Era un cálido día de marzo (maldito cambio climático) cuando, de pronto, veo que a nuestro teléfono móvil de la empresa nos llega un SMS de confirmación de reserva en Airbnb.
Obviamente, sé que nadie del equipo ha reservado nada con ese número, así que presupongo que se trata de un fraude de SMS, y continúo con mi día a día.
Sin embargo, al poco recibo otro SMS. Y más tarde, una llamada identificada como Airbnb, y para colmo, con la insignia de verificada por Google, que sigo sin coger.
Estaba liado con algo del trabajo, así que me guardo el tema para el día siguiente.
Así, en la mañana del siguiente día, y al ver que vuelvo a tener un par de SMS más, esta vez de cancelación, me da por investigar.
Y, de pronto, descubro que, en efecto, no se trata de un fraude.
Índice de contenido
Tengo cuenta en Airbnb, pero no es mía
Obvio las URLs del SMS por eso de que las carga el diablo, y accedo directamente a Airbnb desde una búsqueda en el ordenador de trabajo.
Ahí, intento acceder con mi usuario, usando la opción de entrar vía número de teléfono, aunque solo fuera para constatar de que se trataba de un timo.
Pido acceder vía número de teléfono, pongo el número móvil de la empresa, y le doy a enviar código de acceso.
Para mi sorpresa, un SMS de Airbnb llega al móvil.
¡Ay Dios mío!
¡Pero si no tenemos cuenta corporativa en Airbnb!
Agrego el código temporal, ¡y voilà!
Estoy dentro de una cuenta a nombre de una tal Carol, con su foto de perfil y su histórico de visitas anteriores.
Esto pinta entretenido G.G
Análisis OSINT de mi usurpadora de identidad
Por lo que puedo ver, la tal Caro es una orgullosa hija de una familia de Pamplona, que lleva siete años de Airbnb.
En 2017 hizo varios viajes por Europa (Italia, Amsterdam…), y ha estado desde entonces inactiva… hasta ahora.
Hace unos días (unas semanas para ti que estás leyendo esto) hizo una reserva a una finca en San Bernardino, también con el resto de su familia.
Sin embargo, Abel, el dueño de esta finca, le mandó un mensaje desde la aplicación avisándole de que eran nuevos en Airbnb, y que justo para esas fechas ya la tenían ocupada, dándole a la pobre Carol dos opciones:
- O cancelaba la reserva.
- O podrían disfrutarla, pero para unos días antes.
Como te podrás imaginar, Carol se decidió por lo primero, razón de que me llegasen varios SMS al número de teléfono de la empresa (muy probablemente debido a que esa gestión intentó hacerla desde el ordenador, y no desde el móvil, donde seguramente ya tiene el usuario y la contraseña metidas por defecto).
En una primera instancia, presuponía que se trataba de una cuenta fake que buscaba engañar a los anfitriones de alguna manera (cancelando reservas y luego redirigiéndoles a otra página donde supuestamente les haría el pago, o algo por el estilo).
El ver que desde 2017 no había vuelto a usar el servicio podría ser síntoma de que, en efecto, se trataba de una cuenta robada.
Sin embargo, y como te decía, parece que esa cancelación fue debido al anfitrión, y no a ella. Vamos, que por más que le di vueltas, no vi timo posible.
La chica había reservado para hacer un viaje a San Bernardino, y el anfitrión de esa casa les había pedido amablemente que cancelasen la reserva.
Quedaba por tanto una última opción: Que Carol hubiese tenido el número móvil de nuestra empresa antes que nosotros, y que no lo hubiese actualizado desde que creó la cuenta.
Que se podía tratar, simplemente, de un malentendido, vaya.
Así que hice lo que creo que todos deberíamos hacer.
Avisar al usuario.
Desde la interfaz de ajustes puedo ver el email completo de la usuaria
Contacto con mi usurpadora
Revisando su perfil, y como suele pasar en la mayoría de servicios, tanto el número de teléfono como el email (y, por supuesto, también la contraseña) están parcialmente ocultos.
Esto se hace, precisamente, para evitar posibles robos de credenciales mediante técnicas de shoulder surfer, o simplemente mediante la típica de haberse olvidado el acceso a una cuenta en un dispositivo de un tercero.
Sin embargo, y después de perderme un poco por los apartados de configuración de cuenta, di con uno donde aparecía el correo al completo de la susodicha Carol.
Así, visible, sin ningún asterisco ni nada por el estilo.
Lo que ya de por sí es un riesgo de seguridad, todo sea dicho. Pero que, al menos, para este caso, pues me venía que ni pintado.
Sin eso, tendría que haber hecho ingeniería inversa con la foto de perfil de Carol para ver si la había usado en alguna red social, y de ahí tirar del hilo hasta encontrar una manera de ponerme en contacto con ella.
Pero, como te decía, ni tan siquiera me hizo falta.
La propia interfaz de Airbnb ya me daba acceso a su cuenta de correo.
Así que le envié un email cordial avisándola de que el número de teléfono que tenía asociado a su cuenta era el nuestro, y que eso suponía un riesgo de seguridad enorme para su persona.
A fin de cuentas, ahora mismo yo podría reservar sin ningún problema cualquier habitación, que le cobrarían a ella, asegurándome previamente de que ella no tuviera forma de cancelarla: con el número de teléfono puedo cambiarle la contraseña de acceso y activar un doble factor de autenticación para que pese a que tenga su email (que también puedo modificar, por cierto) asociado, necesite sí o sí acceso a mi número de teléfono para poder hacer cualquier acción en su cuenta.
Y le pasé además algunos pantallazos de su perfil privado y de las opciones de configuración, para que no se pensase que le estaba mintiendo o intentando estafarla.
Es que realmente tenía acceso a su cuenta.
Pues este email se lo envié hace ya algo más de tres semanas (más tiempo para ti, que estás ahora leyendo esto), y si no he actualizado el artículo, significa que no he recibido respuesta de Carol.
Lamentablemente, he tenido que tomar la decisión de borrar la cuenta.
A fin de cuentas, no me hace ninguna gracia que exista una cuenta en cualquier servicio asociada al número de teléfono móvil de la empresa.
Que bien es cierto que no lo solemos usar mucho públicamente (para eso tenemos el número fijo), pero igualmente, no quiero ser responsable de la seguridad de una cuenta que no nos pertenece.
Podría pasar cualquier cosa el día de mañana, y el número al que llamarían sería al nuestro.
Toda esta historia para alertar del riesgo de dejar configuraciones obsoletas en cuentas personales (y profesionales, ya puestos).
Quiero pensar, como te decía anteriormente, que la buena de Carol tuvo en su día nuestro número de teléfono móvil, y que por tanto, de ahí viene el que esté aún asociado a este número.
La otra opción es que se haya equivocado al meterlo, pero entonces, o bien Airbnb no confirma los números de teléfono a la hora de asociarlos a una cuenta (cosa que dudo, sinceramente), o bien me tendrían que haber llegado, como ocurrió estos días, una serie de SMS de confirmación.
El número móvil de la empresa lleva ya unos cinco años con nosotros, por lo que la primera opción es plausible.
Sea como fuere, la cuestión es que debes recordar que si tienes pensado cambiar de número de teléfono, o de email, PREVIAMENTE habría que hacer el trabajo de ir cuenta por cuenta cambiando los datos, o cerrándola.
En caso contrario, te puedes encontrar en la situación de Carol, con una cuenta asociada a su tarjeta de crédito que está, en el momento de escribir esta pieza, en manos de un tercero.
Uno que, afortunadamente, no va a hacer nada contra ella.
Pero que podría, si así lo quisiese, darle unos cuantos sustos.
Imagínate recibir en tu correo semanalmente historias como esta
Suscríbete ahora a «Las 7 de la Semana», la newsletter sobre Nuevas Tecnologías y Seguridad de la Información. Cada lunes a las 7AM horario español un resumen con todo lo importante de estos últimos días.
