La tendencia de “estar permanentemente conectados” pone a nuestra disposición una serie de herramientas con las que “hacer nuestra vida más cómoda” pero esto, a su vez, nos expone a múltiples amenazas que pueden repercutir negativamente en nosotros como individuos o en nuestras organizaciones. Cabe pensar que esta cuestión está muy interiorizada por quienes se dedican de forma directa o indirecta al mundo de la seguridad. Sin embargo, la realidad nos lleva a descubrir que el número de anécdotas y noticias relativas a incidentes de seguridad sigue creciendo y, en muchos casos, los protagonistas son precisamente quienes se dedican a la seguridad.
En la entrada de hoy ponemos el foco en el impacto que ha ocasionado la información recabada y publicada a través de la herramienta Strava.
Breve resumen para quien no haya seguido las noticias: Strava es una herramienta dirigida principalmente a deportistas que permite posicionar y registrar el recorrido de un usuario como pudiera ser un corredor o un ciclista. Esto ha permitido conocer la posición de bases y centros de operaciones secretas de los servicios de defensa debido a que los soldados utilizaban dicha aplicación y la información de sus rutas se incorporaba a un mapa mundial disponible para todos los usuarios.
Analizando el caso con un poco de perspectiva podemos pensar que una fuga de información en Runtastic, Wikiloc, etc. podría sacar a la luz información muy similar. De hecho, han pasado ya cinco años desde que abrimos el debate sobre las repercusiones de registrar todos nuestros pasos en Internet (ver Pulgarcito y las migas digitales (I) (II)) y ya por entonces una gran mayoría creíamos conveniente reducir y controlar este hábito.
Sirva lo ocurrido para incentivar la reflexión y tengamos en cuenta los siguientes aspectos:
- Dispositivos personales vs profesionales: aunque se haga una correcta separación entre el uso personal y profesional de los dispositivos, es necesario valorar la posibilidad de que el uso de nuestro dispositivo personal pueda desvelar información sensible. Por ejemplo, en lo que respecta a la localización de las bases secretas, poca relevancia tiene si la fuente de información era el dispositivo corporativo o el personal de los usuarios.
- Configuración segura: muchas herramientas incluyen opciones para salvaguardar la privacidad de nuestra información. Antes de utilizar las aplicaciones con la configuración por defecto, conviene revisar y confirmar que las opciones de seguridad están debidamente ajustadas. En el caso de Strava, se recomienda establecer un radio de privacidad holgado respecto a donde vivimos, para mantener en el anonimato nuestro lugar de residencia.
- Múltiples fuentes de información: podemos pensar a priori que los datos recabados a través de una aplicación como Strava no sean “tan sensibles” para un usuario convencional. Sin embargo, no hay que perder de vista que dicha información unida a la que se puede recabar de otros servicios (redes sociales, aplicaciones para pedir taxis, comida a domicilio, etc.) permiten generar un perfil personal muy detallado que sí preferiríamos salvaguardar.
- Fugas de información: no existe sistema 100% seguro, por lo que aun siguiendo las mejores prácticas siempre existe la posibilidad de que pudiera haber una fuga de información. Dada esta situación, si tratamos información especialmente sensible conviene prestar más atención a los riesgos y evaluar las posibles consecuencias y repercusiones derivadas de una potencial fuga de información. Según hemos leído en diversas noticias, se instaba a los soldados a que gastaran la aplicación para incrementar su motivación y ganas de superarse. En este caso los “contras” superaban con creces las ventajas que aportaba. En vistas a lo ocurrido, seguro que los responsables de seguridad hubieran preferido que los soldados controlaran las series de entrenamiento con el clásico crono de mano en lugar de con las herramientas de tracking.
Las recomendaciones previamente referidas van dirigidas principalmente al usuario, pero naturalmente las organizaciones van a tener que actualizar sus normativas y protocolos de seguridad para hacer frente a dichas amenazas. No sería de extrañar que llegado su momento nos resulte familiar encontrar carteles informativos recordando que se prohíbe el uso de herramientas que utilicen geoposicionamiento.
Es evidente que para muchas organizaciones restringir el uso de estas aplicaciones deportivas no sea un aspecto prioritario. Sin embargo, sí puede ser un tema a contemplar en el corto plazo por aquellas compañías que tratan información muy sensible, como pueden ser aquellas cuyas instalaciones hayan sido designadas infraestructura crítica.
Esperamos que la lectura os haya resultado interesante y que si sois usuarios de este tipo de aplicaciones, os sirva para hacer un uso más seguro.
Un saludo.
[Sobre Samuel Segarra]
Enlaces relacionados:
- https://www.theregister.co.uk/2018/01/29/strava_military_base_locations/
- http://www.elmundo.es/papel/historias/2018/01/30/5a6f6834e5fdea2b1c8b4617.html – Imagen 1 extraída de la noticia.
- https://elpais.com/internacional/2018/01/29/estados_unidos/1517182703_981640.html
- https://www.elconfidencial.com/tecnologia/2018-01-29/rutas-running-zarzuela-strava-fallo-seguridad_1513406/