{"id":1739,"date":"2014-03-18T11:26:23","date_gmt":"2014-03-18T16:26:23","guid":{"rendered":"http:\/\/andresb.net\/blog\/?p=1739"},"modified":"2014-03-18T11:26:23","modified_gmt":"2014-03-18T16:26:23","slug":"buro-de-credito-y-sus-bases-de-datos-vulnerables","status":"publish","type":"post","link":"https:\/\/andresb.net\/blog\/post\/2014\/03\/buro-de-credito-y-sus-bases-de-datos-vulnerables\/","title":{"rendered":"Bur\u00f3 de Cr\u00e9dito y sus bases de datos vulnerables"},"content":{"rendered":"<p><strong>Alguien usa las bases de datos de Bur\u00f3 de Cr\u00e9dito para mandar mensajes de phishing<\/strong> de un banco del que no soy cliente. No s\u00e9 c\u00f3mo las consigui\u00f3, solo s\u00e9 que <strong>un desconocido me est\u00e1 enviando email a una direcci\u00f3n creada exclusivamente para Bur\u00f3 de Cr\u00e9dito y NUNCA usada en otro lugar<\/strong>.<\/p>\n<p>Hace muchos a\u00f1os, cuando descubr\u00ed que se pod\u00edan <a href=\"http:\/\/josecostaros.es\/servicios-web\/tienes-multiples-direcciones-de-email-en-cada-cuenta-gmail-lo-sabias.html\">crear infinitas direcciones de email (alias) apuntando a una sola cuenta real<\/a>, tuve la idea ociosa de usar esa posibilidad tecnol\u00f3gica para descubrir qui\u00e9n comerciaba con mis datos personales. Desde m\u00e1s o menos 2002, cada vez que una empresa me pide una direcci\u00f3n de email, <strong>siempre les doy una direcci\u00f3n que incluye el nombre de la empresa<\/strong> y apunta a mi cuenta \u00abcatch-all\u00bb en Gmail.<\/p>\n<p>Como efecto colateral, es muy f\u00e1cil filtrar y bloquear a empresas como <strong>Bancomer y Telmex, que env\u00edan email sin posibilidad de opt-out<\/strong> y sin jam\u00e1s haber preguntado si lo quer\u00eda recibir.<\/p>\n<p>La cosa es que desde hace unos meses vengo recibiendo mensajes como el de abajo enviados a burodec@midominio, que es una direcci\u00f3n creada una vez que consult\u00e9 las bases de BdC para ver si hab\u00eda algo en mi reporte. <strong>No es al azar<\/strong>. Tampoco es \u00abuna de \u00a0las entidades proveedoras de informaci\u00f3n\u00bb, como les gusta <a href=\"https:\/\/twitter.com\/BurodeCreditoMX\/status\/445944186378792960\">repetir sordamente<\/a> en Twitter.<\/p>\n<div id=\"attachment_1740\" style=\"width: 591px\" class=\"wp-caption aligncenter\"><img aria-describedby=\"caption-attachment-1740\" loading=\"lazy\" class=\"size-full wp-image-1740\" alt=\"Phishing a datos de Bur\u00f3 de Cr\u00e9dito\" src=\"http:\/\/andresb.net\/blog\/wp-content\/uploads\/2014\/03\/Screenshot-2014-01-09-15.34.12.png\" width=\"581\" height=\"507\" srcset=\"https:\/\/andresb.net\/blog\/wp-content\/uploads\/2014\/03\/Screenshot-2014-01-09-15.34.12.png 581w, https:\/\/andresb.net\/blog\/wp-content\/uploads\/2014\/03\/Screenshot-2014-01-09-15.34.12-300x261.png 300w\" sizes=\"(max-width: 581px) 100vw, 581px\" \/><p id=\"caption-attachment-1740\" class=\"wp-caption-text\">Phishing a datos de Bur\u00f3 de Cr\u00e9dito<\/p><\/div>\n<p>Alguien tiene acceso a las bases de datos y las vendi\u00f3 o las usa.<\/p>\n<p>Bonus track: <strong>a la direcci\u00f3n que us\u00e9 para registrarme en Starbucks, la usa el gimnasio Energy Fitness para enviarme spam<\/strong>. No saben qu\u00e9 pasa con sus sistemas, pero con qu\u00e9 alegr\u00eda piden hasta el calibre del vello p\u00fablico los cabrones.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Alguien usa las bases de datos de Bur\u00f3 de Cr\u00e9dito para mandar mensajes de phishing de un banco del que no soy cliente. No s\u00e9 c\u00f3mo las consigui\u00f3, solo s\u00e9 que un desconocido me est\u00e1 enviando email a una direcci\u00f3n creada exclusivamente para Bur\u00f3 de Cr\u00e9dito y NUNCA usada en otro lugar. Hace muchos a\u00f1os, [&hellip;]<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"twitterCardType":"","cardImageID":0,"cardImage":"","cardTitle":"","cardDesc":"","cardImageAlt":"","cardPlayer":"","cardPlayerWidth":0,"cardPlayerHeight":0,"cardPlayerStream":"","cardPlayerCodec":""},"categories":[9],"tags":[245,100,430,431,166],"jetpack_featured_media_url":"","_links":{"self":[{"href":"https:\/\/andresb.net\/blog\/wp-json\/wp\/v2\/posts\/1739"}],"collection":[{"href":"https:\/\/andresb.net\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/andresb.net\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/andresb.net\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/andresb.net\/blog\/wp-json\/wp\/v2\/comments?post=1739"}],"version-history":[{"count":0,"href":"https:\/\/andresb.net\/blog\/wp-json\/wp\/v2\/posts\/1739\/revisions"}],"wp:attachment":[{"href":"https:\/\/andresb.net\/blog\/wp-json\/wp\/v2\/media?parent=1739"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/andresb.net\/blog\/wp-json\/wp\/v2\/categories?post=1739"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/andresb.net\/blog\/wp-json\/wp\/v2\/tags?post=1739"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}