Resum de la Guia

sobre seguretat i privacitat de les

eines de geolocalització

Resum de la Guia sobre seguretat i privacitat de les eines de geolocalització Pàgina 1 de 12

OBSERVATORI DE LA SEGURETAT DE LA INFORMACIÓ
Observatori de la Seguretat de la Informació
 Edició: Març 2011

El “Resum de la Guia sobre seguretat i privacitat de les eines de geolocalització” ha estat

elaborada per l’equip de l’Observatori de la Seguretat de la Informació d’INTECO:

Pablo Pérez San-José (direcció)

Cristina Gutiérrez Borge (coordinació)

Eduardo Álvarez Alonso

Susana de la Fuente Rodríguez

Laura García Pérez

L’Institut Nacional de Tecnologies de la Comunicació (INTECO), societat estatal adscrita al

Ministeri d'Indústria, Turisme i Comerç a través de la Secretaria d'Estat de Telecomunicacions i
per a la Societat de la Informació, és una plataforma per al desenvolupament de la Societat del
Coneixement a través de projectes de l’àmbit de la innovació i la tecnologia.

La missió d’INTECO és aportar valor i innovació als ciutadans, a les pimes, a les
Administracions Públiques i al sector de les tecnologies de la informació, a través del
desenvolupament de projectes que contribueixin a reforçar la confiança en els serveis de la
Societat de la Informació al nostre país, promovent a més una línia de participació internacional.
Per això, INTECO desenvoluparà actuacions en les següents línies: Seguretat Tecnològica,
Accessibilitat, Qualitat TIC i Formació.

L’Observatori de la Seguretat de la Informació (http://observatorio.inteco.es) s’insereix dins la

línia estratègica d’actuació d’INTECO en matèria de Seguretat Tecnològica, sent un referent
nacional i internacional al servei dels ciutadans, empreses, i administracions espanyoles per a
descriure, analitzar, assessorar i difondre la cultura de la seguretat i la confiança de la Societat
de la Informació.

Aquesta publicació pertany a l’Institut Nacional de Tecnologies de la Comunicació (INTECO) i està sota una llicència
Reconeixement-No comercial 2.5 Espanya de Creative Commons, per tant està permès copiar, distribuir i comunicar
públicament aquesta obra sota les condicions següents:
• Reconeixement: El contingut d’aquest informe es pot reproduir totalment o parcialment per tercers, citant-ne la
procedència i fent referència expressa tant a INTECO com al seu lloc web: www.inteco.es. El dit reconeixement
no podrà en cap cas suggerir que INTECO ofereix suport a dit tercer o dóna suport a l’ús que fa de la seva obra.
• Ús no comercial: El material original i els treballs derivats poden ser distribuïts, copiats i exhibits mentre no sigui
amb fins comercials.
En reutilitzar o distribuir l’obra, han de quedar ben clar els termes de la llicència d'aquesta obra. Alguna d’aquestes
condicions pot no aplicar-se si s’obté el permís d'INTECO com a titular dels drets d'autor. Cap terme en aquesta llicència
menyscaba o restringeix els drets morals d'INTECO. http://creativecommons.org/licenses/by-nc/2.5/es/
Aquest document compleix les condicions d’accessibilitat del format PDF (Portable Document Format). Es tracta d’un
document estructurat i etiquetat, proveït d’alternatives a tot element no textual, marcat d’idioma i ordre de lectura adequat.
Per ampliar informació sobre la construcció de documents PDF accessibles pot consultar la guia disponible a la secció
Accessibilitat > Formació > Manuals i Guies de la pàgina http://www.inteco.es

Resum de la Guia sobre seguretat i privacitat de les eines de geolocalització Pàgina 2 de 12

Observatori de la Seguretat de la Informació
Índex
ÍNDICE
1 INTRODUCCIÓ................................................................................ 4

2 QUÈ ÉS LA GEOLOCALITZACIÓ?................................................ 4

2.1 ASPECTES GENERALS .......................................................................... 4

2.2 TERMINOLOGIA SOBRE GEOLOCALITZACIÓ ..................................... 5

3 APLICACIONS DE GEOLOCALITZACIÓ....................................... 5

3.1 APLICACIONS EN LÍNIA ......................................................................... 6

3.2 APLICACIONS PER A DISPOSITIUS MÒBILS ....................................... 6

4 RISCOS RELACIONATS AMB LA GEOLOCALITZACIÓ.............. 7

4.1 RISCOS PER A LA PRIVACITAT ............................................................ 8

4.2 RISCOS PER A LA SEGURETAT............................................................ 8

5 RECOMANACIONS DE PRIVACITAT PER A L’ÚS DE LA

GEOLOCALITZACIÓ ...................................................................... 8

6 RECOMANACIONS DE SEGURETAT PER A L’ÚS DE LA

GEOLOCALITZACIÓ .................................................................... 10

6.1 SEGURETAT DEL SISTEMA OPERATIU.............................................. 11

6.2 PROGRAMARI DE GEOLOCALITZACIÓ.............................................. 11

6.3 COMUNICACIÓ DE XARXA................................................................... 11

6.4 SEGURETAT FÍSICA ............................................................................. 11

Resum de la Guia sobre seguretat i privacitat de les eines de geolocalització Pàgina 3 de 12

Observatori de la Seguretat de la Informació
1. Introducció
1 INTRODUCCIÓN

Es denomina “geolocalització” el conjunt de tecnologies que combinen la georeferenciació

d’elements del món real amb la informació obtinguda a través d’una connexió a Internet.

En particular, els dispositius mòbils es presten especialment a l’aplicació de les

tecnologies de geolocalització. D’una banda, s’han desenvolupat múltiples mecanismes
que permeten la localització geogràfica d’un dispositiu (bé mitjançant la tecnologia GPS 1 ,
xarxes WiFi sense fils, o les xarxes de telefonia mòbil), mentre que el desenvolupament
de la banda ampla mòbil permet la connexió permanent a Internet amb els denominats
"telèfons intel·ligents" (smartphones).

A més, és important ressenyar el vincle estret desenvolupat entre les tecnologies de

geolocalització i les xarxes socials, comunitats col·laboratives i un altre tipus de serveis
lligats al Web 2.0. Els usuaris tenen l’oportunitat d’integrar pràcticament qualsevol tipus
d’informació georeferenciada en xarxes socials populars, com per exemple Facebook o
Twitter o Tuenti, així com utilitzar noves xarxes socials dissenyades i desenvolupades
específicament sobre les tecnologies de geolocalització, com les populars Foursquare i
Gowalla, entre d’altres.

Les aplicacions de geolocalització en línia permeten, des de qualsevol dispositiu

connectat a Internet (bé es tracti d‘un dispositiu mòbil, ordinador portàtil, equip de
sobretaula, etc.), l’obtenció de tot tipus d’informació en temps real, així com la
localització d’aquesta informació en el mapa amb total precisió.

La combinació d’aquesta tecnologia amb els sistemes d’emmagatzematge en el núvol 2 , a

més, permet la sincronització automàtica d’informació entre dispositius heterogenis.

L’extensió d’aquestes tecnologies i la seva demanda, no obstant això, porta associada la

problemàtica de la naturalesa de la informació –freqüentment privada o sensible-
associada a elles. Per això, és important prendre especial consciència dels aspectes
relacionats amb la seguretat i la privacitat, de manera que sigui possible exercir un ús
responsable de les eines de geolocalització i garantir el seu ple gaudi.

1
GPS: Global Positioning System o Sistema de Posicionament Global.
2
El terme emmagatzematge en el núvol fa referència al sistema que permet als usuaris emmagatzemar tota la seva
informació, fitxers i dades en servidors de tercers, de manera que puguin ser accessibles des de qualsevol sistema amb
accés a Internet.

Resum de la Guia sobre seguretat i privacitat de les eines de geolocalització Pàgina 4 de 12

Observatori de la Seguretat de la Informació
2. Què és la geolocalització?
2 EL TERME EMMAGATZEMATGE EN EL NÚVOL FA REFERÈNCIA AL SISTEMA QUE PERMET ALS USUARIS EMMAGATZEMAR TOTA LA SEVA INFORMACIÓ, FITXERS I DADES EN SERVIDORS DE TERCERS, DE MANERA QUE PUGUIN SER ACCESSIBLES DES DE QUALSEVOL SISTEMA AMB ACCÉS A INTERNET.

2.1 ASPECTES GENERALS

Es poden distingir tres components associats a tot procés de geolocalització.

1) Un dispositiu maquinari, que actuarà com a plataforma en què es

desenvoluparà el procés de geolocalització.

2) Un programari, que executarà el procés de geolocalització segons la seva

implementació.

3) Una connexió a Internet, que actuarà com a mitjà d’obtenció i intercanvi

d’informació.

Es poden distingir tres categories d’usos comuns per a aquestes tecnologies.

1) La localització física d’un objecte o individu en un sistema de coordenades

(procés de georeferenciació), que poden realitzar-se mitjançant GPS, xarxes
Wi-Fi sense fils, xarxes mòbils, o adreces IP d’Internet.

2) La cerca d’informació i la seva localització física en un sistema de coordenades

(procés de geocodificació).

3) L’addició d’informació geogràfica a un contingut generat (procés de

geoetiquetat).

2.2 TERMINOLOGIA SOBRE GEOLOCALITZACIÓ

• Latitud i longitud. Coordenades que permeten expressar qualsevol posició en la

superfície de la Terra.

• Georeferenciació. Procés de localització en un sistema de coordenades.

• Geocodificació. Assignació de coordenades geogràfiques a un punt del mapa.

• Geocodificació inversa. Procés invers a la geocodificació.

• Geoetiquetat. Addició d’informació geogràfica a les metadades d’un fitxer.

• Geomàtica. Domini del coneixement orientat a la geolocalització.

• GPS. Sistema de Posicionament Global (Global Positioning System).

• A-GPS. GPS Assistit (Assisted GPS). Millora del sistema GPS.

• Triangulació. Mètode matemàtic per a determinar posicions en el mapa.

Resum de la Guia sobre seguretat i privacitat de les eines de geolocalització Pàgina 5 de 12

Observatori de la Seguretat de la Informació
3. Aplicacions de geolocalització
3 APLICACIONES DE GEOLOCALIZACIÓN

Dins de les aplicacions de geolocalització, podem distingir dos grups principals:

aplicacions en línia (per a qualsevol dispositiu), i aplicacions dissenyades
específicament per a ús en dispositius mòbils.

3.1 APLICACIONS EN LÍNIA

Són aquelles accessibles amb una connexió a Internet, per a qualsevol dispositiu. A
través de l’ús de les tecnologies de geolocalització, interrelacionen la informació existent
a la Xarxa, amb aquella proporcionada per l’usuari.

3.1.1 Mapes
Aplicacions destinades a la cerca
d’informació en mapes. Entre els
serveis típics d’aquest tipus
d’aplicacions es troben la cerca
d’informació i la seva geocodificació
inversa, la consulta de diferents tipus de
mapes (geogràfics, físics o guies de
carrers), el càlcul de rutes (a peu o
utilitzant vehicles) o la creació de mapes
personalitzats.

Alguns exemples: Google Maps, Google Earth, Bing Maps.

3.1.2 Imatges i geoetiquetat.

Aplicacions destinades a la geolocalització i el geoetiquetat d’imatges. Les imatges són
capturades i geoetiquetades per algun tipus de dispositiu mòbil, per incloure’s
posteriorment en una base de dades que permet la seva cerca i geocodificació com un
servei en línia.

Alguns exemples: Google Street View, Street Slide, Panoramio, Flickr Maps.

3.1.3 Xarxes socials

Aplicacions relacionades amb les xarxes socials, bé com a annex sobre xarxes socials
tradicionals, o bé com a xarxes geosocials independents.

Alguns exemples: Dopplr, Plazes, Fire Eagle.

3.2 APLICACIONS PER A DISPOSITIUS MÒBILS

Són aquelles destinades exclusivament a l’àmbit dels terminals mòbils intel·ligents

(smartphones). Estan íntimament lligades a la georeferenciació del dispositiu.

Resum de la Guia sobre seguretat i privacitat de les eines de geolocalització Pàgina 6 de 12

Observatori de la Seguretat de la Informació
3.2.1 Mapes
Aplicacions destinades a la cerca
d’informació en mapes. La posició
geogràfica de l’usuari s’utilitza com un
element rellevant en el procés de cerca
d’informació.

Alguns exemples: Google Maps, Google

Earth, MyTracks.

3.2.2 Navegació GPS

Aplicacions destinades a la utilització de sistemes de navegació pas a pas –a peu o en
vehicles- mitjançant GPS.

Alguns exemples: Tom Tom Navigator, Google Maps Navigator, CoPilot Live, Nokia
OviMapas, Waze.

3.2.3 Xarxes socials

Aplicacions relacionades amb les xarxes socials, bé com a annex sobre xarxes socials
tradicionals, o bé com a xarxes geosocials independents. Suposen l’àmbit de més difusió
dins de la geolocalització en dispositius mòbils.

Alguns exemples: Facebook Places, Twitter Places, Foursquare, Google Latitude,

Gowalla.

3.2.4 Punts d’interès

Aplicacions de localització de llocs d’interès pròxims per la seva posició geogràfica.

Alguns exemples: Bliquo, AroundMe, Buzzd, Google Places Directory.

3.2.5 Realitat augmentada

Aplicacions que permeten enriquir la visió
del món real, a partir d’informació
obtinguda mitjançant processos de
geolocalització i una connexió a Internet.

Alguns exemples: Layar, Wikitude.

Resum de la Guia sobre seguretat i privacitat de les eines de geolocalització Pàgina 7 de 12

Observatori de la Seguretat de la Informació
 Riscos relacionats amb la
4. geolocalització
4 RIESGOS RELACIONADOS CON LA GEOLOCALIZACIÓN

La pròpia naturalesa de les dades de les aplicacions de geolocalització, fa que aquestes

siguin especialment sensibles des del punt de vista de la seguretat.

4.1 RISCOS PER A LA PRIVACITAT

• Revelació de dades privades de geolocalització associades a xarxes socials.

• Àmbit de disponibilitat de les dades privades, creació de perfils comercials.

• Localització d’individus, amb risc de furt, robatori o fins i tot agressió.

• Enginyeria social i suplantació d’identitat, tant d’usuaris com coneguts.

• Tractament irresponsable de les dades privades per part de les empreses.

4.2 RISCOS PER A LA SEGURETAT

4.2.1 Riscos per a la seguretat del sistema operatiu

• Codi maliciós o malware: virus, troians, programes espia, etc.

• Fallades de seguretat (“bugs”) en el sistema, que permeten la intrusió.

• Modificació no autoritzada del sistema operatiu (“jailbreak, “rooteo”, etc.)

• Instal·lació de programes no autoritzats o verificats.

4.2.2 Riscos associats al programari de geolocalització

• Gestió incorrecta de permisos en aplicacions

• Fallades de seguretat (“bugs”) específics d’aplicacions en línia (“vulnerabilitats

web”).

4.2.3 Riscos en la comunicació de xarxa

• Intercepció de les comunicacions de xarxa (“eavesdropping”).

• Atacs en la xarxa de comunicacions (“man-in-the-middle”, “ARP poisoning”,

intrusió en xarxes sense fils, denegació de Server en xarxes mòbils, etc.).

4.2.4 Riscos per a la seguretat física

• Pèrdua o sostracció de dispositius maquinari (ordinadors, mòbils, etc.)

• Extracció de dades de dispositius maquinari (fitxers, contrasenyes, etc.

• Modificació no autoritzada del maquinari (denegació de servei, keyloggers).

Resum de la Guia sobre seguretat i privacitat de les eines de geolocalització Pàgina 8 de 12

Observatori de la Seguretat de la Informació
 Recomanacions de privacitat per a l’ús
5. de la geolocalització
5 RECOMENDACIONES DE PRIVACIDAD PARA EL USO DE LA GEOLOCALIZACIÓN

Es recomana:

• Llegir amb atenció i comprendre les clàusules de privacitat.

• En general, restringir al màxim la informació que s’ofereix de manera pública.

• Desconfiar, com a norma general, de tota persona que no sigui coneguda.

• Adequar la precisió de les publicacions sobre georeferenciació.

• Triar amb cura el grup d’usuaris que podran veure les dades privades.

• Configurar correctament els vincles entre georeferenciació i xarxes socials.

• No aportar informació que permeti deduir la posició d’un usuari.

En l’àmbit de geolocalització, el marc legal de referència comprèn diferents aspectes de

la privacitat de les dades personals.

• Dret a l’honor, a la intimitat personal i familiar i a la pròpia imatge: Article 18.1 de

la Constitució Espanyola i article 1 de la Llei Orgànica 1/1982 de Protecció Civil
del Dret a l’Honor, a la Intimitat Personal i Familiar i a la Pròpia Imatge (dit dret
serà protegir civilment davant tot gènere d’intromissions il·legítimes).

• Secret de les comunicacions: article 18.3 de la Constitució Espanyola.

• Limitació de l’ús de la informàtica per a garantir l’honor i la intimitat personal i

familiar dels ciutadans i el ple exercici dels seus drets: article 18.4 de la
Constitució Espanyola.

En la legislació espanyola, la principal llei dedicada a garantir el compliment de l’article

18.4 de la Constitució, és la Llei Orgànica 15/1999 de Protecció de Dades de Caràcter
Personal (LOPD), juntament amb el Reial Decret 1720/2007 de desenvolupament de
la Llei Orgànica de Protecció de Dades (RLOPD).

El RLOPD defineix a l’article 81 tres nivells de protecció: bàsic, mitjà i alt 3 .

• Nivell alt: ideologia, creences, religió, raça, vida sexual, salut, fins policials,
violència de gènere.

3
Informació extreta de la Guia de Seguretat de Dades-2010 de l’Agència Espanyola de Protecció de Dades, disponible en:
https://www.agpd.es/portalwebAGPD/canaldocumentacion/publicaciones/common/Guias/GUIA_SEGURIDAD_2010.pdf

Resum de la Guia sobre seguretat i privacitat de les eines de geolocalització Pàgina 9 de 12

Observatori de la Seguretat de la Informació
 • Nivell mitjà: informació laboral, fiscal, financera, de solvència, infraccions penals i
administratives, definició de personalitat i dels operadors de comunicacions
electròniques, respecte de les dades de trànsit i localització.

• Nivell bàsic: dades de caràcter personal, altres dades en una transferència

dinerària o accessoris en una operació, condició de discapacitat o invalidesa.

Partint d’aquesta classificació:

• Les dades de geolocalització, referides a persones, són de nivell bàsic. Si per

combinació o inferència defineixen la personalitat, són de nivell mitjà.

• Per a operadors de comunicacions, s’aplicaran les mesures de nivell alt.

Quan es sol·liciten les seves dades, tot ciutadà serà informat de manera precisa de:

• L’existència d’un fitxer o procés de tractament de dades, la seva finalitat, així

com identitat i adreça del responsable del tractament.

• Caràcter obligatori o optatiu de les preguntes plantejades i conseqüències

de la negativa a subministrar certes dades.

• La possibilitat d’exercir els drets d’Accés, Rectificació, Cancel·lació i

Oposició (definits en el Títol III de la LOPD), llevat de raons de seguretat
pública.

L’organisme encarregat de vetllar pel compliment de la LOPD és l’Agència Espanyola

de Protecció de Dades (AEPD). Tot fitxer –tant públic com privat- adscrit a la LOPD
haurà de ser posat en coneixement d’aquesta agència. La falta d’atenció als drets dels
ciutadans, la seva violació, la falta de col·laboració amb l’AEPD, o la falta de notificacions;
són causes que deriven en la investigació pertinent.

Qualsevol ciutadà pot dirigir una denúncia a l’AEPD:

https://www.agpd.es/portalwebAGPD/canalciudadano/denunciasciudadano.

A més, l’Agència també pot actuar d’ofici, quan es consideri oportú.

Resum de la Guia sobre seguretat i privacitat de les eines de geolocalització Pàgina 10 de 12

Observatori de la Seguretat de la Informació
6. Recomanacions de seguretat per a l’ús
de la geolocalització
6 RECOMENDACIONES DE SEGURIDAD PARA EL USO DE LA GEOLOCALIZACIÓN

6.1 SEGURETAT DEL SISTEMA OPERATIU

• Actualitzar el sistema operatiu i els programes instal·lats.

• Utilitzar un sistema de protecció de xarxa de tipus tallafocs, així com un antivirus.

• Utilitzar programari original, la procedència del qual sigui coneguda i pugui ser
certificada.

• Evitar les modificacions no autoritzades del maquinari o el programari.

• Utilitzar usuaris amb privilegis baixos en el sistema, mai administrador o root.

• En dispositius mòbils, configurar les opcions en funció de les necessitats.

6.2 PROGRAMARI DE GEOLOCALITZACIÓ

• Utilitzar aplicacions obtingudes i actualitzades a través de canals oficials.

• Tenir en compte els permisos que sol·licita una aplicació per a la seva instal·lació.

• Vigilar, en les actualitzacions, els possibles canvis en els permisos requerits.

• Establir quan i com es permet la utilització de geolocalització.

• Utilitzar complement per a la prevenció d’atacs web (com NoScript).

6.3 COMUNICACIÓ DE XARXA

• No utilitzar connexions sense xifrar per enviar informació sensible. Així mateix,
usar xarxes Wi-Fi amb xifrat WPA2 i preferir les xarxes mòbils 3G a les 2G.

• Connectar-se, en la mesura del possible, a xarxes de confiança.

• En xarxes locals, comprovar que la connexió amb la porta d’enllaç és directa.

6.4 SEGURETAT FÍSICA

• Utilitzar programes de esborrament o bloqueig remot en cas de pèrdua.

• En cas de pèrdua, sol·licitar el bloqueig del terminal mitjançant IMEI.

• En ordinadors portàtils, utilitzar cables de seguretat per al seu ancoratge.

• Utilitzar sempre contrasenyes fortes per a l’accés i la utilització de dispositius.

Resum de la Guia sobre seguretat i privacitat de les eines de geolocalització Pàgina 11 de 12

Observatori de la Seguretat de la Informació
 Web http://observatorio.inteco.es

Perfil en Scribd de l’Observatori de la Seguretat de la Informació:

http://www.scribd.com/ObservaINTECO

Canal Twitter de l’Observatori de la Seguretat de la Informació:

http://twitter.com/ObservaINTECO

Bloc de l’Observatori de la Seguretat de la Informació:

http://www.inteco.es/blog/Seguridad/Observatorio/BlogSeguridad/

observatorio@inteco.es

www.inteco.es
Resum de la Guia sobre seguretat i privacitat de les eines de geolocalització Pàgina 12 de 12
Observatori de la Seguretat de la Informació