Telefónica Kernel: El compromiso con una visión y la patente internacional WO 2018/024933 A1

En el año 2016, cuando comencé mi trabajo de Chief Data Officer, tenía una misión impuesta con una visión. La misión de hacer de Telefónica una compañía Data-Centric que rompiera los silos de la visión "application centric" de tiempos pasados, y que permitiera construir el futuro de las tecnologías digitales sobre ella. La llamada como Codename: 4º Plataforma. Y no era nada fácil de aterrizar aquella idea en un entorno multinacional como el nuestro.

Figura 1: Telefónica Kernel: El compromiso con una visión y

la patente internacional WO 2018/024933 A1

Hoy en día han pasado ya varios años de trabajar, de hacer que aquel CodeName: 4ª Plataforma se convirtiera en Telefónica Kernel, donde integramos hoy en día todos los datos, productos y servicios digitales. Pero aún recuerdo aquellos días de debate, de plasmar una estrategia táctica para ir dando pasos y conseguir el objetivo. 

Figura 2: El mapa de la 4ª Plataforma para ser Data-Centric

Tuvimos charlas, dibujos, debates, e incluso, plasmamos todo el proceso en un patente que se registró para Telefónica, con la visión de José María Álvarez-Pallete, y el aterrizaje que hicimos en el equipo para ello, que hizo que aparezcamos en la patente internacional W0 2018/024833 A1 mi compañero Antonio Guzmán y yo.

Figura 3: Patente W02018024833A1 de Codename 4ª Plataforma

Al final, es un trabajo de Telefónica, pero lo que más me llama la atención, hoy, con la perspectiva de los años, es como de claro que teníamos que construir esa plataforma internamente en Telefónica, cómo debías controlar el Asistente Digital - que finalmente sería AURA -, como la privacidad era clave e importante para nosotros, con la llegada del GDPR, las demandas de Transparencia y Control de Consentimientos de uso de Datos.

Figura 4: Documento PDF de la patente de la 4ª Plataforma

Hoy en día, la locura esa de que los datos y el tiempo que dedicas a una plataforma deben tener un valor, y que sonaba a locura, ha sido reemplazado por el Tokenomics y las criptomonedas proof-of-work  minteadas para los usuarios como forma de pagar su tiempo, sus datos, y su aporte de valor a una plataforma, y que nosotros plasmamos en la primera versión de Movistar Tokens, y que seguimos evolucionando.

Figura 5: Sección Generar Tokens en Mi Movistar

Me llama la atención como una visión de transformación de una compañía se llevó tan decididamente, y creo que fue esa decisión la que hizo posible que, con todas las dificultades que conlleva un cambio tan grande, pudiera avanzar y crecer hasta convertirse en nuestro Telefónica Kernel. Una maravilla ser testigo de excepción.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

El "leak" del Login en tu Banca Online con tu D.N.I. (NIF) o con tu C.I.F.

Ya he hablado muchas veces de lo que llamamos El "leak" del login, o lo que es lo mismo, cómo saber que una persona tiene una cuenta en un servicio a base de aprovechar los intentos de intentar hacer las tres acciones que se pueden hacer con datos públicos de una persona, es decir, Iniciar Sesión, Crear una cuenta o Recuperar una contraseña, y analizar los mensajes de error.

Figura 1: El "leak" del Login en tu Banca Online con tu D.N.I. (NIF) o con tu C.I.F.

Para iniciar sesión en un servicio, para recuperar la contraseña, y para crear una cuenta, nos van a solicitar datos que normalmente son públicos, como son la dirección de correo electrónico, el usuario, o el número de teléfono. Datos, que en una tarjeta de visita pueden aparecer con mucha facilidad. Con estos datos se puede intentar iniciar sesión en un servicio, se puede intentar recuperar una contraseña, o se puede intentar crear una cuenta. 

Figura 2: Se informa al que introduce el e-mail de si la cuenta existe o no

Si el sitio web en el que estamos probando, tanto al intentar iniciar sesión, al recuperar una contraseña o al intentar crear una cuenta, da un mensaje distinto cuando la dirección de correo electrónico o el número de teléfono existe previamente en el servicio, que cuando no existe, entonces podremos saber con facilidad si esa persona tiene una cuenta en esa plataforma, lo que es un leak de privacidad, como hemos visto en ejemplos varios:

• El leak del login en Instagram
• El leak del login en redes sociales de contactos íntimos de adultos
• El leak del login en Grindr

Con todos estos "leaks", es posible capturar el correo electrónico y/o el número de teléfono de una tarjeta de visita y sacar un mapa de los servicios en los que una persona tiene una cuenta, lo que da mucha información de su vida en la red. Con esta premisa, creamos el servicio de Dirty Business Card en nuestro equipo de Ideas Locas.

Figura 3: Demo de Dirty Business Card

Sin embargo, una de las cosas que también se puede extraer información de las entidades bancarias en las que una persona tiene cuenta, no solo por el número de teléfono (como vimos en el caso de Bizum) o la dirección de correo electrónico, lo que facilitaría los ataques de phishing bancario, enviando el correo de phishing del banco correcto a la persona correcta, sino que también se puede hacer por el número de DNI de una persona.

Figura 4: Libro DNI-e: Tecnología y usos

en 0xWord de Rames Sarwat

En algunos bancos, para saber si tienes cuenta o no con ellos, y poder activarte la Banca Online, te solicitan el número de DNI, y si tienen el "leak del login", entonces darán un mensaje diferente cuando ese DNI esté en sus sistemas a cuando no esté en sus sistemas, como en este ejemplo que podéis ver aquí, que para poder ver si tienes cuenta se solicita primero el número de DNI.

Figura 5: Activar el acceso a la Banca Online en un banco

Después, si la cuenta no existe, da un mensaje de error en el que invita a hacerse cliente de la entidad bancaria en concreto, como podéis ver en la imagen siguiente.

Figura 6: Ese DNI o tiene Banca Online

Mientras que si tienes una cuenta bancaria asociada a ese número de DNI (o CIF o NIF dependiendo del número que soliciten), entonces saldrá un proceso distinto para comenzar la recuperación de la contraseña.

Figura 7: Ese DNI tiene Banca Online en este Banco -> Leak

Por desgracia, en nuestro país, localizar el número de DNI, teniendo los dos apellidos y el nombre de una persona, no es demasiado complejo encontrar su número de DNI, ya que en el Boletín Oficial del Estado, en entidades públicas, listados de oposiciones, listados de notas, etcétera, se han publicado y se publican por transparencia, lo que no siempre es lo mejor por privacidad y seguridad.

Figura 8: Un poco de Hacking con Buscadores en Google o Bing y con

Nombre y Apellidos de una tarjeta de visita no es difícil dar con el DNI.

Además, como hemos visto en artículos anteriores, muchos sitios web solicitan con demasiada frecuencia el DNI y hay que tomar precauciones para evitar enviar copias del DNI con todos los datos que den demasiada información, e incluso se pueden enviar los documentos con marcas ocultas de Shaadow para saber en el futuro si ha habido un fallo de seguridad en la gestión de tu documentación.

Figura 9: Libro de "Cómo protegerse de los peligros en Internet"
de José Carlos Gallego en  0xWord

Así que, si encuentras un "leak del login" en una entidad bancaria, lo suyo es que se lo reportes para que hagan menos "Verbose" el proceso y no sea fácil conocer si una persona ( o una organización ) tiene cuenta en esa entidad o no, ya que se lo ponemos más fácil a los malos, que con mucha información, y un poco de ingeniería social son capaces de hacer estragos en las personas menos informadas, como la banda que desarticuló la Policía. Y nos ayuda a todos a estar más protegidos contra los peligros en Internet.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)