Robo de identidad y otros demonios
Esta es la típica historia que habitualmente le sucede a los amigos de los amigos y empieza como suelen hacerlo todas ... Un amigo de un amigo me cuenta que se conectó a la red Wireless de un vecino mediante la técnica del "doble click" y que entró en la configuración del Router ADSL que, para variar, no tenía habilitada ninguna protección por contraseña.
Curioseando, pudo ver que en los datos de conexión del Router figuraba el usuario y la contraseña para la conexión PPPoE. Para obtener la contraseña simplemente fue necesario ver el código Html de la página y los asteriscos se transformaron en la clave.
Luego buscó por Internet la página del proveedor de ADSL donde había una sección para consultar los datos de los usuarios. Introdujo ahí el nombre de usuario y la contraseña que había conseguido y obtuvo la siguiente información:
Datos del contrato, cuenta corriente, servicio contratado, número de DNI, número de teléfono, detalle de las llamadas entrantes y salientes, dirección postal (sí, efectivamente es mi vecino), direcciones de correo electrónico, etc.
¿Fin de la historia? Analizando un conjunto importante de implicaciones y estudiando esta situación desde el punto de vista de la seguridad, se comprueba que con estos datos es posible contratar o domiciliar nuevos servicios y/o productos. Es decir, sería muy fácil suplantar digitalmente la identidad del pobre vecino del amigo del amigo.
Obtener esta información ha llevado unos diez minutos y conocimientos básicos de informática. Algo tan sencillo puede acarrear múltiples problemas ya que partiendo de los datos bancarios, DNI, número de teléfono, etc., pueden contratarse servicios a nuestro nombre sin que, por supuesto, nadie los haya solicitado.
Se pone nuevamente de manifiesto que existe un serio problema de concienciación que se materializa técnicamente en numerosos problemas de seguridad:
- Obtención de información: debido a la propagación del ESSID del punto de acceso Wireless.
- Cifrado débil o inexistente: el cifrado de la red Wireless no se encontraba habilitado.
- Control de acceso insuficiente: es posible acceder a la red Wireless desde cualquier dirección MAC.
- Política insegura de contraseñas: se utilizan los mismos usuarios y contraseñas para distintos servicios, siendo además estas contraseñas poco robustas y ni siquiera se guardan cifradas.
Como conclusión es necesario plantear las siguientes cuestiones:
¿Qué garantías hay de que el proveedor de servicio (ISP) aplica las medidas oportunas para salvaguardar la confidencialidad, disponibilidad e integridad de los datos?
¿Cuando se contrata un servicio de ADSL, telefonía móvil, etc., qué indicaciones/formación en materia de seguridad se recibe por parte del proveedor, si es que existe alguna?
¿Está cumpliendo el proveedor de servicio la LOPD y la legislación vigente?
Comentarios
Buen artículo, bien explicado, simple pero conciso. Esa es una de las cosas por las cuales yo no uso wifi, (al menos no directamente, tengo un segundo router en modo bridge sin acceso a inet, pero si a la lan por el fw), con lo cual si me quieren petar la inalambrica tendrán que pasar luego por mi iptables, que no es fácil y suplantar una ip y una mac. Pero dado el caso, cuando alguien recoge tus datos y entra en tu página del proveedor, es por que de serie falla algo, pues tendría que validar de alguna manera que sólo el contratante pudiese entrar. En todo caso, el ISP, tendría que procurar una mínima seguridad (pero fiable) tanto en sus equipos (router y sus datos de conexión), cómo del panel web, y en todo caso validar con una grabación de voz (por ej, estilo jazztel) la contratación.
Muy buen artículo, a veces lo más simple y lo más obvio puede acarrear multitud de problemas para el pobre desgraciado de turno y, es cierto, q existe un problema de concienciación e incluso de legislación.
Añadir comentario