👻 La Newsletter de @weareDMNTRs 👻 

Esta semana contratamos una línea de móvil para un nuevo compañero en DMNTR. La cosa fue fácil: solicitar la línea a mi proveedor de confianza (ZREE Telecom, of course) y comprar un dispositivo nuevo.

Lo que vino después… no tanto.

Metimos la SIM en el móvil, descargamos Telegram para dar de alta el número y ¡empezó la fiesta!

El número de teléfono asignado había pertenecido meses atrás a otra persona. Lo supimos rápido por la foto de perfil, nombre, grupos, conversaciones privadas, contactos… Todo apareció ante nosotros como si nada.

Es más, sus contactos interaccionaban con nuestro usuario como si nada...

Probamos con WhatsApp y la cosa fue aún más surrealista: además del historial, en este caso sin texto interno, el sistema nos sugería accesos vinculados a Instagram y Facebook.

Un pack completo de identidad digital ajena, servido en bandeja por un simple cambio de SIM.

Lo más probable es que aquella usuaria dejara de pagar la línea, o que fuese una prepago reciclada, o que simplemente su número volviera al pool demasiado pronto. Da igual el motivo técnico exacto, porque el resultado fue el mismo: con algo tan trivial como insertar una SIM, accedimos a años de vida digital de otra persona.

Como no queríamos despertarnos cada mañana con stickers variados, fotos de desayunos y mensajes cariñosos de grupos que no eran nuestros (todo esto pasó literalmente...), dimos de baja la línea y pedimos otro número, cruzando los dedos para tener más suerte.

Pero el daño ya estaba hecho. No era técnico, sino mental.

Porque la aventura nos llevó a una conversación inevitable, sobre privacidad,  pasando por el cifrado de extremo a extremo y servicios que venden la privacidad como parte de su core.

En muchos de estos servicios durante años se nos ha vendido que son seguros porque usan cifrado de extremo a extremo, pero, sin embargo, los problemas vienen por otro lado... ¡Bueno y también porque además no existe tal cifrado! Sigue leyendo y verás...

Nos llenamos la boca hablando de servicios “SEGUROS”, “PRIVADOS”, “ENCRIPTADOS”, pero la realidad es bastante más incómoda. 

En Telegram, por ejemplo, esa red social que tanto me gusta, los chats normales NO están cifrados extremo a extremo y, además, todas nuestras conversaciones se almacenan en sus servidores (hay quien dice que usando métodos que no son seguros).

De hecho, empiezo a pensar que incluso Whatsapp podría ser más seguro en algunos aspectos... ¡Tremendo!

Luego están los casos de servicios que se venden como el Santo Grial de la privacidad, como por ejemplo Proton Mail.

Mucha gente me pregunta cada poco: "¿Proton Mail es privado y seguro?"

La experiencia reciente me indica que no lo es.

La realidad histórica indica algo aún peor: nunca lo fue.

A ver, el correo electrónico se diseñó hace décadas sin seguridad ni cifrado (de esto ya hemos hablado antes...).

Es más, ningún proveedor puede enviar de manera transparente un email cifrado extremo a extremo a alguien que no use su mismo servicio, y eso deja fuera, literalmente, al 99,99999 % de Internet.

Pero es que incluso, dentro de sus propias plataformas, la presión legal, la actividad criminal y los marcos regulatorios han forzado excepciones, accesos y colaboraciones variadas.

El resultado es simple: el marketing habla de privacidad absoluta, pero la realidad habla de otra cosa...

Y además, aquí está la trampa mental más peligrosa: el cifrado no protege de identidades reutilizadas, números reciclados, sesiones heredadas ni decisiones de diseño mal pensadas.

Necesitamos el cifrado, sí, pero necesitamos MUCHAS MÁS COSAS.

No importa lo fuerte que sea el algoritmo si tu identidad digital está, por ejemplo, atada a un número de teléfono que mañana puede ser de otro.

No importa lo bonito del eslogan si el modelo completo depende de confianza ciega en terceros.

Esto no va de conspiraciones, va de entender límites, modelos y realidades técnicas.

La privacidad, tal y como se vende hoy, no es una verdad absoluta, sino que vive en un contexto frágil.

No tengo dudas de que seguiremos hablando de esto...

¡Feliz Domingo!

🔗 Newsletter patrocinada por: 🔗

 

   Protecting what matters most

 

🔊 Llámalo podcast... 🔊

 

Todos los episodios aquí: https://go.ivoox.com/sq/2343562


Y fin...

Al final no fue un hacker, ni un exploit, ni la NSA, fue meter una SIM y obtener acceso a la vida digital de una usuaria llamando a la puerta como si nada... ¡Somos unos juankers de categoría!

Seguimos hablando por los canales habituales: X y Telegram.
 
Por cierto, si quieres, puedes invitarme a un cafelito. ☕☕☕

Dementor, ¿tú puedes jaquearle la cuenta de Instagram a mi novia?

 
 
 
 
 
 
 
 
 
 

¿No quiere seguir recibiendo estos correos electrónicos? Darse de baja Ver en el navegador

Powered by listmonk