Cablemás intercepta y altera conexiones para inyectar sus anuncios

Nota: Este post lo escribí hace varios meses, pero decidí no publicarlo hasta recibir alguna respuesta favorable por parte de Cablemás. Hasta el momento todo han sido negativas y largas. He agotado mis opciones. Por este motivo el artículo se verá un poco «obsoleto», por ejemplo, no menciono los anuncios de la pizzería.

Así se ve el anuncio una vez inyectado en la página Web. El censurado lo hice yo. Click para agrandar.

Así se ve el anuncio una vez inyectado en la página Web. El censurado lo hice yo. Click para agrandar.

Lo dicho. Visitando Identi.ca observo esto en el navegador. Me sorprende porque ya había oido hablar de casos similares, así que mi primera sospecha fue, desafortunadamente, la acertada: mi proveedor de Internet (o ISP, como se abrevia en inglés), Cablemás, está inyectando anuncios en páginas Web. Esto no sería más que una simple molestia de no ser porque, para lograr esto, necesita interceptar las conexiones Web y modificar el contenido que un sitio me arrojaría normalmente.

Inicialmente había considerado explicaciones alternas, pero todas fueron aún menos probables y fácilmente descartables: que Cablemás e Identi.ca se hubieran asociado para mostrarse anuncios; que Identi.ca hubiera comenzado a participar en una red de publicidad; que mis navegadores estuvieran comprometidos…

Al final, después de varios días, he comprobado que ocurre con cualquier sitio, incluso los míos. No importa qué navegador sea, no importa qué sitio sea, los anuncios se inyectan por igual. No hay forma de prevenirlo, pues el anuncio forma parte del contenido del sitio. Deshabilitar JavaScript no ayuda del todo porque, obviamente, tendría que desactivarlo para todos los sitios, incluso en aquellos donde su funcionamiento es imprescindible (Facebook, Twitter…).

Cabe aclarar que, hasta el momento, los anuncios sólo han sido sobre Cablemás mismo o su programación. Digamos, ya recibí uno de WiFi y uno de America’s Next Top Model. Lo están usando más como sistema de avisos publicitarios.

¿Cómo puede realizarse esto?

Esquematización de cómo normalmente se haría esta intercepción

Esquematización de cómo normalmente se haría esta intercepción. Click para agrandar.

Hay múltiples formas de implementarlo. Puede ser por medio de un dispositivo hecho por ellos mismos o que hayan adquirido una «solución» de un tercero para lograrlo. En este caso es por medio de un proveedor llamado «FrontPorch». Independientemente del caso, el dispositivo se instala dentro de su red y se le envían las conexiones candidatas a ser modificadas. Según la configuración del equipo puede ocurrir una de dos cosas: que se dejen pasar de forma transparente (por ejemplo, si el contenido no es HTML o si no hay anuncio configurado en ese momento) o que se inyecte un anuncio en esa sesión.

Supongo que, según el fabricante, funcionaría a modo de proxy o como un ataque man-in-the-middle por medio de Inspección Profunda de Paquetes. En cualquiera de las dos formas se podría dar la alteración de contenido.

¿Qué alteraciones se producen en la página visitada?

Nota: La ingeniería inversa realizada está aún incompleta y no ha revelado la totalidad del proceso de inyección de manera contundente. La información encontrada hasta el momento es suficiente para establecer que existe una alteración al contenido original y que esta alteración es inyectada por Cablemás; sin embargo, la descripción de funcionamiento puede estar incompleta o incorrecta. También, las URL de referencia pueden cambiar en cualquier momento.

El contenido HTML de la página visitada es alterado para que incluya fragmentos nuevos de código. El más importante es:

<script src="http://200.77.213.17/static/FloatingContent/243/floating-frame.js" type="text/javascript"></script>

Este código inserta un IFRAME el cual, una vez completado el script, queda de la siguiente manera:

<html>
  <head>
    <meta http-equiv="content-type" content="text/html;charset=utf-8">
    <style>html{color:#000;}body,div,h1,h2,h3,h4,h5,h6,p{margin:0;padding:0;}img{border:0;}em,strong,var{font-style:normal;font-weight:normal;}h1,h2,h3,h4,h5,h6{font-size:100%;font-weight:normal;}sup{vertical-align:text-top;}sub{vertical-align:text-bottom;}body{font:13px/1.231 arial,helvetica,clean,sans-serif;*font-size:small;*font:x-small;}</style>
    <style>html,body{margin:0;padding:0}</style>
    <title></title>
    <style>.top{position:absolute;height:18px;top:0;left:0px;width:370px;z-index:2;z-index:2147483642}.close{overflow:hidden;position:absolute;top:0px;right:0px;width:18px;height:18px;background-image:url(http://200.77.213.17/static/FloatingContent/static/x18.png);background-position:0 0;zoom:1;z-index:2147483646;}.close:hover,.close:active{background-position:0 -18px;}#iwrap{position:absolute;top:18px;right:0px;bottom:0px;left:0px;}iframe{overflow:hidden;border:none;position:relative;overflow-x:hidden;overflow-y:hidden;z-index:2147483647;width:100%;height:100%;}</style>
  </head>
  <body>
    <div id="fpid" style="z-index: 2147483646; position: static">
      <div id="iwrap">
        <iframe name="scale=1&mobile=false&origin=http://identi.ca&apiurl=http://200.77.213.17/static/FloatingContent/api.js" style="height: 100%; width: 100%; border-top-width: 0px; border-right-width: 0px; border-bottom-width: 0px; border-left-width: 0px; background-color: rgb(255, 255, 255); display: block" frameborder="0" scrolling="no" src="http://www.estuidea.com.mx/FrontPorch/hotspot.html" height="100%"></iframe>
      </div>
      <div class="top"></div>
      <a href="#" class="close"></a>
    </div>
  </body>
</html>

También se presenta una alteración en el CSS para el posicionamiento del anuncio, pero no he logrado determinar si es inyectado por el SCRIPT o por el FrontPorch.

Sobre FrontPorch

Página de FrontPorch (frontporch.com)

Página de FrontPorch (frontporch.com)

En uno de los fragmentos de la URL del anuncio se aprecia la palabra «FrontPorch». Según dice en su sitio, y traduzco del inglés:

FrontPorch ofrece a los proveedores de banda ancha móvil y residencial una solución basada en red de mensajería por navegador. Esto se logra por medio del navegador sin software del lado del cliente y es más efectivo que el correo electrónico, más rápido que el correo tradicional y más accesible económicamente que las llamadas telefónicas.

Aunque esto podría tener usos legítimos (y hasta útiles) cuando se trata de empleados de una empresa (siempre y cuando sean notificados) o usuarios bajo el mismo dominio administrativo (una red gratuita de un café Internet), FrontPorch específicamente se dirige a proveedores de servicio de Internet. Naturalmente, esto pierde toda legitimidad cuando se abusa de este concepto para alterar comunicaciones de suscriptores de paga.

En el «About», mencionan y presumen la patente #6,442,577. Su contenido describe el proceso de alteración. Habla de que «combina el contenido de un ISP y un ICP», es decir, del proveedor de servicios y de contenido. La única forma de combinar tal información es alterando la comunicación entre el cliente y el servidor final. También muestra una imagen para indicar la disposición del contenido del ISP sobre el contenido del ICP, tal como ocurrió en mi navegador.

Tienen en YouTube un video mercadotécnico para explicar su tecnología.

Argumentos (y defensa ante argumentos que he recibido)

  • Es un servicio de paga. No hay por qué agregar anuncios como si se tratara de un servicio de Internet gratuito. Tal vez si Cablemás ofreciera, bajo un proceso verídico y ético una opción de descuento a sus clientes a cambio de los anuncios, tal vez podría comprenderse. Claro está: que no se entienda esta aseveración como «paga X dinero extra si no quieres anuncios», porque entonces ya no fue un descuento sino un cargo extra sobre un contrato previamente acordado. Ejemplo: cuando uno descarga una aplicación para el celular, trae anuncios para hacer rentable el programa gratuito. Yo puedo optar por comprar la versión de paga y que eliminen esos anuncios. Lo mismo con otros servicios Web gratuitos.
  • Alteración al contenido entregado. Un proveedor de Internet no debe intervenir las comunicaciones privadas de ningún modo. Es responsabilidad de cualquier proveedor de Internet asegurarse de transportar el contenido íntegramente; cuando mucha excepción, las técnicas de aceleración Web y las variaciones y errores de bits que pudieran presentarse por naturaleza de la física y las telecomunicaciones. Fuera de ahí, yo percibo estas alteraciones como una invasión a mis comunicaciones privadas. Ejemplo: En correo postal, un cartero está legalmente imposibilitado de abrir un sobre destinado para mí, aún si fuera sólo para incluir un volante sobre el servicio de correos. Aunque el punto queda establecido, es claro que la comparación debe tomarse con cierto criterio.
  • Si en Cablemás confío poco, en FrontPorch confío aún menos. Obviamente debo confiar en Cablemás y sus proveedores cuando se trata de la entrega del servicio, puesto que ellos permiten el transporte mis datos y mi conexión a Internet. Sin embargo, no estoy obligado a confiar en FrontPorch, y su reputación es, hasta este momento, estrictamente desconocida.

¿Hay forma de prevenirlo en el navegador?

Sólo se puede prevenir la visualización del anuncio, bloqueando la comunicación hacia la dirección 200.77.213.17, ya sea por medio de un cortafuegos perimetral (una regla de control de acceso en el gateway) o editando el archivo hosts en cada una de las máquinas. Obviamente, esta dirección puede cambiar en un futuro.

Además, el dispositivo FrontPorch bien pudiera tener la capacidad de inyectar el anuncio directamente sin necesidad de un SCRIPT, ya sea dentro de un DIV o un IFRAME en la página.

La alteración del contenido (que es la escencia de la gravedad) es absolutamente imprevenible. Cablemás tendría que ofrecer un mecanismo para la exclusión de sus suscriptores de este sistema, o eliminarlo por completo.

Bueno… para ser estricto existen un par de opciones, siendo la más simple de ellas configurar un proxy Web a nuestro navegador. Naturalmente esto debería no ser necesario en un servicio de paga e implica hacerle llegar nuestro tráfico a un tercero, potencialmente de menor confianza. También, pasar nuestro tráfico por un proxy puede afectar el desempeño y funcionamiento de sitios (casos muy específicos). Realmente no considero que sea una opción.

Otro caso del mismo tipo

En 2008, se dio un caso similar con British Telecom (BT), Virgin Media, TalkTalk y Phorm. Tiene varias diferencias, por ejemplo, este caso era aún más invasivo, pues, al ser personalizada la publicidad, implicaba un barrido activo del contenido de las páginas y su análisis para determinar un perfil de suscriptor.

Traduzco un fragmento del artículo BT y Phorm: cómo se desarrolló un escándalo de privacidad en línea, escrito en The Telegraph:

También surgió que el Home Office [«Oficina de Asuntos Internos»] asesoró a BT y Phorm que el sistema sería legal bajo las leyes de intervención de comunicaciones [«wiretapping»] si se obtenía consentimiento. No habían hecho intentos por obtener consentimiento durante las pruebas de 2006 y 2007, a las que los documentos internos se referían como actividad «sigilosa».

El furor de privacidad resultante no tuvo precedentes. Una ejecutiva de BT apareció en el programa de televisión «BBC Breakfast» para insistir que no había leyes rotas, pero expertos legales independientes se formaron contra su afirmación. Un vocero de prensa de BT describió posteriormente este período como «el año de la más intensa y ‘destructiva de reputación personal’ guerra de trincheras de relaciones públicas».

Comentarios de Cablemás

Después de múltiples llamadas, Cablemás ya confirmó que se trata de una «nueva modalidad» para entregar anuncios a sus sucriptores y que, en promedio, se envían una vez por día.

En cuanto a una solución, lo más que he podido acercarme, es la oferta de un supervisor de Soporte Técnico, en la que invita a que si otras personas están inconformes con esta «nueva modalidad», marquen a Soporte Técnico y manifiesten su inconformidad. Esto podría arrojar una estadística sobre la aceptación del mecanismo de publicidad.

Sin embargo, realmente no ofrecen solución alguna vía telefónica, más que «cerrar el anuncio por medio de la X», o explicaciones como «otras páginas también ofrecen anuncios»; argumentos por demás falaces.

Otras discusiones

Comentarios adicionales y conclusiones

La intercepción como tal no es necesariamente un problema. Puede haber intercepción con el propósito de acelerar la entrega de contenido (comúnmente conocido como aceleración Web) por medio de un servidor proxy como Squid. El problema viene cuando se altera la comunicación con fines ajenos al simple desempeño del servicio, como sería la alteración del contenido, vigilancia (sea cual fuere, sin excepción), etc.

Insisto en que la herramienta como tal no es el problema, sino el enfoque que la compañía FrontPorch le da, y el abuso en el que Cablemás incurre al usarlo de esta manera.

Considero que este es el principio de una práctica potencialmente ilegal que paso a paso podría ir incrementando su alcance hasta llegar a ser un caso como el de BT/Phorm.

Al final, yo me pregunto: ¿para qué existe entonces el correo electrónico? Cablemás bien podría enviarme promociones y anuncios a mi buzón de correo electrónico. Obviamente, estaría bajo mi opción manifestar mi interés o desinterés en recibir estos avisos y promociones. Pero aún si Cablemás abusara de ello, yo tendría la libertad de marcarlo como Spam. Seguiría distante de lo ideal, pero mucho más manejable.


Comentarios

Cablemás intercepta y altera conexiones para inyectar sus anuncios — 15 comentarios

  1. Esto está más que bueno, yo recuerdo que hace unos ocho años cuando era mucho pero el servidor, montaba SQUID con DNSMasq/OpenDNS para desquitar la pobreza de la conexión, y si se podía hacer un loader en hot del firmware del módem, ahora Cablemás acabó como un google local… que horrible… si. Con lo que mencionas Cablemas estaría haciendo un Spoofing, no imagino la cantidad de info que estaría «cacheando». Ilegal?… Como mexicano sé muy bien que si no está prohibido, está permitido. Además que las paupérrimas leyes tecnologicas de méxico no llegar a tipificar casi ningún delito informático.

  2. A mi apenas me empezaron a llegar al entrar por primera vez en facebook y otras paginas. Las primeras veces no lo noté, como que uno ya filtra en automático algunos anuncios. Pero despues que veo lo de cablemas y dije uff que bajo han caido inyectando ese tipo de anuncios nada discretos (por ejemplo como los de google en gmail, google search). Sobre lo que te dijeron que es una vez al día no es cierto, simplemente cada nueva sesión de un browser. Buen post, por mi parte coy a hablar a cablemas a quejarme, luego comento que me dijeron.

  3. Que molestas estas acciones de Cablemas, es verdad, en soporte técnico / atención al cliente «No saben nada», la cuenta de twitter apenas sabe responder. No hay explicación. Y coincido totalmente, es un servicio de PAGA, no tienen porque invadirme con publicidad que por cierto NO es una vez al día, son bastantes.

    Que poca, y ojala esto se torne serio, no he leído el contrato pero haber si en Profeco quieren ayudar, si no… pues a cambiarnos de compañía.

  4. Tal vez la opción para quienes tienen oportunidad es hacer un tunel SSH dinámico y configurar las maquinas para usar un proxy SOCKS v4 o v5 de forma que la comunicación siempre va encriptada por SSH. Obviamente, necesitas un servidor externo la red y que te permita conectarte via SSH ademas de permitir los túneles dinámicos.

  5. Mhhh, muchos sitios soportan https, digo si mal no recuerdo identi.ca lo hace, ¿aún así recibes los anuncios? no te sale el aviso de que el certificado no corresponde al hosts? has probado con otros sitios con https? por ahí podría ir la queja, aunque no me imagino que lo intentasen en el 443 ya que los usuarios de banca electrónica serían los primeros ni siquiera en quejarse, en buscar otro servicio… se me ocurren otro par de ideas como las ya mencionadas anteriormente, pero me quedo con una duda, ¿adblock no te sirve?, puedes añadir el iframe a la lista de elementos bloqueados y/o crearte reglas. Que si es una tomada de pelo, si te estuvieran dando el servicio como en tutopia (si la memoria no me falla) en el siglo pasado pues aguantarse los anuncios, pero estas pagando por el servicio.

    Saludos.

  6. @paga_de_juar: Como lo mencioné: el Spoofing como tal (y la intercepción) no es un problema, pues tiene usos legítimos, como la aceleración de conexiones de manera transparente o la acelearción WAN como lo hacen los Cisco WAAS. El problema es cuando se usa para un propósito como el que tenemos en cuestión: la entrega de un contenido diferente al solicitado.

    @Mario: Gracias. Hablarles servirá sin duda para que tengan registro de los usuarios que no están de acuerdo y no consideren mi queja como un caso aislado. Espero que comprendan que su mejor opción es darnos una opción de exclusión y, a falta de esa opción, eliminar por completo esta práctica.

    @Marcel: Sin duda hay mecanismos, pero tendría que rentar un servidor en Internet (y obviamente incurrir en costos extra) para tener un tránsito permanente y además se me degrada el servicio por el incremento de latencias y el salto extra. Además, si yo le pido a un mensajero que entregue un paquete, yo espero que el paquete llegue tal cual como yo lo entregué.

    @Emmanuel: Qué te puedo decir. Su servicio de soporte había mejorado considerado en los últimos años (para mi gusto), por eso yo recomendaba a Cablemás cuando alguien me pedía una recomendación. Ya no puedo hacer eso.

    @Markuz: Un túnel SSH implica transportar TCP sobre TCP y el trabajo redundante de los mecanismos de congestión y control harían que el rendimiento del enlace sea menos óptimo. Además, si bien yo me puedo abrir opciones, no sería sin incurrir en gastos extra y degradar mi servicio, innecesariamente.

    @Vicm3: Por HTTPS no lo están haciendo; hasta el momento sólo por HTTP. Y bueno, los sitios que cuentan con HTTPS son en realidad la minoría. En cuanto a usar AdBlock: una cosa es impedir la alteración de un HTML y otra cosa es impedir la visualización de un elemento. AdBlock hace lo segundo. Mi problema es con lo primero: que el HTML me llega alterado. Además, eso sólo ayudaría para cuando use navegadores compatibles con AdBlock. Si uso, por ejemplo, wget o curl, quedo sujeto a la misma alteración.

    Gracias a todos por los comentarios.

  7. Yo tengo Internet gracias a Telecable que vendría a ser el Cablevisión-YOO-Cablemás en turno y hace poco también me empezaron a salir anuncios. Primero me molesté porque pensé que Youtube se había «anacado» y había puesto anuncios estilo Double Clic pero luego también los veía en Facebook y otros sitios. Verifiqué que no tuviera un malware o algo así y nada. AdBlock sí bloquea los anuncios más no los elimina del todo ya que deja aún el recuadro en blanco con la «x».

    Al día de hoy ya no me salen pero al menos ya sé de donde salían esos molestos anuncios. Donde vuelvan a mostrarse tomaré unas capturas y a ver con que me excusa me salen los del soporte.

    ¡Gran post!

  8. Primero, gracias al autor por exponer esta flagrante ilegalidad. Espero que mas sitios y personas expongan sus experiencias sobre el asunto y asi se logre al menos una discusion/cambio a estas practicas.

    una pregunta, que pasa si se usa un DNS alterno al de cablemas? Por ejemplo si usas el de Google (https://developers.google.com/speed/public-dns/) (podria alguien probrar esto y ver si aun asi se logra el spoofing?)

    Por ultimo, veo que esta nota se publico hace ya casi un mes, pero me pregunto si esta practica sigue realizandose o si ya paro/cambio?

    Gracias..

  9. Juan, gracias por el comentario.

    Usar un DNS alterno no te ayuda. Al final la alteración se realiza sobre conexiones HTTP vayan a donde vayan mientras pasen por su red.

    En cuanto a si se sigue haciendo, sí, pero Cablemás está ofreciendo un mecanismo de opt-out. Supongo que en su servicio de soporte te pueden dar los detalles.

  10. Cablevision Monterrey ha comenzado a hacer lo mismo, pero es publicidad bastante invasiva ya que abre un popup que cubre casi toda la pantalla y al cerrarla abre de 1 a 2 popunder.

    Es realmente molesto esto ya que creia que era mi PC, le repase tanto antivirus y antimalware’s como encontre pero al final entendi que era publi de Cablevision.

    Los denunciare a la PROFECO. No hay mas.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *