1 puntos por GN⁺ 2024-02-24 | 1 comentarios | Compartir por WhatsApp
  • Un SMS real de FedEx para pagar aranceles e impuestos mostraba señales casi idénticas a las de un mensaje de phishing, y en una encuesta con más de 4,000 participantes, el 87% lo consideró sospechoso
  • El mensaje incluía un shipment number corto, una exigencia de pago urgente, mayúsculas y minúsculas extrañas, ausencia de indicador de moneda y una dirección de pago en bpoint.com.au en lugar de un dominio de FedEx
  • En la pantalla de seguimiento de envíos de FedEx era difícil verificar información sobre duty o tax, y al cambiar solo los parámetros de la URL del enlace de BPOINT variaban el tracking number, el nombre del cliente y el monto
  • Las vías de atención al cliente y la orientación telefónica también fueron confusas, pero un archivo adjunto en un correo recibido 3 días después confirmó la factura de Prusa junto con la orden, el precio y la información de envío, mostrando que el SMS coincidía con una solicitud real
  • Los controles técnicos como el bloqueo de SMS fraudulentos no son suficientes; cuando los mensajes legítimos de empresas se parecen a las características típicas del phishing, el criterio de evaluación de los usuarios se debilita

Cuando una alerta de entrega real parecía phishing

  • Últimamente han llegado muchos SMS de phishing del tipo “no podemos entregar tu paquete”, y algunos pasaron los filtros de la operadora hasta la bandeja de entrada
  • Al evaluar si algo es phishing, suelen revisarse señales como la urgencia, la ansiedad por perder algo y URLs extrañas que no coinciden con la empresa de mensajería
  • Mientras esperaba un envío real de FedEx, llegó un SMS pidiendo pagar duty y taxes, y solo por la apariencia era difícil saber si se trataba de una solicitud legítima o de phishing
  • En una encuesta en X respondieron más de 4,000 personas, y el 87% concluyó que era “dodgy AF”

Señales sospechosas dentro del SMS

  • El mensaje mostraba una escritura rara del nombre de FedEx y una cadena como -Exp, a diferencia de cómo la empresa suele escribir FedEx con la E en mayúscula
  • El shipment number parecía demasiado corto y además coincidía con el número mostrado en la solicitud de pago inferior
  • La expresión urgent funciona como una señal de ingeniería social que empuja a actuar sin pensar lo suficiente
  • El uso de mayúsculas y minúsculas en Duty y Taxes era extraño, y aunque era un mensaje de una empresa global de envíos, no aparecía ninguna moneda ni símbolo de dólar
  • El enlace de pago no usaba un dominio de FedEx ni uno del gobierno australiano, sino bpoint.com.au
  • Dar un contacto de consulta dentro del mismo SMS iba en sentido contrario a la tendencia de NAB de eliminar enlaces de los mensajes de texto

Un proceso difícil de verificar por cuenta propia

  • La recomendación básica ante solicitudes de pago sospechosas es no tocar el enlace del mensaje y verificar directamente en el sitio web correspondiente
  • Se revisó el correo de confirmación de compra de Prusa para buscar los datos del envío y entrar al sitio de FedEx, pero en la página de seguimiento no fue posible encontrar información sobre duty o tax
  • Al seguir el enlace del SMS, el tracking number, el nombre del cliente y el monto podían modificarse arbitrariamente solo cambiando parámetros de la URL
    • Esto era posible sin editar el DOM del navegador ni interceptar tráfico, solo modificando los parámetros del query string
    • Ese comportamiento hacía que pareciera un sitio de phishing, pero BPOINT era en realidad una pasarela de pagos ofrecida por Commonwealth Bank
  • Al día siguiente llegó otro SMS del mismo remitente
    • Esta vez el shipping number estaba incluido en el mensaje y el uso de mayúsculas y minúsculas en duty y taxes había sido corregido
    • PAY NOW aparecía en mayúsculas, y el “enlace” solo tenía parámetros de query string, sin scheme, domain ni path, por lo que no se podía hacer clic para pagar
    • Los nombres de los parámetros del query string también habían pasado todos a mayúsculas, como si hubiera otro proceso de generación o el flujo estuviera roto

Atención al cliente y verificación final

  • Al buscar el número 1800, una página de ese número en Reverse Australia aparecía entre los primeros resultados, y tanto los comentarios como los resultados de búsqueda reflejaban confusión sobre la legitimidad del mensaje
  • En lugar de usar el número del SMS, se intentó verificar por la ruta de Customer Support del sitio web de FedEx
  • La página de soporte se enfocaba en la comunicación por correo y en verificar dominios de remitente, y mostraba un número telefónico distinto al que venía en el SMS
  • Se llamó al número indicado y se ingresó al menú de duty y taxes, pero después de varios pasos el teclado dejó de funcionar y el mismo mensaje se repetía
    • Como alternativa, una grabación indicó llamar al 132610, pero ese era justamente el número al que ya se había llamado
  • Al volver a intentar por otra ruta del menú, el sistema pidió el tracking number, entregó la misma información que el sitio web y ofreció la opción de hablar con un agente
  • El agente explicó que el valor del envío era de US$799 y que, convertido a AU$1,215.97, quedaba sujeto a inbound fees, pero prometió devolver la llamada para confirmar si coincidía con el monto del SMS
  • Tres días después del primer SMS llegó un correo electrónico, y el monto, la dirección de BPOINT y el mensaje coincidían con los del SMS
  • El archivo adjunto del correo incluía la factura completa de Prusa, junto con el número de orden, el precio y los datos de envío, confirmando que el SMS estaba vinculado a una solicitud real

Mensajes corporativos que debilitan la defensa contra el phishing

  • Solo en Australia, las pérdidas por estafas superan los AU$3B al año, y a escala global el problema es aún mayor
  • La ACMA informó que las operadoras bloquearon 336 millones de SMS fraudulentos, pero no se sabe cuántos mensajes de estafa no fueron bloqueados
  • Como los controles técnicos por sí solos no bastan, las personas tienen que identificar estafas por patrones como solicitudes de dinero, urgencia, gramática extraña, uso raro de mayúsculas y minúsculas y URLs sospechosas
  • En este caso, el mensaje legítimo de FedEx incluía precisamente muchos de esos patrones de identificación de estafas
  • En un momento en que las estafas impulsadas por IA son cada vez más difíciles de detectar, si los mensajes de organizaciones legítimas no se distinguen de los de los estafadores, el criterio de evaluación de los usuarios se debilita

1 comentarios

 
GN⁺ 2024-02-24
Opiniones de Hacker News
  • FedEx tiene una de las peores plataformas digitales entre las grandes empresas, y su seguridad también está entre las más flojas.
    Me mudé a un departamento de 10 años y configuré FedEx Delivery Manager; con solo ingresar mi nueva dirección, sin ninguna verificación, pude ver de inmediato las instrucciones de entrega del inquilino anterior, que incluían hasta el código del garaje privado del edificio. Un ladrón podría haber hecho exactamente lo mismo.
    Después de mudarme, intenté agregar una nueva dirección, pero el sitio daba error cada vez. Tras revisar foros, confirmé la hipótesis de que si la contraseña tiene caracteres especiales, algunas funciones del sitio se rompen permanentemente. Hasta el flujo para cambiar la contraseña estaba roto, así que al final mi esposa tuvo que crear una cuenta nueva con una contraseña más débil.
    La empresa en sí es impresionante, pero esto es de un nivel realmente amateur.

    • Me pregunto si de verdad es una empresa tan impresionante. En varias direcciones, mi tasa de entregas exitosas fue de alrededor del 50%, y también conozco a alguien que tuvo problemas similares durante mucho tiempo.
    • Pedí una computadora en el sur de California y pasó por Texas, Florida y Maine antes de volver al norte de California.
      Mis dos pedidos más recientes parecieron haber sido simplemente robados por alguien dentro de FedEx: entraron a una instalación, pero después ya no salieron. Atención al cliente no es más que una máquina de disculpas en el extranjero y no resuelve nada. Antes prefería FedEx, pero el nivel de servicio cayó tanto que ahora la evito a propósito.
    • También me pasó algo más grave. Creé una cuenta de envíos para recibir materiales de envío gratuitos de FedEx, pero por el problema de contraseñas del sitio web no pude crearla; creo que lo evité usando la app móvil, que probablemente usa otro flujo.
      Apenas creé la cuenta, me llegaron facturas de envíos internacionales por miles de dólares de remitentes y destinatarios que no tenían nada que ver conmigo, e incluso se cobraron automáticamente a la tarjeta de crédito registrada. Cuando eliminé la tarjeta, empezaron a llegar por correo facturas impresas gruesas de FedEx.
      Resultó que FedEx permite cargar costos a cualquier cuenta con solo saber el número de cuenta de 9 dígitos, así que los estafadores generan números al azar y hacen esto todo el tiempo. A FedEx no le importó, se negó a aceptar el reporte de fraude y siguió permitiendo envíos fraudulentos adicionales incluso después de reportarlo. Al final, solo cerraron la cuenta después de que hice un contracargo con la emisora de la tarjeta, pero ahora siguen llegando correos de marketing de los que ni siquiera puedo darme de baja. Es una empresa que nadie debería usar.
    • Spectrum no se queda atrás. Hace unos años, un vecino que se estaba mudando escribió por error mi dirección al solicitar una cuenta nueva, y Spectrum amablemente dedujo que el residente anterior quería cancelar su cuenta, así que me cortó el internet.
      En otras palabras, con solo saber una dirección, cualquiera en internet puede hacerle un ataque de denegación de servicio a cualquier persona del planeta.
    • Hace unos años compré un OP-1 de teenage engineering y FedEx lo entregó dentro del buzón. USPS sacó el paquete de FedEx del buzón y lo retuvo en la oficina postal local, sin avisarme absolutamente nada.
      Pasé uno o dos meses esperando, pensando que el paquete había sido robado, hasta que le pregunté a USPS si quizá lo tenían guardado; efectivamente estaba en la “sala de correo no entregable”, y me dieron un largo sermón sobre que era ilegal que FedEx metiera un paquete en un buzón, que es propiedad de USPS/del gobierno.
      Llamé a FedEx para pedir que lo resolvieran, pero según recuerdo no contestaron, o dijeron que no había forma de contactar al repartidor. Desde entonces evito FedEx, y también empecé a evitar UPS después de que me rompieran dos lámparas antiguas que compré en eBay.
  • Cuando mi esposa solicitó una línea de crédito con garantía hipotecaria, alguien que decía llamar del banco se comunicó por teléfono para confirmar si yo aprobaba el préstamo, ya que la casa estaba a nombre de ambos.
    Me pidió mi nombre y se lo di; luego también le di los últimos cuatro dígitos de mi número de Seguro Social, pero cuando enseguida me pidió el número completo de Seguro Social se me encendieron las alarmas. Me inquietó haberle dado aunque fuera los últimos cuatro dígitos a un desconocido que llamó de la nada, así que llamé de vuelta al número que aparecía en el sitio web del banco y pregunté si podían confirmar que él era realmente empleado.
    Él se molestó y dijo que probablemente en el sitio web no habría ningún número que lo conectara con él, y que si no le daba mi número completo de Seguro Social no tendría más opción que rechazar la solicitud de préstamo. Cuando le dije que no podía darle la información si no había forma de volver a contactarlo mediante el número oficial del banco, se enojó y colgó.
    Resultó que sí era un empleado real del banco y efectivamente canceló la solicitud del préstamo.

    • Una vez el banco me llamó para hacerme preguntas de seguridad. Le dije que llamaría de vuelta al número del sitio web del banco, y me respondieron que, si yo llamaba al banco, no había forma de que me comunicaran con el encargado de preguntas de seguridad; la única forma era que ellos me llamaran a mí.
      De hecho, cuando llamé al número oficial, el banco también lo confirmó. Les expliqué que era una mala práctica de seguridad, pero dijeron que bastaba con mirar el identificador de llamadas para verificar que la llamada venía del banco. Explicarles la suplantación del identificador de llamadas no sirvió de nada.
    • Si ya tienes cierta edad, ten cuidado: los últimos cuatro dígitos del número de Seguro Social pueden representar, en la práctica, la mayor parte de la entropía útil.
      Antes de 2011, los primeros tres dígitos indicaban la oficina emisora, y los dos dígitos del medio, el “número de grupo”, se usaban según una secuencia conocida públicamente. La Administración del Seguro Social también publicaba periódicamente una lista con el número de grupo más alto alcanzado por cada oficina.
      Con el cambio fiscal de 1986, se volvió necesario tener el número de Seguro Social del hijo para recibir el crédito fiscal por hijos, por lo que registrar a los niños al nacer se hizo común; para esas personas, los primeros cinco dígitos son muy fáciles de predecir.
    • Esto es simplemente un agente de préstamos extremadamente incompetente y grosero. Normalmente los agentes de préstamos cobran comisión, así que tienen un fuerte incentivo para cerrar la operación y conseguirte el cheque.
      Si enojan al cliente no cobran esa dulce comisión, así que suelen ser amables. El último agente de préstamos con el que hablé cerraba más de 1,000 millones de dólares al año en hipotecas, y también por teléfono fue realmente amable.
      En un caso así, podrían haber hecho que enviara un correo desde una dirección oficial del banco, o que usara la propia aplicación web o el sistema de mensajería del banco.
    • Me pasó algo parecido. Transferí una suma bastante grande de una cuenta bancaria a otra, y unos minutos después recibí una llamada de un número que parecía ser el de “prevención de fraude” del banco receptor.
      Al contestar, la persona al otro lado tenía un acento muy marcado, del tipo que se oye a menudo en llamadas fraudulentas, y me preguntó si había hecho una transacción reciente; luego dijo que, para verificar esa operación, tenía que proporcionar datos personales adicionales como mi dirección particular y mi número de Seguro Social. Cuando me negué, dijo que bloquearían la cuenta.
      Efectivamente bloquearon la cuenta, tuve que ir en persona a una sucursal para desbloquearla, y además tuve que demostrar que el dinero que intentaba transferir realmente estaba en la otra cuenta. No tenía ningún sentido. No era una cuenta nueva y ya había transferido dinero antes entre esas dos cuentas; no tengo idea de qué fraude estaban intentando prevenir.
    • En los términos de mi banco dice que no debo entregar a terceros información secreta como el PIN o contraseñas de un solo uso, ni siquiera a empleados del banco.
      Pero cuando pregunté por una práctica que parecía phishing, me dijeron que no había problema porque era un sitio web “legítimo” que pedía ingresar las credenciales para ver el historial de transacciones de los últimos 180 días, calcular el puntaje crediticio y luego retirar dinero. También dijeron que revisarían la situación con la empresa alemana para ver si había una mejor solución.
      Parece que un proveedor de pagos llamado klara o klarna es bastante popular en Alemania, pero no entiendo que un banco cambie unilateralmente sus términos relacionados con la seguridad. Claro que, si le das información secreta a la persona equivocada, la culpa será tuya, y si tu número de Seguro Social termina en manos de estafadores, al banco no le importará.
  • Hace unos meses, un correo que recibí del centro de TI de la empresa era más sospechoso que cualquier correo de phishing que haya recibido
    Venía de un dominio genérico como @itservice.com, que no se parecía en nada al dominio oficial de la empresa, y el asunto era “URGENT: your account is expiring soon”. En el cuerpo había varios enlaces, todos difíciles de leer y larguísimos, de varias líneas, y ninguno tenía un dominio directamente relacionado con la empresa
    No había forma de resolverlo salvo hacer clic en el enlace, ni alternativas como “ir a la configuración de la cuenta” o “consultar con tu jefe directo”. Pero era un correo real. Como referencia, es una empresa de unos 100 mil empleados

    • Nuestro departamento de TI hizo exactamente lo mismo con una contraseña de m365 que estaba por vencer. No usaron el dominio de la empresa, había muchos errores tipográficos y la URL estaba ocultada detrás de un acortador de enlaces raro
      Ese mismo equipo obliga a cambiar la contraseña cada 6 meses y también impide reutilizar las últimas 20 contraseñas. Son contraseñas que hay que escribir manualmente de 10 a 20 veces al día en sistemas que no permiten invocar directamente el gestor de contraseñas. Es obvio cómo será la fortaleza promedio de las contraseñas de los empleados
      Creo que la incompetencia de TI debería llevar a una auditoría fallida y, mejor aún, debería ser causal de deslistado bursátil
    • Los bancos también hacen esto. A los pocos minutos de comprar algo, recibí un correo extremadamente fraudulento que parecía venir del banco. Tenía un GIF de baja calidad y me pedía hacer clic en un enlace a un sitio aleatorio que no era del banco, como purchase-verification-users.net/235532/confirm.html; al buscarlo, el sitio no aparecía
      Al mismo tiempo, me llamaron desde un número aleatorio para confirmar algunas compras, y al buscarlo vi que no era un número del sitio web de mi banco
      Corté y llamé directamente al banco; después de 10 minutos dando vueltas por el contestador automático, un asesor me confirmó que ese número efectivamente se usa para contactar a clientes. Cuando pregunté por qué no estaba en la lista de números publicada en el sitio web, dijo que a menudo también llaman desde números que no publican en línea
      Cuando pregunté si el correo lo había enviado el banco, me dijeron que si en la línea del remitente decía que era el banco, podía hacer clic, pero que no tenían información sobre si ellos habían enviado realmente ese correo. Era básicamente: si el remitente no es el banco, no hagas clic; si es el banco, sí puedes
    • En una empresa de ese tamaño, el centro de TI tendría que haber presionado el botón “Report Phishing attempt” instalado en el cliente de correo
      Lo digo con algo de sarcasmo, pero si una empresa de ese tamaño ni siquiera tiene un medio para reportar phishing, tiene un problema más grave que una campaña de correos sospechosos
    • La capacitación de seguridad de la empresa enseña a revisar cuidadosamente las URL de los correos recibidos, pero el software de seguridad de la empresa reescribe todas las URL de los correos entrantes
      Si el objetivo es revisarlas de forma centralizada, quizá sea un compromiso razonable hasta cierto punto, pero reduce muchísimo mi capacidad de evaluar la legitimidad de un correo. Como mínimo, deberían actualizar el contenido de la capacitación
    • Mi empresa se dedica a hosting y PaaS, y una persona que nunca había visto en el mensajero interno me pidió “por favor” ejecutar algunos comandos como root y enviarle los resultados
      Al principio me impacté e hice una revisión de seguridad de la información, pero resultó ser un “recién llegado” que necesitaba recopilar información del sistema para un inventario de equipos. Todavía no tenía acceso a las herramientas de administración de red y, como no entendía bien por qué era mala idea ejecutar curl ... | sh a ciegas, pensó que estaría bien pedirle a la gente la información directamente, por partes
      Estas cosas pasan de verdad
  • Hoy vi en Reddit una publicación sobre un banco alemán que envió por correo una memoria USB con los nuevos términos y condiciones: https://www.reddit.com/r/de/comments/1ax7ky3/milde_interessa...
    Es de esas cosas que no se pueden inventar

    • Me gustó ese comentario: “Trabajo como responsable externo de CyberCyberCyber en alguna organización del grupo Sparkassen, y puedo garantizar que nadie con la más mínima relación con la seguridad de la información bancaria escuchó nada sobre esta idea de marketing”
    • Me niego a creer que esto sea real. Como mecanismo de defensa psicológica
    • La legislación de la UE exige que este tipo de documentos se entreguen en un “soporte duradero
      Parece que algunos bancos o instituciones financieras interpretan eso de forma extraña. En otros lugares, un archivo adjunto por correo electrónico parece ser suficiente
    • Según la traducción de ChatGPT, dentro del USB había “términos y condiciones, lista de precios y servicios, condiciones”, y era un aviso de Sparkasse Bremen AG que decía: “la lista de precios y servicios, los términos y condiciones y las condiciones adicionales vigentes a partir del 1 de mayo de 2024 se pueden consultar en la memoria USB”
    • Algunos bancos alemanes incluso crearon servicios de almacenamiento de pago con varios planes
      Tienen la obligación de entregar documentos a los clientes, pero la gerencia interpreta ese requisito de manera extraña, y les venden las soluciones e ideas más absurdas
  • Cuando compré un auto, unos meses después recibí un correo que decía que, como no había demostrado tener seguro, debía visitar un dominio que no pertenecía al banco y enviar la prueba
    El correo parecía una hoja membretada escaneada de forma torpe y se veía realmente sospechoso. Después de recibirlo varias veces, finalmente contacté al banco y resultó ser real
    Intenté explicarle a una persona encargada, con escritorio propio y no a un empleado de ventanilla, por qué esta situación era mala, pero no lo entendió. Poco después pagué ese préstamo y dejé ese banco

    • Me pasó algo parecido con una hipoteca. Recibí una carta con una redacción extraña que decía que tenía que ir a cierto sitio para actualizar o confirmar la información del seguro de la vivienda
      Llamé a mi corredor de seguros y resultó que la solicitud era real. Le expliqué que, según todas las señales de alerta, esa carta estaba apenas a unos pasos de una estafa del príncipe nigeriano, pero no parece que haya cambiado mucho
  • El artículo en sí era excelente, pero el primer SMS era tan espantoso que FedEx habría hecho mejor en decirle al destinatario que le girara los aranceles a un príncipe nigeriano.
    Dicho eso, no estoy del todo de acuerdo con la dirección de las recomendaciones de Troy Hunt. La premisa básica debería ser que, en general, las personas no pueden distinguir entre mensajes reales y mensajes de phishing. Con la IA, esto será aún más cierto en el futuro, y depender de distinguir esas características es una falla fatal.
    En cambio, nunca hay que depender de enlaces externos ni números de teléfono dentro de un mensaje recibido. Hay que buscar la dirección o el número de teléfono por cuenta propia e iniciar sesión en el servicio correspondiente. Colgar, buscar y volver a llamar debería ser una consigna absoluta.
    Las organizaciones responsables deberían declarar que nunca incluirán enlaces ni números de teléfono en mensajes de texto, correos o llamadas, y en las notificaciones solo deberían decir algo como “Para más detalles, inicia sesión en el panel de control”.

    • No creo que Troy Hunt esté recomendando eso. Desde el comienzo del artículo, con la broma de “pero yo soy un humano inteligente y no caigo”, invita a leer por qué los humanos somos malos con las URL.
      Claramente considera que distinguir URL fraudulentas mediante heurísticas no es un enfoque escalable a largo plazo.
    • Decir “con la IA será aún más cierto” implica que todavía hubiera margen para empeorar.
      Los humanos ya fallan alrededor del 95% al identificar phishing. Las personas ya pueden replicar con precisión correos reales, sitios web, mensajes de texto, etc.; no hace falta IA.
    • Esto es una restricción mayor de lo necesario y es poco amable con usuarios que no dominan la tecnología, están distraídos, ese día se sienten mal o simplemente son un poco torpes.
      Se pueden incluir enlaces, pero que pertenezcan al dominio principal y que sean cortos y visibles: https://example.com/contact
      Si el usuario no inició sesión, primero se le puede mostrar un flujo de inicio de sesión que explique: “Si recibiste un mensaje de nuestra parte, inicia sesión para ver más detalles”, e incluir también un formulario de contacto, número de teléfono o chat de soporte si existen.
      Los sitios de phishing también pueden imitar eso hasta cierto punto, pero no hay razón para obligar al usuario a descubrir por sí mismo cómo resolver el problema.
    • No hay de qué preocuparse. Según algunos jueces y funcionarios electos, basta con preguntarle a ChatGPT si un mensaje sospechoso fue creado por IA.
  • Esto sí es resultado de incompetencia organizacional, pero en algún momento tuvo que haber una persona que ingresó el contenido de esa plantilla de SMS en algún sistema informático.
    De verdad me pregunto qué estaba pensando esa persona al encadenar las palabras de esa manera. Habría que esforzarse de verdad para hacerlo peor.

    • Esas “palabras” probablemente eran plantillas anidadas, así que en la etapa de ingreso era muy difícil entender cómo se vería el resultado final.
      En tecnología hay muchas personas con buenas intenciones que hacen sin colegas ni revisores cosas un poco complejas para que una sola persona las ejecute. En grandes empresas incluso hay equipos y departamentos enteros en ese estado.
      Puede que esa persona no fuera completamente incompetente, sino incluso la ingeniera estrella del equipo, y que los demás se quedaran callados porque pensaban que no tenían nada que aportar. Los realmente buenos probablemente se habrían ido a algún proyecto nuevo y atractivo en otro piso, o a un equipo élite de “refactorización”, y no habrían dedicado tiempo a cosas como actualizar plantillas.
    • No hace falta asumir que fue una sola persona.
      Una persona pudo haber escrito el texto y otra haber pedido cambios parciales en un ticket de Jira. Pero el tipo de dato no coincidía con lo que pidió quien lo redactó, y el desarrollador, para no lidiar con eso, simplemente lo desplegó.
      O quizá el mensaje estaba compuesto por varios if separados, y solo el resultado final se le entrega al cliente. Si nadie ve el mensaje completo y cada quien solo ajusta una pequeña parte dentro de su propia condición, suelen salir mensajes de log horribles.
      Alguna vez trabajé con código que generaba un mensaje muy detallado sobre por qué había ocurrido cierto error, pero luego descubrí que la mayor parte de eso nunca llegaba al cliente. Porque más adelante alguien reasignaba la variable en vez de usar +=. Se habrían podido evitar muchísimos tickets de soporte.
    • También se dice que los estafadores son muy inteligentes y usan deliberadamente todas las técnicas que atacan nuestras debilidades psicológicas, pero el 90% de las veces parece que simplemente recibieron la instrucción de escribir un mensaje que “suene oficial”.
      La persona hipotética que escribió esta plantilla probablemente intentaba hacer lo mismo, y por eso el resultado terminó pareciéndose tanto. Usar “urgent” o poner “Duty” y “Taxes” con mayúscula inicial parece haber sido un intento de sonar más formal y oficial, y claramente no era alguien con experiencia escribiendo.
    • La palabra “incompetencia” es interesante.
      El viejo adagio sobre incompetencia y malicia te obliga a elegir una de las dos, pero en realidad es más correcto ver que hay un espectro entre ambas y varias dimensiones para explicar intenciones conscientes e inconscientes.
      En el escándalo de Post Office del Reino Unido se puede ver malicia apilada sobre incompetencia, y luego más incompetencia encima. En algunas organizaciones, posturas claramente dañinas se redactan como “política”. A menudo esto cae bajo “PR”, y en el futuro se usará más “IA” para ocultar la malicia y evitar revisiones.
      Fue potente la escena del último episodio del drama de ITV en la que Toby Jones, interpretando a Alan Bates, dice sobre la incompetencia y el mal: “son lo mismo”. En algún punto, la diferencia entre incompetencia y maldad desaparece. Se puede escuchar una discusión psicológica más profunda aquí: https://cybershow.uk/episodes.php?id=23
      Material relacionado: https://en.wikipedia.org/wiki/Mr_Bates_vs_The_Post_Office, la definición de relaciones públicas de Edward Bernays plantea un credo de engaño, manipulación y desinformación que es exactamente lo opuesto a la seguridad: https://en.wikipedia.org/wiki/Public_Relations_(book)
  • Coincide bastante con mi experiencia con FedEx. Me enviaron una factura 7 meses después de haber recibido el paquete, y unos días después llegó una carta de cobro sin la información necesaria para pagar
    La factura pendiente podría haberse perdido, pero omitir la información necesaria es bastante flojo y tonto. Me dijeron que fuera a www.fedex.com y creara una cuenta, así que la hice, pero no sabía nada sobre mi factura
    Por casualidad encontré la factura original, y en esa factura enviada con 7 meses de retraso decía, en letra diminuta, “pago inmediato”. En mi país normalmente son 30 días, así que era la primera vez que veía esa expresión en una factura. Por supuesto, también enviaron una segunda carta de cobro 10 días después de que yo pagara

    • En algunas empresas es una práctica común
      Si manejas por una autopista de peaje en Texas, no hay casetas donde puedas pagar en el lugar, y 6 a 12 meses después te llega por correo una factura que dice “quinta y última advertencia”. Algo así como que pagues 4 dólares de peaje y 80 dólares de recargos por mora
      Estoy seguro de que quienes operan eso tienen amigos o familiares en la legislatura de Texas
    • A mí me pasó algo parecido: lo primero que supe fue que mi cobro de aranceles había pasado a una agencia de cobranza
      Me llegaron montones de mensajes intimidantes sobre cobranza de deudas, pero sin ninguna explicación salvo que estaba relacionado con un paquete de FedEx
  • Es un problema real que surge cuando muchas cosas se tercerizan a proveedores externos de cloud
    Antes, si venía de la intranet de la empresa, estaba bien. Ahora las encuestas, las capacitaciones y el nuevo proyecto de moda llegan todos desde dominios externos de identidad desconocida, y te piden iniciar sesión ahí con tus credenciales corporativas
    Mi empresa hace campañas de “phishing falso” para convertir el reconocimiento de correos de phishing en una especie de juego y mantenernos atentos, pero no debería hacer falta algo así para tareas corporativas legítimas

  • Como propuesta legal: si una notificación electrónica de una empresa parece phishing al punto de que una persona razonable tendría motivos claros para dudar de su legitimidad, todas las consecuencias económicas y legales de ignorarla deberían recaer en el remitente
    Aquí, “remitente” se refiere a quien envió la notificación electrónica

    • En cuanto una ley empieza a definir expresiones como “razonable”, se vuelve un pantano
      Puedes asumir que por cada vez que aparece la palabra “razonable” en una ley, ya se gastaron o se gastarán más de 1.000 millones de dólares en honorarios de abogados
    • A mí casi me mete en problemas algo así. Un “banco”, del que yo no era cliente, me enviaba mensajes una y otra vez diciendo: “urgente, responda este formulario con sus datos personales o bloquearemos su cuenta”, y parecía bastante una estafa
      Más tarde recibí una carta física con el mismo contenido, llamé al banco y resultó que allí había una cuenta que guardaba fondos de pensión provenientes de un empleador anterior
    • En este caso, la consecuencia es que la agencia del gobierno australiano que cobra el impuesto sobre la renta no recibe el dinero
      Entonces esa agencia no le entrega el paquete a FedEx y, al final, tú no recibes el paquete. FedEx debería hacer estas notificaciones mucho mejor y, como mínimo, contratar a un redactor
    • De hecho, la consecuencia ya recae en el remitente. Si no se cumple, según el país y el tipo de mercancía, el paquete se destruye o se devuelve
      Es una lástima que no haya una forma fácil de pagar los impuestos por adelantado y que tengas que dejar al azar si te toca inspección. Menos mal que la UE ordenó este problema y casi ya no hay sorpresas raras. Salvo con Estados Unidos y Reino Unido
    • La gerencia probablemente sobrerreaccionaría e implementaría una autenticación de 100 pasos, y exigiría contraseñas de 30 caracteres con símbolos Unicode obligatorios