lunes, 11 de febrero de 2019

La privacidad de los argentinos y el uso de "bancos online".

(fig 1. Ualá. Fuente: Google).
Hace unos años, más precisamente un 3 de octubre del 2017, inició la posibilidad para nosotros, los argentinos, de poder utilizar tarjetas de crédito prepagas, dándole la posibilidad a cualquier persona de tener una tarjeta de crédito controlada, sin necesidad de contar con movimientos bancarios previos.






La mayoría pensaría que se trata de una entidad bancaria física que quiere adueñarse de nuestro dinero, y nuestra información. Esto es erróneo, ya que en realidad es una entidad online que quiere quedarse con nuestro dinero e información personal.

Las nuevas tecnologías nos facilitan la vida, aún más si se trata de IoT o cualquier accesibilidad a través de Internet, dándonos la posibilidad de realizar cualquier cosa, en cualquier lado. Por otro lado, cualquier tecnología en línea es vulnerable, y de eso se trata esta entrada.

Concretamente hablo de Ualá. Al ser una entidad bancaria, Ualá requiere datos reales para funcionar (¿dónde te llegaría la tarjeta plástica? ¿a nombre de quién?).

(fig 2. Aplicación Ualá para móviles android. Fuente: Google).
En la mayoría de los hackeos, el primer paso, casi obligatorio, es "information gathering", el proceso por el cual se obtiene información del objetivo a hackear. Hace tiempo, recuerdo haber leído una entrada de Chema Alonso en su blog, sobre como es posible cruzar información de varias redes sociales para poder dar con el número de teléfono de una persona (vamos, que si Facebook censura los últimos cuatro números, y Twitter los cuatro primeros... ¿Se entiende?).

Ahora, gracias a esta nueva moda de las tarjetas de crédito online, es posible conseguir más detalles sobre una victima. Si hay algún lector argentino, estará de acuerdo conmigo con que la aplicación móvil cuenta con una función para buscar amigos.

¿Recuerdan lo que mencioné, sobre que Ualá requiere datos reales para funcionar? ¿Qué información podemos obtener de una persona, sólo sabiendo su número de teléfono?
(fig. 3. Aplicación Ualá, función de buscar amigos (imagen recortada). Fuente: Nobody).
¿Es importante saber el nombre completo de la persona? En mi querido país, Argentina, hay varias formas posibles de obtener información de una persona, tan solo sabiendo su nombre completo. Varías páginas online permiten obtener esa información. Un poquito de information crossing, cruzando información obtenida por Facebook, logré obtener su domicilio, que no mostraré por razones de privacidad.

Ahora, un poquito de ética de mi parte...
(fig 3. Respuesta por parte de Ualá. Fuente: Nobody).
¿"Gracias por tus sugerencias"? Me suena a que no piensan repararlo, ya que "no es un fallo", ¿no?

 Línea de tiempo:
sáb. 12 de enero, 20:50 - Reporte enviado a Ualá.
mié. 23 de enero, 17:13 - Respuesta por parte de Ualá.

Happy hacking and don't be evil (maybe a little bit).
Nobody.