- Especialistas en ciberseguridad del Instituto Tecnológico de Nueva Jersey apuntan a la forma en que ciberdelincuentes acceden a tus datos.
- Los estafadores son capaces de identificar a usuarios anónimos una vez que dan clic en un enlace.
- Para descubrir el método, los especialistas usaron algoritmos de aprendizaje automático e información accesible de la víctima.
- ¿Ya conoces nuestra cuenta en Instagram? Síguenos
El escándalo Pegasus puso de relieve el interés que tanto mafias de ciberdelincuentes como estados enteros tienen por desanonimizar a los internautas. La industria de los programas espías sigue al alza, y a medida que la huella que los usuarios generan en la red sigue ensanchándose, también lo hacen las técnicas para rastrearlas.
Una de estas técnicas la acaban de descubrir investigadores del Instituto Tecnológico de Nueva Jersey, en Estados Unidos. Aunque presentarán los detalles de su hallazgo en una conferencia en Boston llamada Usenix Security Symposium, en agosto, Wired ha accedido a algunos detalles de la misma.
De hecho, la técnica, en apariencia sencilla, es bastante sofisticada. Lo único que necesitan los atacantes es tener el control de una página web; también, la capacidad de engañar a sus potenciales víctimas para que entren en ella. Gracias a las herramientas que han desarrollado, los ciberdelincuentes que tienen acceso a esta herramienta pueden desanonimizar a sus víctimas una vez la visiten.
Para eso, necesitan tener un listado previo de potenciales identidades. El caso de uso teórico —que exponen los investigadores y que recoge Wired— es un foro de activistas en el que, aunque los usuarios usan pseudónimos para interactuar, la policía sospecha de las identidades de varios de ellos.
Las autoridades lo único que tendrían que postear sería un contenido que redirija a esa página web maliciosa. De la misma manera que en Dropbox o Google Drive solo determinadas personas pueden acceder a un contenido —en función de si la persona que lo subió les ha dado acceso— la policía puede hacer lo propio.
Los ciberdelincuentes sacan del anonimato a los internautas con este método
Si un usuario con su pseudónimo accede al contenido, lo puede ver, navegar sobre él, significará que las autoridades lograron hacer match entre ese internauta sin identificar y una de esas identidades que hubiesen recopilado previamente de plataformas y redes sociales como Facebook. Se acabó su anonimato.
El funcionamiento es muy sofisticado, aunque la analogía puede servir:
- El ciberdelincuente puede incrustar una foto subida a un Google Drive
- Luego, la comparte únicamente con una cuenta de correo electrónico de potencial interés
- Después, se puede comprobar si el propietario de esa cuenta de correo es uno de los usuarios anónimos que pueblan el foro
Debido a las opciones de privacidad en este caso de Google, es imposible saber si la cuenta destinataria puede ver el contenido. Pero los investigadores en cuestión descubrieron que pueden analizar información accesible de su navegador; así como el comportamiento de su procesador y las peticiones que realizó su equipo informático para ver el contenido.
La estrategia es conocida como «ataque de canal lateral». En ella, los expertos consiguieron mejorar su eficacia gracias a algoritmos de aprendizaje automático. Con estos, consiguen catalogar todos esos datos sobre el navegador y el procesador de las potenciales víctimas en función de si la información es útil o no.
Los ciberdelincuentes pueden revelar tu identidad en sitios web que te gustan
«Si eres un usuario de internet medio, no pensarás demasiado en tu privacidad cuando visitas alguna página web», explica a Wired Reza Curtmola, uno de los investigadores de este estudio. También es profesor de ciencias de la computación en el Instituto Tecnológico de Nueva Jersey. «Pero hay algunos usuarios que se pueden ver mucho más afectados por la pérdida de privacidad».
«Por ejemplo, personas que organizan o participan en protestas políticas, periodistas o personas que simplemente quieren tejer redes con sus colegas y sus afines de una minoría. Y lo que hace muy peligrosos este tipo de ataques es que son muy discretos: simplemente visitas una página web y no tienes ni idea de que tu información se ha visto expuesta», advierte.
Junto con los resultados de investigación, los expertos también desarrollaron una extensión para navegadores. Esta ayuda a proteger toda esa información que puede desvelar tu identidad.
Por el momento, grandes navegadores como Chrome o Firefox no han reaccionado a estos hallazgos; y Curtmola incluso sugiere que la solución puede estar en el proceso de diseño y manufactura de semiconductores. Los investigadores ya están en contacto con el consorcio de la World Wide Web para abordar este nuevo problema.
Confían en que se encontrarán soluciones, aunque advierten que los proveedores tienen que comprobar primero que este es un agujero lo suficientemente grave y preocupante como para destinar recursos a cerrarlo. «Debemos convencerles», apunta.
AHORA LEE: El trabajo remoto no es para todos —a la generación Z no le gusta
TAMBIÉN LEE: Qué es la discriminación laboral, cuáles son sus características y cómo puedes denunciarla
