Todos los días nos conectamos a redes públicas en las cafeterías, aeropuertos…, sin tomar ningún tipo de precaución. ¿Son seguras? A continuación os revelamos lo fácil que le resulta a un hacker acceder a tu información personal en una red pública.
Quizás sería mejor que no leyeses esta historia sobre el WiFi público.
Llevamos a un hacker a una cafetería y en cuestión de 20 minutos había averiguado dónde habían nacido, a qué escuelas habían ido y las últimas cinco búsquedas en Google que habían realizado el resto de personas que había en la cafetería.
Wouter Slotboom, de 34 años de edad, lleva en su mochila un pequeño aparato negro, no mucho más grande que un paquete de tabaco, que tiene una antena. Conozco a Wouter por casualidad en una cafetería cualquiera del centro de Ámsterdam. Es un día soleado en el que casi todas las mesas están ocupadas. Hay personas que están charlando, otras trabajando en sus ordenadores y algunas otras jugando con sus móviles.
Wouter saca su ordenador de la mochila, coloca el aparato negro sobre la mesa y lo esconde debajo de un menú. Una camarera se acerca y le pedimos dos cafés y la contraseña de la red WiFi. Mientras tanto, Wouter enciende su portátil y el aparato, abre algunos programas y en seguida la pantalla se llena con líneas de texto verdes. Poco a poco se hace evidente que el aparato de Wouter se está conectando a los portátiles, a los teléfonos móviles inteligentes y a las tabletas de los clientes de la cafetería.
En la pantalla de su portátil, frases como «iPhone de Joris» y «MacBook de Simone» comienzan a aparecer. La antena del aparato está interceptando las señales que los otros portátiles, teléfonos móviles inteligentes y tabletas de nuestro alrededor están enviando.
Otros textos comienzan a aparecer en la pantalla. Podemos ver a qué otras redes WiFi se han conectado los aparatos anteriormente. A veces los nombres de estas redes están compuestos en su mayoría por números y letras al azar, haciendo que sea difícil rastrearlas hasta un lugar concreto, pero generalmente estas redes WiFi delatan de dónde proceden.
Podemos descubrir que Joris ha estado en un McDonald's, que probablemente ha pasado sus vacaciones en España, ya que hay muchas redes con nombres en español, y ha corrido en un kart (se ha conectado a una red que pertenece a un conocido karting de la zona). Martin, otro de los clientes de la cafetería, ha estado conectado a la del aeropuerto de Heathrow y a la de la aerolínea americana Southwest. En Ámsterdam probablemente se aloja en el hostal White Tulip y también ha visitado una cafetería llamada The Bulldog.
Primera sesión: Dejamos que todo el mundo se conecte a nuestra red ficticia
La camarera nos sirve los cafés y nos da la contraseña del WiFi. Tras haberse conectado, Slotboom es capaz de proveer a los clientes de una nueva conexión a Internet y redirigir todo el tráfico de la red a través de su pequeño aparato.
La mayoría de teléfonos móviles inteligentes, ordenadores portátiles y tabletas buscan y se conectan a redes WiFi automáticamente. Habitualmente prefieren redes con las que ya han establecido una conexión previa. Por ejemplo, si alguna vez te has conectado a la red T-Mobile de los trenes, tu terminal buscará una red T-Mobile disponible en la zona.
El aparato de Slotboom es capaz de registrar estas búsquedas y mostrarse como una de estas redes fiables. De repente veo el nombre de la red de mi casa aparecer en la lista de redes disponibles de mi iPhone, al igual que la red de mi trabajo, junto con una lista de cafeterías, recepciones de hotel, trenes y otros lugares públicos que he visitado. Mi teléfono se conecta automáticamente a una de estas redes, que en realidad pertenece al aparato negro.
Slotboom también puede emitir un nombre de red ficticio haciendo creer a los usuarios que en realidad se están conectando a la red del lugar que están visitando. Por ejemplo, si el nombre de la red WiFi está constituido por letras y números al azar (Fritzbox xyz123), Slotboom es capaz de otorgarle un nuevo nombre a la red relacionado con la empresa (Starbucks), según nos comenta, ya que la gente es más propensa a conectarse a estas últimas.
Vemos cómo cada vez más visitantes se conectan a nuestra red ficticia. El canto de sirena del pequeño aparato negro parece ser irresistible. 20 teléfonos móviles inteligentes y portátiles están ya en nuestro poder. Si Slotboom quisiese, podría arruinar por completo las vidas de las personas que están conectadas: podría hacerse con sus contraseñas, robar su identidad y vaciar sus cuentas bancarias. Más tarde ese mismo día me enseña cómo podría hacerlo. Le he dado permiso para hackearme, tan solo para demostrar de lo que es capaz, aunque bien podría hacerlo con cualquiera que tenga un móvil buscando una red a la que conectarse o un portátil que intente conectarse a una red WiFi.
Salvo unas pocas excepciones, todo puede ser crackeado.
La idea de que las redes WiFi públicas no son seguras no es exactamente una novedad. Lo que sí es una novedad es que no se puede repetir lo suficientemente a menudo. En la actualidad existen más de 1430 mil millones de usuarios con teléfonos móviles inteligentes en todo el mundo y más de 150 millones de dueños de teléfonos móviles inteligentes en los Estados Unidos. Más de 92 millones de adultos norteamericanos poseen una tableta y más de 155 millones tienen un ordenador portátil. Cada año la demanda mundial de portátiles y tabletas crece. En 2013 se estima que se vendieron 206 millones de tabletas y 180 millones de portátiles a nivel mundial. Probablemente todo el que tiene un terminal portátil se ha conectado a una red WiFi pública alguna vez: tomándose un café, en el tren o en un hotel.
La buena noticia es que algunas redes están mejor protegidas que otras, algunos servicios de correo electrónico y redes sociales usan métodos de encriptación que son más seguros que los de su competencia. Pero pasa un día paseando por la ciudad con Wouter Slotboom y descubrirás que casi todo y casi cada persona conectada a una red WiFi puede ser hackeado. Un estudio de Risk Based Security, un consultor de amenazas inteligentes, estima que más de 822 millones de archivos fueron expuestos en 2013 a nivel mundial, incluyendo números de tarjetas de crédito, fechas de nacimiento, informes médicos, números de teléfono, números de la seguridad social, direcciones, nombres de usuario, direcciones de correo electrónico, nombres y contraseñas. El 65% de estos datos procedían de los Estados Unidos, según la empresa de seguridad de las tecnologías inteligentes Kaspersky Lab, que en 2013 estimó que 37,3 millones de usuarios a nivel mundial y 4,5 millones de norteamericanos fueron víctimas de intentos de fraude electrónico, lo que quiere decir que cierta información de pago fue robada de ordenadores, teléfonos inteligentes o usuarios de páginas web hackeados.
Informe tras informe se demuestra que el fraude de identidad digital es un problema común que va en aumento. Actualmente los hackers y los cibercriminales tienen multitud de trucos diferentes a su disposición. Pero la prevalencia de redes WiFi abiertas y desprotegidas hace que sea extremadamente sencillo para ellos. El Centro Nacional de Ciberseguridad de los Países Bajos, una división del Ministerio de Seguridad y Justicia, no ha hecho la siguiente advertencia en vano:
«No es recomendable el uso de redes WiFi abiertas en espacios públicos. Si se usan estas redes, se debe evitar cualquier actividad laboral o financiera».
Slotboom se describe como un «hacker ético» o uno de los buenos; un aficionado a la tecnología que quiere revelar los peligros potenciales de Internet y las nuevas tecnologías. Aconseja a particulares y empresas sobre cómo protegerse y proteger su información del mejor modo posible. Normalmente lo hace tal y como lo ha hecho hoy, demostrando lo fácil que es causar daño, ya que, en realidad es un juego de niños: el aparato es barato y el software para interceptar el tráfico es muy fácil de utilizar y se puede encontrar previamente preparado y listo para descargar.
Slotboom dice:
«Todo lo que necesitas son 70€, un coeficiente intelectual medio y un poco de paciencia».
Voy a evitar entrar en detalles sobre los aspectos más técnicos como el equipo, el software o las aplicaciones necesarias para poder hackear a otras personas.
Segunda sesión: A la búsqueda de nombre, contraseñas y orientación sexual
Armados con la mochila de Slotboom nos encaminamos a una cafetería conocida por las preciosas flores que dibujan en la espuma de los cafés con leche, que a su vez es un famoso rincón para autónomos que trabajan en sus portátiles. Este lugar está lleno de personas concentradas en sus pantallas.
Slootboom enciende su equipo. Repetimos los mismos pasos y al cabo de un par de minutos unos 20 aparatos están conectados al nuestro. Otra vez podemos ver sus direcciones Mac y su historial de acceso y, en algunos casos, los nombres de los dueños. Bajo mi petición vamos un paso más allá.
Slotboom ejecuta otro programa (también disponible y preparado para descargar de Internet) que le permite extraer incluso más información de los teléfonos inteligentes y ordenadores portátiles que están conectados. Podemos ver las especificaciones de los modelos de teléfonos móviles (un Samsung Galaxy S4), los ajustes de idioma determinados en cada aparato y la versión de sistema operativo que usan cada uno (iOS 7.0.5). Si, por ejemplo, alguno de los terminales tuviese un sistema operativo desfasado, siempre existen bugs o agujeros en el sistema de seguridad que se pueden explotar fácilmente. Con este tipo de información ya tienes lo necesario para entrar en el sistema operativo y tomar el control del aparato. Un muestrario de los clientes de la cafetería muestra que ninguno de los terminales conectados tiene la última versión de sistema operativo instalado. Para todos estos sistemas desfasados hay un gusano conocido publicado en Internet.
En ese momento podemos ver el tráfico real de Internet de los que están a nuestro alrededor. Vemos que alguien con un MacBook está explorando la página Nu.nl. También podemos observar que muchos terminales están enviando documentos por WeTransfer, otros están conectados a Dropbox y algunos otros muestran actividad en Tumblr. Nos damos cuenta de que alguien acaba de conectarse a FourSquare. Se muestra el nombre de esta persona y, tras buscar en Google su nombre, la reconocemos como la persona que está sentada a tan solo unos metros de nosotros.
La información sigue entrando a raudales, incluso de clientes que no están trabajando activamente o navegando por la red. Muchos programas de correo electrónico y aplicaciones están constantemente en contacto con sus servidores, ya que, es un paso necesario para que un terminal importe los nuevos correos. Podemos ver en algunos terminales y programas qué información está siendo enviada y a qué servidor está siendo enviada.
Y en ese momento entramos en el terreno realmente personal. Podemos ver que un cliente tiene instalada la aplicación de citas gay Grindr en su teléfono móvil. También descubrimos el nombre y tipo de teléfono inteligente que está utilizando (un iPhone 5s). Paramos ahí pero podría ser sencillísimo descubrir al dueño del teléfono. Del mismo modo vemos que el teléfono de otra persona está intentando conectar con un servidor ruso, enviando su contraseña durante el proceso, por lo que somos capaces de interceptar dicha contraseña.
Tercera sesión: Obtención de información sobre la ocupación, hobbies y problemas en las relaciones
Muchas aplicaciones, programas, páginas web y tipos de software usan tecnologías de encriptación. Se usan para asegurarse de que la información que se envía y se recibe no es accesible a personas no autorizadas. Pero una vez que un usuario está conectado a la red WiFi de Slotboom, estas medidas de seguridad pueden ser evitadas fácilmente con la ayuda de un software de desencriptación.
Para nuestra sorpresa, descubrimos una aplicación que está enviando información personal a una empresa que vende publicidad online. Entre otras cosas, envía la ubicación, la información técnica del teléfono y la información de la red WiFi. También podemos observar el nombre (y apellidos) de una mujer que está usando la página web de marcadores Delicious. Delicious es una página que permite a sus usuarios compartir páginas web y marcadores en los que están interesados. En un principio las páginas que comparten los usuarios de Delicious son publicidad gratuita pero, aún así, no podemos evitar sentirnos como voyeurs cuando nos damos cuenta de cuánto podemos saber sobre esa mujer basándonos en esa información.
Primero buscamos en Google su nombre, cosa que nos permite saber cómo es y dónde está sentada en la cafetería al instante. Descubrimos que ha nacido en otro país europeo y que se ha mudado a Holanda recientemente. A través de Delicious logramos averiguar que ha estado visitando una página web de un curso de holandés y que ha añadido a sus marcadores una página con información sobre un curso de integración holandesa.
En menos de 20 minutos todo esto es lo que hemos descubierto sobre la mujer que está sentada a 3 metros de nosotros: dónde ha nacido, dónde ha estudiado, que le interesa el Yoga, que ha añadido a sus marcadores una oferta online de mantras antirronquidos, que ha visitado Tailandia y Laos recientemente y que muestra un extraordinario interés en páginas que ofrecen trucos para salvar una relación.
Slotboom me enseña algunos trucos de hacker más. Utilizando una aplicación de su móvil puede cambiar ciertas palabras específicas de cualquier página web. Por ejemplo, cada vez que aparezca la palabra «Opstelten» (el nombre de un político holandés), la gente ve la palabra «Dutroux» (el nombre de un asesino en serie condenado) en la página en su lugar. Lo probamos y funciona. Ponemos a prueba otro truco: cualquiera que esté cargando una página web que incluya imágenes verá una imagen seleccionada por Slotboom. Todo esto parece una tontería si solo quieres hacer una broma, pero también hace que sea posible descargar imágenes pornográficas infantiles en el teléfono móvil de alguien, cuya posesión constituye un delito.
Contraseña interceptada
Aún visitamos otra cafetería más. Mi última petición para Slotboom es que me enseñe qué haría si realmente quisiera hacerme daño. Me pide que acceda a Live.com (la página de correo electrónico de Microsoft) y que introduzca un nombre de usuario y una contraseña al azar. Unos pocos segundos después la información que acabo de escribir aparece en su pantalla. «Ahora tengo la información de conexión de tu cuenta de correo electrónico», me dijo Slotboom. «Lo primero que haría sería cambiar la contraseña de tu cuenta e indicarle a otros servicios que usas que he olvidado la contraseña. La mayoría de la gente utiliza la misma cuenta de correo electrónico para todos los servicios. Esas nuevas contraseñas se enviarían a tu bandeja de entrada, lo que significa que también las tendría a mi disposición». Intentamos lo mismo con Facebook: Slotboom consigue interceptar el nombre de usuario y la contraseña que he introducido sin demasiado esfuerzo.
Otro truco que Slotboom usa es desviar mi tráfico de Internet. Por ejemplo, ha ordenado a su programa que, cada vez que intento acceder a la página web de mi banco, me redirija a una página suya, una página web clonada que parece idéntica a la página web verdadera, pero que en realidad está completamente controlada por Slotboom. Los Hackers lo llaman suplantar la DNS. La información que he introducido en la página se ha guardado en el servido de Slotboom. En 20 minutos ha obtenido mis detalles de conexión, incluyendo mis contraseñas para las cuentas de Live.com, SNS Bank, Facebook y DigiD.
Nunca más volveré a conectarme a una red WiFi pública insegura sin tomar medidas de seguridad.