo no se me ponga bravo pero Jose Ignacio le ha dado por el face.
        Todo o la super mayoría de las cosas que plantea son muy correctas y su respuestas muy absurdas, al igual que las del personal de ETECSA que dan las explicaciones en la TV, en los espacios “buenos dias”, etc.
        De madre ponerse a comentar todo lo que se y pienso, pero haré un minimo esfuerzo en algunos puntos.
        Lo del certificado de seguridad, ETECSA se metio mil años sin ninguno y una vez digeron hasta x el TV q era q no daban certificados de seguridad a dominios .cu. Que bochorno hablar eso por el televisor cuando sitio de correo de la UCLV y de varios sitios en cuba tienen desde hace rato.
        En las PC de ETECSA se puede entrar a google.com.cu y en la wifi no, pruebenlo, yo desde hace cien años y hasta los otros días no me entraba, da timeout y escribirle al soporte etecsa es x gusto.
        Al webmail.nauta.cu le metieron un captcha x la conexion de datos, HP totaaaal.
        Lo del código de verificación cuando pasas saldo o cambias pass tiene toda la logica del mundo, hasta google implementa mucho lo del SMS de verificacion. Su R/ en es te caso fue horrorosa.
        Sobre q el WAP2 es vulnerable, es verdad!, pero al no ser que Linus Torvalds(por decir alguien bueno en informatica) se dedique al robo de cuentas no tendríamos problemas (se que hay programas q facilitan pero igual si te pones del lado del hacker se t haría muchisimo mas dificil, no es lo mismo un snifer en una red limpia q una cifrada). Creo que la respuesta debería a ver sido que no es práctico.
        Los contratos con ETECSA dan pena una lo lee y dice “y soy yo el cliente!!”, parece q estas firmando un acta de compromiso y responsabilidad material en una empresa, limpieza de manos de su parte totaaal.

        En general considero que el problema de seguridad es que implementan un portal cautivo que de por si es facil de atacar, porque el sistema de mantener auteticado a una persona es muy debil, el portal cautivo está enfocado y se usa en otros lugares en otras cosas como en zonas publicar para redirigirte y meterte publicidad y cosas en la navegacion, la seguridad en la conexion de una persona que paga no debe ser así.
        Yo he visto mareaderas de todo tipo de la wifi, desde gente q se conectan y se dan cuenta que estan autenticados como otro y tienen internet y le estan consumiendo el saldo, esto lo he visto varias veces, incluso a mi niña con su telefono le ha pasado par de veces. Incluso en un joven club en maquinas fijas, una vez una se logueo y enseguida me llamo pq me dijo q esa no era su cuenta y me di cuenta q le habia entrado por la cuenta de una persona q se habia acabado de ir, y si yo vi q el otro se habia deslogueado. Este tema tiene tela.
        Pero la solucion no es buscarle la solucion a esta tecnologia de portal tan debil, creo q lo mejor es implementar como el resto del mundo, una conexion cable a la casa y de datos al telefono y bajando se acabó el problema.
        Bueno saludos y esperemos que el gigante holgazan camine un poco antes que el 2030.

        • 100 % de acuerdo con tus inquietudes. Solo que encontrarás resistencia no solo en ETECSA también en la mentalidad de muchos de nosotros que no tenemos la experiencia en algunos casos y/o la inteligencia en otros casos para poder vislumbrar el desastre potencial de un sistema caótico donde el cliente es quién debe ocuparse de la seguridad del mismo. Bienvenido al club de los que tienen razón pero no son o no quieren ser entendidos.

      • Exactamente, en la cara. Solo que en la de ETECSA, porque ni uno ni otro respondieron las preguntas de Juan Ignacio. Peor que eso, no entendieron el peso y dimensiones de lo que Juan Ignacio está planteando. Y tu pensando que estabas haciendo algo inteligente te has sumado al “club de ETECSA y sus amiguitos”. Te felicito.

  7. Hola jorgen. Excelente post.
    Hace dos semanas exactamente me robraron 18 horas de mi cuenta nauta. Estaba conectado en el punto Wi-Fi de la plaza del cristo cerca del capitolio y al cabo de 30 min exactamente mi navegador (google chrome, actualizado) me dice: su conexión se ha perdido. Apago la Wi-Fi y después cuando la enciendo nuevamente e intento volver a loguearme me dice que mi cuenta no tiene saldo. Fui a ETECSA inmediatamente y presenté la queja y me dijeron que mi caso como el de muchos otros pasaría al departamento antifraude, todavía estoy esperando respuesta….
    Después de lo sucedido comencé a indagar y todos me decían que me había autenticado en un portal falso y me habían robado mi user y pass y habían transferido todo mi saldo a otra cuenta, al pacercer me robaron.
    Ahora, siempre que me conecto (antes y después del incidente) soy muy cuidadoso y siempre me fijo si el portal del nauta tiene el certificado de seguridad (el famoso candadito verde) y estoy completamente convencido que cuando me “robaron” todas las horas estaba conectado a un AP de ETECSA del fabircante Huawei, además siempre me situo bien cerca del AP de ETECSA para evitar interferencias de otras antenas. Ahora también utilizo una app (Wi-Fi Overview 360 Pro) para escanear las redes Wi-Fi y asegurarme de que me conecto al AP de ETECSA del fabricante Huawei porque hay muchas personas con sus APs del fabircante Ubiquiti (generalmente) que le ponen a su red el mismo nombre de: WIFI_ETECSA y es ahí donde te pueden robar tus credenciales (user y pass) Pregunta: ¿Los portales cautivos falsos también pueden recrear un certificado de seguridad? Creo que no. Pero por favor si me pueden aclarar esta duda estaría muy agradecido.
    Realmente ETECSA que es nuestro único ISP debería de velar por la seguridad e integridad de los datos de todos los usuarios para asi evitar que pasemos estos malos ratos. Saludos a todos.

    • Hace unos 3 o 4 años recuerdo que en el auge del phishing, hubo problemas con sitios de bancos suplantados que tenian certificados de seguridad SSL que no eran los del sitio real sino los del dominio suplantado. En este caso el certificado no es falso, sino que por ejemplo creas un sitio llamado http://www.etecssa.cu, le gestionas un certificado SSL y listo. No se en este momento como estara funcionando este sistema despues de aquellos problemas, ahora la mayoria de los sitios ademas de SSL los protegen con el CDN de Cloudflare.

    • Adrian, a mi en el parque Cristo, en la Habana Vieja, todos los domingos que roban 2 horas de internet, he ido a etecsa y no sale coo tranferencia ni tampoco como consumo mio. Etecsa ni idea tiene de esto y ademas hace 15 años atiendo la seguridad informatica de una facultad y todo las medidas. Igual te joden.

  8. Señores en resumidas cuentas todo eso del robo de wifi se va a acabar cuando aca en Cuba como en los demas paises todo el mundo tenga internet en sus casas tanto via wifi como por datos moviles y por supuesto a un precio accesible, asi de facil. Asi que no se atormenten mas haciendo preguntas que al final ustedes……………… saben lo que hay XD. Saludos

  9. Hola
    Gracias por este post !
    varias veces me he sentido frustrada y me han limpiado el saldo de mi cuenta nauta.
    Al igual que Juan ignacio…..
    Cómo un usuario (yo) que se conecta exclusivamente a WIFI_ETECSA (conexión que el teléfono guarda y no olvida permitiendo diferenciarla de otras redes con el mismo nombre), no usa conectify ni apps de terceros, no comparto mis credenciales ni con la familia, nunca he transferido ni me han transferido saldo, cambio mi password; pierde su saldo de un día para otro?

    ya tengo terror de conectarme y espero que mejore para no ser victima de estos robos.

  10. Sería bueno que le pasen estos comentarios a ETECSA para que vean que el pueblo sabe, y aunque sea por vergüenza comience a hacer los arreglos pertinentes (incluida pa app propia) y de paso se aprovecha de los miles de ingenieros informáticos formados en el país.
    Comentarios bastantes profundos y críticos, gracias.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *