Hechos clave:
- La NSA recomienda limitar lo más posible los servicios de ubicación en equipos móviles.
- Los usuarios están expuestos a actores maliciosos que busquen acceso a sus datos.
Los datos de localización que se generan a través de GPS, bluetooth o conexiones a internet representan un riesgo de seguridad para los usuarios de conexiones inalámbricas. La Agencia de Seguridad Nacional de Estados Unidos (NSA) publicó una serie de recomendaciones de seguridad para proteger esos datos que, aunque están dirigidas al cumplimiento de misiones de sus agentes, pueden ayudar a cualquier usuario.
El documento es parte de un programa de formación sobre seguridad cibernética de la NSA. Dicho texto busca guiar a los agentes sobre la actuación necesaria «cuando la exposición a la ubicación podría ser perjudicial para una misión». En ese caso, dice el documento, los agentes deben «aplicar mitigaciones de seguimiento de la ubicación en la mayor medida posible».
Tanto individuos como organizaciones públicas y privadas también están en riesgo del potencial seguimiento de su información de localización. En el documento emitido este mes de agosto, la NSA expone que es fácil para actores maliciosos acceder a estos datos y hacer seguimiento en tiempo real de la ubicación de un potencial objetivo de ataque.
«Estaciones base deshonestas disponibles comercialmente permiten que cualquier persona en el área local obtenga fácilmente datos de ubicación», alega la agencia de seguridad.
Según la NSA, distinguir estos actores maliciosos de conexiones legítimas es difícil, además de que los dispositivos con conexiones móviles almacenan los datos de localización. Por lo tanto, un atacante podría usar información de ubicaciones pasadas para pronosticar próximas ubicaciones o calcular un patrón de movimiento de su objetivo.
Con acceso a estos datos, el atacante también podría obtener detalles sobre la cantidad de personas en una ubicación determinada, además de rutinas y relaciones entre usuarios y sus respectivas localizaciones.
Cómo proteger tus datos de ubicación
Para proteger esos datos, la organización gubernamental recomienda a los agentes en misión seguir algunas precauciones. Por ejemplo, desactivar los servicios de ubicación en el equipo que esté usando.
También aconsejan deshabilitar conexiones de radio, bluetooth y conexión a internet cuando no se están usando ninguna de esas funcionalidades. Adicionalmente, la NSA ve como una buena práctica de seguridad activar el modo avión del equipo móvil cuando no está en uso.
En cuanto a las aplicaciones, los consejos van desde limitar lo más posible los permisos otorgados, asegurarse de que dichas apps no tengan acceso o permiso para compartir datos de ubicación e incluso evitar el uso de programas relacionados con estos datos, como las aplicaciones de mapas, tráfico, actividad física o compras. En caso de ser necesario su uso, lo ideal sería configurar los permisos para que solo sean usados esos datos mientras la aplicación está activa, agrega el texto.
Otras características que exponen datos sensibles de ubicación son los permisos de publicidad que muestran las aplicaciones móviles de forma recurrente. La recomendación en este caso es desactivar los permisos de publicidad «en la mayor medida posible», aunque muchas de estas aplicaciones pierden en gran medida su funcionalidad sin la posibilidad de emitir anuncios a sus usuarios.
Para la agencia, las redes sociales también ponen en un alto riesgo a sus usuarios al exponer su ubicación. Más allá de los propios permisos sobre esa información, la NSA sugiere ser especialmente precavidos con la publicación de imágenes que puedan exponer la ubicación del usuario. No solo por la propia imagen, sino por los metadatos ocultos a la hora de publicarla.
Privacidad expuesta en todo momento
Según una investigación del New York Times publicada en diciembre pasado, el periódico accedió a un archivo con la información de geolocalización de unos 12 millones de ciudadanos en Estados Unidos. El archivo pertenecía a una gran empresa, de las docenas que almacenan este tipo de datos en sus servidores, expuso el medio.
En el reporte, el medio asegura que los datos obtenidos no provienen de una gran empresa de telecomunicaciones ni una organización gubernamental. La data fue recopilada por «una empresa de datos de ubicación, una de las docenas que recopilan silenciosamente movimientos precisos utilizando software deslizado en aplicaciones de teléfonos móviles», expone el texto.
Incluso si el usuario confía en su proveedor de servicios de internet y la procedencia de las aplicaciones que instala, siempre habrá potenciales actores maliciosos tras los datos privados. Por ello, mientras más información se permite que llegue a bases de datos, mayores los riesgos que se corren.
Empresas como la expuesta por el Times podrían vender esos datos, por ejemplo. También, sus servidores podrían verse comprometidos en algún hackeo que permita a los atacantes acceder a datos de millones de personas y exponer su privacidad o hacerlos susceptibles a diversas modalidades de ataque.
Un informe de reciente publicación expuso que las grandes y medianas empresas no prestan suficiente atención a la ciberseguridad. Según ese estudio, más del 90% de los consultados -alrededor de 800 empresas en 10 países- han sido atacados más de una vez en los últimos meses, con un 36% de los casos afectando datos internos y de los clientes de dichas organizaciones.
Ejemplos de estas posibilidades hay muchos. Recientemente, en CriptoNoticias se reportó que el hackeo a la casa de cambio española de criptomonedas 2gether también expuso datos privados de sus usuarios, además del robo de fondos.
Las recomendaciones de la NSA pueden ayudar a limitar en la mayor medida posible esos datos que obtienen las aplicaciones y sitios web. En juego están no solo los patrimonios sino la seguridad física de las personas. Si un atacante puede ubicarte, estás a merced de ser víctima en cualquier momento.
Por Juan Ibarra
