La geolocalización fue una vez una forma gloriosa de saber con quién está tratando su empresa (y, a veces, qué están haciendo). Luego, las VPN comenzaron a socavar eso. Y ahora, las cosas han empeorado tanto que Apple App Store y Google Play ofrecen aplicaciones que declaran sin vergüenza que pueden falsificar ubicaciones, y ninguno de los proveedores de sistemas operativos móviles hace nada para detenerlo.
¿Por qué? Parece que tanto Apple como Google crearon los agujeros que usan estos desarrolladores.
En pocas palabras, Apple y Google, para probar sus aplicaciones en varias geografías, necesitaban poder engañar al sistema para que pensara que sus desarrolladores están donde quieren decir que están. Lo que es bueno para el ganso móvil, como dicen.
Los servicios de entrega de alimentos utilizan la geolocalización para rastrear a los repartidores y ver si realmente han entregado en la dirección de un cliente. Los bancos usan la ubicación para ver si el solicitante de una cuenta bancaria está realmente donde el solicitante afirma, o para ver si varias solicitudes falsas provienen de la misma área. Y AirBNB utiliza la geolocalización para tratar de detectar listados falsos y reseñas falsas, según André Ferraz, director ejecutivo de la firma de seguridad de ubicación móvil Incognia.
“Para los estafadores, además de explotar el modo desarrollador para cambiar las coordenadas GPS, muchas otras herramientas permiten la suplantación de ubicación, tanto para la geolocalización basada en IP como en la geolocalización basada en GPS”, dijo Ferraz. “Para la geolocalización basada en IP, hay VPN, proxies, tor , tunelización. Para GPS, las más accesibles son las aplicaciones de GPS falsas. Aún así, también hay herramientas de manipulación e instrumentación, dispositivos rooteados o con jailbreak, emuladores, manipulación de los datos de ubicación en movimiento y muchos otros”.
Ferraz lamentablemente tiene razón. Independientemente de cuál de estas muchas opciones opte por usar un estafador, la conclusión es que TI simplemente ya no puede confiar en la geolocalización para casi nada. Hay algunas aplicaciones en las que el riesgo de daño significativo por fraude de ubicación es tan bajo que probablemente esté bien usar la ubicación; por ejemplo, una aplicación de juegos en la que alguien finge estar en Central Park cuando no es así. Si todo lo que obtienen son puntos o acceso a un obsequio visual especial, es probable que sea inofensivo.
Confianza, aquí, es la palabra clave. Si su empresa necesita confiar en los datos de ubicación, se necesita una alternativa.
¿Se puede detectar este fraude de ubicación? Se vuelve complicado. Se pueden detectar ciertos métodos fraudulentos, pero no todos, y ciertamente no todo el tiempo. Más importante aún, la mera detección de una anomalía de geolocalización no debería por sí sola determinar positivamente el fraude.
VPN es un ejemplo maravilloso. Muchos usuarios se han acostumbrado tanto a navegar por Internet en modo VPN que lo hacen todo el tiempo. Eso significa que es posible que ni siquiera piensen en ello cuando intentan, por ejemplo, abrir una cuenta bancaria. En lugar de suponer fraude y bloquear el acceso y rechazar la aplicación, los bancos podrían ofrecer una simple advertencia emergente: “Parece que está usando una VPN. Aunque aplaudimos su intención de seguridad y privacidad, lo que parece ser una VPN está interfiriendo con nuestra detección de ubicación. Apague su VPN, cierre su navegador, reinicie su navegador y regrese”.
El problema con la detección de suplantación de identidad es que algunas empresas reaccionarán de forma exagerada y asumirán un fraude intencional. No es tan simple.
Ferraz elige no criticar ni a Google ni a Apple, ya que realmente necesitan imitar ubicaciones en todo el mundo.
“Esta función para permitir a los desarrolladores probar sus aplicaciones como si estuvieran en otro lugar fue creada a propósito por los proveedores de sistemas operativos, Android e iOS. Por tanto, no se trata de una vulnerabilidad de seguridad del sistema operativo. De lo contrario, los desarrolladores no podrían trabajar de forma remota, por ejemplo, porque tendrían que ir en persona a lugares donde la aplicación ofrece algún servicio basado en la ubicación para fines de prueba”, dijo Ferraz. “El sistema operativo incluso proporciona API para que los desarrolladores identifiquen si el dispositivo está en modo de desarrollador y ha activado la herramienta que les permite cambiar las coordenadas GPS. Desafortunadamente, muchos desarrolladores no usan esta y otras señales de dispositivos para identificar la suplantación de ubicación”.
Ferraz cita el servicio de entrega de alimentos como un ejemplo clásico de cómo algunas empresas intentan utilizar el seguimiento de ubicación, pero pueden quemarse. Hay varias formas en que los estafadores intentan estafar los servicios de entrega de alimentos; algunos aceptarán una entrega y simplemente no irán a ninguna parte. En cambio, engañan al sistema de entrega de alimentos haciéndoles creer que recogieron el pedido y luego lo entregaron.
El problema con algunos de estos servicios es que pagan instantáneamente una vez que el sistema cree que se ha entregado la comida. Si eligieran esperar, digamos una hora más o menos, podrían evitar el fraude. Esa hora deja mucho tiempo para que el cliente llame y se queje de que la comida nunca fue entregada. (A veces, la empresa de entrega de alimentos «verificará» si los alimentos se entregaron observando el seguimiento de geolocalización. ¡Vaya! No entregan y puede llamar mentiroso a un cliente.)
A veces, el fraude de entrega de alimentos no se trata de dinero, se trata de la comida en sí. Ferraz dijo que algunos conductores recogerán el pedido y se lo comerán ellos mismos, mientras engañan a la aplicación para que “vea” al conductor entregándolo al cliente.
Esto plantea la cuestión de qué debería hacer TI al respecto. Hay una gran diferencia entre «no usar geolocalización» y «no confianza geolocalización.” Es similar a cómo un periodista trata con una fuente poco confiable; no necesariamente pasar por alto lo que están diciendo, pero tú triplemente verificas todo.
Tome la autenticación de ciberseguridad, por ejemplo. Si está haciendo todo correctamente, especialmente en un entorno de confianza cero, es probable que confíe en docenas o más de puntos de datos. En ese escenario, está bien usar datos de geolocalización. Después de todo, la mayoría de esos datos probablemente estén bien. Al igual que con el ejemplo del banco, no rechace a alguien basándose únicamente en una ubicación no coincidente. Pero es perfectamente apropiado utilizar cualquier desajuste para generar más preguntas.
No hay razón por la que no pueda tener diferentes procesos; en algunos casos, se confía en la precisión de la geolocalización; en otros, es meramente suplementario; en otros, no importa tanto (posiblemente juegos). En definitiva, utiliza la geolocalización pero ya ni te plantees confiar en ella.
Derechos de autor © 2022 IDG Communications, Inc.
