Argentina-Venezuela: cola desprotegida

Es conocido que cualquier persona puede conectarse con varios dispositivos a la vez para aumentar sus chances de conseguir una entrada. Esta es una falla en el sistema de la cola virtual usado para la venta de entradas que no aplica las protecciones necesarias. Esta falla se puede abusar al punto tal de que cualquier persona puede garantizarse conseguir entradas con muy poco esfuerzo ni conocimientos informáticos.

Si entraste acá solo para conseguir entradas para el partido probablemente no vas a encontrar ninguna utilidad en este texto. Las entradas de este partido ya están agotadas, y la falla en el sistema que se detalla acá ya va a estar arreglada para el próximo.

Actualización Jul/2022. Este post tuvo nula repercusión y lamentablemente la misma falla de seguridad se sigue repitiendo en otras colas virtuales, esta vez para la venta de entradas del Lollapalooza 2023. Lo más triste es que la empresa que maneja esa cola virtual es Queue-it, justamente la misma que publicó un artículo (ya citado en el apéndice de este post) con las protecciones básicas que son necesarias en estos casos, de las cuales no aplica ninguna.

Introducción: sorteo del lugar en la fila

Empezamos describiendo el sistema de venta de entradas actual como si funcionara de forma presencial. Antes, la gente formaba fila en el estadio previo al comienzo de la venta de entradas y el que llegaba primero quedaba antes en la fila, y entonces tenía más chances de conseguir una entrada cuando empezara la venta. Ahora, todos los interesados en comprar una entrada se reúnen una hora antes en el estadio y se les da un número para un sorteo que determina su lugar en la fila de compra. Llegada la hora de venta se sortean los lugares: se va cantando en voz alta cada número que sale y el que tiene ese número puede pasar a la fila de compra. Los “ganadores” entonces quedan en la parte delantera de la fila, con pocas personas adelante y muchas chances de conseguir una entrada, mientras que a los “perdedores” les toca el fondo de la fila, con tanta gente delante que es prácticamente imposible conseguir una entrada. Esta situación es inevitable porque obviamente no hay tantas entradas para la demanda de gente, así que el sistema trata de ser igualitario dándole a todos la misma chance de llegar a comprar una entrada.

El sistema real de venta de entradas es el descrito antes solo que no hace falta ir físicamente al sorteo, sino que se realiza virtualmente cuando nos conectamos con la computadora a la página oficial de venta de la empresa Autoentrada. A partir de una hora antes de comenzar la venta nos lleva a lo que llama la “pre-cola”, que es donde se va a realizar el sorteo llegada la hora de comenzar la venta, y luego en base al resultado del sorteo nos va a asignar un lugar en la “cola virtual” (fila) para comprar una entrada.

A diferencia del sorteo presencial, el sistema se encarga de realizar todo automáticamente y de llevarnos luego a la fila. No vemos cuál es el número que nos tocó para el sorteo, ni hay necesidad de estar pendientes de cuándo lo cantan para no perder el lugar en la fila. El sistema identifica a todas las personas conectadas, les asigna un número a cada una y hace un sorteo internamente que no vemos: solo notamos estar en un momento en la sala del sorteo y luego, a la hora de la venta, ser llevados a la fila en un lugar al azar, que no tiene que ver con cuánto antes nos conectamos al sitio (los primeros en llegar no son necesariamente los primeros en la fila).

Este sistema de sorteo virtual para conseguir un lugar en la fila de compra está manejado por otra empresa aparte, llamada Enqueue, sin (aparente) conexión con Autoentrada, y de la que hay muy pocos datos públicos. El único contenido encontrado es una serie de artículos publicitarios sobre su sistema. Su página web no responde y los datos de registración de la misma están redactados. Creada recientemente en el 2020, parece haber prestado servicios casi exclusivamente para Autoentrada.

El problema: más de un número por persona

La idea es que a cada persona que se conecta se le dé un solo número para el sorteo, pero el sistema está desprotegido y puede ser abusado para obtener más. Esto es de público conocimiento: una persona puede conectarse con el celular, la laptop y la tablet para obtener 3 números para el sorteo, uno por cada dispositivo. Aunque parece algo menor, esta desprotección puede ser abusada al extremo de que una sola persona puede conseguir un cantidad ilimitada de números para el sorteo, prácticamente garantizando estar dentro de los “ganadores” y tener la oportunidad comprar una entrada. Esto es posible sin necesidad de tener varios dispositivos, ni dedicar mucho tiempo o esfuerzo, ni tener grandes conocimientos informáticos.

Cada vez que un navegador cualquiera se conecta a la página del sorteo para obtener un número, el sistema se lo da sin preguntarle nada. No se hace ningún tipo de chequeo básico: no se verfica si a esa persona, que debería estar registrada en Autoentrada, ya se le dió un número para el sorteo, ni se verifica que de hecho haya una persona operando el dispositivo (podría ser un programa solo, funcionando automáticamente, que pide contínuamente números).

El navegador en sí no tiene ningún tipo de preparación especial para participar del sorteo, usa un mecanismo ya existente llamado “cookie”, que no fue pensado para esto y por tanto tampoco tiene ninguna protección contra estos abusos. Las protecciones deberían estar del lado del sitio web que opera el sorteo, pero Enqueue no aplica ninguna. (Para más información de las protecciones necesarias ver los detalles técnicos en el apéndice.)

La cookie (término en inglés que se pronuncia como “cuqui”) sirve para identificar a un usuario que visita un sitio web, para luego poder reconocerlo en futuras visitas. Cuando nos conectamos a un sitio web por primera vez, este nos asigna una cookie para identificarnos a futuro, luego, cuando nos volvemos a conectar mostrando esa misma cookie el sitio nos recuerda como la persona que lo visitó antes. La cookie nos diferencia de otros usuarios: es nuestro número de documento que define nuestra identidad. Otra persona, conectada con otro dispositivo, tendrá su propia cookie identificatoria, y así el sitio web podrá distinguirla de nosotros.

Las cookies tienen ahora mala fama porque son abusadas por los sitios web para monitorear y compartir información de los usuarios con fines publicitarios, pero originalmente se usaban simplemente para que el sitio web nos “recordara”, por ejemplo, para mantener la sesión del mail abierta. Si me conecto con el navegador al sitio web de mi mail, ingresando mi usuario y contraseña para ser llevado a mi bandeja de entrada, y luego cierro el navegador para volverlo a abrir más tarde, al conectarme al mail nuevamente este va a recordar que yo ya había ingresado, y no me va a volver a pedir mi usuario y contraseña, sino que me va a dar acceso directamente a mi bandeja de entrada. Incluso si pasa mucho tiempo entre conexiones al sitio del mail y (por razones de seguridad) mi sesión de mail caduca, el sitio igual va a recordar mi nombre de usuario como alguien que usó el servicio antiguamente, y solo me va a pedir la contraseña del mismo. Cualquier vínculo que se mantiene con el sitio web luego de cerrar el navegador es gracias a la cookie que nos entregó originalmente y que nos identifica en su sistema.

En el caso específico del sorteo, la cookie es usada por el sitio web para identificarnos y saber si ya nos dió un número para el sorteo o no. Cuando nos conectamos por primera vez el navegador no tiene una identidad (cookie) asignada, así que le avisa al sitio y este le asigna una nueva identidad, a la que le va a corresponder un número en el sorteo. Si luego nos volvemos a conectar, el navegador le muestra al sitio web su cookie para avisarle que ya tiene una identidad asignada, y entonces el sitio no le da otra sino que sigue usando la misma, manteniendo entonces también el mismo número del sorteo para ese navegador. Este mecanismo explicado acá no es evidente para el usuario porque en ambos casos, primera conexión o conexiones subsiguientes, la página del sorteo que se muestra es siempre la misma: la cantidad de tiempo que falta antes del sorteo y la venta de entradas. El sitio del sorteo, a diferencia de nuestro mail, no nos avisa que nos tiene identificados.

Ocultando la identidad

La cookie se guarda en la máquina donde está el navegador, no es algo que controle el sitio web: el navegador revela de forma voluntaria su identidad (mostrando la cookie que ya tiene asignada). Podemos “ordenarle” al navegador que oculte su cookie, que es la única forma que tiene el sitio web del sorteo para reconocerlo, ocultando entonces que ya le fue entregado un número antes. Así el navegador puede pasar por una “persona nueva” sin identidad asignada (sin cookie), recibiendo entonces una nueva identidad (otra cookie distinta), que a su vez tendrá asociado otro número más para el sorteo, de manera de poder ir acumulando varios números bajo distintas identidades.

Desde el punto de vista del navegador y de cómo funcionan las conexiones en internet, no hay nada raro ni ilegal en este comportamiento. La cookie fue diseñada para ser optativa, permitiéndole al usuario preservar su identidad en internet. Justamente por eso los sitios están obligados ahora a avisarnos que las mismas pueden “apagarse” para proteger nuestra privacidad (algo que es muy común ver cuando visitamos un sitio nuevo por primera vez y salta un cartel gigante que nos avisa que “este sitio utiliza cookies”). El problema entonces no es la cookie sino el uso que se le da en el contexto de un sorteo, algo para lo que no estaba diseñada.

Muchas identidades para la misma persona

En el sorteo, cuando una misma persona se conecta con varios dispositivos, cada uno tiene su propia identidad con su cookie asignada, y por ende su propio número para el sorteo, que acumulados en varios dispositivos le dan más chances a la persona de ganar un lugar al frente de la fila de compra. Incluso sin conocer lo que es una cookie, este resultado es intuitivo para cualquiera: no se espera que el sitio del sorteo “sepa” que es la misma persona pidiendo varios números a través de distintos dispositivos (de la misma manera que no esperamos que un mail abierto en nuestro celular sea accesible desde la laptop).

Similarmente, y esto tal vez no resulte tan intuitivo, navegadores de distintas marcas tampoco comparten su identidad, cada uno guarda su propia cookie (los distintos navegadores no colaboran entre sí). Incluso abiertos dentro del mismo dispositivo al mismo tiempo (por ejemplo, una máquina con Internet Explorer, Chrome, Safari, todos abiertos juntos), cada uno va a tener su propia identidad. El resultado es el mismo que con varios dispositivos: si no se comparte la cookie se generan distintas identidades, cada una con su propio número para el sorteo. La diferencia ahora es que ya no es más necesario tener varios dispositivos para conseguir más de un número para el sorteo.

Lo que seguro resulta chocante para la gente que no está al tanto del funcionamiento de las cookies (y su carácter opcional), es que también el mismo navegador es capaz de tener distintas ventanas abiertas de forma aislada, cada una con su propia identidad (o también distintas pestañas aisladas dentro de la misma ventana). Si se desea este comportamiento es necesario ordenárselo de forma explícita al navegador porque normalmente usa la misma identidad para todas sus ventanas y pestañas, ya que es lo que el usuario espera: si estoy conectado a mi bandeja de entrada en una ventana y abro uno de los mails en otra ventana aparte, voy a esperar que el sitio me lo muestre sin volverme a pedir mi usuario y contraseña (voy a esperar que me reconozca como el mismo usuario ya logueado en la otra ventana).

Mientras que inicialmente estábamos limitados por la cantidad de dispositivos que tuviésemos en casa (como también por la cantidad de navegadores distintos que pudiésemos instalar en cada dispositivo), la cantidad de ventanas y pestañas que puede abrir un navegador es ilimitada: la misma persona puede conseguir tantos números para el sorteo como ventanas (o pestañas) se tome el esfuerzo de abrir. Para la cantidad de localidades en venta de este partido, abrir apenas 20-30 ventanas era suficiente para garantizar con bastante seguridad conseguir comprar entradas.

Ejemplos prácticos

Hacer que el navegador tenga distintas ventanas (o pestañas) con distintas identidades no es nada difícil de lograr. Aunque en este texto no vamos a entrar en detalles técnicos de cómo hacer esto, dejamos dos simples ejemplos.

El primero es la conocida navegación privada o “ventana de incógnito”: normalmente usada como una ventana “descartable” que borra todo nuestro historial de visitas cuando la cerramos, además mantiene su propia identidad separada del resto de las ventanas (que no son de incógnito). El resultado es que vamos a tener dos identidades distintas disponibles en el mismo navegador.

El segundo ejemplo, un poco más potente, es una extensión para el navegador de Chrome llamada SessionBox, que permite, dentro de una misma ventana, abrir distintas pestañas cada una con su propia identidad independiente de las otras. (Lo que llamamos coloquialmente identidad en este texto, en el programa se lo identifica con el nombre más técnico de “sesión de navegación”, similar a como decimos que tenemos una “sesión” del mail abierta.)

Estos ejemplos se pueden probar fácilmente conectándose a cualquier sitio al que haya que registrarse: puede ser algo tan simple como el mail, facebook, instagram, etc. Al conectarse al sitio con distintas identidades podemos comprobar que el mail, por ejemplo, que tenemos abierto en una ventana (o pestaña) con su propia identidad, no va a estar disponible en la otra ventana (o pestaña) que no comparta esa misma identidad. Va a mostrarse como si “arrancáramos de cero”: el sitio ni siquiera va a recordar que alguna vez estuvo conectado el usuario que vemos, en ese mismo momento, todavía conectado en la otra ventana.

Conexiones automáticas

El extremo de este abuso al sistema, algo todavía más desigual que todo lo explicado hasta ahora, es armar un programa que se conecte repetidamente y consiga continuamente números para el sorteo, de forma totalmente automática: sin todo el trabajo manual de estar abriendo ventanas del navegador, conectándose al sitio, vigilar cada ventana para buscar cuál fue el lugar asignado y quedarse con la que terminó más adelante en la fila, etc. Esto se traduce en una cantidad realmente ilimitada de números para el sorteo, ya que esta vez ni siquiera hay una interacción humana necesaria, algo que requiere mucho tiempo y esfuerzo, sino que la computadora sola se encarga, en minutos, de conseguir una cantidad tan grande de números que garanticen un lugar suficientemente adelante en la fila para llegar a comprar una entrada.

Lo anterior no es una exageración: en unos pocos minutos una sola persona con una velocidad de internet promedio puede conectarse repetidamente y obtener tantos números que, terminado el sorteo, de las supuestas 160 mil “personas” en espera que reporta la cola virtual, esa sola persona puede estar ocupando simultáneamente, por ejemplo, 40 mil de esos lugares en la fila de compra. No es necesario ser un hacker con 20 años de experiencia robando cuentas para lograr esto: cualquier persona con un par de tutoriales de programación web puede lograrlo tranquilamente. Dado que el sistema es tan básico y está tan desprotegido, solo unos conocimientos introductorios sobre cómo hacer una conexión a un sitio web son suficientes para crear tanta desigualdad en las chances del sorteo.

Conclusión

Reiteramos que ni los ejemplos anteriores ni nada relacionado a la manipulación de las cookies está prohibido en las reglas de conexión a internet, ya que es la manera en la que fueron diseñadas: las cookies y su identidad asociada son propiedad del usuario. El problema es que hay un sitio que no usa ninguna de las protecciones que debería, y peor, no hay forma por parte del usuario de verificar que el sorteo funcione correctamente.

Lo más probable es que si este texto tiene la más mínima repercusión, la empresa se va a tomar el trabajo de poner las protecciones necesarias para que este abuso puntual no vuelva a pasar, pero mientras no haya ningún tipo de control sobre estas empresas futuras fallas (y en la seguridad informática siempre las hay) van a seguir pasando desapercibidas por la mayoría y explotadas por unos pocos. Probablemente haya también otros sistemas de colas virtuales igualmente desprotegidos, que están siendo abusados sin que la mayoría pueda detectarlo y reclamar.

Si queremos conseguir una entrada quedamos rehenes, sin ninguna otra opción disponible, de un sitio poco confiable, operado por una empresa que (más allá de las contrataciones indirectas) subsidiamos entre todos los que consumimos fútbol. El hecho de depender de una empresa tan poco transparente como Enqueue genera situaciones de desigualdad entre los que conocen la tecnología del sistema y los que no, porque solo el que está familiarizado con la tecnología puede al menos revisar un poco el sistema por su cuenta.

Apéndice: detalles técnicos

Los tipos de protección necesarios para un sistema de cola virtual pueden encontrarse en este artículo de otra empresa especializada en el tema. No parece que la empresa Enqueue cumpla con ninguna de estas protecciones.

La cookie utilizada por el sistema para identificar a los usuarios para el sorteo es enqueueProTicket-<event-id>, donde <event-id> es el identificador del evento, que se puede encontrar en la URL de la página de la cola virtual. En el caso de Argentina-Venezuela la URL (a donde nos dirigía la página de venta de Autoentrada) era https://getqueued.enqueue.pro/?e=f2ee8bd7-6b00-474e-ade6-fe36f9042f8f, y el <event-id> es el UUID que viene en el argumento ?e= del request. Lo único necesario es mantener la conexión activa para que no expire el ticket, como se muestra en la función checkTicket() del código JS de la página. Esa misma función es la que distingue la pre-cola de la cola virtual, que en realidad son la misma página con algunos campos visibles y otros ocultos. La función consulta al servidor periódicamente si ya se hizo el sorteo, y de ser así muestra el lugar asignado en la fila (sino muestra el tiempo faltante para la realización del sorteo).

Reflexiones sobre tecnología y desigualdad

Con la descripción de la falla y su explotación terminada, dejamos a continuación algunos pensamientos sueltos sobre el uso de la tecnología y su impacto en el sentimiento de igualdad en la sociedad.

La tecnología nos evita las filas interminables en el estadio, esperando horas parados a la intemperie perdiendo medio día de trabajo, empapados con la lluvia o muriéndonos de sed en una tarde soleada, nos permite en cambio hacer una fila virtual desde la comodidad de nuestra casa: no hay dudas de que mejora la calidad de vida de la gente. De todas formas, el avance tecnológico también genera desigualdades que es necesario visibilizar, sin por eso reclamar la vuelta a la época de las cavernas. Antes, cuando hacíamos la fila presencial para comprar entradas, podíamos vigilar si algún vivo se colaba, o si pasaba algo raro en la fila que consideráramos injusto, no era necesario tener ningún conocimiento especializado para darse. Ahora, en cambio, nos vemos frente a una pantalla que parece decidir arbitrariamente si vamos a poder conseguir una entrada o no, sin ningún tipo de control o sentimiento de igualdad de nuestra parte.

Terminamos cayendo en dos extremos donde, o se conoce el funcionamiento de las cookies, y entonces todo el mecanismo de abuso para conseguir entradas resulta evidente, o no se tiene ese conocimiento, y todo parece magia: cada uno elige si confiar en la buena fe del mago o no. El que conoce el sistema puede sacar una ventaja y el que no está desprotegido. Este contraste excede por lejos a nuestro caso particular de la compra de entradas, está presente en cualquier lugar donde la tecnología tiene un lugar preponderante. Una abuela de 80 años que es forzada a hacer un trámite de ANSES únicamente a través de la computadora, sin opción de hacerlo presencialmente como hizo toda su vida, para poder cobrar su jubilación, está en esa misma situación de desigualdad. (Cualquier similitud con el voto electrónico no es pura coincidencia, pero no es el objetivo de este texto emitir juicio al respecto, ni siquiera pasarle de cerca a un tema tan polémico como ese.)

¿Cuál es la solución? No sabemos, pero por lo menos permitámonos admitir el problema, en vez de ocultarlo y alabar ciegamente el avance tecnológico, que no por hacer esta crítica tiene que frenar (nadie está en contra de que se investigue una vacuna que pueda salvar millones de vidas). Está claro que todo el mundo no puede ser especialista en toda la tecnología en la que depende, ni tampoco por eso tenemos que nivelar para abajo pidiendo que nadie sepa nada para que así no haya desigualdad.

El desafío es apuntar a un desarrollo tecnológico que sea sustentable, donde prioricemos incluir por sobre avanzar, para no seguir estirando las desigualdades. Parecemos estar en un desarrollo tecnológico cada vez más acelerado, que aunque promete mejorar la calidad de vida en general, termina priorizando elevar la cima de la pirámide en particular, sin preocuparse por cómo se distribuye en el resto. Aunque el objetivo final es incluir (luego) a los del fondo de la pirámide, quien desarrolla la tecnología es siempre quien primero la usufructúa, por lo que tiene más incentivos para seguir desarrollando nueva tecnología (elevando la cima) que para incluir al resto en la tecnología ya existente (mejorando la base). Un desarrollo tecnológico, por más bien intencionado que sea, si termina beneficiando solo a una minoría, elevando la cima sin ajustar el resto de la pirámide, solo genera más desigualdad. Un ejemplo extremo para ilustrar esto: tener una mejor tecnología médica para aumentar la expectativa de vida de una sola persona deja a todas las otras sintiéndose que viven menos, aunque sea solo por comparación. Más allá de la exageración del ejemplo, lo que se quiere resaltar es la lógica de desigualdad: no hace falta que un grupo de gente retroceda en su calidad de vida para tener una sociedad más desigual, simplemente con que un grupo avance (cada vez) más rápido que otro es suficiente para generar desigualdad.

Cuando en el texto principal mencionábamos la desigualdad que generaba la falla del sistema de sorteo, era justamente una referencia a cómo elevar la cima dejando la base estancada, incluso si no retrocede, también genera desigualdad. La falla del sorteo no le sacaba a nadie su número para participar, pero, los que estaban en la cima de la pirámide con conocimientos informáticos que el resto no tenía podían reconocer la falla y explotarla, teniendo acceso a muchos más números para el sorteo. Esas personas en la cima mejoraron entonces sus chances de conseguir una entrada a costa del resto, aumentando la desigualdad.

Para achatar la pirámide y tener una sociedad tecnológicamente más igualitaria es necesario que los que están en la cima compartan su conocimiento con los que están en el fondo. La brecha es tan grande en este momento que es necesario hacer esta transferencia de conocimiento progresiva en cada uno de los estratos de la pirámide (es muy difícil para el que tiene todo el conocimiento explicarle algo al que no tienen ninguno). Por ejemplo, para el caso del sitio web que organiza el sorteo, necesitamos especialistas en seguridad informática (con mucho conocimientos técnico, en la cima de la pirámide) que auditen el sistema y publiquen sus descubrimientos para toda la sociedad. Pero eso solo no es suficiente, porque el grado de complejidad técnica de esos reportes va a ser tal que el ciudadano común (sin conocimientos técnicos, en el fondo de la pirámide) no va a poder sacarle ningún provecho, más allá elegir creer ciegamente en quien los publica. Son necesarias otras etapas intermedias que procesen esa información y la hagan más accesible al público en general: conocedores del área que puedan interpretar esos informes y hacer resúmenes y simplificaciones con los datos más importantes que tiene que conocer la sociedad, luego también otros entusiastas informáticos con vocación de divulgación deberán tomar esa información y simplificarla, facilitando recursos para que personas no especializadas puedan pensar y juzgar la información por sí mismas. Mientras más posibilidades de divulgación e instrucción haya disponibles, más confianza se va generar en la tecnología en la que se depende, y más igualitario va a ser su acceso. Más allá de lo utópico que todo esto suena, este humilde texto, que trata de esbozar una muy básica explicación sobre las cookies y la identidad en internet, apunta a ser una prueba más de que es posible hacer un progreso en esta dirección.

Hay una tensión entre avanzar e incluir: la misma gente que desarrolla la tecnología es la única que puede luego distribuir sus conocimientos generados, obviamente no hay otra persona disponible que el que la conoce para explicarla. Por ejemplo (salvando las distancias con el desarrollo tecnológico de punta), los autores de este texto, que podrían estar avanzando la tecnología actual, dedicaron en cambio su tiempo a escribir y publicar una información lo más accesible posible para el público general, para que cada uno pueda sacar sus propias conclusiones sobre el sistema de cola virtual. La inclusión entonces representa una inversión muy costosa porque inevitablemente se paga a costa de un avance tecnológico menos acelerado, y esto también es importante de visibilizar para no idealizar esta propuesta. Está en la sociedad decidir cuál es el balance deseado (que por ahora parece estar casi totalmente inclinado hacia el lado del avance sin control, sin inclusión).

(Probablemente la palabra avance ya es engañosa de por sí, porque no estamos distinguiendo entre el corto y el largo plazo: incluir a más personas en la tecnología hace que en el largo plazo esta avance más rápidamente que si solo hay un puñado de gente desarrollándola.)