Un fallo de Airbnb pone en peligro más de un millón de viviendas (y a sus dueños)

Monta una plataforma de alquiler de viviendas vacacionales y te crecerán las estafas. El dicho, adaptado a la era de internet y el sector turístico, encaja perfectamente con lo sucedido últimamente en la página de Airbnb, la ‘startup’ que ha conquistado a viajeros de medio mundo con una fórmula de alojamiento turístico basada en la economía colaborativa.

Defraudadores que crean perfiles falsos donde ofrecen gangas para engañar y sacar los cuartos a los usuarios o perpetrar ataques de ‘phishing’, supuestos propietarios que dicen vivir en el extranjero y piden un adelanto por la reserva o arrendatarios que realquilan pisos y habitaciones sin permiso del casero son algunos ejemplos de los timos que se llevan a acabo aprovechándose de la plataforma.

Ahora, un equipo de investigadores estadounidenses vuelve a poner en entredicho la seguridad de los usuarios de Airbnb. Tanto la información personal y de contacto del propietario como la dirección exacta de la vivienda permanecen ocultas en la plataforma hasta que la reserva se ha completado, para garantizar la privacidad del dueño y evitar que hagan pagos fuera de la plataforma seducidos por los timadores. Sin embargo, este grupo de la Universidad de Harvard ha encontrado un método que permite averiguar la identidad del dueño de una cuenta y el domicilio que oferta.

Aron Szanto, uno de los responsables del proyecto, explica a HojaDeRouter.com que se trata de una prueba de concepto para demostrar “la gran escala de la vulnerabilidad en la plataforma”. Szanto y sus colegas, los investigadores Neel Mehta y Emily Houlihan, han conseguido hallar los nombres y apellidos, la dirección y otros datos personales de decenas de usuarios sin tener que alquilar una vivienda o habitación.

Según el experto, la herramienta podría servir a las autoridades para identificar a los dueños de perfiles falsos o a posibles ladrones para averiguar la dirección de una casa anunciada en Airbnb que estará vacía por vacaciones.

Información pública y herramientas apropiadas

Para comenzar, estos expertos recabaron la información personal de los ciudadanos mayores de edad del estado de Wisconsin a partir del censo electoral. Así fue como obtuvieron el nombre completo, fecha de nacimiento, dirección, ciudad, código postal y número de teléfono de 3,4 millones de individuos.

“En todos los estados de Estados Unidos es obligatorio por ley hacer públicas las listas de votantes”, indica Szanto. Este tipo de archivos deben estar al día, pues es necesario que figure el domicilio actual de los electores para que estos puedan acudir a las urnas. No obstante, también podrían haber utilizado otro tipo de bases de datos, como los registros de propiedad o de impuestos.

Como la plataforma de Airbnb no dispone de ninguna API abierta para extraer y filtrar listados de usuarios, los investigadores idearon un mecanismo para revertir el tráfico de la web para sacar los alquileres disponibles en Wisconsin. De cada uno de los arrendadores sabían el nombre de pila, la ciudad y la longitud y latitud aproximadas de la casa –su ubicación aparece en los mapas de la página señalada por un grueso círculo con la vivienda en el centro y un radio constante de unos 1,1 kilómetros–.

El siguiente paso consistió en desarrollar un algoritmo capaz de relacionar a los usuarios del portal de alquiler turístico con los votantes del censo. Es decir, la herramienta buscaba coincidencias entre los directorios para hallar a las personas que figuraran en ambos. Para cada nombre común –por ejemplo, un Peter de Wisconsin registrado en Airbnb y una decena de Peters en el censo electoral–, Szanto y sus colegas utilizaban un sistema de geocodificación inversa para convertir las direcciones del censo electoral en coordenadas geoespaciales. Después, usaban una herramienta para medir distancias para encontrar las longitudes y latitudes más próximas entre los usuarios homónimos de la plataforma.

Si todo había funcionado, un ciudadano del censo era la misma persona que su tocayo en Airbnb cuando su dirección censal estaba lo suficientemente próxima a la vivienda del usuario de la plataforma. De esta manera, habrían averiguado los datos del arrendador: su nombre completo, domicilio, número de teléfono y el resto de información que figura en el registro electoral.

Pero aún tenían que validar su método. Para asegurarse de que los resultados del algoritmo eran correctos, lo emplearon para cotejar la lista de votantes y una muestra de 84 usuarios de la web. Una vez obtuvieron las coincidencias, los miembros del equipo probaron por separado su veracidad utilizando diferentes triquiñuelas, como comparar la imagen de la casa de la dirección censal en Google Maps con las fotos de Airbnb o buscar a la persona en LinkedIn. La herramienta había dado correctamente con la identidad del arrendatario en el 40 % de los casos, una cifra que Szanto considera “muy significativa”, dado que hay alrededor de tres millones de viviendas registradas en la plataforma y el algoritmo permitiría encontrar la ubicación exacta de 1,2 millones.

La tasa de éxito aumentaba en las zonas rurales. Allí la densidad de población es menor, pero el radio del círculo con el que la plataforma señala la vivienda es el mismo. Como hay menos edificios adyacentes y menos probabilidades de hallar vecinos homónimos, el proceso de identificación era más rápido y eficiente. Aunque en las grandes ciudades resultaba más complicado, el porcentaje de aciertos seguía rondando el 30 %. “Incluso si la persona que figura en la cuenta de Airbnb es un arrendatario y no el dueño o el hijo del casero, el algoritmo puede identificarla siempre que esté registrada con la misma dirección para votar”, explica Szanto.

El investigador reconoce que su ‘software’ pasa por alto algunos factores. Por un lado, alrededor del 10 % de los adultos estadounidenses no están registrados para votar. Por otro, 22 millones de personas no son ciudadanos del país norteamericano pero pueden poseer una vivienda. Más allá de estos obstáculos, los de Harvard fueron muy estrictos con los hallazgos: solo tuvieron en cuenta los casos en los que estaban al 100 % seguros de que se trataba de una coincidencia.

Ciertamente, no pueden hacer nada respecto a las personas que no figuran en el censo. “Pero estamos considerando, por ejemplo, mejorar el algoritmo que empareja los nombres para que trabaje con alias y diminutivos”, dice Szanto. Hay usuarios que abren su cuenta en Airbnb con una versión abreviada de su nombre que no se corresponde con la que figura en el censo. También planean trabajar con otras bases de datos para tener más información sobre un individuo, como los registros de propiedad y los datos sobre impuestos.

Ladrones con tiempo y pericia

Szanto y sus compañeros señalan su algoritmo como una herramienta peligrosa en manos de ladrones. Es necesario dar ciertos datos personales a la plataforma para abrir una cuenta, por lo que alquilar un inmueble para robar a los propietarios no parece una idea muy inteligente. Sin embargo, con un sistema como el desarrollado por los investigadores, un delincuente podría encontrar la dirección de un piso ofertado sin registrarse en la web y cometer un hurto aprovechando que sus dueños están ausentes.

La complejidad y dedicación que conlleva el procedimiento podría, no obstante, desalentar al malhechor. “Admitimos que sería engorroso cometer un hurto incluso con estos datos”, confiesa el investigador.

El estadounidense reitera, no obstante, que su trabajo es solo una prueba de concepto y que no pretendían conseguir una “identificación en masa”, sino dar a conocer la magnitud del problema. Es posible aumentar la velocidad y eficiencia del método, por ejemplo, automatizando el contraste de los resultados con perfiles de una red social o utilizando tecnología de visión artificial para comparar imágenes de casas en Goole Maps y Airbnb.

“El mayor peligro para Airbnb es que esta vulnerabilidad podría ser utilizada por los reguladores”, advierte Szanto. Hace tiempo que los ayuntamientos de Nueva York y San Francisco luchan por descubrir a usuarios de la plataforma que ponen en alquiler viviendas sociales destinadas a familias desfavorecidas, como demuestran las batallas legales que ya han iniciado. En la Gran Manzana está prohibido por ley arrendar habitaciones o pisos durante menos de un mes sin tener una licencia de hotel o negocios similares. “Con nuestro método podrían fichar a los defraudadores”, sostiene Szanto.

En España, el sistema podría servir para averiguar los datos personales de arrendadores que ofertan pisos sin el conocimiento de su casero o a los responsables de otras estafas. Por otra parte, su uso por parte de personas malintencionadas permitiría hallar la información de contacto de usuarios interesados en un inmueble y tratar de cerrar un trato y hacer el pago fuera de la plataforma, enviarles ‘spam’ o perpetrar ataques de ‘phishing’.

Y ahora, ¿qué?

“Hemos preparado un informe para la empresa, explicando el método e indicándoles que se trata de una brecha de privacidad importante”, cuenta Szanto. El estadounidense dice saber a ciencia cierta que el documento ha llegado a la mesa del director de riesgos, “así que Airbnb está al tanto del problema”. También advirtieron a la compañía una vez hicieron público su trabajo: “Estamos aireando un error tecnológico que podría costarles una cantidad de dinero significativa, así que queremos evitar cualquier indicio de conexión económica entre nuestro equipo y Airbnb”.

La plataforma podría tomar medidas para reducir la precisión del algoritmo, como adaptar el radio del círculo que representa la ubicación de los inmuebles a la densidad de población. Las búsquedas de coincidencias y comparación de distancias serían más costosas si la figura tuviera un tamaño mayor en zonas rurales y uno menor en áreas urbanas.

Consultados por este medio, desde Airbnb confirman tener constancia del trabajo de Szanto y sus colegas. No obstante, prefieren quitar hierro al asunto: dicen que los anfitriones son conscientes de que dejarán entrar en casa a desconocidos, no esconden quiénes son y que el 70 % de ellos no se ausenta, sino que comparte su vivienda. En cuanto a la privacidad, no han querido especificar si realizarán algún cambio para solventar la brecha destapada por los investigadores, aunque sostienen que “proteger la seguridad y privacidad de los usuarios es nuestra mayor prioridad y estamos constantemente reforzando nuestros sistemas para asegurar que son los más seguros posible”.

-------------------------------------------------------------------------------------------------

Las imágenes de este artículo son propiedad, por orden de aparición, de Open Grid Scheduler y Aron Szanto.