Desanonimizando Dominios (5)

No es lo mismo

No. Como nos quedamos diciendo la última vez, no es lo mismo que un equipo tenga una IP que que equipo e IP sean de la misma persona u organización.

Si realizamos una petición a un servidor utilizando su dirección IP y la respuesta es de naturaleza parecida a la que obtendríamos usando alguno de sus nombres de dominio, todo parece apuntar a que estamos tratando con un servidor controlado por alguien. No con un hosting compartido, sino con un equipo que tiene un único propietario que lo aprovecha para sus propios fines.

Ahora bien, ese equipo puede estar utilizando un servicio de housing. O, como prefieren llamarlo los angloparlantes, de "colocation" o "colo". Con esas denominaciones nos referimos a empresas que tienen sus CPD con redes de conexión a Internet y alquilan espacio y recursos a quienes quieran ubicar en ellos sus ordenadores.

Y ese es el caso en los servidores que vimos anteriormente, como puede comprobarse consultando el registro de Whois asociado a sus direcciones IP:

Establecemos así otro vínculo entre propietarios de sitios web y empresas con las que contratan servicios. Y que algo sabrán de sus identidades porque, como poco, les cobran el servicio de forma periódica.

Esto también quiere decir que una misma IP puede fácilmente haber pasado por varios inquilinos a lo largo de los últimos años. No debe olvidarse que parte del modelo que estamos descubriendo se basa en crear muchos dominios "de usar y tirar" que no suelen registrarse por más de un año y que, en muchos casos, no llegan siquiera a eso porque suelen ser reportados por SPAM y otras prácticas no deseadas. Una cosa a tener en cuenta a la hora de correlacionar información.

La segunda "trampa"

Sea como sea, algo raro hay cuando en un pequeño rango de IPs se encuentra un elevado número de servidores que han sido denunciados en diversos medios por tener un comportamiento poco recomendable. Por ejemplo, tenemos esta página

La mayor parte de estos dominios ya no existen. Pero podemos intentar averiguar qué camino siguieron. En este caso vamos a utilizar la herramienta "Domain History" de WhoisRequest para ver cómo evolucionaron los servidores DNS asignados al primero de los dominios:

Hay que tener en cuenta que las fechas pueden no ser exactas. Porque una cosa es la fecha en que se actualiza la base de datos de Whois (que es la mostrada en la imagen) y otra distinta aquella en la que los cambios tuvieron lugar. De hecho, utilizando DomainHistory.NET (no confundir con el anetrior), una herramienta para encontrar datos de whois antiguos, encontré una copia del Whois de este dominio y pude comprobar que entre ambos eventos había una pequeña diferencia:

La historia de los DNS es relevante por varias razones:

• Si un domino utiliza los DNS de otro, posiblemente haya una relación entre ambos. 
• Un nombre de dominio puede ser registrado por una organización, que lo usa durante un tiempo y después lo cancela. Y, al cabo del tiempo, puede venir otra empresa o persona y volver a registrarlo. Son "vidas" distintas que pueden ser apreciadas por la creación y eliminación de los registros de DNS (como en el mensaje "Domain dropped or Nameservers Removed" del final).
• Y por acabar esta lista, necesariamente no exhaustiva, tenemos el tema del "parking de dominios". En la imagen anterior puede observarse como el 17 de marzo de 2014 se observó un cambio de DNS, Anteriormente había venido siendo equipos cuyo nombre estaba asociado al dominio pero después pasaron a otro cuyo nombre "park...." apunta en esta dirección.

Esto del parking de dominos es un negocio relacionado normalmente con el SEO o la venta de visitantes. Si tienes un dominio que no usas, se lo "cedes", normalmente a cambio de una contraprestación económica, a una empresa de parking  para que ellos sí lo utilicen. 

¿Y qué hacen las empresas de parking con los dominios que consiguen? Seguro que lo has adivinado: poner enlaces publicitarios a otros sitios. O hacer que el tráfico que llegue a estos dominios se redirija a otros servidores. Y, claro, los destinos en ambos casos pagan por lo que reciben. Una dato que quizá sea revelador es que si buscas "domain parking cloaking" aparecen 405.000 resultados. Por si no sabes lo que es cloaking...aquí tienes un poco de lectura.

¿Qué historia nos cuentan las tres imágenes anteriores? La de un dominio que, a poco de ser creado, ya era objeto de denuncia pública por SPAM. Había sido registrado por sólo un año y cuando este tiempo terminó, comenzó el "plazo de gracia" que suele darse a los registrantes, durante los cuales ya no controlan el dominio pero sigue siendo posible renovarlo, que suele ser de alrededor de un mes. Y durante ese tiempo, parece que el dominio estuvo "apacado".

Resumiendo: a la hora de atribuir un comportamiento a un dominio hay que ver si éste se encuentra aparcado o no. En este caso, parece que fue el comprador original del dominio quien lo instaló en esa IP de un servicio de housing y posteriormente fue denunciado por SPAM.

Y no es una historia de un dominio solitario. Muchos de los denunciados en aquella página vivió similar aventura

Usando DomainHistory.NET se puede encontrar datos antiguos sobre algunos de estos dominios. Interesante similitud:

Mismo agente registrador. Fechas parecidas. Y, aunque distinto nombre y distintas cuentas de correo (eso sí, gratuitas) el mismo teléfono. Uno que, cuando se busca, aporta muchos resultados. La inmensa mayoría, relativos a la misma materia:

Por cierto, que StatsInfinity es otra herramienta de las buenas a la hora de investigar dominios. Y nos puede ayudar a comprobar que, aunque haya varias direcciones de correo involucradas, cada una de ellas fue utilizada unas cuantas veces.

Desanonimizando Dominios (4)

Todos tenemos una historia

Sigamos con la historia de ayer y esas IPs cercanas entre sí que parecen tener cierta relación. En todas se fue encontrando dominios web relacionados con la venta de fármacos. Algunas incluso ofrecían este comportamiento si se visitaba directamente la dirección IP.

En los casos que revisé me encontré con sitios que no eran realmente tiendas. Algunos, incluso, eran blogs con contenidos bien elaborados (al menos en su forma, que yo no sería capaz de distinguir si lo que decían era verdad o no).

Pero, si se navegaba un poco por ellos, la mayoría terminaban ofreciendo un enlace a un sitio externo que sí parecía vender fármacos. O que parecían haberlo hecho en el pasado, ya que con frecuencia estos dominios de destino habían caducado.

Hubo un caso gracioso. Recordarás la imagen con la que acabábamos el último post:

La última de las ventanas hablaba de que próximamente habría contenidos para un dominio "recién creado" ("just created"). Pues bien, ese dominio, a fecha de hoy, no está registrado.

Pero... en su día lo estuvo. Y algunos servicios permiten comprobar que estuvo funcionando hasta el año 2015

Este dominio se registró sin usar un servicio de anonimización, aunque posiblemente bajo una identidad falsa. En todo caso, la dirección de correo puede llevarnos a descubrir otros dominios de la "misma marca":

Y, como se recordará, estamos hablando de un dominio asociado a una IP de aquel bloque en el que había cosas interesantes. Claro que, como el dominio ya no existe, un nslookup no nos podría confirmar que éste se encontraba en su día efectivamente alojado en la dirección IP detectada.

... salvo porque todos tenemos un pasado e Internet se encarga a menudo de recordárnoslo. Hay por ahí servicios que permiten consultar registros históricos de DNS. Historical DNS les suelen llamar. "DNS History" es uno de ellos:

Sí. Hay registros de que ésa fue su IP.

Pero que un equipo tenga un IP no quiere decir que el dueño del equipo sea dueño de la IP...

(continuará)

Desanonimizando dominios (3)

Compañeros de viaje

Vimos anteriormente un sitio web que había sido promocionado utilizando técnicas de Black Hat Seo.

¿Será un dominio aislado o formará parte de una red? Una posible forma de salir de dudas consistiría en analizar sitios web que han sido vulnerados para promocionarlo e intentar determinar qué otros dominios fueron promocionados en el mismo ataque.

Por supuesto, en estos casos siempre cabe la posibilidad de que dos dominios independientes sean promocionados de forma conjunta. Quizá dos webmasters encargaron al mismo delincuente trabajos parecidos y éste cobró a ambos por separado pero "trabajó" sólo una vez. De modo que habrá que hacer comprobaciones posteriores y analizar los datos en conjunto.

Y para ver dónde pusieron enlaces a un sitio, tanto si es por las buenas como si por las malas... ¿Qué mejor que una herramienta de SEO?

No queda más que ir probando páginas, quizá utilizando Referers o User Agents falsos para simular tráfico procedente de búsquedas o buscadores, e ir viendo enlaces. Ahí encontraremos tanto otras víctimas como dominios que fueron promocionados a costa de aquellas.

En este caso, se trata de dos dominios con datos de Whois muy distintos:

... pero IPs relativamente parecidas

IPs que, además, si se visitan tienen un aspecto similar y peculiar

Y que no por raras están solas. Si se miran unas cuantas de las más próximas a ellas...

(continuará)

Desanonimizando Dominios (2)

Relacionando datos

En el post anterior vimos como a la hora de registrar dominios cada vez más gente utiliza sistemas de protección de la privacidad.

Y también como a veces estos sistemas tienen sus fallos y permiten saber si varios sitios comparten o no propietario. Esta agrupación de datos mejora considerablemente la posición del que investiga (y empeora la del investigado) ya que un pequeño despiste a la hora de gestionar o promocionar un dominio puede revelar información y, en estas condiciones, el alcance de la misma se extendería a todos los dominios.

Por poner un ejemplo, en cierta ocasión me encontré con alguien que había publicado un anuncio en Internet. Buscaba trabajadores para su nuevo sitio web, y en el anuncio indicaba su dominio y... su nombre y su teléfono móvil. Datos que, a partir de ese momento, quedaban relacionados no sólo con el mencionado dominio sino también con cualquier otro que esa persona pudiera tener.

Afiliaciones

Comencemos con este resultado de Google.

El sitio web al que pertenece corresponde a una escuela infantil en Florida.  Y de hecho, eso es a lo que se llega si se copia la URL en la barra de direcciones del navegador. Pero si se hace clic en el enlace del buscador, la "magia" del cloaking hace que termines en una tienda:

... la cual tiene un enlace interesante en la parte inferior.

De esto ya hablamos en otra ocasión: la tienda a la que llegamos antes no era en realidad una farmacia. Lo reconocen, si alguien tiene ganas de leerlo, en su página de "About us". En definitiva, participan en un programa de afiliados cuya matriz paga a otros para que vendan sus productos o le proporcionen oportunidades de negocio.

En estos casos es habitual que cuando envías un potencial cliente o asociado, algo en la petición HTTP indique tu identidad. Un código de afiliado, muchas veces en forma de parámetro GET. Es la forma de decirles "oye, que te envío esto... después me pagas mi parte".

Y puede que encuentres alguna URL con dicha información al visitar la página o quizá en algún foro en el que estén publicitándose. O quizá lo halles al utilizar herramientas SEO para investigar la web matriz del programa de afiliados:

Si es así, con otras herramientas SEO podrás encontrar sitios en los que se referencia dicha dirección. Puede que sea una cuenta lanzando SPAM en un foro. Puede que una página gratuita creada expresamente para ello. Puede que incluso sean dominios que, como en el siguiente caso, redirigen a la URL. Pero, dado que nadie hace nada gratis en este negocio, podrás afirmar, con poco riesgo de equivocarte, que hay una misma persona detrás de todos estas acciones:

Si se mira la IP de ambos dominios, resulta ser la misma. Y el registro Whois dice algo parecido:

Por cierto... la cuenta de correo pertenece a un dominio que dice dedicarse a proteger tu identidad en los registros Whois. Pero parece que uno de esos que dan una dirección distinta a cada cliente.

... y si buscas bien encontrarás más dominios asociados:

No me cansaré de repetirlo. Dedicarse al SEO no tiene por qué ser malo. Hay muchos profesionales que trabajan de forma honesta en este campo. Pertenecer a un programa de afiliados, o dirigirla, tampoco tiene por qué ser señal de cosas oscuras. Pero en cada una de estas actividades hay quien utiliza técnicas que sí entran en el campo de lo ilegal o lo ilegítimo.

Y quienes los contratan, los buscan o los aceptan expresamente en sus negocios:

(continuará)

Desanonimizando Dominios (1)

Anonimizar y Desanonimizar Dominios ¿Para qué?

Comienzo aquí un spin-off de la serie de posts sobre SPAM en comentarios. Ya sabes: temas relacionados pero distintos. Como recordarás, teníamos una lista de dominios que estaban siendo promocionados mediante SPAM en foros, blogs y similares y habíamos echado un vistazo a algunos de ellos en dos entregas (1 y 2).

Si quieres saber a quién pertenece un dominio, puedes empezar mirando sus páginas. ¿Quién sabe? Quizá des con un teléfono del que tirar o en la sección de "Quiénes Somos" encuentres datos interesantes. El siguiente paso sería, en buena lógica, consultar los datos de registro de Whois, en las que se recogen el nombre del registrante del dominio, su dirección, su dirección de correo, su teléfono,...

Pero cada vez es más frecuente toparse aquí con datos anonimizados. Datos puestos por empresas que se dedican a ocultar los datos de los registrantes. No hace falta que un sitio web se dedique a actividades ilegítimas para que un servicio como éste tenga sentido: la razón puede ser, por ejemplo, evitar el correo no deseado. O salvaguardar de la privacidad de un particular que registra un dominio y no quiere que sus datos anden sueltos por ahí.

Pero cuando tenemos un montón de dominios y queremos determinar si pertenecen a una misma organización, o a una determinada red de sitios para SEO, estas ventajas juegan a favor de quienes están haciendo lo que no deben.

Programas para consultar Whois

Cuando se trata de analizar un buen número de dominios siempre es conveniente tener unos cuantos scripts y herramientas a mano. En lo que a Whois respecta, mis programas para Windows preferidos son tres. Y no necesariamente en el orden que los pongo:

•  El primero nos lo proporciona la propia Microsoft y es una herramienta de línea de comandos creada por el bien conocido Mark Russinovich. Su nombre no podía ser más claro: Whois.
• También para línea de comandos es "WhoisCL", de Nirsoft. 
• Finalmente, uno con su GUI, de nuevo creado por Nirsoft: "Whois This Domain".

Mi experiencia es que lo mejor es crearse unos cuantos scripts con herramientas de línea de comandos. Pero si se tiene prisa y/o pocas ganas de complicarse la vida, en unos minutos puede bajarse "Whois This Domain" y el fichero de servidores Whois disponible en la misma página de descarga. Se arranca el programa, se copia en él la lista de dominios a estudiar, se hace clic en el botón de "OK" y, al cabo de un rato, la información estará ahí:

Si se quiere copiar el resultado a una hoja de cálculo, basta con seleccionar todos los elementos y hacer clic en el botón correspondiente de la barra de herramientas. Eso sí, como el programa no siempre consigue extraer toda la información de la respuesta del servidor Whois,  es conveniente realizar una revisión manual antes de dar los datos por buenos.

Correlaciones

El problema a la hora de investigar son aquellos dominios que en la imagen anterior tienen un "Yes" en la columna "Private Registration". Los que han anonimizado los datos del registrante.

Hay cosas que, sin ser definitivas, pueden constituir indicios de que dos sitios comparten propietario. Formas de llamar a los dominios, uso de la misma entidad de registro (registrar), dominios registrados en la misma fecha, sitios webs con contenidos muy parecidos, cruces de enlaces entre dominios, enlaces a varios dominios en un mismo sitio que ha sido vulnerado o en un mismo apunte que ha sido víctima del SPAM, etc. 

O la forma de publicitarse. En algunos casos he encontrado cuentas de foros que, tras dedicarse durante un tiempo a hablar bien de un determinado sitio web, de pronto pasa a comentar también de forma positiva las cualidades de otros. Y... ¿sabes qué? Al final terminé comprobando que todos pertenecían a la misma persona.

Por otro lado, no todos las empresas "anonimizadoras" son igual de efectivas. Y no ya porque puedan dejar de ocultar algún dato (que de todo hay) sino por la forma en que proporcionan su protección. Así, algunas utilizan la misma cuenta de correo de contacto para todos sus clientes, encargándose ellas de redirigir los mensajes oportunos. Eso parece bastante seguro. 

Otras crean una dirección para cada dominio, lo que proporciona privacidad pero menor grado de protección contra el SPAM. 

Y, finalmente, están las que asignan a cada cliente una cuenta de correo. Lo cual no sé cómo irá para el SPAM, pero permite detectar redes de dominios. Como en este ejemplo:

Dos dominios que ahora sabemos que pertenecen (o perteneció en el caso del último resultado, porque ya expiró) a la misma persona. Aparte de usar los buscadores, hay herramientas, como Whoisology, que ya vimos en otra ocasión, DomainBigData, Whoismind o el "Reverse Whois Lookup" de ViewDNS, por citar algunos, que pueden ser de utilidad en esta tarea. Los resultados pueden ser de lo más interesante:

(continuará)

Vestidos y con la casa arreglada. SPAM en comentarios (4)

Como el dominio estudiado en el post anterior era raro, raro, raro, quise echar un vistazo a la base de datos de Whois por si pudiera encontrar algo. Muchas veces utilizan mecanismos para garantizar el anonimato, pero nunca se sabe.

Y esta vez hubo algo de suerte. El dominio era muy reciente. Creado el último día de Mayo de 2016 (para quien pase por aquí dentro de algún tiempo, debo decir que escribo esto en la primera mitad del junio siguiente). Y registrado por sólo un año. ¿para qué arriesgarse? En cuanto al propietario...

Si lo de dominios recientes y de breve duración ya es sospechoso, el nivel de atención debe incrementarse cuando la dirección de correo usada para el registro pertenece a un servicio gratuito, como es el caso.

Y, hablando del e-mail... resulta llamativo que utilice un alias. Para quien no use GMail o aún no se haya visto en la necesidad de usar esta funcionalidad, aquí puede encontrar una explicación del concepto: en pocas palabras, si tomamos el correo de la imagen anterior, la verdadera dirección viene dada por el nombre de usuario que precede al carácter "+". Lo que sigue hasta llegar a la arroba "@" es un alias. Después, por ejemplo, se pueden usar reglas de correo para que todo lo de este alias se clasifique de determinada manera.

Pero en la lista de dominios había otro caso parecido. También en CloudFlare. También con nombres de equipo autoexplicativos:

Sí. En la parte superior aparecen algunos que tienen aspecto de tener relación con venta de ropa de cama. Que si de tal película, que si para tal tamaño de lecho, que si dónde comprar... Un dominio que parecía hermano del anterior, pero dedicado a otros temas. La información de Whois dejó claro el parentesco:

El correo es el mismo. Pero usando otro alias. Por lo demás, ambas direcciones postales pertenecen a los EE.UU. pero ahí acaba todo parecido. Son distintas hasta en el estado. Y los números de teléfono también son diferentes. No quisiera ser mal pensado, pero cosas como éstas huelen a falsas identidades. Pero, claro, ¿quién no tiene una falsa identidad en Internet?

Más por probar que por otra cosa, busqué el correo original en Google: Tres resultados

Los tres de datos de Whois y en los tres con los mismos datos 

Ahora bien, usando distintos alias de correo sí que se registró un buen número de dominios:

Cada cual con sus propios datos:

Desde luego, dando con esta gente uno tiene solucionados un montón de temas: te venden casas y te hacen la mudanza; te venden nórdicos, cortinas y muebles de exterior; tienen bombillas y lámparas, aspiradoras, purificadores de aire u ordenadores; te surten de calzado deportivo y camisetas. ¡Incluso te ayudan a perder peso!

Eso sí, los sitios web parecen a medio hacer. Les faltan datos. No funcionan algunos de sus enlaces. Incluso los hay con pinta de poco trabajados:

(continuará)

Vestidos y con la casa arreglada. SPAM en comentarios (3)

Tras haber echado un vistazo a algunas direcciones IP desde las que se intenta insertar SPAM en foros y blogs, no estaría de más hacer algunas pruebas con la lista de dominios a los que estas publicaciones querían promocionar.

Una de las cosas llamativas es que, aunque aparecen muchos equipos, realmente sólo hay unos pocos dominios. Por ejemplo, la última docena de hosts que aparecen en la imagen pertenecen a un dominio que, por lo que puede deducirse de su nombre, parece relacionado con la venta de camisetas. Cada nombre de equipo  hace alusión a un tipo de prenda: que si para caballeros, que si de tal o cual tienda, que si de tal o cual personaje...

Cuando probé a visitar una de estas direcciones tuve una respuesta que no me gustó nada. Nada de nada:

¡Que me han bloqueado! Y cuando me explican la razón... que algo habré hecho. Que quizá traté de inyectar comandos SQL. ¡Yo! ¡Cómo se les puede ocurrir algo así! ¡Y que le ponga un correo al dueño del dominio para ver si me deja! Sentado me puede esperar.

Bueno. Por lo pronto ya vemos que usan CloudFlare (como por otro lado indicaban las direcciones IP). Pero ¿qué puedo haber hecho yo para que mi acceso sea considerado "inadecuado"? 

Se me ocurrió que si se dedicaban a lo del "SEO feo"... posiblemente tuviera que ver con buscadores. Así que probé a preguntar a Google por el dominio:

Y a probar su copia cache:

Ahí estaba. Y muy reciente. ¡Ah! A Google sí y a mí no ¿eh?

Visto lo visto, tenía que probar a hacer clic en el enlace del resultado del buscador. Y ahora sí que me dejó entrar:

Aunque, viendo los precios, creo que tampoco merece mucho la pena tanto esfuerzo...

Por si a alguien le quedaba alguna duda de cómo se utiliza el dominio... el texto que aparece al final de la página quizá le proporcione el indicio que le falta:

Una página con contenidos diseñados para los buscadores, más que para las personas. Y que utilizaba una forma de cloaking medianamente original: aprovechar los mecanismos de protección de CloudFlare y catalogar como posible ataque cualquier intento de acceso que no proceda de un robot de un buscador (por ejemplo, GoogleBot) o no tenga como cabecera "Referer" la URL de una página de resultados.

¿Y quién se puede dedicar a crear cosas como ésta?

(continuará)

Vestidos y con la casa arreglada. SPAM en comentarios (2)

Sigamos la historia por donde la dejamos la última vez. Teníamos los datos de los logs de SPAM en una hoja de cálculo.

Había un primer trabajo a realizar: obtener las IP de los dominios promocionados. Y también las de los equipos desde los que se había intentado publicar los comentarios, puesto que algunos venían dados como nombres de host. Así que dejé un par de minutos corriendo un script que eliminara duplicados y, a base de nslookup, me hiciera el trabajo.

Alguna cosa curiosa hubo. Como nombres de equipo que, pese a lo reciente de los logs, no eran resueltos por los DNS.

A veces, este tipo de resultados no son concluyentes. Por ejemplo, hay veces que los DNS de un país no responden a ciertas peticiones, como ya vimos cuando hablábamos de la información personal que puede haber suelta en Internet sin que sus titulares hayan hecho nada. Quizá resultado de sentencias judiciales o resoluciones administrativas. Quizá "trucos" para pasar desapercibidos. Quizá... 

O, sencillamente, porque los DNS no resuelven ese nombre y ya está.

Lo bueno es que mis DNS puede que no sepan la IP que tenía ese equipo, Pero Google sí:

Y, curiosidades de la vida, ahora que sabemos la IP podemos hacer una petición de resolución inversa y...

¡Ahora sí! Pero no fue éste el único resultado llamativo. Otro me hablaba de cómo se había conectado el spammer:

Como era de esperar, había utilizado un proxy para evitar revelar su verdadera IP. Y buena parte de las direcciones eran eso: proxies o nodos de salida de la red Tor.

Una dirección tuvo, sin embargo, una historia diferente. Whatismyipaddress.com no decía que fuera ningún mecanismo de anonimato. Y cuando pregunté a Google qué sabía de ella, uno de los resultados me dio un nombre de equipo distinto al que había encontrado en los logs...

En realidad, más de uno:

Una IP con varios nombres es más típico de un servidor que de un cliente. Así que probé a poner estos nombres de equipo en la barra de direcciones de mi navegador. 

El comportamiento del que fui testigo da que pensar. Uno ve como su navegador es redirigido varias veces y termina en páginas que en muchas ocasiones parecen encuestas o sorteos, como ésta en que se utiliza la imagen y el nombre de Facebook, a pesar del nombre real del dominio, y también la marca Apple:

Y debo ser un tipo afortunado. Eran cuatro preguntas facilonas y cuando terminé de responder la encuesta me dijo que podía ser premiado con un IPhone y cuando pulsé el botón de ir a por mi premio fui redirigido a una página de sorteos:

Una historia similar, con el mismo protagonista final puede leerse en un artículo de la Oficina de Seguridad del Internauta del INCIBE (antiguo INTECO). 

En principio, éste último al que llegué parece simplemente una web donde participas en el sorteo a cambio de darles tus datos y permitir que ellos se los pasen a otras empresas. Más de 60, según el listado al que se accede haciendo clic en el enlace "Patrocinadores". Y además das tu permiso para que te manden publicidad.

Por otro lado, está claro que se promocionan mediante gente que tiene unas prácticas al menos cuestionables. Y algo tendrán en mente cuando en sus "términos y condiciones" dicen algo al respecto:

Antes de dejar este dominio atrás y pasar a otra cosa, usé Whoisology, una herramienta de consulta de Whois que te permite navegar por los datos. La información que proporciona no siempre es tan completa como uno deseara, pero a veces te permite enterarte de cosas interesantes. Como que hay más dominios registrados con la misma dirección de correo electrónico.

Antes se vio como esta IP usada para enviar SPAM tenía asociadoes varios nombres de dominio. Yo sólo había probado uno de ellos. Cuando lo intenté con el resto tuve un resultado similar. Lo único que cambiaba era el sitio al que terminaba siendo redirigido.

Además, si uno tomaba uno de estos dominios y lo visitaba en repetidas ocasiones, cada vez iba siendo redirigido a un sitio distinto. En algún caso a dominios que huelen mal. Como uno cuyo nombre parece querer engañar a la gente y hacerse pasar por una página de Apple:

He puesto sólo unos cuantos. Hay más. Pero a base de probar los vas viendo todos. Y cuando ya no les queda sitio nuevo dónde mandarte... ¡te intentan vender el dominio! Desde luego, parecen tener claro que no quieren enviar dos veces la misma persona a sus clientes.

(continuará)