El rastro digital son los registros que dejamos al utilizar servicios soportados por Internet. Llegamos a un punto donde estos registros permiten identificarnos casi de forma única. El correo electrónico y el número telefónico hacen parte de nuestra identidad digital y dejan un rastro de nuestra identidad cada vez que los empleamos. La estrecha relación que existe en la actualidad entre las personas y su número telefónico/correo electrónico hace posible utilizar estos atributos para caracterizar o identificar usuarios. Por esta razón es común que plataformas de servicios digitales hagan uso de estos elementos como factores de autenticación. En este documento exploramos estos dos atributos: correo electrónico y el número telefónico.
Correo Electrónico
El correo electrónico o e-mail es una forma de enviar mensajes entre ordenadores conectados a través de Internet. Una dirección de correo electrónico es la forma en que se identifican los puntos de entrada y salida de los mensajes, los cuales están asociados a entidades únicas como personas, empresas u organizaciones. Cada dirección de correo electrónico sólo se puede asignar una vez, lo que garantiza unicidad en su acceso y consumo.
Hoy en día es casi imposible acceder a servicios digitales sin un correo electrónico, siendo uno de los medios de comunicación más representativos. Es un punto central en nuestro relacionamiento con entidades y personas (i.e. bancos, redes sociales, sistemas de pagos en línea, entidades del gobierno, etc). No es común, por lo tanto, que se cambie la dirección de correo personal debido al engorroso proceso de actualizar este dato con los terceros con los que me relaciono.
Utilizando las herramientas adecuadas es posible extraer información relacionada al uso de un correo electrónico, lo que permite hasta cierto punto caracterizar a su propietario. Estas herramientas de perfilamiento o chequeo de email son valiosas en procesos de identificación y evaluación de riesgo, siempre y cuando usen información abierta/legal y se cumpla con las regulaciones locales de protección de datos.
A continuación, listamos la información que puede ser obtenida usando herramientas de perfilamiento de correo:
- Validez y existencia del correo. Muy útil en procesos de registro y onboarding para conocer si la dirección de correo realmente existe y no se trata de un intento de registro falso o robotizado.
- Edad del correo electrónico. Una dirección que haya sido creado recientemente podría ser más sospechosa que una de la cual se tenga registro de uso de varios años. Un registro de uso antiguo puede ser obtenido, por ejemplo, de bases de datos de filtraciones de seguridad (i.e. bases de datos con información de usuarios extraídas ilegalmente de páginas o proveedores de servicios. Estas bases se hacen públicas en su mayoría para informar y poner en alerta a los usuarios). Encontrar una dirección de correo electrónico en una de esas bases de datos ayuda a tener una idea de la antigüedad de la dirección de correo electrónico y para qué ha sido usada.
- Redes sociales. Se puede verificar si el correo electrónico ha sido utilizado para registrarse en algunas plataformas de redes sociales. Incluso en algunas de ellas – si el usuario ha permitido el acceso público-, es posible extraer nombre, fecha de registro y fotografía. Toda esta información puede aumentar la confianza en un individuo y los datos que está proporcionando.
- Presencia en listas negras. En busca de la prevención del fraude, empresas privadas y públicas son cada vez más abiertas en compartir información sobre fraudes o estafas para fortalecer el ecosistema digital. En muchas oportunidades se conforman listas negras que contienen correos electrónicos relacionados con estafas y fraudes. Buscando en estas listas negras es posible identificar direcciones de correo electrónico de alto riesgo.
Número Telefónico
Similar al correo electrónico el número de teléfono está vinculado a nuestro rastro digital. De hecho, se ha popularizado como segundo factor de autenticación usando OTPs (one-time passwords) enviados vía mensaje de texto. Google en 2019 revelo estadísticas de seguridad sobre el uso del número telefónico como segundo factor de autenticación [GOOGLE 2019]. Según la investigación, se bloqueó el 100% de los bots automatizados, el 96% de los ataques de phishing masivos y el 76% de los ataques dirigidos [GOOGLE 2019].
Además de su potencial como factor de autenticación, también es posible realizar un perfilamiento del número para encontrar información relacionada sobre su portador que puede ser usada para identificar riesgos o generar la confianza necesaria para acceder a un producto o servicio. A continuación, listamos la información que puede ser obtenida usando herramientas de perfilamiento de número telefónico:
- Validez/existencia del número.
- Empresa portadora del servicio.
- País y en algunos casos ciudad de prestación del servicio.
- Redes Sociales. Se puede conocer las cuentas que tienen asociado el número telefónico y a partir de las cuentas extraer otra información que tenga un carácter público (i.e. nombres, fecha de registro, nacionalidad, fotografía de perfil, etc).
Conclusión
El correo electrónico y el número telefónico hacen parte de nuestro rastro digital. Ambos son empleados como estrategia de autenticación en conjunto con OTPs para fortalecer la seguridad del ecosistema digital. A partir de ellos es posible, además, extraer información de un usuario para fortalecer el proceso de identificación y validación de identidad, evitando de esta manera potenciales fraudes.
Rubén Manrique