Se produjo un amplio revuelo popular esta semana debido a las implicaciones de privacidad relacionadas con la noticia de que el iPhone recopila información sobre la ubicación y la almacena en un archivo en el ordenador del usuario. Sin embargo los expertos afirman que los propietarios de los teléfonos inteligentes, sin saberlo, asumen un riesgo mucho más grande con la información sobre sus lugares de destino diarios. Durante una presentación en la conferencia de seguridad informática Source Boston, Ben Jackson, de Mayhemic Labs, y Larry Pesce, un consultor de seguridad senior de NWN, describieron la forma en que las fotos tomadas por muchos teléfonos son sistemáticamente codificadas con etiquetas de latitud y longitud. Cuando los usuarios envían esas fotos en línea a través de servicios como TwitPic, a menudo exponen muchos más datos personales sin saberlo.

"Definitivamente, es cierto que la gente no entiende el riesgo", asegura Jackson.

Por ejemplo, observando la ubicación de los metadatos almacenados con las fotos publicadas a través de la cuenta anónima de un usuario de Twitter, los investigadores fueron capaces de localizar su probable domicilio. A partir de ahí, a través de referencias cruzadas con registros de la ciudad pertenecientes a esa ubicación, encontraron su nombre. Usando esa información, los investigadores encontraron su lugar de trabajo, el nombre de su mujer, e información sobre sus hijos.

Unos pocos teléfonos inteligentes, como la BlackBerry, dejan la función de geoetiquetado desactivada de forma predeterminada. En muchos dispositivos, sin embargo, las fotos son etiquetadas con esta información a menos que los usuarios entren y desactiven la función por sí mismos.

Para hacer que la gente tome conciencia de los peligros de estos datos, Jackson y Pesce han puesto en marcha un sitio llamado I Can Stalk U (Puedo Acosarte), que busca en Twitter mensajes que revelen información sobre la ubicación y crea un mapa señalando los lugares donde las imágenes fueron tomadas. "Queríamos informar a la gente de lo que realmente están enviando," señala Jackson.

Los investigadores han tenido dificultades para encontrar una forma eficaz de difundir este mensaje. Twitter les ha cerrado sus cuentas dos veces (aunque fueron capaces de llegar a reintegrarse ellos mismos), y muchos usuarios reaccionan con alarma cuando ven lo que I Can Stalk U está haciendo. Jackson y Pesce aseguran que esperan estar educando a la gente, y el sitio incluye información sobre cómo desactivar las características de ubicación, así como enlaces a organizaciones que trabajan para proteger la privacidad del usuario, tales como la Electronic Frontier Foundation.

Se publican tantas fotos con datos de localización cada día que cuando los investigadores trataron de analizar cada foto publicada en TwitPic, no pudieron seguirle el ritmo. En la actualidad su sitio descarga un promedio de 15 gigabytes de fotos por día, hace exploraciones de más de 35.000 tweets, y analiza más de 20.000 imágenes.

Johannes Ullrich, director de investigación en el SANS Institute, una organización que opera un servicio de seguridad de Internet llamado Internet Storm Center, confirma que la información de ubicación comúnmente es publicada junto a las fotos en línea. Aparte de la clase de acoso que Jackson y Pesce describen, afirma, la práctica también puede aumentar el riesgo de robo. Los sitios que permiten a los usuarios poner artículos a la venta a menudo incluyen fotografías, que los ladrones podrían utilizar para localizar los objetos.

En una conferencia de seguridad el año pasado, Gerald Friedland y Robin Sommer, investigadores del International Computer Science Institute en Berkeley, California, dieron a conocer un estudio sobre "cybercasing"—el uso de la información georeferenciada en línea para montar ataques en el mundo real. "Encontramos que la gente realmente ponía geoetiquetas sin querer", afirma Friedland. Por ejemplo, explica, encontraron casos en los que la gente había hecho un claro esfuerzo por mantener una cuenta anónima, para después poner a disposición información de ubicación clave. El problema es especialmente preocupante porque los servicios web de hoy día ofrecen potentes interfaces de programación de aplicación que podrían permitir a cualquiera que esté interesado correlacionar rápidamente información de múltiples servicios.

Friedland señala que las etiquetas geográficas no son siempre algo malo—la información puede ser útil para la personalización y otros servicios. Sin embargo, afirma, "existe una responsabilidad en términos de dejar claro qué información se da a conocer. La gente debería tener una opción".

"Los servicios deberían eliminar esta información", afirma Ullrich. Agrega que esto no es técnicamente difícil y beneficia a los propios sitios: quitar a las fotografías los metadatos evita que los atacantes utilicen esta información para poner en marcha ataques en el servidor de un sitio. Algunos sitios, como Facebook, ya lo hacen.

Independientemente de lo que decidan hacer los sitios, los usuarios deben prestar atención a las capacidades de sus dispositivos, señala Alex Levinson, director de tecnología e ingeniero jefe de Katana Forensics, una compañía que crea una aplicación capaz de analizar los datos almacenados en los iPhones, iPads, y otros dispositivos que ejecutan el sistema operativo móvil de Apple. Levinson ha estudiado la información de ubicación almacenada en estos dispositivos y actualmente está investigando cómo comparten esa información cuando los usuarios publican algo en un sitio público. "Si usted compra una pieza de tecnología, lea sobre ella", afirma. "Viene con un manual, y usted puede entender lo que el dispositivo hace respecto a la información de ubicación, y cómo se está utilizando. Si no le gusta lo que encuentra, devuelva el dispositivo".