Trallero Reiser, sin duda uno de los bloggers más entretenidos del panorama pokeril, se pone serio y nos envía un artículo sobre seguridad de contraseñas la mar de interesante. Muy recomendado, como su propio blog. ¡Gracias!

Dado que últimamente el ambiente está revuelto por el robo de cuentas a un usuario argentino de PokerStars y la inseguridad se respira en el aire, me atrevo a daros unos consejos (en este campo sí que saco pecho y me podeis hacer caso, no lo hagais en cuanto a poker), y un uso con herramientas freeware, a cuento de una conversación por chat que mantuve con Tio Mac, y donde le aconsejaba estos programas que ahora os voy a describir. De hecho, no sólo el uso es aplicable a la seguridad de las cuentas de poker, si no que lo podeis extrapolar al correo, foros, cuentas bancarias a las que accedais a través de internet, y en general, cualquier situación en que necesiteis teclear un usuario y password que esté a buen recaudo.

¿Qué necesito para empezar?

Para el que no tenga, tendrá que invertir la nada desorbitada cantidad de unos 10 euros en una memoria USB de 1 GB (con esta capacidad es más que suficiente), y que os aconsejo que compreis con su correspondiente cadenita o codel para colgaros al cuello. ¿Por qué la cadenita? Porque en un bolsillo de la camisa o del pantalón, se caerá cuando os agacheis o saqueis las llaves del pantalón, y siendo tan pequeñitas, ni cuenta se da uno (hablo por experiencia propia). Así que si teneis una medallita de San Cristobal o la de la primera comunión, a partir de ahora va a tener una nueva compañera. ¿Que por qué os la teneis que colgar al cuello? Porque a partir de ahora haceros a la idea que ese usb va a ser tan importante como la cartera donde llevais un dni que os identifica o una tarjeta de crédito con la que teneis dinero cuando lo necesitais. Sigue leyendo »

• 13 comentarios

El pasado viernes se conoció finalmente la decisión de la Kahnawake Gaming Comission (KGC) acerca del escandaloso caso Absolute Poker -lo peor que sufrió el póquer online durante 2007-, que involucrara a dos empleados de confianza de esta sala, y que la obligara a devolver $1,6 millones a los cientos de jugadores víctimas de las trampas con las ahora famosas (y confirmadas, un triunfo de la comunidad poquerística online) cuentas de superusuario.

La KCG es una organización aborígen autónoma con sede en el territorio Mohawk, en las afueras de Montreal, Canadá, responsable de otorgar licencias que permiten operar a un 60% de los casinos y salas de póquer que existen online (Absolute Poker entre ellos).

Cuando comenzó a desmoronarse la débil defensa que Absolute Poker (AP) intentaba oponer a las fuertes evidencias, la KGC intervino y obligó a la sala a realizar una investigación interna, que comprendía una auditoría independiente. Los resultados de esa investigación pueden leerse en un informe de la KGC (PDF en inglés; 3,51 Mb), de donde les ofrecemos un extracto de las principales conclusiones, y de las sanciones aplicadas a AP:

• Comenzando el 14 de Agosto de 2007, y durante las seis semanas siguientes, varias cuentas fueron utilizadas para ver las hole cards de otros jugadores en las mesas; y las personas responsables fueron removidas de Absolute Poker (AP).
• Después de llevadas a cabo estas actividades, personas relacionadas con las operaciones de AP borraron registros y logs para dificultar la investigación.
• No existe evidencia de que AP haya autorizado o iniciado esas actividades.
• Las autoridades de AP no contactaron con KGC dentro de las 24 horas de ser advertidas.
• AP reembolsó a todos los jugadores, con intereses; pero cualquiera que aún desee presentar un reclamo puede hacerlo hasta 60 días de publicado este reporte.
• AP tomó medidas apropiadas para corregir la "vulnerabilidad en sus sistemas" y así prevenir que esto suceda nuevamente.

En base a esto, KGC impuso las siguientes sanciones a AP:

• Las operaciones de AP estarán sujetas a auditorías aleatorias de los registros y logs durante los próximos dos años, y los costos serán asumidos por AP. Además, el sitio debe implementar un programa de buen desempeño; y cualquier persona/s responsable en cualquier parte del escándalo debe ser removida de cualquier rol en AP.
• AP debe pagar una multa de $500.000 a la KGC, dentro de los próximos 60 días.
• AP debe entregar un depósito de seguridad a la KGC, que lo conservará por dos años, y que será utilizado para compensar los gastos de cualquier posible violación futura de normas, leyes, y/o reglamentos.
• AP debe pagar a la KGC todos los gastos en que se incurrió durante la investigación, incluyendo la auditoría.

Según se lee en Pokerati, los miembros de KGC dedicaron muchas horas de su tiempo a finalizar el informe -que se retrasó debido a la complejidad del caso y de la gran cantidad de datos a evaluar- incluso durante las pasadas festividades. Esto es comprensible, considerando que una mancha de este tipo puede ocasionar muchos problemas legales y económicos a la organización.

• 1 comentario

Earl Burton, de PokerListings, publicó un artículo donde reseña una investigación que realizó en base al reciente escándalo del fallo de seguridad en el software de Absolute Poker.

"Después que el escándalo de Absolute Poker salió a la luz, se produjo un ensordecedor silencio por parte del resto del mundo del póquer online. Algunos jugadores profesionales -en especial aquellos que juegan mucho en Internet- dieron a conocer sus puntos de vista, pero la mayoría de las grandes salas online no se dieron ninguna prisa en garantizar a sus clientes que sus sistemas de seguridad son lo suficientemente fuertes como para impedir que se repita lo sucedido en Absolute.

Con eso en mente, decidí hacer un pequeño experimento: envié una lista de preguntas a varias de las salas de póquer online más populares. Las respuestas fueron variadas, pero tranquilizadoras en general."

Las preguntas se referían a si las salas disponen de procedimientos o softwares de seguridad que impidan que desde fuera los jugadores puedan observar las hole cards; sobre las políticas acerca de sus empleados jugando en la sala; los procedimientos para investigar denuncias de irregularidades; y la vigilancia con respecto al juego "fuera de lo común" en las salas.

El siguiente es un resumen de las respuestas más interesantes (y que es bueno conocer) que obtuvo Burton: Sigue leyendo »

• 2 comentarios

El 8 de Noviembre Absolute Poker emitió un nuevo comunicado de prensa en relación a la investigación interna sobre una falla de seguridad en sus sistemas descubierta gracias a la labor e insistencia de varios jugadores de póquer online.

"Antes que nada, queremos asegurar a nuestros jugadores, una vez más, que el fallo de seguridad que resultara en juego injusto fue corregido inmediatamente después de descubierto y confirmado, y que los sitios de Absolute Poker (AP) son absolutamente seguros.

En este momento todos los jugadores que se sabe han sido afectados por el fallo de seguridad han sido reembolsados totalmente, con intereses. El monto 'ganado' ilícitamente por las cuentas fraudulentas fue de aproximadamente $800.000. El importe reintegrado por AP a los jugadores fue de aproximadamente $1.600.000.

Hasta ahora nuestra auditoría interna ha puesto en evidencia la siguiente información adicional:

• El período conocido de juego ilegal fue de aproximadamente 40 días, comenzando el 14 de Agosto de 2007.
• El perpetrador fue inmediatamente despedido al descubrirse el ardid, y ya no tiene acceso a AP.
• La violación del sistema fue resultado del reciente lanzamiento de un software de reportes interno. La falla era explotable sólo por una persona autorizada de AP que manipuló este software interno, y el software de juego. El fallo de seguridad no era, por lo tanto, resultado de una acción exterior, y ninguna persona fuera de AP podía aprovecharse de ella.
• No existe evidencia de la existencia, presente o pasada, de una cuenta de 'superusuario'. En el sistema de AP no hay cuentas de jugador con la habilidad de ver las hole cards de los otros jugadores.
• Las cuentas que se sabe han participado en el engaño son: potripper, graycat, steamroller, doubledrag, payup, supercard55, y romnaldo. Esas cuentas han sido cerradas. Todos los jugadores que han jugado y perdido dinero durante el período en cuestión contra estas cuentas han recibido un reintegro, más intereses, del monto total perdido.

Sigue leyendo »

• añadir nuevo comentario

Según varios posts en 2+2, Absolute Poker está regresando el dinero a los jugadores víctimas del escandalo causado por un ahora ex empleado que gozaba de mucha confianza -y acceso a sistemas vitales- dentro de la estructura de la empresa.

La situación generó sorpresa en varios de los beneficiados, que no esperaban recuperar su dinero tan pronto, y hasta eran un poco escépticos de esa posibilidad en principio. Al parecer, el reembolso del dinero comenzó el pasado 24 de Octubre, cuando Absolute Poker emitió un nuevo comunicado de prensa informando los avances en su investigación/auditoría interna. En ese comunicado destacan los siguientes puntos:

• El autor de la estafa fue inmediatamente despedido tras ser descubierto, y el caso entregado a la Kahnawake Gaming Commission.
• Absolute Poker subsanó completamente el fallo que permitía que sus sistemas fueran ilegalmente manipulados, y está trabajando para mejorar sus actuales sistemas de seguridad.
• Desde el inicio de la investigación interna las bases de datos han sido bloqueadas para asegurar la integridad de la investigación de los auditores.
• El alcance de la auditoría no se limita a un cierto período de tiempo.
• Se ha identificado el lapso de tiempo donde se sospecha se hizo uso de la falla de seguridad. Este período es reciente y breve. Las fechas definitivas se informarán una vez sean confirmadas por los auditores.
• Un examen minucioso ha permitido comenzar a identificar a todos los jugadores afectados.
• Absolute Poker se compromete a devolver el 100% de las pérdidas sufridas por los usuarios afectados. Absolute Poker ha comenzado el proceso de reembolso a sus jugadores, y continuará haciéndolo lo más rápidamente posible hasta finalizar.
• Incluso después de finalizar la presente investigación, Absolute Poker tiene la intención de seguir trabajando con auditores independientes y empresas de seguridad para garantizar que se mantenga el nivel más alto en la integridad en el juego.
• Absolute Poker está instituyendo estrictas directivas para limitar a sus empleados, consultores, contratistas, y miembros de sus familias, la posibilidad de jugar por dinero real en sus salas.

Mientras Absolute Poker considera que todo está regresando a la normalidad, la policía de Quebec y los funcionarios del territorio indígena de Mohawk no son de la misma opinión. Ambos señalaron a ABCNews.com que iniciaron una investigación de oficio sobre el caso y sobre Kahnawake Gaming Commission (con sede en el territorio Mohawk, en las afueras de Montreal), en base a toda la información disponible. Considerando que la gran mayoría de las salas están licenciadas por Kahnawake Gaming Commission, ¿las consecuencias del caso Absolute Poker serán todavía mayores de lo que ya son para el póquer online?

• 8 comentarios

En los últimos días se reportaron numerosos casos de intentos de phishing a cuentas de Moneybookers, el monedero electrónico del Reino Unido muy popular entre los jugadores de póquer online.

Tal como documenta la Wikipedia, el phishing es una estafa electrónica donde un ladrón de datos (phisher) se hace pasar por una persona o empresa de confianza de la víctima, utilizando una comunicación oficial falsa que le permite obtener información valiosa. Sin saberlo (generalmente hasta que es demasiado tarde), muchos incautos ceden al estafador datos como usuarios y contraseñas, acceso a cuentas bancarias, datos de tarjetas de crédito, etc.

Según PokerSourceOnline, en el caso de Moneybookers se utilizarían correos electrónicos apócrifos donde un tal philip_coelho@verizon.net habría transferido €359.56 a la víctima, urgiéndole a pinchar un enlace en el email para aceptarla. Quienes caigan en la trampa y lo hagan ingresarán a una página muy similar a la de Moneybookers -pero falsa por sus cuatro costados- donde se le solicitarán los datos de acceso a su cuenta. Cualquier información ingresada aquí irá directamente a los estafadores, que no tardarán mucho en utilizarla para limpiar la cuenta.

Otra de las tácticas involucra el reciente caso de Absolute Poker, que los phishers aprovechan considerando que esta sala prometió la devolución del dinero con intereses, y que la cantidad de víctimas parece crecer con cada minuto. En este caso el falso remitente del email sería moneybookers@absolutepoker.com.

El artículo también incluye una serie de pistas que permiten discernir entre las comunicaciones reales y los intentos de estafa en este caso:

• Remitente totalmente desconocido;
• Transferencia inesperada;
• Divisa distinta a la utilizada en la cuenta (por ejemplo, cuenta en dólares y email en euros);
• Solicitud de pinchar un enlace incluido en el email (es mejor ingresar manualmente al sitio);
• Falta de mención del nombre propio en introducciones y saludos.

En este tipo de estafas es donde más queda en evidencia aquello que señala Simón en uno de sus interesantes artículos sobre Seguridad Informática: el usuario final es siempre el punto más débil de la cadena. Por muchas capas de protección que haya, si el usuario es inexperto o se confía demasiado, podrá verse envuelto en problemas que no siempre tienen solución sencilla.

• 1 comentario

WickeChopsPoker publica hoy un artículo donde hace referencia a otro publicado por el portal Point-Spreads, donde se señala que el caso Absolute Poker no sería reciente, y que el monto involucrado no se reduciría a los $700.000 calculados en un primer momento, sino unos escalofriantes $7.000.000, malversados durante al menos tres años.

"Fuentes de Point-Spreads.com en Costa Rica alegan que el timo de la cuenta de superusuario de Absolute Poker se viene realizando desde hace tres años, y que la cantidad real robada a los jugadores online se estima en cerca de $7 millones, y no el monto de $700K que se informó anteriormente. La cantidad real aún se desconoce, mientras se realiza una auditoría interna."

Según Point-Spreads.com, un ex empleado de Absolute Poker les habría confirmado que el departamento de seguridad de la sala habría sospechado algo tiempo atras, pero habrían sido convencidos de que se olvidaran del tema con la excusa de que sólo se trataba de pruebas sobre el sistema, conducidas por los propietarios.

"Nuestras fuentes han confirmado que Scott Tom utilizaba la cuenta de superusuario para sentarse en las mesas como observador, mientras PotRipper ingresaba a los torneos, donde era informado de las hole cards de sus rivales por Tom, para que pudieran ganar el torneo y dividirse el dinero," continúa el artículo. "PotRipper es Alan AJ Green, ex empleado de Nine.com y ahora ex Director de Operaciones de Absolute Poker."

El artículo está ilustrado por una fotografía de quien sería AJ, en compañía de una periodista de Gambling911. Precisamente G911 publica un artículo titulado ¿Quién es AJ Green? donde -además de saberse más de este sujeto- puede verse una fotografía de quien sería Scott Tom. Finalmente, G911 también dice que Absolute Poker va a sobrevivir al escándalo, ya que recaudaría entre $1,5 y $2 millones brutos diarios. "Hay cerca de un centenar de inversores en la compañía para asegurarse que eso suceda," aseguró una fuente a G911.

Regresando a la información principal de este artículo, las fuentes de Point-Spreads.com también dicen saber dónde estaría el dinero.

"El 3 de Septiembre de 2007 un pequeño jet a reacción se incendió antes de despegar del Aeropuerto Internacional Juan Santamaría de Costa Rica. Los dos pasajeros del jet privado eran Scott Tom y su esposa, embarazada (...) El destino del jet era Colombia, y se rumorea que su carga eran $2 o $3 millones en efectivo."

• 1 comentario

Absolute Poker emitió ayer el comunicado adelantado por PocketFives, confirmando oficialmente que sus sistemas tienen problemas de seguridad.

Comunicado Oficial de Absolute Poker

Absolute Poker ha identificado una falla de seguridad interna que ha comprometido nuestros sistemas durante un período de tiempo limitado. La causa de la falla ha sido identificada y totalmente resuelta. Además, todos los recursos necesarios, tanto internos como externos, han sido involucrados para garantizar que esto no vuelva a suceder. Nuestra investigación no ha finalizado aún, y queremos agradecer a toda la comunidad de póquer por toda la ayuda prestada.

La integridad del juego siempre ha sido, y continúa siendo, de suma importancia para Absolute Poker. La administración de Absolute Poker está consternada por el hallazgo, y también comprometida con nuestros jugadores, y la integridad de nuestro sitio y de la industria del póquer online.

Todos los jugadores afectados por la falla de seguridad serán identificados durante el proceso de auditoría que ya ha comenzado, y todos los fondos serán regresados, incluyendo intereses. Absolute Poker quiere pedir disculpas por los sucesos recientes, y se ha comprometido a trabajar solícitamente con empresas de seguridad y de auditoría externas, con toda la comunidad de póquer y con la Kahnawake Gaming Commission para garantizar que la circunstancia sea totalmente resuelta.

En breve se emitirá un comunicado más extenso que incluirá más detalles de la situación.

Absolute Poker Management

Tal como señalaba PocketFives al momento de informar sobre su comunicación telefónica con Absolute Poker, el reconocimiento de la sala señala la culminación de un gran esfuerzo de las grandes comunidades online (principalmente la suya y la de 2+2), donde cada individuo aportó su grano de arena -mayor o menor, pero en definitiva valuable- para llegar a lo profundo del caso.

Todo esto no ha finalizado aún, pero es seguro que el control de los jugadores será mucho más estricto que cualquier auditoría y/o investigación, por más que sea conducida con el mayor celo posible. Es entendible por qué hay quienes quieren regular a toda costa este "conjunto de tubos."

• 9 comentarios