A finales de 2017 estaba viendo la fenomenal 'Arrival' un sábado por la noche en casa cuando un número de teléfono desconocido me llamó al móvil. Por mi trabajo suelo usar mucho el teléfono con números que no tengo agendados, pero recibir una llamada de uno un sábado a medianoche era muy raro. Respondí y escuché la voz de una chica, la conversación fue tal que así:
- ¿Quién es?
- Hola, ¿eres Javi?
- ...sí. ¿Quién eres tú?
- Soy una chica que te sigue en redes, y bueno, me pareces muy mono y he conseguido tu teléfono. Te llamo porque me gustaría quedar contigo.
- Ya, claro. Ahora dime quién eres de verdad.
- Te estoy diciendo la verdad.
- Tendré suerte si no te llamas Kingsley y esto es una estafa nigeriana. ¿Me vas a decir quién eres y quién te envía para gastarme la broma?
- Que te estoy diciendo la verdad.
Ahí colgué y pensé "ya me enteraré de quién está detrás de la broma". No pasaron ni cinco minutos y me llamó otro número desconocido diferente. Esta vez, con la voz de un chico.
- ¿Quién es?
- ¿Eres Javi?
- Sí, ¿y tú quién eres?
- Soy uno que te sigue en redes porque eres un crack y me interesa mucho Apple y eso.
- Ya, venga, ¿me vais a decir quién os está diciendo que me gastéis esta broma?
- Que es verdad, tío.
Volví a colgar. Acto seguido agregué ambos números a mi agenda para ver sus fotos de perfil en WhatsApp. Las de ambos se mostraban: una chica rubia, un chico moreno. Ambos desconocidos para mí. Ya mosqueado, paré 'Arrival' -algo de lo que no me enorgullezco- y abrí el ordenador para continuar investigando.
Aunque hay otras maneras para saber de quién es un número, busqué el teléfono de la chica en Facebook, pero no hubo resultados. Sí lo hubo con el del chico, que me llevó a un perfil concreto, de alguien valenciano, paisano mío. En su lista de amigos, visible para mí, encontré a Inés (nombre modificado), una amiga mía de toda la vida. Supuse que ella era la instigadora. También encontré a una chica rubia muy parecida a la de la foto de perfil de WhatsApp. Al ampliar vi que era ella, así que ya tenía las identidades de ambos.
Una broma telefónica recibida en 2017 me sirvió para encontrar multitud de información personal de los dos bromistas únicamente a partir de sus números de teléfono
Con ellas anotadas, empecé a indagar todo lo que pude. Él tenía bastante información pública, incluyendo su puesto de trabajo actual o estados que dejaban intuir su ideología política. También tenía en abierto su correo electrónico, y buscándolo en Google quitándole el dominio aparecían mensajes suyos de hacía años en un foro.
De la chica había algo menos de información (en una búsqueda de apenas unos minutos), pero seguía siendo más que suficiente: no solo sabía su nombre, también sabía dónde había ido de vacaciones en los últimos años, cuáles eran sus relaciones anteriores, y bastante más información personal que seguro que no quería compartir con un desconocido como yo.
La historia terminó devolviéndoles la llamada y contándoles que sabía perfectamente quiénes eran, dónde trabajaban y varios detalles de su vida personal. Me despedí con un "os pongo un 5 en la idea, un 6 en la ejecución y un 0 en la elección de la víctima. Y un abrazo a Inés, que imagino que está con vosotros". Unas semanas después me encontré con Inés y me explicó lo que ocurrió aquella noche, y que todos los presentes alucinaron. De paso, obtuvieron una valiosa lección sobre privacidad.
El experimento
En Xataka hemos querido hacer un experimento en esta misma línea. Desde aquella llamada hasta ahora hay algo importante que ha cambiado: la GDPR, que entró en vigor en mayo de 2018, puso fin a algunas posibilidades interesantes para el stalker promedio, como encontrar el perfil de Facebook de una persona buscando su número de teléfono.
Una compañera (gracias, Alesya) me ha facilitado cuatro números de teléfono de empleados de Webedia, el grupo matriz de Xataka. Solo sé que son cuatro números de cuatro perfiles distintos de personas en cuanto a edad, género y nivel de presencia digital, digamos. El objetivo es ver cuánto podría averiguar de esas personas únicamente con su número de teléfono. Empieza la pesadilla de la privacidad.
Sujeto 1
El sujeto 1 no tiene una foto de perfil en WhatsApp visible por alguien a quien no tiene guardado en su agenda, así que nada que hacer aquí. Acudo a Telegram y ahí sí muestra una foto de perfil, la de un varón de unos cuarenta años, moreno, con ojos marrones y con barba de tres días. Podría ser cualquier español de entre los dos millones que encajan en esa descripción, pero es que además también figura su alias: @alias1 (modificado para preservar su privacidad).
Una búsqueda en Google de ese alias y empiezan a aparecer perfiles en algunos foros. En alguno, como en uno sobre videojuegos, aparece que es de A Coruña (aunque ahora vive en Madrid) y se llama Álex. Busco "Álex @alias1" en Google y aparece su nombre completo, Álex Ferrero, en varias cuentas de redes sociales. Sus fotos de perfil encajan con la de Telegram. Ya no hay dudas.
Seguimos rascando información y conseguimos acceder, entre otros, a:
- Su lista de 626 amigos en Facebook.
- Sus cuentas en redes como Facebook, Twitter, Instagram, Medium, LinkedIn... Con fotos de la última década.
- Sus más de 300 valoraciones en FilmAffinity (le disgustó 'Flubber' -2- pero le entusiasmó 'La Venganza de los Sith' -10-, además de ser un gran fan de 'Las Chicas de Oro' -10-).
- Su perfil en una aplicación de citas, con varias fotos suyas que no encontramos en sus otros perfiles.
- Su historial de comentarios en varios foros sobre videojuegos y juegos de mesa.
- Su puesto de trabajo actual y anteriores.
- Algún proyecto de crowdfunding al que ha dado su apoyo.
- Una entrevista que le hicieron hace años.
- Gracias a una búsqueda profunda en su perfil de Twitter, el barrio en el que vive.
- ¡Su participación en un programa de Saber y Ganar de la década de los 2000!
Nuestro amigo Álex Ferrero, el sujeto 1, en su participación en Saber y Ganar.
La valoración de 48 videojuegos jugados por Álex. ¿Alguien ha dicho "publicidad segmentada"?
Sujetos 2 y 3
La sujeto 2 es un ejemplo en cuanto a gestión de la presencia online para preservar la privacidad. O al menos, partiendo del teléfono y atendiendo a la información disponible a partir de esta información.
No tener un alias que nos vincule en Telegram ni estados de WhatsApp que deriven a perfiles sociales nuestros son aliados de la privacidad
En WhatsApp podemos ver su foto de perfil: es una mujer, presumiblemente, que sale junto a sus dos hijos en un viaje. Su estado es un fragmento de una canción, nada que le vincule a su persona. No tiene perfil en Telegram y no hay rastro de su número en Google.
Lo mismo ocurre con el sujeto 3: ni siquiera tiene fotos de perfil ni estados visibles, ni cuenta en Telegram. Tampoco en servicios similares, como Signal, ni tiene una huella en Google. Parece imposible llegar a ningún tipo de información personal sobre el propietario de este número.
Luego podemos saber, tras desistir, que estos números son de dos mujeres, una de treinta años y otra de algo más de cuarenta, como sugería su foto. La primera tiene una presencia bastante grande en redes sociales, la segunda mucho más reducida.
Sujeto 4
El sujeto 4 tiene un perfil similar al 1. En WhatsApp vemos una foto de una pareja joven, en su veintena, en la playa. Chico y chica. No sabemos cuál de los dos será. En Telegram nos queda claro que es el chico, y además muestra su nombre y apellido en el alias.
Daniel Esplá, sujeto 4 y responsable en su momento de muchos de los vídeos de Xataka TV.
Una búsqueda en Google y empieza la fiesta. Es nuestro antiguo compañero, Dani Esplá. A partir de su nombre podemos sacar:
- Su canal de YouTube sobre vídeos de tecnología y lifestyle.
- Su puesto de trabajo y empresa actual.
- Sus anteriores puestos de trabajo.
- Su nombre y apellidos de pila (no son exactamente "Daniel Esplá").
- Su formación académica.
- Su lista de amigos en Facebook.
- Curiosamente, su equipo de hardware para la grabación de vídeo cuando era parte de Xataka.
- Las personalidades y páginas de Facebook que ha marcado con un "me gusta".
Páginas de Facebook a las que Daniel ha dado un "me gusta".
La huella digital del número de teléfono
Estos son algunos ejemplos de lo que puede conseguir a partir de un simple número de teléfono y sin entrar en crackeos ni ataques propios de alguien con altos conocimientos técnicos: todo ha sido fruto de unas búsquedas como las que puede hacer cualquier persona.
Paradójicamente, el nick de Telegram, pensado por motivos de privacidad, ha sido la vía de acceso a una gran cantidad de información personal de alguien a partir de su número.
En los dos casos más "exitosos" del experimento, el nick de Telegram ha sido la vía de entrada a una gran cantidad de información. Paradójicamente, Telegram introdujo la posibilidad de tener un alias por cuestiones de privacidad, para posibilitar conversaciones con otros sin tener que dar nuestro número de teléfono.
La elección de un alias con el que ya se tiene un largo historial online, y que además está vinculado a nuestro nombre real (sujeto 1) o que directamente es nuestro nombre y apellido (sujeto 2) puede propiciar el que hallen mucha información sobre nosotros a partir de nuestro número. La solución, tener un alias inédito para nosotros que sirva de cortafuegos.
Los casos en los que más se ha protegido la privacidad no permiten que nadie que no esté en su agenda pueda ver sus fotos de perfil o sus estados. O en todo caso, no tienen nada que les vincule a entornos con su nombre y apellidos (como lo de poner el usuario de Instagram en el estado de WhatsApp, por ejemplo).
Y tenemos suerte de ser europeos en este sentido. La GDPR nos ha protegido de prácticas como la de encontrarnos en Facebook o Instagram a partir de nuestro número de teléfono, algo que allanaba el camino. En Estados Unidos, más laxos con esta cuestión, hay historias dignas de pesadilla, como la de un redactor de The New York Times a quien a partir de su número de teléfono sacaron su dirección postal, su historial impositivo, y un largo etcétera únicamente con una web que provee esta información a cambio de cinco dólares.
En Europa no tenemos esta amenaza, pero seguimos encadenados al peligro que subyace en la cantidad de información que vamos dejando, a veces de forma inconsciente y otras veces basada en la vanidad, durante años en distintos rincones de Internet. Como lo de cascar un 10 a 'La Venganza de los Sith' en 2005 que sigue siendo visible en 2020.
Ver 51 comentarios
51 comentarios
velocidad
Resumen, eliminas las redes sociales de la ecuación y ya no puedes averiguar nada.
keywil
Mediante métodos similares encontré la verdadera identidad de Satoshi Nakamoto, sé que este comentario pasará desapercibido y los pocos que lo lean creerán que es coña, pero no lo es.
punk84
Lo curioso es que la gente siempre se asusta, o como mínimo se sorprende, cuando todos o casi todos los datos los han colgado ellos mismos.
Claro, te vas olvidando, no relacionas las cosas que pones, no hay consciencia de hasta qué punto están expuestos esos datos, o piensas que eres una aguja en un pajar y por lo tanto "a quién le va a interesar".
pitutete
Trabajo en un periódico, de informático. El año pasado teníamos un troll en nuestras redes sociales, se hacía pasar por trabajador nuestro y hacía comentarios negativos de personas en nuestro nombre. Hice una búsqueda de su perfil y averigüé donde trabajaba y coincidió que teníamos un amigo en común. Llamé a mi amigo y le pregunté por él, me dijo que era un tío raro y me dió su número una vez que le expliqué lo que estaba haciendo. Le llamamos y casi se mea encima. Una vez que le explicamos la situación y sus opciones y consecuencias, pidió disculpas, borró sus publicaciones y dejó de trolear. Todo en 1h máximo.
jlmartin
Yo tengo diferentes avatares(el el que uso aqui solo lo uso en algunos foros) en wap y telegram temgo otros. rn ambos aparezco simplemente como Jose Luis y fotos mias con 3 o 4 años, en cuanto al resto de redes sociales mucha suerte, solo tengo una cuenta twitter con nula actividad, y aunque sacaras mi nombre completo real te llevaría a cientos de callejones sin salida.
nino
Comparte en redes sociales solamente aquello que no te importa que sea público.
- Vida pública, a las redes sociales.
- Vida privada, a ninguna parte.
Sentido común...
Usuario desactivado
Tengo muchas redes sociales, subo fotos mías incluidos mis datos, y? No sé que podrían hacer con esa información. Me van a llamar y me van a decir, sé dónde viveeees, se donde viveeeees, siii en mi casa que quieres friki.
Vaier
Es por eso que siempre debemos proteger nuestra privacidad más allá de la clásica falacia de que no tenemos nada que esconder.
Facebook: Ezequiel Montálvez Acólito.
Instagram: @Ezequi24cm
Fdo: anónimo.
warp68
No tiene mérito ninguno cuando la gente se desvive por contarnos sus tonterías en Internet. Quienes tienen perfiles en redes o trabajan o desprecian su privacidad.
pererecuda
No me creo la historia del principio de la llamada de la tía y el tío. Me parece que el único propósito que tiene es servir de introducción al artículo.
ciquitraque
¿Si participas en una red social no es precisamente para "eso", para ser "social"?
rennoib.tg
Facebook ahora es más complicado encontrar información, sobretodo si no tienes ningún amigo en común. Pero siempre puedes buscar contactos del móvil en las redes sociables y ayuda bastante.
Igualmente tampoco es preocupante. Cuando tú publicas algo en internet, sea tu ideología o un viaje, lo estas haciendo público. No hay novedad aquí. Lo que si asusta, es que las redes sociales sepan que tipo de persona eres, tus gustos, preferencias e incluso tu estado de ánimo con solo analizar como ojeas las fotos del timeline.
TOVI
Algo similar me pasó a mi y colgué en la primera llamada, en la segunda cuando le dije su nombre, su dirección y donde trabajaba me colgó ella xD
fanboy_de_todo
Yo hay algo que he usado alguna vez algo mas sutil, aunque no a partir de un teléfono sino de un comentario en internet.
Esto es, copiar una frase que crees que el sujeto utiliza de forma unica, una autocita o similar y buscarla entre comillas en google. Incluso enlaces a una captura de pantalla o similares, que en principio no tienen porque estar creados con datos reales pero si pueden estar enlazados por el mismo usuario en perfiles diferentes de diferentes webs.
Aqui lo importante es que puedan identificar al usuario. Si puede ser enlacado por terceras personas pero el numero de coincidencias es limitado vale tambien. Igualmente si cita a otro tercer usuario, al menos sabes q si encuentras ese comentario el lo ha visto y puedes intentar descubrir si participo en el hilo de alguna forma.
Tambien puedes acortar los resultados en google a fechas concretas, para acotar un poco los resultados si resulta interesante (porque el enlace o el texto que crees util esta limitado a un uso temporal). Por ejemplo todos los que dijeron "pedro sanchez es un felon" entre dos fechas muy cercanas, generalmente un par de dias, en el pasado.
Usuario desactivado
Todavía no tengo claro qué pretendían los dos del primer ejemplo, ¿era una broma, o realmente querían hablar contigo sobre algo de tecnología?
pacmix
Hasta hace poco todos teníamos unas paginas blancas que buscabas un nombre y salía su teléfono y dirección completa, y cuando íbamos a votar colgaban un listado en los colegios con toda tu información. Nadie se escandalizaba...
pillabichos
Nunca hay que poner el número de teléfono en internet y mucho menos en una red social.
¡NUNCA!
Y luego dicen que la identificación de dos pasos es para tener más seguridad.
lectoracompulsiva1
Lo mejor es no tener redes sociales y tener cuidado con la privacidad de whatsapp (yo lo tengo todo privado). Así es muy complicado que alguien te encuentre, porque con artículos como este (que no dudo que sea cierto, por desgracia) o series como you, cada día estoy más segura de que hago lo correcto pasando de las redes sociales y preocupándome por lo que comparto con los demás.