Cómo conseguir cita en el SEPE en 2025 con Power Automate Desktop sin caer en las mafias

El SEPE (Servicio Público de Empleo Estatal) ha sido víctima de la archiconocida crisis del COVID-19 enlazando la avalancha de expedientes de regulación temporal de empleo (ERTE). Su sistema de citas previas, a su vez, se ha visto seriamente perjudicado. Empezar con el procedimiento de la petición ya sea tanto vía telefónica como vía online, es sencillo, el problema de verdad lo tenemos a la hora de su obtención.

Figura 1: Cómo conseguir cita en el SEPE en 2025

con Power Automate Desktop sin caer en las mafias

Pero… ¿Por qué empeñarse en acudir de manera presencial cuando el paro se puede gestionar desde internet? Cierto, si dispones de DNI-e, Cl@ve Pin… Ésta vía seria la óptima y cómoda. Pero existen otros casos particulares por la cual conviene hablar con una “persona de cara y huesos”.

Motivación Personal

Unos vecinos me pidieron ayuda, necesitaban obtener una cita previa en el SEPE para una gestión particular. Como ciudadano, me dirigí a mi ordenador para así empezar con el trámite. Rápidamente me vi en un “callejón sin salida”… Tras insertar el código postal de la zona, motivo de la asistencia y DNI, el sistema siempre decía que no se disponía de citas en dicho momento.

ç 2: Datos solicitados al inicio de un trámite para concertar cita previa

También lo probé llamando al teléfono nacional (prefijo de Madrid). Un sistema de contestador automático iba descartando/filtrando según las opciones marcadas.

Figura 3: Solicitud de Cita Previa por teléfono.

No hay manera.

Llegados al final se convertía en un bucle (acabando con la llamada). Era sin duda, un desgaste innecesario.

Las Mafias detrás de la disponibilidad de las citas del SEPE

Mis vecinos sabían que un camino directo, era dirigirse a un locutorio para obtenerla de manera - casi - inmediata por un módico precio de unos 5 € o más. Ante la desesperación, el precio podía adaptarse al bolsillo de cualquiera, pero ese método es el que debe ser desechado cuando es bien sabido que no tiene coste alguno para nadie, pero no debemos alimentar estas ilícitas practicas JAMÁS.

Figura 4: Las mafias del SEPE según Perplexity

Al parecer, o bien tienen contactos o utilizan métodos que evaden la trayectoria peticionaria habitual. Sea como sea, debía de hackearse al malo para que le salga “el tiro por la culata” y eso es lo que hice, esa fue mi siguiente misión, ayudar a toda aquella persona con los mismos problemas que han tenido mis vecinos, que pueda tener yo o cualquier ciudadano español.

Jugar a Cara o Cruz hasta salirse victorioso

Con un poco de IA (prompts en Perplexity, Copilot…) y búsqueda tradicional, encontré alguien que había descubierto un método interesante. El truco trata de conmutar entre 2 opciones en el menú desplegable tras la carga de cada una de ellas, de este modo la página refrescaba sin tener que volver al inicio de la petición, con lo que se ganaba agilidad.

Figura 5: Hacking Home Devices I: PoCs & Hack Just for Fun!

Escrito por Gerard Fuguet.

Aunque sea un buen "trueque" o hack el conmutar entre Cita – Presencial y Cita - Telefónica, era algo muy manual y podía llegar a volverse tedioso. El video muestra como con un script de Python, se logra hacer esos clics por ti. Y cuando aparece la cita, entonces detener el script que corría en ventana de consola.

Figura 6 :Truco para conseguir cita previa Sepe + Script Python automatizado

El autor verdadero del script no es el del video, el usuario thePalms le tilda como plagiador de su trabajo. Al parecer, thePalms brindaba el script de manera gratuita por email a todo aquel que lo requería. Esta bien, pero le veía una mejora… os la cuento a continuación.

Macros web y la recomendación de la IA

Había trabajado en automatizaciones de tareas repetitivas para ciertos sitios web y se me ocurrió que esto, casi seguro, se podía hacer con algún plugin para macros web (que hace precisamente cosas de este estilo). 

Figura 7: Microsoft Power Automate

Preguntando a la IA por hacer uso de Macros, comentaba que las “tradicionales” no tenían todo el potencial como para detenerse al encontrar una cita previa disponible (ese era mi objetivo, hacer lo que no había visto en Python del vídeo). Y me mencionó que Microsoft Power Automate Desktop podría ser un buen elegido.

Semi-Automatizando con Power Automate [Desktop]

Power Automate Desktop es la versión de escritorio gratuita de la herramienta de Microsoft para automatizar tareas en Windows. Brinda a los usuarios domésticos la posibilidad de digitalizar y automatizar su rutina de manera simple y gratuita. Se encuentra dentro de la suite Power Automate, plataforma basada en la nube que simplifica y potencia la automatización en el entorno empresarial moderno.

Paso 1: Descarga e Instalación

La instalación es la típica de “siguiente-siguiente…” y funciona tanto en Windows 10 (recordar que el fin de soporte “está pisando los talones” y finaliza este 14 de octubre 2025) como en Windows 11. Se puede encontrar en el siguiente enlace oficial:

• Descargar  Microsoft Power Automate

Figura 8: Detalles de la instalación de Power Automate Desktop

Yo he usado el ejecutable (necesitando permisos de administrador). Para este propósito, es suficiente con tildar la primera opción, aceptar los términos y clicc en Instalar.

Paso 2: Habilitar Extensión en tu navegador

También es necesario la inserción de un plugin para tu navegador favorito. El asistente facilita accesos para ello ya sea para Google Chrome, Microsoft Edge o Mozilla Firefox.

Figura 9: Finalización correcta de Power Automate Desktop

Habilitar extensión para tu navegador

Si tienes la buena costumbre de trabajar en modo Incógnito/InPrivate en tu navegador, entonces debes tener en cuenta detalles adicionales para activar el plugin dentro de la gestión de extensiones. El siguiente ejemplo es para Microsoft Edge.

Figura 10: Habilitar la extensión bajo modo InPrivate en Microsoft Edge

Paso 3: Cuenta de Microsoft e Inicio de Sesión

Cuando el programa se ejecuta, requiere una cuenta de correo electrónico de Microsoft. Ésta puede ser un @outlook.com, @hotmail.com o alguna cuenta propia de tu dominio favorito vinculada. La última pantalla es la selección de la región.

Figura 11: Elección de la región tras Inicio de Sesión

Yo he optado por no aceptar la recepción de correos electrónico promocionales. Ya ves, manías que tiene uno para no recibir mucho "spam" comercial.  Tras comenzar “empieza ya la fiesta” ;)

Pensando en la creación de la lógica del Flujo y Automatización

Puedes palpar el programa e ir experimentando sobre la marcha, pero lo mas importante es pensar como hacerlo para automatizar las interacciones humanas que se efectúan en el navegador y adaptarlo al lenguaje tipo pseudocódigo de Power Automate Desktop.

Figura 12: Hacking Home Devices II: PoCs & Hack Just for Fun!

Escrito por Gerard Fuguet.

¿Cómo logro que pare la conmutación entre Presencial y Telefónica cuando exista una Cita Previa disponible? Debemos pensarlo como si se tratase de una receta de cocina, con sus ingredientes y utensilios, ajustes de tiempo necesarios para dar con un el resultado final esperado.

- Pensando en “voz alta”

En la casuística que nos compite, cuando estamos frente a la pantalla de selección de canal, presenta el mismo mensaje en ambos casos en el cuadro de diálogo:

•  “En estos momentos no podemos ofrecerle citas en la oficina seleccionada.”

Cuando existe cita previa disponible el texto desaparece. Es momento de hacer STOP al procedimiento cíclico para iniciar la selección manual de la/s oficina/s deseadas (con suerte, puede aparecer mas de una). Luego toca “correr” para “mantenerla con vida” hasta su confirmación que trae consigo un código de localizador (puede ocurrir que no se encuentre disponible después del esfuerzo). 

Figura 13: Finalizando día y hora de la fecha introduciendo

datos personales para la Cita Previa en SEPE

Debemos tener preparados todos los datos requeridos, ya sea en un bloc de notas u otro aplicativo, para hacer un típico CTRL + C & CTRL + V. Deben insertarse al menos: Nombre, Primer apellido, Teléfono, aceptar aviso de privacidad e insertar el captcha.

- Leyendo el pensamiento de Power Automate Desktop

Una vez aclarados los hitos del flujo para su automatización. La grabadora se emplea para, literalmente, grabar lo que hacemos con la web. Se empieza en el punto de la selección de canales. Se selecciona Presencial (y se anota en el cuaderno de bitácora). Luego con el botón derecho del ratón, se le indica que la página web se espere hasta que el texto del cuadro de diálogo desaparezca. Finalmente, grabamos la selección de Telefónica como último paso en la selección de canal. No hacemos nada con el texto porque normalmente, la cita suele aparecer dentro del canal de Presencial.

Ahora toca “orquestar” con los “ingredientes” capturados

Debe establecerse una repetición, para ello se escoge la función de bucle, algo así que sea “mientras esto no sea cierto, tu tira millas”. Debemos “jugar” con la captura de texto que hicimos en la grabación. Mientras exista el texto todo sigue para adelante, pero cuando el texto no se encuentre, entonces gestionemos un error, y vamos a estipular una variable con un valor, en este caso llamado “Fallo”. Al bucle le decimos que mientras la variable no sea igual a “Fallo”, todo sigue con normalidad. 

¿Y cuando la variable coja el valor dé “Fallo”? Establecemos un condicional dentro del bucle pues. Cuando la variable tenga el valor de “Fallo”. ¡Sal del bucle!

¿Y ya está? Bueno, podemos decir que al finalizar todo el flujo, reproduzca un sonido (por ejemplo). Yo le he puesto el sonido del programa de grabación de CD/DVD de ImgBurn para cuando finalizaba con éxito una grabación (me parecía un sonido muy logrado para percatarse en ausencia del proceso). 

¿Y si la cita ya no se encuentra disponible en el transcurso final? Pues nada, darle de nuevo al Play de tu Power Automate Desktop ;) Si todo ha parecido un auténtico calvario o algo no acaba de verse claro, no te preocupes porque muestro a continuación un vídeo que consta de tres partes. 

1. La situación del SEPE en este año 2025.
2. El método manual de la conmutación entre Presencial y Telefónica.
3. Y el más interesante, el Semi-Automático haciendo uso de Power Automate Desktop.

Figura 14: Cómo conseguir cita en el SEPE en 2025 con Power Automate Desktop

¿Te has fijado que se ha dejado entrever un DNI al principio de la solicitud? No te preocupes, es un número generado de manera aleatoria (empleado para esta Proof of Concept). Puedes hacerlo bien preguntándoselo a la IA -sin que te la lie- o bien aprendiendo como funciona el algoritmo.

Bonus Track Calcular letras de DNIs "inventados"

El algoritmo para calcular la letra del DNI es muy sencillo. Consiste en dividir el número de DNI (los 8 dígitos) entre 23 y obtener el resto de esa división. Este resto será un número entre 0 y 22, que se utiliza para buscar la letra correspondiente en una tabla predefinida. Si haces uso de la calculadora nativa científica de Windows 10, puedes hacerlo fácilmente con la tecla mod. 

Divides, por ejemplo, 12345678 mod 23 (importante picar mod en lugar de / o tecla de dividir) y el resultado debes compararlo con la tabla, donde (resto=letra);

0=T, 1=R, 2=W, 3=A, 4=G, 5=M, 6=Y, 7=F, 

8=P, 9=D, 10=X, 11=B, 12=N, 13=J, 14=Z, 15=S,

16=Q,17=V, 18=H, 19=L, 20=C, 21=K, 22=E

Agradecer a la gran amiga María Gómez quién me hizo ver claramente que esto tenía que salir a la luz y al resto de participantes del “chatazo” que tenemos montado. Es el Chat Público de El Lado del Mal. Pásate que no te aburrirás ;)

Figura 15: Darse de alta en la conversación Pública de El lado del mal

A debate: ¿Es culpa del Gobierno o de las Mafias?

And Remember… Be Good. Be Hackers!!!

Autor: Gerard Fuguet (Contactar con Gerard Fuguet) Escrito de los libros “Hacking Home Devices I: PoCs & Hacks Just for Fun” & “Hacking Home Devices II: PoCs & Hacks Just for Fun”

Cómo una imagen hecha con Morphing puede generar Match con dos personas en el Reconocimiento Facial del Control de Pasaportes

No es que esta semana tuviera marcado en el calendario que iba a hablar de Facial Recognition & Face Comparison, pero es es el tercer artículo seguido que dedico a esto después de hablar "Sobre la Fiabilidad del Reconocimiento Facial en Imágenes de Cámaras de Seguridad" y "Sobre descubrir dobles de líderes mundiales con Facial Recognition Technology". Hoy hay que hablar de los riesgos de las imágenes hechas con técnicas de Morphing para la detección de suplantación de identidades en controles con Reconocimiento Facial, como el que hay en las fronteras de los aeropuertos, por ejemplo.

Figura 1: Cómo una imagen hecha con Morphing puede

generar Match con dos personas en el Reconocimiento

Facial del Control de Pasaportes

Una imagen Morph o hecha con técnicas de Morphing se hace a partir de otras dos imágenes originales, que pueden pertenecer a dos personas diferentes, que pueden ser diferentes sexo, raza o edad. Es un algoritmo de Inteligencia Artificial que mezcla los rasgos de esas dos personas para dar una nueva persona. 

Figura 2: La imagen de la izquierda es una imagen Morph de la

suma de las fotografías de la derecha. De 2 personas distintas.

En esencia se parece a las técnicas de StyleGAN, pero hecho a partir de dos personas reales para que la imagen Morph tenga la esencia de las dos anteriores. Esto provoca que se produzcan situaciones de seguridad muy interesante, que el NIST ha publicado en una documento titulado: "Face Analysis Technology Evaluation (FATE) MORPH. Considerations for Implementing Morph Detection in Operations" y que puedes leer online.

Figura 3: Face Analysis Technology Evaluation (FATE) MORPH.

Considerations for Implementing Morph Detection in Operations"

Esto, que inicialmente parece un ejercicio tecnológico visual curioso , puede ser utilizado para crear personas que no existen, como en el caso de las StyleGAN, pero también pueden acabar siendo utilizadas de forma impresas en documentos oficiales como un Pasaporte Nacional al que aplica una persona.

Figura 4: Imagen Morph, digitalizada, retocada, impresa y escaneda

El riesgo, como ha alertado en una presentación del National Institute of Standards and Technology que puedes leer online, es que esa imagen Morph puede dar Match a las dos personas que se utilizaron para construirla.

Figura 5: Una imagen Morph puede validar a dos personas

El riesgo que esto tiene es muy grande, porque una persona puede ir a sacarse el Pasaporte con una Imagen Morph, y luego esa fotografía podría validar a otra persona en los sistemas de Reconocimiento Facial de la frontera, con lo que se estaría colando en un país alguien que no es la persona identificada.

Figura 6: Un pasaporte, Dos personas

Esto se produce porque los sistemas de Facial Recognition tienen un sistema de validez del Match basado en Thresholds de Similitud, y esto no es algo válido cuando se trata de Verificación de una Identidad, donde hay rasgos que deben ser conclusivos. Por ejemplo, podemos tener un grado de similitud en dos personas en 90% y resulta que son de diferente raza. 

Figura 7: Artefactos de una Imagen Morph

Las imágenes Morph, para que funcione la magia, hacen una manipulación de los rasgos fundamentales como los ojos, la nariz, los labios, etcétera, haciendo manipulación en forma de artefactos que son mezcla de los rasgos de las dos imágenes originales. Esto lleva a que en esos puntos se cree la magia tecnológica de la manipulación, y es lo que permite el problema anterior.

Figura 8: Más de 1.000 casos de Imágenes Morph en USA

Según la presentación publicada, en los Estados Unidos han tenido más de 1.000 casos de pasaportes hechos con imágenes Morph, ya que estas - si engañan a un sistema de Facial Recognition - con dos personas con cierta similitud y una imagen Morph, pueden engañar a las personas. No todos nos parecemos tanto a nuestras fotos de los documentos de identidad.

Figura 9: Procesos de detección de Morph

El NIST está proponiendo utilizar en todas las aplicaciones para obtención de Pasaportes o Documentos de Identidad, un sistema de detección de Imágenes Morph, buscando detectar los artefactos dejados por la aplicaciones más comunes utilizadas para la generación de estas imágenes, revisar los metadatos de las fotografías, buscando información EXIFF que pueda delatar la manipulación con herramientas digitales.

Figura 10: Imágenes Morph generadas con diferentes aplicaciones

La segunda parte consiste en hacer análisis entre la imagen de la persona en la cámara de Facial Recognition y la Imagen Morph, buscando rasgos deterministas de la identidad, como una cicatriz o un lunar que falta en la fotografía o en la imagen de la cámara en la frontera, para generar una alerta de seguridad.

Figura 11: Falta la cicatriz en la imagen de la cámara de la frontera

En esos casos, aunque la Similitud del algoritmo de Face Comparison sea alta, existe un elemento - la cicatriz - que invalida la identidad, por lo que se debe levantar una alerta de seguridad.

Figura 12: Identidad y Similitud

Por último, para detectar si es una Imagen Morph que está siendo utilizado por una o dos personas, se puede tener en cuenta esta distribución entre Identidad y Similitud. Cuando es original, hay un pico de Similitud muy alto, mientras que que cuando es una Imagen Morph da un pico de Similitud más rebajado y, si en la base de datos hay dos personas, la distribución de Similitud se extiende entre más imágenes.

Figura 13: Match con dos imágenes de la misma persona con

índices de Similitud muy altos.

Sin embargo, si usamos la misma base de datos, pero buscando con una Imagen Morph de esa persona (con otra que no está en la base de datos), los índices de Similitud se reducen.

Figura 14: Usando una Imagen Morph para hacer Match

Si las dos personas a partir de las que se ha creado la Imagen Morph está en la base de datos, los resultados de Similitud en el algoritmo de Facial Comparison son menos acentuados, tal y como se veía en la gráfica de la Figura 12.

Figura 15: Match a dos identidades pero

con grados de Similitud menor.

El uso de las herramientas de Inteligencia Artificial Generativa aplicadas al mundo de las generación de imágenes crea, como hemos visto en este artículo, nuevas amenazas y nuevas brechas de seguridad que hay que mitigar, como se puede observar, hay que estudiar los detalles para poder contra restarlas. Muy interesante este trabajo.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

El "leak" del Login en tu Banca Online con tu D.N.I. (NIF) o con tu C.I.F.

Ya he hablado muchas veces de lo que llamamos El "leak" del login, o lo que es lo mismo, cómo saber que una persona tiene una cuenta en un servicio a base de aprovechar los intentos de intentar hacer las tres acciones que se pueden hacer con datos públicos de una persona, es decir, Iniciar Sesión, Crear una cuenta o Recuperar una contraseña, y analizar los mensajes de error.

Figura 1: El "leak" del Login en tu Banca Online con tu D.N.I. (NIF) o con tu C.I.F.

Para iniciar sesión en un servicio, para recuperar la contraseña, y para crear una cuenta, nos van a solicitar datos que normalmente son públicos, como son la dirección de correo electrónico, el usuario, o el número de teléfono. Datos, que en una tarjeta de visita pueden aparecer con mucha facilidad. Con estos datos se puede intentar iniciar sesión en un servicio, se puede intentar recuperar una contraseña, o se puede intentar crear una cuenta. 

Figura 2: Se informa al que introduce el e-mail de si la cuenta existe o no

Si el sitio web en el que estamos probando, tanto al intentar iniciar sesión, al recuperar una contraseña o al intentar crear una cuenta, da un mensaje distinto cuando la dirección de correo electrónico o el número de teléfono existe previamente en el servicio, que cuando no existe, entonces podremos saber con facilidad si esa persona tiene una cuenta en esa plataforma, lo que es un leak de privacidad, como hemos visto en ejemplos varios:

• El leak del login en Instagram
• El leak del login en redes sociales de contactos íntimos de adultos
• El leak del login en Grindr

Con todos estos "leaks", es posible capturar el correo electrónico y/o el número de teléfono de una tarjeta de visita y sacar un mapa de los servicios en los que una persona tiene una cuenta, lo que da mucha información de su vida en la red. Con esta premisa, creamos el servicio de Dirty Business Card en nuestro equipo de Ideas Locas.

Figura 3: Demo de Dirty Business Card

Sin embargo, una de las cosas que también se puede extraer información de las entidades bancarias en las que una persona tiene cuenta, no solo por el número de teléfono (como vimos en el caso de Bizum) o la dirección de correo electrónico, lo que facilitaría los ataques de phishing bancario, enviando el correo de phishing del banco correcto a la persona correcta, sino que también se puede hacer por el número de DNI de una persona.

Figura 4: Libro DNI-e: Tecnología y usos

en 0xWord de Rames Sarwat

En algunos bancos, para saber si tienes cuenta o no con ellos, y poder activarte la Banca Online, te solicitan el número de DNI, y si tienen el "leak del login", entonces darán un mensaje diferente cuando ese DNI esté en sus sistemas a cuando no esté en sus sistemas, como en este ejemplo que podéis ver aquí, que para poder ver si tienes cuenta se solicita primero el número de DNI.

Figura 5: Activar el acceso a la Banca Online en un banco

Después, si la cuenta no existe, da un mensaje de error en el que invita a hacerse cliente de la entidad bancaria en concreto, como podéis ver en la imagen siguiente.

Figura 6: Ese DNI o tiene Banca Online

Mientras que si tienes una cuenta bancaria asociada a ese número de DNI (o CIF o NIF dependiendo del número que soliciten), entonces saldrá un proceso distinto para comenzar la recuperación de la contraseña.

Figura 7: Ese DNI tiene Banca Online en este Banco -> Leak

Por desgracia, en nuestro país, localizar el número de DNI, teniendo los dos apellidos y el nombre de una persona, no es demasiado complejo encontrar su número de DNI, ya que en el Boletín Oficial del Estado, en entidades públicas, listados de oposiciones, listados de notas, etcétera, se han publicado y se publican por transparencia, lo que no siempre es lo mejor por privacidad y seguridad.

Figura 8: Un poco de Hacking con Buscadores en Google o Bing y con

Nombre y Apellidos de una tarjeta de visita no es difícil dar con el DNI.

Además, como hemos visto en artículos anteriores, muchos sitios web solicitan con demasiada frecuencia el DNI y hay que tomar precauciones para evitar enviar copias del DNI con todos los datos que den demasiada información, e incluso se pueden enviar los documentos con marcas ocultas de Shaadow para saber en el futuro si ha habido un fallo de seguridad en la gestión de tu documentación.

Figura 9: Libro de "Cómo protegerse de los peligros en Internet"
de José Carlos Gallego en  0xWord

Así que, si encuentras un "leak del login" en una entidad bancaria, lo suyo es que se lo reportes para que hagan menos "Verbose" el proceso y no sea fácil conocer si una persona ( o una organización ) tiene cuenta en esa entidad o no, ya que se lo ponemos más fácil a los malos, que con mucha información, y un poco de ingeniería social son capaces de hacer estragos en las personas menos informadas, como la banda que desarticuló la Policía. Y nos ayuda a todos a estar más protegidos contra los peligros en Internet.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

Cómo poner una marca oculta Shaadow a la documentación que te piden las empresas para saber quién no la protegió bien

La globalización, la digitalización de las organizaciones y, por último, la pandemia han propiciado que la mayoría de gestiones que realizamos en nuestro día impliquen el envío de información y documentación personal por medio de medios telemáticos. A veces esto último implica que muchos datos y documentos personales nuestros pasan por esos canales y van a multitud de personas, sobre todo en ciertos trámites que implican de varios escalones el proceso. 

Figura 1: Cómo poner una marca oculta Shaadow

a la documentación que te piden las empresas

para saber quién no la protegió bien

El otro día hubo por aquí un debate sobre este tema, propuesto por Gerard Fuguet, que hablaba de cómo preparar un DNI para que no sea utilizable o por los cibercriminales, y el sábado se publicó el artículo de Luis Eduardo Álvarez para utilizar direcciones de e-mail marcadas para saber qué sitio no la protegió.  Pero nos piden muchos documentos, y cada uno de ellos necesita una media de protección.  Hoy veremos cómo podemos utilizar herramientas como Shaadow, que pone marcas invisibles y ocultas en los documentos, que nos permita proteger y defender esa información de los ojos de terceras personas no implicadas en ese proceso, ya que en caso de que eso pasase sabríamos dónde ha fallado el sistema.

Fallos en la cadena de gestión documental y su detección con shaadow.io

Publicó Chema Alonso hace un tiempo cómo utilizar Shaadow para detectar al miembro del equipo que filtra documentos confidenciales, pero hoy quería centrarme en un ejemplo de lo comentado previamente es cuando nos encontramos en un proceso de compra-venta de una vivienda. Hay muchos trámites y papeleo de por medio, teniendo que enviar continuamente y a varias personas gran cantidad de documentación con nuestros datos personales.

@chema_alonso Descubrir al traidor de tu equipo que filtra los documentos confidenciales al enemigo. https://shadow.io #leaks #ciberseguridad #hacking #privacidad ♬ Mistery (Mistery) - Yoko Tai

Debemos estar preocupados por si esos datos pudieran llegar a filtrarse, intencionadamente o fruto de un ciberataque, ya que incluyen copias de documentos importantes como nuestro nombre, DNIe, estado financiero, direcciones de domicilios, etcétera. Siendo conscientes de ello, veamos cómo proteger nuestros documentos mediante el marcado invisible de Shaadow.io.

Figura 3: Planes de Shaadow.io

Antes de nada, para poder comenzar a utilizar la herramienta, lo recomendable es ir a la sección de planes y elegir de las diferentes opciones que nos dan la que se adapte mejor a nuestras necesidades. En la parte de planes encontramos una prueba gratuita que nos permitirá poner hasta cinco marcas y realizar cinco extracciones. También se podrán adquirir créditos individuales tanto de marcado como de extracción, además de tres tipos de membresías mensuales.

Figura 4: Prueba gratis y membresías de Shaadow.io

Una vez seleccionado el plan que más se adecue a lo que queremos, nos pedirá crearnos una cuenta si no tenemos ya una previa. Tendremos que facilitar los siguientes datos y nos llegará un código a nuestro correo electrónico con el que confirmar nuestro perfil.

Una vez creado nuestro perfil, accedemos a la plataforma de shaadow.io y procesamos el contrato en la misma, insertándole las siguientes marcas identificativas para que, en caso de que la cadena de custodia se rompa, poder averiguar dónde ha sido y exigir explicaciones a los responsables. Como podemos ver, hay dos posibilidades de marcado. 

Figura 5: Opciones de Marcado en Shaadow.io

En este caso, donde vamos a MARCAR el documento de un CONTRATO que nos solicita una web bancaria, usaremos la opción de “Marcar y Descargar”, con que podremos marcar el documento y descargarnos el archivo con esas marcas. 

Figura 6: Subido el Conrato en PDF y seleccionadas las marcas invisibles a incluir

Le damos a “Subir”, justo después de haber puesto las marcas que queremos incluir. Como véis, hemos seleccionado 4 marcas diferentes para el documento, lo que genere varios documentos del mismo CONTRATO, con diferentes marcas. Cuando termine la subida del documento,  podremos ver que nuestro documento ha sido marcado con éxito.

Figura 7: Ya tenemos un CONTRATO con 4 marcas diferentes

Posteriormente, descargaremos una carpeta con cuatro documentos en formato PDF idénticos, excepto por la marca de agua invisible que se ha añadido a cada uno de ellos de manera imperceptible, que los asocia inequívocamente uno a uno con el destinatario de cada comunicación. 

Figura 8: Los documentos de CONTRATO con sus marcas invisibles

Ahora, procedemos a enviarles por email a cada interesado el documento con su respectiva marca de agua. De esta forma, con este proceso que hemos realizado, si se filtra ese contrato en la web, solo se habrá filtrado el de una marca de agua concreta.

Aparece el contrato filtrado

Supongamos que un tiempo después nuestros documentos privados aparecen “colgados en la red” fruto de un ciberataque, de manera que cualquiera puede verlo y usar nuestros datos para fines ilícitos. Habiéndolos protegido con shaadow.io, podremos saber quién de las entidades involucradas en el proceso descuidó su seguridad y custodia. Procedemos a hacer una simple captura de pantalla a la imagen del documento que hemos encontrado en la red para poder procesarlo en la plataforma de shaadow.io.

Figura 9: Captura de pantalla del documento filtrado en la red

Accedemos a la plataforma de shaadow.io con nuestro perfil de usuario y nos dirigimos hasta la sección de “Extracción”, en el menú lateral izquierdo. Subimos el archivo que hayamos podido obtener, ya sea el documento completo, un fragmento de este o incluso una fotografía o captura de pantalla.

Figura 10: Subimos la captura en la zona de Extracción de Marca

La plataforma procesará el archivo que hayamos subido y nos devolverá como resultado la marca que se insertó en el documento que ha sido filtrado. En este caso, la extracción de la marca invisible evidencia que el culpable de esta fuga de información ha sido la inmobiliaria. Gracias a esto, podremos emprender acciones legales contra los sujetos que descuidaron nuestros datos, ahorrando y centrando la larga investigación que habría supuesto delimitar quién fue exactamente la fuente u origen de la filtración (recordemos que en este caso, el documento fue enviado y revisado por varias personas).

Figura 11: Marca extraída de la captura del documento

A pesar de que en esta situación la fuga ha sido realizada por alguien externo a la inmobiliaria que detectó una brecha en su sistema de ciberseguridad y la aprovechó, la responsabilidad de no custodiar bien los datos personales de sus clientes sigue recayendo en ellos y en una estrategia de protección documental deficiente.

Comentarios finales

En el entorno empresarial, Shaadow.io puede ser también una barrera de defensa adicional ante este tipo de casos, permitiendo que los datos personales de un documento puedan ser anonimizados e incluidos en la marca invisible con acceso restringido. De esta forma se puede gestionar la documentación sin problema dentro de la organización asegurándonos de que, en caso de otro ciberataque, el responsable no podría filtrar y vender los datos privados de los clientes.

Esta sincronización entre entidades y sus clientes se puede hacer de un modo sencillo gracias a la opción de shaadow.io de integrarse a través de la API con los procesos y estrategias de seguridad ya existentes en las propias organizaciones.

Figura 12: Shaadow API para empresas

No debemos pensar que por enviar nuestra información a una entidad aparentemente segura nosotros no debemos preocuparnos por ella. Tenemos que ser los que coloquen la primera barrera de seguridad, ya que es algo que nos pertenece y que para terceras personas puede tener más valor del que nosotros le otorgamos. Shaadow.io es una herramienta que permite esto y es bastante sencilla, así que cualquiera puede hacer uso de ella sin ningún problema, desde una gran organización hasta el consumidor directo.

Marcando nuestros documentos, los estaremos protegiendo no solo ante posibles fugas de información, sino que reafirmaremos su autoría o los datos que en ellos aparecen (esto se denomina doble confirmación o "double check"). Además, Shaadow.io y su tecnología permiten que esas marcas de agua invisibles que hemos insertado aguanten hasta en los formatos físicos, es decir, aunque un documento se imprima o fotografíe, se podrá extraer aún la información enlazada al mismo. No dejes solo en manos de otros la seguridad de tus documentos personales.

Un saludo,

Autor: Isabel Hernández Ruiz, CEO de Shaadow.io

Contactar con Isabel Hernández Ruiz