Archivo de la categoría: empresa

La experiencia de cliente… Malos y buenos ejemplos: Apple y Banco Santander

Posted on por
1

Como mi máxima es siempre aprender algo aunque sea de situaciones ridículas, hoy he decidido tomarme mi nefasta experiencia en la tienda apple de xanadu como una lección de lo que no se debe hacer con un cliente y compararlo, sin que sirva de precedente, con otra buena experiencia de la semana anterior, la que tuvo el banco de Santander con una reclamación sobre su app de wallet. La otra opción era iniciar un flame contra apple o desahogarme escribiendo lo primero que se me pase por la mente y creo, firmemente, que ninguna de las dos cosas habrían ayudado a nadie.

Apple solo piensa en el dinero y, en lugar de mimar al cliente, le hace creer que es un privilegio para él que se le permita tener un dispositivo de su marca. Tanto es así que, a pesar de los precios prohibitivos y los exageradamente inconmensurables márgenes de la compañía hay gente que daría su brazo derecho por tener lo último y más caro. La verdad es que han creado una imagen de marca más parecida a los perfumes caros que a las novedades tecnológicas. No importa que los dispositivos sean técnicamente inferiores o que sus componentes no añadan nada al mercado actual, tiene una manzana detrás y eso ya nos da «caché» para presumir ante los demás y dejar claro el tipo de personas que somos (cada cual que se lo tome como quiera).

El caso es que, si como a mi, se te estropea el chip de video de tu carísimo portatil te cobran 700 Euros por cambiarte toda la placa, a condición de que ellos se queden con la vieja (en caso contrario te cobran 1500 Euros que es más del valor de segunda mano del portatil). ¿Para qué? Evidentemente para sacar otro chip del armario (no más de 30 euros) y meterlo en mi placa, con lo que consiguen otros 700 euros de beneficio con el próximo pringao al que se le estropee. La otra opción, si necesitas un mac, como es mi caso para desarrollar, empieza en 2000 Euros.

Pero, si lo que es peor, compras un iphone 6 de segunda mano, al que el antiguo dueño, incapaz de pagar los 89 Euros que pedían por una batería nueva y ante la mierda de batería que equipaban estos equipos, decide cambiarsela por otra, y tu, inocente, decides ir a la tienda apple para que te cambien la batería por una nueva (sin saber que tenía batería no-oficial) entonces llegarán en la tienda y te harán un corte de mangas

«Servicio denegado» por motivos de seguridad, sus técnicos, que solo trabajan con cosas que han sido compradas a apple, parece ser, se niegan a hacer el cambio (menos mal que no dejé la funda puesta o no habrían podído ni abrir el aparato sin tocar un elemento impuro). Eso si, me han hecho perder una mañanas completa yendo a diagnosticar, esperando tres semanas hasta que han tenido baterías y luego otras cuatro horas desde que dejas el aparato y salen a decirte que te vayas por donde has venido… Una experiencia de usuario «deliciosa» y que le recomiendo a cualquiera. No obstante ya que los problemas son de «seguridad» del personal de apple me ofrezco a comprar la batería y a instalarla yo mismo (solo soy ingeniero con 20 años de experiencia) y la respuesta es igual de gratificante: NO solo se las vendemos a distribuidores oficiales… Cosa que no tiene ningún sentido para aparatos que ya están fuera de garantía y sobre los que apple no tiene ninguna responsabilidad si funcionan bien o mal… Pero así se aseguran de que ellos tienen el control de las piezas y ellos deciden qué clientes tienen derecho a tener sus aparatos y cuales no.

En fin, que sigo teniendo que usar apple porque hay miriadas de snobs que siguen creyendo que porque les cobren 1000 euros van con un pepino en el bolsillo y tengo que desarrollar software para ellos, pero como cliente voluntario Apple ya me ha perdido.

En el otro extremo tenemos al Banco Santander, al que, tras dejar una opinión negativa de la app wallet al no poder pagar en un terminal con ella, se puso en contacto conmigo varias veces, tuve a un operador ayudándome a reinstalar y configurar la app para que todo estuviese correcto y, finalmente, hizo seguimiento de mi caso…Que todavía no se ha arreglado, pero en el fondo creo que se trata de un problema de actualización del sistema del teléfono y que tampoco pueden hacer gran cosa. Lo que si me han demostrado es que se preocupan por su cliente (aunque sea un cliente avanzado como yo, que da más problemas que beneficios) y me han ganado como usuario de sus apps.

Unas diferencias abismales, algo que aprender.

Jazztel te miente

Posted on por
Responder

Me está hirviendo la sangre, la verdad, hacía tiempo que no me sentía tan maltratado como cliente, ni tan estafado como persona. El responsable: Jazztel.

Mi empresa ha tenido durante ya casi diez años a ONO como proveedor de teléfono e internet, somos una pyme y no tenemos grandes necesidades, solo queremos una conexión estable y una IP fija. Eso es así porque para acceder a algunos clientes tenemos que pasar por firewalls que son un poco especiales con los desconocidos… Tras la adquisición de ONO por Vodafone también cambié los móviles (parte de ellos) a Vodafone, aunque fueron incapaces de ponerme en el mismo contrato todos los servicios.. Y eso molesta.

Cuando Jazztel me llamó directamente al teléfono de ONO para hacerme una oferta, lo único que pregunté es: ¿puedo tener IP fija? y el comercial me dijo si, claro que si. Yo, que ya había oído que Jazztel fibra no ofrecía ese servicio volví a preguntar, ¿pero seguro? y el comercial me puso en espera mientras hablaba con su supervisor que, esta vez con más rotundidad me confirmó que «si, claro, para las empresas si que damos ese servicio«. Dado que lo que me ofrecian unía los móviles, el teléfono e internet en la misma oferta y salía mucho más barato que lo que tenía con Vodafone/ONO pues piqué… Y dije que si, me pasaron con un tercer operador que me leyó las condiciones, y me dijo, con toda algarabía que la IP fija estaba incluida y era gratuíta para empresas. Dado que estaba todo ok, confirmé, me enviaron un sms larguísimo con un enlace a otra página más larga todavía con todas las condiciones que yo, como todo el mundo, se limitó a confirmar (supuse que sería lo mismo que me acababa de leer el operador)… Al día siguiente me llaman para fijar la hora en la que se pasará el instalador y, efectivamente, el día posterior, se nos presenta el instalador en la oficina y, no sin problemas, nos deja instalada la fibra (antes de salir pitando que ya se le había hecho tarde).

Verificamos la velocidad, probamos que podemos hacer llamadas (aunque todavía no recibirlas, entiendo que por cosas de la portabilidad) pero vemos que la IP que tenemos asignada es de un rango dinámico de jazztel… ¿Qué pasó con la IP fija? Y aquí empieza el calvario de lo que denominaré la «Experiencia Jazztel». Llamo al teléfono de atención y me desvia al servicio técnico de empresas (porque llamaba desde el mismo teléfono y les proporcioné el CIF), donde el buen señor (ánimo Jesús) me indica que ellos no pueden cambiarme la IP, que me redirije al departamento comercial para que me lo arreglen… Y me desvió a otra persona a la que tuve que volverle a contar todo, que me redirigió a otra que tampoco sabía nada y a la que tuve que volver a contárselo y luego a otra que, tras escuchar mi explicación terminó por colgarme el teléfono… En total habré hablado con 9 o 10 personas distintas de las más variadas nacionalidades y cada cual con su «yo no puedo ayudarle, le paso con…» o «esto no es de empresas, llame a …» o «no me figura que tenga el paquete de empresa, llame a…» Aquí os dejo el registro de llamadas (solo las del fijo, desde el móvil también llamé un par de veces):

Más de una hora y pico perdida… Para, finalmente, toparme que ya eran más de las 18:00 y ya no dan atención comercial (que, se supone, son los que tienen que arreglar el problema)… Con la boca seca de dar tantas explicaciones y cabreado por que ya no me atendían me fui a twitter a ver si allí había alguien que atendiese… Y si, alguien había… Que me indica que me lea lo que me mandaron por SMS a ver si pone algo de IP fija… Lo leo atentamente (más tiempo perdido) y veo que no, que no aparece por ninguna parte, así que, a no ser que hayan grabado las conversaciones con los comerciales que me convencieron para cambiar no tengo pruebas para demostrar que me vendieron una cosa y luego me han enchufado otra… ¿Me mintieron? PUES SI!

¿Qué opciones tengo ahora? Según el testamento ese de condiciones pone que si desisto de la compra tengo que pagar 260 Euros (no se como cuanto de legal es esto) y además un año de permanencia con 110 Euros de penalización (no se si por movil o por contrato)… y dado como está su sistema comercial veo dificil que puedan ponerme IP fija aunque quiera pagarla y aunque fuese esa la única condición que puse para poder cambiarme… Así que, ya lo he aprendido, voy a empezar a grabar yo también a los comerciales para poder tener alguna prueba de que son unos sinvergüenzas que te venden una cosa y luego te dan otra (o unos inútiles que no saben lo que venden)…

Jodido estoy!

ACTUALIZACIÓN (8/03/2018): Jazztel me confirma que son unos estafadores y que me vendieron lo que no me pueden dar:

Parando un ciberataque a tu wordpress

Posted on por
Responder

Este lunes, a eso de media tarde, detectamos en la web de uno de nuestros clientes que estaba recibiendo una cantidad inusualmente alta de intentos de login fallidos. Nuestro cliente, que usa wordpress, tiene un cierto nivel de visitas digamos, importante, lo que le hace un blanco para bots y escaneadores de redes habitualmente, por lo que siempre recibe cierta cantidad de estos intentos fallidos, pero al cabo de unos minutos nos dimos cuenta de que esta vez era distinto… Estabamos en medio de uno de los mayores ataques a sitios wordpress de la historia. Este es el volumen que mostraba wordfence (el plugin de seguiridad que usamos):

Como vemos se llegaron a los 10 millones de ataques y, como dicen en su blog se trataba de un ataque distribuido masivo de fuerza bruta muy importante. De hecho indicaban que:

  • El ataque había llegado a 14.1 millones de ataques por hora.
  • El número toral de IPs involucradas fueron más de 10,000.
  • Se estaban atacando más de 190.000 sitios WordPress por hora.
  • Esta es la campaña más agresiva que nunca hemos visto por volumen de ataques por hora.

La razón que proponían como posible fuente de este ataque fue el filtrado masivo de credienciales que salió a la luz el 5 de diciembre y que dejaba expuestos millones de contraseñas nuevas que poder utilizar en un ataque de este tipo.

Así que, en medio de toda esta vorágine y recibiendo un montón de alertas, teníamos que hacer algo para proteger nuestro sitio, manteniendo el servicio y evitando que los chicos malos se nos colasen hasta la cocina.

Además de tomar las medidas habituales, nosotros escogimos un camino que nadie más podía tomar, utilizar el nuevo plugin wordpress de nomorepass que acabábamos de desarrollar y que todavía no estaba distribuido (ahora ya lo está) y que contenía una nueva opción más que interesante: «Solo permitir el acceso mediante la app».

Con esta simple opción aunque los robots consiguieran un usuario y un password válido para el sitio no podrían entrar, porque solo se permitiría entrar a aquellos que usaron el código qr y la app para enviar sus credenciales. Esta simple medida, junto con el baneo de ips y otras medidas habituales consiguieron devolver la normalidad al sitio y, sobre todo, estar seguros de que no se podían haber colado.

Como ya os he contado muchas veces, la mejor contraseña es la que no conocemos, así evitaremos todos los ataques por ingeniería social y estaremos un poquito más seguro sin tener que cambiar – todavía – la infraestructura de acceso a nuestros sitios.

Por todo ello,  os recomiendo usar nomorepass.

El fin del hacking por ingeniería social

Posted on por
1

La mayor parte de los sistemas de acceso a las webs, correos o cualquier otro sistema informático son técnicamente lo suficientemente robustos para que utilizar métodos de fuerza bruta o criptográficos sea muy, muy complicado (hablo de webs que ya tengan ssl, ordenadores que no tengan keyloggers ni cosas de esas). De hecho los medios para romper una clave rsa que tuvo que poner la NSA (11.000 millones de dólares) no están al alcance de cualquier hacker y, desde luego, no de cualquier hacker que ande por ahí. Sin embargo, se siguen produciendo ataques, filtraciones e intrusiones en nuestras cuentas usando el método más barato de todos: la ingeniería social.

Mediante ingeniería social lo que un hacker hace es tratar de que tu mismo le entregues tus claves o, en el peor de los casos, utilizar alguna clave tuya conocida para derivar la que puede ser tu clave para ese sistema. En 2004 el New York Post publicaba un artículo en el que se describía un experimento por el que un desconocido ofrecía un dulce a cualquiera que le diese la contraseña de su correo… Y el resultado fue sorprendente, 7 de cada 10 personas entregaron la contraseña de su correo. De esta manera da igual que tengamos SSL, TLS, un sistema límpio, y todas las medidas que queramos que mediante ingeniería social cualquier atacante puede descubir nuestras contraseñas. Además, nuestro cerebro no es capaz de recordar secuencias de caracteres aleatorios, o al menos no muchas, por lo que al final solemos usar alguna heurística para tener una sola contraseña y derivar otras en base a esas. Un sistema que conduce, irremisiblemente a regalar nuestras contraseñas a cualquiera que esté interesado por ellas.

¿Cual es mi solución? Muy sencillo, que el usuario no sepa las contraseñas, no es necesario cambiar ningún sistema, ni recordar nada, ni preocuparse lo más mínimo, simplemente olvidate de las contraseñas. Para conseguir esto he creado el sistema nomorepass, que además de generarte contraseñas y almacenarlas de manera segura en tu dispositivo móvil (y solo en tu dispositivo, nada de copiarlo en la nube, ni en nuestros servidores, ni en los ordenadores) te permite enviarlas de manera segura a la web o el dispositivo que la necesita… Todo ello sin que tu tengas que saber cual es la contraseña y, por tanto, sin poder ser presa de la ingeniería social.

Llevando esto al extremo, he desarrollado un nuevo plugin para wordpress que permite hacer los registros de usuario de manera automática, sin tener que elegir un password y que lo almacena directamente y de forma segura en tu app nomorepass. Puedes hacer la prueba registrándote en este blog, simplemente pincha aquí, escribe tu nick y tu email, pincha en el icono de nomorepass y luego escanea el qr con la app usando el botón rojo. ¡voila! ya estás registrado y con tus credenciales en tu teléfono… ¡Y ni siquiera sabes qué contraseña has usado!!

Deja de usar sistemas obsoletos, de escribir las contraseñas en papeles, tener una sola contraseña (con variaciones) para todas tus cuentas o, simplemente, deja de acordarte de tus contraseñas… Usa nomorepass. Es gratis, pero si, además, quieres tener una seguridad extra puedes suscribirte, si dejas un comentario en esta entrada te enviaré un código para que puedas disfrutar de todas las funcionalidades premium durante un mes… ¿Qué esperas?

NoMorePass (y yo) en Hora 25

Posted on por
Responder

Hoy he tenido la oportunidad de salir en el espacio Estartapeando dentro de Hora 25 en la cadena ser hablando de NoMorePass… Pero mejor os lo dejo para que podáis escucharlo a gusto…

Y si tenéis curiosidad, pues nada, a probar NoMorePass y me contáis después lo que opinais.

P.D: Si queréis escucharlo sin la molesta musiquita de fondo (que nos mete la ser cuando nos descargamos el audio), podéis escucharlo aquí: http://play.cadenaser.com/audio/001RD010000004813845/?ssm=fb