“Hannah, encantado de conocerte. Así que eres escritora y cantante”, dijo mi entrevistado cuando me sentaba para interrogarlo en la RSA, la conferencia más grande para profesionales de seguridad cibernética de Silicon Valley.
- Te recomendamos ¡Pueden robar tu huella digital! Hackers van por datos biométricos Negocios
Barry Hensley, director de inteligencia de amenazas del grupo de seguridad Secureworks, había visitado —pensé— mi perfil de Twitter o LinkedIn, donde menciono mis intereses musicales. O tal vez su jefe de prensa había reunido la información en una nota informativa, como a menudo hacen para los clientes.
Pero había más por venir. ¿Quién, preguntó, era el hombre que había recortado de mi foto de perfil de LinkedIn? ¿Un ex novio convertido en enemigo, tal vez? Hensley parecía haber descubierto quién era esta persona, pero, dijo, todavía estaba tratando de resolver la conexión entre los dos.
Me asustó: por el recorte de la imagen, no había forma de saber que la persona a mi lado era un hombre, y mucho menos su identidad. Pronto supe que el equipo de Hensley, ya sea por diversión o para darle una ventaja en la entrevista, había reunido lo que se conoce como inteligencia de código abierto, u OSINT (por Open-Source Intelligence), sobre mí.
OSINT consiste en buscar fuentes disponibles públicamente para recopilar información sobre un objetivo. Esto generalmente significa examinar las redes sociales y la red oscura, habilitado por algunas búsquedas profundas en Google y una variedad de herramientas en línea gratuitas y modernas.
Este sofisticado acoso por internet desde hace tiempo ha sido parte del libro de jugadas de las agencias de espionaje, las fuerzas del orden e incluso los amantes celosos. Pero también está floreciendo como un servicio para corporaciones una nueva generación de startups cibernéticas, así como por algunas organizaciones más grandes.
Para proporcionar “protección contra riesgos digitales”, estos expertos en seguridad de tecnología de la información analizarán la huella digital pública de las empresas y sus altos ejecutivos para establecer si los posibles hackers pueden aprovechar esa información y, de ser así, bloquearla para que ya no sea accesible.
Es comprensible que la seguridad cibernética sea una industria inquieta y paranoica, y cubrirla como periodista me ha contagiado. Entonces, naturalmente, corrí para contratar a un investigador de seguridad cibernética de confianza para que reuniera todos los trapos sucios sobre mí, flotando en el éter y esperando ser encontrados.
Me había preparado para lo peor. Pero, al final, fue bastante simple; en particular, localizó mi página de Facebook, que yo creía oculta, y sabía que usaba iPhone.
Sin embargo, hubo otras vulnerabilidades inesperadas. En un tuit público, publiqué una captura de pantalla de una conversación con un colega en WhatsApp. La imagen de perfil de WhatsApp del colega era visible, por lo que un agresor potencialmente podría clonar la imagen y enviarme un mensaje haciéndose pasar ser ellos en un teléfono recién comprado.
Suena bastante ingenioso, pero este no es momento para la complacencia: varios gobiernos supuestamente usaron el spyware Pegasus para atacar a periodistas que usan WhatsApp, y más de una fuente que conocí durante la RSA habló de ayudar a las organizaciones de noticias a manejar los recientes intentos de hackeo.
Aún más aterrador es que la elaboración de perfiles —reunir el retrato de alguien y sus patrones de comportamiento a través de sus datos— ya puede estar teniendo lugar en una escala mucho más amplia, aunque con conjuntos de datos robados. La consideración más actual, común en los círculos de inteligencia, es que China, en particular, está recopilando información personal sobre las personas a través de grandes infracciones, como el hackeo de la agencia de crédito al consumidor Equifax en 2017.
Si se hacen referencias cruzadas entre sí, estos conjuntos de datos podrían usarse para elaborar perfiles detallados, exponiendo a las personas al chantaje, por ejemplo. Nuestra huella digital a la que es más fácil tener acceso es simplemente otro conjunto de datos que podría agregarse a este crisol.
Y ADEMÁS
EL COSTO DE LA CIBERSEGURIDAD
El precio de los servicios de ciberseguridad varía en cada país, y de acuerdo con el tamaño y giro de cada empresa. De acuerdo con los datos de la empresa estadunidense de investigación de mercado Forrester, los servicios de ciberseguridad para las empresas tienen un costo promedio que oscila entre los 45 mil dólares para una pequeña empresa y 150 mil dólares para una más grande.