Strava es sólo el comienzo: El Ejército estadounidense pierde la guerra de la fuga de datos

El Departamento de Defensa no puede detener el río creciente de metadatos digitales que se producen, ni impedir que los enemigos se aprovechen de él.

El Pentágono ha rodeado durante mucho tiempo a la isla de Diego García de un velo de secretismo, poniendo una barrera a los medios de comunicación acerca de esta isla del Océano Índico, pese a que su base y aeródromo han jugado un papel clave en las guerras en Medio Oriente. Pero un agujero apareció en el velo hace días, cuando una compañía de aplicaciones de seguimiento de aptitud física móvil llamada Strava publicó, un mapa de la actividad de sus suscriptores, que incluía las rutas que los marineros y aviadores siguen mientras se ejercitan.

“Lo que se ve en los patrones de carrera, es exactamente lo que yo viví las cinco veces que estuve allí desplegado, entre 1985 y 1999 «, recordó el martes en un desayuno con periodistas el General de la Fuerza Aérea Paul Selva, Vicepresidente del Estado Mayor Conjunto. Un sendero muy aislado recorre el borde occidental de la isla, dijo Selva, un lugar perfecto para una emboscada. «Lo he hecho miles de veces. Si hubiera tenido un FitBit, yo también habría contribuido a elaborar el mapa de Diego García «.

Cuando la noticia del mapa de calor y su efecto potencial llegó al Secretario de Defensa James Mattis, éste ordenó una revisión inmediata de las políticas del Departamento de Defensa relacionadas con la electrónica portátil. Ahora Mattis está considerando prohibir los teléfonos inteligentes personales en el Pentágono.

«Instruimos anualmente a todo el personal del Departamento de Defensa» sobre los medios sociales y los dispositivos que se pueden y que no se pueden usar, dijo el portavoz del Pentágono, el Coronel Col. Rob Manning a los periodistas.

Con la tecnología emergente siempre hay una necesidad de reforzar la seguridad operacional y la protección de las fuerzas… Vamos a echar un vistazo a nuestras políticas «, dijo. Cuando se le preguntó si el mapa de Strava revelaba información sensible o secreta, Manning lo esquivó. Dijo que «no era consciente» de que lo hubiera hecho. Cuando se le preguntó si la revisión de la política examinaría los smartphones y las posibles restricciones sobre ellos, Manning respondió «por supuesto».

Prohibir o no prohibir, los militares tendrán dificultades para reducir la cantidad de metadatos digitales que pueden comprometer la forma en la que trabajan, entrenan y hacen la guerra. Esto se debe a que, el fenómeno del mapa de calor de Strava no es sólo un fallo de seguridad operacional aislado, sino un ejemplo de lo que el hacker-autor-astrofísico Alasdair Allan ha denominado fuga de datos. Es una tendencia que está directamente relacionada con la expansión e interconexión del universo digital, y que los militares estadounidenses no tienen ninguna posibilidad de detener.

Consideremos que la previsión de crecimiento del mercado de dispositivos portátiles se duplicará para 2021, cuando se suministren 222,3 millones de unidades al año, según las previsiones de la empresa de investigación IDC.

El Ejército de Estados Unidos, como institución y como colección de personas que comparten una cierta naturaleza competitiva, representa el mercado ideal para las aplicaciones y equipos de fitness. De hecho, los militares mismos han gastado más de 2 millones de dólares en los dispositivos FitBit que la semana pasada causaron tantos problemas.

Pero antes de que los militares empezaran a preocuparse por los metadatos biométricos que los soldados estaban creando, Defensa estaba difundiendo sus planes para recopilarlos y utilizarlos ampliamente. Por ejemplo, el Pentágono espera que, estos datos le ayuden a deshacerse de la Common Access Card actualmente utilizada para proteger dispositivos e instalaciones.

En el futuro, veremos cómo los sistemas que portamos obtienen y envían información sobre nosotros mismos “dijo el Teniente General Alan Lynn en junio pasado. Lynn, a punto de jubilarse, dirige la Agencia de Sistemas de Información de Defensa, el proveedor de TIs del Ejército estadounidense. Un ejemplo: tu caminar es tan individual como tu huella dactilar. ¿Por qué es eso importante? Bueno, los combatientes usan guantes, a menudo máscaras… en estas condiciones, no podemos sacar mucho provecho de la biometría cómo haríamos normalmente. Pero nuestro paso, nuestra forma de caminar, eso no cambia. Creemos que, como ocurre ahora con los accesos y permisos basados en identidades, serán una parte importante de nuestro futuro identitario «.

“Vas a tu lugar de trabajo, vas a casa, y notas que tu teléfono móvil registra esos dos lugares, porque sabe adónde vas. Esos son patrones de vida. Esas son cosas que se pueden importar al dispositivo» como medio para verificar la identidad, dijo Lynn. Él indicó, que el objetivo de era usar esas señales como múlti- factor de autenticación en el Ejército.

Por supuesto, la recogida y transmisión de datos biométricos no tiene por qué ser tan insegura como en el caso de Strava, que fue consecuencia de que los usuarios establecieron preferencias de privacidad que permitieron a la aplicación utilizar y publicar la información.

Los fabricantes de tales aplicaciones y servicios tienen interés en conseguir que los usuarios compartan la mayor cantidad de datos posible: todas las empresas los examinan para entender cómo la gente utiliza sus servicios; muchos también lo venden a quien quiera comprarlos.

La mayoría de los datos se supone que son anónimos, o corren a través de un proceso que los hace anónimos, que lo despoja de información personal. Pero la anonimización no es un concepto infalible. Considere el trabajo de los científicos de datos del MIT César A. Hidalgo e Yves-Alexandre de Montjoye, quienes demostraron en 2012 que cuatro puntos de datos de ubicación eran suficientes para des-anonimizar a un individuo.

Esto hace que la gente que se mueva de un lado a otro sin revelar sus datos sean un «reto muy serio», incluso para la CIA, según Matthijs Broer, director de tecnología de la Dirección de Ciencia y Tecnología de la agencia.

Broer aludió al trabajo de Hidalgo en el MIT en la Defense One Summit de noviembre: «Estudios hechos al aire libre… en los que, con cuatro mediciones de su polvo digital, y una modesta cantidad de potencia computacional, puedo clavar completamente quién es usted y dónde está en el mundo en cualquier momento».

Tu identidad se revela a través de los lugares donde has estado. En la era de los dispositivos inteligentes ubicuos, esa no es una noción poética tanto como una verdad literal. Pero para poder transmitir esos datos de manera fiable, ese dispositivo necesita estar en comunicación constante con un directorio de terceros en expansión exponencial, torres de teléfonos celulares, aplicaciones, empresas, etc.

Sin embargo, optar por no participar en la recopilación de datos biométricos será más difícil.  Por supuesto, a las tropas se les puede ordenar que simplemente renuncien a exponer sus datos biométricos como condición de su servicio. Pero muchos bancos, lugares de trabajo civiles e incluso la electrónica de consumo ya utilizan la tecnología biométrica para verificar la identidad. Para 2020, se espera que los indicadores faciales y otros indicadores biométricos de identidad sean un mercado de 24 mil millones $.

Los militares pueden tratar de mantener a raya todos estos datos, pero adversarios inteligentes siempre encontrarán maneras de explotarlos. Selva señaló que, en teoría, podríamos encontrar que, satélites estadounidenses de alto secreto estén siendo observados por aficionados.

La fuga de datos es un hecho producto de la explosión de los datos. Aun así, hay maneras de reducir su impacto. El Ejército podría controlar mejor las aplicaciones específicas que permite a los soldados descargar (o exigir dispositivos que muestren qué aplicaciones hacen traspasar datos de terceros.) Podría hacer mayor uso de señuelos de datos o de honeypots en áreas de alta sensibilidad, incluyendo el espacio. Y podría refinar la forma en que detecta eventos como el mapa térmico de Strata y responde a ellos.

Pedir al mundo que cree menos datos no es una estrategia. Es una oración que no será contestada.

Fte. Defense One