¿Cómo saber si eres un blanco fácil para los cibercriminales?

La cantidad de información pública que podemos extraer de la Red sobre una persona por el número y tipo de fuentes que existen es incuantificable y lo saben los cibercriminales, los departamentos de recursos humanos, investigadores, terroristas, posibles enemigos,  acosadores o curiosos. Cualquiera que tenga un interés legítimo o ilegítimo en ti o un colectivo, lo primero que hará será introducir los datos personales, fotos o pseudónimos que usas en las redes sociales o en un buscador (como Google) para documentarse.

No hace falta que le cuentes tu vida, la Red habla por ti: tus movimientos, visitas, anuncios, participaciones en foros y redes sociales, o los propios directorios que utilizan tus datos personales de forma no consentida, y un día descubres que tu teléfono y el domicilio están publicados en una página de este tipo.

Dos conceptos muy relacionados: huella digital y rastros de navegación
No voy a hablaros de lo destructivo que puede llegar a ser para nuestra reputación online un comentario inapropiado desde el punto de vista del marketing digital o del seguimiento comercial al que somos sometidos a través de las famosas “cookies”, sino de cómo y para qué pueden ser usados “tus movimientos virtuales”.

La huella online o digital es el rastro que dejamos con nuestra navegación: perfiles en redes sociales, los blogs que administramos, comentarios en webs, foros, anuncios, etc. Con el tiempo, vamos dejando información personal que se nos requiere si queremos formar parte de la web 2.0 e interactuar con el resto de usuarios. Todo ello queda publicado en la red y en muchos casos es indexado por los buscadores (Google, Bing, etc.), es decir, que está accesible y recuperable para cualquiera que tenga interés en saber de ti.

No existe una fórmula matemática (sí cierto proceso) para recuperar toda/parte de esa información. A veces es posible y otras desaparece. Sin entrar a mencionar cuestiones técnicas del por qué, el caso es que dos personas buscando los mismos datos pueden no obtener los mismos resultados. En los criterios o proceso de búsqueda (hay algoritmos para buscar) y relación influye la creatividad, la constancia, la meticulosidad, la intuición y, por supuesto, los conocimientos técnicos y de la Red, que pueden darte resultados más que satisfactorios o hacerte perder el tiempo.

"Yo no soy un objetivo, una persona conocida ni nadie a quien querer investigar"
¿Seguro? No tienes por qué ser un objetivo para un proceso de captación terrorista, estafadores, el CEO de una empresa que dispone de información privilegiada o el Community Manager de una cuenta. Sólo un usuario ¿anónimo? ¿en la Red?

Casos de acoso, suplantación de identidad, robo de información personal, credenciales, ataques, extorsión, o alguien que simplemente te tiene asco o envidia son el pan de cada día y nosotros somos sus víctimas.

La información no sólo está en Google. Las redes sociales también representan al poder todopoderoso
Cantidad de herramientas open source, software libre (disponibles sin coste económico pero si de otro tipo) o de pago, son diseñadas para extraer selectivamente y directamente del servidor información de los buscadores, redes sociales, webs, bases de datos, e incluso también la que creemos se encuentra “escondida” en metadatos y deshabilitada a las buscadores.

Hay otros buscadores, como Shodan, que no utilizan información indexada de páginas web, sino que te permiten dar con equipos conectados a Internet como routers, servidores, cámaras web, etc y que también permiten extraer información sobre ti. Pero centrémonos en redes sociales:

Configurar tu privacidad en RRSS es una de tus opciones, pero con ello no construyes un fuerte. La primera debilidad es la información que los demás comparten de ti, y que permite que accedan a tu perfil a través de otros.

Aunque seas muy receloso de la información que publicas o la mantengas privada, tus contactos serán la clave para llegar a conocer tus amistades, relaciones e intereses y utilizarlos como un vector de ataque para ganarse tu confianza a posteriori, a través de ingeniería social. Tu atacante se tomará su tiempo en recopilar esa información en Facebook, Twitter, LinkedIn, Google+, Instagram, Ask FM, etc. y tarde o temprano, sabrá dónde te mueves y con qué intereses y entrará en tu círculo cercano. De ahí al envío de un enlace malicioso hay unos minutos, y ya tienes el troyano o el RAT instalado en tu ordenador o en tu móvil. ¡Ostras!

A través de tu correo también cedes información, no del contenido, sino que a veces es suficiente con saber tu cuenta real para que te envíen un regalo como el anterior. Geoposicionamiento, teléfonos y otros datos asociados a tus perfiles (el nombre del colegio, instituto, lugar de trabajo, gimnasio, etc.) pueden ser claves para relacionarlos con otras de tus publicaciones.

¿Recuerdas esa camada de perros que tenías en casa y que publicaste tu teléfono para encontrarles dueño? El ser humano es un animal de costumbres, y utiliza el mismo pseudónimo que su cuenta de Facebook para publicar en una página de venta de productos de segunda mano.

¿Quieres saber lo que hay detrás de tus fotos y otros documentos que publicas en la Red? Tendrás que esperar a los próximos artículos.