La broma del Mobile World Congress: miles de sistemas hackeados en pocas horas

La mejor manera de llamar la atención en un congreso de especializado en tecnología, gestión de datos y comunicaciones seguras es dar un susto a los asistentes y poner en entredicho sus propias actuaciones. Eso es más o menos lo que ha venido a hacer la compañía de antivirus Avast, que en unas horas ha obtenido los datos de miles de usuarios en el Mobile World Congress (MWC) de Barcelona, poniendo en evidencia a muchos.

Una operación que ha dado de qué hablar y que ha demostrado –una vez más –que quizá vivimos más expuestos a los fraude cibernéticos de lo que pensamos y, por otro lado, que nos guiamos más por el bolsillo que por la cabeza, cuando se trata de aprovechar el WiFi de otros.

El plan de Avast ha sido ingenioso y sencillo: establecer en el aeropuerto de Barcelona una serie de hotspots (puntos de acceso WiFi) abiertos y gratuitos. A unos les puso nombres sugerentes como “Mobile World Congress 2016" o “Free Airport WiFi” y a otros, denominaciones de redes WiFi de franquicias que habitualmente ofrecen a sus clientes conexión gratuita, tales como la firma de cafeterías “Starbucks”. En menos de cuatro horas más de 2.000 usuarios habían usado los puntos de acceso, dejando sus sistemas y sus datos totalmente desprotegidos.

El comportamiento de los usuarios variaba según el caso. En el primero, los usuarios llegaban al aeropuerto y, al leer el nombre de la red ‘Mobile World Congress’, asumían que alguien había establecido ese WiFi para ellos. En el otro caso, no hizo falta poner en marcha ninguna acción. Bastaba con que el usuario hubiese usado en alguna ocasión previa la red de un Starbucks para que su móvil se conectase automáticamente al detectar una red WiFi ya conocida y registrada.

[También de interés:Las claves del robo chino de tecnología a EE.UU.]

Avast aclara que no han almacenaron ningún dato obtenido en esta ‘experiencia’, sino que se han limitado a escanear el tráfico que pasaba por la red y sacar algunas conclusiones triviales sobre los dispositivos más usados o las aplicaciones instaladas.

Pero advierten que, en más del 60% de los casos, pudieron detectar datos personales del usuario y el user agent (la “matrícula” del dispositivo). El punto agridulce es que, entre los móviles registrados aparecían modelos que aún no están en la calle, sino que se iban a anunciar durante la feria.

Esta anécdota llama la atención sobre lo fácil que es conseguir los datos de miles de usuarios en poco tiempo y con un esfuerzo mínimo. Basta con poner una red WiFi gratis en el lugar adecuado y darle un nombre conocido. Si sabes gestionar la información básica del router, está hecho en unos minutos. No hace falta ser un hacker ni tener conocimientos informáticos avanzados. Pero lo que más llama la atención en este caso es que las ‘víctimas’ del juego han sido profesionales y expertos del sector familiarizados con lo último en tecnología. Habrá que esta alerta.

IDNet Noticias