Dime qué buscas en Google y te diré quién eres: el mantra de la generación que se nació y crío en la era de la Internet. ¿Pero qué pasa cuando la persona que está buscando tiene la intención de encontrar datos personales claves para hackearte? De esto consiste el Google Dorks o Google Hacking: la practica de utilizar el buscador más famoso del mundo para encontrar información sensible.
Por supuesto, es fácil pensar que Google no entrega datos personales tan fácilmente ¿En serio es posible hackear a alguien con tan solo realizar una búsqueda?
Los atajos son clave en el Google Hacking
En caso de que no lo sepas, Google cuenta con atajos y palabras clave que permiten delimitar y filtrar los resultados de búsqueda. Por ejemplo, puedes buscar ‘seguridad site:enter.co’ y te encontrarás solo con resultados de nuestro portal que tengan esta palabra clave. Pon ‘Spider-Man FileType:jpg y solo encontrarás archivos de JPG en vez de esos molestos Avif que nadie puede utilizar.
El Google Hacking hace uso de estos atajos para crear busquedas específicas que consigan encontrar información sensible a través del buscador y que no esté visible a través de busquedas más tradicionales. De hecho, en estos momentos existe un proyecto de código abierto llamado Google Hacking Database (GHDB) que quiere servir como un archivo de los dorks (o busquedas avanzadas) que pueden terminar en un hackeo.
¿Qué tan fácil es hackear a alguien utilizando solo Google?
De nuevo, lo más aterrador de del Google Hacking es la manera tan sencilla en la que funciona y la efectividad que tiene para obtener información sensible. A través de varios experimentos ESET (una de las compañías líderes en el sector de seguridad virtual) encontró que cualquier persona puede abusar de los dorks para localizar archivos sensibles que el usuario ni siquiera sabe que pueden estar en la Internet.
De hecho, muchas veces el hacker ni siquiera necesita tener un primer dato para filtrar la información. Solo necesita encontrar bases de datos con contraseñas, números de teléfono o correos para tener la primera pieza necesaria para jalar más información.
¿Cómo puedo saber qué información mía es vulnerable al Google Hacking?
Por desgracia no hay una forma eficiente de saber si hay información sensible rondando en Google o que pueda ser obtenido a través de Dorks. La principal razón es que muchas de las combinaciones que utilizan los hackers no tienen como objetivo el tomar información específica, sino encontrar vulnerabilidades en sitios o bases de dato. Por ejemplo: “inurl:pastebin intitle:mastercard” es un atajo para encontrar archivos de texto temporales que tengan guardada información de tarjetas Mastercard.
Hay algunas precauciones que puedes tomar:
En Google escribe entre doble comillas (“) palabras clave que pertenezcan a datos sensibles que temas pueden estar disponibles: tu número de celular, el número de documento o identidad, alguna contraseña que utilices mucho o el nombre de algún archivo sensible.
Si encuentras algún documento, entrada o resultado que consideres cuenta con información privada y sensible que no debería ser compartida puedes solicitar a Google a través de este enlace el retirar este contenido.
Imágenes: ESET, Foto de Firmbee.com, Arkan Perdana, Lucia Macedo en Unsplash