¿Lan.Spam?
Usualmente nuestras direcciones de correo electrónico pasan por tantas manos -u ojos- que resulta casi imposible descubrir quién nos hizo el favor de ser el primero en filtrarla a los espamers. De ahí en adelante, recibir correo basura en nuestra casilla se transforma en un ritual diario.
Sin embargo un lector habitual de nuestro blog, Ariel Elgueta, parece haber tenido un golpe de suerte descubriendo a su delator, usando inadvertidamente como testaferro… a su hija de 3 años.
En sus palabras:
“Hace un mes aproximadamente, viajé a La Serena con mi hija a través de Lan. Para que empezara a sumar kilómetros Lan Pass la inscribi como viajera frecuente y, como Lan.com me pide un mail para registrarla, puse mi correo de Gmail.
Mi hija no tiene un email propio. No he registrado nada más en Internet a nombre de ella, ni asociado su nombre a mi cuenta de Gmail en otra parte”.
Por eso le extrañó tanto cuando unos días después recibió en su casilla a nombre de su hija, un correo desde MiPersonalidad.es -una versión virtual de los puestos de feria donde entregan cartas astrológicas o el significado de tu nombre- invitando a la pequeña a recibir un “informe libre de su personalidad”:
De: atencion@mipersonalidad.es
Para: elgueta (a) gmail.com
Fecha: 16 de abril de 2009 18:38
Asunto:
MiPersonalidad: Libre Extracto de su Informe de personalidad!- Su extracto libre se adjunta a este mensaje -
Estimada Sofia elgueta,
Adjuntamos un extracto libre de su lnforme de personalidad…
¿Cómo hizo este sitio la vinculación entre Sofía y la casilla de su padre, más aún considerando que una niña de 3 años no lo haría por sí misma?
Ariel usó el formulario de atención a clientes en Lan.com para exponer la situación, quienes aún no se toman la molestia de contestar. A sugerencia mía hizo lo propio con MiPersonalidad.es, quienes respondieron ágilmente pero de una forma bastante curiosa:
De: atencion@mipersonalidad.es
Fecha: 27 de abril de 2009 6:23
Asunto: Re: [Ticket#58484180] reclamo
Para: elgueta (a) gmail.comHola Sofia Elgueta,
Lo siento, pero no compramos ningunos datos de nadie! Quizás debería ponerse en contacto con Lan porque me parece que alguien está usando sus datos.
Saludos cordiales,
Tu equipo de MiPersonalidad
www.mipersonalidad.es
Curioso, pues el reclamo a su nombre volvió nuevamente a nombre de su hija.
Hice mis propias averiguaciones y la respuesta extraoficial de Lan fue la esperable: su base de datos no se utiliza con ningún otro propósito que los del funcionamiento del sitio. Lo grave sin embargo es que la política de privacidad de nuestra línea aérea sólo informa que los datos se mantienen en “estricta confidencialidad” sin detallar su tratamiento, como es la usanza en estos casos.
Vistos los antecedentes, surgen 3 posibilidades:
1) Lan comparte las bases de datos de sus clientes.
2) Alguien en Lan se hace un dinerillo extra vendiendo datos.
3) Alguien externo tiene o tuvo acceso a los datos de Lan.
Me inclino por la 2, considerando que la venta de bases de datos es un mercado informal en alza. Por ello y con mayor razón, Lan debería tomar con seriedad las denuncias de sus clientes al respecto en vez de dejarlas sin respuesta.
Publicado el 29.04.2009 @ 16:38 | 
Categorías: 
Edward
29.04.2009 @ 17:12
estoy cachando que van a salir con que esta denuncia tuya es porque no soportas a Piñera y eres parte de los que lo quieren perjudicar… cuek…
aunque con la entrevista que le hicieron a su sra en el mercurio ta claro donde está el queso… jajaja
saludos FT….
mirantra
29.04.2009 @ 17:15
Ufff, me inclino por la 2 también. Para una empresa como LAN son valiosas sus bases de datos, no creo que quieran compartirlas. Aunque en una de esas…
Alejandro[FV]
29.04.2009 @ 17:19
yo soy pasajero frecuente en LAN hace unos años, pero la verdad es que como recibo alrededor de 20 correos spam diarios, no he notado alguna relación con mis datos en LAN.
también me inclino por la opción 2
juan
29.04.2009 @ 17:23
:O… revisaré si en nueva llacolen o vía lactea estan vendiendo su base de datos…
mastermind
29.04.2009 @ 17:52
Y si LAN tuviera un problema de seguridad tal que el formulario de ingreso o algunas de las paginas donde se pueda acceder a la direccion pudiera ser trackeable por algun robot o spider y asi obtener la direccion ?
Podrian tener tremendo troyano los empleados de Piñera.
Es una opcion.
Óscar Cornejo
29.04.2009 @ 18:44
@mastermind
Si LAN tuviera un problema de seguridad o un empleado descontento con su sueldo es problema de ellos y tienen que solucionarlo ellos, no nosotros los consumidores que además tenemos que entregar una serie de datos DUROS (email, teléfono, dirección, etc) cada vez que queremos comprar un pasaje de avión con ellos.
Malo malo.
cOaLa_
29.04.2009 @ 19:25
No deja de ser algo de impresionante el tema, pero creo que LAN no es la única ni lo sera de la macro-empresas que utilizan medios poco “éticos” para la publicidad. Nose por cual de todas las alternativas inclinarme, pues creo que todaspodrian ser suficientemente factible. Como acabar con el spam si las mismas empresas hacen abuso de ello.
Mi abuela dice: En todos lados se cuecen avas
Saludos!
mastermind
29.04.2009 @ 21:37
@Oscar Cornejo
Yo na mas decia xD
Lo que pasa es que lei el reportaje de FT y la verdad no vi que se le diera mucho beneficio de la duda a LAN, por eso deje planteada esa posibilidad en mi post.
No es que los defienda, no son santos de mi devocion, pero siempre esta la posibilidad de que simplemente a alguien se le “chispoteo” y no “dejo encendida” la seguridad.
gabriel
29.04.2009 @ 21:40
No me extrañaría.. también paso el dato que BANCOAMBIENTAL.COM también vende, filtra o comparte base de datos.
por el mail que suscribí, me llegó un spam de taller arcaluz.cl y me contacté con ellos. Me respondieron lo siguiente:
” Estimado Gabriel:
Te pido las disculpas pertinentes por enviarte información sin solicitud, te cuento que se está realizando una campaña mail marketing, con una empresa X, la cual dentro de sus servicios contaba con Base de Datos y de ahí se obtuvo tu dirección de correo electrónico, por lo tanto no tenemos relación con Banco Ambiental y ya nos hemos contactado con la empresa que nos presta servicios, para sacarte de lista y regularizar de dónde obtienen sus datos, Reitero las disculpas del caso, hemos tomado las medidas necesarias, para evitar futuros conflictos y malos entendidos.
Te Saludamos cordialemente.”
Luego de eso pedí que me enviaran más datos de esa empresa, pues quiero emprender acciones legales, para ver a donde llego, pero no me han respondido.
Realmente deseo que nos comuniquemos y podamos hacer algo con esto. desde ir al sernac hasta ir a llorarle a los senadores y parlamentarios presentándoles un proyecto de ley para regularizar la situación..
Otro caso es de correopost.net que realmente es ADDA Chile Ltda, quienes estan probando sistemas de emailing. me comuniqué con ellos y quedaron sorprendidos de cómo había sabido que eran ellos.. supuestamente dijeron que me removerían de su lista……. ya veremos que pasa.
saludos
gabriel
29.04.2009 @ 21:52
Otro aporte…
Banco estado.cl también contrató una agencia de email marketing.
lo más grave es que al momento de hacer clic en REMOVER de la base de datos….
Se pueden apreciar en la linea de direcciones el ID de cliente, rut y otros datos del banco.
Hice el reclamo por sernac y banco estado nunca respondió
Lo que a consecuencia de esto, sernac no podía hacer nada y me invitó a hacer acciones legales contra banco estado…….
ricardo
29.04.2009 @ 22:02
que paranoico
Enrique
29.04.2009 @ 22:08
Maldito Spam, mi pregunta en quien chucha cree que sirve.
Es el equivalente a que la SCD nos meta música de la Dennise M. poniendo parlantes en la calle con su música. No gracias prefiero ser sordo.
PhoBOs
30.04.2009 @ 01:38
yo creo q lo unico mas preocupante en este caso es que para comprar un pasaje en lan.com la mayoria usamos nuestra tarjeta de credito, lo cual se podria convertir en un grave problema si la seguridad de nuestros datos se filtran como si nada
Juan Carlos
30.04.2009 @ 03:48
Otro caso curioso.
En Telefónica (España) una amiga está registrada con una errata en su nombre… en vez de “Itziar”, su nombre, quedó como “Ipziar”. Problema menor hasta que meses después recibió una carta de los Legionarios de Cristo a nombre de “Ipziar”… ¿rarito no?
Enrique
30.04.2009 @ 10:27
Se que es una excusa barata… pero como sabemos que el computador de Ariel no tiene un troyano-virus-malware, que envía todo lo tipeado a un server. Comportamiento mas que reportado.
Ahora, si se que estoy tratando a Ariel como lo hacen los telefonistas de soporte de VTR, pero nunca se sabe.. pero es porque no lo conozco. Mis disculpas van por si acaso.
@gabriel: Gracias por el dato, asi sabremos a quienes mandar a la ·@+*ks
JL
30.04.2009 @ 12:56
Ojo, hay un detalle que no estan considerando.
Los sistemas de boletos en LAN estan conectados a sistemas globales de reservas (conocidos en el mundillo como Sistemas de Distribucion, o GDS por sus siglas en ingles). Estas reservas son, en cierta medida (ya veran por que no es “por completo), publicas.
Cuando reservas un vuelo y compras el pasaje en LAN.com (o en cualquier agencia de viajes, para estos efectos) te dan un boleto electrónico asociado a un código de reserva alfanumerico de 6 caracteres, con el cual puedes consultar el estado de tu vuelo no solo en el sitio de la aerolinea sino tambien en las interfases web de los sistemas de distribucion. Solo necesitas el famoso codigo y el apellido de un pasajero de dicha reserva.
Esto no es culpa de ninguna aerolinea, es la forma en como transmiten informacion los GDS (en chile los mas usados son Amadeus y Sabre… este ultimo tiene un layer adicional de seguridad en las consultas web, pero LAN tiene su venta online cargada en Amadeus). Cuando ves tu reserva (o alguien X la ve) tiene acceso a ver:
1.- nombre, rut, telefono y correo electronico de cada pasajero en la reserva
2.- numero de pasajero frecuente de cada uno
3.- numero de cada boleto electronico emitido para esta reserva
4.- itinerario completo (fechas, horas, vuelos, destinos)
5.- el asiento que elegiste, si ya hiciste el check-in
6.- requerimientos especiales que hayas hecho (comidas especiales, asistencia a bordo, sillas de ruedas, etc)
Se filtro tu email desde ahi? puede ser como puede no ser… puede que efectivamente algun funcionario de LAN se haya ganado un par de lucas extra vendiendo la base de datos o puede que tu mismo tengas un bicho en tu pc… no podria asegurarlo a pies juntos en este momento.
al menos yo jamas noté una diferencia en la cantidad de spam que recibo “gracias” a estar inscrito en LAN. Si bien estoy inscrito hace mucho tiempo, hace poco le informe a LAN una nueva direccion de correo y hasta ahora no recibo mas spam que antes.
@PhoBOs
El tema del pago con tarjeta es un poco distinto… el comercio (hablo de manera generica aca porque aplica para todos) nunca recibe tu numero de tarjeta. El proceso de pago en linea (al menos con transbank) se realiza directamente en transbank por SSL/TLS y el comercio solo es informado del resultado de la transaccion (aprobado, rechazado), el monto (para evitar que alguien manipule headers y mande a TBK una validacion por luca en vez de 100 lucas, por ejemplo) y el codigo de autorizacion generado en la transaccion
JL
30.04.2009 @ 13:00
se me olvido el disclaimer
no soy, ni he sido nunca, funcionario de LAN ni de ninguna aerolinea
Juan J. Cuéllar
30.04.2009 @ 14:46
Recuerden que si tu dirección de correo en gmail es, por ejemplo usuario@gmail.com, cuando te inscribas en algún formulario web puedes usar la dirección usuario+string@gmail.com y el correo va a llegar igual a tu bandeja de entrada, pero tendrás la posbilidad de discriminar el origen del dato, pues puedes poner cualquier cosa en vez de string (cualquier cosa que sea [a-z]+).
Saludos
JL
30.04.2009 @ 15:18
@Juan J. Cuéllar
buen dato no sabia eso… funciona tambien con gmail en mi propio dominio? (asi como jl+spam@jl.com?
si es asi, voy a empezar a usarlo… le agregaré el +nombre con el nombre de cada servicio al que me suscriba y vere de donde llega el spam
excelente tip!
puconino
30.04.2009 @ 16:11
Con respecto al dato de añadirle un “+texto” a tu dirección de correo es una excelente técnica, lo malo recordar cual fue el “+texto” que añadiste, al momento que olvidas la contraseña de acceso a determinado servicio, o las pasaste a borrar del firefox (ya me pasó, por ser tan apurón con el Ctrl+Shift+Supr y seleccione mal, cuek!)
Lo más seguro es la opción 2, y eso que Piñera NO es santo de mi devoción.
JL
30.04.2009 @ 16:26
sin ningun intencion de ser mala onda…
por que siempre se insiste en asociar negativamente a LAN con Piñera, si el tipo tiene apenas el 6% de la aerolinea?
Ver: http://www.bolsadesantiago.com/resena.asp?nemo=LAN
la participacion de Piñera es la de Inversiones Santa Cecilia S.A
Es solo eso, siempre me ha sorprendido que no se hable mas de la familia Cueto cuando se habla de LAN. Digo, ya que tienen casi el 23% y son los mayoritarios tanto en acciones como en miembros del directorio.
En fin, sigo agradecido del tipo del +string y dudando que es lo que puede haber pasado. Concuerdo si con el resto, lo mas probable es que alguien se aprovecho de ganar un par de lucas sobre su sueldo vendiendo los mails
Francotirador
30.04.2009 @ 16:37
JL: Quizá porque -según La Tercera- no es un 6% sino un 27%, que se traduce en “apenas” 730 millones de USD.
Eso sí, quienes trabajan en/con LAN tienen claro que los que mueven los hilos son los Cueto ;)
Cristian Leon
02.05.2009 @ 14:11
piñera se queda con las lucas, puh…
marditos roedoreh…
fuera de broma… yo ya ni me preocupo de estos asuntos… he asumido que nadie en el mundo puede garantizar que tus datos no sean mal empleados… si no es por un medio va a ser por otro… el poder esta en la cantidad de informacion que puedas manejar y ultimammente la humanidad ha facilitado esto a niveles impensados.
en fin… bien por el socito de lan, que se hace luquitas extras… alguien aqui se puede mostrar sorprendido?
Gabriel Acevedo H.
04.05.2009 @ 12:10
Dados los antecedentes, pero sin ser un experto, me atrevería a decir que es configurable una demanda civil. Es complicado en este tipo de acciones demostrar que los datos fueron cedidos por Lan (en este caso). Sin embargo, dadas las circunstacias en que ocurrió el ilicito, es posible conseguir algo.
¡Saludos!
diseño web
06.05.2009 @ 21:57
En mi humilde opinion es algun empleado de la empresa que esta haciendo su negocio.
raulho
13.05.2009 @ 22:52
no olvidar que el dueño de Lan es tambien dueño del sitio chile.com y que hace un tiempo atrás tuvieron graves problemas por emails y publicaciones en ese sitio
Ariel Elgueta
27.05.2009 @ 17:33
Antes que nada muchas gracias a Christian por el interés que demostró desde que le plantée mi caso y por las orientaciones que me entregó, además de obviamente publicar la noticia en su blog.
Segundo, disculparme por mi nula participación con comentarios en este post desde que fue piblicado, pero he estado con mucho trabajo y salidas a terreno por lo que no me había hecho el tiempo de escribir.
Tercero, comentarles que a la fecha he dejado de recibir spam de la empresa señalada, y sigo sin recibir respuesta a mi reclamo realizado en Lan.com. Mi principal sospecha es, compartiendo las opiniones de varios post, que algun “particular” de la empresa hace negocio con la base de datos de la empresa.
Pero más allá de buscar culpables, lo que me da bronca es la nula preocupación por la gran mayoría de las empresas a nivel mundial, que manejan datos de sus usuarios/as, por el manejo de esta información, y por ende del conocimiento y real peso que le toman a la presencia en Internet.
Si tienen un sitio web, es para “mostrarse” pero no actualizan contenidos y no atienden los formularios de consulta.
Si tienen servicios de e-comerce, se preocupan del manejo seguro de las transacciones pero no del tratamiento seguro de los datos de sus clientes.
Si crean blogs, suponen que son puro copy & paste de articulos de otros medios y no la propia creacion y opion de la actualidad de las materias que les competen.
Esto siempre ha pasado cuando la revolución de los medios de comunicación llega a cambiar el estado del arte dominante, y se vuelven obsoletos ciertos medios. En la transición no se dimensionan los alcances, so se entiende su funcionamiento y no se miden las implicancias.
Y a seguir reclamando cuando lo creamos justo…
Ariel Elgueta
11.06.2009 @ 09:36
Con fecha 9 de junio me llego el siguiente mail de respuesta de Lan.com (q
Ariel Elgueta
11.06.2009 @ 09:37
Con fecha 9 de junio me llego el siguiente mail de respuesta de Lan.com (que la verdad no aporta nada):
Estimado señor Elgueta:
Junto con saludarlo, hemos recepcionado su inquietud y le informamos que, respecto al registro de los datos ingresados por nuestros socios Lanpass, en este caso los de su hija, esta estipulado en nuestros Términos y Condiciones que al registrarse como socio usted acepta que Lan pueda realizar estadísticas con dichos datos, como también utilizarlos para mejoras en el servicio que nos esmeramos en entregar, sin embargo, esta información es de uso interno y solo es utilizada con el fin anteriormente mencionado.
El que usted haya recibido un correo a nombre de su hija por parte de otra entidad escapa a nuestros envíos de información por parte de Lan, en relación a su estado de cuenta u ofertas que son ofrecidas a través de este medio.
Lamentamos profundamente lo sucedido y esperando que esta situación no se vuelva a repetir.
Se despide atentamente,
–
Tatiana Cabezas
EJECUTIVO ATENCIÓN LANPASS
LAN AIRLINES
http://www.lan.com