Este miércoles publicaba una pieza explicando algunas de las razones de por qué deberíamos tener dos números de teléfono:
- El privado, que es el que usaremos para nuestro círculo de familiares y amistades.
- El público, enfocado a nuestra faceta profesional.
Y no hablo únicamente de separar el negocio del placer a nivel de aplicaciones (diferente agenda, diferente espacio de trabajo en nuestro smartphone…), sino por el impacto que puede llegar a tener la exposición de algo aparentemente tan poco importante como es nuestro número de teléfono en manos de un tercero con mucha mala uva.
Índice de contenido
¿Qué riesgos corremos al utilizar un mismo número de teléfono para todo?
¿La razón? Ese dato personal que tan alegremente damos para participar en cualquier sorteo o cuando conocemos a otra persona, lo utilizamos además para loguearnos en muchos otros servicios. Es, como ya definí en su día, y junto con el email, el principal sistema de identificación que utilizamos en el entorno digital.
Tu cuenta de WhatsApp, y en definitiva de la amplia mayoría de servicios de mensajería (Telegram, Messenger…) utilizan el número de teléfono como identificador de cada usuario.
Pero no solo eso, la mayor parte de los sistemas de segundo factor de autenticación que tenemos habilitados en nuestras cuentas también utilizan nuestro número de teléfono.
Y hablo por ejemplo de la recuperación de contraseñas en tu cuenta de correo, pero también de la confirmación de pagos online de tu entidad bancaria.
Un dato personal que está sujeto a un ecosistema profundamente inseguro. Estos últimos meses ya no es el primer caso, ni será el último, de alguien que ha visto cómo de la noche a la mañana le han robado todo el dinero que tenía en su cuenta, o han conseguido acceder a algún servicio online como puede ser WhatsApp para cerrarle los grupos que administraba y robarle de paso la agenda de contactos.
Le pasó, de hecho, a Albert Rivera, el ex-líder de la formación naranja, y lo ha vivido recientemente una profesional del sector cuyo nombre prefiero mantener en el anonimato.
Todo debido a un tipo de ataque denominado SIM Swapping, que ya expliqué en profundidad por estos lares, y que se basa, principalmente, en hacerse pasar por nosotros frente a nuestra operadora para crear un duplicado de la SIM argumentando que nos la han robado o la hemos extraviado. Ese y el hijacking o secuestro de buzón de correo, que es otro ataque parecido al SIM Swapping (también engloba engañar a la operadora que nos suministra el servicio) pero en el que su implementación no requiere hablar directamente con un agente, sino engañar al sistema automático de buzón de voz en remoto.
De ahí que recomiende que sobre todo si tenemos una exposición pública (somos profesionales, emprendedores, empresarios o nuestro trabajo tiene un componente importante de cara al público), lo más recomendable sea utilizar a título personal y para loguearse con nuestras cuentas un número de teléfono, y dejar en una segunda línea el resto de temas profesionales y públicos.
Algo que, a poco que estemos vivos, apenas va a aumentar el coste mensual. Por menos de un euro al mes, como explicaba estos días, podemos tener un número de teléfono totalmente operativo.
¿Qué riesgos corremos al utilizar un mismo correo electrónico para todo?
Y pasa exactamente lo mismo con el email. Nuestro email es, a fin de cuentas, el otro sistema de verificación de identidad que utilizamos generalmente como principal para loguearnos en cualquier perfil y servicio online. Por tanto, si nos lo roban, estamos totalmente vendidos (desde el email pueden recuperar contraseña para hacerse con el control del resto de cuentas).
¿Tiene sentido entonces que lo expongamos públicamente? Ya te digo que no.
Si tienes una página web, lo recomendable es hacer exactamente lo mismo que he hecho yo en la mía. Crear una página de contacto con un formulario, de forma que el email no está expuesto pero aún así cualquiera puede enviarme un email. Y si quieres, compartir tu email pero en imagen (como verás que tengo yo), o incluso con el típico truco de ponerlo en texto separado, en plan “contacto (at) pabloyglesias (dot) com”.
¿Por qué te digo de hacerlo de esta manera? Porque así nos quitamos de en medio los ataques automatizados: Una serie de robots que sistemáticamente navegan por Internet en busca de correos expuestos públicamente utilizando para ello reglas del tipo “[texto]@[texto].[texto]”.
Este tipo de sistemas ahorran muchísimo trabajo a los cibercriminales, ya que funcionan automáticamente, y sirven, por ejemplo, para meter esos listados de emails públicos en bases de datos que luego utilizan para lanzar campañas de phishing y (y esto es más importante) comparar con otros listados de ataques anteriores para saber si ese email está asociado a alguna contraseña ya expuesta.
Si esto es así, basta con probar ese email/contraseña en el resto de servicios, a ver si alguno más cae o es posible todavía entrar en dicha cuenta.
De hecho puedes hacer tú mismo la prueba (de forma segura, tranquil@) metiendo tu email en haveibeenpowned.com (EN). Si la página te muestra una alerta en rojo, significa que tu usuario/contraseña ya ha sido comprometido en algún momento (te informará además de qué datos se expusieron, cuando ocurrió y a qué se debió).
Conclusión: estás facilitándole al extremo el trabajo a los malos.
¿Y qué más podemos hacer? Pues al igual que con el número de teléfono, el riesgo se reduce al mínimo si tenemos aunque sea un email para loguearnos en nuestras cuentas, y otro para compartir con terceros o, si queremos, incluso de forma pública.
Un tema en que profundizo en mi Curso sobre Seguridad y Privacidad en Internet.
¿Te preocupa tu Seguridad y Privacidad Online?
He diseñado este curso online en 8 módulos en el que cubriremos todos los fundamentos de la ciberseguridad, ayudándote paso por paso a configurar la seguridad y privacidad de tus cuentas digitales y de tus dispositivos.
¿Qué riesgos corremos al exponer nuestro DNI o el resto de datos personales en la Red?
Termino con todos esos datos que podemos considerar de tinte personal, como es el caso de nuestro NIF/DNI/Pasaporte, nombre completo, fecha de nacimiento, etc, etc.
En su día publiqué un ejemplo real de cómo, sabiendo simplemente el email de una persona elegida al azar, fui capaz de conocer casi todo de su vida:
¿Quién era esa persona? ¿Qué había estudiado? ¿Quién eran sus familiares? ¿Por dónde vivía?
A este tipo de investigaciones se les llama OSINT, y es que realmente no he hecho nada ilegal para conseguirlas. Simplemente realizar búsquedas y acceder a contenido que PÚBLICAMENTE está expuesto en diferentes servicios y páginas.
Y esto se aplica también a las fotos que subimos. Una selfie da muchísima más información de la que a priori podrías pensar. Una foto subida a Internet, si no se le han borrado los metadatos, puede estar exponiendo cosas tan sensibles como el lugar donde se sacó y la hora. Datos que, si los unimos al resto de investigación OSINT, pueden ayudar a un tercero a conocer nuestros hábitos diarios, a saber dónde vivimos y con quién solemos estar.
Afortunadamente cada vez más grandes plataformas como son las redes sociales ofuscan esta información (normalmente al subir una foto a Facebook o Twitter, esta plataforma la convierte para optimizarla, y en esa optimización oculta los metadatos guardándolos ellos para sus propios fines comerciales y publicitarios). Pero hecha la ley, hecha la trampa, ya que no es la primera vez, y lamentablemente no será la última, que nos encontramos con algún tipo de vulnerabilidad que permite saltarse ese control y acceder a esta información.
¿La mejor recomendación que te puedo dar? Pues que seas consecuente con lo que subes a la Red. No pasa nada porque, por ejemplo, subas esa foto de tus vacaciones a la vuelta. Que recuerda que Internet no es la barra de un bar. Todo lo que digas o hagas deja huella.
Conclusiones
El corolario de este artículo no es meter miedo, sino más bien informar y que seas consciente con lo que haces y dejas de hacer en derroteros digitales.
La mejor herramienta que tenemos es la concienciación y la prevención. Con estas pequeñas medidas, que como habrás visto son muy sencillas de implementar en tu día a día, minimizas muchísimo un potencial riesgo a futuro.
Que sale muchísimo más rentable prevenir que tener que curar. Porque te aseguro que al igual que crear esa huella digital es facilísimo (todos lo hacemos en el día a día, seamos o no conscientes de ello), el borrar una huella digital ya te digo yo que no es para nada sencillo.
Requiere invertir dinero en contratar a profesionales como un servidor, y establecer una serie de acciones digitales que llevan tiempo, a sabiendas de que mientras tanto aquello que está expuesto nos puede estar jodiendo literalmente la vida.
Si ya estás en esta situación, cuéntame tu caso y veremos cómo podemos salir de ello:
Un artículo publicado previamente para la revista HackerCar (ES).
________
¿Quieres conocer cuáles son mis dispositivos de trabajo y juego preferidos?
Revisa mi setup de trabajo, viaje y juego (ES).
Y si te gustaría ver más de estos análisis por aquí. Si el contenido que realizo te sirve en tu día a día, piénsate si merece la pena invitarme a lo que vale un café, aunque sea digitalmente.
El tema del número de teléfono cada vez más recurrente, justo cómo dices, y de hecho me preocupa mucho por temas bancarios y cosas por el estilo, sobre todo porque la herramienta más utilizada es Whatsapp, y es una app que he escuchado tiene un sistema de seguridad que no es de lo mejor, aparte la misma es propiedad de Facebook, unas de las empresa de la actualidad más importantes, pero también con más problemas por pobres políticas de seguridad y privacidad día tras día. Sn embargo a este paso, prescindir de nuestro número para usar redes sociales es prácticamente imposible, a menos que usemos un número para llamadas, sms, y cosas importantes como nuestros bancos,etc, y luego para las redes tengamos otro diferente, ambos personales no profesionales, no creen? O qué otra solución se podría implementar?
Eso sería lo perfecto. Como te decía en el artículo, y al igual que ocurre con el email, lo suyo es siempre tener el que utilizamos propiamente como número de teléfono, y otro privado que solo usamos para identificarnos en la red.
Pero bueno, entiendo que si ya muchos profesionales no son conscientes de ello, esperar que todas las personas tengan dos números sería pecar de ingenuo.
Poco a poco…
Ni en mis peores pesadillas se me ocurriría publicar mi dni en ninguna de sus formas, de hecho me da repelus cuando en un hotel pierdo de vista mi dni, o cuando me dicen que me lo devolverán cuando baje de la habitación, ya no digamos cuando antes lo escaneaban para acceder a determinados sitios que ahora lo pasan por un escaner….El tema del correo lo tenía resuelto de forma clásica con varias cuentas de correo para los sitios que me obligaban a registrarme para nada, en esas hace años que utilizo cuentas temporales y que les hagan lo que quieran, ciertamente, cada vez enlazamos más cosas con la cuenta de correo electrónico que te instan a que utilices la cuenta “de verdad” para registrarte en más sitios.
Pero donde no hay posibilidad de escapatoria es en el teléfono. Cada vez en más sitios se utiliza como llave de entrada, en los bancos, para mi incomprensible, sigue siendo la única forma de acceder, pero amazon cada vez que accedo me pregunta si no quiero tener una cuenta mucho más segura añadiendo el número de móvil…. No! ya tengo otras medidas de verdad para ello.Ciertamente, no son los bancos los que me preocupan de verdad, ya que si alguien me limpia la cuenta bancaria se que el banco me lo repondrá, perdiendo horas si, pero me lo repondrá. Pero, ¿qué pasa con el resto de información? Con la información que cada aplicación/servicio recopila de nosotros, si alguien consigue acceder no sabemos que puede hacer con ella, y estamos totalmente expuestos.Pero el problema no solo ocurre cuando mezclas lo personal con lo profesional, algo que algunos no nos ha gustado mezclar nunca, si no que dentro de lo personal me gustaría poder establecer relaciones de confianza, de forma que aquellos servicios de más confianza pudiesen ir a un lado y los de menos a otro, y, sobre todo, desligarlos del móvil, que no se a que mente pensante le parecería una buena idea tener la llave de tu vida en un dispositivo que podemos perder o nos pueden robar.Ciertamente un tema complejo y puede que necesario tenerlo como opción, pero a día de hoy ya deberíamos tener casi desterrado el móvil como sistema de autenticación principal. Pero por desgracia, la tendencia corre a toda velocidad en la dirección contraria, forzándonos a que utilicemos el móvil como sistema de validación ignorando todos los problemas conocidos, por lo menos hasta que tengamos tantos problemas relacionados con el tema que tengamos que ir poniendo parches. Vamos, lo que ya ha pasado en el pasado
A ver, tampoco creo que la gente vaya publicando su DNI o pasaporte por ahí (aunque con el segundo basta buscar por Instagram gente que se va de viaje para encontrarte con cientos de las típicas fotos del pasaporte más el vuelo ahí expuestas).
La cosa es que por ejemplo tu DNI se puede exponer por haber participado en algún examen de universidad, o por una multa de tráfico, o mil cosas de ese estilo. Y es algo de lo que encima no tienes control alguno…