Estafas domineras: el timo del dominio chino

| Sin comentarios | Sin trackbacks

Hoy voy a contaros una estafa que aunque lleva algunos años corriendo por la red, acabo de recibir en mi correo electronico.

He recibido el siguiente email al respecto del dominio de un cliente local cuyo nombre ya es dificil creer que pueda interesar a alguien del otro lado del mundo por incluir el nombre de mi ciudad en el.

Dear Sir/Madam


I'm sorry to disturb you so abrupt. We are a domain name registration service company in Asia,

On 20th April. we received a formal application submitted by Mr. John Sun who wanted to use the keyword "nombrededominio" to register the Internet Brand and with suffix such as .cn /.com.cn /.net.cn/.hk/.asia/ domain names.
After our initial examination, we found that these domain names to be applied for registration  are same as your  domain name and trademark. We aren't sure whether you have any relation with him. Because these domain names would produce possible dispute, now we have hold down his registration, but if we do not get your company's an reply in the next 5 working days, we will approve his application

As authorized anti-cybersquatting organization we hereby suspect Mr. John Sun is a domain investor. so we need you to attach importance to this issue.

In order to handle this issue better, Please contact us by Fax ,Telephone or Email as soon as possible.


Yours sincerely         2010-4-22
Margaret
Oversea Marketing Manager
-------------------------------------------
Room 1008,
International Building,
No.38 YueLong road,NanTong City
Tel:+86(513)85330968
Fax:+86(513)80260081
Email:Margaret@volcafe.asia
Website: www.volcafe.asia


Traduciendo: Uno de sus clientes les ha pedido registrar un dominio que coincide con el mio pero en las extensiones .cn/.com.cn y otras, y en lugar de seguir las ordenes de su cliente, han decidido saltarselas (interpretacion propia) y darme la oportunidad (que amables...) de que sea yo quien registre dichos dominios, para lo cual me ofrecen gentilmente sus servicios (que gentilmente me cobraran).

La realidad es que nadie les ha pedido nada y me estan intentando tomar el pelo para que registre con ellos las extensiones de mi dominio de su pais a unos precios que multiplican los de cualquier otro registrador.

Esta gente se dedica a hacer spam a todo titular de dominio que pillan.

Desgraciadamente he decidido crear la categoria estafas, ya que abundan en este sector.

Aunque en mi trabajo no gestiono sitios web si que tengo contacto con otros webmasters, unos desarrollan su propio contenido y otros dependen de publicar contenido de terceros.

Hoy tuve un caso muy curioso que queria compartir con mis escasos lectores.

Llegó una queja por uso presuntamente ilegal de contenido de terceros en un blog de una tematica determinada, el blog publicaba en uno de sus articulos un video realizado por un tercero y alojado en Youtube.

Ademas de mostrar el video, el articulo estaba ilustrado por un fotograma del mismo video y el motivo de su queja era exigir la eliminación de dicha imagen.

El caso es que esta persona, como generador de su propio contenido tiene una serie de derechos a decidir el uso de su obra e imponer sus condiciones, las cuales exigia en su propio sitio web, pero cometió el error de subir su contenido a Youtube e ignorar las condiciones del servicio Youtube.

Así, en los terminos y condiciones en Español del sitio Youtube.com podemos leer lo siguiente (si estas en otro pais podria salirte una pagina diferente)

10. Derechos que Ud. otorga bajo licencia

...

B- a favor de cada usuario del Sitio Web, una licencia mundial, no exclusiva y exenta de royalties para acceder a sus Archivos de Usuario a través del Sitio Web, y para utilizar, reproducir, distribuir, realizar trabajos derivados de, mostrar y ejecutar dichos Archivos de Usuario en la medida de lo permitido por la funcionalidad del Sitio Web y con arreglo a los presentes Términos y Condiciones.
Y es que esta persona esta otorgando a todos los visitantes del sitio Youtube una licencia de uso que entre otras cosas permite realizar "trabajos derivados de" su obra, con lo que aunque en su web diga lo contrario, el usuario tiene derecho a realizar esas simples capturas de imagen.

Logicamente rechazamos sus pretensiones aunque finalmente el webmaster, cansado de la actitud de esta persona opto por retirar esas capturas.

Moraleja: Si no quieres ver tu contenido por todas partes no lo subas a Youtube.

Erepublik. Red Social + juego = Juego social

| 1 comentario | Sin trackbacks
Estos dias he tenido la ocasion de probar un juego online llamado Erepublik.

En este juego te conviertes en un ciudadano de tu pais (o del que desees) y empezando desde abajo llegar a lo mas alto.
Para ello comenzamos con un currito que debe buscar trabajo, ir a trabajar, y ademas puede ir a entrenarse en el ejercito, para participar en las batallas entre paises.
La primera semana es bastante aburrida, se limita poco mas que a ir a trabajar, pero despues, cuando ya tienes algun dinero ahorrado y sube tu puntuacion, puedes unirte a un partido politico "real", es aqui donde el juego toma el caracter de red social, cualquiera puede formar su propio partido politico y dirigir su mensaje al resto de jugadores, principalmente a traves de los foros.
Presentarse a elecciones y hasta llegar a presidir el pais.
Como muestra un boton, el principal partido en este momento en eEspaña es el formado por los usuarios de forocoches, y en este momento presiden el pais.

Ademas de la politica, puedes hacer carrera en el ejercito, hasta llegar al rango de general, para lo cual tendras que participar en muchas batallas, y tranquilo, no puedes morir en las guerras, solo perder un poco de vitalidad que se recupera en el hospital (si tienes uno a mano, claro)

Si lo tuyo son los negocios puedes crear tu propia empresa y contratar trabajadores para fabricar los bienes que los jugadores necesitan, comida, armas, tickets de vuelo...

Dicen que la prensa es el cuarto poder y esa es precisamente la cuarta posibilidad, puedes publicar tu propio periodico (estilo blog), el numero de suscriptores que obtengas determinara tu nivel de exito.

El principal atractivo del juego es la interaccion con otros jugadores, formando organizaciones, negociando mercancias o tomando decisiones politicas (impuestos, pactos con otros paises, politica monetaria, invasiones de paises enemigos...)

El juego no muestra publicidad y parece financiarse con la venta de servicios adicionales tales como una mayor capacidad de inventario o dinero del juego, pero no es necesario rascarse el bolsillo para disfrutarlo, salvo que seas muy impaciente ;)
Como responsable tecnico de una empresa de hosting tengo que mantener actualizado el software de los servidores, y entre ellos esta la version de PHP que utilizan los clientes.

Ahora bien en multiples ocasiones nos encontramos con clientes que utilizan scripts mal programados, o que fueron programados utilizando las tecnicas de versiones antiguas o incluso utilizando aun caracteristicas del lenguaje que hace años que fueron eliminadas o declaradas obsoletas.

El caso del que quiero hablar es el de register_globals.

Alla por los primeros tiempos de PHP, era comun recibir datos del usuario como una variable mas, sin distincion alguna entre las variables externas y las del propio script, a modo de ejemplo

cargando
script,php?variable=1234

podiamos acceder al valor "variable" usando simplemente $variable

<? echo $variable; ?>

este procedeer dio como resultado multiples problemas de seguridad en scripts, ante la posibilidad de interferir en variables internas en determinadas situaciones (que por abreviar no voy a enumerar, pero no me olvido del ambito de cada variable y la prioridad de los valores definidos en el script frente a los externos, etc )

La evolucion de PHP introdujo una opcion de configuracion, por aquel entonces denominada gpc_globals que permitia anular esta forma de recibir datos externos, dejando solamente los arrays autoglobales, que no se confunden con las variables normales, esa opcion fue renombrada a register_globals en PHP 4.0 beta 4, alla por el 20 de Febrero del año 2000, aunque por defecto PHP seguia con esa opcion activada.

No fue hasta PHP 4.2.0, publicado el 22 de Abril de 2002, cuando el comportamiento por defecto de PHP paso a eliminar ese problema de seguridad. Los programadores habian tenido asi un plazo de 2 años para acostumbrarse al uso de $HTTP_GET_VARS[] y demas arrays relacionados, o sus modernos sucesores $_GET , $_POST y demás.

Aún asi, los remolones webmasters demoraban la adecuacion de sus scripts al nuevo funcionamiento de PHP, ni siquiera al ser advertidos de que esa modificacion es por seguridad, no por capricho.

Cuando los administradores de los servidores cambiaban register_globals al nuevo estandar los webmasters inmediatamente pedian (en algunos casos exigian) el mantenimiento del antiguo sistema.

Hoy, 7 años mas tarde, todavia hay webmasters con scripts antiguos que se resisten a corregir esta situacion y adecuarse a las nuevas condiciones de trabajo de PHP.
Señores, han tenido 7 años!

Y si bien estoy centrando este post en el caso de register_globals, no es la unica caracteristica de PHP que ha evolucionado y que requiere del correspondiente trabajo de adecuacion por parte del webmaster.

Ejemplos:
-PHP5 prohibe la realizacion de include() de direcciones URL, tambien por motivos de seguridad.
-PHP5 introduce algunos cambios en la programacion orientada a objetos, algunos scripts no funcionan en php5
-MySQL 5.0 utiliza una variante del SQL diferente a MySQL 4.x, originando tambien incompatibilidad de algunos (pocos) scripts.

Como consecuencia, a pesar de que pasan los años, los webmasters nos obligan en ocasiones a mantener configuraciones menos seguras e incluso a mantener en algunos casos en produccion el viejo PHP4, a pesar de que hace mas de 1 año  que no se actualiza.

El Ultimatum

Los desarrolladores de PHP han decidido romper con el pasado y dejar de arrastrar estas obsoletas e inseguras caracteristicas, y a partir de PHP6 se eliminaran algunas cosas:

-register_globals: a partir de PHP6 sera off y no se podra cambiar.
-include(): en PHP5 se puede modificar la configuracion para permitir incluir URLs, con el consiguiente riesgo de seguridad, en PHP6 no podra cambiarse.
y mas opciones

Teniendo en cuenta que son caracteristicas declaradas obsoletas hace años, creo que avisan con antelacion suficiente para modificar los scripts, que no os pille el toro ;-)

el que avisa no es traidor...

Actualizacion 27/8/09: Hace un rato un cliente con un oscommerce descargado e instalado el año pasado acaba de descubrir que no le funcionaba tras cambiar a PHP5, el header.php era de 2003 y usaba HTTP_SERVER_VARS, que fue 'deprecated' en PHP 4.1.0, (10 de Diciembre de 2001 !). Tambien con scripts de otros programadores estais expuestos a este problema.
Hace casi 2 meses comentaba el problema de Onlinenic, un registrador chino demandado por Verizon y condenado a pagar 33 millones de dolares. Onlinenic ha salido a escena para defenderse y se realizara un nuevo juicio, el juez, para evitar que se eliminen pruebas, ha ordenado a Onlinenic que ningun dominio sea transferido, asi lo confirma ICANN en una consulta realizada a traves de su web.

Dear Sir/Madam:

Thank you for contacting ICANN concerning your transfer issue with OnlineNIC. OnlineNIC is currently involved in a legal dispute. A court order was issued in this case and OnlineNIC has interpreted the court order to mean that it is prohibited from transferring any domains at this time. ICANN is closely monitoring the matter and upon receiving updated information, we will provide that information to you via e-mail. We will continue to work with OnlineNIC representatives to resolve registrant complaints.

Thank you for your patience.

Regards,
ICANN Services
Asi que ya tenemos a un juez prohibiendo las transferencias, sin embargo ICANN dice aqui que Onlinenic ha interpretado la orden como una prohibicion de todas las transferencias.
Ante la duda, bloquean todas, decision que ademas les beneficia, reteniendo asi a la clientela.

Sin embargo en estas ultimas semanas ha habido bastantes quejas en ICANN de gente que tenemos dominios en ese registrador, asi que ICANN ha intervenido y se ha conseguido que el juez establezca un procedimiento para las transferencias, segun el cual, Onlinenic notificara a Verizon los dominios a transferir fuera de Onlinenic y Verizon dara el visto bueno uno por uno en un plazo muy corto, os pongo aqui un fragmento de la orden modificada y pongo en negrita alguna cosa.

IT IS FURTHER ORDERED THAT OnlineNIC shall not transfer, release, delete or assign any domain name without the prior written approval of Verizon or the Court appointed
Receiver in accordance with the procedure set forth below:
1. Within twenty-four (24) hours of receiving a transfer notification from a registry operator, OnlineNIC shall provide to counsel for Verizon:
- the registry transfer request for each proposed domain name transfer,
- the WHOIS data for the registrant of the domain name seeking the transfer,
- a certificate signed under penalty of perjury by an officer of OnlineNIC that the registrar is not affiliated with, employed by, acting in concert with or related to OnlineNIC or OnlineNIC's officers, directors, employees, representatives, agents, or affiliated companies of OnlineNIC,
- a certificate signed under penalty of perjury by an officer of OnlineNIC that the registrant or account holder is not affiliated with, employed by, acting in concert with or related to OnlineNIC or OnlineNIC's officers, directors, employees, representatives, agents, or affiliated companies of OnlineNIC, and
- a certificate signed under penalty of perjury by an officer of OnlineNIC that OnlineNIC did not communicate with or pay any party to induce the transfer of the domain name.
2. Within seventy-two (72) hours of the notice required in paragraph 1, Verizon shall provide written consent for the requested transfer provided that the requested transfer qualifies as a transfer made with good faith, is made within the ordinary course of lawful business and does not deprive Verizon of its ability to satisfy its judgment.
3. If Verizon does not consent to a transfer as provided in paragraph 2, OnlineNIC may appeal such decision to the Receiver within eight (8) hours after receiving notice of Verizon's determination.
4. Within thirty-six (36) hours of receipt of any appeal pursuant to paragraph 3, the Receiver shall provide a written determination to Verizon and OnlineNIC as to whether the requested transfer is in good faith, is within the ordinary course of lawful business and does not deprive Verizon of its ability to satisfy judgment.
The determinations of the Receiver are subject to review by the Court.
5. If the Receiver issues a determination stating that a proposed transfer is not in good faith, is not within the ordinary course of lawful business or would deprive Verizon of its ability to satisfy its judgment, OnlineNIC shall issue a "NACK" command denying the requested transfer.
Resumiendo, Onlinenic notifica en 24h los dominios a transferir fuera, Verizon tiene que responder en 72 horas y si en algun dominio no hay acuerdo, Onlinenic tiene otras 36h para oponerse. Esto es eficacia y rapidez.

Gracias a estas medidas algunos webmasters estan teniendo exito al transferir los dominios fuera de onlinenic, sin embargo, no todos tienen exito, en algunos casos las transferencias son rechazadas, en estos casos el soporte de onlinenic recomienda intentarlo de nuevo, aunque el procedimiento legal que han creado es rapido, una transferencia tiene que se aprobada en 5 dias para que sea ejecutada. A dia de hoy se conoce que siguen fallando en los .info, en los .com .net y .org las transferencias se ejecutan bien en su mayoria.

Si vas a transferir fuera, elige un registrador que no te cobre por reintentar la transferencia o que te devuelva el importe si no tiene exito.

Personalmente le veo mucho mejor color a este problema, veo probable que Onlinenic solucione su problema, no obstante mi confianza en este registrador esta lesionada, al no haber sido capaz de recibir la correspondencia legal en la direccion falsa que dicen tener en USA, veo poco probable que continue comprando sus servicios.

Nota: Si tienes dominios registrados con mi empresa, estate tranquilo, no estan con Onlinenic. Solo hay 1 dominio .cn de 1 cliente que ya esta informado.

Parava Networks: el desenlace

| Sin comentarios | Sin trackbacks
Ante todo os pido disculpas por la demora en escribir, y este tema lo tenia pendiente.

Hace ya algo mas de un mes contaba el problema del registrador Parava Networks, finalmente ICANN recibio las propuestas de otros registradores y asigno los dominios a Tucows, pero Tucows en realidad no es un registrador que venda al publico, sino mas bien es un registrador mayorista, para empresas de hosting que compran en volumen para dar cliente al servicio final.

Lo que no sabia es que Tucows estaba preparando una web para venta a usuario final, asi que los clientes de Parava se encontraron un dia con un email de Hover.com, con lo necesario para recuperar el control de sus dominios.

Así con todo, tuve la coincidencia de que un cliente tuviera en Parava algunos dominios, algunos de los cuales quedaron perfectamente asignados a su nueva cuenta de Hover.com, pero otro quedo sin acceso, tampoco en el whois salian sus datos con lo que hover.com no sabria de su autentico propietario.

Si te ves en un caso como este, algo tan simple como subir un fichero a tu web que demuestre que tu eres el que esta reclamando ese dominio puede ser de especial ayuda para reclamar la titularidad, asi lo hizo este webmaster y en cuestion de horas recupero su dominio.

Por cierto, advierten en hover.com que Parava Networks estuvo cobrando renovaciones, anotandolas en su propio servidor de whois (mostrando el dominio como renovado), pero no ejecutando las renovaciones en el registro, en estos casos el dominio no quedaba renovado, perdiendo los titulares el dinero abonado a Parava por estas renovaciones, pues Parava no habia pagado a su vez al registro por las mismas. ¿Fraude?


Mas sobre Tuvalu

| Sin comentarios | Sin trackbacks
Ante todo dar las gracias a Jorge Miralles, de Meteosat.com, que ademas de informar del tiempo en su web tambien debaten en el foro sobre el nivel del mar, cambio climatico y demas fenomenos meteorologicos.

Me envia Jorge este grafico que nos muestra la evolucion del nivel del mar en varias islas del Pacifico



anomaliasoceania.gif
Cada recuadro representa 10cm de subida o bajada del nivel del mar, facilmente podemos ver que en Tuvalu no sucede nada excepcional.

Segun Jorge, se trata variaciones naturales, unos cm arriba, unos abajo, depende de si hay altas o bajas presiones.

Aunque el grafico contiene datos hasta Marzo de 2008, los rumores de hundimiento de Tuvalu son muy anteriores, basta ver este articulo de un periodico de Nueva Zelanda, de 2005, donde temen una avalancha de refugiados de Tuvalu por el presunto hundimiento de la isla, ese articulo es rebatido en Junk Science Oct 05, donde se aportan mas graficos y una explicacion, para quien desee leer sobre ello.

Asi que mucha calma con los .tv y no hagan demasiado caso a Bob Parsons, quien parece mas interesado en promocionar los .me, en los cuales participa de forma activa (el negocio es el negocio, ¿verdad Bob?)

Incluso en el peor de los casos, un pais no pierde el status de pais de la noche a la mañana (salvo guerras) y ademas ICANN daria un periodo de 3 años para la adaptacion al ¿nuevo dominio?.

¿Se hunde el .tv?

| Sin comentarios | Sin trackbacks
Los dominios .tv pertenecen a la isla polinesia de Tuvalu. El registrador Godaddy esta advirtiendo a sus clientes de que la isla de Tuvalu se hunde cuando van a registrar un dominio .tv
tuvalu.jpg

De acuerdo con las normas de ICANN, los dominios territoriales deben pertenecer a un pais existente, si la isla se hundiera el pais desapareceria, y con el pais, el .tv. Aunque podria ser que ICANN hiciera una excepcion, como hizo en el caso del .su, ccTLD perteneciente a la antigua Union Sovietica, extension que no fue eliminada, situacion que no se produjo con extensiones como el .yu, de Yugoslavia, que acabó generando las extensiones .rs y .me para Serbia y Montenegro respectivamente.

No estoy en posicion de determinar si Tuvalu se hunde o no por el calentamiento global, es posible encontrar algunos articulos tanto a favor como en contra de esta tesis.  Tampoco se si la popularidad del .tv lo salvará de su extinción.

Por si acaso, sera mejor extremar la prudencia y no dejarse tentar por los descuentos en dominios .tv que estamos viendo en algunos registradores.

Onlinenic al borde del abismo

| 1 comentario | Sin trackbacks
No hay 2 sin 3, ya he hablado de otros 2 registradores con graves problemas, y ahora hablare de otro que me estaba reservando.

Onlinenic es un registrador chino con muy buenos precios mayoristas, utilizado por muchas empresas de hosting, algunas de las cuales muy conocidas en España, este registrador fue demandado por la compañia telefonica Verizon por algunos dominios que fueron registrados en Onlinenic, dominios que contenian variantes de marcas registradas por Verizon.

Onlinenic tiene una direccion en Estados Unidos para recibir correspondencia, supuestamente hay alli unas oficinas de OnlineNic, ademas de las oficinas que tienen en China, sin embargo cuando se intento notificar a Onlinenic para que acudiera al juicio, alli no habia nadie, segun Google Maps hay una empresa de construccion que podeis ver aqui

Asi que Onlinenic fue juzgada sin poderse defender, y claro, Verizon pidiendo al juez el oro y el moro y con nadie negandose por parte de OnlineNic, el juez termino condenando a OnlineNic al pago de 33 millones de dolares por unos dominios que probablemente fueron registrados por un cliente de Onlinenic. Mas informacion sobre este hecho en esta noticia

¿Como cobrara Verizon esos 33 millones de una empresa con sede en China? ¿Afectara algo a la acreditacion ICANN de Onlinenic? Por el momento Onlinenic declina hacer declaraciones publicas y en las preguntas que les he enviado a traves del sistema de tickets solo obtengo respuestas evasivas, su equipo legal esta trabajando en ello, uno podria suponer que apelarian y el proceso se alargaria durante meses o años...

...pero en las ultimas semanas esta habiendo algunos rumores no confirmados segun los cuales un juez americano habria ordenado al registro el bloqueo de todos nombres de dominio de OnlineNic, impidiendo que estos sean transferidos fuera.

El motivo de estos rumores viene de la imposibilidad de desbloquear los dominios, la explicacion que da el soporte de Onlinenic es que estan haciendo modificaciones en el software que estan causando este problema.

Si tienes dominios en Onlinenic toma precauciones, es posible que los tendras registrados a traves de una empresa que a su vez los registre en onlinenic, ante la duda, asegurate.

Puedes ver el verdadero registrador de un dominio mediante esta herramiente de Whois en Verisign

Nota: Antes de que me pregunten, OnlineNic no es el registrador utilizado por mi empresa en la actualidad.
Leo en Blogminios que el registrador Bottle Domains esta pasando por ciertas dificultades.

Como bien apunta Licantropo en su blog, Bottle Domains es uno de los nombres comerciales que utiliza la empresa AUSTRALIAN STYLE PTY LTD, pero tambien comercializa servicios bajo el nombre de Domain Central.

Lo que parece haber ocurrido es que en 2007 tuvieron un fallo de seguridad en sus servidores y algunos clientes de esta empresa sufrieron algun tipo fraude (supongo que robarian los datos de sus tarjetas de credito, de igual manera que sospecho me ocurrio a mi con Registerfly hace un par de años), denunciaron en comisaria, pero el registrador no notifico a auDA, el organismo de administracion de dominios de Australia, dicho problema de seguridad, lo cual consta en el contrato de registrador.

Como consecuencia, auDA ha decidido revocar la condicion de registrador de dominios .au a esta empresa, esto no afecta al registro de dominios gTLD de Domain Central, sin embargo supone una llamada de atención, ya que ICANN podria mostrarse interesado por las actividades de Bottle Domains, con impredecibles consecuencias.

De acuerdo a la informacion publicada por webhosting.info Bottle Domains solo tiene unos 9700 dominios, es poco probable que mis escasos lectores tengan algun dominio alli, pero si tuvierais alguno, os recomiendo que os mantengais alerta sobre la situacion del registrador y en caso de duda hacer una transferencia de registrador.