Read the rest of the post ' El riesgo de pedir demasiados datos personales en los Hoteles '
Tras el artículo del mes pasado sobre una amenaza un poco más seria con afectación a un país entero, hoy os traigo otro caso de una posible amenaza, que no tenemos tan en cuenta, y que se acerca más a nuestra realidad diaria. Hablo del temido cambio de número de teléfono.
Hay que empezar reconociendo que ya no es tan habitual que se produzcan estos cambios en nuestra vida personal (pensad cuándo fue la última vez que adquiristeis un número nuevo), especialmente desde que las compañías de teléfono pueden emitir duplicados de SIM con el mismo número aún en caso de pérdida del dispositivo móvil con la SIM incluida (bloqueando la anterior, no vaya a ser que nos metamos en un problema de suplantación de identidad). Pese a esto, sí hay otros ámbitos o periodos donde hay más cambios de números. Pensemos por ejemplo en los teléfonos corporativos que se entregan a los empleados, especialmente relevantes para la fuerza comercial y donde, además, suele haber bastante rotación. O en situaciones nada agradables como la vivida este pasado año, donde cerca de 80.000 personas, según los últimos datos oficiales, han fallecido trágicamente en esta pandemia, generando un volumen alto de números de teléfono que se desechan.
A los problemas que ya, por sí solos, acarrean estos cambios de número de teléfono, especialmente en lo relativo a avisar a amigos y familiares y a cambiar los servicios importantes que nos contactan a través de este medio, se suma ahora que nuestro número de teléfono ha pasado a ser parte de nuestra identidad digital en numerosas cuentas. ¿Y qué quiero decir con esto? Si recordamos otros artículos, ya hemos hablado de que en Internet nuestra identidad se compone de un identificador (típicamente el correo electrónico u otro dato identificativo) acompañado de algo que acredite que somos realmente quienes decimos ser (típicamente una contraseña). Sin embargo, para seguridad del usuario, muchos servicios y sitios web han implementado lo que se conoce como doble factor de autenticación, que requiere de combinar esa contraseña con algo más, típicamente un SMS mandado a un número de teléfono que les has demostrado previamente que es tuyo.
De hecho, según TwoFactorAuth.org, en el estudio que veremos en el siguiente párrafo, se puede inferir que aproximadamente un 30% de los sitios web emplean el SMS como mecanismo de doble factor. Y es aquí donde la historia se complica a nivel de ciberseguridad. Los más leídos de este blog ya iréis intuyendo los problemas que esto acarrea: si ya no tengo acceso a ese número de teléfono al que se ha mandado el SMS para acceder a mis cuentas, ¿qué hago? Pero hay algo peor… ¿Y si resulta que otra persona ahora tiene acceso a ese número que antes era mío? Pues sí, queridos lectores, por si no lo sabéis, en España también se realiza esa práctica habitual del sector de las telecomunicaciones de reciclar los números desechados. Esto tiene sentido, ya que los números son finitos, pero no está exento de riesgos de ciberseguridad, como poder resetear una cuenta usando solamente el enlace de “¿Olvidó su contraseña?” o acceder a información personal de la persona (ej: el número de teléfono sigue estando en grupos de WhatsApp o sigue recibiendo mensajes SMS o de chat destinados para su anterior propietario, como ya nos alertaba el diario 20minutos recientemente).
En esta línea, este pasado mayo, dos investigadores de la universidad de Princeton (Kevin Lee y Arvind Narayanan) publicaron su estudio/trabajo relativo a los riesgos asociados a esta práctica, y las conclusiones que sacan me parecen desoladoras. De los 259 números de teléfono de la muestra (son pruebas en Estados Unidos, pero creo que los resultados estarían alineados en España), 100 (el 39%) estaban asociados a cuentas cuyos datos habían sido filtrados en brechas de seguridad, lo que permitiría saber toda la información necesaria para hackear la cuenta. Además, otros 71 números adicionales tenían potencialidad de ser hackeados con esas credenciales filtradas, si las cuentas no habían sido debidamente configuradas por sus anteriores usuarios (el tan conocido error humano que vuelve a surgir), elevando el porcentaje a un 66%, es decir, 2 de cada 3. Hay que resaltar, además, que para el estudio, los sitios web que se exploraron no eran desconocidos, pues se trata de servicios de la talla de Amazon, AOL, PayPal, Yahoo, Google y Facebook.
De modo, queridos lectores, que, si nosotros o alguien de nuestro entorno va a cambiar o deshacerse de un número de teléfono por cualquier motivo, tengamos presente el darlo de baja debidamente de todas nuestras cuentas o, al menos, en las más relevantes, antes de proceder con ese cambio, para evitar estos posibles disgustos. Espero haberos acercado una vez más un poco de este complejo mundo de la ciberseguridad. ¡Nos vemos en el próximo artículo!