Shared publicly  - 
 
Actualización: +Alejandra Ventura   (¡desde Singapur! ;) creó una petición (https://twitter.com/venturita/status/297879005254791168) , y votó ella misma con datos falsos, y en una con mi email (todas desde la misma IP, y le sale la lista completa, sin flitrar nada https://docs.google.com/file/d/0By0iF5YaNZnuQTMzM0RZRXhDdTQ/edit?usp=sharing

Nota: como se puede ver, la lista de nombres de "firmantes" está disponible al que inició la acción, por lo que si es legal pasar a un tercero no debería haber impedimento para que sea público.

----

Hace unos días recibí un email de change.org (https://twitter.com/gallir/status/297521185372127232) como si hubiese votado la petición "UN MILLÓN DE FIRMAS POR LA DIMISIÓN DE LA CÚPULA DEL PP #lospapelesdeBárcenas #quesevayantodos " [sic], cosa que no había hecho.

Mirando un poco, veo que se puede poner cualquier email y nombre y que no hay más verificación, ni siquiera verificación de correo electrónico, ni que no se haga desde la misma IP, ni un captcha para evitar bots que podrían generar cientos de miles (o millones) de "firmas" falsas.

A pesar de capturas e info adicional (https://twitter.com/gallir/status/297754475861520384), mucha gente seguía negando que fuese posible (incluso gente de @change_es). En el vídeo se ve lo sencillo que es, lo puede hacer un niño, o una abuela y, por supuesto, programas informáticos.

Es tan pero tan chapuza que sólo se puede decir que está diseñado adrede para facilitar votos falsos, y luego salir a los medios hablando de "personas que han firmado", sin ningún tapujo.

En Youtube: Votando varias veces en change.org

Más información en el blog http://cienciasycosas.blogspot.com.es/2013/02/el-fraude-de-las-firmas-online-con-la.html
59
21
Eduardo Loyola Paternina's profile photoJoel E's profile photoCarlos Perales's profile photoOniki San's profile photo
50 comments
 
Ricardo...eres un esbirro al servicio de Rajoy...¿cuantos sobres te ha regalado? ¿Donde tienes escondido el Ferrari? </ironia>
Translate
Translate
 
+Enrique Castro , me parece que no entiendes el tema de fondo. No se trata de eso, el asunto es que pueden meter firmas falsas; hoy en este tema, mañana en otro y con tu nombre. Solo eso es lo que denuncia.
Translate
 
Ya pero eso sólo lo hacen personas malas como tu o Rajoy...
Translate
 
Sebastián Nieto....creo que no sabes lo que significa la etiqueta </ironia> De nada...
Translate
 
Hola Ricardo,

Soy Albert, el director de comunicación de Change.org. Quería puntalizar algunas cosas que has comentado en el vídeo para que tengas más información al respecto. En Change.org llevamos a cabo controles automáticos y manuales para evitar lo que acabas de mostrar. Si me permites, te cuento algunos de ellos, tampoco quiero aburrirte ni a ti ni a las personas que verán este vídeo.

Sí, en efecto, puedes intentar firmar inventándote correos y nombres. Pero no cuentan. Como habrás visto, al firmar la petición te llega un correo electrónico una vez has firmado la petición. Si el correo que has puesto no existe, ese correo no se puede enviar y por tanto, podemos ver que esa firma es falsa. Cuando eso se comprueba, esa firma desaparece del contador. No es válida. No cuenta. Desaperece a posteriori. Repito: no cuenta.

También tenemos controles para detectar firmas automáticas. Si eso se da, son también borradas.

Respecto a la doble firma desde la misma cuenta, cuando intentas firmar sin estar logueado, esa firma no se contabiliza. Un mismo correo no puede firmar dos veces la misma petición.

Miles de personas firman peticiones en Change.org cada día. Se unen para conseguir su objetivo, y lo consiguen. Creo que es bueno que sepas que nos lo tomamos muy en serio y que intentamos hacer nuestro trabajo lo mejor posible. Como te decía estos son solo algunos de los controles que implementamos.

Gracias por tu tiempo.
Translate
 
+Albert Medran ¿No sería más sencillo con la existencia de emails de confirmación como existen en otras plataformas o como en los registros en foros, etc...? Y lo del vídeo de Ricardo... en fin.. no os deja bien. La explicación (que se agradece porque creo que es la única en condiciones en toda la tarde) suena a excusa de mal pagador
Translate
 
+Albert Medran  que te envíen un correo para verificar es falso, porque como dije, me llegó email como si hubiese votado, sin ninguna confirmación antes. Incluso tus compañeros me dijeron que es porque "alguien usó mi correo". Así que os contradecís, y en mi caso no me llegó nunca ese correo para confirmar el voto.

Por otro lado, decís que borráis, pero en el apunte indican personas que han firmado con nombres falsos, y aparecieron en la lista.

Sobre lo que "os tomáis muy en serio", sí, las notas de prensa la veo. Pero todavía no me han explicado qué pasó con mi "voto falso" (y el de otros), cuál es la lista completa, ni están documentados los controles, y por supuesto, no hay código fuente para comprobar o analizar.

¿Y controláis manualmente un millón de "firmas" pero no sóis capaces de evitar que se firme varias veces desde la misma IP siendo tan fácil?

Lo siento, pero todo lo explicáis para que tengamos que hacer actos de fe. Y no funciona así la cosa. Y a pesar de las veces que se criticó esto, no se dieron explicaciones nunca.

¿Y desde allí se pide "transparencia"? Por favor, empecemos limpiando por casa.
Translate
 
+Albert Medran No sólo hay que ser honestos, también parecerlo. No podéis pretender que creamos en el número de firmas "porque hacéis controles a posteriori" y elimináis firmas del contador. Creo que el vídeo de +Ricardo Galli debería hacer que os replanteéis el tema.
Por otro lado, dejas abierto el tema de que cualquiera puede firmar usando el correo de otra persona. ¿No es así?
Translate
 
+Ricardo Galli No puedo responderte sobre tu firma porque no tengo los datos. Si los tuviera en mi mano lo haría ahora mismo.

Sobre el correo, me refiero al correo que tu mismo has mostrado en Twitter. Es un correo automático de agradecimiento por firmar la petición. Si el correo que has introducido es falso, no lo puede enviar. La firma, pues, se elimina.
Translate
 
+Albert Medran Ya te dije que yo no firmé la petición, y me llegó el agradecimiento. Eso no es ningún control, y puede significar que otros usan direcciones ya registradas, o que lo hacéis vosotros con los usuarios registrados.

Y no soy el único, por ejemplo https://twitter.com/democraciareal/status/297865270880501760

Que le haya pasado a varias personas lo mismo, es para sospechar, y evidentemente en el mejor de los casos, están abusando de vuestro sistema creando firmas falsas.
Translate
 
+Ricardo Galli ya he leído lo que comentas y como te dije más arriba, no tengo los datos para darte una respuesta, lo siento por no poder hacerlo en estos momentos.
Translate
Translate
 
+Albert Medran Pero es que no habéis dado ninguna respuesta que sea creíble, o con pruebas. Por no dar, ni siquiera me habéis explicado quién y desde donde votó con mis datos, o en cuántas peticiones "firme" de la misma manera.

Decir "somos serios", o "se controla" sin mostrar nada, cuando lo que hay muestra lo contrario, no es nada serio. Casi es ofensivo.
Translate
 
Personalmente el tono acusativo hacia change.org me parece despreciable, hacen una labor encomiable y seguro ponen en marcha las mejoras y recomendaciones indicadas, no creo este bien el generales con ese tono una excesiva mala imagen, que no se merecen.
Translate
Translate
 
+Ricardo Galli podría intentar justificarme, etc. pero no sé si me darías el beneficio de la duda o no. Esta tarde no has mencionado a las cuentas de Change.org. Yo gestiono esas cuentas y no he visto tus comentarios. No puedo responder a quién no me pregunta. Como te comentaba, no tengo los datos de lo que ha pasado o no ha podido pasar. No los tengo y prefiero no responderte algo que no sé. Entiendo que si me pides seriedad, eso es lo que debo hacer, ¿no?

En cuanto he visto esto, te he respondido con los datos que tengo para que todas las personas que te siguen puedan tener otra versión. Eso es lo que intento, desde el más profundo respeto e intentando ser lo más transparente posible.
Translate
 
+Jose Enrique Saiz Como dije en https://twitter.com/gallir/status/297837896323444736

Regla básica del aktvista cañí: sé extremadamente exigente con el adversario, disculpa todos los truños bulos y trampas de los koleguis.

¿Qué tiene de "encomiable" poner un sitio para que la gente firme, salir a darse golpes en el pecho por los medios y engañar con las firmas al mismo tiempo que se exige transparencia y ética?

Por favor, esta lógico buenrollista-kumbaiá es cansina, pero son especialistas es exigir a los otros.
Translate
 
+Albert Medran El argumento que aportas ("tenemos que fiarnos de vosotros") no lo compro. Si no habéis puesto medidas para evitar que alguien vote por otro o, peor todavía, por nadie, es porque no habéis querido.
Translate
 
+Jose A. del Moral fiarte o no de nosotros solo depende de ti. Nosotros intentamos hacerlo lo mejor posible. Y trabajamos para ello. Si no tenemos tu confianza, tendremos que seguir trabajando.
Translate
 
+Albert Medran Pero es que no es cuestión de que haya que fiarse o no, es cuestión de que no tendría que haber lugar a dudas.
Translate
Nacho k
+
2
3
2
 
Viniendo de quién viene esta propuesta del millón de firmas no me extraña nada las prácticas de change, en relación co  europapres, y demás más media. En la Plataforma Democracia Real Ya! tuvimos la suerte de compartir la transparencia de Fabio Gándara y Pablo Gallego como se puede leer aquí: http://conspiracionadry.wordpress.com/capitulo-2/
Translate
Translate
Nacho k
+
1
2
1
 
Y aún sufrimos la suplantación de identidad por parte de la no-asociación que promovieron y que utiliza el nombre de la Plataforma Democracia Real Ya! para aprovecharse mediaticamente del activismo. http://conspiracionadry.wordpress.com/introduccion/
Es curioso que siempre trabajen con Europapress, que ya sabemos de quién es no?
Translate
Translate
 
Y yo pregunto...¿para qué sirve un director de comunicación de un proyecto en Internet si no sabe lo que es un Captcha, un hash, un SGBD para evitar lo que Ricardo denuncia? Ah...espera...espera...que montar un website de "social media ciberactivista" no necesita de desarrolladores ni programadores...bah, es fácil. Los programadores son unos asociales frikis que están todo el día delante de un ordenador. Pulsar siguiente=>siguiente y ya está. Todo sea por las charlas, conferencias, saraos y sobretodo salir en los mass media periodísticos para impartir doctrina ciberactivista y cobrar por ello...que claro, es un negocio esto. ¿O no?
Translate
 
+Albert Medran Yo simplemente espero que mejoréis la herramienta. Las plataformas electrónicas que agrupan la voluntad popular son muy necesarias, pero es preciso que "los otros" no puedan despreciarlas aprovechando debilidades que pueden ser corregidas. Prefiero 5.000 apoyos de verdad que medio millón con uno solo falso. Si tomáis nota de lo que ha detectado Galli y lo mejoráis, lo apreciaré de verdad.
Translate
Translate
 
Es obvio que los problemas de Change.org deben ser solucionados tan pronto como sea posible, pues estos le restan credibilidad al sitio y a lo que trata de lograr.

Sin embargo creo que la forma en que estos problemas han sido expuestos por Ricardo no es la mejor forma de hacerlo, pues no es constructiva en absoluto.

Change.org ha fallado al confiar en la honestidad de sus usuarios, un grave error que muchos solemos cometer. Aún así, esto no es razón para desconocer lo bueno que el sitio ha logrado hasta el momento.

En fin, creo que Change.org merece una crítica constructiva y no destructiva como ha sido esta.
Translate
 
+David Gómez Crear un proyecto en internet y confiar en la honestidad de los usuarios es un completo absurdo, y más tratandose de un proyecto de iniciativas populares donde todas las iniciativas son susceptibles de crear intereses enfrentados, además, una sola persona, puede crear un bot que cree firmas falsas. por tanto, si no garantiza y DOCUMENTA que toma medidas contra la manipulación de los resultados, no sirve al propósito de ser una herramienta de expresión popular.
Translate
 
¿Qué tiene de malo votar varias veces desde la misma IP? Un número razonable. Varias personas compartiendo ordenador o IP publica, ¿se tienen que joder y sólo puede votar una?
Translate
Translate
 
Hay muchos servicios web que dan una dirección de correo temporal, por lo que sería muy fácil firmar con e-mails de ese tipo muchas veces, y todas serían válidas porque el correo de confirmación sí que llegaría.
Parece obvio que son necesarias medidas adicionales de seguridad.
Translate
Translate
Translate
 
En España da igual que tengas una tendencia correcta, seras machacado si intentas ser correcto y no consigues ser perfecto.

Por el contrario si no intentas hacer las cosas bien, y de hecho coges el camino de aprovecharte del de enfrente pero hay una coherencia en tu tendencia, aunque este basada en la mentira, llegas a ser hasta admirado.

Y este es uno de los motivos de que nos gobiernen corruptos, o de que el 15M no fuera la solución, es muy fácil machacar un sistema con una tendencia positiva pero imperfecto.

Esto es lo que hacéis, en vez de cooperar en la solución de los problemas machacais al que intenta mejorar el mundo y dar un apoyo.

Y los machacais por que sentís que podéis hacerlo ya que no lo han hecho bien, ¿a quien le importa que estén en camino de hacerlo bien, o que lo estén intentando?...

Mucho ánimo +Albert Medran yo si que entiendo que vuestro sistema esta hecho para que sea fácil el firmar y poner las menos trabas posibles.

A día de hoy a veces es complicado aunar esfuerzos y mas en España, tenéis un sistema de control suave, un captcha seria un buen refuerzo. Y el tema de poder usar correos electrónicos existentes ajenos es peliagudo, cuando llega el correo que enviáis podéis dar la opción de rechazar el voto desde el correo, eso seria una buena solución que no restaría rapidez a la hora de votar, aunque no es la solución definitiva.

Por lo demás, es complicado aguantar a todos estos que buscan la perfección en las buenas acciones y toleran las malas acciones... Casi que se llevan mejor las criticas aunque agresivas tipo la de +Ricardo Galli que los que cacarean a su alrededor...


Translate
 
+Jose Enrique Saiz No se me ocurre una manera mejor de cooperar en la solución de los problemas de change.org que ponerlos al descubierto, explicar cuales son y cómo podrían solucionarse, al menos sin tener el código fuente delante. No se ha machacado a nadie, se ha dicho que está mal y es vulnerable, punto. Lo que pasa es que "people gets easily offended".
Translate
 
Es sólo una forma de protesta, no tiene validez legal, no hay que ser tan tiquismiquis... 
Translate
 
 Señor +Albert Medran  Medran, sus excusas, que no explicaciones, suenan a cháchara, al nivel de las excusas de Rajoy, ¿le va usted a explicar a +Ricardo Galli  lo que es la seguridad informática? ¿se informó usted medianamente quien es dicho personaje  antes de responder? Cierto que Gallir confunde una campaña de firmas con validez legal con una manifestación cibernética, pero ¿quien quiere salir en la foto de una manifestación a la que no fue? y no siga hablando usted de métodos de control automatizados, primero aprenda a implementarlos, luego hable acerca de eso.
     
Translate
 
+Ricardo Galli ¿Si partimos de que una campaña de firmas en Internet no pretende tener valor legal, sino solo ser una manifestación ciudadana al igual que salir a la calle o hacer una campaña de grafitis o carteles? en este caso, ¿que opinás de este tipo de campañas? bueno, lo de Change.org es indefendible, por esto que denuncías y otras cosas que vienen de antes, ¿pero te parece que esto invalida la idea de manifestarse de esta manera? me gustaría que te pases por www.oiga.me (donde si se verifican los mails con el "novedoso" sistema de mandarte un correo que debes responder a tal efecto) como dije, me gustaría que te pases por oiga.me y nos des tu opinión. 
Translate
 
La ip no identifica al usuario, eso es un hecho.
Si montas un sitio de peticiones pues pides un e-mail, si montas un referendum vinculante desde una web ministerial puespides el dni electronico, tampoco hay que darle mas vueltas al trigo.
Translate
 
+Albert Medran yo suelo firmar muchas de las peticiones que me llegan y son de mi interes. No me gustaría pensar que se está manipulando esto . Me alegro que lo aclares, 
Translate
 
cada vez que alguien postea algo de Change.org en mi face me pregunto si es verdad que lo firmó... y no sé, ya que seguro que en esa web tienen mi correo electrónico, cuantos de mis amigos tienen "invitaciones a firmar" que yo no he enviado.
Translate
 
A ver, change.org no sirve para nada.
Change.org no tiene ningún tipo de credibilidad, algo tan fácil como enviar por email un link de validación del voto no se hace.
Translate
 
yo firmé cosas hace tiempo, pero ahora solo firmo las de AI (Amnistia Internacional) o cualquiera en la que pidan DNI.
Translate
 
No costaría nada hacerlo bien, al firmar mandas un email con un enlace que se deba pinchar para que el voto cuente. Se pueden implementar más controles para evitar las firmas falsas obviamente.

Solo con este control el número de firmante de cualquier petición se reduciría bastante (lo cual a change.org no le conviene cuando ellos solo venden el número que luego acaba saliendo referenciado en los periódicos o en las noticias).

Lo siento, pero el control a posteriori del correo que se envía no cuela. ¿Verificáis que el correo no es devuelto por el servidor? ¿Lleva una imagen incrustada que al mostrarla "verifica" el voto? ... En cualquier caso no sirve para verificar nada. 

Si yo al firmar pongo el correo de mi vecino (por ejemplo), le llega un mensaje y lo abre contará un voto aunque el realmente nunca haya firmado nada.

P.D. Eso de encomendarse a la buena fe de la gente cuando las explicaciones fallan me suena de haberlo escuchado antes ...
Translate
 
+David Gómez
 ¿Qué entiendes por "crítica destructiva"...aquella en la qué se opina sin aportar pruebas, ni vulnerabilidades del sistema, ni el más mínimo diseño lógico de la Base de Datos que tenga algún tipo de estándar, (que change.org no la tiene ni de lejos)...? Ahora sin ironías y sin hacerle la pelota a nadie, pero +Ricardo Galli lo que nos muestra es un claro ejemplo de lo que no es ciberactivismo. Desde los inicios de Internet (eso de Red Social es un eufemísmo carente de memoria histórica) siempre se ha esforzado en ofrecer herramientas que siempre han estado y están en fase "beta". Eso quiere decir que si ante una crítica (en este caso fundamentada, documentada y explicada) la reacción es salir en los periódicos diciendo tontadas, pues lo normal es que el tonto que las dice se le llame por su nombre. Pero lo que es más grave...alguna gente piensa y se cree que el indivíduo en cuestión (por cierto ex asesor de la Leire Pajín) es un reputado ciberactivista, cuando en realidad no tiene ni pajolera idea de hacer un Alert en JavaScript.
Translate
Translate
Add a comment...