¿Es vulnerable el formulario de suscripción de tu web?

Hoy voy a meterme en mi papel de informático para compartir con vosotros mi preocupación sobre el problema de las falsas suscripciones a las newsletters (o boletines de noticias si así lo prefieres).

Los que trabajáis en Internet ya sabéis a qué tipo de servicios me refiero.

¿Es vulnerable el formulario de suscripción de tu web?

Hablamos de plataformas SaaS (software as a service) de email marketing que operan en la nube, y que ofrecen servicios de envío de emails transaccionales, envíos masivos de correos, etc.

Algunas plataformas de ejemplo:

  • MailRelay
  • TeEnvio
  • MailChimp
  • MDirector
  • Acumbamail

Seguro que tú conoces muchas más. Hay decenas y decenas en todo el mundo.

Me gustaría aclarar que no he probado la vulnerabilidad de la que os hablaré hoy en estas plataformas de ejemplo. No estoy diciendo que sean vulnerables. Esta lista es solo un ejemplo para situaros rápidamente en el contexto de este post.

Es para que digáis:

  • ¡Ya sé de qué estás hablando!
  • Ah sí, yo conozco esa plataforma
  • ¡Yo uso otra parecida!

¿Cuál es el problema?

Hay un problema estructural que afecta a casi todas las plataformas de email marketing. Lo he bautizado con este nombre: el problema de las falsas suscripciones.

¡No me asustes! ¡Pero qué dices!

Como lo oís. Os informo a los que utilizáis plataformas de email marketing para que no invadáis las libertades de otros. Porque es posible que, sin quererlo, terminéis vulnerando los derechos de otras personas por spam, por culpa de terceras personas con malas intenciones.

Un juez tendría que determinarlo

No puedo decir más porque no soy experto en leyes. Un juez tendría que determinar sobre quién recae la responsabilidad del supuesto spam.

¿Por qué escribo este post?

¿Sabías que cuando comunicas vulnerabilidades a las empresas pueden pasar dos cosas a corto plazo?:

  • Que agradezcan tu ayuda y demuestren preocupación
  • Que te ignoren

He notificado el problema a varias empresas de email marketing que operan en la nube pero parece que no prestan mucha atención. Que pasan de mí vaya.

Debo informarte de esto. ¡Todo sea por la seguridad de Internet! Espero que este artículo sirva para abrir el debate sobre el problema de las falsas suscripciones. ¿Te unes?

El problema de las falsas suscripciones

Es muy sencillo. Imagínate que estás navegando por Internet y vas a parar a una web con un formulario de suscripción muy chulo como el de esta imagen.

Un formulario de suscripción muy chulo

Estás en el blog de Rosa, una diseñadora freelance que tras meses de mucho trabajo y esfuerzo se ha conseguido posicionar bien en Internet.

Sin embargo tu mente es retorcida, y en vez de escribir tu dirección de correo electrónico como haría cualquier persona normal, a ti se te ocurre poner la dirección de correo electrónico de alguien a quien odias. Pongamos una víctima, por ejemplo: Pepe.

Tú te llamas Juan y como eres malo no te suscribes una sola vez, no, te suscribes muchas veces haciéndote pasar por Pepe: 5, 6 y hasta 7 veces a lo largo del día. Varias veces como poseído por una fuerza.

Pepe recibirá un montón de mensajes de Rosa no solicitados, pidiéndole que confirme su suscripción a una página web que él, claro, desconoce.

Fin de la historia. Es así de fácil. ¿Lo ves? Cualquiera puede espamear al pobre Pepe desde el formulario de suscripción de Rosa. ¡Y pobre Rosa! ¿Qué culpa tiene ella de todo esto? Ninguna, porque el spammer es Juan.

Fin de la historia

Vulnerabilidad legal en el proceso double opt-in

Por si no lo sabes, el proceso por el que las plataformas SaaS envían mensajes de confirmación a los usuarios se llama opt-in doble. De modo que podemos hablar de una vulnerabilidad legal en el proceso opt-in doble.

Como os digo, hoy me meto en mi papel de informático para informaros de este hecho. Y en mi opinión humilde, no cuesta mucho implementar una lógica de programación en las suscripciones double opt-in para mitigar este problema.

Así pues, mi recomendación es que primero pruebes tu plataforma de email marketing de buena fe, contigo mismo, y veas si es posible espamear a alguien desde ella. En caso afirmativo, prueba con otra.

¿Qué dice la LSSI-CE del spam?

Echa un vistazo a la página web de la LSSI, allá encontrarás un montón de información relevante sobre este tema. Por otro lado, la Ley 9/2014, de 9 de mayo, General de Telecomunicaciones, introduce algunas novedades sobre las comunicaciones comerciales no solicitadas.

El punto importante que hace referencia al envío insistente o sistemático de correos electrónicos viene en el apartado 3 c) del artículo 38:

“El envío masivo de comunicaciones comerciales por correo electrónico u otro medio de comunicación electrónica equivalente, o su envío insistente o sistemático a un mismo destinatario del servicio cuando en dichos envíos no se cumplan los requisitos establecidos en el artículo 21.”

¡Y esto es todo por hoy! Espero haber explicado bien el problema de las falsas suscripciones en las plataformas de email marketing. Me gustaría abrir un debate sobre este asunto. ¿Te unes? Informa a tu plataforma de este problema. ¡Y comparte este post con tus amig@s! Muchas gracias por tu colaboración.

0 comentarios

¿Me dejas un comentario? ¡Gracias!

Deja un comentario

Los campos obligatorios están marcados con *