Dedicamos este artículo a los super alumnos del Curso de Experto TAC -Tecnologías del Aprendizaje y del Conocimiento– impartido por la innovadora empresa LAB POSSIBLE, en colaboración con el Centro Universitario La Salle, y en el cual hemos tenido el placer de participar impartiendo la sesión de Prevención en Riesgos de Internet.
La mayoría de las redes sociales se aprovechan de los servicios basados en la geolocalización, que permiten a los usuarios reportar su ubicación física.
Mediante el uso de esta función, los usuarios pueden localizar físicamente a sus amigos o localizarse ellos mismos para que les encuentren.
En algunas redes sociales las funciones de geolocalización están activadas de forma predeterminada. Si somos conscientes de los riesgos que podría conllevar compartir de manera compulsiva nuestra localización, deberíamos revisar la configuración de privacidad para, bien bloquear la función, bien limitar quién puede ver la información de nuestra ubicación.
Si aún no eres consciente de esos riesgos, quizás deberías seguir leyendo.
Uno de los usos del GPS es el geoposicionamiento o geotagging, que es el proceso de unir la información de ubicación a cualquier tipo de contenido, como pueda ser una fotografía o un vídeo.
Esa información queda grabada en una zona “invisible” del archivo (los metadatos) pero quedan incorporadas de manera permanente (a menos que utilicemos una herramienta específica para borrarla).
Además de la ubicación, los metadatos (que se encuentra en los datos EXIF de un archivo) también podrían incluir elevación, rumbo, distancia, e incluso el nombre de un lugar como restaurantes y tiendas.
Para, por ejemplo, los fotógrafos, o incluso para un uso particular de las imágenes puede ser beneficioso ya que ayuda a catalogar, organizar y clasificar nuestras fotos.
Hoy en día, que compartimos casi compulsivamente imágenes y videos, este exceso de información puede tener consecuencias peligrosas.
Compartiendo fotos u otros medios con datos de geolocalización exacta, permite cualquiera que tenga acceso a ese archivo saber exactamente donde estamos, a una determinada hora. Con precisión casi milimétrica.
Como muestra, una imagen aparentemente insulsa, como puede ser esta de una palmera:
A primera vista, como decimos, una foto totalmente inocua. ¿Una palmera no puede decir mucho de nosotros, no?
No salimos en la foto, además, con lo que difícilmente se nos podría ni ubicar ni relacionar con ningún sitio en concreto ni estamos dando información más allá que compartir una foto de una palmera….
¡Pues no! Nada más lejos de la realidad. Y si no, echadle un vistazo al resultado de utilizar alguna herramienta de lectura de metadatos para esa “simple e inocua” fotografía:
En esa sola fotografía tenemos, además de la palmera, la ubicación precisa y el día y la hora en que se hizo.
¡¡Hasta con un mapa y una flechita indicando el lugar exacto!!
Ni que decir tiene que, cualquier ciberdelincuente, acosador, o simplemente alguien que “nos quiera dar cualquier tipo de susto”, simplemente con hacer un seguimiento de nuestras fotos, sabrá dónde estamos en cada momento, por dónde nos movemos y cuáles son nuestros hábitos.
Es más, y en la imagen está obviamente pixelado por seguridad, la marca y modelo exacto de móvil con el que está hecha la foto también aparece. ¿Y eso?, ¿qué importancia tiene?
Con solo ese dato (y nuestro número de teléfono o dirección de mail, por ejemplo) un ciberatacante podría enviarnos, por mail, whatsapp, sms… un script con malware diseñado específicamente para nuestro modelo de smartphone de última generación y, además de dejarlo como un bonito pisapapeles, se adueñaría de todo lo que guardemos en él. Todo: fotos, correos, conversaciones, contactos…
Es cierto que muchas redes sociales (Facebook, Twitter o Instagram) eliminan los metadatos a la hora de publicar las fotos (con lo que hay parte del riesgo que se desvanece). Pero no todas. Snapchat no los borra todos, ni lo hacen las aplicaciones de mensajería, por ejemplo.
Además, el hecho de que “limpien” las imágenes no quiere decir que ellas, las aplicaciones, no almacenen en sus servidores para venderlos al mejor postor.
¿¿O crees que es casualidad que después de publicar una foto esquiando, la siguiente ocasión que entres en Facebook o en Instagram, te sugiera publicidad de un nuevo modelo de skis??
Pero es que, además, no sólo a la hora de compartir imágenes o vídeos podemos estar poniendo en peligro nuestra privacidad y seguridad.
Aunque no subamos imágenes geoetiquetadas, pero tengamos activa la geolocalización de manera que, en nuestras publicaciones, aparezca el lugar desde el que estamos tuiteando o compartiendo algo, estaremos dando también más pistas de las necesarias.
Haciendo un simple análisis de lo que son datos públicos (y publicados por nosotros), se puede perfectamente ubicar en un mapa todas nuestras publicaciones gracias a ese dato de geolocalización.
Estudiando un poco ese mapa, y teniendo en cuenta que, por regla general, hacemos más uso de las redes sociales desde casa y desde el trabajo, podemos saber, exactamente, aunque no lo digamos, dónde vivimos y dónde trabajamos.
Y eso… estarás conmigo en que es demasiada exposición, no? Es, sin lugar a dudas, correr un riesgo innecesario.
¿La solución? Es clara: no utilices la geolocalización si no es estrictamente necesario.
El GPS puede estar encendido, (nos puede ser útil si tenemos que localizar el móvil si nos lo roban, por ejemplo), pero:
- No actives la geolocalización de tus publicaciones
- No añadas datos de geolocalización a tus fotos o videos
- No compartas tu ubicación con nadie a menos que sea estrictamente necesario.
Tu seguridad depende de ello.
Co-founder & CEO de fun4Shoppers
Hola. Estoy de acuerdo en todo lo que expones, pero hay un detalle que se me escapa. Alguien malintencionado puede enviarme un script a mi terminal, pero eso lo puede hacer con independencia de la ubicación. O acaso la geolocalizacion abre alguna puerta adicional al malware?
Gracias.
Hola Luis. Muchas gracias por tu aportación
Como bien dices, el script nos lo pueden enviar con independencia de la ubicación toda vez que conozcan el modelo de móvil que usamos y la versión de sistema operativo que tenemos instalada.
Si lo mencionamos en el artículo es por explicar con mayor detalle algunos de los datos que estamos compartiendo cuando subimos una foto o vídeo a a red. Evidentemente, los datos del modelo de móvil se graban independientemente de que tengamos activada o no la geolocalización y forman parte de toda esa información que deberíamos borrar de manera sistemática antes de compartir cualquier archivo.
Si acaso, y siendo muy específico, la geolocalización no es que añada ninguna puerta adicional al malware, pero sí podría darse que, si la ubicación se ha compartido recientemente y de manera precisa, un posible atacante estuviera en nuestro entorno y pudiera hacernos llegar el script por otra vía que precise la proximidad, bluetooth o wifi, o pudiera escanear las redes a las que estamos conectados para robarnos información. Pero ya digo que se trata de un caso muy específico.
Muchas gracias de nuevo por tu interesante comentario.
José Fernández