Ciberdefensa | Las aplicaciones móviles

strava — Los mapas de calor de Strava permitían, al marcar el recorrido hecho por sus usuarios sobre el terreno, dibujar con precisión los contornos de las bases militares e incluso trazar su plano.

Las aplicaciones móviles, es decir, las aplicaciones informáticas que utilizamos principalmente en nuestros smartphones o tablets, son actualmente una de las herramientas más utilizadas por los ciudadanos tanto en su entorno personal como profesional. En los últimos años han surgido voces que alertaban del peligro que estos programas informáticos tienen sobre la privacidad del usuario, pero en menor medida se conoce el impacto que pueden ocasionar en el ámbito de la defensa.

Cuando hacemos referencia a Internet y las cuestiones del ciberespacio en el entorno militar, de la inteligencia o de los conflictos, son frecuentes las referencias al gran desarrollo que han experimentado las cuestiones relacionadas con el Big Data, el Internet of Things o la industria 4.0. También a los cambios que estas tecnologías conllevan en la estructura, doctrina, comunicación o en el despliegue de las Fuerzas Armadas. Aunque en un nivel de relevancia aparentemente inferior, también deberíamos centrar nuestra atención en el impacto que las aplicaciones móviles pueden tener en la defensa, debido al uso generalizado que el personal civil y militar realiza de estas plataformas.

Las conocidas comúnmente como apps (derivado del inglés, application) son una herramienta informática que en poco más de una década se ha convertido en un elemento indispensable para la realización de todo tipo de actividades cotidianas, principalmente debido a su uso generalizado a través de dispositivos móviles como los teléfonos inteligentes, tablets o, más recientemente, los wearables (los dispositivos inteligentes como smartwatch o las pulseras de actividad). A pesar de que el origen de las apps podemos situarlo en la década de los años noventa del siglo XX, su generalización no llegaría hasta el lanzamiento de la primera generación del iPhone en el año 2007 y el de la App Store, un año después. Esta última permitía descargar aplicaciones desarrolladas por terceros, provocando la explosión en cuanto al uso de estas herramientas. Entre las más descargadas y populares encontramos apps de mensajería instantánea (WhatsApp, Messenger Facebook, Skype), de las conocidas como redes sociales (Facebook, Instagram, Twitter), de vídeos (YouTube, TikTok), música (Spotify) o mapas (Google Maps).

De forma recurrente, los medios de comunicación nos informan acerca de los fallos de seguridad que presentan algunas de estas aplicaciones o de cómo las compañías tecnológicas utilizan los datos de los usuarios para fines aparentemente distintos al uso que tienen estas herramientas. Una vez superado el miedo inicial o subsanado (aparentemente) ese agujero de seguridad, las descargas y el uso de estas herramientas continúa con normalidad. Es precisamente esa naturalidad con la que nos relacionamos con los dispositivos inteligentes y sus aplicaciones -que percibimos como un elemento completamente integrado en nuestras actividades diarias y, en particular, en nuestra forma de comunicarnos- el mayor peligro.

Según el informe anual de Sensor Tower, un proveedor de análisis e inteligencia de mercado centrado en la economía de las aplicaciones, durante el año 2019 se descargaron más de 115 mil millones de aplicaciones en todo el mundo, de un total de poco más de 4 mil millones de personas que están conectadas a Internet a nivel global. Estos datos no pueden entenderse salvo porque la mayoría de las apps más populares son gratuitas. Y en este punto es dónde radica una de las claves: sin coste, la información del usuario adquiere una enorme importancia para las empresas que desarrollan estas apps.

Al descargar estas aplicaciones en nuestros dispositivos nos solicitan permiso para realizar la instalación, previa aceptación de las condiciones (que no leemos) en las que generalmente nos advierten de que nuestros datos pueden ser utilizados y distribuidos a terceras partes con un objetivo: mejorar la experiencia del usuario en esa aplicación.

Pocos podían imaginar que una actividad tan inocente como la carrera continua podría ser explotada para obtener datos relevantes desde el punto de vista de la seguridad y menos mediante una aplicación móvil. Fuente – US Army.

El uso de las aplicaciones móviles por parte del personal militar

Al igual que el resto de ciudadanos, el personal civil y militar relacionado con el ámbito de la defensa hace un uso diario de las distintas aplicaciones móviles que están disponibles, a través de las cuales se produce la transferencia de grandes cantidades de información que, una vez enviada, no tenemos la certeza de por dónde circula ni quién puede acceder a ella. En este sentido se han publicado en los últimos años noticias e informes relacionados con el impacto sobre la privacidad de los usuarios en la esfera privada, pero escasos en relación al impacto que puede tener en el terreno militar, como ocurrió en el caso de Strava.

Strava es una red social destinada a la práctica deportiva que permite realizar un seguimiento de las actividades a través del GPS de los dispositivos inteligentes (smartphones, pulseras de actividad como FitBit o relojes GPS). Registra el tiempo que la persona está realizando deporte, el ritmo cardíaco o la distancia recorrida, lo que permite no sólo archivar esa información para el propio usuario, sino también compartir esas estadísticas y rutas realizadas con millones de usuarios que también han descargado esa aplicación. Según la compañía, a finales de 2019 tenía más de 46 millones de usuarios repartidos alrededor de 195 países en los que se han registrado más de 2.000 millones de actividades. En el caso concreto de España, en la actualidad tiene más de 2 millones de usuarios registrados.

Por sí sola, la información que registra esta app no aporta muchos datos, más allá de los puramente deportivos. Pero lo llamativo se produjo a finales de 2017, cuando la compañía anunció una actualización de su mapa de calor mundial, a través del cuál se pueden visualizar los recorridos que habían realizado (y compartido) los usuarios de la plataforma desde su última actualización en el año 2015. Lo que en apariencia no tenía mayor importancia se reveló como una importante fuente de información.

La aplicación Polar Flow mostraba mapas como este, de Guantánamo, en el que se puede ver tanto la posición en un momento determinado como los recorridos hechos por los militares norteamericanos que la utilizaban.

Revelaciones de Strava

Nathan Ruser, un estudiante universitario australiano, publicó en enero de 2018 una serie de imágenes en Twitter en las que aparentemente el heatmap de la aplicación mostraba actividades en zonas que podían vincularse con instalaciones militares. A partir de estas publicaciones, se cruzaron las imágenes del mapa de calor de Strava con las informaciones anteriores o mapas disponibles (como Google Earth o imágenes de satélite) y se identificaron bases del ejército estadounidense en Afganistán, Irak o Siria, presencia militar francesa en Níger o tropas italianas en Djibouti.

El hecho de que el mapa de calor pudiera relacionarse con la situación de instalaciones militares se debe en buena medida a las tasas de conectividad que tienen estos países. En el año 2016 tan sólo el 13% de la población de Djibouti tenía acceso a Internet; en 2017, la población de Níger escasamente representaba el 10% y Afganistán alcanzaba tan sólo el 13,5% (a modo de referencia, el porcentaje de población conectada a Internet en España en 2017 era del 84,60%). En consecuencia, el uso de esta app en lugares con bajas tasas de conectividad implica que si bien una buena parte del mapa del país está en negro, el mapa de calor ilumina las zonas dónde hay una mayor actividad de los usuarios y, por lo tanto, son ubicaciones más evidentes y fáciles de detectar.

A pesar de que este hallazgo podría tener consecuencias directas en la seguridad del personal destinado a estas instalaciones, algunos analistas señalaron que el principal problema no era este (investigaciones anteriores ya habían revelado algunas de estas ubicaciones). El verdadero problema era que a partir de esa información pública se podría, por un lado, establecer las rutas que realizaban los soldados o patrullas y, por otro, trazar un vínculo entre las actividades, su ubicación y la identidad concreta de un usuario. En relación a esta última eventualidad, se podría identificar y realizar el seguimiento de un individuo desde su lugar de destino en una misión en el exterior hasta que vuelve a su domicilio familiar en su país de origen a partir del rastro de información que va dejando a través de la aplicación, sobretodo si se consigue vincular estos datos con otras aplicaciones con un fuerte contenido visual como Facebook o Instagram. Pero Strava no sería la única aplicación que permitiría realizar este seguimiento.

(Continúa…) Estimado lector, este artículo es exclusivo para usuarios de pago. Si desea acceder al texto completo, puede suscribirse a Revista Ejércitos aprovechando nuestra oferta para nuevos suscriptores a través del siguiente enlace.