En un espacio plano, la línea más corta entre 2 puntos, es una recta como es bien sabido. El camino más simple para poner en riesgo la privacidad de alguien, puede ser mucho más fácil de lo que jamás habías imaginado.

A menudo nos enfrentamos a la pregunta de si estaremos lo suficientemente al corriente de los riesgos de la privacidad de nuestros datos, pensando en complejos sistemas e intrincados y laboriosos métodos orquestados por auténticos ninjas del cibercrimen al mando de megaordenadores con decenas de pantallas, cuando la realidad suele ser, mucho más fácil.

Y de igual simple forma, se me iluminó la bombilla al pasar junto a un contenedor y ver una CPU de ordenador abandonada. Que digo yo que al menos podían acudir a un punto limpio, pero parece que los expropietarios, tenían la misma conciencia ambiental que digital.

¿SOMOS CONSCIENTES DE LOS DATOS QUE ALBERGAN LOS DISPOSITIVOS QUE DESECHAMOS?

De forma que para no dejar la bombilla encendida mucho rato (chiste ecológico, guiño-guiño) unos minutos más tarde la susodicha CPU de ordenador se encontraba en mi casa, y 2 minutos de destornillador más tarde, enchufada en un interfaz USB a mi propio ordenador. Dejo constar de paso, que esto también puede entrañar sus riesgos: No intenten esto en sus casas.

Bien, pues nada, solo queda bucear. Voy a dejar claro que no he tenido intención en ningún momento de invadir la privacidad de nadie, no lo considero ético y no he indagado más allá que con objeto de escribir el presente artículo.

Allí estaba todo lo que uno puede pensar: documentos, fotos, etc…. Y veréis con lo mínimo que rasqué la de conclusiones que se puede sacar.

Por hacer un poco de forénsica de andar por casa con un mínimo de ética, indagué en las cookies. Ví que la familia (identifiqué al menos 4 usuarios a los que vamos a llamar “los López”) usaba el PC con un único usuario, además de Windows XP. Como véis, un auténtico fortín, aunque es de esperar ya que supongo que es el motivo de que lo desecharan, un equipo obsoleto, aunque en este caso averiado, es lógico que no cuente con el último software. Pues ni más ni menos que 825 cookies….

Volvamos a las Cookies: Podemos ver todo tipo de preferencias. Desde una web para infieles como ADULT FRIEND FINDER (parece que papá o mamá necesitan algo más de afecto) a cosas más específicas como póker, apuestas, o preferencias de fútbol. Y sí, mucho porno, sorprendentemente bastante. ¿Os hacéis una idea de la riqueza de esta información a la hora de un ataque de ingeniería social? Y solo estamos mirando los nombres de archivos de las cookies: orientación política, religiosa, social, de ocio, etc….

Vamos a abrir una de las cookies de los López: BADOO. Los que conocéis mi trayectoria ya sabéis cuanto me interesan la seguridad y privacidad, o mejor dicho, la falta de las mismas en este tipo de redes sociales. Durante este año presentaré la nueva versión de “GROWTH HACKING EN RRSS Vol.4: PagAAS” donde hablaremos largo y tendido del tema. A golpe de cookie y en texto claro tenemos el user ID, lo pegamos en vez del mío en la url de BADOO y voilá! Aquí tenemos a la chica de la familia a la que llamaremos “Laura”. Junto a su edad y la zona donde vive, además de unos cuantos datos sobre preferencias más.

De hecho, sin indagar mucho en los archivos, pongo “laura” en el buscador de archivos de ese disco duro y 2 archivos Word: Uno es su currículum, con número de teléfono y email incluidos.

Así al azar abro otra de las cookies, y en la URL de acceso de otro servicio guarda el “IP LOCATION” desde donde se accede. Algo que poniendo en Google Maps, me confirma la dirección estimada de su casa, supongo, que coincide con lo visto en BADOO.

Suficiente por hoy: ¿Qué hemos visto en 10 minutos de reloj?

  • Tenemos una infinidad de datos de una persona, incluso obviando el currículum, que podrían derivar en similar número de ciberamenazas, o incluso, en algún riesgo físico al tener más o menos localizada su casa.
  • Las cookies podrían tener el inicio de sesión, con lo que, de no estar caducadas u obsoletas, también nos darían acceso al servicio del que proceden. De ser un email, de paso, a todos los servicios que estén registrados con ese email.
  • Que desechar un medio de almacenamiento con datos de forma segura es tan fácil como llevarlo a punto limpio. Las empresas que se ocupan de reciclar deben someterse a criterios de privacidad. Con un solo gesto cuidamos nuestra privacidad y el planeta.

Un saludo desde aquí a los López, a los que deberíamos avisar de que la próxima vez ese disco duro que contiene prácticamente su vida digital, podría estar colgado en la Deep Web en vez de formateándose a bajo nivel. Si hay fotos de Laura en la playa, seguro que valen un pico…. De hecho, casi todos los datos se venden en la Deep Web, pero eso da para otro artículo….

Seguiremos informando, permanezcan en sintonía.

NOTA: los nombres usados en este artículo son totalmente ficticios y el único dato real es un barrio de Alcorcón, donde viven decenas de miles de personas. Ni siquiera se accedieron fotos ni otros documentos. Se han ofuscado todos los datos relevantes y el único objetivo es concienciar sobre los peligros del hardware que desechamos.

Acerca de Andrés Naranjo

Andrés Naranjo es Analista en Ciberinteligencia y CSE de ElevenPaths. Experto certificado en seguridad de los datos y habitual divulgador de educación en ciberseguridad.

Latest Posts By Andrés Naranjo

Categoría

Colaboración, Cyber

Etiquetas

, , , , ,