Posible incumplimiento de la Ley 34/2002, de 11 de julio: el email recibido del Ministerio sobre la LSSI

25 Flares Twitter 0 Facebook 0 Google+ 0 LinkedIn 23 Buffer 0 Pin It Share 2 25 Flares ×

Si tienes o trabajas en una tienda online, posiblemente hayas recibido por sorpresa el siguiente email del Ministerio sobre un posible incumplimiento de la LSSI en tu web o tienda online:

Ley LSSI

Por la tipología del correo, sin avisar, genérico, con adjuntos, con dominios que no es gob.es (minetad.es y lssi.es), nos surge la duda de si es un email falso o fraudulento, puesto que ya en el asunto te avisa de que estás incumpliendo posiblemente la ley. ¿Por qué podemos pensar que este correo es falso?

  • Se ha enviado sin avisar, por sorpresa, y de manera genérica, sin nombrar nada específico de tu empresa.
  • Se envía desde une mail no-replay con dominio minetad.es, que no es un dominio gob.es. Concretamente, la web del ministerio es http://www.minetad.gob.es/
  • A parte de minetad.es, que redirige a minetad.gob.es, tenemos al final el dominio www.lssi.es, que redirige también a http://www.lssi.gob.es/paginas/Index.aspx. Comprobamos que estas webs son las reales y no se está realizando phising, pero sabemos también que podemos comprar un dominio y  redirigirlo donde queramos.

Por otra parte,  no nos piden ningún tipo de dato, sólo es una advertencia, con lo que tampoco se ve mala intención en nada de lo que se envía. Con todos estos datos, vamos a empezar a investigar.

Antes de seguir, recordemos algunos conceptos:

¿Qué es la LSSI y por qué es tan importante?

La LSSI, o mejor dicho, la LSSICE es la Ley de Servicios sobre la Sociedad del a Información y el Comercio Electrónico que se creó para regular las transacciones en Internet y dar confianza a los consumidores a la hora de realizar cualquier tipo de operación en Internet, sobre todo las que implican . Se conoce como LSSI porque así fue acuñada en un primer momento, pero se tuvo que añadir CE en referencia al Comercio Electrónico para enfatizar también la regulación de las tiendas online y los servicios relacionados con el ecommerce.

Básicamente, esta ley nos obliga a los propietarios de tiendas online a que mostremos de manera clara nuestros datos como nombre de la empresa (o autónomo), CIF, registro mercantil en el que está inscrita, etc.

Además, también tiene que quedar clara en todo momento la política de devoluciones, los gastos de envío, las condiciones de contratación (antes de la compra y después), los impuestos (generalmente IVA) aplicados, etc.

A continuación tenemos la captura de lo que el correo del Minetad nos ha enviado como adjunto, poniendo ejemplos de lo que hay que incluir:

LSSICE-1 LSSI-2

 

Incluso en el correo nos adjuntan un ejemplo ilustrativo para cumplir la ley, con el Aviso Legal, el Quiénes somos o las Condiciones Generales. En alguno de estos apartados de nuestra web tenemos que poner los datos sobre la empresa, el domicilio social, el NIF o CIF, y el registro mercantil donde está inscrita la empresa:

 

 

EJEMPLO-LSSI LSSI3

¿Qué es la LOPD?

La LOPD es la Ley Orgánica de Protección de Datos y tiene como objetivo principal salvaguardar los datos personales y que no se haga un uso fraudulento o inadecuado de los mismo. Es importante destacar que las multas son bastante elevadas si se incumplen sus directrices. Por ello hay que tener especial cuidado en el envío masivo de emails y la captación de correos electrónicos, que en el argot del marketing digital generalmente tratamos como leads.

Atendiendo a tiendas online o incluso a cualquier blog, para cumplir la ley tenemos que revisar todos los formularios donde pedimos datos, por pocos que sean. Es decir, un simple popup, lead magnet o formulario en nuestro blog que pida el email para suscribirse al blog o para recibir un PDF, tiene que cumplir la LOPD. Básicamente, tenemos que poner el texto junto al formulario sobre el cumplimiento de la LOPD y como práctica a evitar, no podemos dejar el check marcado por defecto, sino que el usuario tendrá que aceptar los términos por si mismo. Si no es así, estamos incumpliendo la LOPD.

 

Volviendo al email recibido, lo primero que se nos ocurre es analizarlo técnicamente para ver si es un fraude, virus, estafa, etc. Después también es conveniente preguntar a una fuente oficial, a quien supuestamente lo ha enviado, en este caso, el Ministerio de Energia, Turismo y Agenda Digital. En mi caso lo hice a través de twitter, como veremos en este post más adelante.

¿Cómo comprobar que un email es fraudulento?

En un primer momento, podemos pensar que se trata de un caso de Phising. Recordemos que el phising es un ataque en el cual se suplanta la identidad de una web por otra, de modo que generalmente recibimos un correo electrónico en el que se nos avisa de que hay que actualizar los datos. Hacemos click y vamos a una web idéntica a la del banco o entidad de la que queremos robar los datos. Al introducir nuestros datos, con la contraseña y datos personales críticos, el sistema o bien nos da las gracias o muestra un mensaje de error al que quizás no le demos importancia, pero lo cierto es que nuestros datos ya se han almacenado en su sistema.

En el caso que estamos tratando, los clicks redirigen a una web oficial, comprobado al ser un dominio .gob.es, de modo que deducimos que no es un problema de phising. Por cierto, existen técnicas similares pero que van a través de Voz sobre IP (vishing), SMS (Smishing), etc.

Todo apunta a que el correo es real, pero lo mejor es comprobarlo mediante las cabeceras del mismo. Si vienen desde una fuente fiable podemos determinar que el correo no ha sido suplantado.

¿Cómo comprobar las cabeceras de un email para ver si viene de una fuente fraudulenta?

Hace unos años era relativamente fácil enviar un correo con el outlook express bajo un dominio o email falso, de modo que al receptor le aparecía en el campo DE: (From:) un email que habíamos forzado nosotros. Esto ocurría porque no existía autenticación en origen, algo que ya casi siempre ocurre. Alguna broma gasté a dos amigos, enviando a uno de ellos correos de amor con el nombre de otro…

Es por ello que en este caso, conviene revisar las cabeceras del email original para indagar si hay alguna modificación de los campos. Los pasos a seguir son:

1.- Si tienes gmail, buscas el correo y al lado de Responder, donde está la flechita hacia abajo, tienes que buscar la opción “Mostrar original”. Lo tienes en esta imagen:

Gmail, mostrar cabecera original

Te quedará algo así:

comprobar cabeceras gmail descargar

2.- A continuación tienes que usar la herramienta de análisis de cabeceras y copiar y pegar el email entero en su formato original.

https://toolbox.googleapps.com/apps/messageheader/

Obtendrás esto de aquí para analizar, viendo que el servidor saliente es de minetad.es:

Herramienta para analizar cabeceras de emails

Si la descargas o la analizas directamente, tendrás lo siguiente:

cabecera-smtp

No vamos a indagar demasiado en seguridad de los correos electrónicos, pero vemos que se ha enviado desde el dominio minetad.es.

Ahora nos hace falta comprobar si ese dominio es real y a quién pertenece. Para ello nos vamos al whois.

MInetad datos whois

Haciendo una pequeña búsqueda de las personas que aparecen, nos daremos cuenta de que en principio, trabajan en el Ministerio, a parte, claro está, que el registro del dominio es cierto.

Preguntando a las fuentes oficiales

Ya por acabar, hicimos las preguntas pertinentes de tú a tú, a través de las redes sociales.

Pregunté en twitter:


Y en Linkedin:

https://www.linkedin.com/feed/update/urn:li:activity:6282294043686764544

Por el revuelo causado, el Ministerio publicó esto en su web, confirmando el envío del correo:

http://www.minetad.gob.es/telecomunicaciones/es-ES/Novedades/Paginas/correos-enviados-LSSICE.aspx

En twitter, @txampa, de santafixie.com (os recomiendo la web de bicicletas, hecha en Magento y que siempre pongo como ejemplo de Internacionalización y de instancia de Magento con multiples stores), comentó que había preguntado a confianza online y le habían analizado el caso:

Así que yo también pregunté a confianzaonline.com ya que tengo su sello y se auditó la tienda para que cumpliera tanto con la LSSICE como con la LOPD y obtuve esta respuesta:

confianza online lssi

Conclusiones

Por lo tanto, parece ser que ha sido un email bastante automatizado. Mi consejo es que lo revises y si tienes algún ecommerce o blog, que te des de alta en confianzaonline. Si me dejas un comentario te envío un email con la info y lo que suele valer.

No olvides incluir los datos de tu empresa, con CIF, siempre que sea posible, incluso en el footer. Ten todas las condiciones de venta, precios, envíos, etc. de manera clara. De esta manera, te evitarás muchos problemas y al final, tus conversiones aumentarán, que es de lo que se trata.

Descargar la guía enviada por el Miniesterio: Información básica V2 LSSI