privacidad datos personales

Este miércoles publicaba una pieza explicando algunas de las razones de por qué deberíamos tener dos números de teléfono:

  • El privado, que es el que usaremos para nuestro círculo de familiares y amistades.
  • El público, enfocado a nuestra faceta profesional.

Y no hablo únicamente de separar el negocio del placer a nivel de aplicaciones (diferente agenda, diferente espacio de trabajo en nuestro smartphone…), sino por el impacto que puede llegar a tener la exposición de algo aparentemente tan poco importante como es nuestro número de teléfono en manos de un tercero con mucha mala uva.

¿Qué riesgos corremos al utilizar un mismo número de teléfono para todo?

¿La razón? Ese dato personal que tan alegremente damos para participar en cualquier sorteo o cuando conocemos a otra persona, lo utilizamos además para loguearnos en muchos otros servicios. Es, como ya definí en su día, y junto con el email, el principal sistema de identificación que utilizamos en el entorno digital.

Tu cuenta de WhatsApp, y en definitiva de la amplia mayoría de servicios de mensajería (Telegram, Messenger…) utilizan el número de teléfono como identificador de cada usuario.

Pero no solo eso, la mayor parte de los sistemas de segundo factor de autenticación que tenemos habilitados en nuestras cuentas también utilizan nuestro número de teléfono.

Y hablo por ejemplo de la recuperación de contraseñas en tu cuenta de correo, pero también de la confirmación de pagos online de tu entidad bancaria.

Un dato personal que está sujeto a un ecosistema profundamente inseguro. Estos últimos meses ya no es el primer caso, ni será el último, de alguien que ha visto cómo de la noche a la mañana le han robado todo el dinero que tenía en su cuenta, o han conseguido acceder a algún servicio online como puede ser WhatsApp para cerrarle los grupos que administraba y robarle de paso la agenda de contactos.

Le pasó, de hecho, a Albert Rivera, el ex-líder de la formación naranja, y lo ha vivido recientemente una profesional del sector cuyo nombre prefiero mantener en el anonimato.

Todo debido a un tipo de ataque denominado SIM Swapping, que ya expliqué en profundidad por estos lares, y que se basa, principalmente, en hacerse pasar por nosotros frente a nuestra operadora para crear un duplicado de la SIM argumentando que nos la han robado o la hemos extraviado. Ese y el hijacking o secuestro de buzón de correo, que es otro ataque parecido al SIM Swapping (también engloba engañar a la operadora que nos suministra el servicio) pero en el que su implementación no requiere hablar directamente con un agente, sino engañar al sistema automático de buzón de voz en remoto.

De ahí que recomiende que sobre todo si tenemos una exposición pública (somos profesionales, emprendedores, empresarios o nuestro trabajo tiene un componente importante de cara al público), lo más recomendable sea utilizar a título personal y para loguearse con nuestras cuentas un número de teléfono, y dejar en una segunda línea el resto de temas profesionales y públicos.

Algo que, a poco que estemos vivos, apenas va a aumentar el coste mensual. Por menos de un euro al mes, como explicaba estos días, podemos tener un número de teléfono totalmente operativo.

¿Qué riesgos corremos al utilizar un mismo correo electrónico para todo?

Y pasa exactamente lo mismo con el email. Nuestro email es, a fin de cuentas, el otro sistema de verificación de identidad que utilizamos generalmente como principal para loguearnos en cualquier perfil y servicio online. Por tanto, si nos lo roban, estamos totalmente vendidos (desde el email pueden recuperar contraseña para hacerse con el control del resto de cuentas).

¿Tiene sentido entonces que lo expongamos públicamente? Ya te digo que no.

Si tienes una página web, lo recomendable es hacer exactamente lo mismo que he hecho yo en la mía. Crear una página de contacto con un formulario, de forma que el email no está expuesto pero aún así cualquiera puede enviarme un email. Y si quieres, compartir tu email pero en imagen (como verás que tengo yo), o incluso con el típico truco de ponerlo en texto separado, en plan «contacto (at) pabloyglesias (dot) com».

¿Por qué te digo de hacerlo de esta manera? Porque así nos quitamos de en medio los ataques automatizados: Una serie de robots que sistemáticamente navegan por Internet en busca de correos expuestos públicamente utilizando para ello reglas del tipo «[texto]@[texto].[texto]».

Este tipo de sistemas ahorran muchísimo trabajo a los cibercriminales, ya que funcionan automáticamente, y sirven, por ejemplo, para meter esos listados de emails públicos en bases de datos que luego utilizan para lanzar campañas de phishing y (y esto es más importante) comparar con otros listados de ataques anteriores para saber si ese email está asociado a alguna contraseña ya expuesta.

Si esto es así, basta con probar ese email/contraseña en el resto de servicios, a ver si alguno más cae o es posible todavía entrar en dicha cuenta.

De hecho puedes hacer tú mismo la prueba (de forma segura, [email protected]) metiendo tu email en haveibeenpowned.com (EN). Si la página te muestra una alerta en rojo, significa que tu usuario/contraseña ya ha sido comprometido en algún momento (te informará además de qué datos se expusieron, cuando ocurrió y a qué se debió).

Conclusión: estás facilitándole al extremo el trabajo a los malos.

¿Y qué más podemos hacer? Pues al igual que con el número de teléfono, el riesgo se reduce al mínimo si tenemos aunque sea un email para loguearnos en nuestras cuentas, y otro para compartir con terceros o, si queremos, incluso de forma pública.

Un tema en que profundizo en mi Curso sobre Seguridad y Privacidad en Internet.

¿Te preocupa tu Seguridad y Privacidad Online?

He diseñado este curso online en 8 módulos en el que cubriremos todos los fundamentos de la ciberseguridad, ayudándote paso por paso a configurar la seguridad y privacidad de tus cuentas digitales y de tus dispositivos.

¿Qué riesgos corremos al exponer nuestro DNI o el resto de datos personales en la Red?

Termino con todos esos datos que podemos considerar de tinte personal, como es el caso de nuestro NIF/DNI/Pasaporte, nombre completo, fecha de nacimiento, etc, etc.

En su día publiqué un ejemplo real de cómo, sabiendo simplemente el email de una persona elegida al azar, fui capaz de conocer casi todo de su vida:

¿Quién era esa persona? ¿Qué había estudiado? ¿Quién eran sus familiares? ¿Por dónde vivía?

A este tipo de investigaciones se les llama OSINT, y es que realmente no he hecho nada ilegal para conseguirlas. Simplemente realizar búsquedas y acceder a contenido que PÚBLICAMENTE está expuesto en diferentes servicios y páginas.

Y esto se aplica también a las fotos que subimos. Una selfie da muchísima más información de la que a priori podrías pensar. Una foto subida a Internet, si no se le han borrado los metadatos, puede estar exponiendo cosas tan sensibles como el lugar donde se sacó y la hora. Datos que, si los unimos al resto de investigación OSINT, pueden ayudar a un tercero a conocer nuestros hábitos diarios, a saber dónde vivimos y con quién solemos estar.

Afortunadamente cada vez más grandes plataformas como son las redes sociales ofuscan esta información (normalmente al subir una foto a Facebook o Twitter, esta plataforma la convierte para optimizarla, y en esa optimización oculta los metadatos guardándolos ellos para sus propios fines comerciales y publicitarios). Pero hecha la ley, hecha la trampa, ya que no es la primera vez, y lamentablemente no será la última, que nos encontramos con algún tipo de vulnerabilidad que permite saltarse ese control y acceder a esta información.

¿La mejor recomendación que te puedo dar? Pues que seas consecuente con lo que subes a la Red. No pasa nada porque, por ejemplo, subas esa foto de tus vacaciones a la vuelta. Que recuerda que Internet no es la barra de un bar. Todo lo que digas o hagas deja huella.

Conclusiones

El corolario de este artículo no es meter miedo, sino más bien informar y que seas consciente con lo que haces y dejas de hacer en derroteros digitales.

La mejor herramienta que tenemos es la concienciación y la prevención. Con estas pequeñas medidas, que como habrás visto son muy sencillas de implementar en tu día a día, minimizas muchísimo un potencial riesgo a futuro.

Que sale muchísimo más rentable prevenir que tener que curar. Porque te aseguro que al igual que crear esa huella digital es facilísimo (todos lo hacemos en el día a día, seamos o no conscientes de ello), el borrar una huella digital ya te digo yo que no es para nada sencillo.

Requiere invertir dinero en contratar a profesionales como un servidor, y establecer una serie de acciones digitales que llevan tiempo, a sabiendas de que mientras tanto aquello que está expuesto nos puede estar jodiendo literalmente la vida.

Si ya estás en esta situación, cuéntame tu caso y veremos cómo podemos salir de ello:

Un artículo publicado previamente para la revista HackerCar (ES).

________

¿Quieres conocer cuáles son mis dispositivos de trabajo y juego preferidos?

Revisa mi setup de trabajo, viaje y juego (ES).

Y si te gustaría ver más de estos análisis por aquí. Si el contenido que realizo te sirve en tu día a día, piénsate si merece la pena invitarme a lo que vale un café, aunque sea digitalmente.