Aprovechando que se acerca el periodo estival en el cual es posible que decidamos realizar algún viaje, me gustaría comentar ciertas medidas de protección implantadas en diversos sistemas de login relacionados con la ubicación geográfica del usuario. Para empezar, comentar que existen BBDD de IPs que las relacionan con su posición física, de manera que puedes consultar dónde esta ubicada una dirección IP con bastante precisión, hasta el punto de que en el mejor de los casos es posible acertar con la población en la que te encuentras; en el peor de los casos, el acierto se limita al país.
Esto es aprovechado hoy en día por cada vez mas aplicaciones, como por ejemplo para ofrecer servicios específicos para la población en que te encuentras. Por ejemplo en mi caso Google hace publicidad ofreciéndome comercios y servicios por ejemplo de la ciudad de Valencia. Esta información se viene utilizando también de manera habitual para orientar, limitar y prohibir el acceso a los contenidos en función de la ubicación física de la persona. Un ejemplo de ello son las cadenas de televisión que emiten video por Internet, limitando dichos contenidos al país en el que tienen licencias para emitir ciertos contenidos (por ejemplo, eventos deportivos concretos). En España esto es utilizado por La Sexta o Telecinco en sus emisiones de TV Online, ya que no tienen licencias de emisión universales. Por supuesto, estas técnicas le quitan universalidad a Internet, pero eso un tema para otro día. Siguiendo con las prohibiciones (que es casi el uso más habitual), existen BBDD de direcciones IP para poder limitar por países enteros; en http://ip.ludost.net/ tenemos herramientas que permiten incorporar estos límites de países a las ACLs de Apache o iptables, lo que puede ser util si queremos interaccionar solo con un país. Como aspecto positivo, también se utiliza para mejorar la seguridad, en módulos de login o transacciones de compras, siendo una medida habitual en los módulos anti-fraude.
No obstante, como todas las tecnologías están sujetas a imprecisiones y problemas. Por ejemplo, pueden fallar si estás dentro de una WAN de tu organización y los proxys se encuentran en una ubicación remota, ya que los contenidos a los que podrás tener acceso no son aquellos que por tu geolocalización deberías tener. Esto pasa con proveedores de Internet globales como AOL, o por ejemplo, en multinacionales en las que la salida a Internet pueda estar centralizada en una ubicación, a pesar de disponer de sedes repartidas por todo el globo (por ejemplo, la salida a Internet de Ford Motor Company puede estar en Estados Unidos, aunque disponga de fábricas por todo el mundo). Otro punto de fallo es la navegación por dispositivos móviles, ya que también está sujeta a cómo tu operador gestione el tráfico a Internet, o cuando hagas roaming, si estas en modo WiFi, conexiones por satélite, etc. Por último, los proxys de navegación como el diseñado por Opera para acelerar las conexiones a Internet, sufren este problema que pueden resultar en quebraderos y falsos positivos con las consiguientes inconveniencias para los usuarios.
A pesar de todo, el aspecto más positivo de este tipo de información es su utilización para evitar el fraude, de una manera muy sencilla. Por ejemplo, es posible comparar si la ubicación habitual de nuestro cliente y su ubicación actual son cercanas o han variado en miles de km, podemos ver si existen accesos simultáneos a servicios desde ubicaciones separadas miles de km, o analizar si el histórico de conexiones de nuestro cliente cumple cierto patrón. Esto genera contramedidas que ya han sido aplicadas por algunos proveedores de servicios. Por ejemplo, si Facebook detecta que alguien se está conectando desde una ubicación remota desde el móvil, puede cortar el acceso solicitando una conexión desde el PC habitual, o solicitar una serie de datos adicionales (fecha de nacimiento y otras) para su verificación. Por otra parte, Paypal, uno de los mayores objetivos de fraude, si detecta compras desde ubicaciones no habituales del usuario y con entrega en éstas, puede decidir bloquear la cuenta (a quien le pasó esto aún no se si ha podido restablecer la cuenta).
Todas estas medidas están diseñadas para proteger al usuario ante los problemas de fraude, normalmente cuando hay transacciones bancarias, compras de productos, u otros temas sensibles. Desgraciadamente, como todo, tienen su parte de molestia, ya que es probable que si se encuentra en Shangai de vacaciones, puede resultar que su banco no le quiera, Facebook no se fíe de usted y no pueda realizar compras mediante Paypal. En ese caso, lo mejor es dejar el portátil o Smartphone y disfrutar de las vacaciones. La tecnología seguirá ahí a su vuelta.
Cuando leí el titular pensé que hablaría sobre lo típico ‘el malechor puede detectar que ya no estás en casa’ pero el artículo ha resultado ser más interesante aún.
No sabía el caso de PayPal, que siempre me ha ‘preocupado’ porque pienso que la autentificación es más debil que en los bancos y quién se sepa tu clave puede hacer casi lo mismo que en tu cuenta de banca online.