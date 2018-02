Caso XX4. Hacía un tiempo que Marga, tras vivir muchos años de relación, se había separado de su pareja. El motivo principal fue el control al que era sometida. Las discusiones diarias por saber con quién había estado durante el día eran continuas, y el acceso no consentido al móvil y a su cuenta de correo rompieron finalmente la relación. Aunque no hubo denuncia, los hechos eran constitutivos de delito y pudieron ir a mayores.

A los pocos meses de duelo, Marga decidió reiniciar su vida. Se creó un perfil en Facebook, salía con las amigas y publicaba fotos de sus viajes, conoció amigos nuevos y su vida social se empezó a adaptar “a los nuevos tiempos”. Al cabo de un año y medio, uno de sus contactos de Facebook, Romystar, empieza a manifestar un comportamiento extraño. No le conocía en persona pero habían hablado por el chat.

Resultaba ser un tipo interesante y, aunque no se contaban mucho, Romystar sabía más de la cuenta y Marga empezó a sospechar. ¿Por qué sabe que este fin de semana he estado en Oviedo si yo no se lo he dicho? Pareció no importarle. Era como si se conocieran de toda la vida.

No obstante, y dado sus antecedentes, sus amigos aconsejaron a Marga que revisara sus opciones de privacidad para evitar que su antigua pareja pudiera controlarle. Utilizaba un apodo en vez de su identidad real, había creado cuentas de correo nuevas asociadas a su perfil de Facebook (por si le buscaba a través de la importación de contactos de Gmail a Facebook) y estaba al tanto de cómo configurar sus opciones de privacidad para minimizar al máximo el riesgo de ser encontrada:

Por supuesto, las opciones para poder ser buscado a través del correo electrónico y número de teléfono tienen que estar deshabilitadas en todas las redes sociales que uses.

El geo-posicionamiento, tanto del móvil como de la propia red social, también deben estar deshabilitados. Google registra todos tus accesos a las cuentas de Gmail y sus redes sociales, Facebook y Twitter permiten que ciertas aplicaciones open source como como Cree.py recopilen información sobre tu ubicación (y otra información que también puede ser importante) en el momento que las usas para publicar un comentario o un tuit.

No obstante, ten en cuenta que Twitter te da la opción de borrar el historial de ubicaciones.

Pero el tiempo pasaba y cada semana, las conversaciones con su perfil anónimo continuaban hasta largas horas de la noche. En una de ellas, Marga le habló de su relación anterior y Romystar hizo una referencia que no debía conocer.



Al día siguiente, y con un buen mosqueo, acudió a un amigo que le asesoró al respecto. Descárgarte una copia de la información de tu perfil de Facebook y te dará los accesos a tu cuenta. Había varias direcciones IP diferentes a los registros habituales de la conexión de Marga que estaban ubicados fuera de la provincia en la que vivía Marga y los datos del navegador que usaba eran diferentes. Todo era muy extraño.

También revisó la "configuración de seguridad" de su perfil y las "alertas del inicio de sesión" estaban deshabilitadas, por lo que no recibía ninguna notificación si otro usuario accedía a su cuenta. ¿Pero cómo?

¿Me permites revisar tus conversaciones a través del chat de Facebook? Efectivamente, su amigo averiguó que Romystar en una de sus conversaciones le había mandado un enlace acortado a Marga que escondía la URL original maliciosa, dirigida a un servidor controlado por alguien que no era Facebook.



Cuando comprobó el enlace, pudo observar que redirigía a la web www.exyourpass.com (ficticia) con la misma apariencia que la página de inicio de Facebook. El engaño fue hacerle creer a Marga que podía saber si su expareja visitaba su perfil, invitándole a acceder desde el enlace que le había dirigido. Así obtuvo las contraseñas de su perfil y leyó toda la información que guardaba en sus conversaciones.

Su anónimo le había enviado una phishing dirigido. Es más común de lo que piensas.



No hay verjas electrificadas

Como ves, todas las medidas de seguridad son pocas cuando hablamos de ataques dirigidos a una persona, en este caso para un acoso, y nuestra quiniela del autor iba dirigida a alguien equivocado.



Por supuesto, el usuario anónimo fue detenido por un delito de descubrimiento y revelación de secretos ya que, afortunadamente, la víctima pudo darse cuenta a tiempo y cambiar las claves antes de que su acosador se pudiera apropiar de su cuenta. Espero que este caso te sirva para poner en práctica todo lo que te voy enseñando a lo largo de todos mis post.



Haz todas estas verificaciones con tus perfiles, ten en cuenta la existencia de estas herramientas y no confíes en personas que no conoces físicamente. Podrá ahorrarte muchos disgustos.