La mayor parte de la gente, como es perfectamente normal, no se preocupa de los detalles técnicos del software de marketing por e-mail que usan. Pero deberían. El diablo está en los detalles, y los detalles técnicos son muy importantes.
Me he acordado de esto hoy, analizando algunos e-mails comerciales que he recibido hace poco.
Por ejemplo, echémosle un vistazo a la URL que el software de un proveedor de e-mail marketing genera para llevar el control estadístico de lecturas para sus clientes (es un ejemplo real, he cambiado los dominios por privacidad):
<IMG src="http://www.anemailprovider.com:8080/pcmwtg/trackingServlet=idtracking=2&idsend=906077">
Fíjate en el evidente propósito de cada uno de los parámetros de esta URL de control. ¿Qué pasa si cambiamos el valor del parámetro idsend un poquito y, digamos que lo ponemos como 06078?: Le acabo de apuntar una lectura a otro usuario.
Si no fuera una buena persona (como de hecho soy) podría muy fácilmente trastocar de arriba a abajo las estadisticas de lectura de este proveedor, haciéndolas totalmente inservibles para la empresa que ha enviado el correo :-(
Otra cosa interesante sobre esta imagen es que no está apuntando a una imagen real. Ni siquiera tiene extensión de archivo ni un nombre real que parezca un archivo, lo cual "canta" rápidamente para algunos filtros anti-spam. No es una buena decisión técnica.
Ahora echemos unvistazo a una imagen de control típica de MAILCast:
<image src="http://mcs.krasis.es/C/R/MTc5NDA1NCAg.gif">
Bueno, el nombre de la imagen no es que sea muy bonito tampoco, pero es claramente un nombre de archivo de imagen y lo que es más importante: toda la información de control está codificada y cifrada en el nombre de la imagen, así que es muy difícil de engañar y las estadísticas son mucho más fiables.
Otro problema que hay tiene que ver con el control de las pulsaciones en enlaces. Un enlace controlado del correo de ejemplo anterior tenía esta pinta:
http://www.anemailprovider.com:8080/pcmwtg/trackingServlet?idtracking=1&url=http://www.customerserver.com/landingpage.htm&idsend=906077
Eh??, Lo mismo que antes, pero incluso peor. Ahora puedo asignar pulsaciones aleatorias a cualquiera y además como la página de estino está embebida en la propia URL puedo saltarme el control fácilmente y no generar estadística alguna.
Un enlace controlado típico de MAILCast es parecido a este:
http://mcs.krasis.es/C/L/?V05_122498_MTc0NRB2NCAg
Que, de nuevo, es feo (aunque no más feo que el antrerior, dicho sea de paso), pero es más corto y no compromete la fiabilidad de las estadísticas.
De todos modos lo más peligroso en este tipo de casos es, sin duda, el enlace de darse de baja del boletín, en nuestro ejemplo:
http://www.anemailprovider.com:8080/pcmwtg/GestionServlet?type=1&idunsubstemplate=10140&idCustomer=2447&idcontact=1572907
Cuando escribo esta URL en mi navegador me sale un mensaje diciendo que me he dado de baja satisfactoriamente del boletín. Pero fíjate que el identificador de la empresa cliente y el identificador del contacto están en claro en esa URL, y además son simples valores autonuméricos en una base de datos. Así que si me pongo a probar distintos valores lo que consigo es empezar a dar de baja a todos los contactos que quiera alojados por ese proveedor. ¡Diosss!
Incluso en algunos casos te puede salir un mensaje que me dice que se me ha enviado un correo para que confirme la baja. Casi peor. Ahora un atacante malintencionado podría inundar de mensajes la bandeja de entrada de los contactos de esa base de datos, lo que es un ataque bastante cruel.
De hecho si pruebo con otros valores que no sean números, en este caso concreto incluso puedo llevar a cabo un ataque por Inyección de SQL a la base de datos, y mejor no quieras saber lo que un programador con mala idea puede hacer con esto.
Este es un ejemplo muy sangrante, de acuerdo, pero es de hecho uno real sacado de un correo que recibí esta misma semana. Sólo ayer recibí dos boletines que presentaban este tipo de problemas, que son más comunes de lo que se pueda pensar.
Así que la moraleja es: no tienes que saber de la parte técnica para usar un software de e-mail marketing, pero es muy importante que te asesores por un buen programador o técnico para evitarte problemas en el futuro. De hecho deberías asesorarte con cualquier compra de software que hagas, lo cual es más importante aún cuando éste afecta a tu imagen y a la privacidad de tus clientes.
Nombre* Requerido Por favor escoja otro nombre
Correo Electrónico*
Sitio Web
País [Not specified] Afghanistan Albania Algeria Argentina Armenia Australia Austria Azerbaijan Bahrain Bangladesh Belarus Belgium Belize Bermuda Bolivarian Republic of Venezuela Bolivia Bosnia and Herzegovina Brazil Brunei Darussalam Bulgaria Cambodia Canada Caribbean Chile Colombia Costa Rica Croatia Czech Republic Denmark Dominican Republic Ecuador Egypt El Salvador Estonia Ethiopia Faroe Islands Finland France Georgia Germany Greece Greenland Guatemala Honduras Hong Kong S.A.R. Hungary Iceland India Indonesia Iran Iraq Ireland Islamic Republic of Pakistan Israel Italy Jamaica Japan Jordan Kazakhstan Kenya Korea Kuwait Kyrgyzstan Lao P.D.R. Latvia Lebanon Libya Liechtenstein Lithuania Luxembourg Macao S.A.R. Macedonia (FYROM) Malaysia Maldives Malta Mexico Mongolia Montenegro Morocco Nepal Netherlands New Zealand Nicaragua Nigeria Norway Oman Panama Paraguay People's Republic of China Peru Philippines Poland Portugal Principality of Monaco Puerto Rico Qatar Republic of the Philippines Romania Russia Rwanda Saudi Arabia Senegal Serbia Serbia and Montenegro (Former) Singapore Slovakia Slovenia South Africa Spain Sri Lanka Sweden Switzerland Syria Taiwan Tajikistan Thailand Trinidad and Tobago Tunisia Turkey Turkmenistan U.A.E. Ukraine United Kingdom United States Uruguay Uzbekistan Vietnam Yemen Zimbabwe
Notificarme cuando se publiquen nuevos comentarios
"The Emailing Experience" es el blog de email marketing de Krasis, donde, además de compartir recursos interesantes para tu newsletter, te enseñamos a usar MAILCast, nuestro software de email marketing.