¿Cómo es que los ciberdelincuentes pueden acceder a la identidad en línea de sus víctimas mediante sus fotos en internet?

Una búsqueda rápida del hashtag #boardingpass arroja unos 92,000 resultados en Instagram. Según nuestros cálculos, son más de los necesarios. Eso se debe a que no sólo tus seguidores se deleitan con el anuncio de tu próximo viaje: los delincuentes que están interesados en robar tu identidad, usar tu nombre para volar a algún lugar o tomar posesión de tu cuenta pueden causar mucho daño con una foto de tu pase de abordar.

Tan sólo en la primera mitad de 2017, ha habido suficientes casos de robo de identidad para que la BBC se refiera a ellos como una "epidemia". El grupo de edad más afectado, sin embargo, no son abuelas inocentes que dan click a enlaces de dudosa procedencia, sino más bien personas alrededor de los 30 años, o los llamados "nativos digitales".

Pero, ¿cómo es que los ciberdelincuentes acceden a las identidades en línea de sus víctimas, cuando la concienciación sobre la importancia de tener una contraseña segura va en aumento? La respuesta está en nuestras fotos. Muchas personas no son conscientes de que al subir sus fotos de boletos o incluso las llaves del coche a Instagram, están abriendo las puertas para que algún extraño los perjudique.

Tu código de reservación es una contraseña temporal y no es muy buena

El hacker Karsten Nohl demostró el año pasado durante el Chaos Communication Congress en Hamburgo, Alemania, que el código de reservación de seis dígitos, conocido por las compañías aéreas como PNR (Passenger Name Record), es una mina de oro para el robo de identidad.

Nohl descubrió que el PNR no es más que una contraseña temporal proporcionada por las compañías aéreas que flota abiertamente en todas las etiquetas de equipaje. Cualquiera que conozca tu código de reservación y tu apellido puede utilizar el portal de registro en internet para obtener vuelos gratuitos o causar otros tipos de estragos.

En los sitios web de algunas aerolíneas, el apellido del pasajero y la hora de salida son suficientes para conectarse como un pasajero registrado y recibir una copia de tu pase de abordar. Y debido a que vivimos en un momento de acuerdos de código compartido entre diferentes compañías aéreas, es posible utilizar un PNR para iniciar sesión en cinco o más sitios web de aerolíneas, momento en el que los delincuentes suelen realizar un ataque con relativa facilidad para obtener acceso a información personal adicional u obtener vuelos gratis de manera fraudulenta.

La historia detrás de este tipo de robo ya había causado alboroto a principios de 2017. Pero como explica el experto en desarrollo y ciberseguridad Michal Spacek, parece que las aerolíneas y los pasajeros no aprendieron nada ocho meses después. En una publicación en su sitio web, ilustra todo lo que podrías hacer a través de una rápida búsqueda de fotos en las redes sociales.

Con o sin código de reservación: Tres argumentos contra los pases de abordar en las redes sociales

En el primero de tres casos en Instagram, Spacek describe cómo no sólo determinó la ubicación de un amigo que estaba de vacaciones en Hong Kong, sino que también pudo haberlo incriminado de cometer delitos internacionales. Fue capaz de hacer todo esto porque el amigo de Spacek subió una foto de su pase de abordar junto a su smartphone y sus bocinas.

Con la foto del código de reservación claramente legible, Spacek pudo entrar al sitio de registro de British Airways, donde pudo ver que su amigo había escrito toda su información personal importante (incluyendo su fecha de nacimiento y número de pasaporte) antes de su partida.

Para jugarle una broma, todo lo que Spacek tendría que hacer es convencer al sitio web de que su amigo era el que estaba tratando de cambiar la información. Debido a que todavía no tiene el número de pasaporte de su víctima, el sitio web amablemente brinda la opción de ingresar su fecha de nacimiento. Bingo. En el caso de esta víctima, la información no sólo estaba disponible en el registro de la aerolínea, sino también en Facebook. Spacek podría modificar los datos a su gusto, y cambiar el número de pasaporte, por ejemplo, al de un terrorista registrado en una base de datos de la Interpol.

Segundo caso: Una persona —llamémosla Anna— intenta protegerse en Instagram al quitar en Photoshop el apellido de su pase de abordar antes de publicarlo en línea. Pero eso no le servirá de nada, ya que el Código Azteca sigue estando visible. En este caso, Spacek sólo necesitaría una aplicación como "Barcode Scanner" para recuperar el nombre completo del pasajero. Esta combinación asesina le da a Spacek —dependiendo del nivel de seguridad de la aerolínea— las mismas oportunidades que en el primer caso.

A los usuarios de Instagram les gusta subir fotos de sus vuelos. Captura de pantalla vía Instagram.

Tercer caso: Un sujeto —en este caso, el fundador de una startup bastante famosa— publica una foto de su smartwatch que muestra un Código Azteca en lugar de su pase de abordar. Spacek logró escanearlo como en el caso anterior e incluso desbloqueó algo aún más valioso: el número de viajero frecuente del sujeto, que la aerolínea suele proteger a toda costa.

Con la ayuda de este número y de la información disponible al público, Spacek sólo tendría que responder a dos preguntas sencillamente ridículas en United Airlines para crear de inmediato una nueva contraseña para la cuenta de la víctima: es como sacarse la lotería, porque a partir de ese momento podría apropiarse de otra información relevante, como la información de pago, las reservaciones y las direcciones, así como algunos vuelos gratuitos. Desde que Spacek demostró su hack, United ha construido una capa adicional de seguridad para cambiar las contraseñas. Pero hasta hace poco tiempo, podría haber secuestrado la identidad del empresario y bloqueado su cuenta.

¡Pero quiero mostrarles a todos a dónde estoy volando de todos modos!

Haz lo que quieras, siempre y cuando no muestres nombres, códigos de reservación, fechas, o códigos de barra. Cubrir con color negro la información sensible es más inteligente que hacerla borrosa, porque los pixeles, en las circunstancias adecuadas y con los programas adecuados, a menudo pueden revertirse a su forma anterior, revelando exactamente lo que estás tratando de ocultar.

En cuanto a la información escrita, estarás más protegido si colocas una barra negra sobre los datos, en lugar de darle a los atacantes la oportunidad de reconstruir los pedazos de información del original.

Muchas personas olvidan que esto no sólo se aplica a las fotos, sino también a los pases de abordar. En lugar de sólo dejarlos aventados en el avión, es mucho mejor deshacerse de ellos después de usarlos; lo mejor que puedes hacer es despedazarlos. Para aliviar la paranoia, consigue una trituradora de papel o tira tu pasaporte despedazado en diferentes botes de basura cuando llegues a tu destino. Pero en la mayoría de los casos, hay un consejo infalible: sólo no publiques tus pases de abordar en internet. Además, las imágenes desde la ventanilla del avión se ven mejor de todos modos.

Presumir las llaves de tu coche

Claro, estás orgulloso de tu coche. Tal vez es nuevo y probablemente caro, y te gustaría compartir con el mundo que tu llave para la libertad está sobre la mesa justo al lado de tu chai latte. Pero tus llaves no pertenecen a Facebook, Twitter o Instagram.

View image on Twitter

Eso es porque no es tan difícil recrear un modelo de computadora preciso de los contornos y sombras a través de un programa 3D. El software CAD, por ejemplo, puede volver a trazar las formas presentes en las fotos, que luego convierte a archivos Flash, mientras el atacante alista la impresora 3D y selecciona diferentes esquemas de color para su copia de resina sintética. A partir de ahí, el atacante puede averiguar la ubicación de tu coche o tu casa a través de geotags u otros datos que se obtienen fácilmente de las redes sociales. Treinta minutos más tarde, la copia está lista, y en la mayoría de los casos, la exactitud de la copia es suficiente para realizar el atraco.

Pero si estás realmente ansioso de publicar tus llaves en las redes sociales, entonces ni siquiera necesita ser experto en Photoshop. Simplemente tómalas por la parte metálica o al menos oculta el tercio inferior de la punta de la llave para que nadie puede hacer una copia. He aquí otro gran consejo: mejor muestra tu coche en lugar de la información necesaria para robarlo.

Publicado originalmente en VICE.com