¿Te están espiando los servicios de geolocalización?

Aprende cómo funcionan los servicios de geolocalización y quién se entera de tu ubicación cuando tu teléfono inteligente lo identifica.

La noticia de que Qualcomm, un proveedor líder de chips para teléfonos inteligentes, rastreaba a los usuarios con su servicio de geolocalización causó recientemente un pequeño revuelo en la prensa tecnológica. En esta publicación, separaremos la verdad de la ficción respecto a esa historia y discutiremos sobre cómo puedes minimizar el seguimiento de geolocalización no deseado. Primero de todo, veamos cómo funciona realmente el geoposicionamiento.

Cómo determinan tu ubicación los dispositivos móviles

El método tradicional de geolocalización consiste en recibir una señal de satélite de los sistemas GPS, GLONASS, Galileo o Beidou. Con estos datos, el receptor (el chip en el teléfono inteligente o dispositivo de navegación) realiza cálculos y determina tu ubicación. Este es un método bastante preciso que no implica la transmisión de ninguna información por parte del dispositivo, solo la recepción. Pero en este método de geolocalización tiene unos inconvenientes importantes: no funciona en interiores y tarda mucho si el receptor no se usa a diario. Esto se debe a que el dispositivo necesita saber la ubicación exacta de los satélites para poder realizar el cálculo, por lo que tiene que descargar el llamado almanaque, que contiene información sobre el posicionamiento y el movimiento de los satélites, y tarda entre cinco y diez minutos en recuperar los datos si se descarga directamente desde el satélite.

Como alternativa mucho más rápida a la descarga directa desde el satélite, los dispositivos pueden descargar el almanaque de Internet en segundos a través de una tecnología llamada A-GPS (GPS asistido). Según la especificación original, solo se transmiten los datos reales del satélite disponibles en este momento, pero varios desarrolladores han agregado un pronóstico semanal de las posiciones de los satélites para acelerar el cálculo de las coordenadas incluso si el receptor no tiene conexión a Internet en los próximos días. Esta tecnología se conoce como Predicted Satellite Data Service (Servicio de datos predictivos por satélite) (PSDS), y el servicio de Qualcomm antes mencionado es la implementación más impresionante hasta la fecha. Lanzado en 2007, el servicio se denominó “gpsOne XTRA”, y en 2013 se le cambió el nombre a “IZat XTRA Assistance”. En su versión más reciente, se le cambió el nombre por el de “Qualcomm GNSS Assistance Service” (Servicio de asistencia GNSS de Qualcomm).

Cómo funciona la recepción de la señal del satélite en interiores y qué es SUPL

Así como hemos mencionado anteriormente, otro problema con el geoposicionamiento a través de una señal de satélite es que puede no estar disponible en interiores, por lo que existen otras formas de determinar la ubicación de un teléfono inteligente. El método clásico, de los años noventa, consiste en comprobar qué estaciones base de telefonía móvil se pueden recibir en el punto actual y calcular la ubicación aproximada del dispositivo al comparar la intensidad de su señal conociendo la posición exacta de las estaciones.

Con modificaciones menores, este método también es compatible con las redes LTE modernas. Los teléfonos inteligentes también pueden verificar si hay puntos de acceso wifi cercanos y determinar su ubicación aproximada. Por lo general, esto se habilita mediante bases de datos centralizadas que almacenan información sobre puntos de acceso wifi y lo proporcionan servicios específicos, como el Servicio de ubicación de Google.

Todos los métodos de geoposicionamiento existentes están definidos por Secure User Plane Location (SUPL) (Ubicación segura del plano de usuario), un estándar compatible con los operadores móviles y los desarrolladores de teléfonos inteligentes, microchip y sistemas operativos. Cualquier aplicación que necesite conocer la ubicación del usuario la obtiene del sistema operativo móvil utilizando la combinación de métodos más rápida y precisa actualmente disponible.

Sin privacidad garantizada

El acceso a los servicios SUPL no tiene por qué resultar en una violación de la privacidad del usuario, pero en la práctica, los datos a menudo se filtran. Cuando tu teléfono determina tu ubicación utilizando estaciones base celulares cercanas, el operador de telefonía móvil sabe exactamente qué suscriptor envió la solicitud y dónde se encontraba en ese momento. Google monetiza sus Servicios de ubicación registrando la ubicación y el identificador del usuario; sin embargo, técnicamente esto es innecesario.

Respecto a los A-GPS, los servidores pueden, en teoría, proporcionar los datos requeridos sin recopilar los identificadores de los suscriptores ni almacenar ninguno de sus datos. Sin embargo, muchos desarrolladores hacen ambas cosas. La implementación estándar de Android del SUPL envía el IMSI (número SIM único) del teléfono inteligente como parte de una solicitud SUPL. El cliente Qualcomm XTRA en el teléfono inteligente transmite a los suscriptores “identificadores técnicos“, incluidas las direcciones IP. Según Qualcomm, ellos “desidentifican” los datos; es decir, eliminan los registros que vinculan los identificadores de suscriptores y las direcciones IP después de 90 días, y luego los usan exclusivamente para ciertos “fines comerciales”.

Un punto importante: los datos de una solicitud A-GPS no se pueden utilizar para precisar la ubicación del usuario. El almanaque disponible en el servidor es el mismo en cualquier lugar de la Tierra: es el dispositivo del usuario el que calcula la ubicación. En otras palabras, todo lo que los propietarios de estos servicios podrían almacenar es información sobre un usuario que envía una solicitud al servidor en un momento determinado, pero no la ubicación del usuario.

Las acusaciones contra Qualcomm

Las publicaciones que critican a Qualcomm están citando una investigación de cierta persona que se hace llamar Paul Privacy publicada en el sitio web de Nitrokey. El documento sostiene que los teléfonos inteligentes con chips de Qualcomm envían datos personales de los usuarios a los servidores de la empresa a través de un protocolo HTTP no cifrado sin su conocimiento. Esto supuestamente sucede sin que nadie lo controle, ya que la función se implementa a nivel de hardware.

A pesar de los problemas de privacidad de datos antes mencionados que sufre el Servicio de asistencia GNSS de Qualcomm, la investigación asusta y confunde un poco a los usuarios, a la vez que contiene una serie de inexactitudes:

  • En los teléfonos inteligentes antiguos, la información podría haberse transmitido a través de HTTP no seguro, pero en 2016 Qualcomm corrigió esa vulnerabilidad de XTRA.
  • Según el acuerdo de licencia, se puede transmitir información como una lista de aplicaciones instaladas a través de los servicios XTRA, pero las pruebas prácticas (inspección de paquetes y estudio del código fuente de Android) no mostraron pruebas de que esto sucediera realmente.
  • Contrariamente a las acusaciones iniciales de los investigadores, la función de intercambio de datos no está incrustada en el microchip (banda base), sino que se implementa a nivel del sistema operativo, por lo que puede ser controlada por los desarrolladores del sistema operativo, y también por la comunidad de modding. Reemplazar y desactivar servicios SUPL específicos en un teléfono inteligente es una habilidad conocida desde 2012, pero esto se hizo para que el GPS funcionara más rápido y no tanto por razones de privacidad.

Protección contra el espionaje: para todos y para los más cautelosos

Entonces, Qualcomm (probablemente) no nos rastrea. Dicho esto, el seguimiento a través de la geolocalización es posible, pero a un nivel completamente diferente: las aplicaciones meteorológicas y otros programas aparentemente inofensivos que usas a diario lo hacen de manera sistemática. Lo que sugerimos que debería hacerse es una cosa sencilla pero importante: minimizar la cantidad de aplicaciones que tienen acceso a tu ubicación. Después de todo, puedes elegir un lugar manualmente para obtener un pronóstico del tiempo, e ingresar una dirección de entrega al comprar online no supone un gran problema.

Todo aquel que quiera evitar que se registre su ubicación en cualquier lugar debería tomar varias medidas de protección adicionales:

  • Desactivar todos los servicios de geolocalización, excepto el GPS del teléfono inteligente.
  • Utilizar herramientas avanzadas para bloquear el acceso del teléfono a los servicios SUPL. Según el modelo de teléfono inteligente y el tipo de sistema operativo, esto se puede hacer filtrando el servidor DNS, un firewall del sistema, un enrutador de filtrado o la configuración dedicada del teléfono inteligente.
  • Lo mejor es evitar el uso de teléfonos móviles… ¡por completo! Incluso al hacer todo lo anterior, el operador de telefonía móvil sigue conociendo tu ubicación aproximada en cualquier momento.
Consejos