La gran mayoría de los usuarios que navegan diariamente por Internet no conocen los peligros reales de entrar en páginas web cuya procedencia es desconocida. Una de las principales dudas que tienen los usuarios es relativa a la capacidad que tienen los ciberdelincuentes para encontrar/rastrear su ubicación, pero, ¿Es tan fácil hacerlo desde el punto de vista de un cibercriminal?
Índice de contenido
1. Aplicaciones y herramientas de rastreo de dispositivos móviles
Como sabemos, existen numerosas herramientas y aplicaciones para rastrear un dispositivo móvil en caso de pérdida (como en el caso de «Find My iPhone» para dispositivos iOS o «Find My Device» en el caso de dispositivos Android) o simplemente un progenitor que quiere conocer la ubicación de su hij@ cuando se encuentra en la calle. Estas opciones claramente precisan de una configuración previa en la que se autoriza a la aplicación conocer la ubicación exacta del dispositivo. Obviamente este tipo de aplicaciones no son generalmente empleadas en ciberataques en los que dicen conocer tu ubicación exacta, pues las herramientas y aplicaciones deben ser instaladas en el propio dispositivo para poder llevar a cabo el rastreo. La única forma de que pudiesen emplear de forma maliciosa este tipo de aplicaciones para conocer tu ubicación es que sea la propia víctima la que, mediante ingeniería social, instale la aplicación y le de acceso al cibercriminal a su posición o bien que el ciberdelincuente conozca las credenciales de acceso de la víctima a iCloud en el caso de un dispositvo iOS o las credenciales de acceso a la GSuite en caso de dispositivos Android.
Pero estos no son los casos que queremos abordar en el artículo, ya que queremos analizar si es posible obtener una ubicación precisa de un dispositivo utilizando alguna técnica ilícita.
2. Triangulación de posición mediante estaciones base
A lo largo de los años se ha presentado en numerosas películas y series el sencillo proceso para localizar la ubicación desde la que se realizó una llamada telefónica, pero la realidad difiere de la ficción. Rastrear una llamada telefónica no puede ser realizado facilmente por cibercriminales, esta función suele ser realizada por personal especializado de cuerpos de seguridad. Esto se realiza triangulando la posición basándose en las estaciones base más cercanas al originador de la llamada. Las estaciones base son las encargadas de enviar la información de la comunicación entre ellas hasta llegar al destino utilizando un medio de transmisión no guiado, empleando radiofrecuencia y ondas de radio (de aquí en adelante, se referirá a las estaciones base como BS, del inglés, Base Station). La BS pueden conocer la distancia donde se encuentra un dispositivo móvil simplemente analizando la potencia de la señal recibida que originariamente fue enviada por el dispositivo móvil. Al ser un medio no guiado en el que la señal se transmite en un medio libre (no va por un cable, que sería un medio guiado), es importante mencionar que las perdidas de propagación aumentan o disminuyen en función de la frecuencia de la señal transmitida, esto se puede ver en la siguiente ecuación.
Como vemos, la frecuencia se encuentra relacionada con la velocidad de la onda (en este caso, la velocidad de la onda electromagnética cuando se propaga por el aire es aproximadamente igual a la velocidad de la luz en el vacío, es decir, 3*10^8 m/s) y con la longitud de onda. Cuanta más frecuencia posea la onda electromagnética enviada, mayores pérdidas/atenuación sufrirá. A su vez, las pérdidas de propagación en espacio libre se calculan en base a la distancia en kilometros del radioenlace (d) y la longitud de onda, permitiéndonos obtener la potencia perdida en watios durante el envío de la señal. Al existir dichas pérdidas, la potencia transmitida es superior a la potencia recibida por el destino de la comunicación, esta propiedad es la que utilizan las BS para conocer la distancia a la que se encuentra el dispositivo móvil. Es decir, al conocer la frecuencia de la señal, la potencia recibida y la potencia transmitida (la gran mayoría de dispositivos móviles transmiten bajas potencias contenidas en un rango general entre 150 y 250 mW) pueden calcular las pérdidas que permiten conocer la distancia en kilometros que hay entre el dispositivo móvil y la BS.
Una vez visto como obtiene una BS la distancia al dispositivo es importante analizar cómo se triangula la posición exacta de un dispositivo. Con una única BS no se puede conocer la ubicación exacta del dispositivo, solo la distancia a la que se encuentra, lo que es inútil al encontrarse en núcleos grandes de población, un ejemplo se puede encontrar a continuación.
Como vemos, en rojo se encuentra la distancia al dispositivo, pero es un rango muy poco precioso que hace muy difícil identificar al dispositivo deseado. Lo que se hace es usar 2 o más BSs para, utilizando la propiedad previamente explicada del cálculo de la distancia, correlar los resultados para obtener una posición precisa del dispositivo, como se puede ver a continuación.
Como se puede apreciar, cada BS calcula la distancia al dispositivo móvil y al correlar los resultados se puede ver en la zona amarilla que ahí coinciden las distancias de las 3 BS, obteniendo así la ubicación exacta del dispositivo. Estas técnicas pueden ser empleadas por los cuerpos de seguridad del Estado que pueden solicitar con orden judicial a los diferentes ISP (del inglés, Internet Service Provider) la información relativa a las BS para poder realizar esta función de rastreo. Sin embargo, los ciberdelincuentes no tienen acceso a esta información, por lo que no pueden saber tu ubicación exacta empleando este método.
3. Técnicas sospechosas
Si bien triangular la posición es algo muy costoso y no puede ser realizado por un usuario o ciberdelincuente de forma general, existen otras técnicas para intentar obtener la ubicación exacta de un usuario. Existen herramientas que permiten obtener supuestamente la ubicación de un dispositivo mediante el envío de un enlace manipulado a la víctima. Dicha herramienta se conoce como IP Logger (https://iplogger.org/es/), que nos permite generar un enlace manipulado para posteriormente enviárselo a la víctima y una vez acceda, le envía información sensible al generador del enlace, como por ejemplo su ubicación, su dirección IP, el ISP del usuario, el SO del dispositivo, el navegador empleado e información adicional. Para obtener esta información se envía una URL del estilo (https://iplogger.com/123XYZ) que cuando la víctima accede redirecciona a otro dominio (por ejemplo, al dominio de Cyberbrainers), para que no sospeche de que le han podido intentar rastrear su ubicación y dirección IP.
Pero, ¿funciona realmente la herramienta como para obtener la ubicación exacta de un dispositivo?. La respuesta depende de cómo la configures, la herramienta en su forma más simple (es decir, sin configurar nada) mapea la ubicación del dispositivo en base a su dirección IP, lo que produce que el proceso de localizar al dispositivo no sea preciso. He probado con mi dispositivo móvil y la ubicación que genera la herramienta se encuentra a 15 kilometros de mi ubicación real, lo que indica que los resultados generados no son exactos. Sin embargo, la herramienta permite modificar diferentes parámetros para mejorar al máximo la localización del dispositivo, dichas configuraciones son las siguientes.
Como vemos, existen diferentes parámetros que se pueden incluir en la petición maliciosa para obtener más información, pero haremos especial hincapié en el tercero, encargado de recopilar datos GPS del dispositivo. Puede parecer la solución al problema, pues obtener directamente los datos GPS del dispositivo permite localizarlo con exactitud, pero no es tan sencillo como parece. Si se habilita esta opción, cuando la víctima acceda al enlace malicioso se le pedirá que comparta su ubicación (sus datos GPS), en el caso de que consienta compartir esta información, estará enviando su localización exacta (no se comparte la ubicación en tiempo real, solo la ubicación exacta en la que se encontraba la víctima en el momento donde accede al link). Por suerte, para conocer la ubicación exacta se necesita el consentimiento de la víctima, lo que permite que un ciberdelincuente no pueda rastrear un dispositivo con exactitud si no posee autorización previa para ello por parte de la víctima. El consentimiento debe ser explícito por parte del usuario, que verá la siguiente información al acceder al enlace manipulado.
En resumen, si el usuario no consiente, no se podrá conocer su ubicación exacta empleado la herramienta IP Logger.
También existe malware que simula ser una aplicación legítima para solicitarle permisos de acceso a los datos GPS del dispositivo a la víctima para posteriormente ocultarse y mantener procesos abiertos en el dispositivo que envían constantemente su ubicación exacta, algo muy peligroso si se consiente compartir dicha información sin conocer a qué o quién se le están cediendo nuestros datos de localización.
Cabe mencionar que también existen páginas web donde aseguran que si introduces un número de teléfono, ya sea el de un amigo, tu pareja, o incluso el tuyo, puedes conocer la ubicación exacta del mismo. De igual forma que en los casos previos, la localización no es precisa, y se necesitaría el consentimiento del dueño del dispositivo para que comparta sus datos GPS que permitirían rastrear su posición de forma exacta.
4. Recomendaciones
A lo largo del artículo hemos visto algunos métodos posibles para rastrear un dispositivo de forma exacta o aproximada, pero es importante mencionar algunas recomendaciones para evitar ser víctima de un posible rastreo.
- De igual forma que en los casos de phishing, recomendamos no acceder a enlaces cuyo destino es desconocido, especialmente aquellos que son sospechosos.
- No dar permisos ni consentir la divulgación de los datos de GPS (ni de información adicional de nuestro dispositivo) a un tercero.
- Mantener el GPS desactivado en el dispositivo para evitar dejar rastro sobre nuestras últimas ubicaciones ya que esta información puede ser almacenada por aplicaciones como Google Maps.
- Comprobar si el consumo de energía de nuestro dispositivo es normal o difiere en gran parte del gasto de energía de meses anteriores, esto permite sospechar de la existencia de un malware hospedado en el dispositivo, el cual ejecuta diferentes procesos que aumentan el consumo de energía del equipo y comparten información del mismo a un tercero.
- No compartir información personal por redes sociales, en ocasiones no es necesario realizar un rastreo del dispositivo móvil por parte de un ciberdelincuente si la víctima publica imágenes, videos o mensajes sobre su posición actual (un ejemplo sencillo es añadir la ubicación del restaurante en el que te encuentras, información completamente irrelevante y que puede poner en riesgo tu seguridad, como fue el caso del rapero estadounidense PnB Rock que murió tiroteado después de que su novia publicase en Instagram la ubicación del restaurante en el que se encontraban).
- Existen además aplicaciones que en principio falsean la localización, por si queremos crear una estrategia de desinformación con nuestros datos. No siempre son 100% efectivos, pero pueden servir para ofuscar algo la localización real.
Desde Cyberbrainers recordamos que es totalmente ilegal intentar rastrear la ubicación de un dispositivo sin el consentimiento del dueño del mismo y recordamos que muchas extorsiones llevadas a cabo mediante ingeniería social intentan atemorizar a la víctima asegurando que conocen su ubicación exacta, cuando rara vez son conocedores de esta información. Un ejemplo de este tipo de estafas es la presentada en el siguiente artículo, en la que se amenaza a la víctima con ir a su domicilio para tomar medidas.
En CyberBrainers ayudamos a empresas y usuarios a prevenir, monitorizar y minimizar los daños de un ataque informático o una crisis reputacional. Si estás en esta situación, o si quieres evitar estarlo el día de mañana, escríbenos y te preparamos una serie de acciones para remediarlo.
Monitorización y escucha activa
Ponemos nuestras máquinas a escuchar para identificar potenciales fugas de información, campañas de fraude/extorsión y usurpación de identidad que estén en activo, y/o datos expuestos de ti o de tu organización.
Planes de autoridad y Presencia Digital
Ayudamos a organizaciones y particulares a definir la estrategia e implementar acciones digitales que mitiguen los posibles daños reputacionales que pueda sufrir en el futuro.
Gestión de crisis reputacionales
Cuando el mal ya está hecho, establecemos un calendario de acciones para reducir su duración e impacto, y que la organización y/o persona pueda volver a la normalidad lo antes posible.