The eMailing Experience
El blog del e-mail marketing RSS 2.0
 Thursday, January 24, 2008
Detalles técnicos de calidad en tu proveedor de e-mail marketing y problemas de seguridad

La mayor parte de la gente, como es perfectamente normal, no se preocupa de los detalles técnicos del software de marketing por e-mail que usan. Pero deberían. El diablo está en los detalles, y los detalles técnicos son muy importantes.

Me he acordado de esto hoy, analizando algunos e-mails comerciales que he recibido hace poco.

Por ejemplo, echémosle un vistazo a la URL que el software de un proveedor de e-mail marketing genera para llevar el control estadístico de lecturas para sus clientes (es un ejemplo real, he cambiado los dominios por privacidad):

<IMG src="http://www.anemailprovider.com:8080/pcmwtg/trackingServlet=idtracking=2&idsend=906077">

Fíjate en el evidente propósito de cada uno de los parámetros de esta URL de control. ¿Qué pasa si cambiamos el valor del parámetro idsend un poquito y, digamos que lo ponemos como 06078?: Le acabo de apuntar una lectura a otro usuario. 

Si no fuera una buena persona (como de hecho soy) podría muy fácilmente trastocar de arriba a abajo las estadisticas de lectura de este proveedor, haciéndolas totalmente inservibles para la empresa que ha enviado el correo :-(

Otra cosa interesante sobre esta imagen es que no está apuntando a una imagen real. Ni siquiera tiene extensión de archivo ni un nombre real que parezca un archivo, lo cual "canta" rápidamente para algunos filtros anti-spam. No es una buena decisión técnica.

Ahora echemos unvistazo a una imagen de control típica de MAILCast:

<image src="http://mcs.krasis.es/C/R/MTc5NDA1NCAg.gif">

Bueno, el nombre de la imagen no es que sea muy bonito tampoco, pero es claramente un nombre de archivo de imagen y lo que es más importante: toda la información de control está codificada y cifrada en el nombre de la imagen, así que es muy difícil de engañar y las estadísticas son mucho más fiables.

Otro problema que hay tiene que ver con el control de las pulsaciones en enlaces. Un enlace controlado del correo de ejemplo anterior tenía esta pinta:

http://www.anemailprovider.com:8080/pcmwtg/trackingServlet?idtracking=1&url=http://www.customerserver.com/landingpage.htm&idsend=906077

Eh??, Lo mismo que antes, pero incluso peor. Ahora puedo asignar pulsaciones aleatorias a cualquiera y además como la página de estino está embebida en la propia URL puedo saltarme el control fácilmente y no generar estadística alguna.

Un enlace controlado típico de MAILCast es parecido a este:

http://mcs.krasis.es/C/L/?V05_122498_MTc0NRB2NCAg

Que, de nuevo, es feo (aunque no más feo que el antrerior, dicho sea de paso), pero es más corto y no compromete la fiabilidad de las estadísticas.

De todos modos lo más peligroso en este tipo de casos es, sin duda, el enlace de darse de baja del boletín, en nuestro ejemplo:

http://www.anemailprovider.com:8080/pcmwtg/GestionServlet?type=1&idunsubstemplate=10140&idCustomer=2447&idcontact=1572907

Cuando escribo esta URL en mi navegador me sale un mensaje diciendo que me he dado de baja satisfactoriamente del boletín. Pero fíjate que el identificador de la empresa cliente y el identificador del contacto están en claro en esa URL, y además son simples valores autonuméricos en una base de datos. Así que si me pongo a probar distintos valores lo que consigo es empezar a dar de baja a todos los contactos que quiera alojados por ese proveedor. ¡Diosss!

Incluso en algunos casos te puede salir un mensaje que me dice que se me ha enviado un correo para que confirme la baja. Casi peor. Ahora un atacante malintencionado podría inundar de mensajes la bandeja de entrada de los contactos de esa base de datos, lo que es un ataque bastante cruel.

De hecho si pruebo con otros valores que no sean números, en este caso concreto incluso puedo llevar a cabo un ataque por Inyección de SQL a la base de datos, y mejor no quieras saber lo que un programador con mala idea puede hacer con esto.

Este es un ejemplo muy sangrante, de acuerdo, pero es de hecho uno real sacado de un correo que recibí esta misma semana. Sólo ayer recibí dos boletines que presentaban este tipo de problemas, que son más comunes de lo que se pueda pensar.

Así que la moraleja es: no tienes que saber de la parte técnica para usar un software de e-mail marketing, pero es muy importante que te asesores por un buen programador o técnico para evitarte problemas en el futuro. De hecho deberías asesorarte con cualquier compra de software que hagas, lo cual es más importante aún cuando éste afecta a tu imagen y a la privacidad de tus clientes.

Por: José Manuel Alarcón Aguín | Thursday, January 24, 2008 11:14:19 PM (Hora estándar romance, UTC+01:00)  #    Comments [0] - Trackback
Tags: email marketing
mailcast
English Version English Version
PUEde acceder a este blog desde su mvil o PDA
Enlaces
:: Krasis
:: MAILCast
Autores
:: José Manuel Alarcón
:: María Capón
:: Pablo Iglesias

Categorías
 
 
 
 
 
 
 
 
 
 
 
 
 
Tags
Atención al cliente (10) Base de datos (7) Boletines electrónicos (16) Casos de estudio, análisis y encuestas (2) email marketing (47) e-marketing (22) Entregabilidad (12) Glosario (9) Legislación (7) MAILCast (13) PRÁCTICOS (17) RSS (8) Spam (13)
Histórico
November, 2008 (1)
October, 2008 (4)
September, 2008 (3)
August, 2008 (2)
July, 2008 (3)
June, 2008 (8)
May, 2008 (9)
April, 2008 (4)
March, 2008 (6)
February, 2008 (6)
January, 2008 (8)
December, 2007 (10)
November, 2007 (12)
October, 2007 (8)
September, 2007 (14)
August, 2007 (7)
Sign In

Send mail to the author(s) Contacto
© 2008, (c) krasis Consulting S.L.