Números de serie

Cualquiera que viva en el mundo de hoy en día es consciente de que vivimos rodeados de un gran número de números de serie. Éstos posibilitan identificar de manera única un software, dispositivo o elemento, y si esto va asociado a una persona, permite monitorizar, controlar y registrar lo que hace esa persona si estos números pueden ser accedidos. Nótese que a diferencia de los patrones de fingerprinting, estos números no son nada accidental, sino que han sido diseñados para ser únicos.

Tras esta breve introducción, me gustaría repasar algunos de los números de serie que llevamos encima y por los cuales se nos puede identificar y de los que quizás no seamos totalmente conscientes.

Empecemos por cosas que llevamos encima:

  • Todos tenemos un DNI (documento nacional de identidad), que evidentemente es nuestro número de serie “administrativo”.
  • La tarjeta RFID del metro o del autobús, ya implantada en muchas ciudades, tiene un número único, y la empresa de transportes tiene un histórico de todos los viajes que se han hecho con esa tarjeta, que en algunos casos puedes incluso registrar y por tanto asociar a tu persona.
  • La tarjeta de alquiler público de bicicletas (Valenbisi en el caso de Valencia) tiene también un número de serie a través del que sin duda alguna se podrán obtener datos de utilización, trayectos, etc. Estos datos también van asociados a la persona.
  • Muchos productos que compramos ya disponen de etiquetas RFID únicas a través de las que identificar al producto de manera única, y en algunos casos como por ejemplo en la ropa, esas etiquetas pueden estar ocultas en el producto de manera que lo utilicemos sin ser conscientes de ello.
  • Por supuesto, las tarjetas de crédito con chip (EMV) tienen su propio número de serie, y es evidente que cualquier compra que realicemos (establecimiento, día, hora, etc.) con esa tarjeta se asocia fácilmente a nosotros. Nótese que en algunos casos en los que el vendedor es también el distribuidor (tiendas de ropa como H&M, Zara, Mango, por ejemplo) el vendedor podría ser capaz de asociar el número de serie del producto (si lleva RFID) a la tarjeta y de este modo también a la persona, teniendo un historial completo de las ventas realizadas a esa persona e incluso pudiendo identificarla cada vez que entrase o pasase cerca de un establecimiento. Que eso sea legal o no es otra cuestión.

Pasemos ahora a dispositivos hardware.

  • La dirección de la tarjeta de red (MAC) es única, y además se transmite siempre que se accede por la red. Que en determinados casos pueda ser falseada queda fuera del alcance de esta entrada y de la mayor parte de los mortales con acceso a un dispositivo con acceso a red.
  • Los dispositivos Bluetooth también disponen de una dirección única por dispositivo y hoy en día casi todos los teléfonos móviles tienen bluetooth… y muchas personas lo llevan activado innecesariamente.
  • Las tarjetas de fibra también tienen su propia dirección MAC: el WWN.
  • Todos los teléfonos móviles tienen un numero de serie (IMEI) que no puede ser consultado en remoto por los usuarios, pero la operadora sí que lo conoce. Yo por ejemplo soy reacio a donar un móvil, ya que mi identidad esta asociada a ese móvil y desde los atentados del 11M por normativa no se puede vender un teléfono móvil si no se asocia a un DNI y en algún sitio esta escrito que ese móvil es mio.
  • Las tarjetas de telefonía también tienen otro numero que puede consultarse remotamente por cualquiera, el IMSI (International Mobile Subscriber Identity number), relacionada con el HLR (Home Location Register).
  • Además de todo lo visto, algunos dispositivos llevan grabado su numero de serie de manera electrónica como por ejemplo los iPhone (y muchos otros aparatos).
  • Los discos duros y memorias USB tienen un numero de serie, que los identifica de manera única una vez formateadas.

Pero aquí no se acaba la cosa.

Personalmente, cuando voy de casa al trabajo suelo llevar encima los siguientes números de serie:

  • Mi DNI, SIP, RFID de tarjeta de Metro.
  • Matrícula del coche, número de chasis del coche, dirección MAC del bluetooth del coche.
  • Teléfono móvil, con IMEI, MAC de Wifi, MAC de Bluetooth, número de dispositivo de iPhone.
  • Portátil con dirección MAC de tarjeta de red, MAC de Wifi, MAC de Bluetooth, y diversos números de serie dentro del software.

Vamos, que sin problemas puedo estar identificado por mas de 20 números únicos, muchos de ellos incluso que se publican por el aire.

Sobre la seguridad de todos estos números, comentar lo siguiente:

  • Privacidad: Hay que protegerlos ya que permiten identificar de manera única, dispositivos, sistemas y en el peor de los casos a las personas. ¿Cuanto números de serie llevamos encima? ¿Todos ellos son necesarios por funcionalidad, o son por un excesivo control? ¿La información está protegida suficientemente?
  • LOPD: Si de alguna manera permiten identificar de manera única a una persona están sujetos todos estos valores a la LOPD, y en algunos casos este procedimiento puede considerarse no desproporcionado.
  • Control de acceso: No hay que utilizar estos números para autorizar permisos de manera exclusiva, ya que estos números pueden ser cambiados: se puede cambiar la MAC de una tarjeta de red, se puede cambiar el WWN de una tarjeta de fibra, se puede cambiar el IMEI de un teléfono, y alguien puede saberse tu numero de DNI (código de seguridad para hacer cualquier tipo de operación en los operadores telefónicos, p.e.). Aunque el número esté grabado por hardware si se transmite se puede cambiar y tampoco sirve de nada.

Así que tras este breve repaso a nuestro particular y personal conjunto de números de serie, sean ustedes precavidos con lo que hacen ya que como ven hay muchos números les pueden delatar.

(N.d.E. La fotografía, de Bill Barker, corresponde al número de serie del motor de un Chevrolet de 1931, previo a la aparición de los VIN (Vehicle Identification Number)).

Comments

  1. Muy buenas,

    Leyendo este articulo he visto que pones:

    se puede cambiar el IMEI de un teléfono

    Por lo que tengo entendido el imei va “grabado” en un chip de la placa del telefono que para poder cambiarlo tendrias que desoldar el chip y soldar un chip de otro telefono para poder cambiarlo (supongo que tambien se podria reprogramar el chip)

    En resumen, que poder si que se puede, pero no es algo tan sencillo como cambiar la mac de una tarjeta de red

    No se si me puedes sacar de dudas sobre si esto que te comento es cierto o no

  2. El IMEI suele estar protegido para que no se pueda cambiar facilmente, pero dependiendo del modelo si que se puede cambiar, en los modelos Nokia por ejemplo era bastante populares los programa para cambiar el IMEI de una manera sencilla. Es algo ilegal, ya que los moviles robados se bloquean a nivel de operado por IMEI, y una razon de cambiar un IMEI puede ser la de usar un movil robado. Pero posible es, busca en Google y podras ver que hay “herramientas”.

Trackbacks

  1. […] "CRITEO-300×250", 300, 250); 1 meneos ¿Cuantos números de serie que te identifican llevas encima? http://www.securityartwork.es/2012/02/09/numeros-de-serie/  por nereid666 hace […]