Todo lo que los cibercriminales pueden saber de ti de lo que vendes en Wallapop

Una de las mayores amenazas que existen en Internet es la ingeniería social. No es más que la recolección de datos que puede hacer un ciberdelincuente sobre una persona para chantajearla, acceder a sus redes sociales, email o incluso a su cuenta bancaria. Pero, además, es una puerta digital a la vida “offline” de cualquier persona. Es decir, con la información que un hacker puede obtener de alguien en sus redes sociales, puede prever patrones de conducta, saber en qué colegio estudian sus hijos, o incluso donde tiene aparcado el coche.

El riesgo de usar redes sociales “en abierto” es algo en lo que los expertos en ciberseguridad llevan muchos años insistiendo, pero… ¿qué ocurre con aquellas plataformas que están ideadas para la compra-venta de productos?

Sin ir más lejos, cuando entramos en Wallapop o en Vibbo, tenemos a nuestro alcance una cantidad de información privada sobre cualquier persona que no debería estar al alcance de todo el mundo.

Pongamos el caso de Borja V., un usuario que hemos inventado para escribir este post, basándonos en personas reales que hemos encontrado al azar en WallaPop. Con solo mirar 2 minutos su perfil y hacer un par de búsquedas en Google, podríamos ponerle en un verdadero aprieto.

Veamos por pasos lo fácil que sería. En la app de venta de objetos de segunda mano tiene 122 productos en venta, ha realizado 347 transacciones y ha recibido 72 opiniones de otros usuarios.

Uno de los productos que vende es un coche deportivo de gama alta a un precio muy razonable. En las fotos que ha subido a la plataforma no se ve la matrícula porque previamente la ha borrado con Photoshop, pero ha dejado muchos detalles en las imágenes. Todas ellas han sido tomadas en un garaje, con lo que asumimos que han sido tomadas en su casa o en la oficina.

Como la aplicación funciona por geolocalización, ya sabemos que vive o trabaja cerca de dónde estamos.

Pero además, entramos en su perfil y vemos el resto de objetos que tiene en venta. Entre otras cosas, tiene discos en vinilo de grupos de los noventa, una silla para llevar un bebé en el coche, varios libros escolares y una impresora láser. Con esta información podemos deducir que tiene en torno a 45 años por sus discos, que tiene un hijo de más de 5 años y que seguramente tenga una pequeña empresa.

Si a toda esta información añadimos que hemos encontrado en Idealista.com que un tal Borja V. vende como particular una plaza de garaje por la misma zona en la que hemos encontrado los anuncios de WallaPop, y vemos que las fotos coinciden con las de la app de venta de segunda mano, ya solo nos quedan atar un par de cabos sueltos más para poder estafar, robar o chantajear a esta persona fictícia.

El resto de perjuicios que podría sufrir caben en la imaginación de cualquiera, sea hacker o no.

Consejos para aumentar la seguridad en sitios como WallaPop

Como hemos visto, Borja V. tomó medidas de seguridad como borrar la matrícula de su coche, pero no se dio cuenta de que los libros de sus hijos dan muchas pistas sobre dónde estudian o que los alrededores de dónde estaba aparcado el coche también daban mucha información.  Tampoco fue consciente de que poner su nombre y sus apellidos junto a productos que vende en Internet, da mucha información que se puede cruzar con una sencilla búsqueda en Google.

Es muy importante no dejar pistas de quiénes somos en Internet. Y, sobre todo, evitar que lo que tenemos en las redes sociales y en páginas de venta, no permita obtener información sobre nosotros o nuestras familias.

Por ello, hay que crear perfiles con pseudónimos distintos para cada página de venta, así como evitar siempre la geolocalización.

Si, además, vendemos productos relacionados con nuestros hijos, es recomendable hacer perfiles distintos de venta para diversificar el riesgo de que alguien sepa quiénes son los niños y quiénes son sus padres.

Aunque estas redes sociales te recomiendan que uses una foto para que se vea que eres un vendedor de fiar, fíjate que hay muchas personas que suben un avatar y aun así tienen unas valoraciones muy positivas. Es mejor que hable de ti las valoraciones que una imagen de tu cara.

Por último, y aunque no es el caso de nuestro fictício Borja V., es muy importante destacar que es un error subir fotos de ropa a modo selfie en las que se ve la cara del vendedor. Se trata de ‘un importante reclamo’ para acosadores.

El refranero español reza que ‘el sentido común es el menos común de los sentidos’ y en Internet es más cierto, si cabe, que en la vida offline. Por eso, al igual que no le decimos a nadie por la calle donde vivimos, ni a qué colegio van nuestros hijos, ni mantenemos la etiqueta con el precio de un abrigo para que se vea que es un artículo de lujo, tampoco deberíamos indicarles esas cosas a los desconocidos en Internet”, advierte Hervé Lambert, Global Retail Product Manager de Panda Security.