Recomendadas > Seguridad
Un secreto sin anonimato
La popular aplicación Secret incita a compartir confesiones sin nombre, pero un grupo de hackers demostró que eso es mentira
Tiempo de lectura: -'
25 de agosto de 2014 a las 15:08
Si pensabas que finalmente habías encontrado un lugar para compartir tus secretos de forma anónima, bueno, pensá de nuevo. El director ejecutivo de Secret, la aplicación para iOS y Android que ha atraído numerosa cantidad de confesiones sin nombre, confirmó que el programa tiene una vulnerabilidad y que el anonimato no está garantizado.
"Lo que tratamos que la gente entienda es que un mensaje anónimo no es lo mismo que uno imposible de rastrear", dijo David Byttow, jefe ejecutivo y cofundador de Secret, a la revista Wired en una entrevista reciente. "No decimos que vas a estar completamente seguro y serás completamente anónimo en cualquier oportunidad", agregó.
Secret funciona así: creás una cuenta con tu número de teléfono, correo electrónico o usuario de Facebook y la aplicación te conecta con aquellos amigos tuyos que están usándola. Podés ver y comentar secretos publicados por tus amigos y amigos de tus amigos, gracias al algoritmo de la app que rastrea tus contactos. También tenés la opción de compartir tus confesiones "todo de forma anónima", promete Secret.
Pero los "hackers de sombrero blanco" (aquellos que se consideran éticos) Benjamin Caudill y Bryan Seely consiguieron identificar los nombres de personas que realizaron publicaciones supuestamente anónimas en Secret usando sus cuentas personales de correo. También pudieron encontrar un secreto publicado por el propio Byttow, el cual decía: "¿No es Lucy la perra más tierna?".
La idea detrás del hackeo era simple, a pesar del arduo proceso. En el listado de secretos, podés ver solo aquellos de tus amigos o amigos de amigos, porque Secret obtiene información de tu lista de contactos. La aplicación no requiere que verifiques tu cuenta de correo electrónico o número de teléfono, entonces, ¿qué pasa si borrás todos tus contactos y te creás una cuenta con el mail real de otra persona?
"Fuimos capaces de manipular el proceso de añadir contactos a la aplicación reemplazando amigos reales con cuentas falsas que creamos. Así, le hicimos creer a la aplicación que teníamos un grupo grande de amigos, lo que haría anónima la publicación de cualquier secreto", explicó Caudill por correo. "En realidad, una sola persona fue añadida, la víctima, por lo que cualquier secreto identificado dentro de este grupo de contactos sería suyo", continuó.
Secret solo requiere que tengas siete contactos para ver las publicaciones de tus amigos. Caudill creó un grupo de 50 cuentas para sus experimentos. Si bien el resultado fue sorprendente para los hackers, explicaron que este tipo de fallas son comunes en las aplicaciones móviles, especialmente en las de start-ups.
"Entre el diseño de alto nivel y la programación, los atacantes tienen cantidad de puntos donde atacar y los desarrolladores necesitan cubrirlos todos", explicó Caudill. "De hecho, Secret tiene una seguridad muy buena en varias áreas, pero es difícil para ellos cubrir todas las vulnerabilidades posibles sin gran cantidad de ayuda especializada".
Secret es solo una de muchas aplicaciones populares de anonimato y privacidad que le permiten a la gente comunicarse de forma más segura, dijo Caudill. Pero en muchas de esas compañías, los controles técnicos no están a la altura del marketing. Por ejemplo, Snapchat, la popular aplicación para compartir fotos que se autoeliminan, recientemente llegó a un acuerdo con la Comisión Federal de Comercio de Estados Unidos y aceptó 20 años de monitoreo de parte de la organización por engañar a los usuarios. La compañía prometía que las imágenes compartidas desaparecían tras unos segundos, pero eso no era siempre cierto.
En general, la gente comparte en Secret confesiones más vergonzosas que serias, pero muchos igual no quieren ser identificados. Caudill afirmó: "Debés tener presente qué podría salir mal si no hubiera anonimato y tus comunicaciones fueran una línea abierta".
"Lo que tratamos que la gente entienda es que un mensaje anónimo no es lo mismo que uno imposible de rastrear", dijo David Byttow, jefe ejecutivo y cofundador de Secret, a la revista Wired en una entrevista reciente. "No decimos que vas a estar completamente seguro y serás completamente anónimo en cualquier oportunidad", agregó.
Secret funciona así: creás una cuenta con tu número de teléfono, correo electrónico o usuario de Facebook y la aplicación te conecta con aquellos amigos tuyos que están usándola. Podés ver y comentar secretos publicados por tus amigos y amigos de tus amigos, gracias al algoritmo de la app que rastrea tus contactos. También tenés la opción de compartir tus confesiones "todo de forma anónima", promete Secret.
Pero los "hackers de sombrero blanco" (aquellos que se consideran éticos) Benjamin Caudill y Bryan Seely consiguieron identificar los nombres de personas que realizaron publicaciones supuestamente anónimas en Secret usando sus cuentas personales de correo. También pudieron encontrar un secreto publicado por el propio Byttow, el cual decía: "¿No es Lucy la perra más tierna?".
Teléfono descompuesto
La idea detrás del hackeo era simple, a pesar del arduo proceso. En el listado de secretos, podés ver solo aquellos de tus amigos o amigos de amigos, porque Secret obtiene información de tu lista de contactos. La aplicación no requiere que verifiques tu cuenta de correo electrónico o número de teléfono, entonces, ¿qué pasa si borrás todos tus contactos y te creás una cuenta con el mail real de otra persona?
"Fuimos capaces de manipular el proceso de añadir contactos a la aplicación reemplazando amigos reales con cuentas falsas que creamos. Así, le hicimos creer a la aplicación que teníamos un grupo grande de amigos, lo que haría anónima la publicación de cualquier secreto", explicó Caudill por correo. "En realidad, una sola persona fue añadida, la víctima, por lo que cualquier secreto identificado dentro de este grupo de contactos sería suyo", continuó.
Secret solo requiere que tengas siete contactos para ver las publicaciones de tus amigos. Caudill creó un grupo de 50 cuentas para sus experimentos. Si bien el resultado fue sorprendente para los hackers, explicaron que este tipo de fallas son comunes en las aplicaciones móviles, especialmente en las de start-ups.
Lo que tratamos que la gente entienda es que un mensaje anónimo no es lo mismo que uno imposible de rastrear", dijo David Byttow, jefe ejecutivo y cofundador de Secret
"Entre el diseño de alto nivel y la programación, los atacantes tienen cantidad de puntos donde atacar y los desarrolladores necesitan cubrirlos todos", explicó Caudill. "De hecho, Secret tiene una seguridad muy buena en varias áreas, pero es difícil para ellos cubrir todas las vulnerabilidades posibles sin gran cantidad de ayuda especializada".
Secret es solo una de muchas aplicaciones populares de anonimato y privacidad que le permiten a la gente comunicarse de forma más segura, dijo Caudill. Pero en muchas de esas compañías, los controles técnicos no están a la altura del marketing. Por ejemplo, Snapchat, la popular aplicación para compartir fotos que se autoeliminan, recientemente llegó a un acuerdo con la Comisión Federal de Comercio de Estados Unidos y aceptó 20 años de monitoreo de parte de la organización por engañar a los usuarios. La compañía prometía que las imágenes compartidas desaparecían tras unos segundos, pero eso no era siempre cierto.
En general, la gente comparte en Secret confesiones más vergonzosas que serias, pero muchos igual no quieren ser identificados. Caudill afirmó: "Debés tener presente qué podría salir mal si no hubiera anonimato y tus comunicaciones fueran una línea abierta".
