Hace años que los crackers usan la incursión en servidores ajenos como forma de alterar la información que las empresas ofrecen sobre sí mismas en sus webs, o de intervenir sus comunicaciones con clientes o trabajadores espiando sus correos electrónicos. Pero, en un mundo en el que la búsqueda de información pasa casi irremediablemente por Google… ¿no es también una opción factible ‘hackear’ la información ofrecida por este buscador (por ejemplo en sus servicios Google Places y Google Maps)? Pues sí.
Alteración de datos vía ‘crowdsourcing’
El restaurante “Serbian Crown” era un establecimiento que servía cocina francesa y rusa en el área de Washington DC que a principios de 2012 empezó a experimentar una súbita caída de asistencia de sus clientes de hasta el 75% en los días en que se concentraba la mayor parte de su negocio: sábado, domingo y lunes.
La caída carecía de justificación aparente, pero eso no impidió que la situación se mantuviera inalterable, provocando primero el despido de parte de su personal, y finalmente el cierre de su negocio. Su gerente, René Bertagna, no supo qué estaba pasando hasta que uno de sus clientes habituales le llamó para preguntarle por qué había escogido precisamente esos tres días para cerrar. Lo había visto en Google Maps.
Bertagna no había prestado hasta entonces atención a Google ni a sus herramientas, a pesar de que su restaurante estaba lejos de las rutas habituales de paso, y de que por tanto sus clientes querrían asegurarse de que estaba abierto antes de salir de casa. Finalmente, pese a haber contratado a un consultor de marketing online que solventó el problema, para entonces su restaurante estaba herido de muerte, y cerró en abril de 2013.
Como recoge Panda Security en su blog corporativo, “la información de los distintos negocios puede ser editada por los usuarios de Google. Este crowdsourcing se convierte en un arma de doble filo: por una parte cualquiera puede anunciar un cambio en el horario de una tienda, pero alguien de la competencia también puede modificar el estado de un comercio a “Cerrado permanentemente”. Es tan sencillo como varios usuarios informando a la vez de un cierre permanente, un número de teléfono falso o un horario de apertura distinto al real: Google modifica los datos tras la edición de la comunidad y, si no estás pendiente, tu negocio puede cerrar virtualmente”.
Utilizar las deficiencias del proceso de verificación
Otras veces el problema no está en la edición de horarios, sino en la misma existencia o no de los negocios recogidos en Google Maps. Por ejemplo, el pasado marzo se supo que un hacker llamado Bryan Seely había conseguido grabar conversaciones dirigidas al FBI y al Servicio Secreto, creando ubicaciones falsas para las oficinas de ambos organismos en San Francisco y Washington, y atribuyéndoles números de teléfono (desviados a los reales) de los que él era titular. Seely dijo que su ‘hackeo’ carecía de intencionalidad criminal, pues sólo pretendía demostrar el deficiente sistema de verificación de Google Maps (permitiendo marcar ubicaciones de negocios falsas en cualquier lugar) y la facilidad que tendría cualquier delincuente para obtener información personal de ciudadanos que llaman a los números de teléfono que aparecen en Google.
from TICbeat http://ift.tt/1ovwHTh
