Archivo del foro de PucelaBits del Friday November 17, 2023.

Nuestro smartphone nos delata

nukeador

O de como empresas usan los datos wireless (Wi-Fi y Bluetooth) que transmiten nuestros dispositivos para hacer un seguimiento físico de los visitantes.

Xataka.com by-nc-sa

Ni te estás dando cuenta, pero es probable que alguien en alguna parte sabe que estás exactamente donde estás. Y ese alguien no tiene nada que ver contigo. Solo recolecta datos con la excusa de mejorar un servicio, o luchar contra el terrorismo, o estudiar el comportamiento de los usuarios de móviles. Las excusas no son importantes. Lo que es importante es que nuestra privacidad está una vez más en juego.

Es lo que queda claro cuando uno descubre cosas como las que están ocurriendo en el aeropuerto de Dublín, donde a los pasajeros se las hace un seguimiento indiscriminado a través de sus móviles con el único requisito de que éstos tengan activada la conectividad WiFi o la Bluetooth. Ojo: no es necesario que estén conectados a ninguna red o dispositivo: basta con activarla, y están atrapados.

No es un caso aislado: la monitorización es masiva

Rory Byrne, experto en seguridad y responsable de SecurityFirst, trataba de explicar cómo funcionan los sistemas de recolección de datos en ese aeropuerto, pero sobre todo exponía que la situación no es un caso aislado, y recordaba casos como uno de los aeropuertos de Canadá en los que los documentos de Edward Snowden dejaron claro que también se aprovechaban estas técnicas para hacer un seguimiento masivo de los viajeros.

Internet

Como afirmaba Byrne, "si soy un pasajero, quiero saber cómo se usan mis datos", y esa transparencia es prácticamente inexistente. En el reportaje que apareció en el Irish Independent hace unos días los responsables del aeropuerto de Dublín sí explicaban que se utilizan estos sistemas "para asegurar que los pasajeros no pasan más de media hora en las colas de los controles de seguridad". En sus preguntas a esos responsables, Byrne recibía una respuesta poco clarificadora: "no se recolectan datos personales. Los datos solo se asocian a la existencia de un dispositivo con la conectividad WiFi habilitada. No a su propietario".

@roryireland Rory, there is no personal data collected. The data relates purely to existence of a wifi enabled device. Not who owns it.

— Dublin Airport (@DublinAirport) November 9, 2015

Este experto nos hablaba de cómo estos sistemas están dispersos en todo tipo de ámbitos, y solo podemos esperar a que su presencia sea aún mayor en el futuro. Ya hemos hablado de los Beacons y de ese nuevo compromiso para la privacidad, y las consecuencias son evidentes:

Será mucho más fácil que tu jefe (o tu marido/mujer) o tu compañía de seguros sepa exactamente dónde estás [...], y aquellos que requieran protección y privacidad en su trabajo, por ejemplo un trabajador social que se cite con una víctima o un periodista que se cite con una fuente tendrán más posibilidades de dejar una huella digital que ponga en peligro a esas personas.

Bienvenido al maravilloso mundo del MLA

La llamada Mobile Location Analytics (MLA) es conjunto de técnicas que están orientadas teóricamente a comerciantes que pueden lograr informes sobre la actividad de los clientes en base a la recolección de las direcciones MAC WiFi y Bluetooth.

Mla2
Este es un ejemplo de un informe generado a partir de la recolección de las direcciones MAC Bluetooth y WiFi de los usuarios de dispositivos móviles

Esos doce dígitos que identifican a cada chipset WiFi y Bluetooth en nuestro teléfono son como la huella dactilar de dichos dispositivos: los identifican de forma única e inequívoca, y es posible recolectar esas direcciones MAC para que cualquier empresa, entidad (o persona) pueda saber qué dispositivos pasan por ciertos sitios, en qué momentos, y cuál es la duración de esa "visita".

En esa recolección de datos solo se transfiere la dirección MAC de nuestro chip WiFi o Bluetooth, sin más. No hay números de teléfono ni correos electrónicos asociados a nuestros dispositivos que se transfieran como parte de esa recolección de datos. Lo que sí se puede deducir a partir de esa información es el fabricante de nuestro dispositivo, ya que a cada uno se le conceden cierto rango de direcciones MAC.

El objetivo de esa recolección es según las compañías que lo utilizan el de "entender mejor la experiencia de cliente", de forma que se puedan extraer datos sobre cuáles son las zonas de la tienda más visitadas, cuánto tiempo esperamos en la cola, o si es posible mejorar potenciales planes de evacuación. Todos buenos argumentos que no dan respuesta a algo inexcusable:

Que no tenemos ni idea de que lo están haciendo. Nadie nos está avisando.

¿Cómo evitar esa recolección de datos?

Existen, eso sí, algunos Códigos de Conducta para el MLA (PDF) en el que las compañías que lo firman renuncian a la recolección de esos datos en los dispositivos que hacen el "opt-out" (baja) de estos sistemas.

People

La MAC se almacena sí, pero solo con el objetivo de descartarla en caso de formar parte de algún informe, y hay disponible un formulario que permite que cualquiera pueda encontrar la dirección MAC WiFi y la MAC Bluetooth de sus dispositivos para añadirla a esa baja de estos sistemas de recolección.

La forma más sencilla de evitar este tipo de recolección de datos es no obstante simple: tendremos que desactivar la conectividad WiFi o la Bluetooth en nuestros smartphones -u otros dispositivos móviles y aquí hay que tener en cuenta a los smartwatches-, algo que lógicamente tiene una contrapartida importante: la de que no podremos acceder a parte de las prestaciones y funcionalidades de estos dispositivos.

De hecho desactivar esa conectividad no nos libra de ese asalto a nuestra privacidad, y hay otras muchas formas de hacer un seguimiento de los usuarios. Ocurre desde luego con las cámaras de videovigilancia que encontramos en centros comerciales, aeropuertos, estaciones de trenes y otros muchos establecimientos públicos que eso sí, tienen la obligación de mostrar advertencias de la existencia de esas cámaras.

Pero también hay métodos menos conocidos como el uso de los llamados IMSI-catchers (International Mobile Subscriber Identity), dispositivos que permiten espiar la actividad telefónica e interceptar el tráfico de datos y voz de estos dispositivos y su geolocalización. Un buen ejemplo de este tipo de soluciones es Stingray, ese desarrollo utilizado por el FBI y por los cuerpos de seguridad en Estados Unidos que como se ha demostrado sí puede ser utilizado para luchar contra el crimen.

Y luego estamos los usuarios, por supuesto, que instalamos numerosas aplicaciones en nuestros smartphones y no prestamos atención a los permisos que concedemos a esas aplicaciones. En Android la cosa es especialmente llamativa y tenemos un buen ejemplo con lo que ocurrió con el escandaloso problema en Swype, que registraba nuestra localización 4.000 veces al día, pero en iOS no están exentos de estos problemas, y lo demostró recientemente Facebook.

Metro

Pero es que a esas aplicaciones que recolectan la información de forma poco transparente se unen las que lo hacen como parte de su funcionalidad. La localización pasiva de la que hablábamos el año pasado ha sido durante años el pilar de servicios como Foursquare, y que también ha derivado en la llamada localización ambiental en las que la aplicación nos conecta a usuarios que están cerca de nosotros y con los que tenemos intereses comunes. Aquí hay ejemplos como Highlight, Sonar o Banjo, pero desde luego la más conocida es probablemente Tinder, esa aplicación de ligoteo que se convirtió en un fenómeno de la movilidad con rapidez.

Así pues, aunque es evidente que no podemos controlar todos los parámetros que permiten tratar de espiarnos -eso nos convertiría en Quijotes digitales- sí que podemos tratar de tener algo de sentido común y cuidar y mimar nuestra privacidad.

Permisos En la nueva versión de Android podremos gestionar de forma muy potente qué permisos concedemos a cada aplicación. ¿Que no quieres que este juego acceda a tu posición GPS o que esa herramienta pueda acceder a tus fotos? Ya tienes la posibilidad de vetar esos accesos.

En Android 6.0 Marshmallow han aparecido los controles finos de permisos para las aplicaciones -lástima que esas mejoras vayan a tardar en llegar a los usuarios muchos meses-. Obviamente tenemos también la capacidad de no instalar y usar aquellas aplicaciones que abusen de esos permisos.

Pero además podemos acceder a terminales que precisamente tratan de darnos aún más garantías en estos temas. El Blackphone es el ejemplo más claro de esa ambición por la privacidad y la seguridad, y aunque está más orientado a usuarios empresariales -hace poco se ha lanzado el Blackphone 2-, sus prestaciones son útiles para todo tipo de usuarios. Nos toca mover ficha.

Imagen | Gilles Lambert | Kazuend | Anna Dziubinska

nukeador

Y algo que no se comenta pero que creo relevante, es que no sabemos con quién comparten estos datos ni qué correlación de los mismos hacen entre varias fuentes de información.

Esto es, pueden saber qué gente se encuentra en los mismo lugares habitualmente y hacer un mapa de conexiones entre la gente en diferentes lugares. Y si creéis que no pueden saber nunca quién está detrás del dispositivo, también es muy relativo, ya que muchos comercios tienen cámaras de vigilancia y pueden hacer correlación si quisieran de:

  • Identificador del dispositivo.
  • Cara de la persona desde la cámara.
  • Compra con tarjeta de crédito (la cual lleva nuestro nombre)

¿Mucha paranoia? Puede, pero no tenemos la certeza si se está haciendo, dónde se está haciendo y con quién están compartiendo esos datos. Y como todos sabemos, estos datos valen mucho dinero para algunas empresas.

Rastreo en el mundo físico.

Vir

Joer… qué miedito… :S

spacebom

Este es un tema muy interesante y con muchísimas implicaciones, tanto tecnológicas, como sociales y políticas.

Quiero decir, que además de lo que habéis expuesto, podríamos abstraernos incluso más y partir desde preguntas más generales, tipo: ¿está bien que se haga esto? ¿En todos los casos? ¿Pueden existir situaciones en las que estos rastreos resulten positivos para nuestra confianza o seguridad? ¿Cómo discernir entre aquella información que pueda servir para mejorar nuestra seguridad y aquella que pueda interferir en nuestra privacidad?

Y claro, a partir de aquí se podría ir descendiendo hacia temas más puramente técnicos, opciones para evitarlo, camuflarlo, formación, consecuencias, etc…

Me han surgido estas preguntas a través del tema de las cámaras de seguridad, algo que aquí (España) todavía no “sufrimos” en exceso, pero que seguro todos habéis visto su inmensa presencia y uso en sitios como UK o ciertas zonas de EEUU, pues el tema de las cámaras causó incertidumbre a parte de la población, pero mucha de ella ha sido convencida con los argumentos de la seguridad…

Como digo, creo que es un tema muy amplio, interesante y que daría para debatir largo y tendido. SIempre mejor con cerveza, claro :stuck_out_tongue:

nukeador

¿Ya tienen drones que identifican caras? :stuck_out_tongue:

spacebom

¿Quienes? Pero vamos, seguro que sí jejeje