Nunca publiquéis en Internet una foto de vuestras llaves

No sé si es que yo soy demasiado precavido o que hay gente que tiene mucha confianza en la bondad del ser humano; pero el caso es que a mí jamás se me ocurría colgar una foto de mis llaves en Internet.

Lo que define a una llave son dos cosas: el modelo y su dentado. Si dos llaves son de modelos diferentes sencillamente una no encajará en la cerradura de la otra; pero si las dos pertenecen al mismo modelo lo único que las diferenciará es el relieve de las mismas, que teóricamente es único para cada cerradura debido a su principio de funcionamiento que podréis ver con claridad en la siguiente animación:

Pues bien, debido a la elevada resolución de las cámaras actuales y que gracias a la “globalidad” de Internet es posible que alguien pueda saber dónde vivimos, la acción de colocar a la vista de cualquiera una imagen de las llaves de nuestra casa es poco menos que una temeridad. Me explico:

Una simple búsqueda en Flickr de las palabras “key” o “llave” devuelve cientos de resultados entre los que hay unas cuantas imágenes en las que se distingue la forma de alguna llave con una claridad asombrosa. Y claro, ya os estaréis imaginando que si una persona conoce vuestra dirección postal, tiene en su poder una de esas fotografías y sabe manejar una copiadora de llaves no le resultará excesivamente complicado clonar ese pequeño trozo de metal que da acceso a vuestra vivienda.

Llaves

Fotografía publicada por el usuario kenwood en Flickr

Poco importa que la llave se vea desde un lateral o desde cualquier otro punto de vista porque mientras se distingan sus dientes, con un algoritmo de corrección de perspectiva (como el que incorpora cualquier programa de retoque fotográfico) el proceso de recomponer un perfil a partir de una vista oblicua es algo completamente trivial tal y como podéis apreciar en el siguiente ejemplo que os he preparado en apenas unos segundos:

Refresco

Por supuesto, no pretendo alarmaros con esto y, de hecho, si me conocéis un poco sabréis que siempre intento dar a conocer este tipo de cosas porque creo que lo mejor para ir tranquilo por la vida es estar informado. Sin embargo, si tenéis colgada por ahí alguna imagen en la que se distingan con claridad vuestras llaves (tal vez para mostrar un llavero que os hayan regalado) yo particularmente os recomiendo que la retiréis o que al menos añadáis un rectángulo opaco sobre el filo de la llave para evitar posibles disgustos porque, como dice un conocido refrán, más vale prevenir que curar.

Roban la cuenta de iTunes a mi hermana y usan su tarjeta para hacer compras

Mi hermana es una de esas personas que se loguea alegremente para mirar el correo en cualquier ordenador. Por eso tampoco me extrañó mucho que esta mañana (ahora mismo está en Alcalá pasando unos días) me comentara que le habían llegado un par de pagos de la iTunes store por cosas que no había comprado. En concreto tenía un pago de un euro de hace un par de semanas y otro de 28 euros del jueves pasado. El caso es que entre mi hermano, ella y yo estuvimos “atando cabos” y llegamos a reconstruir lo que había ocurrido; así que os lo comento aquí para que no os ocurra lo mismo que a ella:

Como os decía, mi hermana no tiene reparos a la hora de hacer login en cualquier ordenador para mirar el correo; siendo desde mi punto de vista una práctica muy poco recomendable tal y como os comenté hace ya unos meses. Obviamente a ella también le comenté este asunto en su momento pero, como mucha gente, no creía que fuera a pasar nada (y ya sabéis que nunca pasa nada… hasta que pasa). No sé si en aquel momento pensaría que era un poco exagerado en cuanto a medidas de seguridad a la hora de navegar por Internet; pero el caso es que al final parece que algo de razón tengo.

El problema es que mi hermana no sólo se saltó mi regla básica de no hacer login más que en ordenadores propios; sino que además tenía la misma contraseña en todos sitios, de modo que el agujero de seguridad era bastante grande. La cosa es que en alguno de los ordenadores desde los que consultó el correo alguna vez debía de haber un troyano de tipo keylogger que, sin que nos demos cuenta, se dedica a mandar todo lo tecleado a una dirección de Internet, de tal modo que no tiene ninguna ciencia descubrir el nombre de usuario y la contraseña de la persona que está utilizándolo.

Pues bien, una vez que la persona recibió los datos de mi hermana se ve que aprovechó para entrar a su correo y al ver que tenía cuenta en la iTunes store (suponemos que leyó algún correo remitido por Apple) intentó meterse allí empleando los mismos datos de acceso de la cuenta de email para ver si “sonaba la flauta”. Y puesto que la contraseña para ambos sitios era la misma, a partir de ese momento pudo hacer y deshacer a voluntad todo lo que quiso; algo especialmente peligroso si tenemos en cuenta que toda cuenta de iTunes store va asociada a una tarjeta bancaria (si no, no se puede crear dicha cuenta).

Lo primero que hizo el ladrón fue cambiar la dirección de email asociada con la cuenta de la iTunes store por una con el mismo nombre de usuario pero asociada a una sospechosa web China, de modo que a partir de ese momento todas las facturas de las compras realizadas ahí irían al mail de esa persona en lugar del de mi hermana. De ese modo, a no ser que ella mirara los movimientos de la cuenta bancaria, no se daría cuenta de que alguien estaba haciendo compras con su cuenta. Además, como es lógico, también cambió la contraseña de acceso para así hacerla perder el control por completo de su propia cuenta de iTunes.

Tal y como os comenté al principio, el ladrón hizo dos pagos con la cuenta una vez robada: uno de un euro (suponemos que para comprobar que tenía acceso) y luego unos días después otro por valor de 28 euros. Ya sé que no es una gran suma, pero daos cuenta de que es muy lógico actuar así por parte del ladrón. Si tenemos la nómina y varios recibos domiciliados en la cuenta, entre los movimientos de cada mes un pago de unos treinta euros de vez en cuando se nos puede pasar completamente desapercibido. De hecho, si no llega a ser porque se metió en la web del banco y miró el extracto de su cuenta muy posiblemente ni se hubiera dado cuenta.

Obviamente ese tío no va a salir de pobre con esos 28 euros, pero pensad que si todos los días fusila alguna que otra cuenta y se dedica a hacer compras por importes similares (que de algún modo luego recibirá en dinero contante y sonante; aunque eso no sé cómo lo llevará a cabo) en un par de meses puede juntar una suma importante. Es decir, que como se suele decir: “Grano no hace granero, pero ayuda al compañero”.

Lo que hemos hecho para solucionar el tema es llamar al banco y comentarles esto mismo, anulando al momento la tarjeta de mi hermana. Dentro de unos días le llegará otra con un número diferente, de tal modo que a partir de este momento el ladrón no podrá comprar nada más en la iTunes store usando la cuenta de mi hermana; pero aun así me temo que los 29 euros que le han robado no va a poder recuperarlos. De todos modos, el lunes llamará a Apple para comentar el caso (la atención al cliente sólo funciona de lunes a viernes) para ver si se puede hacer algo más.

Cómo evitar este tipo de fraudes

Para evitar que os suceda algo así, os remito a lo que aconsejé en la entrada reseñada anteriormente sobre cómo navegar con seguridad en Internet y que se resume en no mirar el correo más que en ordenadores de confianza y tener una contraseña para cada sitio en el que estemos registrados. No hace falta que sean contraseñas completamente distintas; pero sí que es una buena idea tener una “raíz común” en todas ellas y luego añadir un sufijo diferente para cada web.

Por ejemplo, podemos tener como raíz una combinación extraña de letras y números (por ejemplo 3498crynjarv88) y luego para cada sitio añadir algo relacionado pero no excesivamente sencillo de adivinar. Podemos usar buzoneo para el email, amigotes para Facebook, piopio para Twitter… El caso es echarle un poco de imaginación. Del mismo modo, os recomiendo que desactivéis la pregunta secreta para recuperar las contraseñas olvidadas, porque representa un riesgo considerable para la integridad de nuestros datos.

Hay que reconocer que mi hermana ha tenido relativa buena suerte, porque aunque el cargo ha sido de 29 euros en total, también podría haber sido diez veces esa cantidad y el ladrón igualmente hubiera salido tan campante; de tal modo que haber aprendido esta lección sobre seguridad en Internet no le ha salido demasiado caro dentro de lo que cabe. En cualquier caso, tentar a la suerte no es una buena idea, así que mejor os recomiendo extremar las precauciones y siempre actuar con lógica en todo aquello relacionado con los datos personales en Internet.