Share on Google+Share on FacebookTweet about this on Twitter

“¿Tienes un iPhone o un iPad? Quizás no lo sepas, pero es posible que en este mismo momento te haya robado, sin que tu lo sepas jamás, toda la información personal que tenías en él, desde la agenda, fotos, música… o puede simplemente que me haya entretenido en realizar llamadas o enviar SMS desde tu iPhone para beneficio propio.”

Este, señores, podría ser perfectamente el mensaje que podríamos hacer que les apareciese en la pantalla a muchos usuarios de iPhone/iPad, que confiadamente creen que su teléfono o su teléfono gigante (iPad) es un producto seguro. En otras ocasiones muchos me habéis escuchado decir que si iPhone es una porquería, que si iPhone es inseguro, que si Apple hace las cosas mal… el problema es que el lector que no comparte dicha opinión (ya sea porque tiene un iPhone, tiene otros conocimientos o simplemente otro punto de vista) cree que son exageraciones, o simplemente que este humilde “redactor” es un poco engreído o tiene una cruzada contra Apple.

Así pues, he comenzado a jugar a un juego que le he llamado: “Búsqueda y Captura de iOS”. Pero tranquilidad, en realidad he sido benevolente (sin contar que es lo que la legalidad me deja), y este juego al final no tendrá consecuencia alguna para nadie (excluyendo quizás la imagen de Apple). Y digo esto y quiero dejarlo muy claro, que del mismo modo que estoy jugando a “Búsqueda y Captura” podría haber comenzado a jugar un poco más fuerte, y nombre del juego sería “Búsqueda, Captura y Secuestro”. El juego tendrá dos partes, como su propio nombre indica: Búsqueda de iPhones/iPad y su “captura”. En realidad el término “Captura” sería más bien como “blanco fijado y preparado para disparar”.

Primero, aprovechando parte del trabajo que realicé en el artículo anterior sobre la seguridad de las redes españolas voy a realizar una búsqueda (no demasiado exhaustiva) de los iPhone e iPad que se encuentran conectados a redes de datos 3G/3G+. Evidentemente esto deja a no pocos iPhone/iPad fuera de esta búsqueda, pero aun así los datos recogidos pueden ser relativamente interesantes… serán quizás cientos? serán miles? decenas de miles? Cuantos iPhone/iPad hay actualmente en España? Por “suerte” la gran mayoría de usuarios de iPhone e iPad tienen contratos leoninos con los operadores, los cuales les obligan a tener conexiones 3G. Pues bien, digamos que prácticamente cualquier iPhone o iPad conectado a 3G será registrado, esto excluye por definición a los iPhone 2G o cualquier iPhone conectado a WIFI o sin plan de datos. Que porcentaje de iPhones/iPad quedará cubierto entonces? No creo que sea posible saberlo, pero en realidad tampoco es importante desde el objetivo de este juego, dado que cuando pasemos a la segunda parte, si podremos comparar entre porcentajes de ambas partes. El objetivo por tanto de esta primera parte es claro y evidente: Localizar la mayor cantidad de iPhone e iPad que se encuentran en España. Gracias Apple por hacerme el trabajo tan fácil.

Segundo, dado que es relativamente sencillo realizar dicha búsqueda, que menos que aprovecharla no solo para decir: En España he logrado encontrar X iPhone y Z iPads. Ya que puedo localizar unos miles, decenas de miles o cientos de miles de iPhones e iPads, puedo de paso digamos “llamar a la puerta” de cada uno de ellos y comprobar si la puerta está abierta o si me quieren abrir. Hasta este punto todo entraría dentro de la legalidad. Ahora bien, la diferencia radica en que si veo que la puerta está abierta y simplemente anoto su dirección y referencia (y me doy la vuelta), es legal. Si en cambio cruzo la puerta ya no es legal. Es decir, voy a llamar gentilmente a la puerta de unos cuantos de miles o cientos de miles de iPhone e iPad en España, voy a cargar la pistola y al final tan solo dispararé un poco de fogueo. Vale, para quien no le guste las metáforas, más simple: En esta segunda parte voy a ver simplemente con cuantos de esos iPhone e iPad (localizados en la primera parte) puedo/podría lograr un control total, sobre dichos dispositivos claro está.

Encendemos las noticias o leemos el periódico, escuchamos/leemos que nuestros datos pueden estar expuestos, que pueden robarnos información… pero lo gracioso de todo es que rara vez el usuario hace algo. Lejos de hacer algo o de preocuparse de si su dispositivo es seguro, prefiere ir a la tienda y comprarse lo primero que le aconsejan o le gusta. A fin de cuenta, lo que dicen los medios, los periódicos o los blog de algún loco (como un servidor) sobre la importancia de la seguridad, parece que es algo que jamás les afectará a ellos, a fin de cuenta cuantos hackers hay en el mundo? Y por descontado que los que haya están entretenidos en acceder a datos de personas más importantes. ¿Seguro señores? Hay una diferencia muy grande entre lo que se puede hacer, se hace y de que es de lo que realmente se entera uno. Cualquier dispositivo con iOS de los que he citado que se encontrase a merced, se le podría hacer lo que uno quisiese, desde realizar llamadas al extranjero, enviar SMS, copiar de ellos la información que deseásemos… o simplemente eliminarle de sus terminales todo aquello que nos apeteciese en ese momento. Por supuesto la imaginación es el límite, podríamos usar el GPS para conocer la ubicación exacta de dicha persona, robar datos de sus cuentas de correo… en fin, creo que nos hacemos más o menos una idea.

Muchos pueden creer que este tipo de cosas son ciencia ficción, que simplemente nadie se molesta en ello o que como digo hay que ser un gran Hacker para llevar a cabo una hazaña así. Pues señores, no es así. Personalmente no me considero un Hacker, y sin embargo me resultaría tremendamente sencillo bloquear o robar la información que desease de unos cuantos de miles de iPhone de toda España. Claro aquí es donde entran los porcentajes y la importancia real de la seguridad. Todo es cuestión de números. Si logramos encontrar un fallo de seguridad, aunque tan solo afecte a por ejemplo un 1% de la población mundial, estaría afectando a más de 60 millones de personas. Pensar por un momento lo que sería tener la agenda o el control de aunque fuese tan solo 1.000 iPhones, 1000 vidas que hay detrás de ellos con sus secretos, su intimidad, sus trabajos o estudios, sus… Aunque solo fuesen 1.000 afectados o 100!! El daño que se puede producir es descomunal. Es por eso y no por otra cosa por la que la seguridad debe de ser un pilar tan importante… y más aun la educación de las personas en dichas lides.

Volviendo al tema que nos atañe, puedo decir que el juego ya ha empezado ;), en este caso por Orange, aunque el plato fuerte sin duda alguna será Movistar. ¿Ahora mismo? Pues digamos que apenas he comenzado por Orange, y ahora mismo ya se deben de contar por centenas. ¿Cuando termine el juego? Bueno, al igual que en el artículo anterior daré los datos obtenidos en forma de números y porcentajes, no en forma de IPs. Es cuestión de ser prudente, cualquier lector comprenderá que si saco un listado de los iPhone de España en los que en ese momento son completamente vulnerables y como tener control total sobre ellos, más de uno le va a faltar el tiempo para hacer cosas que no debería de hacer, y quien piense que no es así es que no conoce como funciona esa… ideosincrasia tan especial que muchos tienen en este país. De todos modos dar la información no es ningún delito, así que cuando llegue el momento estudiaré que publico o que no publico. A fin de cuenta también puede ser divertido…

Continuará…