ganó el candidato menos deseado

Así troleó Forocoches otra vez a toda España (y cómo evitar que se repita)

Forocoches lo ha vuelto a hacer: el ganador del programa de Telecinco 'Got Talent' ha sido decidido por los usuarios del famoso foro de internet

Foto: Antonio 'El Tekila', ganador de la segunda edición de 'Got Talent España'.
Antonio 'El Tekila', ganador de la segunda edición de 'Got Talent España'.

Forocoches lo ha vuelto a hacer: el ganador del programa de Telecinco 'Got Talent' ha sido decidido por los usuarios del famoso foro de internet, que se organizaron (una vez más) para votar de forma masiva al candidato más polémico. Todo, como siempre, por las risas. El secreto de su éxito no tiene misterios: miles de internautas compinchados y una web de votación diseñada con poco tino.

La web del programa, para asegurarse de que cada usuario votara sólo una vez, recogía la IP externa junto con el número de votos. "El problema es que esa validación se hacía en el navegador de cada persona antes de ser mandada al servidor de Telecinco", explica a Teknautas el especialista en seguridad Amador Aparicio. ¿El resultado? Que una única persona podría programar un bucle que multiplicara el número de votos máximos para una misma dirección IP.

Aparicio explica otras vías de conseguir lo mismo, como el uso de proxys gratuitos que crea otra IP. Otra posibilidad es un ataque de fuerza bruta en el que miles de usuarios se ponen de acuerdo para votar lo mismo, más difíciles de detectar e impedir porque son votos legítimos. Esta última opción es la que defiende que ha tenido lugar Alejandro Marín, administrador de Forocoches, en un mail enviado a Teknautas.

La validación del voto se hacía en el navegador del propio usuario, así que era sencillo engañar al sistema y repetir la acción en bucle

De una forma u otra, la pregunta es qué puede hacerse para impedir estas votaciones 'amañadas'. Aparicio asegura que existen muchas opciones, desde "un simple captcha" en el que haya que introducir un código de forma manual antes de votar a un sistema de confirmación por SMS. El problema es que cuanto más complicado sea el proceso de votación o más datos personales pida (como mail o número de teléfono) menos gente votará.

"Otro sistema hubiera sido que el 'script' del cliente utilizara más características, como la IP externa e interna, la resolución de pantalla, el tamaño, el sistema operativo y el navegador empleado", añade el especialista. De esta forma, la 'huella digital' del dispositivo será más completa, y se podría determinar más facilmente que se trata del mismo dispositivo. "Un experto en seguridad debería haber analizado la web antes", añade.

Fuentes del sector aseguran que un fallo de 'cookies' como el que ha permitido el troleo es fácil "si existe motivación" en una web como la de Telecinco. "Aunque hayan parado ataques como el del usuario que dice que votó 30.000 veces, los que hayan votado con proxy o con un 'script' no masivo seguro que han sido aceptados". En última instancia, es muy difícil saber la autoría de un voto realizado con este sistema: "No son los Óscars, es sólo un programa de televisión".

Tecnología

El redactor recomienda

Escribe un comentario... Respondiendo al comentario #1
19 comentarios
Por FechaMejor Valorados
Mostrar más comentarios