Publicado 16 abril 2024
Investigación sobre el cupón del 40% en Miravia
Desde que Miravia se ha puesto "seria" con el cupón de bienvenida del 40% (¿Ahora 35%?) ha habido teorías para todos los gustos sobre el bloqueo de los cupones, los errores al finalizar la compra y otros factores. Con lo que estaría bien aunar esfuerzos y comprobaciones para confirmar qué datos son los que realmente influyen a la hora de atajar la creación de cuentas nuevas múltiples.
A continuación detallaré los datos que introducimos, posibles datos a los que Miravia tiene acceso vía app (que es la que ofrece el cupón del 40%) y posibles soluciones.
DATOS PROPORCIONADOS
REGISTRO
Email: Dato confirmado que comprueban, al menos en el caso de Gmail. Por resumir mucho la historia, Google ha implementado en la última década la corrección automática de búsquedas y otros datos introducidos por los usuarios, con el fin de atajar el phishing. Lo típico de buscar información de "Chuacheneger" y que obtengamos resultados de Schwarzenegger. Esto empezó muchos años antes en Gmail, donde la introducción de caracteres especiales entre las letras del correo se auto-corrige para que los correos entren igualmente en nuestra bandeja de usuario, aunque la dirección sea técnicamente incorrecta. Obviamente esto nunca consiguió solucionar el problema del phishing, pero sí que permitió a los usuarios sacar partido de esta herramienta para crear infinidad de cuentas con un único correo, introduciendo (normalmente) puntos entre las letras.
Obviamente esto es lo primero que se usó en Miravia y es, de momento, el único baneo de correo del que se tengan constancia. Si usáis este método podréis crear cuentas, pero inmediatamente os enviarán un correo indicando que vuestros cupones han sido bloqueados por "Incumplir los Términos de Uso de Miravia".
Soluciones: La solución más simple pasa por utilizar alias, que son direcciones "virtuales" que redirigen el correo a tu bandeja de entrada real. Outlook (en mi opinión, la mejor opción) soporta alias de forma nativa. En Gmail podéis usar el servicio de alias de DuckDuckGo, que además ofrece algunas opciones de privacidad interesantes. Outlook confirmado que funciona perfecto, con DuckDuckGo, a pesar de la mongola terminación en duck.com, he hecho un par de pedidos, pero no puedo confirmar que sea tan fiable/estable como Outlook.
Contraseña: Es posible que sea objeto de comprobaciones. No parece muy lógico hacerlo, pero quién sabe.
Soluciones: Obviamente usar una contraseña diferente cada vez.
Nombre de cuenta: Es muy poco probable que lo comprueben, dado que no es más que una forma de identificar la cuenta, no a ti mismo.
Soluciones: Inventárselo. Total, no tiene ningún importancia a efectos del pedido.
LIBRETA DE DIRECCIONES
Nombre del cliente: Puede que lo comprueben.
Soluciones: Da igual que Miravia prepare el pedido un segundo o un mes después del pedido: siempre usan los datos originales que introducimos, nunca usan los actualizados, aunque los hayamos modificado una milésima de segundo después de confirmar la compra. Dependiendo de la mensajería podremos modificar datos con ellos una vez que el pedido esté en sus manos o bien indicar que lo dejen en un punto de recogida. El problema es que tanto el mensajero como el punto de recogida tendrán los datos erróneos. Si no os piden más datos que la dirección o el DNI no parece ser un problema, pero puede llevar a preguntas complicadas (me ha pasado) :-P
Teléfono: El elefante en la habitación, lo persiguen al 100%. Miravia bloquea instantáneamente los cupones de cuentas creadas con un mismo número de teléfono usado recientemente. No bloquean definitivamente el número, pero sí existe un soft-ban que puede durar una o varias semanas. En mi experiencia: dos-tres.
Soluciones: Inventarse el número y solucionarlo con la mensajería parece la única opción. Pero como es el número con el que van a contactar con nosotros es aún más problemático que el nombre o la dirección.
Dirección: Aún no he visto que desencadene errores/bloqueos de cupones, pero no lo descarto.
Soluciones: Mismo caso que el teléfono o el nombre.
PANTALLA DE PAGO
Paypal/Bizum: Es posible que lo comprueben, habría que hacer más comprobaciones y descartar otros datos.
Soluciones: Meter un número de teléfono de Bizum aleatorio (si bien tiene que tener Bizum activado) y cambiar a nuestro número real en la pasarela de pago entre Miravia y nuestro banco. Por supuesto también podéis usar tarjetas prepago desechables de algún banco que las ofrezca, como Abanca, Revoult, etc. Personalmente mi banco sólo ofrece tarjeta normal de prepago, con lo que no es una opción. Además, con Bizum parecen ofrecer un descuento (si bien un tanto aleatorio) de 1€ a mayores.
DATOS NO PROPORCIONADOS
Ubicación: Sólo está activa, previo permiso, al buscar nuestro área para que nos indiquen un punto de recogida cercano. Es probable que sí comprueben el dato, pero quién sabe si susceptible de bloqueo. Habría que hacer más comprobaciones.
IP: La comprueban 100%.
Soluciones: Si hacéis un par de pedidos y los cupones son bloqueados, estando todo bien, no queda otra que usar VPN. El problema es que las VPN gratuitas ofrecen IPs usadas por miles de personas y es probable que muchas de ellas estén haciendo la jugada en Miravia. Personalmente Urban VPN me ha salvado de un par de pedidos, pero parece evidente que una privada sería más funcional para este problema. Obviamente tenéis que usar VPN en todo el proceso, tanto en el navegador en PC, de usarlo, como en la propia aplicación.
ID/IMEI: No pueden comprobarlo, pero no descarto que generen un fingerprint propio. Al IMEI/IMSI sólo se puede acceder con el permiso READ_PRIVILEGED_PHONE_STATE, que Android únicamente concede a aplicaciones de sistema u OEM. Sin embargo Miravia solicita READ_PHONE_STATE, que retro-activamente es posible que solicite el permiso elevado. No es probable, pero, de nuevo, no es estrictamente necesario para identificar de forma única un teléfono
Soluciones: Hay aplicaciones "sandbox" que forzarían un fingerprint diferente. En cuanto a FOSS, quizá Shelter o Island lo forzarían, aunque no soy un experto al respecto.
SafetyNet/PlayIntegrity: Que lo comprueben o no, no lo sé, pero desde luego Miravia no aparece en Google Play en un dispositivo sin certificar. Con lo que quizá haya comprobación, en el caso de instalarlo manualmente, vía apk o Aurora Store. Todos mis móviles pasan el certificado, ya sea por tener sistemas stock, usar PlayIntegrityFix o porque el equipo de la rom actualice el fingerprint de Google. Personalmente no puedo confirmar o descartar que sea un dato a comprobar.
Soluciones: Usar un móvil con rom stock que pase el certificado o usar PlayIntegrityFix. En todo caso primero habría que ver si importa o no, antes de meters en el jaleo.
Esas son mis comprobaciones y mi experiencia. Sinceramente Miravia cada vez ofrece menos, con lo que no sé hasta qué punto merece la pena investigar todo esto. Pero estoy abierto a correcciones y/o aportes.
A continuación detallaré los datos que introducimos, posibles datos a los que Miravia tiene acceso vía app (que es la que ofrece el cupón del 40%) y posibles soluciones.
DATOS PROPORCIONADOS
REGISTRO
Email: Dato confirmado que comprueban, al menos en el caso de Gmail. Por resumir mucho la historia, Google ha implementado en la última década la corrección automática de búsquedas y otros datos introducidos por los usuarios, con el fin de atajar el phishing. Lo típico de buscar información de "Chuacheneger" y que obtengamos resultados de Schwarzenegger. Esto empezó muchos años antes en Gmail, donde la introducción de caracteres especiales entre las letras del correo se auto-corrige para que los correos entren igualmente en nuestra bandeja de usuario, aunque la dirección sea técnicamente incorrecta. Obviamente esto nunca consiguió solucionar el problema del phishing, pero sí que permitió a los usuarios sacar partido de esta herramienta para crear infinidad de cuentas con un único correo, introduciendo (normalmente) puntos entre las letras.
Obviamente esto es lo primero que se usó en Miravia y es, de momento, el único baneo de correo del que se tengan constancia. Si usáis este método podréis crear cuentas, pero inmediatamente os enviarán un correo indicando que vuestros cupones han sido bloqueados por "Incumplir los Términos de Uso de Miravia".
Soluciones: La solución más simple pasa por utilizar alias, que son direcciones "virtuales" que redirigen el correo a tu bandeja de entrada real. Outlook (en mi opinión, la mejor opción) soporta alias de forma nativa. En Gmail podéis usar el servicio de alias de DuckDuckGo, que además ofrece algunas opciones de privacidad interesantes. Outlook confirmado que funciona perfecto, con DuckDuckGo, a pesar de la mongola terminación en duck.com, he hecho un par de pedidos, pero no puedo confirmar que sea tan fiable/estable como Outlook.
Contraseña: Es posible que sea objeto de comprobaciones. No parece muy lógico hacerlo, pero quién sabe.
Soluciones: Obviamente usar una contraseña diferente cada vez.
Nombre de cuenta: Es muy poco probable que lo comprueben, dado que no es más que una forma de identificar la cuenta, no a ti mismo.
Soluciones: Inventárselo. Total, no tiene ningún importancia a efectos del pedido.
LIBRETA DE DIRECCIONES
Nombre del cliente: Puede que lo comprueben.
Soluciones: Da igual que Miravia prepare el pedido un segundo o un mes después del pedido: siempre usan los datos originales que introducimos, nunca usan los actualizados, aunque los hayamos modificado una milésima de segundo después de confirmar la compra. Dependiendo de la mensajería podremos modificar datos con ellos una vez que el pedido esté en sus manos o bien indicar que lo dejen en un punto de recogida. El problema es que tanto el mensajero como el punto de recogida tendrán los datos erróneos. Si no os piden más datos que la dirección o el DNI no parece ser un problema, pero puede llevar a preguntas complicadas (me ha pasado) :-P
Teléfono: El elefante en la habitación, lo persiguen al 100%. Miravia bloquea instantáneamente los cupones de cuentas creadas con un mismo número de teléfono usado recientemente. No bloquean definitivamente el número, pero sí existe un soft-ban que puede durar una o varias semanas. En mi experiencia: dos-tres.
Soluciones: Inventarse el número y solucionarlo con la mensajería parece la única opción. Pero como es el número con el que van a contactar con nosotros es aún más problemático que el nombre o la dirección.
Dirección: Aún no he visto que desencadene errores/bloqueos de cupones, pero no lo descarto.
Soluciones: Mismo caso que el teléfono o el nombre.
PANTALLA DE PAGO
Paypal/Bizum: Es posible que lo comprueben, habría que hacer más comprobaciones y descartar otros datos.
Soluciones: Meter un número de teléfono de Bizum aleatorio (si bien tiene que tener Bizum activado) y cambiar a nuestro número real en la pasarela de pago entre Miravia y nuestro banco. Por supuesto también podéis usar tarjetas prepago desechables de algún banco que las ofrezca, como Abanca, Revoult, etc. Personalmente mi banco sólo ofrece tarjeta normal de prepago, con lo que no es una opción. Además, con Bizum parecen ofrecer un descuento (si bien un tanto aleatorio) de 1€ a mayores.
DATOS NO PROPORCIONADOS
Ubicación: Sólo está activa, previo permiso, al buscar nuestro área para que nos indiquen un punto de recogida cercano. Es probable que sí comprueben el dato, pero quién sabe si susceptible de bloqueo. Habría que hacer más comprobaciones.
IP: La comprueban 100%.
Soluciones: Si hacéis un par de pedidos y los cupones son bloqueados, estando todo bien, no queda otra que usar VPN. El problema es que las VPN gratuitas ofrecen IPs usadas por miles de personas y es probable que muchas de ellas estén haciendo la jugada en Miravia. Personalmente Urban VPN me ha salvado de un par de pedidos, pero parece evidente que una privada sería más funcional para este problema. Obviamente tenéis que usar VPN en todo el proceso, tanto en el navegador en PC, de usarlo, como en la propia aplicación.
ID/IMEI: No pueden comprobarlo, pero no descarto que generen un fingerprint propio. Al IMEI/IMSI sólo se puede acceder con el permiso READ_PRIVILEGED_PHONE_STATE, que Android únicamente concede a aplicaciones de sistema u OEM. Sin embargo Miravia solicita READ_PHONE_STATE, que retro-activamente es posible que solicite el permiso elevado. No es probable, pero, de nuevo, no es estrictamente necesario para identificar de forma única un teléfono
Soluciones: Hay aplicaciones "sandbox" que forzarían un fingerprint diferente. En cuanto a FOSS, quizá Shelter o Island lo forzarían, aunque no soy un experto al respecto.
SafetyNet/PlayIntegrity: Que lo comprueben o no, no lo sé, pero desde luego Miravia no aparece en Google Play en un dispositivo sin certificar. Con lo que quizá haya comprobación, en el caso de instalarlo manualmente, vía apk o Aurora Store. Todos mis móviles pasan el certificado, ya sea por tener sistemas stock, usar PlayIntegrityFix o porque el equipo de la rom actualice el fingerprint de Google. Personalmente no puedo confirmar o descartar que sea un dato a comprobar.
Soluciones: Usar un móvil con rom stock que pase el certificado o usar PlayIntegrityFix. En todo caso primero habría que ver si importa o no, antes de meters en el jaleo.
Esas son mis comprobaciones y mi experiencia. Sinceramente Miravia cada vez ofrece menos, con lo que no sé hasta qué punto merece la pena investigar todo esto. Pero estoy abierto a correcciones y/o aportes.
Actualizaciones de la comunidad
5 comentarios
Ordenados porEn cuanto a Android, puedes bajarte el Android Studio y hacer emulaciones para diferentes tipos de móviles hasta aburrirte, instalando la App mil veces, el resto es tirar de la imaginación, como utilizar Docker para instalar Android e tu Pc con diferentes e ilimitados tipos de versiones, etc.
Saludos (editado)