Los hoteles, restaurantes y aeropuertos solían ofrecer a sus clientes tabletas gratuitas mientras hacían uso de sus instalaciones. Hace poco asistí a una conferencia y me aloje en uno de estos hoteles, y tuve la oportunidad de tener a mi disposición un iPad gratuito especialmente instalado en mi habitación.
Me sorprendió que no sólo contuviera la agenda de la conferencia y contara con una conexión WiFi gratuita, sino que también incluyera bastante información personal sobre los anteriores huéspedes que ocuparon la misma habitación.
Cuando digo información personal, quiero decir cuentas con contraseñas pre guardadas, sesiones autorizadas en redes sociales, resultados de búsqueda del navegador (por lo general, contenidos pornográficos), contactos automáticamente guardados en la guía de direcciones, iMessages, e incluso un calculador de embarazos con información real. No fue difícil dar con la identidad de la mujer que lo utilizó, ya que también había dejado sus datos personales de contacto en el dispositivo:
Con los nombres completos y direcciones de correo guardadas en el dispositivo, no fue difícil buscar en Google un poco para encontrar que algunos usuarios eran personajes reconocidos que trabajaban para el gobierno del país que yo estaba visitando.
La mayor parte de las sesiones seguían abiertas, e incluso era posible publicar entradas / enviar mensajes en nombre del usuario:
Esto es completamente inaceptable desde el punto de vista de la seguridad. Un atacante potencial podría no sólo leer los mensajes enviados y recibidos, sino que podría hacerse pasar por la víctima y enviar mensajes en su nombre.
También me parece que se trata de un perfecto recopilador de datos personales para campañas spear phishing dirigidas contra personajes de alto perfil. Por otra parte, si el atacante potencial se tratara de un ciberdelincuente, podría llegar a chantajear a sus víctimas. Además, esto le sería extremadamente fácil, ya que contaría con todo tipo de información sobre las víctimas, incluyendo los títulos de las películas pornográficas que vieron en fechas y horas específicas. Tomando en cuenta que algunas de las víctimas potenciales son personajes públicos y funcionarios gubernamentales, es muy probable que dicho chantaje tuviera éxito.
Entonces, ¿qué está mal? Bueno, diría que todo. Primero, es imprudente utilizar un dispositivo público gratuito para comunicaciones privadas y personales. El dispositivo podría estar infectado con puertas traseras y no se sabe quién podría estar detrás de esta hospitalidad. Segundo, si un establecimiento público desea ofrecer a sus clientes dispositivos portátiles gratuitos durante su estancia, es importante que éstos se configuren adecuadamente primero y aplicar políticas de seguridad elementales, como no guardar información personal, ni contraseñas ni otros datos privados.
Quizás estoy siendo muy receloso, pero ante el hecho de tener un dispositivo desconocido y sospechoso, como una tableta, en mi habitación, que además está equipado con una cámara y un micrófono, prefiero apagarlo y guardarlo dentro de un cajón. Tuve que hacer esto cada tarde, ya que el personal de limpieza volvía a colocarlo en la mesa cada día que permanecí en el hotel.
Asimismo, es importante recordar que, aunque un dispositivo gratuito esté configurado adecuadamente y al parecer no guarde ningún dato personal, no podemos descartar que el próximo huésped sea un experto en análisis forense, en cuyo caso podría tomar una imagen de todo el dispositivo para después recuperar los datos personales guardados.
Sígueme en twitter: @dimitribest
Deja tus contraseñas al salir