Las aplicaciones móviles, es decir, las aplicaciones informáticas que utilizamos principalmente en nuestros smartphones o tablets, son actualmente una de las herramientas más utilizadas por los ciudadanos tanto en su entorno personal como profesional. En los últimos años han surgido voces que alertaban del peligro que estos programas informáticos tienen sobre la privacidad del usuario, pero en menor medida se conoce el impacto que pueden ocasionar en el ámbito de la defensa.
Cuando hacemos referencia a Internet y las cuestiones del ciberespacio en el entorno militar, de la inteligencia o de los conflictos, son frecuentes las referencias al gran desarrollo que han experimentado las cuestiones relacionadas con el Big Data, el Internet of Things o la industria 4.0. También a los cambios que estas tecnologías conllevan en la estructura, doctrina, comunicación o en el despliegue de las Fuerzas Armadas. Aunque en un nivel de relevancia aparentemente inferior, también deberíamos centrar nuestra atención en el impacto que las aplicaciones móviles pueden tener en la defensa, debido al uso generalizado que el personal civil y militar realiza de estas plataformas.
Las conocidas comúnmente como apps (derivado del inglés, application) son una herramienta informática que en poco más de una década se ha convertido en un elemento indispensable para la realización de todo tipo de actividades cotidianas, principalmente debido a su uso generalizado a través de dispositivos móviles como los teléfonos inteligentes, tablets o, más recientemente, los wearables (los dispositivos inteligentes como smartwatch o las pulseras de actividad). A pesar de que el origen de las apps podemos situarlo en la década de los años noventa del siglo XX, su generalización no llegaría hasta el lanzamiento de la primera generación del iPhone en el año 2007 y el de la App Store, un año después. Esta última permitía descargar aplicaciones desarrolladas por terceros, provocando la explosión en cuanto al uso de estas herramientas. Entre las más descargadas y populares encontramos apps de mensajería instantánea (WhatsApp, Messenger Facebook, Skype), de las conocidas como redes sociales (Facebook, Instagram, Twitter), de vídeos (YouTube, TikTok), música (Spotify) o mapas (Google Maps).
De forma recurrente, los medios de comunicación nos informan acerca de los fallos de seguridad que presentan algunas de estas aplicaciones o de cómo las compañías tecnológicas utilizan los datos de los usuarios para fines aparentemente distintos al uso que tienen estas herramientas. Una vez superado el miedo inicial o subsanado (aparentemente) ese agujero de seguridad, las descargas y el uso de estas herramientas continúa con normalidad. Es precisamente esa naturalidad con la que nos relacionamos con los dispositivos inteligentes y sus aplicaciones -que percibimos como un elemento completamente integrado en nuestras actividades diarias y, en particular, en nuestra forma de comunicarnos- el mayor peligro.
Según el informe anual de Sensor Tower, un proveedor de análisis e inteligencia de mercado centrado en la economía de las aplicaciones, durante el año 2019 se descargaron más de 115 mil millones de aplicaciones en todo el mundo, de un total de poco más de 4 mil millones de personas que están conectadas a Internet a nivel global. Estos datos no pueden entenderse salvo porque la mayoría de las apps más populares son gratuitas. Y en este punto es dónde radica una de las claves: sin coste, la información del usuario adquiere una enorme importancia para las empresas que desarrollan estas apps.
Al descargar estas aplicaciones en nuestros dispositivos nos solicitan permiso para realizar la instalación, previa aceptación de las condiciones (que no leemos) en las que generalmente nos advierten de que nuestros datos pueden ser utilizados y distribuidos a terceras partes con un objetivo: mejorar la experiencia del usuario en esa aplicación.
El uso de las aplicaciones móviles por parte del personal militar
Al igual que el resto de ciudadanos, el personal civil y militar relacionado con el ámbito de la defensa hace un uso diario de las distintas aplicaciones móviles que están disponibles, a través de las cuales se produce la transferencia de grandes cantidades de información que, una vez enviada, no tenemos la certeza de por dónde circula ni quién puede acceder a ella. En este sentido se han publicado en los últimos años noticias e informes relacionados con el impacto sobre la privacidad de los usuarios en la esfera privada, pero escasos en relación al impacto que puede tener en el terreno militar, como ocurrió en el caso de Strava.
Strava es una red social destinada a la práctica deportiva que permite realizar un seguimiento de las actividades a través del GPS de los dispositivos inteligentes (smartphones, pulseras de actividad como FitBit o relojes GPS). Registra el tiempo que la persona está realizando deporte, el ritmo cardíaco o la distancia recorrida, lo que permite no sólo archivar esa información para el propio usuario, sino también compartir esas estadísticas y rutas realizadas con millones de usuarios que también han descargado esa aplicación. Según la compañía, a finales de 2019 tenía más de 46 millones de usuarios repartidos alrededor de 195 países en los que se han registrado más de 2.000 millones de actividades. En el caso concreto de España, en la actualidad tiene más de 2 millones de usuarios registrados.
Por sí sola, la información que registra esta app no aporta muchos datos, más allá de los puramente deportivos. Pero lo llamativo se produjo a finales de 2017, cuando la compañía anunció una actualización de su mapa de calor mundial, a través del cuál se pueden visualizar los recorridos que habían realizado (y compartido) los usuarios de la plataforma desde su última actualización en el año 2015. Lo que en apariencia no tenía mayor importancia se reveló como una importante fuente de información.
Revelaciones de Strava
Nathan Ruser, un estudiante universitario australiano, publicó en enero de 2018 una serie de imágenes en Twitter en las que aparentemente el heatmap de la aplicación mostraba actividades en zonas que podían vincularse con instalaciones militares. A partir de estas publicaciones, se cruzaron las imágenes del mapa de calor de Strava con las informaciones anteriores o mapas disponibles (como Google Earth o imágenes de satélite) y se identificaron bases del ejército estadounidense en Afganistán, Irak o Siria, presencia militar francesa en Níger o tropas italianas en Djibouti.
El hecho de que el mapa de calor pudiera relacionarse con la situación de instalaciones militares se debe en buena medida a las tasas de conectividad que tienen estos países. En el año 2016 tan sólo el 13% de la población de Djibouti tenía acceso a Internet; en 2017, la población de Níger escasamente representaba el 10% y Afganistán alcanzaba tan sólo el 13,5% (a modo de referencia, el porcentaje de población conectada a Internet en España en 2017 era del 84,60%). En consecuencia, el uso de esta app en lugares con bajas tasas de conectividad implica que si bien una buena parte del mapa del país está en negro, el mapa de calor ilumina las zonas dónde hay una mayor actividad de los usuarios y, por lo tanto, son ubicaciones más evidentes y fáciles de detectar.
A pesar de que este hallazgo podría tener consecuencias directas en la seguridad del personal destinado a estas instalaciones, algunos analistas señalaron que el principal problema no era este (investigaciones anteriores ya habían revelado algunas de estas ubicaciones). El verdadero problema era que a partir de esa información pública se podría, por un lado, establecer las rutas que realizaban los soldados o patrullas y, por otro, trazar un vínculo entre las actividades, su ubicación y la identidad concreta de un usuario. En relación a esta última eventualidad, se podría identificar y realizar el seguimiento de un individuo desde su lugar de destino en una misión en el exterior hasta que vuelve a su domicilio familiar en su país de origen a partir del rastro de información que va dejando a través de la aplicación, sobretodo si se consigue vincular estos datos con otras aplicaciones con un fuerte contenido visual como Facebook o Instagram. Pero Strava no sería la única aplicación que permitiría realizar este seguimiento.
Meses después de estas revelaciones, en julio de 2018, saltó la noticia de que otra aplicación simiilar, Polar Flow, que pertenece a la compañía Polar especializada en el ámbito deportivo, permitía conocer de forma muy parecida a Strava las rutas de sus usuarios, determinar sus ubicaciones y vincularse con individuos concretos, muchos de los cuales también eran personal militar o de inteligencia. Al igual que Strava, también disponía de un mapa de actividad y mostraba el resultado de los registros obtenidos desde el año 2014.
En ambas aplicaciones el problema surge cuando se vinculan datos aparentemente intrascendentes (duración, calorías, recorrido) con otros de carácter personal (establecer la ubicación precisa o la vinculación con usuario concreto). En una línea similar, un informe realizado por la ONG británica Privacy International publicado a finales de 2018, concluía que más del 60% de las aplicaciones analizadas (entre las que se encontraban aplicaciones deportivas, buscadores de viajes, de empleo, reproductores de música o de carácter religioso) enviaban información del usuario a Facebook, tanto si el usuario estaba registrado en la compañía de Mark Zuckerberg como si no, con el objetivo de personalizar los anuncios según los gustos de cada usuario.
Pero el informe iba más allá, afirmando que partiendo de la información de distintas aplicaciones se podía realizar un retrato aproximado del usuario en función de sus comportamientos y rutinas, y lo ejemplificaba de una manera muy gráfica: si un usuario ha instalado una aplicación de rezo musulmán, un calendario para el período menstrual, otra de búsqueda de empleo y una app para niños, este usuario potencialmente podría presentarse como mujer, musulmana, que está en búsqueda de empleo y es madre. Por lo tanto la pregunta que dejamos en el aire es, ¿qué sucedería si juntamos esta información con la proporcionada por Strava o Polar? Casi nada.
Si bien parte de la información es pública, como el caso de los mapas, habrá quién piense que llegar a obtener información mas concreta o privada de determinados usuarios requiere conocimientos avanzados. La realidad es diferente. Actualmente, debido a la gran cantidad de información de código abierto disponible, es relativamente sencillo obtener datos concretos sobre un usuario. Es importante ser conscientes del rastro digital que vamos dejando cuando utilizamos estas aplicaciones y de cómo estas huellas pueden seguirse continuamente, lo que genera un potencial desafío a la seguridad para los gobiernos.
Además, hay que tener en cuenta el continuo incremento de las actividades delictivas en el entorno digital y como en los últimos años han aumentando de manera exponencial las capacidades económicas y de conocimiento de actores estatales y organizaciones criminales (en muchos casos con vínculos entre ellos), lo que que les permitiría realizar un seguimiento de nuestras actividades privadas y profesionales y, en el caso específico del ámbito militar y de la inteligencia, inclusive obtener información sensible.
Consecuencias y responsabilidades
En este contexto se abrió el debate sobre la responsabilidad que tenían las compañías tecnológicas a la hora de garantizar la privacidad de sus usuarios. También se pusieron en cuestión las políticas de los distintos ejércitos nacionales en relación a la permisividad del uso de este tipo de aplicaciones y redes sociales.
Por un lado estaban quienes responsabilizanam a Strava y Polar por la publicación de esos mapas, lo que permitió conocer la ubicación de instalaciones sensibles así como la posibilidad de realizar un seguimiento de los usuarios de estas aplicaciones.
Por otro lado, se apuntó a la permisividad de los mandos militares por el uso que sus soldados hacían de estas tecnologías y se planteó la posibilidad de restringir la utilización de determinados dispositivos inteligentes que permitieran realizar un seguimiento del usuario. También se anunciaron revisiones de las políticas de uso de estos dispositivos. En este sentido, en agosto de 2018, el Departamento de Defensa estadounidense anunció la prohibición del uso de dispositivos y aplicaciones que utilizaran geolocalización, especialmente en misiones en el exterior. Esta prohibición puede considerarse una respuesta lógica a los acontecimientos anteriores, pero también resulta llamativo teniendo en cuenta que pocos años antes el propio US Army impulsó el programa piloto “Performance Triad”, a través del wearable FitBit Flex, un dispositivo inteligente que permitía hacer un seguimiento de la distancia recorrida, las calorías gastadas e inclusive conocer el ciclo el sueño de los usuarios, con el objetivo de mejorar el estado físico de los soldados.
Si bien es cierto que la publicación de los mapas de calor es responsabilidad de las compañías tecnológicas, éstas informaron de su realización a partir de la información que los propios usuarios habían cedido y compartido de forma voluntaria, ya que existá la opción de ocultar los datos configurando la aplicación como un perfil privado y evitar así que se registraran. Esto abrió el debate sobre otro ámbito de responsabilidad como es el uso despreocupado e irresponsable que los usuarios realizamos de estas tecnologías. En este punto el problema radicaba en que según algunas investigaciones, a pesar de que el usuario tuviese un perfil privado, se podía vincular a un usuario en particular. La parte positiva del asunto Strava es que el mapa de calor representa la actividad de los usuarios hasta el año 2017, por lo que no podría realizarse un seguimiento en tiempo real de estos usuarios, y en la práctica esta información no habría sido utilizada por agentes maliciosos, por lo que la publicación de este caso habría permitido evitar males mayores en un futuro. Actualmente los mapas de ambas aplicaciones continúan activos.
La responsabilidad y el interés de todas las partes debería centrarse en cómo responder una vez que se han detectado esas vulnerabilidades y en cómo subsanarlas. Hoy en día gran parte de las comunicaciones, tanto personales como profesionales, se realizan a través de los dispositivos inteligentes y aplicaciones de este tipo que generan nuevos retos a los que la defensa y la inteligencia deben adaptarse. Es por ello que prohibir por completo el uso de estas tecnologías al personal militar y de agencias gubernamentales debería analizarse en profundidad, sobretodo en relación al impacto que puedan tener en la comunicación con su circulo más cercano durante las misiones en el exterior.
Por ello, las prioridades deberían ser: 1) evaluar el impacto que tienen estas tecnologías; 2) determinar el nivel de riesgo a la seguridad; 3) reforzar el uso de buenas prácticas. Los Ministerios de Defensa tendrían que reforzar la formación en el correcto uso de estas herramientas informáticas y gadgets para concienciar sobre las consecuencias que puede comportar un uso inadecuado de estas aplicaciones y no comprometer así información sensible. En este sentido, el Ministerio de Defensa británico ha publicado desde el año 2009 una serie de guías con pautas de comportamiento online con el objetivo de concienciar y aportar recomendaciones para hacer un uso responsable del entorno digital, aunque tampoco es la solución definitiva. Basta con realizar una búsqueda superficial por Internet para encontrar fotografías de personal militar a cara descubierta, con armamento o en misiones en el exterior, muchas de las cuales han pasado por estas páginas, como las relativas a los mercenarios rusos.
Conclusiones
Los casos expuestos son tan sólo una pequeña parte de los ejemplos recientes de los retos que plantea el uso de estas aplicaciones y dispositivos inteligentes en el entorno militar. Por mucho desarrollo que hagamos en el ámbito de la ciberseguridad, la responsabilidad recae en buena medida en el uso totalmente despreocupado que hacemos de estas aplicaciones y dispositivos, debido a que todavía no somos conscientes de la posibles repercusiones que pueden tener. Subir y compartir información de carácter personal y profesional sin ser conscientes de lo que pueden revelar esos datos nos indica que es completamente necesario fortalecer nuestra educación digital, algo que, en el ámbito militar, adquiere todavía un mayor significado. No sólo se pueden poner en peligro capacidades materiales u operativas, sino inclusive vidas humanas si determinada información cae en manos equivocadas por una cuestión de irresponsabilidad.
A pesar de que la mayoría de los incidentes que tienen lugar en el entorno digital enseguida son calificados como cuestiones de ciberseguridad o de ataques informáticos, lo cierto es que en gran medida se basan en el mal uso que hacemos de nuestros dispositivos y de nuestra información. Con el objetivo de disminuir estos riesgos, los Ministerios de Defensa deberían incrementar la formación continua y la concienciación en este ámbito, teniendo en cuenta los rápidos cambios que se producen en el campo tecnológico. Y, de forma paralela, fomentar la cooperación con la empresa privada se presenta como algo totalmente necesario para evaluar y mejorar las configuraciones de privacidad y seguridad de sus aplicaciones y dispositivos.
Be the first to comment