Cada vez que sales a entrenar, le estás contando a los hackers demasiada información personal.
Por fin llegó el verano y, después tres meses de confinamiento, la operación bikini ha aterrizado de golpe para miles de personas. Tras tanto tiempo metidos en casa si hacer ejercicio al aire libre, las redes sociales, los dispositivos wearables y las aplicaciones relacionadas con la monitorización de la actividad física, están viviendo este año una explosión muy superior a la de temporadas pasadas.
Su uso se ha extendido tanto que, por poner un ejemplo, 7 de cada 10 participantes del Tour de Francia monitorizan y hacen públicas todas sus carreras en Strava. Aun así, no hace falta ser un deportista de élite para contar con este tipo tecnologías. Sin ir más lejos, esta app contaba el año pasado por estas fechas con 42 millones de usuarios y un crecimiento de un millón de nuevos atletas al mes. Por su parte, Fitbit rozaba en julio de 2019 los 30 millones de usuarios
Este tipo de aplicaciones y aparatos permiten cuantificar cuánto ejercicio has hecho al día, cuáles son los itinerarios que has hecho, te recuerdan cuándo tienes que tomar una medicina o incluso monitorizar cuáles son los días ideales para quedarte embarazada. Sin embargo, estas apps son un arma de doble filo, porque pueden poner en peligro varios ámbitos de tu privacidad.
Muchas de ellas hacen pública cierta información sensible y en tiempo real al tiempo que las comparten con multitud de aplicaciones afines y redes sociales, como, por ejemplo, Facebook. En concreto, comparten la geolocalización en tiempo real, datos médicos que deberían ser confidenciales o información realmente personal como, por ejemplo, si estás manteniendo relaciones sexuales sin protección.
Pero lo que realmente hay que tener en cuenta es que gran parte de los desarrolladores de estas aplicaciones, al igual que cualquier otra industria, han sufrido alguna brecha de seguridad. Y desde luego, las empresas que todavía no hayan sido víctimas de alguna violación de sus datos, tarde o temprano acabarán siéndolo.
Sin ir más lejos, la aplicación MyFitnessPal de UnderArmour recibió un ataque en 2018 que puso online los nombres, las contraseñas y las direcciones de correo electrónico de más de 150 millones de usuarios. Para contener el ataque, la empresa hizo bien sus deberes, comunicó la brecha de seguridad a todos sus usuarios y adoptó medidas de inmediato, pero el ataque supuso un antes y un después en el modus operandi de los piratas informáticos.
Por lo general, los cibercriminales suelen buscar datos que pueden monetizar fácilmente, como el acceso a una cuenta corriente o a una tarjeta de crédito), pero la información sobre la geolocalización de millones de personas supuso un salto hacia el “mundo físico” sin precedentes. Los deportistas que están dados de alta en esta app suelen comenzar y terminar sus carreras desde su casa, con lo que se hizo realmente fácil para los atacantes saber dónde viven sus víctimas.
Además, al conocer sus rutas habituales y sus horas de entrenamiento daba una información excepcional sobre cuándo estaban sus casas vacías o sobre cuándo iban a pasar por una zona inhóspita con su móvil o su reloj de última generación.
Aunque suene a película de acción, lo cierto es que esto ya ha ocurrido, hasta el punto que en 2018, Strava reveló, sin quererlo, las posiciones secretas de las bases estadounidenses en países como Afganistán, Siria e Irak. En concreto, Strava Labs publicó un ‘mapa de calor’ en el que se veía dónde entrenaban sus usuarios, pero no cayeron en la cuenta de que los únicos que usaban su app en estas zonas tan sensibles del planeta eran solo los soldados norteamericanos. Por tanto, con solo mirar ese mapa, se podía ver dónde entrenaban sus marines e incluso cuáles eran las rutas que más utilizaban.
“En esta ocasión, no se trató de una brecha de seguridad, sino de una información privada aparentemente inofensiva que se hizo pública en Internet sin ninguna mala intención. Esto pone de manifiesto la importancia que tiene nuestra privacidad digital, puesto que nunca sabemos si cualquier dato personal nuestro, ya sea una foto, una geolocalización o una canción que hayamos escuchado, puede exponer más información personal de la que creemos”, advierte Hervé Lambert, Global Consumer Operations Manager de Panda Security.
Por fortuna, el resto de las ‘grandes apps’ más populares en el mundo del fitness aún no han sufrido una violación importante de datos. Sin embargo, a día de hoy ninguna de estas apps utiliza una encriptación de extremo a extremo como ya hace Whatsapp, por ejemplo, para proteger la información que comparten los dispositivos con los servidores de estas aplicaciones. Por tanto, si un ciberdelincuente, consigue “colarse” en esa comunicación entre ambos aparatos, podrá saberlo todo sobre su víctima.
“Desgraciadamente, los usuarios podemos hacer poco para asegurarnos de que las aplicaciones que tenemos en nuestros móviles y dispositivos wearables tratan nuestra información de manera responsable. Pero, ni mucho menos, podemos evitar que compartan nuestros datos con otras empresas u organizadores de eventos, etc. Por eso, es crucial que pongamos medidas de seguridad que, además de proteger a nuestros dispositivos, encripten toda la información personal que tenemos en Internet” lamenta Hervé Lambert, Global Consumer Operations Manager de Panda Security.