Un ejemplo para entender cómo te roban los datos personales

El incremento de ataques de seguridad informática ha aumentado en los últimos 2 ó 3 años de manera alarmante, y nos afecta a todos por igual. Empresas, profesionales, particulares, gente de alta o baja formación, todos estamos expuestos a un ataque para conseguir información que permita estafarnos. Para que puedas prevenirlo, es importante que sepas cómo funcionan.

En los últimos meses me han llegado noticias de que, al menos, tres personas con las que tengo contacto directo han sido víctimas de intentos de estafa cibernética. Un intento de estafa con tarjeta, dos de robo de información y algo más.

Esta es una de las consecuencias de la utilización masiva de los servicios en Internet, de haber sustituido la agenda telefónica de papel, esa que todos llevábamos en la cartera en los años 80, por directorios de contactos en Office o Gmail; de utilizar tarjetas virtuales agregadas en Apple Pay en vez de hacer pagos en efectivo; o de tener cuenta en dos servicios de vídeo bajo demanda, en vez de alquilar películas en el videoclub de la esquina.

El problema no es la tecnología, sino que todos esos servicios se convierten en un punto único de ataque. Si alguien quiere conocer información sobre víctimas potenciales, lo que tiene que hacer es conseguir el acceso a su directorio de usuarios y el resultado no afecta a una persona, sino a los millones de suscriptores. A mediados de este año, por ejemplo, la línea aérea EasyJet era víctima de un ataque que dejaba al descubierto los datos de cerca de nueve millones de clientes, lo que incluía su dirección de correo electrónico.

Lo que voy a contarte es un ejemplo de qué puede pasar con ese tipo de datos cuando llegan a manos de los piratas. Cómo se va desde el punto A, con un dato casi anónimo o irrelevante, al punto B, en el que has caído en la trampa y te han estafado una cantidad indeterminada de dinero. Entender esto es fundamental para que desarrolles una serie de hábitos que te permitan proteger tu patrimonio personal o, si eres gestor en una empresa, el de tu negocio.

Las películas de Hollywood y las series de televisión han extendido la idea de que existe una aplicación para hackers (piratas informáticos), con una interfaz llena de colores brillantes, en la que puedes preguntar cualquier cosa y, gracias al milagro de la tecnología, en pocos segundos recibes respuesta a una pregunta súper-enrevesada. Algo así como… «dime quiénes nacieron entre Octubre de 1997 y Marzo de 2002, que ayer montaron en tren, les gusta la pizza con piña y usan gafas con poca graduación de miopía». Tras unos instantes de reflexión, la pantalla suelta una lista de tres candidatos, en la que siempre la víctima es el tercero.

Bueno, pues tengo una noticia para ti. Esas aplicaciones no existen. Los ataques de seguridad tienen mucho más de puzle e investigación, que de magia. Pensemos en esa lista de clientes de EasyJet que robaron hace unos meses. La empresa asegura que los datos estaban anonimizados, que quiere decir que en la misma línea de texto no aparecen el nombre, dirección y teléfono del cliente, sino que por un lado está la edad, por otro la fecha en que cogió un vuelo y por otro un número de teléfono. Esa fragmentación de datos es, en teoría, una forma de proteger la seguridad de los clientes, pero la verdad es que no sirve casi para nada.

Imagina que en esa lista sólo había una sucesión interminable de números de teléfono. Números sin nombre, sin dirección, sin datos bancarios, nada. Por seguridad, no voy a darte pasos concretos de lo que hay que hacer ni voy a poner ningún dato, pero seguro que puedes seguir el hilo. Empecemos por un número de teléfono cualquiera, de una lista de clientes de una multinacional. Ni siquiera sabes de qué país es.

Lo primero que hace nuestro hacker es acotar la búsqueda, tratar de reducir la localización de la víctima. ¿Cómo pasamos de un número arbitrario a saber la población? Cada país tiene un sistema de numeración telefónica muy característico. En Francia, por ejemplo, los números tienen 10 dígitos, siempre empiezan por cero y el segundo número nos dice la región a la que pertenece. En España tienen 9 dígitos, los móviles casi siempre empiezan por 6, los fijos por 9 y la segunda y tercera cifra te dan muchas pistas de la ciudad a la que pertenece, aunque esto no es seguro al 100%.

Ya hemos dado el primer paso. Ya no tienes un número arbitrario, sino que sabes en qué país vive esa persona, por qué zona y, con una probabilidad muy alta, el idioma que habla. En este momento nuestro hacker tiene una hoja de papel con varias casillas en blanco, que tiene que ir rellenando con los datos que obtiene. El primero era el número y ahora ha podido rellenar los de «idioma» y «país».

Si sabes el país al que pertenece el número, sabes que debe estar gestionado por alguno de los operadores de telecomunicaciones autorizados, como T-Mobile, Vodafone u Orange en muchos países europeos, o Spring Nextel en Estados Unidos. Si escribes ese número en un buscador de una forma concreta (que no te voy a decir), vas a obtener no menos de diez resultados que te dicen a qué compañía telefónica pertenece ese número. Nuestro hacker ya puede anotar otro dato importante en la ficha de su víctima: el proveedor de telefonía.

Además, mucha gente pone su número de teléfono en su perfil de redes sociales, como Facebook o LinkedIn. De hecho, casi todos los servicios de Internet han tendido a convertir el móvil en un punto de contacto y verificación, por lo que todos te lo piden en uno u otro momento para mandarte un mensaje de control. Así que una búsqueda un poco hábil podría terminar en un perfil en el que el número está escrito y asociado a un nombre, una cara, una lista de contactos y bastantes actualizaciones públicas, en función del nivel de privacidad que tengas activado en cada red social. Nuestro hacker ya tiene 5, 6 o 20 datos más.

Si eres administrador de una sociedad, tu nombre completo aparece en el registro de empresas, y mucha gente (especialmente con esta tendencia actual a trabajar desde casa), pone el domicilio social en su buzón. Ya saben tu empresa, tu cargo, la facturación anual y tu dirección, porque todo consta en la presentación de cuentas que muchos países piden a las sociedades mercantiles. Si tienes sitio web, partiendo de la denominación social podemos saber el nombre de dominio y, a través de ICANN (el registro de Internet) confirmar otros datos. Ya está. Ya he conseguido llegar en unos pocos pasos de un número anónimo a poder contarte lo que has hecho en los últimos 5 años con bastante detalle.

En algún momento, el hacker ha conseguido la información suficiente para hacer su ataque. Y este puede tener muchas formas, como mandarte un mensaje de correo electrónico de tu operadora de telefonía (que han conseguido antes) en el que se te dice que tu número (que tienen desde el principio) tiene una avería y que pulses un enlace (malicioso) para revisar tu cuenta y cambiar la contraseña.

Otra variante es llamarte por teléfono (que ya tienen), hablándote en tu idioma (que ya saben), para comentarte que han detectado un aumento de tráfico en tu router WiFi y que posiblemente eres víctima de un ataque, así que quieren confirmar contigo algunos detalles. Para empezar, y poder tratarte de forma respetuosa, te piden que les confirmes tu nombre. No te preguntan si eres el titular, sino «con quién hablo», para ser educados. ¿Quién se resiste a eso? Una persona no entrenada dice de todo, porque los primeros elementos de la llamada (somos de tu empresa, te llamamos por tu número) crean una apariencia de solvencia y normalidad que tú sigues. Lo mismo pasa con los mensajes de correo electrónico; tienen una apariencia tan normal, que crean un marco de confianza inicial.

En el momento en que respondas a esa llamada, pulses en ese enlace de correo o respondas a cualquier cosa, ya estás atrapado. La primera fase de «descubrimiento de datos» es bastante automática y sólo pretende rellenar algunos huecos. A medida que se obtienen pequeños detalles, el perfil de la víctima gana en calidad, hasta que alguien hace una llamada o supervisa un mensaje para «enganchar» a la víctima. Cada dato que se haya conseguido en la fase de investigación es un anzuelo más que pueden lanzar si muestras recelos o para afianzar la impresión de seguridad. El objetivo es conseguir ese «contexto de confianza» en el que parece que ya saben todo lo que necesitan… menos tu número de cuenta bancaria.

No todos los ataques son así y no he pretendido hacer una descripción paso a paso. Lo que quería transmitirte es la imagen general del problema. Hoy compartes muchos datos personales a través de tu dirección en el paquete que recibes en casa, la cuenta de usuario de la pizzería, de la línea aérea o de tu red social. Cada uno de ellos a solas no sirve de nada y nadie te conoce ni te busca. Pero en algún momento cualquiera de esos datos puede servir para iniciar un proceso detectivesco en el que un robot (un servidor informático) empiece a buscar y cruzar datos de millones de registros, hasta coger los suficientes que permitan dar el siguiente paso.

El resultado es que alguien te llama por una supuesta incidencia con el coche, con la línea de teléfono, con el pedido de un aire acondicionado y terminas dos días después con un cargo en tu cuenta bancaria de 200, 300 ó 1.400 € que no sabes de dónde sale ni cómo han podido obtener tus datos.

El problema es tan grande que da para mucho más que un artículo, y estoy pensando en escribir una pequeña guía de seguridad para «no informáticos», porque vivimos rodeados de tecnología sin ser conscientes de los riesgos que entraña. Los hábitos sociales en los que nos hemos educado y las costumbres personales, muchas de ellas encaminadas a esforzarse lo menos posible, son las herramientas que usan los hackers para obtener información que permitan abrir la brecha.

Lo más interesante de todo esto es que ni siquiera necesitamos que nadie le robe la lista de clientes a EasyJet. Conociendo el formato de los números de teléfono en cada país, un moderno ordenador portátil puede generar todas las combinaciones posibles en menos de cinco minutos y, a partir de ahí, lanzar un proceso de búsqueda para detectar víctimas potenciales. Así de sencillo. Así que, por favor, no respondas a NADIE con ningún dato NUNCA.