He estado viendo en estos días la serie “Person of Interest”
en la cual el Gobierno de estados Unidos ha desarrollado una “maquina” para
prevenir atentados terroristas. Los héroes de la serie utilizan los datos proporcionados “la maquina”
para luchar contra el crimen organizado y salvar vidas en peligro.
Hasta qué punto esta máquina existe? O solo es producto la imaginación
febril de Jonathan Nolan?. Y si la maquina aún no se ha construido, cuanto nos
falta?. Investigando por la red encontré el siguiente trabajo:
Lo que la dirección IP puede revelar sobre nosotros
Resumen
de un Informe elaborado por la Subdirección de Análisis Tecnológico de
la Oficina del Comisionado de Privacidad de Canadá.
En
general, los resultados llevan a la conclusión de que, a diferencia del
simple conocimiento del número de teléfono de una persona, los
elementos aquí examinados se pueden utilizar para realizar un retrato
muy detallado de esa persona, aportando información sobre sus
actividades, gustos, inclinaciones y hábitos diarios.
Metodología: ¿Cómo llevamos a cabo nuestro trabajo?
Nuestra investigación supuso la determinación del tipo de información que se podía encontrar partiendo de la dirección IP:
1.-
Utilizar la dirección IP del proxy web OPC, así como la dirección IP de
un activo colaborador en la redacción de la Wikipedia;
2.-
Comprobando la propiedad de la dirección IP, incluidas las entradas de
registro, con herramientas como WHOIS ( un servicio en línea utilizado
por ejemplo en la consulta de bases de datos por usuarios registrados…)
3.- Geolocalización mediante búsqueda y localización de la red a partir de la dirección IP;
4.-
Utilizar la dirección IP como término de búsqueda en diferentes
navegadores, por ejemplo, Google (entradas en el servidor de registros,
contribuciones en foros en línea).
Mediante
la combinación de todos estos pasos, fue posible construir el perfil de
una persona o de un grupo asociado a una dirección IP.
Algunos de estos ejemplos se describen aquí
Una
vez que la dirección IP, la dirección de correo electrónico o el número
de teléfono han sido descubiertos, no se necesita de ningún equipo
especial o de software para realizar estas pruebas. Hay una gran
variedad de servicios disponibles en la web para obtener información a
partir de los anteriores datos (dirección IP, correo electrónico o
número de teléfono). También hay servicios que permiten la búsqueda de
información a partir de estos datos, incluso información sobre
geolocalización. Servicios como Google y Bing pueden ser una poderosa
herramienta utilizando estos elementos de información para utilizarlos
en los términos de búsqueda.
1.- Número de teléfono y dirección de correo electrónico
A partir de un teléfono fijo o móvil se puede obtener una gran variedad de información acerca de una persona:
* El nombre y la dirección asociada a ese número de teléfono (con herramientas como
www.411.com);
*
Acceso a cualquier documento de acceso público que incluya ese número
de teléfono, incluyéndose blogs, debates en foros, registros financieros
o médicos, et;
* los registros de dominio asociados con ese número de teléfono.
Al
igual que el número de teléfono, una dirección de correo electrónico
también conduce a una variedad de información sobre una persona:
* Nombre real, si se utiliza en la dirección de correo electrónico o que aparezca asociado con él;
*
El registro de servicios que utilizan esa dirección de correo. Para
algunos servicios ( Por ejemplo, LinkedIn), la dirección de correo
electrónico funciona como nombre de usuario;
* cualquier dominio que esté registrado utilizando esa dirección de correo electrónico;
*
Las actividades de Internet o documentos, incluyendo correos
electrónicos, que contenga la dirección de correo y que posteriormente
sea indexada en los motores de búsqueda;
* Las amistades de las redes sociales;
*
empresas en las que se ha trabajado (por ejemplo, si la dirección de
correo electrónico aparece en un currículum publicado en línea).
Lo que encontramos
Los
resultados de las pruebas llevada a cabo durante este análisis fueron
bastante reveladores y podían conducir a la identificación de una
persona. Para proteger la privacidad, y reducir el riesgo de
identificación o identificación errónea de una persona, de los
resultados presentados en los ejemplos que aparecen a continuación se
han eliminado ciertos datos ( por ejemplo, la dirección IP, sitios web,
temas específicos de búsqueda, direcciones URL, etc) en lo medida de lo
posible.
Los resultados revelaron:
* El nombre real de la persona;
* El proveedor de los servicios de telecomunicaciones móviles de la persona;
* los sitios web personales y los registros de dominio;
* Datos de relación con una Universidad
* Contribuciones en los foros de discusión en Internet, conferencias…
* Participación en grupos de interés locales sobre cuestiones técnicas.
2.- Dirección IP: observaciones generales sobre la funcionalidad de la dirección IP.
El
conocimiento de una dirección IP permite que un buscador obtenga
información sobre una red, dispositivo o servicio. En concreto se puede:
*
Determinar quién posee y opera la red. Búsqueda en la base de datos
WHOIS usando la dirección IP puede proporcionar información sobre la
persona, que a su vez puede poner de manifiesto sus afiliaciones a
organizaciones) u organización, incluyendo nombre, número de teléfono y
dirección.
*
Realizando una búsqueda inversa ( una dirección IP asociada a un nombre
de dominio) para obtener un nombre de equipo, que a menudo contiene
pistas sobre la ubicación física o lógica;
*
Realizar un Traceroute ( una herramienta de diagnóstico que permite la
visualización de la ruta de paquetes a través de una red IP) para
encontrar el camino lógico hasta el ordenador, que a menudo contiene
pistas sobre la ubicación;
*
Determinar la geolocalización del ordenador, con diversos grados de
exactitud. Dependiendo de la herramienta, se puede obtener el país,
región o estado, la latitud y longitud, el código telefónico del área y
localización específica en un mapa;
*
Búsqueda en Internet utilizando la dirección IP o el nombre del equipo.
Los resultados de estas búsquedas pueden revelar las actividades
per-to-peer (P2P) ( por ejemplo, el intercambio de archivos), los
registros en los archivos de registro del servidor Web, o actividades en
la red de la persona ( por ejemplo, la colaboración en Wikipedia).
Todos estos datos pueden revelar información sobre la persona:
inclinaciones políticas, estado de salud, sexualidad, sentimientos
religiosos y una serie de características personales, preocupaciones e
intereses.
*
Buscar información de una dirección de correo electrónico utilizando la
dirección IP, que a su vez podría servir para la obtención de más
información.
Según
la Electronic Frontier de Canadá, incluso la actividad no comercial en
Internet, tales como la lectura de documentos en las páginas Web, ya que
siempre se requiere de la transmisión de la IP permite saber lo que se
lee en Internet.
Lo que encontramos
Para
ilustrar el proceso, se realizó una sencilla prueba utilizando como
punto de partida la dirección IP del proxy web de la propia Oficina del
Comisionado de Privacidad de Canadá.
Una
búsqueda mediante WHOIS reveló que la dirección IP estaba asignada a
Obras Públicas y Servicios del Gobierno (PWGSC), con la dirección 350
KEDC, Ottawa, ON, K1A 0S5. La dirección de contacto aparecía en esta
entrada, incluyendo el nombre completo, la dirección de correo y el
número de teléfono.
Utilizando
la dirección IP como término de búsqueda en el navegador se obtuvieron
más de 240 entradas. Los resultados revelaron que las personas que
trabajan bajo esta dirección IP visitaron sitios relacionados, por
ejemplo, con:
* Optimización de las búsquedas en Internet;
* Publicidad de Canadá y marketing;
* Gestión de la identidad;
* Cuestiones de privacidad;
* Asesoramiento legal en relación con la ley de seguros y litigios por lesiones personales;
* Información sobre un grupo religioso específico;
* Gimnasios
* Compartir fotos a través de la red;
* Información en la Wikipedia;
* Búsqueda de actores específicos, que a su vez revelaban una gran cantidad de nombres de usuarios.
3.- Dirección IP: Información sobre las personas
La
información obtenida anteriormente es la de un grupo o equipo, no la de
una persona en particular. Sin embargo, la información específica que
se puede obtener de una persona depende de cómo se conecte esa persona a
la red y cómo trate las direcciones IP el sitio Web en particular que
visite ( Es decir, lo que recojan e indexen los motores de búsqueda).
Lo que encontramos:
Esta
persona era colaboradora activa de la Wikipedia. Al realizar una
búsqueda utilizando la IP encontrada, se obtuvo un detallado perfil de
esa persona:
*
Había editado cientos de páginas de la Wikipedia relacionadas con
programas de televisión. Su interés específico era muy amplio, pero no
se incluyen más datos por razones de privacidad;
* Decenas de páginas de historia editadas en Wikipedia;
* Participación en un foro de discusión sobre un canal de televisión;
* Visita a un sitio Web relacionado con la salud sexual, a raíz de una búsqueda para un tipo específico de persona.
El incidente de Petraeus muestra los detalles comprometedores que se pueden obtener
Otro
ejemplo de la información que se puede obtener a partir de la IP es el
caso de Petraeus, ampliamente divulgado en los medios de comunicación.
Este
caso comenzó con una investigación de los correos electrónicos, que
acabó resultando en la revelación de una relación extramatrimonial del
Director de la CIA, David Petraeus, obteniéndose detalles
comprometedores, lo que obligó a su renuncia. Los acontecimientos
tuvieron la siguiente secuencia:
a) Una persona recibe una serie de correos anónimos y pide al FBI que lo investigue.
b)
Aunque los correos se enviaron desde un servicio que mantenía el
anonimato, las direcciones IP desde donde se habían enviado aparecían en
la cabecera de los correos;
c) Sabiendo la dirección IP de origen, el FBI fue capaz de identificar la organización a la que pertenecían las IP;
d)
Desde la recepción de las citaciones administrativas según establece la
Ley y sin supervisión judicial, los proveedores de los servicios de
Internet deben dan la información sobre las direcciones IP utilizadas
para acceder a la cuenta de correo original, así como cualquier cuenta
de correo a la que se haya accedido desde la misma dirección IP. Se ha
informado de que Google dio la información al FBI de las direcciones IP
que se habían utilizado para acceder a la cuenta.
e) La ISP asocia las direcciones IP a distintas localizaciones, incluyendo hoteles;
f)
Conocer la ubicación física desde la que se envían los mensajes de
correo electrónico, con lo cual el FBI fue capaz de obtener una lista de
personas que se encontraban en esos lugares cuando los mensajes fueron
enviados, a través de las citaciones administrativas.
g)
Aparecía un nombre en las listas cuando los mensajes eran enviados, por
lo que esta persona fue considerada la principal sospechosa;
h)
En este punto, el FBI solicitó una orden judicial para poder acceder al
contenido de la cuenta de correo electrónico anónimo.
El FBI fue capaz de obtener la información sin tener que emitir una orden:
a) La dirección IP desde la que se enviaban los correos electrónicos;
b) Los nombres de los proveedores de los servicios de telecomunicaciones que tenían asignadas esas direcciones IP;
c)
Información de la persona asociada a la cuenta de correo electrónico
utilizada para el envío de mensajes, junto con la información sobre
otras cuentas de correo electrónico que también accedieron desde la
misma dirección IP;
d)
Las organizaciones, en este caso hoteles, a los que los proveedores de
servicios de telecomunicaciones han asignado la dirección IP;
e) Lista de los clientes registrados en los hoteles durante el tiempo en que fueron enviados los correos electrónicos.
El
FBI fue capaz de obtener esta información utilizando una citación
administrativa. Pero también pueden haber utilizado Cartas de Seguridad
Nacional, que no requieren de autorización judicial previa. Similar
información podría obtenerse sin consentimiento judicial bajo las leyes
federales de Canadá.