Piense en esto. Si todo lo que siempre ha grabado en un disco duro externo de pronto apareciera en Google, ¿de qué cosas sobre usted podría enterarse alguna otra persona? ¿Qué podrían conocer acerca de su trabajo o de las personas de su entorno?

Usando unas cuantas búsquedas de Google, XSS descubrió miles de registros personales y documentos en línea.

Los elementos descubiertos eran absolutamente personales en algunos casos. También había documentación de negocios, archivos confidenciales que podrían ocasionar problemas regulatorios, así como archivos de los que un competidor podría sacar provecho. Esto se suma a los archivos que poseen las agencias de gobierno y las instituciones escolares.

Los archivos quedaron expuestos porque alguien utilizó un dispositivo mal configurado para que funcione como nube personal, o el FTP fue habilitado en su router. Si el FTP fue habilitado, la causa probable es accidental. Sin embargo, hubo casos en los que la configuración fue habilitada intencionalmente, pero el impacto de tal acción no fue totalmente comprendida.

No importa cuál sea la causa, el resultado es el mismo.

Los dispositivos en cuestión actúan como servidores FTP, usando la IP de la persona o un nombre de host como dirección. Los backups son completamente indexados y no se requiere autorización para acceder a ellos. Debido a esto, los motores de búsqueda han tratado las unidades externas como archivos públicos.

Lamentablemente para algunas personas, había suficientes archivos indexados por Google como para revelar su vida entera. Todos sus logros, fracasos y luchas personales durante la última década habían sido silenciosamente archivados para que el mundo los viera.

¿De qué tipo de archivos estamos hablando?

De todo, en serio, y podemos incluir hasta información del lavadero de la cocina.

XSS descubrió archivos que datan desde el 2004, pero varios de ellos habían sido actualizados inclusive en marzo del 2015.

Los archivos indexados incluían contraseñas, fotos privadas (apropiadas e inapropiadas para ser públicas), bitácoras y diarios personales, documentos de genealogía familiar, e-mails, documentación y registros domésticos, avisos de tarjetas de crédito y detalles de cuentas, documentos hipotecarios, estados de cuenta bancarios, partidas de nacimiento, partidas de defunción, planes de investigación y desarrollo, planes de ventas, listas de clientes, listas de prospectos y más.

En uno de los archivos más grandes, XSS descubrió una gran cantidad de información personal. El archivo contenía la copia de seguridad de la computadora de una familia con archivos desde el 2009. Si estos fueron almacenados en computadoras utilizadas por la familia, eventualmente fue archivado por su unidad de Western Digital e indexados por Google.

Pero el disco externo no era el problema; el router -un Linksys WRT1900AC- tenía habilitado el FTP de alguna manera. La forma en que eso ocurrió se desconoce, pero debido a que el disco estaba conectado al router, su contenido fue tratado como si fuera público.

Al revisar los archivos del disco, era posible conocer la historia personal y financiera de la familia durante los últimos cinco años. Cuando se les advirtió del problema, la familia compartió su historia con XSS.

Hacia finales del año pasado, una tarjeta de debido y crédito familiar aún estaba comprometida.

“Simplemente no puedo comprender cómo alguien obtuvo la información de la tarjeta minutos después de que la activara. Mi sistema estaba limpio y más seguro que el de una persona promedio”, señaló uno de los miembros de la familia, quien pidió que sus nombres quedaran fuera de la historia.

“Ahora lo sé. Esto no es difícil si mis backups eran públicos y fueron indexados por Google. Adquirí el mal hábito de almacenar los datos de la tarjeta en un archivo de texto. Cuando recibí las tarjetas nuevas, la segunda vez, no actualicé el archivo de texto y el problema cesó. Aunque hay un montón de archivos que no quisiera compartir con otros, especialmente con gente que no conozco, eso era probablemente lo más confidencial desde el punto de vista de identidad”, señaló el miembro de la familia afectada.

Esta familia, como las otras que se descubrieron en la investigación para esta historia, fue notificada acerca del problema, y sus archivos fueron removidos de las listas de búsqueda.

¿Cómo se descubrieron los archivos?

Se encontraron en Google usando operadores estándares de búsqueda.

allinurl:ftp:// XXXX filetype:txt | xls | doc | docx | jpg | jpeg | pdf

Se puede reemplazar la XXXX por el nombre de cualquier servidor que elija, como:

• comcast.net
• bhn.net
• mchsi.com
• optonline.net
• cox.net
• rr.com
• verizon.net

La búsqueda le dice a Google que muestre solo los resultados de FTP, donde la URL contiene una dirección como si fuera una web. Los otros operadores de búsqueda le dicen a Google que busque direcciones FTP que tengan archivos de texto, PDF, documentos de Word, Excel, o imágenes indexadas.

Cualquiera con el FTP habilitado en su router y un dispositivo de almacenamiento conectado a la red, o aquellos que utilizan dispositivos que ofrecen acceso público a la nube, pero no lo configuraron correctamente, aparecerán en los resultados de búsqueda.

¿Cómo sé si mis archivos están en línea?

Busque el nombre de su host. Si no está seguro cuál es, puede encontrarlo aquí.

Una vez que sepa el nombre de su host, abra un navegador y diríjalo a:

ftp://[hostname]

Por ejemplo: ftp://xx-xx-xx-xxx.res.bhn.net

También puede buscar en Google o en otros motores: “xx-xx-xx-xxx.res.bhn.net”

Encontré archivos. ¿Cómo los saco de línea?

Puede pedirle a Google y a los otros motores de búsqueda que los remuevan.

La herramienta de remoción de Google es ésta. La herramienta de remoción usada por Bing, que es de donde Yahoo obtiene sus resultados, se puede encontrar aquí. Necesitará la URL exacta de la lista. Puede intentar una lista de nivel superior genérico, pero puede que tenga que listar cada URL por separado.

Por ejemplo:

Esto podría funcionar: ftp://xx-xx-xx-xxx.res.bhn.net

Pero usted deberá estar listo para solicitar todo lo siguiente:

• ftp://xx-xx-xx-xxx.res.bhn.net
• ftp://xx-xx-xx-xxx.res.bhn.net/folder/file1
• ftp://xx-xx-xx-xxx.res.bhn.net/folder2/file2

Recuerde que remover los archivos indexados desde el motor de búsqueda no arregla completamente el problema. Tendrá que asegurarse de usar su dispositivo de nube personal de manera correcta, o asegurarse de que su router está configurado adecuadamente.

¿Cómo me aseguro de que mi router esté configurado correctamente?

Si descubre sus archivos en línea y no tiene ninguna clase de dispositivo de nube personal, entonces es probable que su unidad de backup esté conectada directamente al router con el FTP habilitado. Tendrá que contactar a su proveedor de Internet para recibir ayuda.

Si está usando un router no provisto por su proveedor, tendrá que asegurarse de que la administración remota está adecuadamente implementada, y que el acceso FTP está completamente deshabilitado. En el manual del router se puede encontrar detalles de esto y el departamento de soporte técnico puede ayudarlo.

¿Cómo me aseguro de que mi nube personal está configurada correctamente?

Mientras se hacía la investigación para esta historia, se descubrió archivos que habían sido indexados en los siguientes dispositivos de nube personal:

• Seagate Personal Cloud
• Seagate Business NAS
• Western Digital My Cloud
• LaCie CloudBox

En cada caso, el manual de usuario explica cómo configurar el dispositivo adecuadamente, y cómo implementar el acceso remoto de manera segura. Se debe contactar al departamento de soporte de la compañía respectiva para obtener ayuda adicional.

Pondere los beneficios

El acceso instantáneo es algo que todos quieren. El truco es recordar la contrapartida: más acceso generalmente equivale a menos seguridad. Para ponerlo de otra forma, cuando se trata de nubes personales y acceso a datos, elija dos de las siguientes opciones:

Acceso ilimitado a los datos; acceso sencillo a los datos; seguridad.

– Steve Ragan, CSO EE.UU.