Las posibilidades de explotar información en el caso Strava

Strava es una aplicación para móvil de la que no había oído hablar en mi vida. Por lo visto es una red social para compartir los datos tomados por dispositivos inteligentes de diversos fabricantes mientras se practica deportes como correr o andar en bicicleta. La gracia de compartir datos con Strava es que sirve para lanzar desafíos a otros usuarios o felicitarles por sus logros. Es decir, apela por un lado a la vanidad de los runners que quieren presumir de sus marcas y por otro lado sirve para conocer gente, compartiendo rutas o motivándose los unos a los otros. Hasta aquí todo bien.

Resulta que desde hace dos meses la página web de Strava ofrece un “mapa global de calor” que muestra la actividad de los deportistas en todo el mundo. Adicionalmente ofrece un servicio llamado Strava Metro de tal manera que “[t]ransportation, planning and safety organizations can analyze trends, counts and more”. Si acercamos la vista a Madrid, el Parque del Retiro luce así:

“Mapa de calor” de usuarios de Strava.com en el Parque del Retiro de Madrid.

En 2016 Steve Loughran advirtió de las vulnerabilidades de los dispositivos GPS para practicar deporte. En el caso de los mapas de Strava apuntaba que el problema no sólo afecta a militares y bases secretas, como ha destacado la prensa, sino a personas corrientes. Él señala que alguien podía usar los datos de Strava para identificar a los usuarios con bicicletas caras y localizar su casa o sus lugares habituales de entrenamiento. Bien sea identificando a los usuarios con tiempos extraordinariamente buenos, de lo que se deduce que son ciclistas mucho más que simples aficionados y que por tanto deben contar con muy buen equipo. Bien sea porque simplemente la aplicación te permite identificar cada bicicleta diferente con la que entrenas. Y es de suponer que si alguien se compra una Cannondale SUPERSIX EVO Carbon Ultegra Di2 último modelo de 2018, no se privará de hacerle saber al resto del mundo que se ha comprado una bicicleta de más de 3.500 euros. La preocupación de Steve Loughran era que alguien pudiera usar los datos de Strava para empezar a identificar a aficionados avanzados o profesionales con bicicletas muy caras para robarles en sus casas o en sus rutas de entrenamiento.

Los datos de Strava estaban ahí para uso de todo el mundo durante semanas hasta que hace poco Nathan Ruser, un estudiante universitario australiano, se le ocurrió mirar no en las grandes ciudades del mundo desarrollado llenos de runners sino en lugares recónditos del planeta. Y entonces se encontró con “zonas de calor” en los lugares más insospechados. Miremos por ejemplo el mapa de Mauritania y Mali. Hay una pequeña mancha roja en el cuadrante superior derecho.

Si ampliamos la imagen encontramos esto:

Buscando la ubicación de ese lugar en Google Earth descubrimos que es el aeropuerto de Tombuctú.

La zona iluminada se trata de la zona adyacente al aeropuerto de Tombuctú, que imagino es el campamento militar de las fuerzas europeas y/o de la MINUSMA. En el lado sur se aprecia una pequeña plataforma de vuelo, que debe servir para helicópteros. Y efectivamente, en Tombuctú han estado desplegado los helicópteros Tigre alemanes.

Foto: AFP PHOTO / Sebastien RIEUSSEC. Vía bamada.net

Descubrir la actividad deportiva del personal militar en Tombuctú no aportan ninguna novedad. Ya sabíamos que allí había militares europeos. De hecho, en Google Maps fui directamente al aeropuerto de Tombuctú porque di por hecho que se trataba de ese lugar. Lo realmente interesante de usar el mapa de Strava es cuando aparece actividad en sitios en medio de la nada en países “complicados”. Así se han identificado puestos militares avanzados de Estados Unidos y Francia. También se han identificado lugares de interés en lugares como Libia y Somalia, lo que nos permite especular sobre la presencia en ellos de militares, contratistas o espías. Cuando encontramos un lugar así podemos  cotejar con las imágenes de servicios como Google Maps. El siguiente mapa muestra la parte oriental de Jordania.

Arriba a la derecha, donde confluyen las fronteras de Siria, Iraq y Jordania hay un punto de actividad. Ampliamos la zona en Google Maps y no vemos mucho. Una construcción identificada en inglés como “Hospital”.

Si miramos la foto satélite que proporciona la propia Strava vemos mejor varias.

La actividad de los usuarios de Strava no sólo permite localizar lugares de interés en áreas remotas, también permite ver cuáles son las rutas habituales usadas por las personas que hacen deporte y trayectos comunes dentro de instalaciones. La siguiente imagen muestra el segundo campamento del “Tercio de Armada”en San Fernando de Cádiz.

Podemos ver las líneas que salen del segundo campamento y se internan en el caño. Son las embarcaciones Duarry Supercat del Grupo de Movilidad Anfibia. Algunas de esas líneas salen del agua y suben a tierra justo en frente. Podría tratarse de los los vehículos de asalto anfibio AAV7, capaces de moverse por tierra y mar. También vemos un flujo que sale del campamento en dirección justo enfrente al campo de tiro y cruza el puente Marqués de Ureña en dirección a la Clica. Así vemos que la actividad sobre el mapa revela patrones de la vida diaria. Y además, vemos que los usuarios de Strava, conscientemente o no, han dejado constancia de sus movimientos en vehículos, como el mapa de actividad muestra en las aguas de Canarias y el Estrecho de Gibraltar. En una base occidental en Afganistán podríamos identificar las edificaciones que sirven de dormitorio porque de ellas arrancan las rutas de deporte o podríamos identificar los edificios sensibles porque son un agujero negro de actividad. Hay bases militares en países sensibles donde aparecen rutas de deporte fuera del perímetro de seguridad. En otros lugares se ve la ruta de patrullas en vehículos. En definitiva, los datos podrían ser usados para planificar un ataque con morteros o una emboscada. Pero hay más.

Strava permite crear rutas y comparar tus marcas con otros usuarios que hayan pasado por allí. Según ha demostrado Steve Loughran, es posible engañar a Strava con datos tomados de otros sitios como si fuéramos nosotros los que han corrido ahí. Se abre entonces un mundo de posibilidades al poder identificar individualmente identificar a los usuarios de Strava que trabajan en lugares sensibles. Aquí la imagen del Acuartelamiento “Alférez Rojas Navarrete”, sede del Mando de Operaciones Especiales del Ejército de Tierra en Rabasa (Alicante).

Una imagen parecida podemos tomar de la sede del CNI en la carretera de La Coruña, a la salida de Madrid. Pero también de otra instalación sensible en Castilla La Mancha. A modo de ejemplo, veamos una lista de usuarios de Strava en un lugar de Iraq que me ha proporcionado @AbraxasSpa.

En la primera imagen vemos un mapa con una ruta en el campo petrolero de Badra, en la gobernación de Wasit, que explota la empresa rusa Gazprom. Véase la página web gazpromneft-badra.com. En el centro del mapa aparece la “cantina GCC”. Según la página web de GCC Services, proporciona a Gazprom “catering and full camp services in Badra”. La segunda imagen muestra la lista de los usuarios de Strava con mejores marcas en ese trayecto concreto. Se ha comprobado que, una vez se identifica a un usuario de Strava, se puede comprobar otros lugares donde ha practicado deporte. Si tenemos una lista de nombres que suenan estadounidenses en Mali y luego encontramos a esos usuarios haciendo deporte en Fort Bragg (Carolina del Norte) podríamos deducir que son miembros del 3rd Special Forces Group, cuya área de responsabilidad es África.

Como hemos visto, las posibilidades de explotación de datos de Strava son muchas. Podemos dejar volar la imaginación y pensar cuánta información podría obtenerse de los servidores de Strava en caso de disponer de toda la base de datos convenientemente hackeada. Ya pasó con las tropas rusas que delataron con sus selfies su presencia en Ucrania oriental, nos encontramos que los usos de la tecnología en manos del usuario medio rompen toda seguridad operativa. Pronto veremos nuevas directivas de seguridad y prohibiciones de todo tipo.

Arriba decía que la actividad deportiva en determinados recintos de países como Libia o Somalia nos podía hacer sospechar de que se trata de instalaciones secretas donde residen militares, contratistas o espías de países occidentales o Rusia. Pero se trata de una especulación que puede llegar a ser peligrosa si se generaliza. Podríamos estar ante las instalaciones de una ONG, por ejemplo. Jake Godin encontró en el mapa de Strava una isla con actividad en el sur de Níger, un país donde hay tropas francesas y donde han estado desplegados drones estadounidenses. Investigando sobre el lugar por otras fuentes encontró que se trata de un “hotel ecológico”. El problema es que ya hay gente etiquetando en Wikimaps focos de actividad vistos en Strava como “campamento militar estadounidense”. Ese tipo de elucubraciones podría poner en peligro a periodistas y cooperantes.

El otro día me entrevistó Russia Today sobre este mismo tema.

Redes de conocimiento

Allá por 2006, cuando las ideas que dieron lugar al libro Guerras Posmodernas estaban en período de maduración me llamó la atención una entrada del blogs del profesor Juan Freire sobre el uso dado por la CIA a plataformas para compartir conocimiento: “Cómo usa la CIA los blogs y los wikis para la gestión del conocimiento: ¿espionaje open source?” En aquel entonces estábamos todavía en el shock post-11S y post-11M. Las palabra “red terrorista” evocaba entonces la idea de redes difusas, complejas e indetectables infiltradas en las sociedades libres occidentales. ¿Cómo enfrentarse a un enemigo tan aparentemente invulnerable?  La respuesta surgida dentro de la CIA era emplear también la estructura de red internamente. Contaba el profesor Freire:

[E]xiste una lucha interna, al menos la CIA, para transformar una organización cerrada y fuertemente jerarquizada en otra estructura que siga un modelo más horizontal y colaborativo, necesario para afrontar los nuevos retos. Este nuevo modelo podría definirse como una organización con un funcionamiento open source restringido al interior de la propia institución.

Frente a la idea de más recursos y más intromisión en la vida privada, la idea que presentaba la CIA era que lo verdademente revolucionario era la manera de procesar, analizar y compartir la información que ya se tenía. Lo supimos vía Ali Soufan en su libro respecto al 11-S. En España tuvimos el caso Wanninkhof. La información ya estaba allí pero compartimentada en organizaciones públicas que compiten entre ellas y se guardan información.

Muchos años después, el Ejército de Tierra español creó una wikipedia interna, la MilipediA.  Mi experiencia es que hay mucho conocimiento relevante en las personas más insospechadas. Y dentro de las fuerzas armadas hay perfiles muy diferenciados que van desde el militar “funcionario” al militar “friki”, que te recita diálogos de películas y te señala errores de uniformidad en películas sobre la Segunda Guerra Mundial. Como apuntaba “Alcedo” en los comentarios a mi entrada de blog al respecto, sería interesante conocer los incentivos que tienen los usuarios de la MilipediA para escribir en ella y si ha terminado reproducción las dinámicas sociales de la Wikipedia.

La MilipediA es una herramienta institucional surgida desde el propio Ejército de Tierra. Hace poco se publicó la noticia de que miembros de la policía nacional y diferentes policías locales compartían información mediante Telegram haciedo hincapié en “al margen de sus jefes”. Esto es, policías de diferentes cuerpos con un vínculos informal constituyen su propia red (aquí la herramienta es lo de menos) para paliar una necesidad en su trabjo. Gonzalo Martín ha escrito al respecto en Transformación Digital, sacando lecciones aplicables a cualquier empresa o colectivo. Esta vez, frente a las iniciativas institucionales, los propios policías aprovechan sus vínculos personales para convertirlos en redes informales de intercambio de información.

Las comunicaciones distribuidas (las redes sociales que conocemos son redes distribuidas sobre una base centralizada, las reglas del dueño de la plataforma) esencialmente permiten que cualquier persona (nodo) pueda comunicar con otra sin que pueda impedirse. […]

[L]a gente es capaz de coordinarse y compartir información para resolver sus problemas de trabajo (“luchar contra la delincuencia”) sin necesidad de que un jefe dé órdenes o lo fiscalice. ¿Por qué no aprovechar toda esa energía en vez de mantenerla oculta? […]

[L]a digitalización por sí misma, se quiera o no se quiera, cuestiona la jerarquía tradicional y el rol del mando convencional, por no hablar de la estructura organizativa: las redes hacen una cosa diferente, más plana, más contributiva, más aprovechable y, creo yo, más interesante y divertida.

Hay aquí un dilema entre la creación dirigida desde arriba o el crecimiento orgánico e incontrolado desde abajo. Yo mismo pienso en los vínculos que me mantengo con la gente con la que comparto información y son una sucesión de flujos desordenados por varias vías. Creo que será interesante empezar a explorar nuevas herramientas y las posibilidades de la sistematización.

 

La importancia de leer poesía

Francisco Jiménez ha publicado un artículo en la página web del Grupo de Estudios de Seguridad Internacional bastante interesante titulado “Open Source Intelligence. Una perspectiva israelí”. Menciona una anécdota del escritor y periodista Haim Gouri que contó en una entrevista en su momento a un periódico y aparece en el libro Israel’s Silent Defender: An Inside Look at Sixty Years of Israeli Intelligence. Contó Gouri:

En diciembre de 1977 visité Egipto por primera vez con una delegación de corresponsales israelíes que fueron al Cairo después de que Sadat fuera a Jerusalén. Me encontré con el famoso pintor egipcio El-Hussein Fawzi y hablamos sobre las guerras egipcio-israelíes. Dijo que el ataque egipcio a Israel en 1948 fue un crimen histórico y entonces dijo algo que nunca olvidaré. “En la Guerra de los Seis Días nos humillásteis. Nuestras mujeres nos despreciaron y nuestros hijos se burlaron de nosotros. Si la inteligencia israelí hubiera leído la poesía escrita después del 67 hubieran sabido que la guerra de 1973 era inevitable”. Todo buen oficial de inteligencia ha de leer poesía y los nuestros no lo hicieron”.

Sobra insistir en la importancia de leer de todo y mucho junto en las posibilidades de la inteligencia de fuentes abiertas.

Guerras y guerreros de la información

La historia la cuenta Dan Verton en su libro “Black Ice: La amenaza invisible del ciberterrorismo”, que no hace mucho terminé de leer, y ya en su momento David la relató. Para el que no la conozca merece la pena volver a contarla.

Durante la campaña de bombardeos de la OTAN sobre Kosovo en 1999, al congresista estadounidense Curt Weldon le llegó una propuesta de mediación con Milošević de varios congresistas rusos. Se ofrecían a hacer de intermediarios con un personaje llamado Dragomir Karić que supuestamente era de la confianza de Milošević. ¿Quién era Karić? ¿Realmente tenía acceso Karić al círculo del poder de Milošević? Weldon se puso en contacto con George Tenet, el director de la CIA, que al día siguiente le proporcionó toda la información que la agencia disponía: Tres frases.

Weldon era miembro de un comité parlamentario que supervisaba el presupuestos militar estadounidense. En 1997 había visitado una unidad militar conocida como Information Dominance Center o Land Information Warfare Activiy. Su misión era la obtención de información a partir de las fuentes abiertas disponibles en Internet, lo que se conoce como Inteligencia de Fuentes Abiertas (OSINT). Algo que suena familiar. Weldon no tenía nada que perder al probar pidiendo un informe sobre Karic a la unidad. El resultado fue un informe de ocho páginas que revelaba vínculos cercanos entre Karic y Milošević. Los negociaciones se llevaron a cabo.

Verton cuenta en su libro que las capacidades del LIWA llamaron la atención del U. S. Special Operations Command, el mando conjunto de las fuerzes especiales de todas las ramas de las fuerzas armadas estadounidenses. El USSOCOM creó su propia versión del LIWA, conocida en clave como “Able Danger”, y pronto se puso a investigar por su cuenta las amenazas a EE.UU. que percibía. Y eso incluía a Al Qaeda, haciendo un análisis de la red terrorista. Se organizó una reunión con el jefe de la Junta de Jefes de Estado Mayor para proponerle la eliminación de cinco células concretas y clave de Al Qaeda que reducirían la capacidad de actuación de la organización. La reunión, celebrada, fue mucho más corta de lo previsto y la recomendación de actuar contra Al Qaeda no fue considerado.

El libro fue publicado originalmente en 2003 y el tema no transcendió más allá de la comparecencia de Curt Weldon ante la comisión del 11-S. Eso fue hasta el pasado mes de agosto. Anthony Shaffer, un teniente coronel de ejército de EE.UU. y antiguo miembro de la unidad OSINT del USSOCOM, salió en los medios contando cómo habían detectado a varios terroristas que habían ejecutado el 11-S.

Ed Offley cuenta en sftt.org que:

15 months before the attacks – Able Danger had scanned al Qaeda internet chat rooms, news reports, web sites and financial records, as well as government databases such as the INS visa application files, identifying four of the 9/11 participants – Atta, Marwan al-Shehhi, Khalid al-Mihdhar and Nawaf al-Hazmi – as members of an al Qaeda cell. They even obtained visa photographs of the four.

Able Danger intentó pasar la información al FBI pero los asesores legales del USSOCOM determinaron que los terroristas del 11-S al ser residentes legales en EE.UU. contaban con los mismos derechos que un ciudadano y no podían ser considerados como un “objetivo”.

La polémica se ha desatado porque hay quien duda que la unidad hubiera identificado a los terroristas del 11-S en el año 2000, a la vez que surgen más personas implicadas en el trabajo de Able Danger apoyando a Shaffer. Y otros se preguntan como es que la información no fuera manejada por la Comisión del 11-S. Algunos han bromeado con la necesidad de una “Comisión sobre la Comisión del 11-S”.

Tan dados que han sido algunos a comparar el 11-M y el 7-J (“¡cuánto sabemos ya sobre lo que pasó en Londres! ¡cuánto queda por saber sobre lo que pasó en Madrid!”) toda historia creo da bastante que pensar sobre las redes aisladas de confidentes que poseían información sobre el 11-M. La imposibilidad de juntar todas las piezas de información lo que impidió obtener el cuadro general que unía a una red de traficantes de explosivos asturianos con una célula de yihadistas en Madrid conectados con Al Qaeda. Sin embargo en En EE.UU. con más o menos fortuna se preguntan qué falló. Aquí buscamos la respuesta en el Área 51.

Notas:

* He usado como ilustraciones trabajos de Mark Lombardi. Un artista que trazaba en sus obras las redes del escándolo Irán Contra o las conexiones de George W. Bush con la familia Bin Laden, en lo que es una metáfora explícita del análisis de redes más como arte que ciencia.

* Google siempre da sorpesas.