BandaAncha.eu

  • 🔍 en 📰 artículos ⏎
  • 🔍 en 👇 este 📰 artículo ⏎
  • 🔍 en 💬 foros ⏎
Regístrate Regístrate Identifícate Identifícate

Qué supone Open Gateway para la privacidad de los clientes de Movistar, Orange y Vodafone

Joshua Llorach
Open Gateway

Buceamos en el repositorio GitHub donde las operadoras están desarrollando las API de Open Gateway para conocer el alcance del proyecto y cómo afecta a la privacidad de los clientes de móvil y fibra de Movistar, Orange y Vodafone en España. Estos son los datos sobre el usuario, la línea y el móvil a las que las apps que contraten el servicio podrán acceder.

21 operadoras de todo el mundo respaldaron el lanzamiento de Open Gateway en su presentación en el congreso de móviles MWC 2023. Se trata de una iniciativa de la industria de las telecomunicaciones para estandarizar una interfaz de programación que permita a terceros interactuar con las redes de las operadoras, bien para obtener información sobre la línea utilizada por el usuario y su terminal o modificar el comportamiento de su acceso a internet, entre otras posibilidades.

Hacker con gorro

Open Gateway no es el primer intento de las operadoras de ofrecer una interfaz para los desarrolladores, pero sí es el más serio y con mayor respaldo, además de llegar en el momento adecuado, cuando la tendencia As a Service sigue extendiéndose a cada vez más sectores, incluidas las redes de acceso utilizadas por los usuarios finales para acceder a internet. El respaldo que los grandes de la nube como Amazon AWS, Google Cloud o Microsoft Azure han dado al proyecto garantiza que miles de desarrolladores tendrán fácil acceso sus las funcionalidades, por lo que se espera que Open Gateway suponga todo un cambio de paradigma en el uso que las aplicaciones y servicios OTT (Over The Top) hacen de las redes de las operadoras.

Las API de Open Gateway se definen dentro del proyecto Camara de la Linux Foundation, cuyo repositorio está públicamente disponible en GitHub. Para conocer su alcance y cómo afectará a los usuarios clientes de los servicios de telefonía móvil y fibra de las operadoras, hemos buceado en la documentación y el código disponible en el proyecto1.

En la actualidad se están desarrollando 12 funcionalidades que permiten identificar al abonado para realizar perfiles publicitarios, obtener información de la línea y el dispositivo utilizado, cargar compras online en la factura telefónica, acelerar el funcionamiento de la nube gracias a nodos próximos situados en el borde, controlar la calidad del servicio de acceso a internet y detectar el fraude. Algunas funcionalidades ya existían, pero Open Gateway estandariza su acceso haciéndolo homogéneo para todas las operadoras, lo que facilitará la vida de los desarrolladores y por tanto acelerará su uso.

Conviene aclarar que una API no es más que una URL como la que introduces en tu navegador, a la que una app o un servidor envía una serie de parámetros como cuando se envía un formulario, esperando obtener como resultado una información o la ejecución de una acción.


FunciónResponsables
AnonymisedSubscriberIdentifierIdentificador único de la línea para personalizar contenido y publicidadVodafone
DeviceIdentifierIMEI, marca y modelo del dispositivoVodafone
DeviceLocationConfirma que la geolocalización del móvil corresponde a la detectada por la redDeutsche Telekom, Ericsson, Orange y Vodafone
DeviceStatusIndica si el móvil está en roamingDeutsche Telekom, Ericsson, Orange, Telefónica y Vodafone
IdentityAndConsentManagementGestión de los permisos GPDR (General Data Protection Regulation)Deutsche Telekom, Telefónica y Vodafone
CarrierBillingCheckOutPagos cargados en la factura telefónicaGSMA, KDDI, Orange, STC y Telefónica
EdgeCloudIndica al móvil el servidor edge más cercano para reducir la latencia5GFF, Capgemini, Telefónica y EdgeXR
HomeDevicesQoDEstablece la prioridad del tráfico de un dispositivo en la red wifi de casaOrange, Scenera y Telefónica
QualityOnDemandEstablece la prioridad del tráfico del móvilDeutsche Telekom, Ericsson, KDDI, Orange, Telefónica, Vodafone, Verizon/ 5GFF
NumberVerificationConfirma el número de teléfono de la líneaDeutsche Telekom, KDDI, Telefónica y Orange
OTPvalidationAPIEnvío y validación de claves para validar que el usuario tiene acceso a un número de teléfonoDeutsche Telekom, KDDI, Telefónica
SimSwapFecha en la que se cambió por última vez la SIM de la líneaDeutsche Telekom, KDDI, Telefónica y SK Telecom

Identificador único del usuario para personalizar publicidad y contenidos

Vodafone TrustPid publicidad personalizada
Flujo simplificado del funcionamiento de TrustPid
  • AnonymisedSubscriberIdentifier devuelve un identificador que permite distinguir a un abonado a pesar de que borre cookies, cambie de móvil o tarjeta SIM. Es un código generado de forma única para cada cliente y aplicación, anonimizado pero constante en el tiempo, de forma que la app puede perfilar el comportamiento del usuario con el fin de mostrarle contenidos personalizados, incluyendo publicidad comportamental. Su descripción recuerda poderosamente a TrustPid, la que llamamos supercookie de las telecos y como ésta, es Vodafone quien se encarga de mantener el API.
  • IdentityAndConsentManagement comprueba si el usuario ha otorgado el consentimiento para el tratamiento de sus datos o se le debe pedir con un mensaje similar al banner de cookies. Algunas API facilitan datos personales, por lo que la legislación sobre protección de datos exige que se pida permiso al titular.

Información sobre la línea, terminal del cliente y medidas antifraude

Composición del IMEI
Composición del código IMEI
  • DeviceIdentifier devuelve el IMEI del dispositivo utilizado por el usuario, además de la marca y modelo del móvil. Estos tres datos están relacionados, puesto que el IMEI del dispositivo contiene los dígitos que identifican al fabricante y el modelo de forma única.
  • DeviceLocation permite confirmar que el terminal del usuario está donde dice estar. Para ello en la llamada al API se pasan las coordenadas GPS que detecta el móvil y la red confirma su veracidad comprobando que se sitúan en la proximidad de la antena que está dando servicio en ese momento al usuario. Gracias a este API las app podrán detectar cuándo el usuario spoofea su geolocalización.
  • DeviceStatus permite en este momento saber si el móvil está en roaming fuera de su país de origen, aunque está previsto ampliarlo a otros estados, como podría ser fuera de cobertura.
  • NumberVerification permite validar el número de teléfono del usuario sin necesidad de enviar ningún código por SMS. Tiene dos formas de funcionamiento. La primera comprueba que el número pasado corresponde con el de la línea y la segunda es la más delicada, puesto que devuelve directamente el número de teléfono del usuario.
  • OTPvalidationAPI facilita enviar y validar claves temporales (One Time Password) para acceder a un servicio. Es útil por ejemplo para validar que el usuario tiene acceso al número de teléfono que ha facilitado cuando está accediendo desde un ordenador. Open Gateway se encarga de generar una clave alfanumérica, enviar el SMS y posteriormente de validarla.
  • SimSwap devuelve la fecha en la que se cambió por última vez la SIM de la línea. Permite a los servicios financieros como la banca online, saber si ha habido un cambio de SIM recientemente, lo que sirve para marcar una operación como de riesgo y solicitar otras validaciones, con el fin de evitar el fraude por SIM swapping.

Calidad de servicio

Agente único de Movistar en router HGU
Binarios independientes de diferentes servicios pasan a ejecutarse en la nube, que se comunica con el router a través del Agente Único

De momento hay dos API que permiten a las aplicaciones pedir a la red cómo quieren que se comporte. La primera está dedicada a la red wifi de casa, facilitando que ciertos dispositivos tengan prioridad sobre otros. La segunda está orientada a la velocidad mínima y latencia máxima al usar datos móviles. Aplicaciones que necesitan computación en la nube con muy baja latencia podrán además averiguar el nodo edge más cercano a su antena con el fin de que el tráfico no tenga que salir, siquiera, de la red de la operadora.

  • HomeDevicesQoD permite que la aplicación comunique a la red con qué prioridad debe tratar el tráfico que genera. HomeDevicesQoD está enfocado a las conexiones domésticas fijas como la fibra. Cuando una app ejecutada en un dispositivo conectado por wifi en casa llama a este API establece la prioridad (DSCP) con la que el router tratará el tráfico de un dispositivo conectado por wifi. En el caso de Telefónica, esta función es posible gracias al Agente Único que en los últimos meses ha introducido en el router Smart WiFi, el cual se encarga de recibir la orden desde Open Gateway y aplicarla en la red local.
  • QualityOnDemand permite establecer la calidad mínima de internet en los datos móviles. Por ejemplo, antes de establecer una videollamada, la app invoca este API para indicar la red el caudal mínimo que necesita para funcionar, de forma que la red le garantiza esta capacidad incluso cuando hay cierto nivel de saturación. Hay 4 niveles definidos2 para garantizar latencia estable cuando hay congestión o mínimos de ancho de banda. El concepto es similar al modo turbo para el 5G que Ericsson presentó hace un tiempo.
  • EdgeCloud indica a la app qué servidor edge le corresponde por ser el más cercano. Los servidores de la nube edge se ubican en las centrales telefónicas o en puntos muy cercanos a las estaciones de telefonía móvil en vez de situarse en un centro de datos en Madrid, todo con el fin de reducir la latencia al mínimo posible.

Pagos a terceros

Pagos a terceros
  • CarrierBillingCheckOut permite que el usuario pueda pagar las compras dentro de apps con su factura telefónica sin necesidad de introducir los datos de pago de su tarjeta de crédito. Se trata de la estandarización de los Pagos a Terceros que ya existen desde hace bastantes años. Es inevitable mencionar que hasta la fecha las operadoras no han demostrado merecer demasiada confianza como medio de pago, pues son frecuentes las reclamaciones por suscripciones inadvertidas a servicios de dudosa utilidad.
  1. github.com/camaraproject
  2. github.com/camaraproject/QualityOnDemand…ing_Table.md

💬 Comentarios

1
cajiessa
14

Qué Internet más bonito se está quedando… Sin tener en cuenta la facturación de terceros a través de la factura de la línea, que viene siendo la estafa institucionalizada, los pasos que se están dando hacia no poder eludir ser rastreado es acojonante. De 12 interfaces que ofrece la API de momento, ¿cuántas revierten en la mejora de los servicios al usuario y no son mero espionaje? Y aquí muchos golpes de pecho con la GDPR hasta que viene cualquier cambio de viento como este.

🗨️ 23
heffeque

Tengo OpenVPN instalado en mi móvil y tablet (y mi NAS hace de servidor VPN), pero no lo suelo activar porque gasta un pelín más de batería (y porque se me auto-cierra cada varias horas sin uso, aunque le quite limitaciones de consumo de batería).

Me pregunto si OpenVPN sería una buena manera de quitarse de en medio toda esta morralla de espionaje. Todos mis aparatos saliendo desde la conexión de mi casa y santas pascuas.

🗨️ 22
Guillermoelectrico

Wireguard mejor para dispositivos a batería, consume menos y es más rápido.

🗨️ 6
heffeque

Uf… he mirado cómo hacer que funcione Wireguard en Synology y… qué pereza.

🗨️ 4
Sokiev
1

En synology tienes Docker?

Si no te quieres complicar mucho, ponte Docker (con Portainer o similar si quieres, por facilidad de gestión) y usa la imagen de “wg-easy”. Tienes hasta el docker compose listo en el GitHub de rigor

De esa manera, lo tienes fácil: coges el docker compose, te lo llevas a docker, lo pones funcionar, y ya. Tienes funcional un servicio wireguard en el puerto que quieras, con interfaz web incluida para añadir dispositivos, desactivarlos, borrarlos, obtener los QR de rigor, observar cuál está conectado…

Lo bueno de Wireguard es que es más “eficiente”, hasta menos batería, es más “seguro” (muchas comillas, pero en teoría es mejor: menos código, ampliamente revisado…)

Y si no recuerdo mal, WG hace algo que OpenVPN no, y es que en el puerto que lo pongas, cuando se le haga ping, no responde si no le llega la key adecuada (la tuya), con lo que reduces bastante la superficie de posibles ataques

Como alternativa, TailScale no tiene mala pinta. No te requiere abrir puertos, fácil de instalar y se basa en Wireguard. Vale que metes a un tercero en la ecuación, pero a lo mejor es interesante. Y la comunicación entre dispositivos no pasa por sus servidores (a no ser que uses sus relays, algo que puedes desactivar), con lo cual no pierdes privacidad en tus comunicaciones.

🗨️ 3
heffeque
🗨️ 2
apocalypse
🗨️ 1
apocalypse

Mejor IKEv2, como el que se utiliza para VoWiFi. Consume aún menos batería, y permite que la IP de origen cambie sin que haya cortes. Android tiene cliente integrado (el único que le queda desde Android 12, ya que retiraron L2TP/IPSec (IKEv1) y PPTP).

El 70n1
1

Lamento decirte que esto no te lo saltas con VPN o similares. Simplemente con estar en la red de telefonía (ya ni de datos) de la compañía, ya te tienen controlado. Es que es flipante… se meten hasta en la gestión de los putos banners y de la publicidad.

Me entran sudores fríos cada vez que veo una foto de la caricatura esa de personaje que va disfrazado siempre con gorro y camisetas de manga corta. ¿Quien sería el listo que le daría a ese personaje un boli y una vara de mando?

🗨️ 5
heffeque
1

Yo soy de los de preferir cosas sin publicidad (Firefox con Adblock tanto en PC como en Android). En mi día a día apenas tengo alguna app suelta que tenga publicidad (rainalarm y… poco más).

Pero sí… tiene pinta de que habrá que intentar alejarse de cualquier app de móvil que use esa API, tenga publicidad o no.

🗨️ 1
El 70n1
1

Sobre todo de las compañías telefónicas que utilicen este API o ofrezcan servicios similares… que son los que comercian con nuestros datos.

AgustinNM

El presidente de Telefónica, Pallete, lo contrató como gurú de todo lo que se avecinaba. Para que la empresa no se convirtiera en una simple proveedora de Internet, o dumb pipe. Pero creo que últimamente ha caído en desgracia y le movieron de puesto. Ahora parece ser que se está convirtiendo con esto en un hacker del lado oscuro. Una vez que se pisa moqueta es difícil dejarla, a menos que te echen.

🗨️ 2
Wolf-ramio

Por lo que yo se, o creo saber, el grupo Telefónica siempre ha tenido gente muy buena desaroyando proyectos y patentes. Me contaron hace mucho que la tarjeta pre-pago es un invento de Movistar y supongo que siendo propietaria de la patente mundial, cobrará royalties del resto de operadoras del mundo que tengan pre-pago en su oferta.

No lo puedo asegurar ya que solo es un rumor. Pero proviene de gente que se movía por los pasillos de la empresa. También se decía que en el sótano tenían encerrados a unos cuantos pitagorines desarroyando proyectos. En aquellos días se decía que el grupo Telefónica era el que mayor número de patentes presentaba al año en España, y uno de los mayores del mundo.

De cualquier forma ya hace décadas de eso y no recuerdo bien como para diferenciar lo que he escuchado de lo que he leido. Y ya sabemos que lo que está escrito no tiene por que ser cierto, solo por el hecho de estar escrito. Así que tampoco le daría a lo que digo, mayor credibilidad de la que tiene un simple rumor.

🗨️ 1
aeri
F9pv3l1j
1

Al margen de lo que te dice el compi sobre WG vs OVPN, que opino que tiene razón, creo que estás confundiendo una cosa. Dices que "tu NAS" hace de servidor VPN. Bien. ¿Dónde está ese NAS? Si es en tu casa, ¡te conectarás en una conexión cifrada (tunel VPN) desde tu dispositivo móvil/PC al… NAS! Que si está en tu casa, conectadito a la red de telefónica, ¿qué has conseguido? Nada. Un VPN propio en un servidor en tu propia casa, sirve para conectarte a tu red local estando fuera de casa de manera cifrada y segura. Pero la conexión "a la web de internet" final, se hará a continuación, pasando por la compañía telefónica que provee de conexión a internet a ese server/nas!

Otra cosa es que instales WG o OPVN en un servidor en otro sitio/país que contrates… En ese caso, eso sí, solo habrás cambiado de sitio la "confianza". Igual que cuando pagas un VPN concreto. Ahí pasas la confianza de tu operador telefónico a tu proveedor VPN/server.

En el caso de la primera opción (si te manejas con el inglés, puedes buscar en YT los episodios de Sun Knudsen sobre los mismos), Njala y 1984 serían proveedores para un server que a mí me darían más confianza que timofónica/Vodafone y compañía; especialmente a la vista de lo que pretenden hacer. Es importante saber quiénes están detrás, de dónde vienen… (detrás de estas compañías están activistas de privacidad y derechos digitales, proyectos FOSS, etc.). Importante también en que países están asentadas las compañías y su normativa de privacidad y su práctica judicial al respecto.

Pero, si vas a tener que pagar por un server externo, y no vas a sacarle partido con otras cosas (hostear tu web, etc.), probablemente tendría más sentido ir directamente a un VPN de pago. Pero vuelves al mismo problema, el de la confianza. Tendrás que buscar compañías que te transmitan más confianza en sus valores, y decidir pasar el riesgo, desde Movistar, a esas compañías. Para mí, saber quiénes están detrás de las compañías y ver cómo gestionan sus servicios, me hace depositar un mayor o menor grado de confianza. En particular, por las tecnologías que prueban en sus servers, la gente que está detrás, su política de privacidad y los métodos de pago y "registro" que ofrecen, me parece una opción recomendable MullvadVPN. Y también diría que iVPN. El hecho de que acepten monero y puedas crear la cuenta sin ni usar un email… y que ofrezcan dominio .onion (en la red tor); son indicaciones de que efectivamente pretenden que puedas crear una cuenta anónimamente y, por tanto, valoran tu privacidad. Pero, insisto. Es un tema de confianza.

Al menos son gente que viene del mundo del activismo digital / software libre, y claman intentar ofrecer un servicio medianamente respetuoso. Y parecen llevar sus tecnologías hacia ese sentido. Movistar y Vodafone, en cambio, están haciendo esto.

En todo caso, usando estas tecnologías, o mejor aún, navegando a través de tor, entiendo que podrán mitigarse parte de estos problemas (sobretodo hablando de equipos sobremesa antena de datos ni GPS), puesto que el final de la conexión (la web a dónde vas) resultará desconocido para nuestra operadora. No pdorán gestionar los anuncios que veremos allí si no saben a dónde vamos; si solo pueden ver que nos hemos conectado a tor/el VPN.

De todas formas, me faltan datos para poder confirmarlo. Pero diría con cierto grado de optimismo, que en un ordenador sobremesa usando tor, no habría ningún medio de poder confirmar de forma directa un pago con un SMS, salvo que te identifiques a propósito, y no deberían customizarse los anuncios. Es importante utilizar un navegador resistente al fingerprint (de nuevo, como el de tor (siempre que no lo personalices ni "fuchiques", para no diferenciarte del resto)), porque no podrían saber de qué compañía viene, ni individualizarte respecto del resto de usuarios con la misma configuración; dado que la conexión a la web no iría directa desde tu operador.

Pero, me falta conocimiento directo de OpenGateway, por lo que puedo estar equivocándome 😆.

Entiendo que una app que utilizase esta API, que instalas en un movil Android/iOS con tu cuenta gmail/apple e implica aceptar el funcionamiento, ya quedas registrado. Pero si utilizas un navegador en un sistema operativo de escritorio conectado a través de una conexión cifrada (VPN/tor) que tiene como punto de salida un servidor de otro país… (imaginemos, suiza), y es un navegador con cierta resistencia al fingerprint y los trackers, como mucho identificaría como usuario a la empresa titular del VPN que tiene un contrato telefónico con Deutsche Telekom allí. Pero no sabrían que eres tú… "pepe de Vodafone España".

Todo esto es lo que entiendo en teoría. Tendré que bucear un poco en el código!

Me falta decir, que sí, por el mero hecho de ser usuario de sus compañías, se te generaría un identificador único por IMEI del dispositivo, marca y modelo, etc.

Pero si no estás usando una APP que utilice esa API, y lo que haces es navegar por internet con un navegador FOSS que no haya implementado esa API (dudo que lo vayan a hacer los navegadores FOSS más usados, y si no, sin duda habrá forks que no la puedan usar directamente), conectado a través de un proveedor de VPN que consideres de confianza, y no te logeas en ningún sitio, no deberían poder conectar con ese identificador. Especialmente, si ese navegador lo instalas en un móvil Android con una ROM sin servicios de Google ni necesidad de logearte en una cuenta para usarlo (CalyxOS, GrapheneOS, LineageOS, eOS, etc.), y te descargas el navegador desde una "tienda" de aplicaciones FOSS como FDroid.

Ahora bien, el grueso de los usuarios, instalará 147.000 apps de m**rda en un movil Android/iOS que integren la API, y bum. Identificado directamente al terminal, con independencia de que pongas un VPN o lo que quieras, porque la APP en sí será la que acceda a la info. O si utilizan los navegadores normales de Android/iOS y estos integran la API nativamente. O si la propia Google/Apple la aceptan y por el mero hecho de meter tu cuenta de gmail/apple al comprar el terminal ya quedas conectado a la API.

Pero con una rom limpia y un navegador FOSS que sepamos con seguridad, dada la naturaleza de abierta del código, que no integra la API, y si nos conectamos a través de un VPN de confianza (o, mejor, de la red tor) y simplemente navegamos, no deberían de poder estar identificándonos. Puesto que si nuestro sistema operativo no integra la API, ni el navegador que la usamos, el único punto de contacto sería la IP telefónica que le llega al server de la web a la que vamos; pero llegará la del proveedor VPN o la del nodo de salida de tor.

Pero el 99,95% de los usuarios que ni se plantea estas cosas, PUMMM, entrará por le aro 100%.

🗨️ 8
heffeque

Las conexiones VPN son para cuando uno está fuera de la ubicación de donde está el servidor VPN.

Mi NAS está en mi casa, por lo cual el cliente VPN lo uso cuando estoy fuera de casa. No sirve de nada conectarme por VPN al NAS estando yo dentro de casa.

Como comento más abajo: Lee la lista de nuevo y verás que que casi ningún dato mencionado en el artículo se puede bloquear con la VPN. El más claro "DeviceIdentifier".

Lo difícil será saber qué apps usarán esa API y qué apps no (tengan publicidad o no).

🗨️ 6
apocalypse
2

No has entendido ni una línea de lo que te ha escrito.

Lo que te está diciendo, es que de nada sirve que te conectes desde fuera a la conexión de tu casa para salir a internet por ella, que también está implemetando esta API. La mejor alternativa es contratar un VPS y montar un servidor VPN ahí para salir a internet desde ese servidor, que está conectado a una conexión "neutra" en algún CPD y sin que ningún ISP meta las narices en lo que haces, como lo sigue haciendo Movistar aún saliendo por la conexión de tu casa.

🗨️ 5
heffeque
🗨️ 4
apocalypse
🗨️ 3
heffeque
🗨️ 2
apocalypse
🗨️ 1
aeri

Aunque sea un enlace mediante VPN a un servidor de casa con una conexión residencial es posible que puedas ofrecer resistencia a alguno de esas operaciones como las que tienen que ver con la red móvil como DeviceStatus, DeviceLocation, SimSwap…

Estherilla

¡Qué mala pinta tiene todo esto! Esto me recuerda a cuando el congreso aprueba alguna ley regulando algún tema ampliamente demandado y en el mismo paquete te la meten doblada con cualquier otra cosa.

No tiene pinta de ser algo a lo que podamos optar que no queremos usar, y a falta de conocer más detalles técnicos, entiendo que una VPN no resuelve nada en este caso.

Ivaner3k
4

No parece ni legal todo esto, esto es espionaje puro y duro camuflado de seguridad ciudadana.

🗨️ 2
El 70n1
3

No solamente espionaje… es un control descarado de nuestros terminales y de nuestra información

🗨️ 1
Ivaner3k
1

Pues eso, espionaje puro y duro, a dónde van estos datos? y si alguien quiere saber todo esto de ti o de una persona influyente, ahora con las guerras que hay y sus historias, esto quién lo recopila?

sergio8o

Las pagos a terceros prohibidas salvo ficha bancaria como Orange Bank.

🗨️ 1
Sokiev
1

A qué te refieres? Los pagos a terceros han estado presentes desde hace más de 20 años. “Movistar Emoción” nació como plataforma de venta de politonos y jueguitos en tiempos del GRPS, precisamente, porque ya existían otros servicios WAP o por SMS que te permitían suscribirte y pagar en tu factura.

Y ahora ya no existe, pero recuerdo hará 10 años o así que no sé si era en Movistar o en Yoigo, que podías darte de alta en Spotify a través del móvil por SMS y se te cobraba la suscripción en factura

Lo que le pasa al pago a terceros es que las operadoras lo trataron fatal, convirtiéndose en un coladero de estafas, empresas turbias llenándose los bolsillos a base de gente que por darle al botón que no era, acababa suscribiéndose a “los mejores politonos de risa por 5€/mes”.

Lo que pasa, es que ahora que el negocio teleco va como va de capa caída, estarán viendo opciones de “ampliar” el mercado…

la primera es conseguir darle valor a los datos de los clientes, a lo Google.

Otra, es darle valor adicional a la infraestructura (peticiones a que los grandes paguen extra (Netflix, Google…) o venderla/segregarla a lo Telxius).

Otra es ofrecer servicios cruzados para ganar “cuatro perras” sin apenas hacer nada (Movistar vendiendo placas solares de Repsol, Orange con la banca, Movistar y Yoigo en los credifácil, seguros…).

Y otra que si cuela cuela, me imagino que será tratar de meterse en el campo de la mediación de pagos, crear una especie de “Google Pay” o “Apple Pay” para suscripciones tipo Netflix, HBO y lo que surja. Ahí la idea, otra cosa es que lleguen a realizarla y/o tenga sentido en el contexto actual (yo, como cliente, por qué ligar mis suscripciones de terceros a mi operador, en vez de mi tarjeta bancaria?) → aquí es donde entra la idea de encorbatados de “permitirá aumentar la vinculación de los clientes a la marca, reduciendo el churn, reduciendo costes y aumentando la fidelidad de la cartera, estabilizando el flujo de ingresos blablabla”, sin pensar si de verdad para llegar a eso, lo que proponen de partida tiene sentido y aporta algo al cliente

Lo mismo que las operadoras ofreciendo servicios en la nube que nadie usa, aparatos a cero euros por 3 años (no es permanencia encubierta! Ojo! Para nada!), permanencias crecientes que como cliente me tendrán encantado obviamente, etc etc

Tras toda esta chapa, si te referías a que los pagos a terceros deberían de estar limitados para los servicios de la telecos, te doy la razón (en mi opinión).

PeaceKappas
1

Siendo realistas lo acabará usando la admin. pública (alegando seguridad y facilidad de uso, jaja).

Cualquier otra app o servicio pasará olímpicamente de esto. Está por ver la opinión de las big tech. Me extrañaría verlas pasar por este aro…

Puro control y cerco a la libertad. Sencillamente asqueroso.

🗨️ 1
Sokiev
1

Bueno, depende.

Si el coste es relativamente bajo y de verdad tiene apoyo de las grandes (MS, Google, AWS), implícitamente imagino que con buen soporte, veo posibilidades de que muchas empresas le den uso.

Por ejemplo, la validación del móvil, para procesos de contratación/identificación que lo requieren, puede resultar más barato tirar de esta API que no enviar un SMS con un código como se hace ahora.

Rizando el rizo, si es relativamente barato, que la banca móvil pueda consultar la validez de tu SIM y evitar transferencias de alto valor desde el móvil si tu SIM ha sido duplicada (en el mismo operador, no porta) en los últimos 3-5 días.

Si todo esto funciona también con VPN, servicios transnacionales (Netflix por ejemplo) podrían poner coto a las cuentas en Argentina y en Turquía con la consulta de ubicación de la SIM según la antena utilizada y/o el estado de roaming (que, imagino, indicara también, estes o no en roaming, el país en el que estás). De esta manera, sí, puedes crearte cuenta desde el PC, pero nunca podrías usarla desde el móvil ni con VPN, ya que te pillarían (ojo, desconozco si todo esto funcionaría con VPN, entiendo que sí?)

El contraste de localización con el GPS (antispoofing) seguro que hay muchas Apps que también lo usarían (se me viene a la mente, sin ir más lejos, desde apps de citas hasta el Pokémon go)

Si será por usos…

Pero esto es lo de siempre, todo acabará dependiendo del precio que se le ponga y el soporte que tenga.

Hace muchos años también nadie compraba la idea de la banca del pago móvil (se decía que tendrían la batalla perdida frente a las “fintech” que aparecían, los medios de pago de las grandes tecnológicas, PayPal etc etc) y ahí tenemos Bizum que ha sabido triunfar aún con sus (lógicas) limitaciones. Pero claro, porque la banca supo adaptarse a que el servicio o lo hacían ellas así (gratuito, instantáneo, interbancario, sencillo…) o vendría alguien a quitarles el negocio (y ya el Banco Santander le había visto las orejas al lobo cuando tuvo la “guerra perdida” con Apple porque ésta le pedía la comisión de rigor por permitir a sus clientes usar el servicio). En otros países se usa Venmo, Cashapp, y aquí los bancos consiguieron adelantarse.

En base a la experiencia, no apostaría por las operadoras, pero quien sabe, tampoco nadie apostaba por los bancos hace años y ya ves

Sysman
2

Pues confirmado que probablemente será un fracaso total, porque se han pasado tanto de rosca que si no se lo echan a bajo las autoridades, por muy despistados que andemos seremos los propios usuarios boicoteando las aplicaciones que utilicen estos API o bloqueando (ej. via VPN) las IP de estos servicios.

Los propios fabricantes de los sistemas operativos deberían tener algo que decir (si en Android el IMEI no es un dato accesible via sistema operativo, no tiene sentido que un operador pudiera violar la privacidad por otros medios).

¿Cuándo aprenderán a respetarnos?

Las personas tenemos unos gustos y aficiones porque en nuestra vida vamos eligiendo entre la diversidad y probando cosas nuevas. Siguen sin entender que la publicidad dirigida coacciona nuestra libertad de elección. No entienden que nosotros queremos seguir eligiendo, no que los productos nos elijan a nosotros.

Confiemos en otro fracaso más de los carriers, y a seguir sumando. Que se limiten a cobrarnos lo que de común acuerdo pactemos por nuestros datos, que nadie les hemos pedido otros servicios. Ese es su trabajo y PUNTO, ahí empieza y ahí termina. Si quieren dedicarse a otras cosas, que lo hagan como cualquier otra empresa, sin el privilegio de controlar la red. Que mantengan sus sucias manazas lejos de nuestros dispositivos.

🗨️ 8
Sokiev

Lo que no me queda claro, es si será posible (de manera factible para el usuario medio) “bloquear” esto.

Por un lado, puede que haya servicios que en un futuro, si triunfa, lo requieran (te das de alta en un banco, o validad tu teléfono en tu cuenta de Google como medida de seguridad o tal, y en vez de mandar SMS con código… validan la numeración mediante esta API; o un banco que requiera comprobar la antigüedad de tu SIM para operaciones de alto valor o…)

Por otro, como lo bloqueas? Entiendo que por VPN funcionara igual (una VPN no es más que un túnel… los datos de esta API no dependen de “leer” tu tráfico intermedio, que es de lo único que te protege ante tu operador). Podrías hacerlo con algún firewall/reglas (no me fiaría de DNS tipo pihole, como te metan IPs como fallback (chapuza, lo sé, pero cosas más raras se han visto) ya se saltan tu bloqueo), pero eso ya depende de que sepas qué IPs son y tengas capacidad de bloquearlas etc

Al final, puede que muy pocas personas sepan (y de las que sepan, menos aún que vean rentable) bloquear esto. Sobre todo porque es algo “transparente” para el usuario, no es como el que bloquea anuncios con una extensión que ve un beneficio inmediato.

Supongo que las operadoras estarán contando con esta idea para vender que sí, que puede que el 1% (o menos) de los clientes se salgan del redil, pero el resto estará controlado.

🗨️ 7
aeri

Una VPN sí que protege de esto ya que al realizar la solicitud al endpoint de OpenGateway, la información que recibirá sobre el origen de la conexión no será la misma que el operador te ha asignado directamente, y por lo tanto los operadores no la podrán vincular a tu perfil.

Es decir, esto parece funcionar únicamente si realizas las peticiones desde la dirección IP y red que el operador te asigna. (Situación en la mayor parte de los mortales)

Otra solución como comentas podría ser bloquear dichos endpoints de OpenGatway vía un DNS personalizado o un bloqueador de anuncios tipo uBlock Origin que ya es muy eficaz contra los trackers.

🗨️ 6
heffeque

Lee la lista de nuevo y verás que que casi ningún dato mencionado en el artículo se puede bloquear con la VPN.

El más claro "DeviceIdentifier".

🗨️ 5
aeri

Eso de DeviceIdentifier que lo contiene es es IMEI, marca y modelo del dispositivo, es lo que se obtiene como petición a la API, no es lo que el dispositivo envía, datos que el endpoint no puede saber si no hace "match" con el operador que te proporciona la dirección IP que el endpoint recibe.

Aunque el endpoint se encuentre dentro de la red del operador si sales de ella está completamente perdido y no tiene forma de saber quien eres a no ser que empleen técnicas de fingerprinting.

🗨️ 4
heffeque
🗨️ 3
aeri
2
🗨️ 2
heffeque
🗨️ 1
aeri
1
CuloDePez
4

Presentado por el del gorrito, que así queda más underground. Menudo lobo con piel de cordero.

🗨️ 1
Virutas

O que tiene calva…underground.

Etecnousa
1

Esto va más allá del uso fraudulento de nuestros datos. Es una intromisión en la privacidad pero de libro. Lo más preocupante es que nadie protestará y el tema quedará arrinconado en el espacio de los frikis y los que tenemos una idea, mayor o menor, de lo que esto supone.

Es increíble como se puede pisotear nuestras vidas sin que pase absolutamente nada.

PezDeRedes
1

¿¿¿Pero qué coño es esto??? ¿Dónde queda la privacidad? Se nos mean encima y nos dicen que llueve.

A buscar cómo bloquear toda la basura esta, si es que es posible, claro. Y sí, ya sabemos que el anonimato no existe, pero aquí ya no es que te vean la cara, es que te ven hasta las tripas.

sergio8o
1

Espiar nos están espiando ya.

¿Preferís que os espíe Ericson y Deutsche Telekon con control de las cloacas de la OTAN y la UE, o bien que os espíe Huawei, o sea, Xi Jinping el jefe de Putin y el Ayatolá iraní sin cortapisas?

El Open Getway es un invento europeo para intentar cierta independencia tecnológica, con autorización de Competencia (UE).

No hay gama de grises.

vukits

Sin perjuicio de todo los que se ha comentado.

No todos los proveedores van a implementar las funciones de esta API.

Y les recuerdo de que pueden contratar cualquier proveedor de la UE.

🗨️ 4
sergio8o

Puede convertirse en un estándar europeo igual que Bizum con micropagos.

Bizum es un monopolio bancario bendecido por el Banco de España, para reduir dependencia de Visa y Mastercard (ahora Bizum incorporá comercios).

🗨️ 3
bsq

En mi opinión, el hecho de que Bizum haya triunfado con los micropagos es por un motivo muy importante. Es una clara ventaja para el usuario. De ahí la rápida adopción.

Ahora la API de Open Gateway no estoy tan seguro de que sean todo ventajas para los usuarios, si no más bien alrevés.

Todas las ventajas son para las teleco y según cuales sean las condiciones, puede que interese a los proveedores de contenido.

Por estos motivos, le auguro un rotundo fracaso.

apocalypse

para reduir dependencia de Visa y Mastercard (ahora Bizum incorporá comercios).

Pues una de las veces que lo usé, no funcionaba porque redsys estaba caído. Ya sé que es una pasarela de pago, pero creo que sólo mediante tarjetas, osea…

🗨️ 1
sergio8o

Redsys también es de la banca española, es su sistema interoperativo entre entidades.

Necesita ser incrementado en capacidad. Bizum tiene ahora "cuatro" comercios conectado.

Se rumorea que quieren una prueba piloto más grande de Bizum con una cadena de tienda Mercadona, Repsol, etc.

apocalypse

No se si esto tendrá algo que ver, si están cambiando ya cosas pero, he accedido a Twitter web en modo incógnito y me he encontrado con este mensaje:

{"errors":[{"message":"Your current API plan does not include access to this endpoint, please see developer.twitter.com/en/docs/twitter-api for more information","code":467}]}

Accediendo en modo normal no da fallo.

1