¿Cómo Avast robó los datos privados de 2000 dispositivos en 4 horas?

En la era del 4G ultrarrápido y los móviles de última generación con infinidad de posibilidades lo único que hace falta para obtener un chorro de datos personales es ofrecer una simple red WiFi abierta y gratuita. Incluso en un lugar donde se presupone un mínimo de conocimiento tecnológico como el MWC. Así lo ha demostrado Avast.

“Nos pareció interesante demostrar que lo único que hace falta para derribar la mayoría de sistemas de seguridad que incorpora un smartphone moderno es ofrecer algo gratis” afirma desde el stand de Avast a Gizmodo en Español Gagan Singh, presidente de la división de móviles de la compañía “con el detalle añadido de realizarlo en un evento repleto de periodistas de tecnología, jefes de producto de compañías de hardware e incluso expertos en seguridad”.

Previo al inicio de la feria, Avast estableció en el aeropuerto de Barcelona una serie de hotspots, puntos de acceso WiFi, todos abiertos y gratuitos pero divididos en dos grupos. Los primeros tenían nombres sugerentes como “Mobile World Congress 2016" o “Free Airport WiFi”. Los segundos replicaban el SSID (el nombre de la red WiFi, técnicamente) de franquicias que habitualmente ofrecen conexión gratuita como “Starbucks”. En menos de 4 horas más de 2000 usuarios habían usado los puntos de acceso, totalmente desprotegidos.

Para cada uno de los grupos el comportamiento era distinto. “En el primero los usuarios llegaban al aeropuerto después de un largo vuelo, leían ‘Mobile World Congress’ e ingenuamente asumían que alguien había establecido esa red WiFi para ellos” explica Singh “el segundo es aún más interesante porque en realidad ni siquiera nos hizo falta algún tipo de acción por parte del usuario, bastaba que se hubiese conectado previamente a un Starbucks, por ejemplo, para que el móvil se conectase automáticamente desde su bolsillo o maleta al detectar una red WiFi ya conocida y registrada”.