Corredores en Ámsterdam, Países Bajos.

Strava, una aplicación de fitness revela ubicaciones delicadas

Una App fitness revela ubicación de los hogares y vidas de las personas que hacen ejercicio en lugares secretos, como agencias de inteligencia, bases militares y aeródromos, sitios de almacenamiento de armas nucleares y embajadas en todo el mundo.

En enero Nathan Ruser descubrió que la aplicación de fitness Strava reveló lugares sensibles en todo el mundo mientras rastreaba y publicaba los ejercicios de individuos, incluidos soldados en bases militares secretas . 

La App es conocida por hacer el primer monitor inalámbrico de frecuencia cardíaca del mundo utilizando su web «Polar Flow» como plataforma social donde los usuarios pueden compartir sus carreras. Similar a los servicios de Garmin, Runtastic y Strava, Polar publica más datos por usuario de una manera más accesible, con resultados potencialmente desastrosos.

Ejercicios seguidos en una base militar en Oriente Medio. Los cuadrados rojos con puntos blancos son grupos de muchas más sesiones que comenzaron en esa ubicación

Ejercicios seguidos en una base militar en Oriente Medio. Los cuadrados rojos con puntos blancos son grupos de muchas más sesiones que comenzaron en esa ubicación

Funcionamiento

Al mostrar todas las sesiones de un individuo combinadas en un solo mapa, Polar no solo está revelando los ritmos cardíacos, las rutas, las fechas, la hora, la duración y el ritmo de los ejercicios realizados por individuos en sitios militares, sino que también revela la misma información de lo que probablemente también sean sus hogares. Rastrear toda esta información es muy simple a través de la web: encontrar una base militar, seleccione un ejercicio publicado allí para identificar el perfil adjunto y vea dónde ha realizado mas ejercido esta persona. Como las personas tienden a encender/apagar sus App de actividad física al salir o entrar en sus hogares, involuntariamente marcan sus casas en el mapa. Los usuarios a menudo usan sus nombres completos en sus perfiles, acompañados de una foto de perfil, incluso algunos conectaron su perfil de Facebook a su cuenta Polar.

Google difumina las ubicaciones secretas en las imágenes satelitales, pero Polar revela los individuos que hacen ejercicio allí.

Google difumina las ubicaciones secretas en las imágenes satelitales, pero Polar revela los individuos que hacen ejercicio allí.

Apps similares

Polar no es la única aplicación que hace esto, pero la diferencia entre ella y otras plataformas de fitness populares, como Strava o Garmin, es que estos otros requieren que busques a una persona específica para ver instancias separadas de sus sesiones, cada ejercicio tiene su propio mapa pequeño. Además, a menudo limitan el número de ejercicios que se pueden ver. Polar lo empeora mucho al mostrar todos los ejercicios de un individuo realizados desde 2014, en todo el mundo en un solo mapa.

Solo se necesita buscar a un usuario interesante, seleccionar uno de los perfiles que hacen ejercicio allí y se puede obtener un historial completo de esa persona.

 

Mapa de Polar basado en datos individualizados, que muestra ejercicios realizados por una persona en Oriente Medio y los Estados Unidos.

Mapa de Polar basado en datos individualizados, que muestra ejercicios realizados por una persona en Oriente Medio y los Estados Unidos.

Actividades registradas a nivel mundial de los últimos 6 meses. De izquierda a derecha: Global, Corea del Norte y Corea del Sur, Polinesia Francesa, Antártida.

Actividades registradas a nivel mundial de los últimos 6 meses. De izquierda a derecha: Global, Corea del Norte y Corea del Sur, Polinesia Francesa, Antártida.

 

Con unos pocos clics, se puede encontrar a un oficial de alto rango de una famosa base aérea conocida por albergar armas nucleares trotando por el complejo por la mañana. Desde una casa no muy lejos de esa base, comenzó y terminó muchas más carreras los domingos por la mañana temprano. Su camino favorito es a través de un bosque, pero a veces comienza y termina en un aparcamiento más lejos. El perfil muestra su nombre completo.

Datos publicados obtenidos mediante la APP

Las actividades  secreto se publican con un detalle increíble. Una vez más, su nombre y foto de perfil están abiertamente disponibles.

Podemos encontrar personal militar occidental en Afganistán a través del sitio Polar. La verificación cruzada de un nombre y una foto de perfil con las redes sociales confirmó la identidad de un soldado u oficial. Polar mostró sus carreras en varias bases militares repartidas por todo Oriente Medio, así como el inicio y el final de docenas de ejercicios desde una casa en el estado de Nueva York. El oficial hizo un viaje al lado oeste de los Estados Unidos y usó una bicicleta allí. También registró el ejercicio desde un hotel durante una estancia en Tailandia. Toda esta actividad fue acompañada por un sello de tiempo, su ruta exacta, su ritmo cardíaco y la cantidad de calorías que quemó.

Ejercicios seguidos en una base militar en África.

Ejercicios seguidos en una base militar en África.

 

Podemos pasar por otras bases militares en Oriente Medio, Asia Meridional y África para encontrar militares occidentales y hacer referencia cruzada a sus nombres completos con perfiles de redes sociales, incluido LinkedIn.

Selección de personas encontradas

Una selección de personas que encontramos en la web Polar que eran identificables a partir de su información pública, y cuyas casas pudimos localizar incluye:

  • Personal militar que ejerce en bases conocidas, o fuertemente sospechosas, de albergar armas nucleares.
  • Individuos que hacen ejercicio en agencias de inteligencia, así como en embajadas, sus domicilios y otros lugares.
  • Personas que trabajan en el FBI y la NSA.
  • Personal militar especializado en ciberseguridad, TI, defensa contra misiles, inteligencia y otros dominios sensibles.
  • Personas que están en submarinos, haciendo ejercicio en bases submarinas.
  • Personas tanto de gestión como de seguridad que trabajan en centrales nucleares.
  • Un CEO de una empresa de fabricación, haciendo ejercicio en lugares de todo el mundo.
  • Americanos en la Zona Verde de Bagdad.
  • Soldados rusos en Crimea.
  • Personal militar en la bahía de Guantánamo.
  • Tropas estacionadas cerca de la frontera con Corea del Norte.
  • Aviadores involucrados en la batalla contra el Estado Islámico.

Esta lista no es exhaustiva. Raspando la web de Polar (otro defecto de seguridad) para las personas que se ejercitaban en más de 200 sitios sensibles, y se recopiló una lista de casi 6.500 usuarios únicos. Juntos, estos usuarios habían hecho más de 650.000 ejercicios, marcando los lugares en los que trabajan, viven y se van de vacaciones.

Implicaciones de seguridad

Las implicaciones de seguridad son obviamente graves. En los países donde a los soldados se les prohibió usar sus uniformes en la calle para evitar que se encontraran con un posible terrorista, ahora cualquier persona con acceso a Internet y que sepa usar el sitio de Polar puede encontrar direcciones y patrones de vida fácilmente. No se necesita mucha imaginación para ver cómo los extremistas o los servicios de inteligencia estatal podrían utilizar esta información de manera peligrosa. Esto es especialmente preocupante teniendo en cuenta los datos que logramos recopilar sobre el personal en múltiples sitios de almacenamiento de armas nucleares.

El riesgo del conjunto de datos abiertos de Polar también plantea un riesgo para los civiles, ya que aquellos con malas intenciones podrían usar Polar para ver cuándo y durante cuánto tiempo los usuarios de un área tienden a estar lejos de sus hogares, así como cuándo están en el extranjero si llevan consigo los sensores de frecuencia cardíaca.

Corredores en Ámsterdam, Países Bajos.

Corredores en Ámsterdam, Países Bajos.

Temporada de puertas abiertas

Al registrarse, Polar le pide que proporcione un nombre, ubicación, altura, peso, fecha de nacimiento, sexo y la cantidad de entrenamiento por semana. Aunque obviamente puede completar información falsa, la mayoría de los usuarios proporcionan información real. Junto con la capacidad de conectar su cuenta a Facebook, Polar también ofrece integración con otras cinco aplicaciones  para compartir «todas sus sesiones automáticamente».

Incluso una correcta configuración de privacidad, todavía habrá muchos datos disponibles. Estos son algunos ejemplos:

  • Cambiar la privacidad de «Público» a «Seguidores» seguirá permitiendo que los perfiles muestren un nombre, una foto y la ubicación en la que escribieron durante el registro a cualquier persona. Los usuarios también tendrían que desactivar la opción que permite a otros convertirse en un «Seguidor» automáticamente si lo desean.
  • Cambiar la privacidad de las sesiones, incluso a las más estrictas, solo afecta a las nuevas sesiones. Las sesiones más antiguas permanecerán visibles.
  • Otros sitios de fitness, como Strava, ofrecen la opción de evitar automáticamente que se publique su hogar o lugar de trabajo. Polar no lo hace.
  • Es posible eliminar sesiones individuales, pero muchas cuentas parecen tener cientos de sesiones registradas, lo que lo convierte en un proceso muy engorroso.
  • Hay sesiones en el mapa que son completamente privadas, no están vinculadas a nada más. Sin embargo, una vez que se encuentran varios de estos ejercicios privados que comienzan y terminan en la misma casa, todavía es posible recopilar información sobre cuándo y a dónde va una persona que vive allí.

Actualización de la APP

La política de privacidad se actualizó, y las nuevas cuentas tienen su configuración predeterminada configurada en las opciones más privadas disponibles cumpliendo con el principio de minimización de datos del Reglamento Europeo de Protección de Datos (RGPD), lo que significa que los usuarios tienen que optar por compartir.  Polar declaró que reconocía la naturaleza sensible de los datos que se estaban revelando, ha decididó suspender temporalmente la función de «explorar».

Inconvenientes

Como con la mayoría de las fuentes abiertas, la plataforma de Polar tiene sus limitaciones. Los datos de Polar se basan en el GPS, que puede ser inexacto, como Bellingcat describió en un artículo sobre cómo usar los datos de Strava. Los usuarios deberían encender/apagar sus sensores a cierta distancia de sus hogares, sin embargo, esto no es realista ni practico y los puntos de inicio y final generalmente promedian una residencia en particular.

Los datos tienden a ser lo suficientemente precisos como para saber cuándo los usuarios están en la calle o en una casa particular. Se vuelve más difícil cuando se trata de grandes ciudades y edificios de apartamentos, aunque la mayoría de los rastreadores de actividad física parecen rastrear la elevación con bastante precisión. En un caso, se identificó a un individuo que trabajaba en un lugar sensible de regreso a un edificio de apartamentos. Esta persona a menudo comenzó a correr frente al edificio en el suelo, pero también ocasionalmente había comenzado un ejercicio a una altitud mucho mayor. La diferencia entre esas dos alturas, combinada con las coordenadas, coincidía con un piso exacto dentro del edificio de apartamentos.

El corazón de la materia

Encontrar los nombres e incluso las direcciones de los soldados en línea no es nuevo en sí mismo. La cantidad de datos que las personas están poniendo en línea ha suscitado preocupaciones durante mucho tiempo tanto a los ciudadanos como a los gobiernos. Se pueden reunir cuentas, publicaciones e información separada de redes sociales para proporcionar una imagen bastante completa de un individuo. A menudo olvidamos que las fotos y los videos revelan mucha información y se pueden utilizar en la geolocalización para proporcionar un contexto adicional. 

El ejército de los Estados Unidos ya ha revisado sus reglas para las App de actividad física, y es probable que otros países también lo hayan hecho. Sin embargo, hasta no hace demasiado aún era posible identificar a muchos usuarios estadounidenses en lugares militares. También vale la pena señalar que solo se trata de datos de monitores de frecuencia cardíaca Polar, mientras que hay todo un mundo de dispositivos y aplicaciones de seguimiento por ahí. Las aplicaciones de fitness chinas, por ejemplo, ya son utilizadas por cientos de millones y están patrocinadas por el gobierno, que tiene como objetivo desarrollar «una variedad de actividades de fitness y artículos deportivos especiales«.

Grupos de ejercicios individuales. Izquierda: Hong Kong, Derecha: Moscú

Grupos de ejercicios individuales. Izquierda: Hong Kong, Derecha: Moscú

Los dispositivos y aplicaciones de fitness son solo un área más en la que las personas necesitan ser conscientes de qué tipo de datos están compartiendo. Como siempre, compruebe los permisos de su aplicación, intente anonimizar su presencia en línea y, si aún insiste en realizar un seguimiento de sus actividades, inicie y termine las sesiones en un espacio público, no en su puerta principal. Finalmente, si desea una garantía absoluta , podría dejar su dispositivo en casa, para que pueda trotar de forma anónima a su gusto.

Post escrito con información extraída en www.theguardian.com www.bellingcat.com

0 comentarios

Dejar un comentario

¿Quieres unirte a la conversación?
Siéntete libre de contribuir!

Deja una respuesta

Tu dirección de correo electrónico no será publicada.