Ya han hecho sus deberes sus Majestades los Reyes Magos y han dejado las casas cargadas de regalos para los peques y mayores. Este año, se "lleva" el fenómeno de las muñecas Monster High de Mattel que están pegando fuerte.

El caso es que las "originales", -ya que no podemos confirmar lo mismo en otras-, incluyen una "llave mágica" para que las niñas entren en su página y desbloqueen un "acceso secreto" a nuevos contenidos. Como podremos suponer, no se trata de una sola llave, sino que son de momento tres muñecas y un muñeco los que hay que comprar para tener el acceso completo a "la fiesta secreta". Por supuesto, es una clara estrategia de marketing para que una vez que tienen la primera, acaben comprando las siguientes y "desbloqueando" los niveles restantes que suponemos que un futuro serán más.

Si tenemos llaves "originales", podemos observar que cada muñeca que aparece, -en orden-, tiene un código asociado a la misma. Dicho código es del tipo W91xx y que suponemos que es común para todas ellas ya que lo que hemos observado, es simplemente un troquel hecho en el molde y que coincidirá en todas las mismas muñecas aunque no lo sabemos a ciencia cierta.

Comencemos la magia con las peques de la familia. Entraremos en la página "secreta" http://www.monsterhigh.com/sweet1600key que viene en las instrucciones de las muñecas y nos dirigimos a desbloquear la primera. Supongamos que se trata de la número "3" en la lista, -Clawdeen Wolf- y nuestro código impreso o troquelado en la llave es "W9191". La seleccionamos, introducimos el código y voilá, el candado se abre. Ahora si hemos tenido suerte y nos han dejado otra, tendremos su código o bien, probaremos a llamar a las amigas de las peques para "intercambiar" los códigos secretos. Por ejemplo, en la anterior (número 2 vemos que el código es W9190).

La idea es intentar desbloquear la primera sin conocer el código. Por lógica, suponemos que se tratará de W9189. Manos a la obra. Seleccionamos a Draculaura y al desbloquear introducimos el código W9189. Voilá!!! Ya tenemos el acceso.

Sin embargo, si hubiéramos sido más hábiles desde el principio, podríamos haber observado que nada más entrar recibimos una cookie con un campo llamado unlocked con el valor ,,, por lo que suponemos que puede ser rellenado con cuatro valores diferentes. En la primera que desbloqueamos, vimos que su valor era clawdeen,,,

Conociendo el nombre de las muñecas, con cualquier editor de cookies, podríamos haber escrito en cualquier orden las palabras mágicas draculaura,clawdeen,frankie,clawd y las que añadan en un futuro para entretenerlas y continuar el regalo de los Reyes Magos.

También, al final de la página, hay una entrada con un candado y la leyenda "Got a Code?" donde podemos probar también y nos abrirá otras actividades... pero... ¿Tenemos el código necesario para entrar? Igualmente partiendo de dos códigos conocidos, es fácilmente deducible cómo son generados.

Por ejemplo, los códigos para las taquillas son generados del tipo MH-INICIALES-COSA suponiendo que MH significará "M"onter "H"igh, las iniciales serán "N"ombre y "A"pellido y la "COSA", bastará conocer un poco la historia para deducirla, tal como:

Frankie Stein: MHFSARM
Draculaura: MHDLMIRROR
Clawdeen Wolf: MHCWPACK
Lagoona Blue: MHLBOCEAN
Cleo de Nile: MHCDEGYPT
Deuce Gorgon: MHDGSNAKE
Ghoulia Yelps: MHGYZOMBIE
				

También hay un Libro de Actividades que según parece, se genera de la forma [1-9]rg[1-6] por lo que podemos abrirles nuevas actividades:

1rg6 
2rg6 
...
9rg6

1rg1
2rg1
..
9rg1

1rg2
2rg2
...
				

Por supuesto, hay pegatinas para decorar las taquillas, también con un "código secreto" de la forma PELO[A..D]-OJOS[1..4]-CUERPO[EFIK]-BOCA[5..8] y que podemos combinar a nuestro gusto, además de "los oficiales":

Clawdeen Wolf: C3K7 
Draculaura: B2F6
Frankie Stein: A1E5 
Lagoona Blue: D4I8 				
				

Además, había una promoción desde Septiembre para las muñecas Monster High, con referencia X3712 de un sorteo a quien introduciera los códigos promocionales que se encuentran en el interior de las muñecas y que llaman MONSTER CODE equivalente a 6 participaciones para conseguir un premio. Ahora que ya ha terminado, seguro que alguna niña ha conseguido alguna muñeca adicional ;-D

Con todo lo visto, suponemos que en el apartado de registro no pedirán datos personales y los padres no pondrán sus emails "de verdad", edades, etc... ¿Verdad? No vaya a ser que la protección sea del mismo tipo...

Recordaros que en los Cursos especializados de Seguridad Informática y Administración de Sistemas que ofrecemos en Academia MADESYP realizamos y establecemos las contramedidas con todo esto y mucho más...

Ser buenos y no hagáis maldades!