Quizá no es buena idea que leas esta historia usando un wifi público

Llevamos a un pirata informático a un café. En veinte minutos averiguó dónde nacieron los demás, a qué universidades asistieron y las últimas cinco cosas que buscaron en Google.

Por Maurits Martijn, de De Correspondent
Traducido del holandés al inglés por Jona Meijers
Ilustraciones por Kristina Collantes

En su mochila, Wouter Slotboom, de 34 años, carga un pequeño artefacto negro —un poco más grande que una cajetilla de cigarrillos— con una antena. Conocí a Wouter por casualidad en un café en el centro de Ámsterdam. Es un día soleado y todas las mesas están ocupadas. Algunas personas conversan, otras trabajan en sus portátiles o juegan con sus teléfonos inteligentes.

Wouter saca su portátil de la mochila, pone el dispositivo negro sobre la mesa y lo esconde debajo de un menú. A una mesera que pasaba le pedimos dos tazas de café y la contraseña de la red wifi. Mientras esperamos Wouter enciende su portátil y el dispositivo, inicia unos programas y rápidamente la pantalla se empieza a llenar de líneas de texto verde. Poco a poco nos queda claro que el artefacto de Wouter se está conectando a los portátiles, los teléfonos inteligentes y las tabletas de los clientes del café.

En la pantalla aparecen frases como «iPhone de Joris» y «MacBook de Simone». La antena del dispositivo está interceptando las señales emitidas por los portátiles, los teléfonos inteligentes y las tabletas de aquellos a nuestro alrededor.

Sigue apareciendo más texto en la pantalla. Podemos ver a qué otros wifi estaban conectados previamente los aparatos. La mayoría de los nombres de las redes están compuestos de letras y números aleatorios lo cual dificulta rastrearlas hasta su ubicación exacta, pero, generalmente, estas redes wifi revelan el lugar de donde provienen.

Supimos que Joris acababa de ir a McDonald’s, que probablemente había estado de vacaciones en España (muchas redes con nombres en español) y que había piloteado karts (se había conectado a la red de un centro de carreras de karts muy conocido). Martin, otro cliente del café, se había conectado a la red del aeropuerto Heathrow y a la de la aerolínea estadounidense Southwest. Ahora en Ámsterdam probablemente se está hospedando en el hotel White Tulip. También había visitado The Bulldog, otro café.

Sesión 1:

Permitir que todos se conecten a nuestra red ficticia

La mesera nos sirve el café y nos pasa la contraseña del wifi. Una vez conectado, Slotboom les da a todos acceso a Internet y redirige el tráfico a través de su artefacto.

La mayoría de teléfonos inteligentes, portátiles y tabletas busca y se conecta automáticamente a las redes wifi. Generalmente prefieren una red a la que se hayan conectado previamente. Si alguna vez te has conectado a la red de T-Mobile en el tren, por ejemplo, tu aparato buscará una red de T-Mobile en el área.

El aparato de Slotboom tiene la capacidad de registrar estas búsquedas y de aparecer como una red wifi de confianza. De repente aparece el nombre del wifi de mi casa en la lista de redes disponibles en mi iPhone, al igual que la de mi trabajo y de varios de los cafés, vestíbulos de hoteles, trenes y otros lugares públicos que he visitado. Mi teléfono automáticamente se conecta a una de estas redes, provenientes todas del artefacto negro.

Slotboom también puede trasmitir el nombre de una red ficticia haciéndoles creer a los usuarios que están conectados al wifi del lugar que están visitando. Por ejemplo, si el local tiene una red wifi que usa letras y números al azar (Fritzbox xyz123), Slotboom puede asignarle un nombre (Starbucks). Él explica que la gente está más dispuesta a conectarse a este tipo de redes.

Cada vez más y más usuarios se conectan a nuestra red ficticia. El canto de sirena del pequeño artefacto parece ser irresistible. Veinte teléfonos inteligentes y portátiles ya son nuestros. Si así lo quisiera, Slotboom podría arruinar por completo la vida de aquellos que se conectaron: Puede recuperar sus contraseñas, robar sus identidades y vaciar sus cuentas bancarias. Hoy, más tarde, me mostrará cómo hacerlo. Le he dado permiso de piratear mi teléfono para demostrarme todo lo que es capaz de hacer, aunque en realidad puede hacérsele a cualquiera con un teléfono o un portátil que esté buscando o que se conecte a una red wifi.

Todo, con contadas excepciones, puede ser descifrado.

El concepto de que las redes wifi públicas no son seguras no es algo nuevo. Pero no está de más reiterarlo. Actualmente hay más de 1430 millones de usuarios de teléfonos inteligentes en todo el mundo y más de 150 millones de personas que poseen un teléfono inteligente en los Estados Unidos. Más de 92 millones de adultos estadounidenses tienen una tableta y más de 155 millones tienen un portátil. La demanda de portátiles y tabletas alrededor del mundo aumenta cada año. Se estima que en 2013 se vendieron cerca de 206 millones de tabletas y 180 millones de portátiles en el planeta. Es probable que todo aquel con un aparato portátil se haya conectado a una red wifi pública mientras se tomaba un café, en el tren o en un hotel.

La buena noticia es que unas redes están mejor protegidas que otras; algunos correos electrónicos y redes sociales utilizan métodos de codificación que son más seguros que los de sus competidores. Aún así, paséate un día por la ciudad con Wouter Slotboom y te darás cuenta de que casi todo y todos los que estén conectados una red wifi pueden ser pirateados. Un estudio realizado por la empresa de asesoría en gestión de riesgos, Risk Based Security, Inc., calculó que más de 822 millones de registros fueron revelados alrededor del mundo en 2013, incluidos números de tarjetas de crédito, fechas de nacimiento, información médica, números telefónicos, números de seguro social, direcciones, nombres de usuario, correos electrónicos, nombres y contraseñas. Sesentaicinco por ciento de esos registros provenían de los Estados Unidos. Según Kaspersky Lab, empresa especialista en antivirus y software de seguridad en TI, en 2013 cerca de 37.3 millones de usuarios en todo el mundo y 4.5 millones de estadounidenses fueron víctimas de intentos de fraude electrónico (phishing o pharming), es decir, la información de pago fue robada de computadores, teléfonos inteligentes o sitios web pirateados.

Informe tras informe revela que la suplantación de identidad es un problema cada vez más creciente. Los piratas y ciberdelincuentes cuentan con un sinnúmero de trucos bajo la manga. Pero la prevalencia de redes wifi abiertas y desprotegidas les facilita mucho su trabajo. El​​ Centro Nacional de Ciber Seguridad, una división del Ministerio de Seguridad y Justicia de los Países Bajos, no hizo la siguiente advertencia en vano: «No se recomienda utilizar redes wifi abiertas en lugares públicos. Si ha de utilizarlas, evite las actividades laborales o financieras».

Slotboom se considera un «pirata ético», o uno de los buenos; un aficionado de la tecnología que quiere revelar los posibles peligros relacionados al Internet y la tecnología. Él asesora a personas y a empresas sobre cómo protegerse ellos mismos y a su información. Esto lo hace igual que como lo hizo hoy: demostrando qué tan fácil es perjudicar a los demás. La verdad, sin más ni más, es como quitarle un dulce a un bebé: El artefacto es barato, y el software para interceptar el tráfico es sencillo de usar y puede ser fácilmente descargado. «Lo único que se necesita son setenta euros, un coeficiente intelectual promedio y un poco de paciencia», explica. No voy a entrar en detalles sobre los aspectos técnicos, tales como el equipo, el software y las aplicaciones necesarias para poder piratear a la gente.

Sesión 2:

Detectar el nombre, las contraseñas y la orientación sexual

Mochila en mano, Slotboom y yo nos trasladamos a una cafetería famosa por las hermosas flores que trazan en la espuma del café con leche y muy concurrida por trabajadores independientes que utilizan portátiles. El lugar está abarrotado de personas concentradas en las pantallas de sus aparatos.

Slotboom enciende su equipo. Repite los mismos pasos, y en tan solo unos minutos, hay más de veinte aparatos conectados al nuestro. Al igual que como en el otro local, podemos ver la dirección MAC y el historial de ingreso, y en algunos casos el nombre de los dueños. A petición mía tomamos un paso adicional.

Slotboom inicia otro programa (disponible también para descarga) que le permite extraer más información de los teléfonos inteligentes y portátiles que están conectados. Podemos ver las especificaciones técnicas de los modelos de teléfonos móviles (Samsung Galaxy S4), la configuración de lenguaje de varios aparatos y la versión del sistema operativo utilizado (iOS 7.0.5). Si el aparato tiene un sistema operativo obsoleto, por ejemplo, siempre hay «errores» o vacíos en el sistema de seguridad que pueden ser aprovechados. Con esta clase de información se tiene todo lo necesario para infiltrarse en el sistema operativo y tomar el control del aparato. Una muestra de los clientes de la cafetería revela que en ninguno de los aparatos que está conectados se ha instalado la versión más reciente del sistema operativo. Para cada uno de los sistemas heredados se puede encontrar un «error» en línea.

Ahora podemos ver el tráfico de Internet real de quienes nos rodean. Vemos que alguien con un MacBook está navegando el sitio Nu.nl. Vemos que algunos aparatos están trasfiriendo documentos con WeTransfer, algunos se están conectando a Dropbox y otros están utilizando Tumblr. Notamos que alguien acaba de conectarse a FourSquare. También aparece el nombre de la persona y después de buscarlo en Google lo reconocemos, pues está sentado a tan solo dos metros de nosotros.

Cantidades de información inundan el computador; incluso recibimos información de aquellos que ni siquiera están trabajando o navegando. Varios programas de correo electrónico y aplicaciones se conectan a sus servidores: un paso necesario para que un aparato pueda recuperar correos nuevos. Para algunos de los programas y aparatos logramos ver qué información esta siendo enviada y a qué servidor.

Ahora nos vamos a lo íntimo. Vemos que un usuario tiene la aplicación para hacer citas con personas del mismo sexo, Grindr, instalada en su teléfono inteligente. También podemos ver el nombre y tipo de teléfono que utiliza (iPhone 5). Aunque aquí nos detenemos, sería muy fácil averiguar a quién le pertenece el teléfono. Asimismo, nos damos cuenta de que el teléfono de alguien está tratando de conectarse a un servidor en Rusia al mismo tiempo que envía la contraseña, y la interceptamos.

Sesión 3:

Obtener información sobre ocupaciones, pasatiempos y problemas en las relaciones

Muchas aplicaciones, programas, sitios web y varios tipos de software utilizan tecnologías de codificación. Son utilizadas para garantizar que la información enviada y recibida desde un aparato no sea accesible a terceros. Pero una vez que el usuario esté conectado al wifi de Slotboom, estas medidas de seguridad pueden ser evadidas con facilidad con la ayuda de un software decodificador.

Para sorpresa de ambos, vemos que una aplicación está enviando información personal a una compañía que vende publicidad en línea. Vemos los datos de la locación, las especificaciones técnicas del teléfono y la información de la red wifi, entre otras cosas. También vemos el nombre y apellido de una mujer que está utilizando la red social marcapáginas Delicious. Delicious les permite a los usuarios compartir sus sitios web favoritos. En teoría, las páginas que los usuarios de Delicious comparten están disponibles para todo el público; aún así, no podemos evitar sentirnos como voyeristas cuando nos damos cuenta de todo lo aprendemos sobre esta mujer con base en esta información.

Primero buscamos su nombre en Google lo cual nos permite saber inmediatamente qué apariencia tiene y en qué parte de la cafetería está sentada. Nos enteramos de que nació en otro país europeo y que recién vino a vivir a los Países Bajos. A través de Delicious descubrimos que ha estado visitando el sitio web de un curso ofrecido en neerlandés, y que ha marcado como favorita una página que contiene información sobre un curso de integración.

Trascurridos veinte minutos, esto es lo que sabemos de la mujer que está sentada a tres metros de nosotros: donde nació, donde estudió, su interés por el yoga, que ha marcado una oferta en línea para dejar de roncar, que hace poco viajó a Tailandia e India y que tiene un interés muy particular por páginas que proveen consejos sobre cómo salvar las relaciones.

Slotboom me muestra más trucos que utilizan los piratas. Por medio de una aplicación en su teléfono él puede cambiar palabras específicas en cualquier sitio web. Por ejemplo, cada vez que se menciona la palabra «Opstelten» (el nombre de un político neerlandés) la gente ve la palabra «Dutroux» (el nombre de un asesino en serie convicto) en su lugar. Lo probamos y funcionó. Intentamos otro truco: Cualquier persona que cargue una página que incluya fotografías ve una fotografía seleccionada por Slotboom. Suena como una travesura inocente, pero también hace posible que se almacenen imágenes de pornografía infantil en el teléfono inteligente de alguien, lo cual constituye un delito.

Contraseña interceptada

Vamos a un tercer café. La última petición que le hago a Slotboom es que me muestre lo que él haría si en realidad quisiera perjudicarme. Me dice que vaya a Live.com (el sitio de correo electrónico de Microsoft) y que ingrese un nombre de usuario y contraseña al azar. Unos segundos más tarde, la información que acababa de ingresar aparece en su pantalla. «Ahora tengo la información para ingresar a tu cuenta de correo», dice Slotboom. «Lo primero que haría sería cambiar la contraseña de tu cuenta e informar a otros servicios que utilizas que has olvidado tu contraseña. La mayoría de la gente usa la misma cuenta de correo para todos los servicios. Y esas nuevas contraseñas serán enviadas a tu bandeja de entrada, lo cual significa que las tendré a mi disposición». Hacemos lo mismo con Facebook: Slotboom logra interceptar el nombre de usuario y contraseña con mucha facilidad.

El otro truco que tiene Slotboom es el de desviar mi tráfico de Internet. Por ejemplo, cuando trato de ingresar a la página de mi banco, por medio de su programa me dirige a una página suya: un sitio clonado que parece ser idéntico al sitio de confianza, pero que está controlada completamente por Slotboom. Los piratas lo denominan suplantación DNS. La información que ingresé en el sitio es almacenada en el servidor de Slotboom. En veinte minutos, él obtuvo la información de ingreso —incluyendo las contraseñas— de mis cuentas de Live.com, SNS Bank, Facebook y DigiD.

Nunca más me conectaré a una red wifi pública insegura sin tomar medidas de precaución.

Este artículo fue publicado originalmente en la plataforma periodística neerlandesa De Correspondent. Todos los nombres son ficticios, a excepción de Wouter Slotboom. Manejamos la información interceptada con la mayor prudencia posible y la eliminamos inmediatamente después de nuestro último encuentro.