2/6/09

Agujeros de seguridad

Menos mal que soy un tipo honrado. Sí, y digo menos mal porque pase por donde pase veo enormes agujeros de seguridad. Al menos en España la gente no tiene el más mínimo cuidado de sus datos personales.

Voy a hacer una lista de algunos pocos agujeros de seguridad, vosotros podéis añadir otros cuantos, porque los ejemplos abundan:

1. Darse de alta en algún servicio. Muy fácil, sólo tienes que llamar por teléfono, así puedes contratar casi cualquier cosa, el Adsl, el suministro eléctrico, la televisión por cable.... casí cualquier cosa, sólo necesitas un nombre, un DNI y un número de cuenta. Y ni siquiera tienes que ser la persona que contrata, puedes hacerlo a nombre de otro.

Algunos ejemplos: Cuando contraté mi línea principal de Simyo no tuve que presentar mi DNI, y eso que es obligatorio. Otro, hace poco estuve a punto de contratar una tarjeta prepago a nombre de mi madre (bueno, luego ella hubiera tenido que acreditarse, pero no me hubiera hecho falta para lo que se refiere a contratar el prepago).

2. Obtener los datos de una persona NO es difícil: todo está en el correo. Y amigos, el correo se guarda en unos buzones de mala muerte. El banco, tu empresa de tarjetas de crédito, tu factura de la luz... todos estos vienen con datos muy personales y vulnerables de ser usados por terceras personas.

Puede que alguno diga, "vale ¿y cómo cuernos se pueden usar de forma dañina?", ¡pues de muchas maneras!, pero la cuestión es ¿por qué tienen que circular de forma tan expuesta datos personales?.

3. Obtener claves de banca electrónica NO es seguro. Esto lo presencié en Caja Madrid: una persona, titular de una cuenta solicita las claves para operar en banca electrónica, se trata de una cuenta que es de una asociación. La persona pregunta:

-Disculpe, señor empleado de la entidad bancaria, ¿cuando deje mi cargo en esta asociación y cambien los titulares de la cuenta mis claves dejarán de tener validez?.
-No, señor cliente, las claves van asociadas a una persona física.
-Pero... no he entendido bien, ¿me está diciendo que aunque deje de ser titular de la cuenta seguiré pudiendo operar en banca con las claves, hacer transferencias y todo eso?.
-Así es, estimado e ingenuo cliente.

Y yo, pasmado.

4. El Burofax, ese gran desconocido. La mejor forma de llevar a cabo una gestión de forma que una empresa te tome en serio es enviar un burofax. Por ejemplo, dar de baja un número de teléfono móvil. Eso sí necesitarás datos como el DNI, número de cuenta y una firma (pero tampoco hace falta que te esmeres). Ahora bien, imaginaros LO SERIO que es dar de baja el número de teléfono de una persona... sólo hace falta un Burofax (si queréis saber lo serio que es podéis leer la noticia de Bandaancha en la que a un usuario con un número de Movistar portado a MASmovil le dieron -sin razón- de baja).

Pero hay algo que me preocupa aún más, con un Burofax se puede suplantar la identidad de otra persona, lo cual es un delito bien grave.

5. Todo el mundo tiene sus claves por ahí. Es increible, impensable. La gente en sus despachos usa post-it que pega en los monitores, y allí escriben sus claves, certificados digitales, etc... a la vista de cualquiera.

6. La ingeniería social, esa gran desconocida. Creo que cada vez se pueden hacer menos cosas, pero aún se puede hacer mucho daño. Con ingeniería social se pueden sacar datos y altas (tengo un amigo que me comentó que los comerciales de cierto operador de internet y telefonía ofrecían regalar televisores y jamones a cambio de altas y portabilidades. No es más que vender mintiendo.

La cuestión de muchas de estas "ingenierias" o ventas malvadas es creer en la buena fe de la persona, o en lo ilusos que son. La regla general es: desconfía de los sorteos, y desconfía de las super ofertas. Si hay alguien que te vende un Iphone por 150 Euros libre, no te lo creas.

Uno de mis primos tiene una curiosa forma de hacer "ingeniería social" a Pizza Hut, llama y pide dos pizzas familiares, cuando le dan el precio dice que él ha visto que en la publicidad le ofrecían 2x1 en domicilio. Se lo niegan, pero él insiste. Y finalmente termina consiguiendo una pizza gratis. Tal vez haya dado con un empleado asustadizo...

Conclusiones. Como en todas las situaciones, sólo habrá regulaciones adecuadas cuando algo grave ocurra, mientras tanto los ciudadanos seguirán vulnerables y desprotegidos.