La Inseguridad de los datos por Internet

Tuve oportunidad de leer, gracias a la revista PC World, una entrevista a Rafael “RaFa” Nuñez. Este muchacho es un reconocido Hacker que hoy en día se dedica como consultor de seguridad. En esta ocasión el artículo hablaba sobre cuan inseguro es Internet y la ausencia de programas e información sobre como mantener la privacidad así como de una legislación que protega la privacidad del individuo.
“Cierto es que, al no haber una legislación de protección de datos, la existencia de listas como las de Tascón, Maisanta y Tato no son ilegales, tampoco es ilegal que alguna organización, empresa o negocio solicite “información crítica” para la estructuración de su base de datos, ya sea público o privado.”
PC-World Venezuela Marzo 2007, Pág. 21.
En nuestro país no existe legislación alguna que proteja la privacidad de los datos de los ciudadanos. Siendo así, cualquiera puede no sólo averiguar los datos sino hacer uso de ellos. En el artículo se hacía la nota de que la ausencia de legislación a tal particular permite la existencia de listas de datos (Maisanta, Tato) que permitirían a cualquier persona el obtener datos personales (CI y direcciones).
Ahora yo les voy a hacer un ejercicio para que vean cuan vulnerable es nuestro país para proteger la identidad, donde una persona con un computador con Internet, un scanner e impresora, puede hacerse pasar por otra(s) sin necesidad de grandes conocimientos tecnológicos.
Pasos:
1. De la lista Maisanta (disponible en Internet) puede obtenerse el nombre completo y número de cédula de cualquier persona, por lo que puede escoger alguien de su edad y misma ciudad. Supongamos que escoje a 50 personas probables. Incluso puede escoger alguien que cumpla su mismo día.
2. Usando el CNU (http:www.cnu.gov.ve), puede correr las diferentes cédulas hasta que obtenga alguien que se haya inscrito en alguna universidad y carrera similar a la suya. De esa forma, puede asumir el mismo nivel educativo más fácilmente.
3. Usando la página del Seguro Social (http://www.ivss.gov.ve), puede averiguar los trabajos que ha tenido esa persona (siempre que sean trabajos que generen cotizaciones del seguro social). Lo único que necesita es tener la cédula de identidad y la fecha de nacimiento.
4. Usando un scanner, puede digitalizar su propia cédula y reemplazar el número/nombre (y capaz ni siquiera la fecha de nacimiento) por alguno que le parezca adecuado.
5. Luego de imprimir una copia en blanco y negro, le saca una fotocopia barata y ubica algún centro de cedulación Express. Ahí podrán darle una cédula legal con su foto y huella, pero con los datos personales de otra persona.
De aquí en adelante, lo demás se los dejo a la imaginación.

Ahora, si se trata de “hackear” alguien por Internet, es aun más sencillo y no requiere ni scanner ni impresora. Sólo una conexión a Internet y un poquito de Ingeniería Social.
Si hay algo que los humanos hacemos es interrelacionarnos. En este proceso, las personas solemos inscribirnos en cuanta página de avisos, anuncios, “espacios” y cosas similares existe. Pregúntele a cualquier internauta y le dirá que tiene una cuenta de correo Hotmail y se ha inscrito alguna vez en un blog, space o servicio para hacer amigos.
Partiendo de esa premisa, UD. puede hacerse con los datos de casi cualquier internauta en poco tiempo y sin gastar nada (salvo los costos de conexión a Internet).
Usando un buscador como kartoo (http://www.kartoo.com/) o metacrawler (http://www.metacrawler/) UD. puede buscar información sobre cualquier persona en múltiples buscadores (google, yahoo, altavista, etc.) simultáneamente. De esa forma es posible saber, por ejemplo, que fulanito tiene una página personal (tubarranco.com y jodedera.com son los más comunes) donde colocó fotos personales. Igualmente, revisando los “spaces” termina uno con la fecha de nacimiento de determinada persona.
Si juntamos estos datos (un nombre o apellido, fecha de nacimiento y si es posible cuentas de mails), usando Maisanta uno puede llegar a dar con la cédula y dirección del “objetivo”. Una vez ahí, sólo hace falta colocarlo en las páginas blancas de CANTV (son públicas) y le dará un número de teléfono. De ahí en adelante, y siguiendo los pasos anteriormente expuestos, cualquier persona puede ir a un sitio como CANTV, Movistar o Intercable a solicitar un cambio de contraseña de su correo y averiguarle hasta la madre. Quién le negará el cambio de contraseña cuando UD. presenta una cédula ONIDEX, constante y sonante?
Si le parece que no es legal, piénselo de nuevo. Parece que el vacío en la legislación no permite sanciones para quienes hagan esto, por lo que estas prácticas pudieran hacerse cada vez más comunes y quedar impunes.
La recomendación es simple:
1. No coloque datos personales que sean visibles. Muchos portales tienen opciones de ocultar el nombre real, mail, etc.
2. Evite usar su nombre (o partes de este) como nombre de usuario.
3. Mantenga sus contraseñas secretas. La mayoría de los casos que me ha tocado de recuperación de contraseñas han sido por ex-novi@s celosos o arrepentidos (de los cachos?) que, sabiendo la contraseña, secuestran el correo imposibilitándole de su uso.
4. Las contraseñas han de ser seguras. Tengo una cliente que me dijo que su contraseña era súper segura y era simplemente su fecha completa de nacimiento. Cualquier persona puede saber esos datos. Las contraseñas más comunes incluyen fechas de nacimiento, combinación de iniciales y fechas importantes, números de cédulas y afines.
5. Las contraseñas deben contener mayúsculas, minúsculas, números y letras, si es posible incluso símbolos (+ - * ¡). Esto hace casi imposible su detección.
6. Evite que otros vean cuando UD. tapea sus claves. Es una de las formas más comunes para entrar en su correo.
7. Mantenga su máquina libre de virus/spywares. Muchas personas que han sido hackeadas es porque permitieron algún virus por parte de un conocido que le da acceso a datos: son los famosos troyanos. Hay programas denominados Keyloggers que “guardan” toda la información tipeada. Estos pueden (y hacen) guardar todo lo que UD. escriba en su computadora.
8. No confíe en todo lo que reciba en su correo. Evite descargar archivos de personas desconocidas o cuya procedencia sea dudosa, NUNCA haga caso de invitaciones a cambiar sus datos (sobretodo cuando dice provenir de un banco) y tenga siempre su antivirus al día.
Si bien no podemos evitar (y ya sabemos que tampoco tomar acciones legales) que nos hackeen o nos usurpen la identidad, vamos a trabajar por hacérselos más difícil. Revise su nombre en Internet o su e-mail y verá cuanta información ha colocado. Se sorprenderá.
Para leer:
Artículo completo en PC World Venezuela Marzo 2007