Strava es una aplicación para móvil de la que no había oído hablar en mi vida. Por lo visto es una red social para compartir los datos tomados por dispositivos inteligentes de diversos fabricantes mientras se practica deportes como correr o andar en bicicleta. La gracia de compartir datos con Strava es que sirve para lanzar desafíos a otros usuarios o felicitarles por sus logros. Es decir, apela por un lado a la vanidad de los runners que quieren presumir de sus marcas y por otro lado sirve para conocer gente, compartiendo rutas o motivándose los unos a los otros. Hasta aquí todo bien.

Resulta que desde hace dos meses la página web de Strava ofrece un “mapa global de calor” que muestra la actividad de los deportistas en todo el mundo. Adicionalmente ofrece un servicio llamado Strava Metro de tal manera que “[t]ransportation, planning and safety organizations can analyze trends, counts and more”. Si acercamos la vista a Madrid, el Parque del Retiro luce así:

“Mapa de calor” de usuarios de Strava.com en el Parque del Retiro de Madrid.

En 2016 Steve Loughran advirtió de las vulnerabilidades de los dispositivos GPS para practicar deporte. En el caso de los mapas de Strava apuntaba que el problema no sólo afecta a militares y bases secretas, como ha destacado la prensa, sino a personas corrientes. Él señala que alguien podía usar los datos de Strava para identificar a los usuarios con bicicletas caras y localizar su casa o sus lugares habituales de entrenamiento. Bien sea identificando a los usuarios con tiempos extraordinariamente buenos, de lo que se deduce que son ciclistas mucho más que simples aficionados y que por tanto deben contar con muy buen equipo. Bien sea porque simplemente la aplicación te permite identificar cada bicicleta diferente con la que entrenas. Y es de suponer que si alguien se compra una Cannondale SUPERSIX EVO Carbon Ultegra Di2 último modelo de 2018, no se privará de hacerle saber al resto del mundo que se ha comprado una bicicleta de más de 3.500 euros. La preocupación de Steve Loughran era que alguien pudiera usar los datos de Strava para empezar a identificar a aficionados avanzados o profesionales con bicicletas muy caras para robarles en sus casas o en sus rutas de entrenamiento.

Los datos de Strava estaban ahí para uso de todo el mundo durante semanas hasta que hace poco Nathan Ruser, un estudiante universitario australiano, se le ocurrió mirar no en las grandes ciudades del mundo desarrollado llenos de runners sino en lugares recónditos del planeta. Y entonces se encontró con “zonas de calor” en los lugares más insospechados. Miremos por ejemplo el mapa de Mauritania y Mali. Hay una pequeña mancha roja en el cuadrante superior derecho.

Si ampliamos la imagen encontramos esto:

Buscando la ubicación de ese lugar en Google Earth descubrimos que es el aeropuerto de Tombuctú.

La zona iluminada se trata de la zona adyacente al aeropuerto de Tombuctú, que imagino es el campamento militar de las fuerzas europeas y/o de la MINUSMA. En el lado sur se aprecia una pequeña plataforma de vuelo, que debe servir para helicópteros. Y efectivamente, en Tombuctú han estado desplegado los helicópteros Tigre alemanes.

Foto: AFP PHOTO / Sebastien RIEUSSEC. Vía bamada.net

Descubrir la actividad deportiva del personal militar en Tombuctú no aportan ninguna novedad. Ya sabíamos que allí había militares europeos. De hecho, en Google Maps fui directamente al aeropuerto de Tombuctú porque di por hecho que se trataba de ese lugar. Lo realmente interesante de usar el mapa de Strava es cuando aparece actividad en sitios en medio de la nada en países “complicados”. Así se han identificado puestos militares avanzados de Estados Unidos y Francia. También se han identificado lugares de interés en lugares como Libia y Somalia, lo que nos permite especular sobre la presencia en ellos de militares, contratistas o espías. Cuando encontramos un lugar así podemos  cotejar con las imágenes de servicios como Google Maps. El siguiente mapa muestra la parte oriental de Jordania.

Arriba a la derecha, donde confluyen las fronteras de Siria, Iraq y Jordania hay un punto de actividad. Ampliamos la zona en Google Maps y no vemos mucho. Una construcción identificada en inglés como “Hospital”.

Si miramos la foto satélite que proporciona la propia Strava vemos mejor varias.

La actividad de los usuarios de Strava no sólo permite localizar lugares de interés en áreas remotas, también permite ver cuáles son las rutas habituales usadas por las personas que hacen deporte y trayectos comunes dentro de instalaciones. La siguiente imagen muestra el segundo campamento del “Tercio de Armada”en San Fernando de Cádiz.

Podemos ver las líneas que salen del segundo campamento y se internan en el caño. Son las embarcaciones Duarry Supercat del Grupo de Movilidad Anfibia. Algunas de esas líneas salen del agua y suben a tierra justo en frente. Podría tratarse de los los vehículos de asalto anfibio AAV7, capaces de moverse por tierra y mar. También vemos un flujo que sale del campamento en dirección justo enfrente al campo de tiro y cruza el puente Marqués de Ureña en dirección a la Clica. Así vemos que la actividad sobre el mapa revela patrones de la vida diaria. Y además, vemos que los usuarios de Strava, conscientemente o no, han dejado constancia de sus movimientos en vehículos, como el mapa de actividad muestra en las aguas de Canarias y el Estrecho de Gibraltar. En una base occidental en Afganistán podríamos identificar las edificaciones que sirven de dormitorio porque de ellas arrancan las rutas de deporte o podríamos identificar los edificios sensibles porque son un agujero negro de actividad. Hay bases militares en países sensibles donde aparecen rutas de deporte fuera del perímetro de seguridad. En otros lugares se ve la ruta de patrullas en vehículos. En definitiva, los datos podrían ser usados para planificar un ataque con morteros o una emboscada. Pero hay más.

Strava permite crear rutas y comparar tus marcas con otros usuarios que hayan pasado por allí. Según ha demostrado Steve Loughran, es posible engañar a Strava con datos tomados de otros sitios como si fuéramos nosotros los que han corrido ahí. Se abre entonces un mundo de posibilidades al poder identificar individualmente identificar a los usuarios de Strava que trabajan en lugares sensibles. Aquí la imagen del Acuartelamiento “Alférez Rojas Navarrete”, sede del Mando de Operaciones Especiales del Ejército de Tierra en Rabasa (Alicante).

Una imagen parecida podemos tomar de la sede del CNI en la carretera de La Coruña, a la salida de Madrid. Pero también de otra instalación sensible en Castilla La Mancha. A modo de ejemplo, veamos una lista de usuarios de Strava en un lugar de Iraq que me ha proporcionado @AbraxasSpa.

En la primera imagen vemos un mapa con una ruta en el campo petrolero de Badra, en la gobernación de Wasit, que explota la empresa rusa Gazprom. Véase la página web gazpromneft-badra.com. En el centro del mapa aparece la “cantina GCC”. Según la página web de GCC Services, proporciona a Gazprom “catering and full camp services in Badra”. La segunda imagen muestra la lista de los usuarios de Strava con mejores marcas en ese trayecto concreto. Se ha comprobado que, una vez se identifica a un usuario de Strava, se puede comprobar otros lugares donde ha practicado deporte. Si tenemos una lista de nombres que suenan estadounidenses en Mali y luego encontramos a esos usuarios haciendo deporte en Fort Bragg (Carolina del Norte) podríamos deducir que son miembros del 3rd Special Forces Group, cuya área de responsabilidad es África.

Como hemos visto, las posibilidades de explotación de datos de Strava son muchas. Podemos dejar volar la imaginación y pensar cuánta información podría obtenerse de los servidores de Strava en caso de disponer de toda la base de datos convenientemente hackeada. Ya pasó con las tropas rusas que delataron con sus selfies su presencia en Ucrania oriental, nos encontramos que los usos de la tecnología en manos del usuario medio rompen toda seguridad operativa. Pronto veremos nuevas directivas de seguridad y prohibiciones de todo tipo.

Arriba decía que la actividad deportiva en determinados recintos de países como Libia o Somalia nos podía hacer sospechar de que se trata de instalaciones secretas donde residen militares, contratistas o espías de países occidentales o Rusia. Pero se trata de una especulación que puede llegar a ser peligrosa si se generaliza. Podríamos estar ante las instalaciones de una ONG, por ejemplo. Jake Godin encontró en el mapa de Strava una isla con actividad en el sur de Níger, un país donde hay tropas francesas y donde han estado desplegados drones estadounidenses. Investigando sobre el lugar por otras fuentes encontró que se trata de un “hotel ecológico”. El problema es que ya hay gente etiquetando en Wikimaps focos de actividad vistos en Strava como “campamento militar estadounidense”. Ese tipo de elucubraciones podría poner en peligro a periodistas y cooperantes.

El otro día me entrevistó Russia Today sobre este mismo tema.

3 respuestas a “Las posibilidades de explotar información en el caso Strava

  1. Ahí es nada la herramienta de espionaje surgida de una app con fines deportivos. Yo no sabía de su existencia hasta hace unos días.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

w

Conectando a %s