5 Formas de Perder Tu Intimidad en Internet

Muchos expertos de seguridad piensan que usar la ingeniería social no es lo adecuado o simplemente es deLammer. Yo no pienso así. Al igual que existen muchos tipos de gazpachos, existen muchos formas de usar laig.social con métodos y herramientas. Es verdad que no tiene nada que ver con encontrar un exploit en un sistema que te permita el acceso con una shell sin interacción con el usuario, es cierto. Son cosas diferentes, estariamos callendo en el error de hablar de dos acciones que se encuentran en diferentes puntos de una auditoria.

Los hechos hablan por sí solos que los ciberdelincuentes siguen usando el engaño con scams y fakes es por algo  pero ¿los ciberdelincuentes se lanzan a la piscina antes de saber si esta llena?.De eso quiero hablar y dar unas pautas para dejar de vender nuestros datos… gratuitamente.

Los delincuentes hacen spam a una lista de millones de correos pero muchas veces hacen una selección de las personas que les pueden interesar más. Porque interpretan que son más vulnerables, caeran más facilmente o porque tienen más dinero por lo que sea.

Necesitamos saber información de las personas que vamos auditar y el primer proceso que vamos hacer es de Footprinting para conseguir la mayor información posible de estos buscando por internet.

Al igual que usamos nmap para averiguar que sistemas operativos tienen podemos usar internet para saber que les gusta hacer, cuáles son sus hobbies, dónde viven, su DNI, sus correos, si tienen hijos y muchas más cosas. Claro todo depende de lo que este haya colgado en Internet o terceras personas por arte de mágia no estan en la red.

  1. Tenemos una mala costumbre que es registrarnos en muchas plataformas webs y luego las abandonamos o dejamos de usarlas porque queremos algo ocasional. Descargar algo, redes sociales, apuestas… Pero cometemos varios errores en esa acción de registrarnos:
    1. Registrarnos con nuestra cuenta personalMal. Es importante crear una cuenta de correo gratuita por ejemplo (hotmail o gmail)  para registrarnos en sitios y diferenciarla de la tuya personal. Además usar este mini consejo permite que en un proceso de investigación hacia tu persona sea algo más complicado porque si diferencias correos para cada servicio no saldrás en tantos sitios en una búsqueda de google (¿Has probado poner tu correo en google? te sorprenderá toda la información que suelta).
    2. Utilizar la misma contraseña para ambos correos o para otros servicios que exijan un punto de accesoMalUtiliza diferentes contraseñas para cada cuenta. Tus datos son alojados en una base de datos donde pierdes el control sobre ellos. ¿Te vas a fiar?
    3. Conseguir el DNI es hoy en día algo tan fácil como poner el nombre en google y archivos públicos nos darán el resultado. Parece coña, pero la gran culpa de esto es de un mal uso e inconsciencia de la administración púbica que cuelga esos datos sin preocuparse.
  2. La seguridad de tu cuenta de Facebook debes tenerla muy presente. Actualiza la privacidad de tu perfil. En las preferencias puedes ajustar que partes de tu perfil sean públicas y que partes privadas. Si no quieres correr riesgos entonces lo mejor será que solo permitas  ver tu cuenta amigos y familiares. Os dejo una guía de la guardiacivil que está muy bienhttps://www.gdt.guardiacivil.es/webgdt/media/GuiaFacebook.pdf
    1. Controla el círculo de personas que pueden ver tu perfil. Todos los usuarios de Facebook pueden ver tu nombre, tu foto de perfil, tu sexo.
    2. Muchas aplicaciones que utiliza Facebook tienen permiso para acceder a tu informaciónten cuidado con ellas.
    3. No poner información en tu perfil ¿Dónde vivo? ¿De dónde eres? Madrid. Mal. ¿Dónde has estudiado? En el Instituto la mayor. Mal. ¿Cuál es tu teléfono? 679XXXXXX.Mal. No pongas datos y si la pones que no sean reales, invéntatelos.

Una forma muy fácil de averiguar si una persona tiene Facebook: vamos al login de Facebook en “Nombre de usuario” ponemos el correo que queremos saber si tiene una cuenta registrada y en la “Contraseña”, nos pegamos un par de cabezazos con el teclado y lo que salga lo copias en“Contraseña:”(Es importante decir “Contraseña” mientras lees todo con voz “repipi” y haciendo a la misma vez un giro de cabeza). Facebook se encargará de decirte si existe o no, y por si es poco te dice el “NIK” y te muestra la foto. Qué bien…

 

3.       Whois es un comando que nos lista información sobre el propietario de un dominio específico“Whois [Dominio.com].  Podemos saber incluso la dirección de la persona, su correo, el teléfono etc.

4.       Twitter es un arma de doble filo y muchos usuarios no lo saben. No sé si es porque no quieren saberlo o porque no lo saben  pero la verdad es que esta red social ha creado  nuevas relaciones y algún que otro despido. http://www.rtve.es/noticias/20130721/dimite-directivo-marca-espana-tras-poner-tuit-catalanes-mierda/720160.shtml

    1. Pinchar en el checkbox con el label “Ubicación del Tweet” + “Añade una ubicación a mis tweets” a mi parecer no es nada sensato. Además creo que es un servicio que no sirve para nada, bueno para que los demás sepan donde estas, adiós intimidad.
    2. Proteger los tweets es una buena idea para tu intimidad, de esa forma solo los usuarios que apruebes podrán ver tus tweets pero claro entonces no nos va seguir nadie… que horror…un dilema interesante si preguntamos a 10 personas en la calle ¿intimidad o followers?¿Qué elegirían?

Herramientas como creepy que viene por defecto en Kali Linux nos permite investigar los datos públicos de cualquier cuenta de Twitter. Utiliza la información de geolocalización añadido en tweets  desde el dispositivo móvil y una lectura de las etiquetas EXIF para también encontrar la localización.

 

Como diría en este caso el Maestro Yoda “tener cuidado con Twitter debes” si no pregúntaselo al directivo del marca.

 

5.       Los metadatos. Todos tenemos móviles y cámaras digitales de última generación esperando disparar y captar imágenes por todos lados. Pero siempre tienes que ser consciente que en esas imágenes se  guardan metadatos que son información sobre cómo se tomó la fotografía, angulo, dimensiones, fecha, hora, velocidad, localización. Todo archivo como de audio, imágenes, pdfs, archivo de textos… tienen metadatos.

En internet si nuestro sujeto sube fotos desde el móvil a sus redes sociales, tiene un blog, sube a una página web como foros un archivo… podemos extraer esos metadatos.

 

Estos son algunos de los consejos que doy para guardar más nuestra intimidad en este gran bosque de ordenadores llamado Internet.

FUENTE:  websec.es/

*