Cuidado con encontrar mi teléfono, Wi-Fi y Bluetooth, la NSA informa a los usuarios de los dispositivos móviles

Fotografía de una aplicación de mapas en un teléfono inteligente.

La Agencia de Seguridad Nacional recomienda que algunos funcionarios gubernamentales y personas generalmente preocupadas por la privacidad apaguen buscar mi teléfono, Wi-Fi y Bluetooth siempre que estos servicios no sean necesarios, y limiten el uso de datos de ubicación por aplicaciones.

«Los datos de ubicación pueden ser extremadamente valiosos y deben protegerse», dijo un comunicado publicado el martes. «Puede revelar detalles sobre la cantidad de usuarios en una ubicación, los movimientos y suministros de los usuarios, las rutinas diarias (del usuario y de la organización) y puede exponer asociaciones desconocidas entre usuarios y ubicaciones».

Los funcionarios de la NSA reconocieron que las funciones de geolocalización están habilitadas por diseño y son esenciales para las comunicaciones móviles. Los empleados también admiten que las medidas de seguridad recomendadas no son prácticas para la mayoría de los usuarios. La cartografía, el seguimiento de la ubicación de teléfonos perdidos o robados, la conexión automática a redes Wi-Fi y los rastreadores de actividad física y las aplicaciones son solo algunas de las cosas que requieren ubicaciones diminutas para funcionar.

El costo de la conveniencia

Pero estas características tienen un costo. Los oponentes pueden acceder a los datos de ubicación que los desarrolladores de aplicaciones, los servicios de publicidad y otros terceros reciben de las aplicaciones y luego se almacenan en enormes bases de datos. Los oponentes también pueden suscribirse a servicios como los ofrecidos por Securus y LocationSmart, dos servicios documentados por The New York Times y KrebsOnSecurity, respectivamente. Ambas empresas rastrearon o vendieron ubicaciones de clientes recopiladas por torres celulares de los principales operadores de telefonía celular.

LocationSmart no solo filtró estos datos a cualquiera que conociera un truco simple para explotar una clase común de error de sitios web, sino que un reportero adjunto logró obtener la ubicación en tiempo real de un teléfono pagando $ 300 por un servicio diferente. El New York Times también publicó esta preocupante característica que describe los servicios que utilizan datos de ubicación móviles para rastrear las historias de millones de personas durante largos períodos.

La declaración también advierte que el rastreo ocurre a menudo incluso cuando el servicio celular está apagado, ya que tanto Wi-Fi como Bluetooth también pueden rastrear ubicaciones y transmitirlas a terceros conectados a Internet o con un sensor dentro del alcance. radio.

Publicidad

Para evitar este tipo de invasiones a la privacidad, la NSA recomienda lo siguiente:

  • Desactive la configuración de los servicios de ubicación en el dispositivo.
  • Desactive las radios cuando no estén en uso activo: desactive BT y desactive Wi-Fi si estas funciones no son necesarias. Utilice el modo avión cuando el dispositivo no esté en uso. Asegúrese de que BT y Wi-Fi estén deshabilitados cuando el modo Avión esté habilitado.
  • Las aplicaciones deben tener la menor cantidad de permisos posible:
    • Configure los ajustes de privacidad para asegurarse de que las aplicaciones no usen ni compartan datos de ubicación.
    • Evite el uso de aplicaciones relacionadas con la ubicación, si es posible, ya que estas aplicaciones exponen inherentemente los datos de ubicación del usuario. Si se usa, la configuración de privacidad / permisos para dichas aplicaciones debe configurarse para no permitir el uso de datos de ubicación o, como máximo, para permitir el uso de datos de ubicación solo cuando se usa la aplicación. Ejemplos de aplicaciones relacionadas con la ubicación son mapas, brújulas, aplicaciones de tráfico, aplicaciones de fitness, aplicaciones para encontrar restaurantes locales y aplicaciones de compras.
  • Desactive los permisos de publicidad tanto como sea posible:
    • Configure los ajustes de privacidad para limitar el seguimiento de anuncios, teniendo en cuenta que estas restricciones quedan a discreción del proveedor.
    • Restablezca el ID de publicidad del dispositivo con regularidad. Como mínimo, esto debería ocurrir semanalmente.
  • Desactive la configuración (comúnmente conocida como configuración de FindMy o Find My Device) que permite rastrear un dispositivo perdido, robado o extraviado.
  • Minimice la navegación web en su dispositivo tanto como sea posible y configure los ajustes de privacidad / permisos de su navegador para evitar el uso de datos de ubicación.
  • Utilice una red privada virtual (VPN) anónima para ayudar a ocultar la ubicación.
  • Minimice la cantidad de datos con información de ubicación que se almacena en la nube, si es posible.

Si es fundamental que no se revele la ubicación para una misión específica, considere las siguientes recomendaciones:

  • Determine una ubicación no sensible donde los dispositivos con capacidades inalámbricas puedan protegerse antes de que comience cualquier actividad. Asegúrese de que el sitio de la misión no se pueda predecir desde esta ubicación.
  • Sal todas dispositivos con cualquier capacidad inalámbrica (incluidos los dispositivos personales) en esta ubicación no sensible. Es posible que apagar el dispositivo no sea suficiente si un dispositivo se ha visto comprometido.
  • Para el transporte de la misión, use vehículos sin capacidades inalámbricas integradas o apague las capacidades, si es posible.

El uso del teléfono celular significa ser rastreado

Patrick Wardle, un experto en seguridad de macOS e iOS y ex pirata informático de la NSA, dijo que las recomendaciones son un «gran comienzo», pero las personas que siguen las recomendaciones no deben considerarlas como una protección absoluta.

Publicidad

«Siempre que su teléfono esté conectado a torres de telefonía móvil, lo que se necesita para utilizar la red de telefonía móvil … AFAIK que revelará su ubicación», Wardle, quien es investigador de seguridad en la empresa de gestión empresarial de macOS e iOS Jamf , me dijo. «Como siempre, es un compromiso entre funcionalidad / usabilidad y seguridad, pero básicamente si usa un teléfono, asuma que se puede rastrear».

Dijo que las versiones recientes de iOS facilitan el seguimiento de muchas de las recomendaciones. La primera vez que los usuarios abren una aplicación, reciben un mensaje que les pregunta si quieren que la aplicación reciba datos de ubicación. Si el usuario dice que sí, el acceso solo puede ocurrir cuando la aplicación está abierta. Esto evita que las aplicaciones recopilen datos en segundo plano durante largos períodos de tiempo. IOS también hace un buen trabajo al aleatorizar las direcciones MAC que, cuando están estáticas, proporcionan un identificador único para cada dispositivo.

Las versiones más nuevas de Android también permiten los mismos permisos de ubicación y, cuando se ejecuta en un hardware específico (que generalmente tiene un costo superior), también aleatorizan las direcciones MAC.

Ambos sistemas operativos requieren que los usuarios desactiven manualmente la personalización de anuncios y restablezcan los ID de publicidad. En iOS, las personas pueden hacer esto en Configuración> Privacidad> Publicidad. El control deslizante para el límite de seguimiento de anuncios debe estar habilitado. Justo debajo del control deslizante se encuentra el Identificador de reinicio de publicidad. Presiónelo y elija Restablecer identificador. En la sección Privacidad, los usuarios deben revisar qué aplicaciones tienen acceso a los datos de ubicación. Asegúrese de que tengan acceso el menor número posible de aplicaciones.

Cambiar algunas configuraciones

En Android 10, los usuarios pueden limitar el seguimiento de anuncios y restablecer los ID de publicidad yendo a Configuración> Privacidad y haciendo clic en Anuncios. Las personalizaciones Restablecer ID de publicidad y Deshabilitar anuncios están ahí. Para revisar qué aplicaciones tienen acceso a los datos de ubicación, vaya a Configuración> Aplicaciones y notificaciones> Avanzado> Administrador de permisos> Ubicación. Android permite que las aplicaciones recopilen datos de forma continua o solo cuando están en uso. Permita que solo las aplicaciones que realmente requieran datos de ubicación tengan acceso e intente limitar ese acceso solo cuando esté en uso.

La declaración del martes también recomienda que las personas limiten el intercambio de información de ubicación en las redes sociales y metadatos remotos que muestran ubicaciones confidenciales antes de publicar fotos. La NSA también advierte sobre la filtración de datos de ubicación por parte de los sistemas de navegación automotriz, dispositivos portátiles como dispositivos de fitness y dispositivos de IoT.

El consejo está dirigido principalmente a personal militar y contratistas cuyos datos de ubicación pueden comprometer las operaciones o ponerlos en riesgo personal. Pero la información puede ser útil para otros, siempre que consideren su modelo de amenaza y evalúen los riesgos y beneficios aceptables de varios entornos.