sábado, 18 de octubre de 2008

Datos personales en la red...

Trasteando por la red he encontrado un artículo sobre un fichero con datos personas detenidas por consumo de alcohol o drogas que apareció en una página libremente accesible por el ayuntamiento de indianápolis. El caso era especialmente grave porque incluía, además de la dirección, el SSN (Social Security Number) de los detenidos, lo que en Estados Unidos significa una especie de barra libre para la suplantación de identidad y el fraude (ya que no hay un DNI con foto y otros datos adicionales). El documento fue retirado después de que la Agencia de Servicios de Información tirase de las orejas al municipio.

Normalmente, este tipo de ficheros se dejan en direcciones "ocultas" de las web, pero una simple búsqueda con google (filetype:xls +first +address +smith +ssn) sirve para encontrarlos. Afortunadamente, todas las páginas que se encuentran (unas 17 pantallas de google) son ejemplos de libro de texto o impresos para rellenar (lo del "smith" sirve para descartar casi todos esos formularios). Resulta especialmente preocupante, de todos modos, que la versión en inglés de Google detecte automáticamente que "SSN" y "Social Security Number" son sinónimos, lo que facilitaría la búsqueda a un delincuente.

Lo que sí abunda son listas de direcciones con teléfonos. Muchas de ellas corresponden a negocios y a asociaciones, especialmente a asociaciones de veteranos de guerra (por ejemplo: asociación de veteranos de Canadá). Y, curiosamente, en el caso de delincuentes no se respeta en absoluto su intimidad (a diferencia de lo que ocurre en Europa). En su día me produjo gran estupor ver en un periódico americano la dirección de dos ladrones de poca monta. Eso no es nada: de los terroristas islámicos tenemos la dirección, el teléfono y el número de pasaporte (¿no debería estar esto en una web accesible sólo por la policía?)

Pero los españoles tampoco estamos para echar cohetes. Dejando aparte ediciones antiguas del BOE y otros boletines oficiales donde todavía se mantenía el DNI en la versión electrónica, abundan en España listados en que figuran teléfono, dirección y DNI (buscar en google: teléfono dirección DNI garcía -ejemplo filetype:xls).

Es concebible que se mantengan listados de empresas con persona de contacto (de hecho, en ocasiones he utilizado uno de tales listados para encontrar el teléfono de un bodeguero pariente mío), pero cuando se trata de direcciones particulares creo que la cosa es más seria.

Y eso, sin olvidarse de que la gente sigue dejando currículums y otros documentos personales en sus compartidos de emule. Un emule-dorking puede ser más productivo que un google-dorking.

Edición 20/10/2008: No me puedo creer la cantidad de erratas que me dejé en el artículo. Espero haber corregido todas.

3 comentarios:

Anónimo dijo...

Ahora mismo si que me dejas de piedra, me voy de inmediato a buscar, pero cambio el apellido por otro, alguien que está en busca y captura.

Anónimo dijo...

A mi me parece que tanta reserva de datos es una panoplia para proteger a los privilegiados. Lo que hay que hacer es abolir la privacidad de datos, y que sean públicos todos, especialmente los que se refieren a las cuentas bancarias, saldos, ingresos y gastos. Lo demás son ganas de marear la perdiz.

José Moya dijo...

Espero que estés siendo irónico.

En un país donde es prácticamente imposible demostrar la propia identidad (dada la carencia de registros centralizados de huellas dactilares, fotografías y otros datos biométricos de individuos no fichados), el número de cuenta, de tarjeta de crédito o de seguridad social son las claves que te permiten acceder a tu dinero.

En España no es así siempre, pero, con tus datos bancarios y tu fecha de nacimiento (incluso con un DNI robado cuya foto no concuerda contigo) se pueden hacer muchas maldades.


Palabra de verificación:
Essitho: Lo contrario de Phracasso.