Expertos HC

Las maldades que te pueden hacer sabiendo tu teléfono

Si pones tu número de teléfono en un anuncio para vender tu coche, aparte de llamarte un posible comprador, te la puede liar un cracker. Hasta el dato más irrelevante le sirve a un ciberdelincuente para hacer de las suyas.

Una chica habla por teléfono en la calle de una ciudad
Photo by bruce mars from Pexels

Este miércoles publicaba una pieza explicando algunas de las razones por las que deberíamos tener dos números de teléfono:

  • El privado, que es el que usaremos para nuestro círculo de familiares y amistades.
  • El público, enfocado a nuestra faceta profesional.

Y no hablo únicamente de separar el negocio del placer a nivel de aplicaciones -diferente agenda, diferente espacio de trabajo en nuestro smartphone…-. También por el impacto que puede llegar a tener la exposición de algo aparentemente tan poco importante como es nuestro número de teléfono en manos de un tercero con mucha mala uva.

Los riesgos de usar un mismo número de teléfono para todo

¿La razón? Ese dato personal que tan alegremente damos para participar en cualquier sorteo o cuando conocemos a otra persona, lo utilizamos además para loguearnos en muchos otros servicios. Es, como ya definí en su día, y junto con el email, el principal sistema de identificación que utilizamos en el entorno digital.

Tu cuenta de WhatsApp, y en definitiva de la amplia mayoría de servicios de mensajería -Telegram, Messenger…- utilizan el número de teléfono como identificador de cada usuario.

Pero no solo eso. La mayor parte de los sistemas de segundo factor de autenticación que tenemos habilitados en nuestras cuentas también lo utilizan.

Y hablo, por ejemplo, de la recuperación de contraseñas en tu cuenta de correo, pero también de la confirmación de pagos online de tu entidad bancaria.

Un dato personal que está sujeto a un ecosistema profundamente inseguro. Estos últimos meses ya no es el primer caso, ni será el último, de alguien que ha visto cómo de la noche a la mañana le han robado todo el dinero que tenía en su cuenta, o han conseguido acceder a algún servicio online como puede ser WhatsApp para cerrarle los grupos que administraba y robarle de paso la agenda de contactos.

Le pasó, de hecho, a Albert Rivera, el ex-líder de la formación naranja, y lo ha vivido recientemente una profesional del sector cuyo nombre prefiero mantener en el anonimato.

Todo debido a un tipo de ataque denominado SIM Swapping, que ya expliqué en profundidad por estos lares, y que se basa, principalmente, en hacerse pasar por nosotros frente a nuestra operadora para crear un duplicado de la SIM argumentando que nos la han robado o la hemos extraviado. Ese y el hijacking o secuestro de buzón de correo, que es otro ataque parecido al SIM Swapping -también engloba engañar a la operadora que nos suministra el servicio- pero en el que su implementación no requiere hablar directamente con un agente, sino engañar al sistema automático de buzón de voz en remoto.

De ahí que, sobre todo si tenemos una exposición pública -somos profesionales, emprendedores, empresarios o nuestro trabajo tiene un componente importante de cara al público-, lo más recomendable sea utilizar a título personal y para loguearse con nuestras cuentas un número de teléfono, y dejar en una segunda línea el resto de temas profesionales y públicos.

Algo que, a poco que estemos vivos, apenas va a aumentar el coste mensual. Por menos de un euro al mes, como explicaba estos días, podemos tener un número de teléfono totalmente operativo.

Y pasa exactamente lo mismo con el email. Nuestro email es, a fin de cuentas, el otro sistema de verificación de identidad que utilizamos generalmente como principal para loguearnos en cualquier perfil y servicio online. Por tanto, si nos lo roban, estamos totalmente vendidos -desde el email pueden recuperar contraseña para hacerse con el control del resto de cuentas-.

¿Tiene sentido entonces que lo expongamos públicamente? Ya te digo que no.

¿Necesitas publicar datos personales por trabajo?

Si tienes una página web, lo recomendable es hacer exactamente lo mismo que he hecho yo en la mía. Crear una página de contacto con un formulario, de forma que el email no está expuesto pero, aún así, cualquiera puede enviarme un email. Y si quieres, compartir tu email pero en imagen –como verás que tengo yo-, o incluso con el típico truco de ponerlo en texto separado, en plan «contacto -at- pabloyglesias -dot- com».

¿Por qué te digo de hacerlo de esta manera? Porque así nos quitamos de en medio los ataques automatizados: Una serie de robots que sistemáticamente navegan por Internet en busca de correos expuestos públicamente utilizando para ello reglas del tipo «[texto]@[texto].[texto]».

Este tipo de sistemas ahorran muchísimo trabajo a los cibercriminales, ya que funcionan automáticamente, y sirven, por ejemplo, para meter esos listados de emails públicos en bases de datos que luego utilizan para lanzar campañas de phishing y -y esto es más importante- comparar con otros listados de ataques anteriores para saber si ese email está asociado a alguna contraseña ya expuesta.

Si esto es así, basta con probar ese email/contraseña en el resto de servicios, a ver si alguno más cae o es posible todavía entrar en dicha cuenta.

De hecho puedes hacer tú mismo la prueba -de forma segura, tranquil@- metiendo tu email en haveibeenpowned.comSi la página te muestra una alerta en rojo, significa que tu usuario/contraseña ya ha sido comprometido en algún momento -te informará además de qué datos se expusieron, cuando ocurrió y a qué se debió-.

Conclusión: estás facilitándole al extremo el trabajo a los malos.

¿Y qué más podemos hacer? Pues al igual que con el número de teléfono, el riesgo se reduce al mínimo si tenemos aunque sea un email para loguearnos en nuestras cuentas, y otro para compartir con terceros o, si queremos, incluso de forma pública.

Un tema en que profundizo en mi Curso sobre Seguridad y Privacidad en Internet.

¿Qué riesgos corremos al exponer nuestro dni o el resto de datos personales en la red?

Termino con todos esos datos que podemos considerar de tinte personal, como es el caso de nuestro NIF/DNI/Pasaporte, nombre completo, fecha de nacimiento, etc, etc.

En su día publiqué un ejemplo real de cómo, sabiendo simplemente el email de una persona elegida al azar, fui capaz de conocer casi todo de su vida. Quién era esa persona, qué había estudiado, quiénes eran sus familiares y dónde vivía.

A este tipo de investigaciones se les llama OSINT, y es que realmente no he hecho nada ilegal para conseguirlas. Simplemente realizar búsquedas y acceder a contenido que PÚBLICAMENTE está expuesto en diferentes servicios y páginas.

Y esto se aplica también a las fotos que subimos. Una selfie da muchísima más información de la que a priori podrías pensar. Una foto subida a Internet, si no se le han borrado los metadatos, puede estar exponiendo cosas tan sensibles como el lugar donde se sacó y la hora. Datos que, si los unimos al resto de investigación OSINT, pueden ayudar a un tercero a conocer nuestros hábitos diarios, a saber dónde vivimos y con quién solemos estar.

Afortunadamente cada vez más grandes plataformas como son las redes sociales ofuscan esta información -normalmente al subir una foto a Facebook o Twitter, esta plataforma la convierte para optimizarla, y en esa optimización oculta los metadatos guardándolos ellos para sus propios fines comerciales y publicitarios-. Pero hecha la ley, hecha la trampa, ya que no es la primera vez, y lamentablemente no será la última, que nos encontramos con algún tipo de vulnerabilidad que permite saltarse ese control y acceder a esta información.

¿La mejor recomendación que te puedo dar? Pues que seas consecuente con lo que subes a la Red. No pasa nada porque, por ejemplo, subas esa foto de tus vacaciones a la vuelta. Que recuerda que Internet no es la barra de un bar. Todo lo que digas o hagas deja huella.

Conclusiones

El corolario de este artículo no es meter miedo, sino más bien informar y que seas consciente con lo que haces y dejas de hacer en derroteros digitales.

La mejor herramienta que tenemos es la concienciación y la prevención. Con estas pequeñas medidas, que como habrás visto son muy sencillas de implementar en tu día a día, minimizas muchísimo un potencial riesgo a futuro.

Que sale muchísimo más rentable prevenir que tener que curar. Porque te aseguro que al igual que crear esa huella digital es facilísimo -todos lo hacemos en el día a día, seamos o no conscientes de ello-, el borrar una huella digital ya te digo yo que no es para nada sencillo.

Requiere invertir dinero en contratar a profesionales como un servidor, y establecer una serie de acciones digitales que llevan tiempo, a sabiendas de que mientras tanto aquello que está expuesto nos puede estar jodiendo literalmente la vida.

Si ya estás en esta situación, cuéntame tu caso y veremos cómo podemos salir de ello.

Pablo F. Iglesias
Consultor de Presencia Digital y Reputación Online, crossfighter y un comilón nato. Puedes leerme todos los días en mi blog -www.pabloyglesias.com-, uno de los mayores referentes en materia de nuevas tecnologías y seguridad de la información de habla hispana: Dos años consecutivos finalista de los premios Bitácoras a mejor blog de Seguridad Informática, dos veces finalista del Premio a Periodismo ESET.... En la actualidad asesoro a profesionales, PYMES y grandes empresas sobre cómo obtener valor de la información que circula a su alrededor. El punto medio necesario entre marketing, comunicación y seguridad de la información.

DEJA UNA RESPUESTA

¡Por favor, escribe tu comentario!
Por favor, introduce tu nombre aquí

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.