Cómo secuestrar la identidad digital de una persona

Hoy les vamos a mostrar el impacto que tiene perder su terminal móvil Android y no disponer de un código de seguridad o patrón de bloqueo robustos. Como se pueden imaginar por el título del post, la consecuencia va a ser el secuestro o suplantación de la identidad digital de la persona afectada. Comencemos...

Supongamos que soy una persona terriblemente malévola y que me he encontrado un teléfono Samsung Galaxy S4 en una butaca a la salida del cine. Este smartphone no dispone de bloqueo, por lo que a priori, lo primero que se me ocurre es que puedo llamar a mi novia en USA sin pagar ni un céntimo. Pues bien, esto es de lo mejor que le podría pasar a la pobre persona que ha perdido una parte de su cuerpo. Digo esto porque hoy en día nuestra vida completa la llevamos en el bolsillo convirtiéndose en una parte más de nuestro organismo, creando una necesidad que roza lo absurdo (conozco gente que duerme abrazada a su teléfono).

Lo siguiente que se me ocurre que se podría hacer es robar la cuenta de Gmail/Google de la siguiente manera:

• 1.   Obtengo la dirección de correo electrónico asociada en el terminal móvil, simplemente abriendo la aplicación de Gmail.

• 2.   Lanzamos los formularios de recuperación de contraseña a través de un navegador web en un ordenador. Haciendo click en ¿Necesitas ayuda? y posteriormente en "he olvidado mi contraseña", le introducimos el correo electrónico que hemos obtenido en el paso 1.

• 3.   El asistente nos pregunta si recordamos alguna contraseña anterior, por lo que le diremos que "No lo sé".

• 4. A continuación Google nos deja elegir entre enviarnos a otra cuenta de correo electrónico el proceso de recuperación o... continuar a través del teléfono móvil asociado a la cuenta. Pincharemos en esta última.

• 5. En este punto en nuestro ordenador aparece un aviso indicando que debemos autorizar a través del móvil, el cambio de contraseña. Siendo esta solicitud válida durante 10 minutos.

• 6.   Al instante en el terminal sustraído aparecen una serie de mensajes como los siguientes:

• 7.   Tras simplemente darle a "Permitir" podemos establecer la contraseña que nosotros queramos en el ordenador,obteniendo el control total de la cuenta de Google.

¿Pero que podemos hacer con una cuenta de Google? Por el momento acceder a todos los servicios asociados: Google+, GoogleDocs, Gmail, etc. Pero quizá uno de los más interesantes para un atacante pueda ser el Google Wallet, el cual te permite comprar productos, como: teléfonos móviles, tabletas, música o aplicaciones entre otros.

¿Y qué tal si para probar compramos un Nexus 5? Tras hacer login en la web de Google Wallet y añadir una nueva dirección de envío (la mía claro), procedemos a hacer la compra:



Ya tengo un segundo móvil nuevo, pero continuemos para bingo, lo siguiente que haríamos es secuestrarle las cuentas de sus redes sociales, por ejemplo vamos a probar con Facebook, siendo aplicable al resto de ellas (LinkedIn, Twitter...).

Aquí podemos hacer 2 cosas para obtener el usuario de Facebook, o bien mirarlo en la propia aplicación del móvil sustraído o utilizar un pequeño truco en la página web de esta red social. El truco consiste en dado un correo electrónico obtener su usuario asociado, utilizando para ello el formulario de "¿Has olvidado tu contraseña?"



Como ejemplo he utilizado un correo electrónico totalmente aleatorio No tienes permitido ver los links. Registrarse o Entrar a mi cuenta el cual dada la gran cantidad de usuarios que Facebook posee existe como perfil. Animo al lector cuando se aburra a introducir algunos de forma aleatoria, suele ser interesante ver las fotos y nombres que la gente se pone.

En nuestro caso no hubiéramos puesto el correo de "peter12" sino la cuenta de Gmail obtenida del teléfono. Como pueden ver en la imagen anterior, en la segunda opción nos invita a enviarnos un enlace de cambio de contraseña a nuestra cuenta de correo previamente secuestrada. Magnífico ya tenemos su Facebook, nuevamente ¿qué podemos hacer con una cuenta de Facebook...? Pues en primer lugar tocarle el bolsillo por ejemplo comprando en su nombre servicios de esta red (siempre que tuviera claro, la tarjeta de crédito previamente introducida).


¿Qué más se puede hacer con una cuenta de Facebook?, pues como esto de la autenticación con una única cuenta está de moda y gracias a esta red social es posible hacer login con sus credenciales en numerosas Webs, vamos por ejemplo a secuestrarle su cuenta de Spotify. Destacar que podríamos hacernos con cualquier servicio que utilice Facebook como validador.


Pero no todo queda aquí, ¿y si vamos ahora a por su operador móvil?

Seguimos con la sangría, después de suplantar su identidad en Gmail, en Facebook y en Spotify, en las dos entradas anteriores de esta serie.

Ahora vamos ahora a por su operador móvil, en este punto, el proceso de recuperación de contraseña es todavía más fácil, ya que nos va a remitir la compañía ¡un SMS gratuito! (¡bien! por lo menos no le cobraran al pobre chaval), mediante el cual se podrá acceder a la parte de gestión de la cuenta.


Y... ¿qué se puede hacer en la parte de clientes...? No me va hacer falta ni escribirlo ahí lo tienen:


De este servicio nos puede interesar la obtención de su DNI, para hacer posibles logins en otras Webs o incluso sustraer parte de su número de cuenta bancaría.


No voy a comentar ni siquiera el peligro que tiene hacerse con la cuanta de Amazon... pero ahí va lo que necesitas para "recuperar/secuestrar" una cuenta...


Por último porque esto puede ser un no parar, vamos a por los servicios de la administración pública No tienes permitido ver los links. Registrarse o Entrar a mi cuenta, esto es lo necesario para poder recuperar la contraseña del usuario:


Recordar también, la importancia de establecer un código o patrón de acceso al terminal y proceder a su borrado remoto en caso de pérdida.

Fuente: securityartwork

Bastante completo el manual, la verdad que aveces olvidamos o desconocemos lo vulnerable que esta nuestra información y todo lo que se puede hacer con ella.
Buen post.
Saludos,, Cronos.-

Excelente informacion, sin duda ahy que tener cuidado con esto.

Muy bueno el aporte; contribuye a la paranoia, que ni veas.



Gabi