Sus datos ahora son míos. Usted los regaló. Yo no tuve que hacer nada. Estaban ahí. Solo tuve que tomarlos como quien toma un sobre abandonado en la calle. Y hacerlo me tomó un par de minutos. Con decirle que me tomó más tiempo escribir esta entrada. ¿Cree que no es cierto? Venga, siga leyendo y verá que sí lo es.
¿Recuerda cuando pensó que era una gran idea documentar cada paso que daba? Fue muy buena idea. ¿Por qué privar a la humanidad de algo tan importante como su cotidianidad? Sus fotos son muy bonitas, los paisajes son hermosos y se le ve muy feliz. Pero sus fotos tienen un pequeño inconveniente: están llenas de metadatos.
Ni siquiera tiene que decirnos en dónde se encuentra, los metadatos lo harán, y si los metadatos no alcanzan, siempre se podrá hacer una búsqueda inversa. De una forma u otra, si está en línea y navega al desnudo, su privacidad está tan resguardada como las partes íntimas de una prostituta del barrio rojo de Ámsterdam. Mire, le voy a mostrar su recorrido con lugares, fechas y horas:
¿Qué tal es el departamento de Santander? Dicen que es muy bonito. Algún día iré a conocer. Y esos datos los dejó usted en una sola de sus cuentas públicas. Le repito que yo no hice nada. Yo los vi y cualquiera puede verlos. Incluso esa persona que la envidia y quiere hacerle daño. Con los datos de alguien se pueden hacer dos cosas: organizar una fiesta sorpresa u organizar una emboscada. Todo depende de quien posea esos datos.
Ah, casi lo olvido, ¿en sus cuentas tiene al descubierto su lista de amigos? Claro, debe ser para que todos sepamos que es muy popular, muy sociable. Eso está muy bien. El problema es que la información de ellos también puede ser obtenida sin esfuerzo. Total ellos también se inscribieron, voluntariamente, en la red social. En la imagen anterior se ve el ID de sus amigos, el nombre de usuario y sus teléfonos. Distorsionados por obvias razones. Y en otro archivo tengo sus emails.
Veo que también le gusta conectarse a la red WiFi del café que visita en sus ratos libres. Gran idea. Así ahorra datos de su plan de Internet. Solo hay un pequeño detalle: hay otras 20 personas conectadas a la misma red y una de ellas puede saber cositas.
Por ejemplo, yo estoy en el mismo café, en la mesa contigua. Si voy a ifconfig y reviso la dirección IP que me asigna el servicio puedo hacerle un mapeo al rango y ver quiénes más están conectados a la red, mis roomates, entre ellos, usted
Vaya, somos varios en la misma red gratuita. Debe ser que cuando algo es gratis en realidad significa que no lo pagamos con dinero. En este caso lo pagamos con nuestra privacidad. ¿Pero qué importa? ¿Acaso somos famosos, funcionarios o espías? ¿Quién va a querer nuestros datos además del gobierno, las firmas publicitarias, las farmacéuticas, los delincuentes, las bodegas políticas, hacienda y un largo etcétera?
¿Me está diciendo que la administración de este establecimiento se conecta a la misma red de sus clientes? Dios, entonces son más estúpidos de lo que imaginaba. ¿Si ve que usted no es la única persona que regala los datos? No se sienta mal. Las cosas que se podrían hacer con esas bases de datos…
Y estas cosas se hacen en segundos. Podría buscar la forma de desautenticar a los usuarios conectados a la red y esperar a que se reconecten pasando por mí. Un Man in The Middle. O un cebo de Phishing. Me suenan.
Es una buena idea. Como tante gente acostumbra conectarse a las redes gratuitas, podría crear un punto de acceso falso para capturar credenciales. Solo debo usar el nombre de alguno de los comercios a mi alrededor y esperar. Intentémoslo.
Ya lo probé. Hice un punto de acceso (AP) gratuito en el cual, para conectarse, debían validarse con alguna de sus redes sociales y funciona. Yo mismo me conecté al AP y obtuve mis credenciales de Facebook: username: [email protected]; password: nomehackees. ¿Habrá caído alguien más? Claro que no, ni más faltaba. Esto se hace solo con fines académicos…
Pero ya me cansé de credenciales planas. Voy a crear otro punto de acceso, esta vez asociado con Beef para capturar el navegador del cándido usuario que aún no entiende el verdadero significado de «gratis». Tal vez controlando el navegador me pueda hacer a las cookies y, en la misma carambola, con suerte, descifrar sus credenciales.
Listo. La nueva red WiFi gratuita se llama GarullaFree para que se parezca a la de un almacén cercano. Solo resta darle start al script y esperar a que se conecten. Siempre se trata de esperar. Y siempre alguien cae. La palabra gratis es irresistible.
También podría sentarme a ver el tráfico de red con Wireshark. Para entretenerme mientras espero a la persona con quien me voy a reunir, claro. Vaya uno a saber qué contenido consumen las personas en sus ratos libres. Pero eso será en otro post porque me estoy quedando sin batería.
DISCLAIMER: los datos aquí publicados fueron obtenidos de fuentes abiertas. Ninguna persona o institución fueron vulneradas. El ataque de Phishing se hizo en un ambiente controlado usando mis propios dispositivos. El propósito de esta publicación es que tomen conciencia de la importancia de mantener la privacidad en Internet y de guardar las mínimas normas de seguridad pues siempre habrá alguien al acecho de sus datos. |