Investigadores descubren riesgos de privacidad en teléfonos celulares comprados en subastas policiales

Los organismos encargados de hacer cumplir la ley en todo el país venden regularmente artículos que se incautan en investigaciones criminales o que no se reclaman de los inventarios de objetos perdidos. Muchos de estos artículos (vehículos, joyas, relojes y dispositivos electrónicos como teléfonos celulares) terminan en casas de subastas en línea.

Las personas que buscan una ganga pueden ofertar por teléfonos celulares al por mayor, arrebatando docenas a precios bajísimos para piezas u otros usos. En última instancia, esto proporciona ingresos para las agencias policiales, lo que representa un buen negocio para todos los involucrados. ¿O es eso?

Un estudio reciente realizado por expertos en seguridad de la Universidad de Maryland descubrió que muchos de los teléfonos vendidos en las casas de subastas de propiedad de la policía no se borran correctamente de los datos personales. El estudio, realizado durante dos años con teléfonos celulares comprados en la casa de subastas de la policía más grande de los EE. UU., descubrió tesoros de información personal de propietarios anteriores a los que se podía acceder fácilmente.

De los 228 teléfonos por los que el equipo de UMD pujó con éxito, 61 (27%) contenían datos personales como números de seguridad social, tarjetas de crédito e información bancaria, datos de pasaportes, fotografías de licencias de conducir y más.

«En realidad, nos sorprendió el nivel de información personal que encontramos y la facilidad con la que podíamos acceder a ella», dijo Dave Levin, profesor asociado de informática que dirigió el equipo de la UMD.

Levin, miembro principal de la facultad en el Centro de Ciberseguridad de Maryland, se interesó por primera vez en este tema a través de una conversación informal con un colega. Después de determinar que hubo una falla de seguridad, ya sea porque la policía no limpió los teléfonos o porque las casas de subastas no tomaron las medidas de seguridad adecuadas antes de enviar los artículos al mejor postor, Levin y varios de sus estudiantes graduados se dispusieron a explorar la escala del problema.

El primer paso fue trabajar de cerca con el consejo legal de la universidad y la junta de revisión de investigación institucional para determinar los protocolos apropiados necesarios para ver los datos personales.

«Había pautas estrictas: cómo se catalogaba cada teléfono que recibimos, los procesos que usamos para acceder a los teléfonos y, lo que es más importante, lo que estaríamos legalmente obligados a hacer si encontráramos alguna evidencia de abuso infantil», dijo Julio Poveda. , un doctorado en informática de segundo año. estudiante que formó parte del equipo de investigación.

El equipo de UMD no encontró ninguna evidencia de abuso infantil, pero descubrió otra información que no era adecuada para la difusión pública, como representaciones de desnudez de adultos y uso de drogas.

Algunos de los teléfonos a los que accedieron se habían utilizado en actividades delictivas como el robo de identidad, un descubrimiento que Levin encontró particularmente preocupante.

«Es como si las personas que fueron víctimas de robo de identidad estuvieran siendo ‘revictimizadas’ al tener su información personal nuevamente disponible para que cualquiera la vea», explicó.

El equipo de la UMD determinó que algunos de los teléfonos habían sido utilizados por trabajadoras sexuales y que los mensajes de texto entre las trabajadoras y sus clientes aún estaban intactos.

«Es importante recordar que su teléfono no solo tiene sus datos, tiene datos de cualquier persona que se haya comunicado con usted», dijo Richard Roberts, un doctorado en ciencias informáticas de sexto año. estudiante y autor principal del estudio.

Roberts, quien presentó el trabajo académico del equipo en la Simposio IEEE sobre
Seguridad y privacidad a principios de este año, dijo que de los 61 teléfonos a los que accedieron los investigadores, determinaron que había habido algún tipo de contacto digital con más de 7,000 personas.

Levin, Poveda y Roberts son todos expertos en seguridad, pero decidieron no utilizar ningún tipo de análisis forense digital sofisticado para su estudio. «Queríamos intentar obtener acceso a los datos de cualquier teléfono celular usando técnicas que alguien en la calle podría usar», dijo Roberts.

Los investigadores se sorprendieron de lo fácil que era. Uno de los teléfonos llegó con una nota adhesiva adjunta con el código de acceso del teléfono a la vista, un remanente de la agencia policial de origen que ya había pirateado legalmente el teléfono. Muchos otros teléfonos tenían PIN o patrones de contraseña que eran fáciles de adivinar.

«Lamentablemente, los códigos de acceso como 1-2-3-4 todavía son de uso común en la actualidad», dijo Levin.

En octubre pasado, los investigadores se comunicaron con la casa de subastas donde compraron los teléfonos. La empresa, PropertyRoom.com, que se anuncia a sí misma como la casa de subastas policiales más grande de los EE. UU. y trabaja con más de 4400 agencias policiales, prometió investigar el problema. Poco después, la compañía dejó de vender lotes de teléfonos a granel por un período corto y luego comenzó de nuevo, lo que llevó a los investigadores a comprar otro lote.

«Descubrimos que PropertyRoom había comenzado a limpiar los teléfonos, pero no pudo borrarlos». [Secure Digital] tarjetas, que en varios casos tenían copias de seguridad parciales de los contenidos de los teléfonos», dijo Levin.

Después de hacer ping nuevamente a la compañía para informarle sobre este descuido, los investigadores de la UMD no recibieron más respuesta.

Un informe de investigación posterior de una estación de televisión local instó a la empresa a publicar un mensaje en su sitio web en el que afirmaba que estaba al tanto de los problemas de seguridad y que estaba tomando medidas correctivas.

Desde el punto de vista de la seguridad, dijo Levin, las agencias policiales deberían evitar subastar teléfonos celulares usados. «Simplemente destruirlos», dijo. «[The police agencies] no recibe tanto dinero a cambio, y el daño potencial supera con creces cualquier incentivo financiero».

También sugirió que las personas tomen mejores precauciones en caso de que su teléfono se pierda o sea robado y termine siendo revendido.

«Use su teléfono bajo la suposición de que alguien más podría convertirse más tarde en su propietario legal», dijo Levin. «Establezca un código de acceso que sea difícil de adivinar, minimice la información privada a la que es fácil acceder y borre su teléfono de forma remota si se pierde o se lo roban. De lo contrario, nuestro estudio muestra cuán fácil es para alguien obtener una cantidad increíble de acceso a su información privada».