Si vas al centro comercial, deja el smartphone en casa

mla

Este fin de semana aproveché, como la mayoría de ciudadanos, para dejarme caer por un centro comercial. No con el ansia de compra compulsiva de la que muchos han hecho gala esta última semana (bueno vale, en las rebajas de Steam si que ha habido algo de eso :)), sino con el objetivo de intentar sacar algunos regalos de Navidad a mejor precio.

La cuestión es que siempre que voy a un centro de estos me vuelvo más paranoico. He trabajado en la implantación de sistemas de tracking en espacios cerrados, y sé que la industria ha avanzado lo suficiente como para que esa desconfianza sea mi mejor aliada.

En su día hablé de los Beacon, pero este artículo va más allá. A cómo prácticamente estamos supeditados a la confianza de que esa monitorización tenga solo los fines comerciales esperables, y no se acabe por cruzar con otras bases de datos con otros objetivos menos halagüeños.

De la videovigilancia a la identificación pasiva del cliente

Entramos al centro comercial, y lo hacemos, habitualmente, acompañados de nuestro inseparable smartphone.

Un dispositivo que además de servirnos para “whatsapear”, tiene por defecto almacenadas nuestras fotografías, nuestras cuentas en todos los servicios digitales, y sirve de nexo de unión entre nuestra identidad digital y la física. Un verdadero centro de toda la actividad diaria que realizamos. Una verdera base de conocimiento de nuestra persona.

Ahora bien, usted es precavido (seguramente), y estuvo al tanto de desactivar el WIFI y el Bluetooth después de salir del coche, ¿verdad?

Porque sabe que aunque no se conecte a las numerosas redes que le van a ofrecer de forma “totalmente gratuita” en el centro comercial, simplemente por el hecho de tener habilitados estos canales está cada escasos segundos enviando una petición de identificación a las redes y dispositivos cercanos.

Y no, de nada nos sirve poner el bluetooth en modo oculto, como expliqué en su momento en el tutorial sobre hacking vía bluetooth. Que una red WiFi o una conexión bluetooth esté oculta no significa que no siga enviando esa petición.

Y por cierto, que lo haremos aunque debido a ello perdamos la conectividad con nuestro smartwatch, o nuestra pulsera cuantificadora, o nuestros cascos inhalámbricos. Estoy totalmente seguro de ello :).

Porque en caso contrario, ese centro comercial (y previsiblemente, todos los centros comerciales adscritos al mismo grupo empresarial, o con un acuerdo de compartición de datos, o dependientes de la misma plataforma de tracking, o con alianzas con la agencia de inteligencia oportuna) ya tiene de usted el identificador MLA (Mobile Location Analytics).

Un conjunto de 12 caracteres que identifican a nuestro dispositivo ahí donde esté. Y puesto que por ahora el smartphone no tiene patas y depende de nosotros para ir de compras, también nos identifica a nosotros.

El MLA asegura la privacidad del usuario en tanto en cuanto solo tiene en cuenta la MAC de nuestro chipset (bien sea vía WiFi, bien sea vía Bluetooth), pero gracias a ella, también puede saber la marca de nuestro dispositivo, y con ello, segmentarnos según el rango económico que cabría esperar de nosotros.

Claro está, también podemos pedir activamente que eliminen el historial que tengan nuestro desde un formulario web (EN), siempre y cuando conozcamos nuestro identificador MLA. Datos como la MAC del chipset del WiFi y el Bluetooth que el grueso de la sociedad conoce siempre de sus dispositivos…

Tampoco hará uso de la aplicación que gustosamente el centro le ofrece. Y que seguramente viene acompañada de jugosos descuentos. Ninguno de nosotros es cliente de Fnac o Mediamarkt, ni tiene ninguna tarjeta de puntos en el supermercado. Todos sistemas que permiten a la empresa conocer mejor qué tipo de cliente somos. Saber dónde estamos, qué necesidades tenemos, y en definitiva, identificarnos entre una marea de MACs cuando pasamos cerca de su tienda, o nos acercamos a tal o cual estantería.

Porque seguro que pese a que Android 6.0 (y muchas otras ROMs no oficiales) ofrece un completo sistema de gestión de permisos por separado en cada aplicación, nos hemos liado una tarde a decidir qué permiso y qué no le concedemos a todas esas aplicaciones, con la idea de luchar contra ese ambient location tan feroz que la mayoría están implementando (el último caso, el de la aplicación de Facebook), y asegurarnos igualmente que la aplicación sigue funcionando (la mayoría requieren sí o sí todos los permisos para funcionar).

Y pese a que hayamos considerado (y obrado correctamente) para evitar todo lo anterior, seguiremos expuestos siempre y cuando ese centro haya instalado un dispositivo de IMSI-catchers (International Mobile Subscriber Identity). Una herramienta que permite identificar dispositivos mediante la señal de sus comunicaciones de datos y voz, haciéndose pasar por una antena de telefonía a la que, como cabría esperar, nuestro smartphone intentará conectarse.

Una vez realizada la conexión, cualquier dato (digital o de voz) es interceptado (sí, es un MITM de libro), almacenado, y podría permitir a un tercero identificarnos entre una multitud (como la que hay en un centro comercial) con un error de apenas unos centímetros, como se demostraba el año pasado en una operación policial en Florida (EN).

Y eso obviando que a día de hoy, el propio proveedor de conectividad nos tiene 24/7 localizados e identificados, y el proveedor del servicio tiene acceso a nuestro dispositivo. Quedaba demostrado recientemente (EN/PDF), al conocerse que Google puede acceder a cerca del 74% de smartphones Android remotamente siempre y cuando haya una petición judicial de por medio. Todo porque ese 74% de dispositivos tienen versiones antiguas (inferior a Android 5.0), y lo más importante, sus discos NO ESTÁN CIFRADOS.

Al centro comercial sin smartphone

Así que si de verdad valora su privacidad. Si de verdad no quiere exponerse a que esos datos, que a priori son recopilados únicamente con el fin de mejorar su experiencia de compra, acaben por engordar las filas de una agencia de inteligencia, o le pasen factura el día de mañana cuando quiera renovar el seguro o pedir un crédito bancario, quizás la mejor opción es que al centro comercial vaya sin smartphone.

Descubrirá de paso que aunque no pueda sacarse el selfie oportuno y subir la foto de la comida a Instagram, también hay otras maneras de socializar.

Eso, claro está, si sus acompañantes no están con su respectivo smartphone. Porque entonces, dará igual que no lleve usted el suyo.

Como para no estar paranoico…

 

________

Realizar este tipo de artículos me lleva varias horas, y en algunos casos, gastos extra que habitualmente suplo de mi bolsillo, o gracias a esa comunidad de patronos que me apoyan realizando donaciones puntuales o periódicas.

Si le gustaría ver más de estos tutoriales y análisis por aquí. Si el contenido que realizo le sirve en su día a día, piense si merece la pena invitarme a lo que vale un café, aunque sea digitalmente.

hazme patrono pabloyglesias