De: A: Asunto: Fecha: Foro para profesionales de bibliotecas y documentacion. en nombre de Francisco Javier Saiz Rodrigo [email protected] [IWETEL] Como hackear una revista martes, 01 de diciembre de 2015 13:51:21 En el año 2014 se publicaron más de dos millones de artículos en más de veinte mil revistas científicas. Un negocio de diez mil millones de dólares de los que unos 250 millones de dólares provienen de pagos online (por artículo, por suscripción, o por publicar). Aun sin descuidar la seguridad y la administración de un sitio web en este caso como pueda ser una editorial no impide que pueda ser un objetivo fraudulento de robo de identidad o secuestro de dominio. Nos lo cuenta John Bohannon, “How to hijack a journal,” Science 350: 903-905, 20 Nov 2015, doi: 10.1126/science.350.6263.903. El listado de las 24 revistas del Web of Science que ahora mismo están pirateadas está en John Bohannon, “Journal hijacking supplemental data,” Science News, 19 Nov 2015. la técnica es conocida como hijacing (Home Page Browser hijacking). No se trata obligatoriamente de hacer modificaciones en la página oficial. es mucho más sencillo. El pirata informático solo tiene construir un clon de la página oficial y redirigir hacia la pagina falsa todo el tráfico lo que le permitirá obtener contraseñas, datos de pago o incluso recibir pagos directos. Ninguna editorial grande o pequeña esta libre de este tipo de ataques. Para sustituir tu página oficial de inicio y reemplazarla por otra idéntica no necesitas necesariamente de programas de secuestro ni cambiar configuración del navegador de usuario. Supongamos que yo quiero secuestrar la editorial Alfaguara ( perteneciente al grupo editorial random house) Para ello bastaria con construir una pagina de inicio como las webs que tiene vinculadas a España, por ejemplo ( megustaleer.com ). Clonar la pagina de inicio es relativamente fácil para cualquiera que tenga minimos conocimientos de html. Lo primero es hacernos con el dominio ( megustaleeer.com y tambien megustaler.com y tambien me.gustaleer.com ) en fin las variaciones en la url son minimas. El propio Bohannon decidió comprobar lo fácil que era piratear una web. Muchos usuarios acabarán en la pagina pirateada pensando que es la oficial. A partir de ahí recrear un sistema de extracción de datos o de pago tampoco tiene mucho misterio. Editoriales mas pequeñas y con menos protección incluso con url que puedan ser mas susceptibles de caer en el error como por ejemplo ( editorialkairos.com) o ( sepin.es) de soluciones jurídicas, pueden ser facilmente redireccionadas a una pagina no oficial. Hacer ir al usuario o investigador a la página que tu quieras con o sin sotware malicioso es muy sencillo para cualquier delincuente que quiera cometer un fraude. Como suele ocurrir con la mayoría de las amenazas que nos podemos encontrar hoy en día circulando por la red, la forma habitual que tienen estas amenazas para infectar los equipos de los usuarios es mediante la descarga de un programa desde una página no oficial, en la que el atacante ha camuflado el hijacker. Normalmente suele darse con páginas de juegos o de contenido adulto, donde se pide expresamente la instalación de algún software para la correcta visualización del contenido. Una vez que hayamos instalado el software en nuestro equipo, el hijacker toma el control del navegador llevándole por tanto a las páginas que queramos. El pulsa su acceso directo a megustaleer.com pero realmente va a acabar donde el pirata quiera. Los 10000 millones todavía estann atados con las suscripciones pagados principalmente por las bibliotecas aunque una tajada importante proviene del gold open-access publishing. En este modelo de negocio los autores de los trabajos aceptados pagan por adelantado para su publicación. Esta parte del mercado tomó en unos 250 millones de dolares el año pasado y está en camino de duplicarlo en pocos años. Ese flujo de caja y la administración de sitios web de muchos editores académicos hacen que sean objetivos jugosos. Hoy en día el mundo de las publicaciones científicas está dominado por las publicaciones online. Toda la industria editorial se basa en el número DOI que asigna direcciones web (URL) a los artículos científicos. Se puede leer en un comunicado de mea culpa en el blog de CrosRef, la organización que mantiene el sistema DOI como el despiste de una tarea administrativa simple dejó al descubierto la redundancia incorporada en la interoperabilidad de multiples sitemas de enlace de los objetos digitales. El dominio doi.org había caducado. Aunque el error de registro no duró mucho, este hecho pudo haber sido aprovechado por piratas para secuestrar no solo los enlaces, sino el sistema entero. Para darse de baja de esta lista, haga clic en: BAJA de IWETEL