¿Qué sucede realmente cuando llevas tu dispositivo a reparar?

Lo más seguro es que en algún momento de tu vida se haya estropeado tu smartphone, tablet o portátil y te haya tocado repararlo. Los daños en el dispositivo puede haberlos ocasionado el propio usuario, de hecho, el remplazo de pantallas de smartphone ha supuesto un gasto de billones de dólares a la industria; pero es más común que se trate de errores como un fallo en la batería, la muerte del disco duro o una tecla que se ha desprendido del teclado. Algo que podría pasar en cualquier momento.

Por desgracia, los dispositivos modernos están hechos de tal forma que ni siquiera el mago de los ordenadores más habilidoso podría arreglarlos por su cuenta. De hecho, la reparación de los smartphones no deja de decaer año tras año. Para reparar los últimos modelos, se requieren no solo habilidades y conocimientos generales sobre cómo funcionan todos los artilugios digitales, sino también herramientas especializadas, experiencia y acceso a documentación y piezas de repuesto únicas.

Por tanto, cuando un smartphone o portátil se rompe, el usuario no tiene otra opción que contactar con un servicio técnico. Después de todo, tirar el dispositivo, comprar otro y empezar de cero no es una opción, ya que lo más probable es que quieras recuperar todos tus datos. Ahora es trabajo del servicio técnico al que te diriges. Pero hay un problema, tienes que entregar tu dispositivo a un desconocido, quedando en sus manos todos tus datos: fotos, vídeos, correspondencia, historial de llamadas, documentos e información financiera. ¿Puedes confiarlos a esa persona?

Los empleados de los servicios técnicos y el porno casero

Personalmente, hace poco reflexioné sobre esto después de lo que me contó un amigo tras una charla con los empleados de un taller de reparaciones. Durante su conversación, los empleados afirmaron haber visualizado el porno casero que encontraban en los dispositivos que reparaban de otros empleados e, incluso, amigos.

Este tipo de incidentes salen en las noticias de vez en cuando. De hecho, que los empleados roben fotos privadas a los clientes ha sucedido en más de un servicio técnico, llegando incluso a generar grandes historias: en una ocasión, unos empleados no solo estuvieron robando fotos de sus clientas durante años, sino que iban recopilando colecciones al completo y las compartían.

Pero estos incidentes no serán habituales, ¿no? No todos los servicios técnicos tendrán a su personal ansioso por meter mano a los datos personales de los clientes, ¿verdad? Pues, por desgracia, lo cierto es que los resultados de un estudio que descubrí hace poco muestran que las filtraciones de privacidad de los clientes por parte de los técnicos de mantenimiento son un problema mucho más habitual de lo que pensamos. De hecho, se podría decir que esta excesiva curiosidad por parte del equipo de reparación no se debe a incidentes aislados, sino que forma parte de la industria. Pero no nos adelantemos, vamos a ir paso por paso.

Cómo tratan los servicios técnicos los datos de los clientes

Tomemos como guía el estudio de unos investigadores de la Universidad de Guelph en Canadá. Este estudio consiste en 4 partes, 2 de ellas dedicadas al análisis de las conversaciones con los clientes de los servicios técnicos y otras 2, a los estudios de campo de los propios talleres de reparación, sobre las que me centraré. En la primera de las partes de los estudios de “campo”, los investigadores intentaron descubrir qué intenciones tienen los talleres a la hora de tratar la privacidad de sus clientes. Ante todo, los investigadores estaban interesados en conocer las políticas de privacidad o procedimientos de los talleres para proteger sus datos.

Para ello, los investigadores visitaron cerca de 20 talleres de diferentes tipos, desde pequeños locales de reparación hasta servicios técnicos nacionales y regionales. El fallo elegido fue el remplazo de la batería de un portátil ASUS UX330U dado que, para su diagnóstico y reparación, no se requiere acceso al sistema operativo y todas las herramientas necesarias para ello están en la UEFI del portátil; los investigadores utilizan el término ya obsoleto: BIOS.

En sus visitas a los talleres, los investigadores seguían una serie de pasos. En primer lugar, buscaban cualquier tipo de información fácilmente disponible para el cliente acerca de la política de privacidad de datos del servicio técnico. Segundo, comprobaban si el empleado al que se le hacía entrega del dispositivo solicitaba el nombre de usuario y la contraseña para iniciar sesión en el sistema operativo y, de ser así, cómo justificaba la necesidad de entregar esa información, dado que no hay una razón obvia para esto porque, como ya hemos comentado, el reemplazo de la batería no requiere acceso al sistema operativo. En tercer lugar, los investigadores observaban cómo se almacenaba la contraseña del dispositivo que se entregaba para su reparación. Y, en cuarto y último lugar, le preguntaban al empleado encargado de recoger el equipo de forma directa e inequívoca: “¿Cómo te aseguras de que nadie acceda a mis datos personales?” para averiguar qué políticas y protocolos de privacidad tenían establecidos.

Los resultados de esta parte del estudio resultaron decepcionantes:

• Ninguno de los talleres que visitaron los investigadores informaba a los “clientes” sobre ninguna política de privacidad antes de aceptar el dispositivo.
• A excepción de un único taller regional, el resto solicitaron la contraseña de inicio de sesión, argumentando que simplemente era necesaria para los diagnósticos o reparaciones, o para comprobar la calidad de los servicios prestados (aunque, como ya hemos mencionado, realmente no hace falta).
• A la pregunta de si era posible realizar el reemplazo de la batería sin la contraseña, los tres proveedores nacionales respondieron que no. En cinco talleres más pequeños afirmaron que sin la contraseña no podrían comprobar la calidad del trabajo realizado y, por tanto, se negaron a asumir la responsabilidad de los resultados de la reparación. Otro servicio llegó a sugerir la idea de eliminar la opción de la contraseña por completo si el cliente no quería compartirla. Y, finalmente, el último taller que visitaron afirmó que, si no les daban la contraseña, el dispositivo podría restablecerse a la configuración de fábrica si el técnico de mantenimiento lo veía necesario.
• En cuanto al almacenamiento de credenciales, en casi todos los casos se almacenaban en una base de datos electrónica junto con el nombre, teléfono y dirección de correo electrónico del cliente, pero nadie explicaba quién podía acceder a esta base de datos.
• En aproximadamente la mitad de los casos, las credenciales también se adjuntaban físicamente al portátil entregado para reparar. En los talleres más grandes, se imprimía y adjuntaba como una pegatina o simplemente se escribía a mano en una nota adhesiva: ¡eso es un clásico! Por lo tanto, podríamos afirmar que cualquier empleado de estos servicios técnicos, puede que incluso los visitantes ocasionales también, podría tener acceso a las contraseñas.
• Cuando se les preguntaba cómo garantizarían la privacidad de los datos, el empleado que aceptaba el dispositivo y el resto del personal aseguraban que solo el técnico que reparara el dispositivo tendría acceso a él. Sin embargo, una serie de investigaciones posteriores demostraron que ningún mecanismo podría garantizar esto; lo único que tenían era su palabra.

Entonces, ¿qué hacen los técnicos de mantenimiento con los datos personales de los clientes?

Tras descubrir que los centros de servicio no presentan mecanismos que detengan la curiosidad de sus especialistas, en la siguiente parte del estudio, los investigadores comenzaron a examinar qué sucede realmente con un dispositivo después de que se entregue para su reparación. Para ello, compraron seis portátiles nuevos y simularon tener un problema básico con el driver de sonido; simplemente lo desconectaron. Por tanto, todo lo necesario para su “reparación” era un diagnóstico superficial y solucionar rápidamente el problema volviendo a activarlo. Los investigadores eligieron este error en particular porque, a diferencia de otros servicios (como la eliminación de virus del sistema), para “arreglar” el driver de sonido no se requiere ningún tipo de acceso a los archivos del usuario.

Los investigadores inventaron identidades de usuarios ficticios en los ordenadores portátiles: hombres en la primera mitad del experimento y mujeres en la segunda. Crearon un historial de navegación, cuentas de correo electrónico y juegos y añadieron varios archivos, incluidas fotos de los propios investigadores. También añadieron el primer “cebo”: un archivo con las credenciales de un monedero de criptomonedas; el segundo era una carpeta aislada con imágenes ligeramente explícitas. Los investigadores utilizaron imágenes reales codificadas por mujeres de Reddit para el experimento (tras haber obtenido el consentimiento, por supuesto).

Por último, y más importante, antes de que los ordenadores portátiles se entregaran al servicio técnico, los investigadores activaron la herramienta Grabadora de pasos de problemas de Windows, que registra cada acción realizada en el dispositivo. Después, los portátiles se entregaron para su “reparación” a 16 centros de servicio técnico. Una vez más, para obtener una imagen completa, los investigadores visitaron tanto talleres locales como los centros de los principales proveedores regionales o nacionales. En cuanto al género de los “clientes”, la distribución fue uniforme: en ocho casos, los dispositivos se configuraron con una persona ficticia femenina, y en los otros ocho, con una masculina.

Esto es lo que descubrieron los investigadores:

• A pesar de su sencillez, el problema con el driver de sonido se resolvió en presencia del “cliente” tras una breve espera en tan solo dos casos. En todos los demás experimentos, los portátiles tenían que quedarse hasta, como mínimo, el día siguiente. Y los servicios técnicos de los proveedores de servicios nacionales los tuvieron en “reparación” durante al menos dos días.
• En dos servicios locales, resultó imposible recopilar los registros de las acciones del personal de reparación. En uno de los casos, no se pudo encontrar una razón lógica para ello. En el otro, se les dijo a los investigadores que los técnicos de mantenimiento tuvieron que ejecutar un software antivirus en el dispositivo y limpiar el disco debido a múltiples virus; a pesar de que los investigadores estaban absolutamente seguros de que, en el momento de la entrega, el portátil no podía estar infectado.

En el resto de los casos, los investigadores pudieron analizar los registros; aquí están sus hallazgos:

• Entre los registros restantes, los investigadores encontraron seis casos en los que los técnicos obtuvieron acceso a archivos personales o al historial de navegación. Cuatro de estos casos se registraron en los equipos de las mujeres; los otros dos, en los de los hombres.
• En la mitad de los incidentes, los empleados más curiosos del servicio técnico intentaron ocultar los rastros de sus acciones borrando la lista de los archivos abiertos recientemente en Windows.
• Lo que más interesaba al personal de reparación eran las carpetas con imágenes. Su contenido, que incluía fotos explícitas, se visualizó en 5 de los casos, de entre los cuales 4 “pertenecían” a mujeres, el otro restante, a hombres.
• El historial de navegación fue el tema de interés de dos portátiles, ambos “propiedad” de hombres.
• Los datos financieros se revisaron una vez en el dispositivo de un hombre.
• Los técnicos de mantenimiento llegaron a copiar archivos del usuario en un dispositivo externo en dos ocasiones. En ambos casos se trataba de imágenes explícitas y en uno de los casos, también añadieron la información financiera de la que hablábamos anteriormente.

En aproximadamente la mitad de los casos, los empleados del servicio técnico accedieron a los archivos de los usuarios. El interés principal eran las imágenes, incluidas las de contenido explícito.

Cómo protegerte de los técnicos de mantenimiento entrometidos

Eso sí, hay que tener en cuenta que se trata de un estudio canadiense, no sería correcto proyectar estos resultados en todos los países. Sin embargo, de alguna forma dudo que la situación general en todo el mundo sea mucho mejor. Es probable que en los servicios técnicos de la mayoría de los países suceda lo mismo que en Canadá y no cuenten con mecanismos convincentes para evitar que sus empleados violen la privacidad de los clientes. Además, estos empleados también podrían aprovecharse de la falta de restricciones establecidas para entrometerse en los datos personales de los clientes, sobre todo de las mujeres.

Por tanto, antes de llevar tu dispositivo al servicio técnico, vale la pena que tengas en cuenta una serie de precauciones:

• Asegúrate de realizar una copia de seguridad completa de todos los datos almacenados en el dispositivo en una memoria externa o la nube siempre que sea posible. Los servicios técnicos no suelen garantizar la seguridad de los datos de sus clientes, por lo que podrías perder archivos de valor durante la reparación.
• La mejor opción es que limpies todos los datos del dispositivo y lo restaures a la configuración de fábrica antes de llevarlo a reparar. Por ejemplo, eso es exactamente lo que Apple recomienda que hagas.
• Si la limpieza y preparación del dispositivo te resulta imposible porque, por ejemplo, la pantalla se ha roto, intenta encontrar un servicio que ejecute la reparación rápido y contigo delante. En este sentido los talleres pequeños suelen ser más flexibles.
• En cuanto a los portátiles, bastaría con ocultar toda la información confidencial en un archivo protegido con contraseña, como mínimo, o en un contenedor cifrado usando, por ejemplo, una solución de seguridad.
• Los propietarios de smartphones Android podrían usar la función de bloqueo de aplicaciones en Kaspersky Premium for Android que permite bloquear todas las aplicaciones utilizando un código PIN aislado que no está relacionado de ninguna forma con el que se usa para desbloquear tu smartphone.