:quality(70)/cloudfront-us-east-1.images.arcpublishing.com/elfinanciero/NNVINS4BHP63POU3F2LKNGMNIA.png)
"Hannah, encantado de conocerte. Me dicen que eres una escritora y una cantante", dijo el hombre a quien yo estaba a punto de entrevistar en RSA, la conferencia más grande de Silicon Valley para profesionales de seguridad cibernética.
Pensé que Barry Hensley, director de inteligencia de amenazas del grupo de seguridad Secureworks, seguramente había visitado mi perfil de Twitter o LinkedIn, donde menciono mis intereses musicales. O tal vez su encargado de prensa había reunido la información en una nota informativa, como a menudo lo suelen hacer para sus clientes.
Pero aún había más que quería compartir conmigo. ¿Quién, preguntó, era el hombre que yo había recortado de mi fotografía de perfil de LinkedIn? ¿Un ex novio convertido en enemigo, tal vez? El Sr. Hensley parecía haber descubierto quién era esta persona, pero dijo que todavía estaba tratando de resolver la conexión entre nosotros.
Eso me asustó: al ver esa imagen, no había forma de saber que la persona a mi lado era un hombre, y mucho menos cuál era su identidad. Pronto supe que el equipo del Sr. Hensley, ya sea por diversión o para darle una ventaja en la entrevista, había reunido lo que se conoce como inteligencia de fuentes abiertas (OSINT, por sus siglas en inglés) sobre mí.
Realizar un estudio de OSINT implica buscar fuentes disponibles públicamente para recopilar datos sobre una persona. Esto generalmente significa examinar las redes sociales y la web oscura.
Durante mucho tiempo, este sofisticado acecho en Internet ha formado parte de las estrategias de las agencias de espionaje, las fuerzas policiales e incluso los amantes celosos. Pero también está emergiendo como un servicio ofrecido a las corporaciones por una nueva generación de nuevas empresas cibernéticas, así como por algunas organizaciones más grandes.
Para proporcionar "protección contra riesgos digitales", estos expertos en seguridad de TI analizan la identidad digital pública de las empresas y las de sus altos ejecutivos para establecer si potenciales piratas informáticos podrían aprovechar esa información; y si es así, la bloquean para que ya no sea accesible. Según los datos de la empresa estadounidense de investigación de mercado Forrester, estos servicios cuestan un promedio de aproximadamente 45,000 dólares para una pequeña empresa y 150,000 para una más grande.
Es comprensible que la seguridad cibernética sea una industria nerviosa y paranoica, y al cubrirla como periodista se me ha contagiado esa actitud. (A las pocas semanas de comenzar este artículo me encontré subida en mi silla en la oficina inspeccionando un pequeño dispositivo blanco en el techo que resultó ser un detector de humo). Entonces, naturalmente, me apresuré a reclutar a una investigadora de seguridad cibernética de confianza para que reuniera toda la información que pudiera haber sobre mí, flotando en el éter y esperando a ser descubierta.
Me había preparado para lo peor. Pero, al final, la información que encontró fue bastante rudimentaria; en particular, localizó mi página de Facebook, que pensé que estaba oculta, y se enteró de que usaba un iPhone.
Sin embargo, encontró otras vulnerabilidades inesperadas. En un tuit público, publiqué una captura de pantalla de una conversación con un colega en WhatsApp. La imagen de perfil de WhatsApp del colega era visible, por lo que un atacante podría potencialmente clonar la imagen y enviarme un mensaje fingiendo ser mi colega en un teléfono recién comprado.
Parece bastante ingenioso, pero éste no es momento para ser complacientes: varios gobiernos supuestamente usaron el spyware Pegasus para atacar a periodistas que usan WhatsApp, y más de una fuente que conocí durante RSA habló de ayudar a las organizaciones de noticias a manejar los recientes intentos de piratería por parte de extraños.
Aún más aterrador es que la creación de perfiles — crear un retrato de alguien y sus patrones de comportamiento a través de sus datos. — ya puede estar sucediendo en una escala mucho más amplia, aunque con conjuntos de datos robados. Si se hacen referencias cruzadas de esa información, podrían usarse para crear perfiles detallados, exponiendo a las personas al chantaje, por ejemplo. Nuestra identidad digital fácil de acceder es sólo otro conjunto de datos que podría agregarse a este crisol ominoso.
¿Y qué pasó con el hombre en la fotografía de mi perfil? El es un amigo, recorté su imagen porque me gusta cómo salgo en esa fotografía. Si nuestras vidas digitales se van a utilizar cada vez más contra nosotros, al menos podemos sentir alivio al saber que algunas verdades no se pueden deducir solo a partir de nuestros comportamientos en línea.