Pérdidas. Cuando se hizo pública la información personal de David Petraeus, exdirector de la CIA, se supo que era infiel a su esposa. Razón por la que renunció a su cargo.

Sarah Palin, Fátima Báñez, la compañía privada de seguridad internacional Startfor Global, David Petraeus, exdirector de la CIA. Todos tienen algo en común. Todos han protagonizado algún tipo de escándalo por la filtración a la esfera pública de correos electrónicos personales o confidenciales.

Algunos, como la ministra de Empleo española, desde cuya dirección se envió la información del expediente de regulación de empleo del Partido Socialista, han pasado de puntillas y sin despeinarse por el vendaval mediático. Petraeus, sin embargo, ha dimitido al conocerse, por los mensajes que intercambiaba con su biógrafa y amante a través de una cuenta de e-mail de Gmail, que mantenía una relación extramatrimonial. Dejó su cargo porque “ese comportamiento es inaceptable, como esposo y como líder de una organización como la nuestra (la CIA)”, decía en su carta de renuncia. Pero el caso también había dejado en entredicho la capacidad del (hasta ese momento) máximo responsable de la inteligencia estadounidense para mantener su propia intimidad a salvo.

Así, la prensa estadounidense se ha cuestionado posteriormente si es posible blindar la información privada que compartimos por correo electrónico. “Si Petraeus no pudo mantener su relación lejos de miradas indiscretas, ¿cómo podrían los americanos guardar un secreto?”, se preguntaba el New York Times en un reportaje. Otras dudas emergen al conocer el caso: ¿tomamos las precauciones necesarias para preservar nuestra correspondencia online?, ¿cambiaría la vida de la mayoría de personas anónimas que trascendiera el contenido de sus correos?

“La gente suele pensar que su vida no es interesante y que nadie le va a espiar”, dice Alejandro Suárez, vicepresidente de AIEI (Asociación de Inversores y Emprendedores de Internet) y autor de “Desnudando a Google”, libro en el que alerta del poder –gracias a la información personal de sus usuarios a la que tiene acceso– de la compañía. Pese a esa sensación de que la propia intimidad no es relevante, cada vez es más frecuente que lleguen a los juzgados denuncias por incursiones ilícitas en los correos electrónicos. Así lo ha constatado Daniel Santos, socio del despacho de abogados Santos & Rojas, especializado en derecho informático. Los casos más comunes son, según explica, los de “parejas en conflicto que quieren saber cosas del otro y entran en su e-mail sin su consentimiento”.

Amaia (nombre supuesto), que prefiere permanecer en el anonimato, accede con cierta frecuencia a cuentas de correo de otras personas. Normalmente, familiares y novios. De estos últimos, buscaba infidelidades. “Y siempre las encontré”, asegura. ¿Cómo lo hace? “Es fácil, aunque alguna vez me han pillado”, explica.

“En una ocasión mi pareja se dejó su sesión abierta. Simplemente me senté delante del ordenador y accedí a los mensajes que me interesaban”, continúa. Amaia se aprovecha de este tipo de descuidos para saciar lo que ella llama “necesidad de saber la verdad”.

“Sé que está mal, pero no me puedo ir a la cama con una sospecha”, afirma. Pero no siempre consigue su objetivo tan cómodamente. En ocasiones ha espiado a su víctima para obtener su clave de usuario. Otra vez, incapaz de conseguirla, cambió la contraseña a su entonces pareja. “Para eso te piden contestar una pregunta personal. En este caso era el nombre de su calle. La puse y ya está”, recuerda.

Esta técnica –marcar que olvidaste tu contraseña y cambiarla contestando a una pregunta personal– es una de las más sugeridas en internet para entrar en un correo ajeno. Para ello es necesario conocer ciertos datos personales del dueño de la dirección, aunque no siempre.

“Las redes sociales han facilitado esta parte, muchas veces la respuesta está ahí, accesible a cualquiera”, apunta Daniel Medianero, empleado de Buguroo, empresa que se dedica a la búsqueda de vulnerabilidades informáticas en grandes compañías. Existe el riesgo, sin embargo, de que cuando el usuario descubra que alguien cambió sus datos de acceso, investigue desde qué ordenador se hizo para localizar al infractor. Estas pesquisas requieren ciertos conocimientos de informática. Por eso, para evitar ser víctima de este tipo de incursiones, la guía sobre privacidad en las telecomunicaciones, elaborada por el Instituto Nacional de Tecnologías de la Comunicación (INTECO), sugiere que la respuesta a esa pregunta de control sea incoherente. Por ejemplo, contestar con un “patatas fritas” al interrogante de cómo se llama la mascota familiar.

No sobran precauciones. Un primer consejo es elegir una clave fuerte. “Con números, mayúsculas, minúsculas y símbolos”, explica Pablo Pérez-San José, gerente de INTECO.

“Es increíble la cantidad de gente que utiliza claves demasiado fáciles. ‘Jesús’ y ‘12345’ son las más comunes”, asegura. “Las contraseñas son como la ropa interior: no debes dejar que nadie la vea, no se comparte con extraños y es recomendable cambiarla regularmente”. Esto es lo que Pérez San-José dice en las charlas para adolescentes sobre seguridad informática que imparte. Estas tres reglas básicas no siempre se cumplen, aunque, según los datos de INTECO de abril de 2012, los españoles cada vez toman más medidas de celo con sus claves.

Algunos errores, sin embargo, están muy extendidos. Uno de ellos, y muy frecuente según los expertos, es utilizar la misma contraseña para todos los servicios online (correos, redes sociales e incluso banca electrónica). Una vez obtenida una, se tienen todas. Y los expertos alertan: es muy común que estos datos se utilicen para otro tipo de delitos. Con las claves se puede suplantar la identidad digital de una persona y enviar mensajes ofensivos o publicidad con su nombre. Esta práctica puede convertirse en ciber-acoso, si el atacante busca destruir la reputación del dueño del correo. Otro riesgo es que el infractor consiga acceso a las cuentas bancarias o robe datos confidenciales de la empresa para la que trabaja la víctima.

“El correo es una manera fácil y barata de engañar a la gente”, subraya Carlos Melantuche, responsable de Buguroo. “Se pueden hacer maravillas desde un ordenador”, añade.

No hace falta ser un experto o un agente del FBI para introducirse en un correo electrónico. Lo habitual es tratar de averiguar contraseñas. Un correo electrónico simulando ser el proveedor del servicio a veces es suficiente para que el receptor facilite sus claves –el típico mensaje de “se va a cerrar su messenger si no verifica sus datos”, explica Melantuche–. Pero hay sistemas más sofisticados. “Se puede enviar un fichero con un virus o un troyano para introducirse en un sistema”, detalla Medianero.

“Los hay que capturan las pulsaciones de teclas. Otros hacen capturas de la pantalla. Incluso los hay que activan remotamente la webcam o el micrófono del ordenador”, afirma. Para asegurarse que esos mensajes maliciosos son abiertos el atacante puede simular que escribe desde otra dirección. “¿Quién no abriría un adjunto que le envía su jefe?”, añade. Esta es una amenaza cada vez más conocida y, según datos de INTECO, más internautas toman precauciones (el 77.5% en 2011 frente al 67.8% del año anterior) y declaran analizar los ficheros con un antivirus antes de abrirlos.

Los expertos coinciden en que es importante mantener una actitud vigilante y seguir unos hábitos de seguridad mínimos. “Muchas veces no nos damos cuenta de que nuestra información ha sido violada”, señala Suárez. En su opinión, el mayor problema es que las grandes compañías tienen miles de empleados “con acceso a muchos datos” susceptibles de ser filtrados. Medianero coincide, pero recuerda que esos grandes proveedores (Google, Hotmail, Yahoo) son más difíciles de atacar externamente que un servicio de correo propio de una compañía.

“En nuestros análisis de vulnerabilidades, o los test de intrusión, en los que simulamos al máximo lo que haría un hacker, es raro que no encontremos algún punto débil”, asegura Medianero. “Para nosotros, que nos dedicamos a esto, es fácil. Pero no hay que ser tremendista”, añade Suárez.

Espiar un correo electrónico es una práctica relativamente fácil, frecuente y barata, pero eso no significa que sea legal. Daniel Santos incide en que supone una “revelación de secretos”, un delito contemplado en el Código Penal y castigado, en muchísimos países, con entre uno y cuatro años de cárcel –“aunque se lo encuentren abierto o conozcan la clave”, apunta–.

“Si alguien se apodera de una contraseña por medios ilícitos, es un agravante que puede añadir de seis meses a dos años de prisión a la condena.” La intangibilidad de las actuaciones en internet dan sensación de impunidad, dice el abogado, pero cada vez son más las condenas por esta clase de delitos. El pasado octubre, un juzgado español impuso un año de prisión a un hombre que se hizo, gracias a un programa, con las claves del correo y redes sociales de otra persona.