viernes, 29 de abril de 2016

No hace falta que tú lo hagas (5)

Ya en un post anterior comentaba que los listados de miembros de las mesas electorales contienen datos personales tales como el DNI o el nivel de estudios. Y quien quiera comprobarlo lo tiene muy fácil: le basta con buscar algo del tipo

ext:pdf "nivel de estudios" nombre identificador

.. y se encontrará con numerosos ejemplos.


La mayor parte de los mismos corresponden a plenos de ayuntamientos en los que se realizó el sorteo de composición de las mesas y la información que se presenta de cada una de los miembros de las mismas incluye nombre y apellidos, dirección, DNI... y nivel de estudios. Para este último dato se utiliza un código numérico que depende de la titulación académica de que disponga la persona.

A falta de localizar y poner aquí el enlace que lo documente apropiadamente (si lo hallo, lo pondré), creo recordar que los valores para el nivel de estudios eran:

1. Sin estudios
2. Con estudios primarios
3. Con estudios secundarios / bachiller
4. Con estudios universitarios

... de modo que la información no es que sea muy detallada, pero ayuda a seguir creando perfiles de las personas.

Hay ocasiones en que quienes publican este tipo de documentos cobran consciencia del impacto que la divulgación de los datos de carácter personal puede tener sobre la privacidad de sus titulares y hacen lo posible por evitarlo. Me llamó en especial la atención un resultado con que me encontré:

Si se descarga este documento, se puede apreciar que parte de su contenido ha sido "censurado" para evitar la divulgación de los datos:

Los rectángulos negros con fondo rojo son cosa mía. Lo que el documento traía "de serie" es el panel de color gris.

Chocamos aquí con una de las cosas que nunca me cansaré de decir: las pequeñas organizaciones, en general, y las Administraciones Públicas de pequeño tamaño, en particular, se enfrentan a serios problemas cuando quieren hacer un uso adecuado de las nuevas tecnologías. Y no hablemos de la seguridad de la información, que para eso necesitaría escribir un libro. El caso es que, quien haya observado con atención las dos últimas imágenes se habrá dado cuenta de algo: En el resultado de Google sí aparecían los datos personales.

Eso quiere decir que el rectángulo gris está tapando un texto que, a pesar de todo, está ahí. Y que puede obtenerse con poco trabajo. Una forma relativamente sencilla consistiría en abrir el fichero con un documento hexadecimal y hacer que el tamaño del rectángulo sea cero cuidando de no alterar el tamaño del documento, que los PDF son muy quisquillosos con eso:



Y...

Aprovecho la ocasión para repetirlo una vez más: las administraciones públicas pequeñas (o las que se empequeñecen a pesar de ser más grandes) lo tienen muy difícil. Asumen numerosas competencias, que a menudo no son suyas, son el punto de contacto con la ciudadanía, carecen de personal para realizar muchas tareas... pero no pueden dejar de hacer su trabajo. Es necesario que tengan un apoyo, un soporte, que les ayude, sobre todo en materias tan específicas como la seguridad de la información. Y no siempre pueden disponer del que merecerían.

Claro que no es éste el único dato relativo a la formación académica que puede encontrarse. Y una cosa que he ido observando es que cuanto mayor sea el nivel alcanzado más probable es que se puedan encontrar datos al respecto. Y cuando de la Universidad se trata, comienza a verse de todo.

Pero, dejemos eso para el próximo post. Que éste ya es algo largo y no es aconsejable cansar a la gente.



Publicado por en No hay comentarios:

miércoles, 27 de abril de 2016

No hace falta que tú lo hagas (4)

Confieso que varias veces me he planteado si escribir este post o no. Y que ya intenté comenzarlo en otra ocasión... y el resultado fue la anterior entrega de esta serie, que trata de un tema muy, muy distinto al que ahora tengo en mente.

Sigamos, pues, con el asunto de todos los datos que pueden andar por ahí sin que nosotros hayamos hecho nada y parémonos en la normativa española sobre protección de datos de carácter personal. La LOPD y todo eso.

Pero no quiero escribir sobre nuestros conocidos derechos ARCO ni nada parecido. Lo que me ocupa ahora es un par de ficheros que se definen en la LOPD. El primero de ellos es el censo promocional, regulado, entre otros, por el artículo 31 de esta ley orgánica:

Artículo 31. Censo promocional. 

1. Quienes pretendan realizar permanente o esporádicamente la actividad de recopilación de direcciones, reparto de documentos, publicidad, venta a distancia, prospección comercial u otras actividades análogas, podrán solicitar del Instituto Nacional de Estadística o de los órganos equivalentes de las Comunidades Autónomas una copia del censo promocional, formado con los datos de nombre, apellidos y domicilio que constan en el censo electoral.

2. El uso de cada lista de censo promocional tendrá un plazo de vigencia de un año. Transcurrido el plazo citado, la lista perderá su carácter de fuente de acceso público.

 3. Los procedimientos mediante los que los interesados podrán solicitar no aparecer en el censo promocional se regularán reglamentariamente. Entre estos procedimientos, que serán gratuitos para los interesados, se incluirá el documento de empadronamiento. Trimestralmente se editará una lista actualizada del censo promocional, excluyendo los nombres y domicilios de los que así lo hayan solicitado.

 4. Se podrá exigir una contraprestación por la facilitación de la citada lista en soporte informático.

Quien haya leído los posts anteriores de esta serie, y probablemente también quien no, necesitará pocos comentarios al respecto. La propia ley prevé que, salvo que pidamos lo contrario, nuestros datos de nombre, apellidos y dirección sean públicos.

Pero hasta donde yo sé (vaya por delante que no soy un experto en la materia), a estas alturas aún no se ha regulado el censo promocional, por lo que no se encuentra disponible. Por favor, si me equivoco, que alguien me corrija y actualizo los datos.

¿Más tranquilos? Vayamos ahora a la otra parte de la historia.

Las listas Robinson son ficheros en los que se inscriben aquellas personas que no desean recibir algún tipo (o cualquier tipo) de publicidad. Puede encontrarse una definición más formal en el artículo 49 del Real Decreto 1720/2007 que aprueba el reglamento de desarrollo de la LOPD:

Artículo 49. Ficheros comunes de exclusión del envío de comunicaciones comerciales.

1. Será posible la creación de ficheros comunes, de carácter general o sectorial, en los que sean objeto de tratamiento los datos de carácter personal que resulten necesarios para evitar el envío de comunicaciones comerciales a los interesados que manifiesten su negativa u oposición a recibir publicidad.

A tal efecto, los citados ficheros podrán contener los mínimos datos imprescindibles para identificar al afectado.

2. Cuando el afectado manifieste ante un concreto responsable su negativa u oposición a que sus datos sean tratados con fines de publicidad o prospección comercial, aquél deberá ser informado de la existencia de los ficheros comunes de exclusión generales o sectoriales, así como de la identidad de su responsable, su domicilio y la finalidad del tratamiento.

El afectado podrá solicitar su exclusión respecto de un fichero o tratamiento concreto o su inclusión en ficheros comunes de excluidos de carácter general o sectorial.

3. La entidad responsable del fichero común podrá tratar los datos de los interesados que hubieran manifestado su negativa u oposición al tratamiento de sus datos con fines de publicidad o prospección comercial, cumpliendo las restantes obligaciones establecidas en la Ley Orgánica 15/1999, de 13 de diciembre, y en el presente Reglamento.

4. Quienes pretendan efectuar un tratamiento relacionado con actividades de publicidad o prospección comercial deberán previamente consultar los ficheros comunes que pudieran afectar a su actuación, a fin de evitar que sean objeto de tratamiento los datos de los afectados que hubieran manifestado su oposición o negativa a ese tratamiento.

La Agencia Española de Protección de Datos nos indica en una de sus páginas cómo podemos acceder a la lista Robinson y cómo actuar si, a pesar de apuntarnos a ella, seguimos recibiendo publicidad.

En pocas palabras, existe una web, https://www.listarobinson.es, en la que uno se inscribe y gestiona qué publicidad desea o no desea recibir. Si después se recibe algo a lo que se dijo que no (en la práctica hay que esperar tres meses para que la inscripción sea efectiva), se puede denunciar a la Agencia Española de Protección de Datos para que multe a la empresa responsable.

La lista Robinson, que quienes quieren enviar publicidad deben consultar antes de hacerlo, no la gestiona la Agencia Española de Protección de Datos. La entidad responsable es la Asociación Española de la Economía Digital (adigital).

El el reglamento de la lista Robinson puede leerse como las entidades usuarias (los anunciantes y publicistas) pueden acceder a este registro:
Artículo 33.- De las modalidades de consulta 

1. Las entidades usuarias podrán consultar la información contenida en el fichero de Lista Robinson de acuerdo con la modalidad de pago o gratuita.

2. En la modalidad de acceso gratuito, las entidades usuarias podrán realizar a través de medios electrónicos el número de consultas manuales e individualizadas que mensualmente se determine de forma que podrán conocer si la información facilitada para la realización de la consulta coincide en cada uno de sus caracteres alfabéticos, numéricos, espacios y especiales que componen el nombre, apellidos, dirección postal, dirección electrónico y número de teléfono con la facilitada por los interesados al fichero de Lista Robinson, ofreciéndose como resultado de la consulta una respuesta sobre si existe o no dicha coincidencia, quedando debidamente registrada la información facilitada y el resultado de la consulta.

3. En la modalidad de acceso de pago anual o por descarga, las entidades usuarias podrán a través de medios electrónicos acceder al contenido integro de la información contenida en el fichero de Lista Robinson.

4. adigital podrá solicitar una contraprestación a las entidades que el usuario haya seleccionado con la finalidad de que adigital se ponga en contacto con las mismas a los efectos de cursar las solicitudes que los interesados envíen para manifestar su negativa al tratamiento de sus datos con la finalidad de enviar o recibir de las mismas comunicaciones comerciales no deseadas con carácter publicitario de sus productos o servicios a través de llamadas telefónicas fijas o móviles. 

O sea, pagando una cierta cantidad, que asciende a 300 euros cuando se escriben estas líneas, un anunciante puede hacerse con toda la lista Robinson que, al menos y según se indica en el punto 2, incluye nombre, apellidos, dirección postal, dirección electrónica y número de teléfono.

Veo bien que sea asequible si de guardarnos de la publicidad no deseada se trata. Pero no se me va de la cabeza la idea de que no todo el mundo es bueno.

Temo que habrá quien adquiera la lista, pero no con la idea de cumplir con la legalidad y evitar molestar a quien, por otro lado, posiblemente no le vaya a comprar nada. Que habrá a quien se le ocurra hacerlo para disponer de los datos de mucha gente y poder explotarlos de mil maneras distintas.

Demasiado golosa para esta mala gente sería una lista que, según Wikipedia, tenía hace ya cuatro años más de 223.000 personas inscritas.


REFERENCIAS
LOPD
Reglamento (R.D. 1720/2007)


Publicado por en No hay comentarios:

martes, 26 de abril de 2016

Dos años de Heartbleed

En este més que nos deja, abril de 2016, se cumplieron dos años de la presentación en sociedad de Heartbleed, esa vulnerabilidad en OpenSSL que hace posible la fuga de datos de todo tipo. Quien se quiera refrescar la memoria, puede visitar su página oficial en http://heartbleed.com/ y recordar los viejos tiempos.

El caso es que "siete meses y pico después" de que Heartbleed fuera dado a conocer pude echar un vistazo y comprobar que aún había muchos equipos afectados por este problema. Pero, claro, veinticuatro meses ya son demasiados. A estas alturas, y con el impacto mediático que tuvo Heartbleed, es de suponer que ya no habrá prácticamente ningún equipo vulnerable.

¿O sí lo habrá?

Ante la duda, inicié sesión en Shodan y, aprovechando que este buscador analiza la vulnerabilidad de la que hablamos, hice la siguiente consulta:

vuln:CVE-2014-0160


... y me salieron al paso 189.593 resultados. Casi ciento noventa mil equipos vulnerables a fecha de hoy.



Posiblemente algunos de ellos sean resultados repetidos. Equipos que cambiaron de dirección IP, quizá porque sus ISP hacen asignaciones dinámicas. Cosa poco probable en un servidor bien asentado, sí, pero no todos los equipos localizados pertenecen a esa categoría. En cualquier caso, aunque pudiera parecer poca cosa, el número es suficientemente grande como para seguir dando juego, mucho juego, a quienes quieran jugar sucio.

Y demuestra que a las vulnerabilidades les cuesta morir.

Sin ánimo de dar lecciones a nadie, pero queriéndolo dejar claro a quien quiera oír: eso de "si funciona, no lo toques" hay que interpretarlo de forma correcta. SI UN SISTEMA ES VULNERABLE, ENTONCES NO FUNCIONA BIEN Y HAY QUE TOCARLO.

Digo esto porque me temo mucho que, si pudiéramos mirar, no ya en Internet sino dentro de las redes de empresas y organizaciones, nos encontraríamos unos resultados mucho más preocupantes. Al fin y al cabo, otra de las ideas que suelen decirse en voz alta es que "eso no es tan grave, porque no está expuesto al exterior".
Publicado por en No hay comentarios:
Etiquetas:

No hace falta que tú lo hagas (3)

Como dije hace poco, son muchas las formas en que alguien puede obtener tu nombre y tu dirección. Puedes aparecer en Shodan (!), tener un negocio y usar tu vivienda como sede social y cosas por el estilo... e incluso aparecer en un listado de teléfonos. Por ejemplo, las páginas de información de Infobel han sido extensivamente indexadas por Google y permiten hacer búsquedas directas por apellidos, o por apellidos y nombre, como

site:infobel.com "Gomez"

O, si se desea evitar la información sobre empresas

site:infobel.com "Gomez" inurl:people"


Y muchas veces se obtiene resultados:

La conculta se puede hacer por direcciones o códigos postales (Infobel no les pone en sus páginas ningún tipo de punto separador) o incluso teléfonos (los dígitos aparecen agrupados de tres en tres), proporcionando la página localizada, en su caso, el resto de datos:

Otro sitio similar, en el que buscar con Google (sobre todo, con Google) o por el que navegar es OpenDi, el "directorio abierto", y su listín telefónico accesible a través de la URL http://tel.opendi.es/


De nuevo, aquí es posible añadir criterios de dirección, código postal, hacer búsquedas por teléfono (en los títulos, el número de teléfono aparece sin ningún tipo de separador ni código de país, ...

Sin ánimo de hacer una lista exhaustiva de servicios como éstos, mencionaremos aquí algunos más. Como http://es.411num.com/,  http://www.abctelefonos.com,  http://plusdireccion.es, todos ellos bien indexaditos por Google además de que puedan tener sus mecanismos propios de consulta.

O como http://blancas.guias11811.es, o http://guias11899.es, que no te dan directamente el teléfono sino que te indican que puedes obtenerlo llamando a un número de pago... cuando el teléfono figura en el código fuente de la página, de forma oculta a los seres humanos, pero no a los buscadores, permitiendo de nuevo esas búsquedas inversas tan nocivas para la privacidad.

O, finalmente como http://www.directoriotelefonico4.com, servidor que mis DNS no me resuelven pero cuya IP puede obtenerse mediante servicios online y que sigue operativo, indexado por Google y otros buscadores y accesible desde vaya usted a saber dónde para proporcionar a quién sabe quién datos de ciudadanos españoles.

Alguien, con preocupación por cómo esto afecta a la privacidad de las personas, se preguntará si hay mucha gente cuyos datos figuren en sitios como éstos.  A ver.... He buscado en Google 
site:infobel.com inurl:spain/people

Y me dice que tiene 1.770.000 resultados. Más de un millón y tres cuartos. Algunos menos serán y quizá no todo esté actualizado. Sí,  pero incluso así....

Finalmente, por poner unos listines de teléfonos del tipo "de toda la vida", citaré a https://www.axesor.es/GuiaTelefonica, o http://blancas.paginasamarillas.es que, aunque no están indexadas (¡bien!), tienen su propio buscador

Añadimos otro item a la lista de cosas que pueden andar por ahí incluso si tú nunca las pusiste en ningún sitio. Y, por ahora, tenemos:
  • DNI
  • Nombre y apellidos
  • Dirección
  • Características de tu vivienda
  • Teléfono
  • Tu proveedor de Internet
  • Tu dirección IP
  • Datos de tu router (lo que revele éste en sus respuestas: marca, modelo, ...)
Y, pronto, mas....

Publicado por en No hay comentarios:

lunes, 25 de abril de 2016

No hace falta que tú lo hagas (2)

Sigamos con nuestra serie de posts sobre "no te molestes en poner tus datos online, que otro los harán por ti".

En el anterior se vio una de las múltiples formas en que nuestro nombre y apellidos, nuestra dirección, el proveedor de acceso a Internet que usamos, nuestra IP y otros detalles de nuestro router pueden quedar expuestos al público. Y no es poco.

Saber cuál es nuestra vivienda puede aportar a terceros datos sobre nuestro nivel y/o estilo de vida. Para empezar, las bastaría con echar un vistazo a la fachada y alrededores con Google Street View o similares. Pero se puede ir más allá. Mucho más allá.

En España, la URL de la Sede Electrónica del Catastro es
https://www.sedecatastro.gob.es/

... y entre sus servicios de acceso libre, aquellos que no requieren identificación, se encuentra la consulta de datos catastrales

Esta consulta nos permite, a partir de una referencia catastral o una dirección postal, obtener los datos "físicos" de un edificio o una vivienda. En otras palabras: una foto de la fachada, cuántos metros cuadrados tiene, cómo se reparten, si se trata de una vivienda unifamiliar o de un bloque de pisos y, en el último caso, qué porcentaje de propiedad del edificio corresponde, etc. 

En el apartado de "Cartografía" se puede acceder a la información geoespacial y a croquis básicos por plantas de los edificios en formato PDF. Ahí os dejo un ejemplo de vivienda "poco habitual". A ver si alguien adivina cuál:

Y si te cuesta aclararte con las direcciones, hay una herramienta llamada GoolZoom (http://es.goolzoom.com/) que integra datos del Catastro y de SigPAC con Google Maps:

Haces clic en un punto del mapa, te aparece la referencia catastral, haces clic en ella y... ¡listo!

Y ahora que saben cómo es tu vivienda... ¿Qué más pueden averiguar? Sigamos.

¿Has participado en alguna mesa electoral? ¿Quizá te pusieron una multa y te la tuvieron que notificar publicando en un boletín oficial? ¿Te han dado alguna ayuda, premio o beca? ¿Se publicó algún nombramiento tuyo para algún puesto de trabajo de una administración pública?

Si respondiste "SÍ" a alguna de las preguntas anteriores, es más que probable que tu DNI esté publicado en algún boletín oficial o en el acta de pleno de tu ayuntamiento o, si perteneces a alguna administración pública, quizá en el listado de asistentes a algún curso organizado por ésta:

En la imagen anterior, correspondiente a una mesa electoral, aparece incluso el nivel de estudios de la persona.

Bueno. Pues por ahora pueden saber de ti ya algunas cosas sin que tú las hayas publicado:
  • DNI
  • Nombre y apellidos
  • Dirección
  • Características de tu vivienda
  • Tu proveedor de Internet
  • Tu dirección IP
  • Datos de tu router (lo que revele éste: marca, modelo, ...)
Y esto acaba de empezar
Publicado por en No hay comentarios:

domingo, 24 de abril de 2016

No hace falta que tú lo hagas (1)

Cada cual se toma la privacidad a su manera. Hay quien comparte su vida en directo sin problema alguno y quien, recelando o por precaución, desea proteger su intimidad y se manteniene al margen de cuanto huela a red social o a recogida de datos.

Pero la información es escurridiza y traviesa. Y, una vez que se genera, nadie sabe dónde podrá acabar. Empecemos con un ejemplo.

Si andas por aquí, seguro que habrás oído hablar de Shodan. "El buscador para la Internet de las Cosas". Una herramienta con la que es fácil localizar cualquier tipo de dispositivo: desde cámaras de videovigilancia a sistemas SCADA, pasando por servidores, routers o centralitas telefónicas.

Y, alguien tenía que decirlo, también personas. Para muestra, un botón: basta con inciar sesión en Shodan (si no, no tendrás acceso a filtros) y buscar algo como

gomez country:ES

... para localizar equipos ubicados en España que en sus respuestas a Shodan incluyeron el apellido "Gómez", bastante común por aquí:

Como puede observarse, se trata de un servicio FTP en cuyo banner aparece un nombre completo. Y no se trata de un caso aislado. Ocurre más con unas compañías que con otras, pero a veces los routers  (casi siempre se trata de routers) ofrecen un nombre de persona en su respuesta en protocolos como FTP, HTTP o HTTPS, SNMP, SMB, etc. 



Disculpad que oculte en este caso el ISP que da conexión a estas personas, pero no quisiera poner las cosas más fáciles de la cuenta a ningún desaprensivo.

¿Que quiénes serán esas personas? Creo que no hay que pensarlo demasiado antes de responder que, con bastante probabilidad, puede que se trate de los titulares de las conexiones de datos. En pocas palabras, en cada caso, el cliente a quien ese router da servicio.

Como puede observarse, a veces ponen el nombre completo. Otras omiten los apellidos y ponen la dirección. Otras... lo ponen todo. Para comprobarlo se puede navegar por los resultados de la consulta anterior o bien probar con una nueva como:

country:ES gomez c

... donde la letra "c" del final trata de localizar la conocida forma abreviada de la palabra "calle" en las  direcciones postales:

Supongo que quienes pusieron estos datos ahí pensaban: "¿y quién va a mirar lo que yo pueda consignar en los banners de las respuestas de estos protocolos?". Pues mira tú por donde...

¿Y para qué? Pues saberlo no lo sé, pero de lo que estoy seguro es que si alguna vez el servicio técnico de mi ISP me pide que les confirme mi nombre o mi dirección mientras están conectándose a mi router... me echaré a temblar.

Sea como sea, la moraleja de lo que llevamos visto es que, sin que tú hagas nada, tu nombre, tu dirección, el proveedor de acceso a Internet que usas, el router que tienes en casa y tu IP podrían ser cosa pública.

Y la cosa no acaba aquí...
Publicado por en No hay comentarios:

viernes, 22 de abril de 2016

Tarjeta amarilla

Hay cosas curiosas.

Para acceder al correo electrónico ponemos contraseñas de ocho o más caracteres, con requisitos de complejidad cada vez más exigentes. Incluso hay quien las cambia regularmente. O, al menos, de vez en cuando. Y no falta quien se decide a utilizar la autenticación con dos factores.

Y después, cuando toca proteger el uso de la tarjeta bancaria, lo habitual es contentarse con un PIN de cuatro dígitos. Que lo normal es no cambiar nunca.

Sí, es cierto que lo normal es que la tarjeta quede bloqueada si se producen tres intentos fallidos. Pero eso no termina de convencerme de que un espacio de 10.000 (diez mil) contraseñas es lo suficientemente grande. Sobre todo porque, en materia de contraseñas y PINs, eso de la entropía no funciona como debiera.

DataGenetics publicó en 2.012 un intersante estudio sobre los PINs de  tarjetas bancarias más utilizados. Quien tenga interés en leerlo puede pasarse por:
http://www.datagenetics.com/blog/september32012/

Resumiendo mucho, la idea es que tendemos a elegir ciertos PINs, igual que nos pasa con las contraseñas. Vaya ahí una tabla de los más utilizados:

PIN PORCENTAJE
1234 10,713
1111 6,016
0000 1,881
1212 1,197
7777 0,745
1004 0,616
2000 0,613
4444 0,526
2222 0,516
6969 0,512
9999 0,451
3333 0,419
5555 0,395
6666 0,391
1122 0,366
1313 0,304
8888 0,303
4321 0,293
2001 0,290
1010 0,285


Con estos datos en la mano, se puede calcular que probando quince PINs se abrirían las puertas de casi una cuarta parte de las tarjetas que hay por ahí sueltas. Más aún, una sexta parte de las tarjetas tienen uno de los dos primeros PINs.

Y, aunque la información presentada en el artículo pudiera contener errores o basarse en una muestra no suficientemente grande, está claro que la tendencia está ahí.

De modo que un delincuente que dispusiera de una serie de tarjetas podría probar con ellas a través de Internet los dos PINs más comunes. Es le bastaría para conseguir operar con algunas de ellas. Para el resto... habría que esperar unos días. Los suficientes para que el legítimo propietario realizara alguna operación, introduciendo el PIN correcto con lo que el contador de errores se volvería a poner a cero. Y entonces se podrían probar otros dos códigos de acceso. Y repetir el proceso mientras sea rentable.

Condiméntese este procedimiento con el uso de técnicas y herramientas como una botnet con la que no levantar sospechas y el resultado podría ser devastador. Es la herencia que dejan los teclados de los cajeros automáticos, con su pinta de calculadora, nuestra tendencia a buscar cosas fáciles que memorizar y el que ahora tengamos en Internet aquello que antes sólo existía en el mundo físico.

Pero hace poco tuve una experiencia que me dejó más preocupado aún. Estaba yo en casa de alguien y llegó su pareja.

No. No me preocupó que llegara su pareja. Lo que me dio miedo fue la conversación que oí:
- Cariño, tienes carta de <póngase aquí el nombre de cierta entidad emisora de tarjetas>.
- Ah, sí. Es que metí mal varias veces el PIN y bloqueé la tarjeta. Así que pedí que me mandaran un nuevo PIN.
- Pues aquí tienes.

Saber que el PIN había viajado por correo ordinario ya me dejó boquiabierto. Pero lo mejor estaba por venir:
- ¡Ah, claro! ¡Éste era mi PIN!

Pedí que me lo confirmara y había entendido bien: No le habían cambiado el PIN. Le habían enviado por correo su PIN "de toda la vida". El que había estado usando hasta pocos días antes, cuando se equivocó y metió otro varias veces.

O sea: que la entidad emisora conoce el PIN de la tarjeta. Y que lo guarda en algún sitio en texto claro o, al menos, texto descifrable.

Y eso me da que pensar. Si tu PIN no es tu PIN, tu dinero puede dejar de ser tu dinero.
Publicado por en No hay comentarios:
Etiquetas:
Suscribirse a: Entradas (Atom)