domingo, 24 de abril de 2016

No hace falta que tú lo hagas (1)

Cada cual se toma la privacidad a su manera. Hay quien comparte su vida en directo sin problema alguno y quien, recelando o por precaución, desea proteger su intimidad y se manteniene al margen de cuanto huela a red social o a recogida de datos.

Pero la información es escurridiza y traviesa. Y, una vez que se genera, nadie sabe dónde podrá acabar. Empecemos con un ejemplo.

Si andas por aquí, seguro que habrás oído hablar de Shodan. "El buscador para la Internet de las Cosas". Una herramienta con la que es fácil localizar cualquier tipo de dispositivo: desde cámaras de videovigilancia a sistemas SCADA, pasando por servidores, routers o centralitas telefónicas.

Y, alguien tenía que decirlo, también personas. Para muestra, un botón: basta con inciar sesión en Shodan (si no, no tendrás acceso a filtros) y buscar algo como

gomez country:ES

... para localizar equipos ubicados en España que en sus respuestas a Shodan incluyeron el apellido "Gómez", bastante común por aquí:

Como puede observarse, se trata de un servicio FTP en cuyo banner aparece un nombre completo. Y no se trata de un caso aislado. Ocurre más con unas compañías que con otras, pero a veces los routers  (casi siempre se trata de routers) ofrecen un nombre de persona en su respuesta en protocolos como FTP, HTTP o HTTPS, SNMP, SMB, etc. 



Disculpad que oculte en este caso el ISP que da conexión a estas personas, pero no quisiera poner las cosas más fáciles de la cuenta a ningún desaprensivo.

¿Que quiénes serán esas personas? Creo que no hay que pensarlo demasiado antes de responder que, con bastante probabilidad, puede que se trate de los titulares de las conexiones de datos. En pocas palabras, en cada caso, el cliente a quien ese router da servicio.

Como puede observarse, a veces ponen el nombre completo. Otras omiten los apellidos y ponen la dirección. Otras... lo ponen todo. Para comprobarlo se puede navegar por los resultados de la consulta anterior o bien probar con una nueva como:

country:ES gomez c

... donde la letra "c" del final trata de localizar la conocida forma abreviada de la palabra "calle" en las  direcciones postales:

Supongo que quienes pusieron estos datos ahí pensaban: "¿y quién va a mirar lo que yo pueda consignar en los banners de las respuestas de estos protocolos?". Pues mira tú por donde...

¿Y para qué? Pues saberlo no lo sé, pero de lo que estoy seguro es que si alguna vez el servicio técnico de mi ISP me pide que les confirme mi nombre o mi dirección mientras están conectándose a mi router... me echaré a temblar.

Sea como sea, la moraleja de lo que llevamos visto es que, sin que tú hagas nada, tu nombre, tu dirección, el proveedor de acceso a Internet que usas, el router que tienes en casa y tu IP podrían ser cosa pública.

Y la cosa no acaba aquí...
Publicado por en

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)