Una solución de software simple podría limitar el intercambio de datos de ubicación

Compartir datos de ubicación de los operadores inalámbricos ha sido un importante problema de privacidad en los últimos años. Los especialistas en marketing, los vendedores e incluso los cazadores de recompensas pudieron pagar a empresas externas en la sombra para rastrear dónde han estado las personas, utilizando información que los operadores recopilaron de las interacciones entre su teléfono y las torres de telefonía celular cercanas. Incluso después de prometer dejar de vender los datos, los principales operadores (AT&T, T-Mobile y Verizon) continuaron con la práctica en los EE. UU. hasta que la Comisión Federal de Comunicaciones propuso casi $200 millones en multas combinadas. Los transportistas siempre están hambrientos de saber todo lo que puedan sobre usted. Ahora, los investigadores proponen un plan simple para limitar la cantidad de datos de ubicación masivos que pueden obtener de las torres de telefonía celular.

Gran parte de la industria de datos de ubicación de terceros está impulsada por aplicaciones que obtienen permiso para acceder a su información de GPS, pero los datos de ubicación que los operadores pueden recopilar de las torres de telefonía celular a menudo han proporcionado una vía alternativa. Durante años, parecía que se podía hacer poco con respecto a esta fuga porque cortar el acceso a estos datos probablemente requeriría el tipo de actualizaciones sistémicas que los operadores se resisten a hacer.

Sin embargo, en la conferencia de seguridad de Usenix el jueves, los investigadores de seguridad de redes Paul Schmitt de la Universidad de Princeton y Barath Raghavan de la Universidad del Sur de California presentaron un esquema llamado Pretty Good Phone Privacy que puede enmascarar las ubicaciones de los usuarios inalámbricos de los operadores con una simple actualización de software. que cualquier operador puede adoptar, no se requieren cambios de infraestructura tectónica.

“El principal problema que estamos tratando de abordar es la recolección masiva de datos y su venta”, dice Raghavan. “Vemos como un problema de privacidad del usuario que los operadores puedan acumular estos datos de ubicación, ya sea que los estén vendiendo activamente o no. Y nuestro objetivo aquí era la compatibilidad con versiones anteriores. No queríamos que las telecomunicaciones tuvieran que implementar nada porque sabíamos que no lo iban a hacer».

La oportunidad de recopilar datos de ubicación masivos de redes inalámbricas surge del hecho de que cada tarjeta SIM tiene un número de identificación permanente, conocido como «identidad de suscriptor móvil interMarketingdecontenido» o número IMSI. Cuando su dispositivo se reinicia, ha estado inactivo por un tiempo o simplemente necesita establecer una nueva conexión, se comunica con la torre celular más cercana y presenta un número IMSI. Esto permite a los operadores verificar si pagó su factura telefónica y si se le debe permitir el acceso al servicio, y también le dice a la red qué torres celulares está cerca. Las herramientas de vigilancia conocidas como «stingrays» o «IMSI catchers» aprovechan esta misma interacción para capturar su ubicación física e incluso escuchar sus llamadas y mensajes de texto.

Para que sea más difícil rastrearlo todo el tiempo, los estándares inalámbricos ya asignan a cada dispositivo una identificación rotativa aleatoria después del intercambio IMSI inicial. Esto significa que ya hay algunas protecciones integradas en el sistema; hacer que ese primer paso de IMSI sea más privado tendría beneficios de gran alcance para los usuarios.

Pretty Good Phone Privacy, cuyo nombre es un guiño al innovador programa de encriptación de comunicaciones de 1991 Pretty Good Privacy, tiene como objetivo lograr precisamente eso al reinventar el control de facturación que realizan las redes. Los investigadores proponen instalar portales en cada dispositivo, utilizando una aplicación o una función del sistema operativo, que ejecuten controles regulares con un servidor de facturación para confirmar que un usuario está en regla. El sistema entregaría tokens digitales que no identifican el dispositivo específico sino que simplemente indican si la cuenta inalámbrica adjunta está pagada. Cuando el dispositivo intente conectarse a una torre celular, el intercambio se canalizaría a través de este portal para obtener un «sí» o un «no» sobre la prestación del servicio. Los investigadores también se dieron cuenta de que si el sistema tiene un método alternativo para confirmar el estado de facturación, puede aceptar el mismo número IMSI o cualquier identificación aleatoria para cada usuario.

“Cuando se conecta a la red, ofrece el número IMSI para mostrar a la base de datos back-end que usted es un cliente que paga, y aquí están los servicios a los que se ha suscrito”, dice Schmitt. “El sistema luego informa al resto del núcleo para permitirle ingresar a la red. Pero lo que hacemos con PGPP cambia el cálculo. La base de datos de suscriptores puede verificar que eres un usuario de pago sin saber quién eres. Hemos desacoplado y cambiado la facturación y la autenticación”.

La reelaboración de algunos sistemas de facturación y la distribución de una aplicación a los usuarios sería mucho más manejable para los operadores que las revisiones más profundas de la red. Raghavan y Schmitt están en proceso de convertir su investigación en una startup para facilitar la promoción del proyecto entre las empresas de telecomunicaciones de Estados Unidos. Reconocen que incluso con la facilidad de adopción, todavía es una posibilidad remota que toda la industria cambie a PGPP en el corto plazo. Pero obtener solo unos pocos operadores, dicen, aún podría marcar una gran diferencia. Esto se debe a que los datos de ubicación masivos se vuelven mucho menos confiables si una parte significativa del conjunto total está contaminada. Si 9 millones de suscriptores de Boost Mobile, por ejemplo, transmitieran números IMSI idénticos o aleatorios, eso socavaría la precisión y la utilidad de todo el conjunto de datos.

El hecho de que los pequeños proveedores virtuales que ni siquiera operan sus propias torres de telefonía celular (conocidos como MVNO) puedan implementar este esquema de manera independiente es significativo, dice el criptógrafo Bruce Schneier, quien originalmente se enteró de PGPP en enero y recientemente se convirtió en asesor de proyectos.

“Un operador puede hacerlo por su cuenta sin el permiso de nadie y sin que nadie cambie nada”, dice Schneier. “Me imagino a una de estas empresas más pequeñas diciendo que ofrecerán esto como un valor agregado porque quieren diferenciarse. Esto es privacidad a muy bajo costo. Eso es lo bueno”.

En el mercado inalámbrico competitivo y monolítico, diferenciarse en cuanto a la privacidad podría resultar atractivo como táctica de marketing. Es posible que los tres grandes operadores intenten impedir que los MVNO adopten algo como PGPP a través de moratorias contractuales. Pero los investigadores dicen que algunos MVNO han expresado interés en la propuesta.

Entre la presión potencial de las fuerzas del orden público y la pérdida de acceso a los datos, además de la necesidad de distribuir una aplicación o lograr que los sistemas operativos móviles participen, los operadores podrían tener pocos incentivos para adoptar PGPP. En la medida en que las fuerzas del orden puedan oponerse a tal esquema, Schmitt señala que aún sería posible que los operadores realicen búsquedas específicas del historial de ubicaciones para números de teléfono específicos. Y los investigadores dicen que creen que el enfoque sería legal en los EE. UU. bajo la Ley de Asistencia de Comunicaciones para el Cumplimiento de la Ley. Esto se debe a que una advertencia de PGPP es que solo agrega protecciones de privacidad para las interacciones de la torre celular que involucran redes de datos como 4G o 5G. No intenta interoperar con los protocolos de telefonía históricos que facilitan las llamadas telefónicas tradicionales y los mensajes de texto SMS. Los usuarios tendrían que confiar en las llamadas VoIP y la mensajería basada en datos para obtener la máxima privacidad.

El enfoque también se enfoca en los números IMSI, junto con sus contrapartes 5G conocidas como Identificadores permanentes de suscripción, o SUPI, y no protege ni ocluye identificadores de hardware estáticos como números de Identidad de equipo móvil interMarketingdecontenido (IMEI) o direcciones de control de acceso a medios (MAC). . Estos no se utilizan en las interacciones de la torre celular que los investigadores están tratando de anonimizar, pero podrían proporcionar otras vías para el seguimiento.

Sin embargo, tener una opción simple y directa para abordar una importante exposición de datos de ubicación sigue siendo importante, después de años de uso indebido de datos y crecientes preocupaciones sobre la privacidad.

“Solo para ser totalmente franco, el sentimiento para mí ahora es, ¿cómo no vimos esto antes?” Raghavan dice. “No es, ‘Vaya, esto fue tan difícil de entender’. Es obvio en retrospectiva”.

“Eso realmente nos hizo sentir mejor como investigadores de sistemas”, agrega Schmitt. “En última instancia, cuanto más simple sea el sistema, mejor será el sistema”.

Esta historia apareció originalmente en wired.com.