Cómo espiar gratis usando GMail + Streak

Captura de pantalla 2014-02-13 00.44.47

Descubre la ubicación de los receptores de tus correos

Es posible rastrear los e-mails que envías, saber si los han abierto, cuántas veces, en qué minuto exacto del día y dónde estaba la persona cuando lo abrió.

Es posible, ¡y es gratis! pero… ¿es legal?

Antes de aportar mi criterio he de decir que me enteré de la existencia de Streak gracias a El Confidencial, con el que colaboré ayer en la investigación sobre los aspectos legales aplicables. El resultado: Cualquiera puede saber dónde estás con un simple correo (El Confidencial).

Ayer instalé Streak en mi GMail personal, de forma gratuita y en menos de 30 segundos. Streak permite monitorizar la apertura de los correos electrónicos que envío, de manera que pueda saber incluso dónde estaba la persona que abrió el e-mail.

Me envié un correo electrónico a mi cuenta profesional, para comprobar el efecto… y, al abrir el correo desde el móvil, recibí un aviso en mi GMail personal en el que se me informaba de todo lo que puedes ver en la imagen de la izquierda.

Básicamente, “Un extraño puede saber dónde estás haciendo que abras un e-mail” (english).

Esto lo podemos hacer -y, de hecho, lo hacemos- sin necesidad de complementos. Cuando recibo determinadas consultas en Abanlex y considero que otra legislación es aplicable, examino la IP del emisor y le redirijo a un abogado cercano al lugar de remisión, sin necesidad de preguntar al cliente su localización. Pero el hecho de que ahora Streak nos lo dé tan fácil… genera un interés incluso excesivo. ¿Y si tengo instalado Streak en la empresa? ¿Valdría como prueba de que un e-mail ha sido abierto? ¡¿Lo podemos usar para marketing?! … ¿Puedo usarlo para espiar a mi mujer?

Aquí mi criterio:

  1. Datos personales: La dirección IP, los datos de geolocalización y la confirmación de una imagen concreta, son datos de carácter personal. El destinatario de esta infomación la relacionará con un correo electrónico determinado, que también es un dato de carácter personal. (art. 3 LOPD)
  2. Supuestos:
    1. Las personas físicas pueden usar esta información sin apenas restricciones o límites legales, siempre que el correo electrónico, que se use para obtenerla, sea parte de una conversación exclusivamente personal o doméstica (art 2 LOPD). El uso debe ser acorde a los requisitos marcados por la LO 1/82 y jamás puede interferir o vulnerar el los límites o las expectativas razonables de privacidad. Los usos y costumbres pueden ser vitales en este punto.
    2. En el resto de casos (empresas, autónomos, partidos políticos…), sí hay restricciones más claras:
      1. Restricciones:
        1. Consentimiento previo del afectado: Los datos solo podrán ser tratados legalmente después de que el usuario haya dado su consentimiento informado (art. 6 LOPD) para que sean obtenidos y usados con un fin determinado por la persona o entidad que sea (art. 5 LOPD). Es decir, el receptor del e-mail tiene que saber, antes de abrir el correo, que su información de geolocalización y apertura del e-mail va a ser conocida por una determinada persona o entidad y va a ser consecuentemente tratada.
        2. Prohibición de la obtención excesiva: Además, del consentimiento referido, solo se podrán recoger para su tratamiento cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido (art. 4 LOPD).
      2. Permisión:
        1. Comercio electrónico: Las empresas que vendan por Internet sí podrán usar estos datos solo si antes se lo ha consentido el usuario (por medio del contrato, por ejemplo) y solo si el uso es adecuado, pertinente y no excesivo en relación con la venta realizada. Es el caso, por ejemplo, del envío del acuse de recibo, que el vendedor está obligado a remitir al comprador después de que este haya aceptado la oferta. La oferta no puede contener este gif de rastreo, como regla general, porque no lo ha consentido previamente el usuario.
        2. Comunicaciones comerciales por vía electrónica: Solo si el usuario lo ha aceptado previamente, se le podrá rastrear y geolocalizar (art. 21 LSSI). El usuario tiene que saber y haber aceptado que se le monitorice de esta forma, antes de que el comercial envíe la comunicación.
      3. Prohibición: En el resto de casos, su uso está prohibido. No me refiero a que no pueda tratase el dato, sino a que el mero uso y obtención de estos datos está prohibido.
        1. Motivos de la prohibición: o no se obtuvo el consentimiento previo; o, habiéndose obtenido, el tratamiento que se va hacer es inadecuado, no pertinente y excesivo en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido.
        2. Ejemplos de casos prohibidos:
          1. Spam con rastreo de aperturas
          2. Ofertas promocionales sin permiso del usuario para hacer este seguimiento
          3. Rastreo no permitido previamente por el usuario
          4. Rastreo inadecuado, no pertinente o excesivo.
      4. Excepciones: siempre hay excepciones a las excepciones.
Puedes estar seguro de que alguien te está streakeando si, en el original del mail recibido, encuentras unas líneas similares a las siguientes:
 
1
2
3
4
[div hspace=3D"streak-pt-mark" style=3D"max-height:1px"][img style=3D"width=
:0px; max-height:0px;" src=3D"https://mailfoogae.appspot.com/t?sender=3Dno=
mbre%40gmail.com&type=3Dzerocontent&guid=ristra-de-numbers=
76sd9s9"][font color=3D"#ffffff" size=3D"1"]=R5=00=E9[/font][/div]
Una forma sencilla de prevenir ser streakeado es deshabilitar la visualización automática de imágenes, desde el área de configuración de tu cuenta de correo. En GMail: configuración / deshabilitar imágenes.
 
La tecnología es legal. Y dan ganas de usarla. El problema es cómo se use. Si la ley no lo permite, aunque la tecnología exista, su uso está prohibido.
 
¿A que apetece usarlo?
 
Actualización (6 de marzo de 2014): Mis compañeros de Navaja Negra (@NN2ed_s4ur0n) me han enviado un script escrito en Python que busca en el texto plano de cada mensaje las cadenas “streak-pt-mark” o “https://mailfoogae.appspot.com”, que son las que usa el Streak, y avisa del “remitente” que te lo ha mandado. Lo hace en texto plano, ya que en Gmail aparece ofuscado por el javascript que usa. [Disculpa el “copy+paste”, pero lo has explicado muy bien en pocas palabras]
 
Aún tengo que probarlo, pero viniendo de ellos, funciona. El script (antisetreak.py) es este:
 
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
#!/usr/bin/env/python
#By s4ur0n (@NN2ed_s4ur0n)
 
import imaplib
 
mail = imaplib.IMAP4_SSL('imap.gmail.com')
mail.login('username@gmail.com', 'Your-password-here')
mail.select()   # Or mail.select('INBOX')
#result, data = mail.search(None, '(X-GM-RAW "Search term... I.e. 1x1.gif"')
result, data = mail.search(None, 'ALL')
 
id_list = data[0].split()
for id in reversed(range(0, len(id_list))):
    email_id = id_list[id]
    result, data = mail.fetch(email_id, '(RFC822)')
    raw_email = data[0][1]
    if ('streak-pt-mark' or 'https://mailfoogae.appspot.com/') in raw_email:
        print raw_email
        print '\r\nWarning!\r\nTraced by: '
        print raw_email[raw_email.rfind('sender=3D')+9:raw_email.find('&amp')].replace('%40','@')
        raw_input('Press ENTER to continue...')
 
mail.logout()
Dejar un comentario?

4 Comentarios.

  1. Muy interesante artículo, gracias

  2. Entre noticias como esta y que Facebook ha comprado Whatsapp creo que vamos a dilapidar la poca privacidad que nos queda por unos cuantos servicios.

  3. hola que tal , me mande un mensaje para probarlo y no me llego nada, no se que estoy haciendo mal

Deja un comentario