La mayoría de los problemas que tienen los concursos online, son problemas técnicos de base. Mucha gente piensa que hacer un concurso es algo muy sencillo, pero en realidad es algo en el que hay dos variables en competencia directa: Seguridad VS Participación.
Si queremos que sea fácil participar, también será fácil hacer trampas, pero si queremos que sea lo más seguro del mundo, entonces es fácil que no participe nadie, así que muchas veces la pregunta es ¿cual es la línea recomendada para mi concurso? y cada concurso la debe tener en un sitio diferente.
Ahora bien, hay medidas de seguridad que para nada afectan a la participación, y esas debemos tenerlas sí o sí, ya que cuando no se tienen, el resultado es que hay varias personas haciendo trampas y falseando el concurso para ganar los premios, y por experiencia puedo decir que pocos concursos tienen una buena línea de Seguridad VS Participación, y lo peor es que muchos de ellos tienen grandes problemas de seguridad que no afectan a la participación. Vamos a verlos.
1. Cuando votas por una de las opciones, se envía por parámetro GET o POST el número total de votos de esa opción incrementada en uno, de forma que se almacena ese valor en la base de datos. Por tanto para ganar el concurso, solo debemos cambiar ese parámetro y poner los votos que queramos, y así de fácil ganamos el concurso.
2. Cuando votas, se registra el voto, y se instala una cookie en el ordenador para que no puedas votar más. Fácil, muy fácil, buscas la opción de borrar cookies, y vuelves a votar, con suficiente paciencia ganas el concurso, y si sabes algo de Javascript, programas la rutina de voto y borrado de cookie, y lo ganas en 3 minutos, y así de fácil ganamos el concurso.
3. Para votar te pide que pongas un email, y el sistema no permite repetir el email, pero después tampoco verifica que el email exista. Por tanto, te vas inventando emails y con paciencia ganas el concurso, y si sabes Javascript, programas una rutina para ir votando, y lo ganas en 3 minutos, y así de fácil ganamos el concurso.
4. Para votar te pide un email, después te envía un correo electrónico a esa cuenta con un enlace, que al pulsarlo es cuando se verifica que el mail existe, y por tanto en ese momento se registra el voto. En este caso ya estamos afectando a la participación, porque el proceso se ha complicado. En cualquier caso, si tienes un dominio propio, puedes decir que cualquier mail que llegue a una cuenta no existente, te lo envíe a tu cuenta principal (esto es fácil de hacer). A partir de ahí, te inventas miles de correos dentro de tu dominio, al estilo mail000001@midominio.com mail000002@midominio.com mail000003@midominio.com... y ya es cuestión de ir pulsando todos los enlaces que te irán entrando en tu cuenta principal. Y si sabes programar en PHP, esto te permitirá hacer un script que haga este proceso de forma automática, y así de fácil ganamos el concurso.
5. Al votar pedimos un email que no sea de dominio privado, es decir, cuentas del tipo gmail, hotmail, yahoo,... para evitar que hagan lo del alias de cuentas de correo, y entonces enviamos el link de validación para voto. En este caso complicamos un poco más, pero no olvidemos que es fácil crear cuentas falsas en estas plataformas, así que con tiempo, podemos ir creando cientos de cuentas, y por tanto, cientos de votos falsos. y así de fácil ganamos el concurso.
6. Cuando el usuario vota, almacenamos en el servidor la IP desde la que vota, de forma que desde ahí ya no se puede votar más. Esto tiene el problema de que puede haber mucha gente en una oficina, escuela, asociación, centro público, etc, donde todos usan la misma IP, asi que cuando una persona vota, el resto ya no puede votar, por lo que afectamos a la participación. Por otra parte, en los domicilios privados, las IPs son dinámicas, por lo que reiniciando el router, te puede dar otra IP, por lo que con tiempo iríamos consiguiendo votos (y ya no hablo de votar desde la Deep Web donde esto se facilita mucho mucho mucho), y así de fácil ganamos el concurso.
7. Al votar un usuario almacenamos la IP junto a ciertos datos del navegador, para así impedir que vuelva a votar, sin afectar a que otros usuarios de la misma IP se vean afectados. Esto es un poco mejor porque no afectamos a la participación, pero sigue siendo muy fácil cambiar esos parámetros de navegador sabiendo NodeJS, PHP o cualquier lenguaje de servidor. Así que con programación meterías cuantos votos quieras, y así de fácil ganamos el concurso.
8. Al votar hacemos varias de las técnicas anteriores: guardamos la IP, le metemos una cookie y le enviamos un mail de validación... simplemente estamos poniendo varias medidas poco efectivas juntas, sí será más seguro, pero quien quera ganar, lo conseguirá.
Todas estas son las técnicas que hay que evitar, porque son las más típicas, las más conocidas, y las que harán que un concurso sea fácil de "reventar".
Quizá, prácticas más efectivas serían validar un número de móvil mediante SMS, validar una cuenta de redes sociales donde de forma automática se verifique que tiene cierto tiempo de antigüedad (para que no usen cuentas falsas recién creadas), introducir sistemas que detecten muchos votos consecutivos desde la misma IP y lo bloqueen, sistemas de detección de muchos votos desde una estafeta de correo privada, detectar muchos votos que tengan patrones numéricos, sistemas de detección de votos con periodicidad constante que den a entender que se hacen con un robot,...
Según el concurso pueden hacerse unos u otros métodos de votación, donde cada uno afectará a la seguridad o a la participación.
Si tienes o vas a tener un concurso online y quieres que analicemos como de seguro es, estamos a tu disposición. Si quieres hacer un concurso en Internet y quieres que nosotros lo hagamos, estamos a tu disposición. Si quieres ganar un concurso de Internet y quieres que te digamos cómo hacerlo, mmm, mejor no, NO estamos a tu disposición :)
Hemos analizado ya muchos concursos, algunos porque nos lo han pedido, y muchos por hobby :), y tambien hemos construido algunos concursos, así que hablamos desde la experiencia del sector.
¿Has detectado algún otro fallo típico de los concursos online? cuéntanoslo :)
Las paginas que hacen esto registran por ejemplo desde que ip se ha hecho el voto? Lo que estoy haciendon es cambiar mi ip con un programa para que cada minuto pueda votar. lo malo es que hay veces que me salta para paises muy extraños. La pagina de la votacion puede darse cuenta desde donde le estan votando??
ResponderEliminar