PRIVACITAT
Innovació 15/09/2019

Vaig compartir el número de mòbil a internet... no ho hauria d’haver fet

Experts en seguretat demostren tota la informació que es pot saber de nosaltres si donem el nostre número

Brian X. Chen /copyright The New York Times
5 min
Vaig compartir el número de mòbil a internet... no ho hauria d’haver fet

Durant gran part de les nostres vides ens hem vist obligats a compartir un element d’informació personal sense dubtar-ho ni un moment: el nostre número de telèfon. El donem al supermercat per aconseguir un descompte, o a la farmàcia per recollir un medicament. Quan ens identifiquem a l’hora de fer servir aplicacions i webs, sovint se’ns demana el número per verificar la nostra identitat. En aquest article farem un exercici. Abans de donar el mòbil, pregunteu-vos: val la pena el risc?

La pregunta és clau en un moment en què el nostre número de telèfon principal ja no és el fix, sinó el mòbil, que alhora sol ser la nostra eina més íntima. Els números de mòbil s’han adherit a nosaltres permanentment perquè rarament els canviem. Els mantenim tant si canviem de feina com de ciutat.

A la vegada, els nostres dígits estan cada cop més connectats a aplicacions i serveis en línia fermament introduïts en les nostres vides personals. I això pot permetre accedir a informació sobre nosaltres. De fet, el teu número de mòbil segurament s’ha convertit en un identificador més fort que el teu nom i cognoms. Fa poc ho vaig experimentar demanant a Fyde -una empresa de seguretat de mòbils a Palo Alto, Califòrnia- que fessin servir el meu número de telèfon per demostrar els possibles riscos a l’hora de compartir-lo.

Emre Tezisci, investigador en temes de seguretat de Fyde, va acceptar la tasca amb ganes. Ell i jo no ens coneixíem ni ens havíem vist mai. Ràpidament va introduir el meu número de mòbil en un directori de registres públics. Aviat va disposar d’un dossier sobre mi, on apareixien el meu nom i data de naixement, la meva adreça, els impostos de béns immobles que pago i els noms dels membres de la meva família.

A partir d’aquí, la cosa s’hauria pogut complicar encara més. Emre Tezisci hauria pogut fer servir aquella informació per intentar respondre a les preguntes de seguretat que protegeixen les meves contrasenyes i entrar en els meus comptes d’internet. O hauria pogut convertir-me a mi o a la meva família en l’objectiu de sofisticats atacs de phishing [suplantació d’identitat]. Tant ell com altres investigadors de Fyde van optar per no fer-ho, atès que aquests atacs són il·legals.

“Si decideixes donar el teu número de telèfon, acceptes uns riscos addicionals dels quals no ets conscient”, explica Sinan Eren, conseller delegat de Fyde. “Un número de mòbil, vistes les similituds que es donen en els noms per la quantitat de gent que avui està a internet, és un identificador més fort”.

I això no té una solució fàcil. En algunes situacions, cedir els teus dígits del mòbil a institucions com el teu banc aporta una capa extra de seguretat. Però, en molts casos, els possibles perills i inconvenients excedeixen els avantatges. En qüestió d’una hora, per exemple, el meu número de mòbil va exposar la meva vida.

Tot el que Emre Tezisci, l’investigador, va haver de fer va ser introduir el meu número a les Pàgines Blanques premium, una base de dades que costa 5 dòlars mensuals i dona accés a registres públics. A continuació va fer una cerca a fons per internet i va seguir el rastre de les meves dades -enllaçant nom i adreça amb dades d’altres eines d’informació general- i aïllar més detalls sobre mi.

En una hora va descobrir tot això:

  • L’adreça del meu domicili actual, els metres quadrats que fa, el cost de la propietat i els impostos que pago.
  • Els noms complets de la meva mare, el meu pare, la meva germana i la meva tieta.
  • Els meus números de telèfon antics, fins i tot el fix de casa dels meus pares.
  • Informació sobre una casa que vaig tenir fa temps, amb els seus metres quadrats i la hipoteca per pagar-la.

Tot i que Fyde no es va prestar a entrar en els meus comptes a partir de la informació obtinguda i el meu número, l’empresa em va advertir que hi havia un gran ventall d’accions que un atacant podia fer:

  • Un pirata podria intentar reconfigurar la contrasenya d’un compte meu contestant preguntes de seguretat del tipus “¿Nom de soltera de la meva mare?” o “¿En quines adreces has viscut anteriorment?”
  • Un segrestador que controli el meu número de mòbil ja podria accedir als meus comptes en el cas que jo tingués configurat un mecanisme pel qual rebés un codi de seguretat en un missatge de text cada vegada que jo entrés en un compte d’internet.
  • Un emissor de correu brossa podria fer servir el meu número de mòbil segrestat per enganyar membres de la meva família i fer-los compartir contrasenyes o enviar diners.

Algun venedor també se’n podria aprofitar:

  • Una agència de publicitat de tecnologies podria afegir el meu número a un perfil detallat sobre mi, enllaçat amb altra informació sobre la meva identitat i activitats de quan navego per internet.
  • Una agència de publicitat poc fiable podria afegir el meu número a una base de dades i bombardejar-me amb trucades spam i promocions per missatges de text.

Hi ha algunes situacions en què és raonable compartir el teu número de mòbil. Quan introdueixes el teu usuari i contrasenya per entrar en el teu compte bancari, el banc et pot trucar o enviar-te un missatge de text amb un codi temporal que hauràs d’introduir abans d’entrar. En aquesta situació, el teu número de mòbil és un factor extra per demostrar que tu ets qui dius que ets.

“Un número de mòbil és un identificador millor que el teu nom sol, i a vegades és el que vols”, afirma Simon Thorpe, director de producte de Twilio, una empresa de comunicacions que treballa amb operadores per combatre els robots que fan trucades massives.

Però, ¿de quines empreses et pots refiar a l’hora de donar el número de mòbil? Aquí és on la cosa es complica.

Moltes tecnològiques et deixen fer servir el número de mòbil per impedir que persones no autoritzades accedeixin al teu compte. Però fins i tot empreses com Facebook han rebut inspeccions per ús impropi d’aquests números.

L’any passat un estudi dut a terme pel blog tecnològic Gizmodo va descobrir que després que un usuari de Facebook configurés una doble verificació amb el seu número de mòbil, els anunciants que van pujar els seus dígits a la base de dades de Facebook podien casar-los amb el seu perfil de Facebook i enviar-li publicitat personalitzada. A banda, hi ha hagut queixes de moltes persones aquest any que aquesta xarxa social els permetia consultar el perfil de Facebook d’una altra persona simplement marcant el número de mòbil a la barra de cerques.

L’empresa ha eliminat aquesta possibilitat, segons Rochelle Nadhiri, una portaveu de Facebook. Ha afegit que quan un usuari configuri una doble verificació amb un número de mòbil, l’empresa no farà servir la informació per enviar publicitat orientada. Però quan les grans empreses fan un ús abusiu del teu número de mòbil, ¿de qui et pots fiar?

Dissortadament, no hi ha una solució clara. Tot implica feina. Això inclou primer preguntar-te si els avantatges de donar el teu número de mòbil superen els possibles riscos.

També és possible configurar un segon número de mòbil per compartir amb gent i marques de qui no et refies gaire. Aplis com Google Voice i Burner ho permeten. Pel que fa a la doble verificació, la gran majoria de tecnològiques permeten generar codis de seguretat provisionals o una clau de seguretat física on et puguis connectar.

Adjunto un consell a tall de bonus. Si feu servir targetes de visita amb el vostre número de mòbil personal imprès, tritureu-les i encarregueu-ne de noves on només hi surti el telèfon del despatx.

stats