La Procuraduría Federal del Consumidor (Profeco) se atrevió a alertar sobre posibles engaños por ofertas de internet ilimitado en redes sociales. Los "servicios" no son nuevos, pero su ambigüedad jurídica y el que hayan pasado casi desapercibidos hasta ahora, les ha servido para operar con muy atractivas ofertas, entre ellas, la de internet en el móvil a través de redes 4G por 500 pesos al año.
No se trata de los tan afamados programas de software que se venden en avenida Eje Central en la capital del país, que claman poder "descubrir" la contraseña de todo módem. Sino de un sistema mucho más sofisticado que hace uso de SSH, protocolo que esencialmente, sirve para encriptar información y redirigir tráfico de un servidor externo, algo parecido a como operan los VPN.
Y el problema está en que hemos probado servicios que operan de esta manera y sí funcionan.
En su comunicado, la Profeco menciona que ha hecho un monitoreo y ha localizado "perfiles y páginas que de manera fraudulenta ofrecen servicios de internet móvil de forma gratuita". Explica que a falta de un registro en el Instituto Federal de Telecomunicaciones, se trata de un proveedor que no cuenta con autorización, de manera que al no estar instituidos como una empresa formal, no solo peligra la transacción monetaria, sino también los datos que se intercambien como parte del servicio.
Internet ilimitado por 500 pesos: la promesa
"Disponible para todas las compañías a nivel nacional: Telcel, Movistar, AT&T, Iusacell, Unefon, Virgin Mobile, y sus consecutivas, como Wix y otras compañías" dice la voz del video de uno de los sitios sobre los que alerta Profeco, en un tutorial que pretende ser muestra de la garantía del servicio.
En él se prueban servicios como YouTube, WhatsApp y hasta la navegación por Dolphin, supuestamente sin un solo peso de saldo para datos móviles, solo a través del servicio que ofrecen. "También puedes compartir lo que son tus datos a más equipos, después de tu previo depósito te enviaremos la aplicación, instrucciones (...) puedes compartir a tu PC".
Solicité los precios a dicha página, y los paquetes varían desde 30 días por 250 pesos hasta 12 meses por 500 pesos, con "llamadas ilimitadas, SMS ilimitados y máxima velocidad en 2g, 3g, 4g y 4GLTE".
Para hacerlo, la herramienta clave es, como lo muestran en el video, una aplicación de nombre 'APK Custom'. Tal parece que solo se necesita un usuario y una contraseña para comenzar a navegar. Pero detrás hay una enorme maquinaria de bits.
La app funciona de manera similar a 'HTTP Inyector' localizable fácilmente en Play Store y que ha sido popular por más de un año ya. En ella, los datos del proxy (intermediario en la conexión a red), servidor SSH, y payload debían ingresarse manualmente. En un momento nos pondremos más técnicos sobre estos términos para entender el proceso.
Ignoramos si con 'APK Custom' la configuración se haga de manera automática al ingresar el usuario y contraseña que quienes dan estos servicios otorguen, o bien, transfieran al usuario un archivo preconfigurado. De una u otra forma, su funcionamiento es bastante similar.
Detrás del SSH
El protocolo SSH puede utilizarse para una enorme cantidad de fines: acceder a máquinas remotas a través de una red, enmascarar la dirección IP pública a través de un proxy con fines de seguridad, o encriptar el tráfico para que nadie en la red local sepa lo que consumimos en internet. Pero para explicar más a fondo el papel que juega el protocolo de seguridad en la navegación, hemos acudido a opiniones especializadas.
Joaquín Carmona, web developer nos detalla el proceso que podría estarse usando. "Lo primero que se hace es una solicitud al proveedor de servicios, en la cual se inyecta una respuesta tipo 302". Es aquí donde nos topamos con la primera magia. El código http 302 es una forma para redirigir URL. Es a través del redireccionamiento que se abre una puerta de conexión entre el ISP (proveedor de servicios de internet) y un servidor proxy que usualmente es temporal y caduca al término de un tiempo. Estos proxys suelen otorgarse en tutoriales.
El proxy se vuelve a comunicar con el servidor ISP, mandándole una solicitud de información. A los datos que contiene la solicitud les llamamos Payload. Los Payload se suelen ver de esta manera:
GET http://domain.com/
HTTP/1.1[crlf]Host: domain.com[crlf][crlf]
CONNECT [host_port] [protocol][crlf][crlf]
En un verdadero Payload sí se incluye el dominio de un sitio web. En teoría, sería ese sitio el que se le está solicitando al ISP a través del proxy.
Como el proveedor de internet no tiene constancia de que se cuenta con logueo en el sistema, se la reenvía al "portal cautivo". "El portal cautivo es este sitio que se muestra cuando no tenemos datos, con la compañía telefónica ofreciéndonos paquetes para adquirir más datos y poder navegar" explica Joaquín.
Como la comunicación se origina por parte mismo servidor del proveedor de servicios, solicitándole cargue un sitio (el contenido en el Payload), el portal cautivo simplemente lo deja pasar, pero la petición ya tiene la información para establecer la conexión con un servidor SSH. En los servidores SSH (cuyo flujo está encriptado según el protocolo), a los usuarios normalmente se les pide abrir una cuenta para poder ingresar.
Cuando la petición es aceptada por el ISP, se establece comunicación tipo SSH con el ISP, mientras que el proxy sirve como intermediario. En teoría el proceso garantiza que los datos siempre estén salvaguardados por un proceso de encriptación, pero esto podría no ser del todo verdad.
¿Y los riesgos?
Para Joaquín los peligros no terminan en cuanto a lo que respecta al posible fraude por la transacción comercial, o la propia inestabilidad de estos servicios. "Podrían estar utilizando el SSH para duplicar el host, y redireccionar el tráfico, o podrían tener acceso al servidor SSH" dice.
"¿Al estar todo el tráfico encriptado por SSH eso no haría imposible de ver los datos contenidos?" le pregunto.
"La encriptación SSH le impediría ver a otros usuarios en la red local, pero si alguien más tiene acceso al servidor SSH podría ver el tráfico desencriptado, es ahí donde se encriptan y desencriptan los paquetes".
Ya sea que quienes otorgan este tipo de servicios otorguen solo usuario y contraseña, o un archivo preconfigurado, al final el usuario final no tiene conocimiento sobre cuáles son los servidores que se usan, lo que haría especialmente vulnerables los datos sensibles que se intercambien en la conexión a red, incluyendo los bancarios y de identidad.
Contacté a Hugo Gutiérrez, software developer, para que me diera su opinión, y luego de que él mismo tratara establecer conexión, me cuenta que su experiencia fue un total desastre.
"Ocupan archivos de servidores para conectarse (...) el archivo ya contiene las configuraciones necesarias para establecer la conexión SSH por medio de la app a los servers de la ISP (...) puedo mencionar que los servers que yo encontré estaban casi todos quemados, no puedo decir si es porque la seguridad de Telcel los descubrió y quemó o simplemente por la cantidad de uso".
Sobre riesgos, Hugo ahonda: "el tráfico generado a través de dichos servidores puede ocultar otro tráfico que quieran que pase desapercibido".
La solución pareciera sencilla: que los operadores localicen los proxys y les coloquen en una lista negra, de manera que no puedan interactuar con sus servidores. El problema es distinguir con precisión los proxys que son ocupados para estos fines, de aquellos que no.
"La gente que provee este servicio lo hace por dinero y por conveniencia. Entre más personas usen el servicio más difícil será atrapar al autor, porque ocultan su huella digital" agrega Hugo.
Ahora que servicios como este comienzan a popularizarse, quizás las telefónicas encuentren el mejor momento para hacer una fuerte inversión en la detección de estas conexiones, tanto a nivel software como en red.
Gracias infinitas a Joaquín, Hugo y Fredy que colaboraron en la creación de este texto.
Ver 13 comentarios