Resum de la Guia sobre seguretat i privacitat de les eines de geolocalització

Resum de la Guia sobre seguretat i privacitat de les eines de geolocalització Observatori de la Seguretat de la Informació

OBSERVATORI DE LA SEGURETAT DE LA INFORMACIÓ

Pàgina 1 de 12

Edició: Març 2011

El “Resum de la Guia sobre seguretat i privacitat de les eines de geolocalització” ha sigut elaborada per l’equip de l’Observatori de la Seguretat de la Informació d’INTECO: Pablo Pérez San-José (direcció) Cristina Gutiérrez Borge (coordinació) Eduardo Álvarez Alonso Susana de la Fuente Rodríguez Laura García Pérez

L’Institut Nacional de Tecnologies de la Comunicació (INTECO), societat estatal adscrita al Ministeri d'Indústria, Turisme i Comerç a través de la Secretaria d'Estat de Telecomunicacions i per a la Societat de la Informació, és una plataforma per al desenvolupament de la Societat del Coneixement a través de projectes de l’àmbit de la innovació i la tecnologia. La missió d’INTECO és aportar valor i innovació als ciutadans, a les pimes, a les Administracions Públiques i al sector de les tecnologies de la informació, a través del desenvolupament de projectes que contribuïsquen a reforçar la confiança en els serveis de la Societat de la Informació al nostre país, promovent a més una línia de participació internacional. Per això, INTECO desenvoluparà actuacions en les següents línies: Seguretat Tecnològica, Accessibilitat, Qualitat TIC i Formació. L’Observatori de la Seguretat de la Informació (http://observatorio.inteco.es) s’insereix dins la línia estratègica d’actuació d’INTECO en matèria de Seguretat Tecnològica, sent un referent nacional i internacional al servei dels ciutadans, empreses, i administracions espanyoles per a descriure, analitzar, assessorar i difondre la cultura de la seguretat i la confiança de la Societat de la Informació.

Aquesta publicació pertany a l’Institut Nacional de Tecnologies de la Comunicació (INTECO) i està sota una llicència Reconeixement-No comercial 2.5 Espanya de Creative Commons, per tant està permés copiar, distribuir i comunicar públicament aquesta obra sota les condicions següents: • Reconeixement: El contingut d’aquest informe es pot reproduir totalment o parcialment per tercers, citant-ne la procedència i fent referència expressa tant a INTECO com al seu lloc web: www.inteco.es. El dit reconeixement no podrà en cap cas suggerir que INTECO ofereix suport a dit tercer o dóna suport a l’ús que fa de la seua obra. Ús no comercial: El material original i els treballs derivats poden ser distribuïts, copiats i exhibits mentre no siga amb fins comercials.

En reutilitzar o distribuir l’obra, han de quedar ben clar els termes de la llicència d’aquesta obra. Alguna d’aquestes condicions pot no aplicar-se si s’obté el permís d'INTECO com a titular dels drets d’autor. Cap terme en aquesta llicència menyscaba o restringeix els drets morals d'INTECO. http://creativecommons.org/licenses/by-nc/2.5/es/ Aquest document compleix les condicions d’accessibilitat del format PDF (Portable Document Format). Es tracta d’un document estructurat i etiquetat, proveït d’alternatives a tot element no textual, marcat d’idioma i ordre de lectura adequat. Per ampliar informació sobre la construcció de documents PDF accessibles pot consultar la guia disponible a la secció Accessibilitat > Formació > Manuals i Guies de la pàgina http://www.inteco.es

Resum de la Guia sobre seguretat i privacitat de les eines de geolocalització Observatori de la Seguretat de la Informació

Pàgina 2 de 12

Índex
ÍNDICE
1 INTRODUCCIÓ................................................................................ 4 2 QUÈ ÉS LA GEOLOCALITZACIÓ?................................................ 4
2.1 ASPECTES GENERALS .......................................................................... 4 2.2 TERMINOLOGIA SOBRE GEOLOCALITZACIÓ ..................................... 5

3 APLICACIONS DE GEOLOCALITZACIÓ....................................... 5
3.1 APLICACIONS EN LÍNIA ......................................................................... 6 3.2 APLICACIONS PER A DISPOSITIUS MÒBILS ....................................... 6

4 RISCOS RELACIONATS AMB LA GEOLOCALITZACIÓ.............. 7
4.1 RISCOS PER A LA PRIVACITAT ............................................................ 8 4.2 RISCOS PER A LA SEGURETAT............................................................ 8

5 RECOMANACIONS DE PRIVACITAT PER A L’ÚS DE LA GEOLOCALITZACIÓ ...................................................................... 8 6 RECOMANACIONS DE SEGURETAT PER A LÚS DE LA GEOLOCALITZACIÓ .................................................................... 10
6.1 SEGURETAT DEL SISTEMA OPERATIU.............................................. 11 6.2 PROGRAMARI DE GEOLOCALITZACIÓ.............................................. 11 6.3 COMUNICACIÓ DE XARXA................................................................... 11 6.4 SEGURETAT FÍSICA ............................................................................. 11

Resum de la Guia sobre seguretat i privacitat de les eines de geolocalització Observatori de la Seguretat de la Informació

Pàgina 3 de 12

1. Introducció
1 INTRODUCCIÓN

Es denomina “geolocalització” el conjunt de tecnologies que combinen la georeferenciació d’elements del món real amb la informació obtinguda a través d’una connexió a Internet. En particular, els dispositius mòbils es presten especialment a l’aplicació de les tecnologies de geolocalització. D’una banda, s’han desenvolupat múltiples mecanismes que permeten la localització geogràfica d’un dispositiu (bé mitjançant la tecnologia GPS 1 , xarxes WiFi sense fils, o les xarxes de telefonia mòbil), mentre que el desenvolupament de la banda ampla mòbil permet la connexió permanent a Internet amb els denominats "telèfons intel·ligents" (smartphones). A més, és important ressenyar el vincle estret desenvolupat entre les tecnologies de geolocalització i les xarxes socials, comunitats col·laboratives i un altre tipus de serveis lligats al Web 2.0. Els usuaris tenen l’oportunitat d’integrar pràcticament qualsevol tipus d’informació georeferenciada en xarxes socials populars, com per exemple Facebook o Twitter o Tuenti, així com utilitzar noves xarxes socials dissenyades i desenvolupades específicament sobre les tecnologies de geolocalització, com les populars Foursquare i Gowalla, entre d’altres. Les aplicacions de geolocalització en línia permeten, des de qualsevol dispositiu connectat a Internet (bé es tracte d‘un dispositiu mòbil, ordinador portàtil, equip de sobretaula, etc.), l’obtenció de tot tipus d’informació en temps real, així com la localització d’aquesta informació en el mapa amb total precisió. La combinació d’aquesta tecnologia amb els sistemes d’emmagatzematge en el núvol2, a més, permet la sincronització automàtica d’informació entre dispositius heterogenis. L’extensió d’aquestes tecnologies i la seua demanda, no obstant això, porta associada la problemàtica de la naturalesa de la informació –freqüentment privada o sensibleassociada a elles. Per això, és important prendre especial consciència dels aspectes relacionats amb la seguretat i la privacitat, de manera que siga possible exercir un ús responsable de les eines de geolocalització i garantir el seu ple gaudi.

1 2

GPS: Global Positioning System o Sistema de Posicionament Global.

El terme emmagatzematge en el núvol fa referència al sistema que permet als usuaris emmagatzemar tota la seua informació, fitxers i dades en servidors de tercers, de manera que puguen ser accessibles des de qualsevol sistema amb accés a Internet.

Resum de la Guia sobre seguretat i privacitat de les eines de geolocalització Observatori de la Seguretat de la Informació

Pàgina 4 de 12

2. Què és la geolocalització?
2 EL TERME EMMAGATZEMATGE EN EL NÚVOL FA REFERÈNCIA AL SISTEMA QUE PERMET ALS USUARIS EMMAGATZEMAR TOTA LA SEVA INFORMACIÓ, FITXERS I DADES EN SERVIDORS DE TERCERS, DE MANERA QUE PUGUIN SER ACCESSIBLES DES DE QUALSEVOL SISTEMA AMB ACCÉS A INTERNET.

2.1

ASPECTES GENERALS

Es poden distingir tres components associats a tot procés de geolocalització. 1) Un dispositiu maquinari, que actuarà com a plataforma en què es desenvoluparà el procés de geolocalització. Un programari, que executarà el procés de geolocalització segons la seua implementació. Una connexió a Internet, que actuarà com a mitjà d’obtenció i intercanvi d’informació.

2)

3)

Es poden distingir tres categories d’usos comuns per a aquestes tecnologies. 1) La localització física d’un objecte o individu en un sistema de coordenades (procés de georeferenciació), que poden realitzar-se mitjançant GPS, xarxes Wi-Fi sense fils, xarxes mòbils, o adreces IP d’Internet. La cerca d’informació i la seua localització física en un sistema de coordenades (procés de geocodificació). L’addició d’informació geoetiquetat). geogràfica a un contingut generat (procés de

2)

3)

2.2 •

TERMINOLOGIA SOBRE GEOLOCALITZACIÓ Latitud i longitud. Coordenades que permeten expressar qualsevol posició en la superfície de la Terra. Georeferenciació. Procés de localització en un sistema de coordenades. Geocodificació. Assignació de coordenades geogràfiques a un punt del mapa. Geocodificació inversa. Procés invers a la geocodificació. Geoetiquetat. Addició d’informació geogràfica a les metadades d’un fitxer. Geomàtica. Domini del coneixement orientat a la geolocalització. GPS. Sistema de Posicionament Global (Global Positioning System). A-GPS. GPS Assistit (Assisted GPS). Millora del sistema GPS. Triangulació. Mètode matemàtic per a determinar posicions en el mapa.

• • • • • • • •

Resum de la Guia sobre seguretat i privacitat de les eines de geolocalització Observatori de la Seguretat de la Informació

Pàgina 5 de 12

3. Aplicacions de geolocalització
3 APLICACIONES DE GEOLOCALIZACIÓN

Dins de les aplicacions de geolocalització, podem distingir dos grups principals: aplicacions en línia (per a qualsevol dispositiu), i aplicacions dissenyades específicament per a ús en dispositius mòbils. 3.1 APLICACIONS EN LÍNIA

Són aquelles accessibles amb una connexió a Internet, per a qualsevol dispositiu. A través de l’ús de les tecnologies de geolocalització, interrelacionen la informació existent a la Xarxa, amb aquella proporcionada per l’usuari. 3.1.1 Mapes

Aplicacions destinades a la cerca d’informació en mapes. Entre els serveis típics d’aquest tipus d’aplicacions es troben la cerca d’informació i la seua geocodificació inversa, la consulta de diferents tipus de mapes (geogràfics, físics o guies de carrers), el càlcul de rutes (a peu o utilitzant vehicles) o la creació de mapes personalitzats. Alguns exemples: Google Maps, Google Earth, Bing Maps. 3.1.2 Imatges i geoetiquetat.

Aplicacions destinades a la geolocalització i el geoetiquetat d’imatges. Les imatges són capturades i geoetiquetades per algun tipus de dispositiu mòbil, per incloure’s posteriorment en una base de dades que permet la seua cerca i geocodificació com un servei en línia. Alguns exemples: Google Street View, Street Slide, Panoramio, Flickr Maps. 3.1.3 Xarxes socials

Aplicacions relacionades amb les xarxes socials, bé com a annex sobre xarxes socials tradicionals, o bé com a xarxes geosocials independents. Alguns exemples: Dopplr, Plazes, Fire Eagle. 3.2 APLICACIONS PER A DISPOSITIUS MÒBILS

Són aquelles destinades exclusivament a l’àmbit dels terminals mòbils intel·ligents (smartphones). Estan íntimament lligades a la georeferenciació del dispositiu.

Resum de la Guia sobre seguretat i privacitat de les eines de geolocalització Observatori de la Seguretat de la Informació

Pàgina 6 de 12

3.2.1

Mapes

Aplicacions destinades a la cerca d’informació en mapes. La posició geogràfica de l’usuari s’utilitza com un element rellevant en el procés de cerca d’informació. Alguns exemples: Google Maps, Google Earth, MyTracks. 3.2.2 Navegació GPS

Aplicacions destinades a la utilització de sistemes de navegació pas a pas –a peu o en vehicles- mitjançant GPS. Alguns exemples: Tom Tom Navigator, Google Maps Navigator, CoPilot Live, Nokia OviMapas, Waze. 3.2.3 Xarxes socials

Aplicacions relacionades amb les xarxes socials, bé com a annex sobre xarxes socials tradicionals, o bé com a xarxes geosocials independents. Suposen l’àmbit de més difusió dins de la geolocalització en dispositius mòbils. Alguns exemples: Facebook Places, Twitter Places, Foursquare, Google Latitude, Gowalla. 3.2.4 Punts d’interés

Aplicacions de localització de llocs d'interés pròxims per la seua posició geogràfica. Alguns exemples: Bliquo, AroundMe, Buzzd, Google Places Directory. 3.2.5 Realitat augmentada

Aplicacions que permeten enriquir la visió del món real, a partir d’informació obtinguda mitjançant processos de geolocalització i una connexió a Internet. Alguns exemples: Layar, Wikitude.

Resum de la Guia sobre seguretat i privacitat de les eines de geolocalització Observatori de la Seguretat de la Informació

Pàgina 7 de 12

4.
4

Riscos relacionats amb la geolocalització

RIESGOS RELACIONADOS CON LA GEOLOCALIZACIÓN

La pròpia naturalesa de les dades de les aplicacions de geolocalització, fa que aquestes siguen especialment sensibles des del punt de vista de la seguretat. 4.1 • • • • • 4.2 4.2.1 • • • • 4.2.2 • • RISCOS PER A LA PRIVACITAT Revelació de dades privades de geolocalització associades a xarxes socials. Àmbit de disponibilitat de les dades privades, creació de perfils comercials. Localització d’individus, amb risc de furt, robatori o fins i tot agressió. Enginyeria social i suplantació d’identitat, tant d’usuaris com coneguts. Tractament irresponsable de les dades privades per part de les empreses. RISCOS PER A LA SEGURETAT Riscos per a la seguretat del sistema operatiu Codi maliciós o malware: virus, troians, programes espia, etc. Fallades de seguretat (“bugs”) en el sistema, que permeten la intrusió. Modificació no autoritzada del sistema operatiu (“jailbreak, “rooteo”, etc.) Instal·lació de programes no autoritzats o verificats. Riscos associats al programari de geolocalització Gestió incorrecta de permisos en aplicacions Fallades de seguretat (“bugs”) específics d’aplicacions en línia (“vulnerabilitats web”). Riscos en la comunicació de xarxa Intercepció de les comunicacions de xarxa (“eavesdropping”). Atacs en la xarxa de comunicacions (“man-in-the-middle”, “ARP poisoning”, intrusió en xarxes sense fils, denegació de Server en xarxes mòbils, etc.). Riscos per a la seguretat física Pèrdua o sostracció de dispositius maquinari (ordinadors, mòbils, etc.) Extracció de dades de dispositius maquinari (fitxers, contrasenyes, etc. Modificació no autoritzada del maquinari (denegació de servei, keyloggers).

4.2.3 • •

4.2.4 • • •

Resum de la Guia sobre seguretat i privacitat de les eines de geolocalització Observatori de la Seguretat de la Informació

Pàgina 8 de 12

5.
5

Recomanacions de privacitat per a l’ús de la geolocalització

RECOMENDACIONES DE PRIVACIDAD PARA EL USO DE LA GEOLOCALIZACIÓN

Es recomana: • • • • • • • Llegir amb atenció i comprendre les clàusules de privacitat. En general, restringir al màxim la informació que s’ofereix de manera pública. Desconfiar, com a norma general, de tota persona que no siga coneguda. Adequar la precisió de les publicacions sobre georeferenciació. Triar amb cura el grup d’usuaris que podran veure les dades privades. Configurar correctament els vincles entre georeferenciació i xarxes socials. No aportar informació que permeta deduir la posició d’un usuari.

En l’àmbit de geolocalització, el marc legal de referència comprén diferents aspectes de la privacitat de les dades personals. • Dret a l’honor, a la intimitat personal i familiar i a la pròpia imatge: article 18.1 de la Constitució Espanyola i article 1 de la Llei Orgànica 1/1982 de Protecció Civil del Dret a l’Honor, a la Intimitat Personal i Familiar i a la Pròpia Imatge (dit dret serà protegir civilment davant tot gènere d’intromissions il·legítimes). • • Secret de les comunicacions: article 18.3 de la Constitució Espanyola. Limitació de l’ús de la informàtica per a garantir l’honor i la intimitat personal i familiar dels ciutadans i el ple exercici dels seus drets: article 18.4 de la Constitució Espanyola. En la legislació espanyola, la principal llei dedicada a garantir el compliment de l’article 18.4 de la Constitució, és la Llei Orgànica 15/1999 de Protecció de Dades de Caràcter Personal (LOPD), juntament amb el Reial Decret 1720/2007 de desenvolupament de la Llei Orgànica de Protecció de Dades (RLOPD). El RLOPD defineix a l’article 81 tres nivells de protecció: bàsic, mitjà i alt 3 . • Nivell alt: ideologia, creences, religió, raça, vida sexual, salut, fins policials, violència de gènere.

Informació extreta de la Guia de Seguretat de Dades-2010 de l’Agència Espanyola de Protecció de Dades, disponible en: https://www.agpd.es/portalwebAGPD/canaldocumentacion/publicaciones/common/Guias/GUIA_SEGURIDAD_2010.pdf

3

Resum de la Guia sobre seguretat i privacitat de les eines de geolocalització Observatori de la Seguretat de la Informació

Pàgina 9 de 12

Nivell mitjà: informació laboral, fiscal, financera, de solvència, infraccions penals i administratives, definició de personalitat i dels operadors de comunicacions electròniques, respecte de les dades de trànsit i localització.

Nivell bàsic: dades de caràcter personal, altres dades en una transferència dinerària o accessoris en una operació, condició de discapacitat o invalidesa.

Partint d’aquesta classificació: • Les dades de geolocalització, referides a persones, són de nivell bàsic. Si per combinació o inferència defineixen la personalitat, són de nivell mitjà. • Per a operadors de comunicacions, s’aplicaran les mesures de nivell alt.

Quan es sol·liciten les seues dades, tot ciutadà serà informat de manera precisa de: • L’existència d’un fitxer o procés de tractament de dades, la seua finalitat, així com identitat i adreça del responsable del tractament. • Caràcter obligatori o optatiu de les preguntes plantejades i conseqüències de la negativa a subministrar certes dades. • La possibilitat d’exercir els drets d’Accés, Rectificació, Cancel·lació i Oposició (definits en el Títol III de la LOPD), llevat de raons de seguretat pública. L’organisme encarregat de vetllar pel compliment de la LOPD és l’Agència Espanyola de Protecció de Dades (AEPD). Tot fitxer –tant públic com privat- adscrit a la LOPD haurà de ser posat en coneixement d’aquesta agència. La falta d’atenció als drets dels ciutadans, la seua violació, la falta de col·laboració amb l’AEPD, o la falta de notificacions; són causes que deriven en la investigació pertinent. Qualsevol ciutadà pot dirigir una denúncia a l’AEPD: https://www.agpd.es/portalwebAGPD/canalciudadano/denunciasciudadano. A més, l’Agència també pot actuar d’ofici, quan es considere oportú.

Resum de la Guia sobre seguretat i privacitat de les eines de geolocalització Observatori de la Seguretat de la Informació

Pàgina 10 de 12

6.
6

Recomanacions de seguretat per a l’ús de la geolocalització

RECOMENDACIONES DE SEGURIDAD PARA EL USO DE LA GEOLOCALIZACIÓN

6.1 • • •

SEGURETAT DEL SISTEMA OPERATIU Actualitzar el sistema operatiu i els programes instal·lats. Utilitzar un sistema de protecció de xarxa de tipus tallafocs, així com un antivirus. Utilitzar programari original, la procedència del qual siga coneguda i puga ser certificada. Evitar les modificacions no autoritzades del maquinari o el programari. Utilitzar usuaris amb privilegis baixos en el sistema, mai administrador o root. En dispositius mòbils, configurar les opcions en funció de les necessitats. PROGRAMARI DE GEOLOCALITZACIÓ • • • • • Utilitzar aplicacions obtingudes i actualitzades a través de canals oficials. Tenir en compte els permisos que sol·licita una aplicació per a la seua instal·lació. Vigilar, en les actualitzacions, els possibles canvis en els permisos requerits. Establir quan i com es permet la utilització de geolocalització. Utilitzar complement per a la prevenció d’atacs web (com NoScript). COMUNICACIÓ DE XARXA • No utilitzar connexions sense xifrar per enviar informació sensible. Així mateix, usar xarxes Wi-Fi amb xifrat WPA2 i preferir les xarxes mòbils 3G a les 2G. Connectar-se, en la mesura del possible, a xarxes de confiança. En xarxes locals, comprovar que la connexió amb la porta d’enllaç és directa. SEGURETAT FÍSICA • • • • Utilitzar programes de esborrament o bloqueig remot en cas de pèrdua. En cas de pèrdua, sol·licitar el bloqueig del terminal mitjançant IMEI. En ordinadors portàtils, utilitzar cables de seguretat per al seu ancoratge. Utilitzar sempre contrasenyes fortes per a l’accés i la utilització de dispositius.

• • • 6.2

6.3

• • 6.4

Resum de la Guia sobre seguretat i privacitat de les eines de geolocalització Observatori de la Seguretat de la Informació

Pàgina 11 de 12

Web

http://observatorio.inteco.es
Perfil en Scribd de l’Observatori de la Seguretat de la Informació:

http://www.scribd.com/ObservaINTECO
Canal Twitter de l’Observatori de la Seguretat de la Informació:

http://twitter.com/ObservaINTECO
Bloc de l’Observatori de la Seguretat de la Informació:

http://www.inteco.es/blog/Seguridad/Observatorio/BlogSeguridad/ observatorio@inteco.es

Resum de la Guia sobre seguretat i privacitat de les eines de geolocalització Observatori de la Seguretat de la Informació

www.inteco.es

Pàgina 12 de 12

Sign up to vote on this title
UsefulNot useful