A finales de 2017 estaba viendo la fenomenal ‘Arrival’ un sábado por la noche en casa cuando un número de teléfono desconocido me llamó al móvil.
Por mi trabajo suelo usar mucho el teléfono con números que no tengo agendados, pero recibir una llamada de uno un sábado a medianoche era muy raro.
Respondí y escuché la voz de una chica, la conversación fue tal que así:
Por mi trabajo suelo usar mucho el teléfono con números que no tengo agendados, pero recibir una llamada de uno un sábado a medianoche era muy raro.
Respondí y escuché la voz de una chica, la conversación fue tal que así:
¿Quién es?
Hola, ¿eres Javi?
…sí. ¿Quién eres tú?
Soy una chica que te sigue en redes, y bueno, me pareces muy mono y he conseguido tu teléfono. Te llamo porque me gustaría quedar contigo.
Ya, claro. Ahora dime quién eres de verdad.
Te estoy diciendo la verdad.
Tendré suerte si no te llamas Kingsley y esto es una estafa nigeriana. ¿Me vas a decir quién eres y quién te envía para gastarme la broma?
Que te estoy diciendo la verdad.
Ahí colgué y pensé «ya me enteraré de quién está detrás de la broma». No pasaron ni cinco minutos y me llamó otro número desconocido diferente. Esta vez, con la voz de un chico.
¿Quién es?
¿Eres Javi?
Sí, ¿y tú quién eres?
Soy uno que te sigue en redes porque eres un crack y me interesa mucho Apple y eso.
Ya, venga, ¿me vais a decir quién os está diciendo que me gastéis esta broma?
Que es verdad, tío.
Volví a colgar. Acto seguido agregué ambos números a mi agenda para ver sus fotos de perfil en WhatsApp. Las de ambos se mostraban: una chica rubia, un chico moreno. Ambos desconocidos para mí. Ya mosqueado, paré ‘Arrival’ -algo de lo que no me enorgullezco- y abrí el ordenador para continuar investigando.
Busqué el teléfono de la chica en Facebook, pero no hubo resultados. Sí lo hubo con el del chico, que me llevó a un perfil concreto, de alguien valenciano, paisano mío. En su lista de amigos, visible para mí, encontré a Inés (nombre modificado), una amiga mía de toda la vida.
Supuse que ella era la instigadora. También encontré a una chica rubia muy parecida a la de la foto de perfil de WhatsApp. Al ampliar vi que era ella, así que ya tenía las identidades de ambos.
Supuse que ella era la instigadora. También encontré a una chica rubia muy parecida a la de la foto de perfil de WhatsApp. Al ampliar vi que era ella, así que ya tenía las identidades de ambos.
Una broma telefónica recibida en 2017 me sirvió para encontrar multitud de información personal de los dos bromistas únicamente a partir de sus números de teléfono
Con ellas anotadas, empecé a indagar todo lo que pude. Él tenía bastante información pública, incluyendo su puesto de trabajo actual o estados que dejaban intuir su ideología política. También tenía en abierto su correo electrónico, y buscándolo en Google quitándole el dominio aparecían mensajes suyos de hacía años en un foro.
De la chica había algo menos de información (en una búsqueda de apenas unos minutos), pero seguía siendo más que suficiente: no solo sabía su nombre, también sabía dónde había ido de vacaciones en los últimos años, cuáles eran sus relaciones anteriores, y bastante más información personal que seguro que no quería compartir con un desconocido como yo.
La historia terminó devolviéndoles la llamada y contándoles que sabía perfectamente quiénes eran, dónde trabajaban y varios detalles de su vida personal. Me despedí con un «os pongo un 5 en la idea, un 6 en la ejecución y un 0 en la elección de la víctima. Y un abrazo a Inés, que imagino que está con vosotros». Unas semanas después me encontré con Inés y me explicó lo que ocurrió aquella noche, y que todos los presentes alucinaron. De paso, obtuvieron una valiosa lección sobre privacidad.
Experimento 2019
En Xataka hemos querido hacer un experimento en esta misma línea, y en pleno 2019. Lo del año es importante porque la GDPR que entró en vigor en mayo de 2018 puso fin a algunas posibilidades interesantes para el stalker promedio, como encontrar el perfil de Facebook de una persona buscando su número de teléfono.
Una compañera (gracias, Alesya) me ha facilitado cuatro números de teléfono de empleados de Webedia, el grupo matriz de Xataka. Solo sé que son cuatro números de cuatro perfiles distintos de personas en cuanto a edad, género y nivel de presencia digital, digamos. El objetivo es ver cuánto podría averiguar de esas personas únicamente con su número de teléfono. Empieza la pesadilla de la privacidad.
Sujeto 1
El sujeto 1 no tiene una foto de perfil en WhatsApp visible por alguien a quien no tiene guardado en su agenda, así que nada que hacer aquí. Acudo a Telegram y ahí sí muestra una foto de perfil, la de un varón de unos cuarenta años, moreno, con ojos marrones y con barba de tres días. Podría ser cualquier español de entre los dos millones que encajan en esa descripción, pero es que además también figura su alias: @alias1 (modificado para preservar su privacidad).
Una búsqueda en Google de ese alias y empiezan a aparecer perfiles en algunos foros. En alguno, como en uno sobre videojuegos, aparece que es de A Coruña (aunque ahora vive en Madrid) y se llama Álex. Busco «Álex @alias1» en Google y aparece su nombre completo, Álex Ferrero, en varias cuentas de redes sociales. Sus fotos de perfil encajan con la de Telegram. Ya no hay dudas.
Seguimos rascando información y conseguimos acceder, entre otros, a:
Su lista de 626 amigos en Facebook.
Sus cuentas en redes como Facebook, Twitter, Instagram, Medium, LinkedIn… Con fotos de la última década.
Sus más de 300 valoraciones en FilmAffinity (le disgustó ‘Flubber’ -2- pero le entusiasmó ‘La Venganza de los Sith’ -10-, además de ser un gran fan de ‘Las Chicas de Oro’ -10-).
Su perfil en una aplicación de citas, con varias fotos suyas que no encontramos en sus otros perfiles.
Su puesto de trabajo actual y anteriores.
Algún proyecto de crowdfunding al que ha dado su apoyo.
Una entrevista que le hicieron hace años.
Gracias a una búsqueda profunda en su perfil de Twitter, el barrio en el que vive.
¡Su participación en un programa de Saber y Ganar de la década de los 2000!
Nuestro amigo Álex Ferrero, el sujeto 1, en su participación en Saber y Ganar.
La valoración de 48 videojuegos jugados por Álex. ¿Alguien ha dicho «publicidad segmentada»?
Sujetos 2 y 3
La sujeto 2 es un ejemplo en cuanto a gestión de la presencia online para preservar la privacidad. O al menos, partiendo del teléfono y atendiendo a la información disponible a partir de esta información.
No tener un alias que nos vincule en Telegram ni estados de WhatsApp que deriven a perfiles sociales nuestros son aliados de la privacidad
En WhatsApp podemos ver su foto de perfil: es una mujer, presumiblemente, que sale junto a sus dos hijos en un viaje. Su estado es un fragmento de una canción, nada que le vincule a su persona. No tiene perfil en Telegram y no hay rastro de su número en Google.
Lo mismo ocurre con el sujeto 3: ni siquiera tiene fotos de perfil ni estados visibles, ni cuenta en Telegram. Tampoco en servicios similares, como Signal, ni tiene una huella en Google. Parece imposible llegar a ningún tipo de información personal sobre el propietario de este número.
Luego podemos saber, tras desistir, que estos números son de dos mujeres, una de treinta años y otra de algo más de cuarenta, como sugería su foto. La primera tiene una presencia bastante grande en redes sociales, la segunda mucho más reducida.
Sujeto 4
El sujeto 4 tiene un perfil similar al 1. En WhatsApp vemos una foto de una pareja joven, en su veintena, en la playa. Chico y chica. No sabemos cuál de los dos será. En Telegram nos queda claro que es el chico, y además muestra su nombre y apellido en el alias.
Una búsqueda en Google y empieza la fiesta. Es nuestro compañero del departamento de Vídeo, Dani Esplá. A partir de su nombre podemos sacar:
Su canal de YouTube sobre vídeos de tecnología y lifestyle.
Su puesto de trabajo y empresa actual.
Sus anteriores puestos de trabajo.
Su nombre y apellidos de pila (no son exactamente «Daniel Esplá»).
Su formación académica (curiosamente, universitaria y sin relación con el vídeo ni la comunicación).
Su lista de 231 amigos en Facebook.
Curiosamente, su equipo de hardware para la grabación de vídeo.
Las personalidades y páginas de Facebook que ha marcado con un «me gusta».
Páginas de Facebook a las que Daniel ha dado un «me gusta».
La huella digital del número de teléfono
Estos son algunos ejemplos de lo que puede conseguir a partir de un simple número de teléfono y sin entrar en crackeos ni ataques propios de alguien con altos conocimientos técnicos: todo ha sido fruto de unas búsquedas como las que puede hacer cualquier persona.
Paradójicamente, el nick de Telegram, pensado por motivos de privacidad, ha sido la vía de acceso a una gran cantidad de información personal de alguien a partir de su número.
En los dos casos más «exitosos» del experimento, el nick de Telegram ha sido la vía de entrada a una gran cantidad de información. Paradójicamente, Telegram introdujo la posibilidad de tener un alias por cuestiones de privacidad, para posibilitar conversaciones con otros sin tener que dar nuestro número de teléfono.
La elección de un alias con el que ya se tiene un largo historial online, y que además está vinculado a nuestro nombre real (sujeto 1) o que directamente es nuestro nombre y apellido (sujeto 2) puede propiciar el que hallen mucha información sobre nosotros a partir de nuestro número. La solución, tener un alias inédito para nosotros que sirva de cortafuegos.
Los casos en los que más se ha protegido la privacidad no permiten que nadie que no esté en su agenda pueda ver sus fotos de perfil o sus estados. O en todo caso, no tienen nada que les vincule a entornos con su nombre y apellidos (como lo de poner el usuario de Instagram en el estado de WhatsApp, por ejemplo).
Y tenemos suerte de ser europeos en este sentido. La GDPR nos ha protegido de prácticas como la de encontrarnos en Facebook o Instagram a partir de nuestro número de teléfono, algo que allanaba el camino.
En Estados Unidos, más laxos con esta cuestión, hay historias dignas de pesadilla, como la de un redactor de The New York Times a quien a partir de su número de teléfono sacaron su dirección postal, su historial impositivo, y un largo etcétera únicamente con una web que provee esta información a cambio de cinco dólares.
En Europa no tenemos esta amenaza, pero seguimos encadenados al peligro que subyace en la cantidad de información que vamos dejando, a veces de forma inconsciente y otras veces basada en la vanidad, durante años en distintos rincones de Internet. Como lo de cascar un 10 a ‘La Venganza de los Sith’ en 2005 que sigue siendo visible en 2019.
septiembre 15, 2019
https://www.xataka.com/privacidad/me-das-tu-numero-telefono-probable-que-imagines-que-puedo-averiguar-ti
No hay comentarios:
Publicar un comentario