• El foro de relojes de habla hispana con más tráfico de la Red, donde un reloj es algo más que un objeto que da la hora. Relojes Especiales es el punto de referencia para hablar de relojes de todas las marcas, desde Rolex hasta Seiko, alta relojería, relojes de pulsera y de bolsillo, relojería gruesa y vintages, pero también de estilográficas. Además, disponemos de un foro de compraventa donde podrás encontrar el reloj que buscas al mejor precio. Para poder participar tendrás que registrarte.

    IMPORTANTE: Asegúrate de que tu dirección de email no está en la lista Robinson (no publi), porque si lo está no podremos validar tu alta.

Octubre mes de la Ciberseguridad - Día 6: Verifica los permisos de tus aplicaciones móviles

  • Iniciador del hilo Iniciador del hilo jorgesdb
  • Fecha de inicio Fecha de inicio
jorgesdb

jorgesdb

Forer@ Senior
Contribuidor de RE
Verificad@ con 2FA
Tu teléfono sabe más de ti que nadie: dónde estás, con quién hablas, qué compras, qué escribes y hasta cuánto caminas o vas en un vehículo.

Cada vez que instalas una app y aceptas permisos sin revisar, le das acceso a partes sensibles de tu vida digital.

¿Por qué importa revisar los permisos?​

Las aplicaciones deben pedir permiso para acceder a sensores y datos (ubicación, cámara, micrófono, contactos…).

Pero muchos desarrolladores abusan de esto: piden más de lo necesario, ya sea por negligencia o para recopilar información comercial.

Casos reales de abuso de permisos​

  1. TikTok y acceso a portapapeles (2020)
    En iOS 14 se descubrió que la app de TikTok leía el contenido del portapapeles constantemente, incluso sin que el usuario lo pegara. Esto podía exponer contraseñas o datos copiados de otras apps. Apple obligó a corregirlo tras la alerta de privacidad.
  2. Aplicaciones de linterna
    Durante años, apps de linterna en Android pedían permisos para acceder a contactos, ubicación o almacenamiento. Algunas incluso recopilaban datos personales para venderlos a terceros. Hoy la linterna ya viene integrada: no necesitas una app extra.
  3. Facebook y acceso constante a ubicación (2018–2020)
    Aunque el usuario desactivara el rastreo, Facebook seguía recopilando datos de ubicación mediante conexiones Wi-Fi y metadatos. Tras investigaciones y multas, se añadieron más controles, pero el precedente mostró hasta qué punto las apps pueden rastrear sin consentimiento explícito. No importa cuando leas esto, si sigue existiendo Facebook, estarán buscando la manera de obtener más datos sobre ti de los que te gustaría.
  4. Juegos gratuitos con kits de desarrollo publicitarios
    Algunos juegos para niños recopilan datos como identificadores del dispositivo y ubicación para publicidad segmentada, violando el RGPD (Reglamento General de Protección de Datos) en Europa.

Permisos especialmente sensibles


PermisoRiesgo si se abusaRecomendación
UbicaciónPermite rastrear tus movimientosConceder solo “mientras se usa la app”
MicrófonoEscuchar conversaciones o grabar sin avisoSolo para apps de llamadas o grabación
CámaraTomar fotos o vídeo sin tu permisoSolo para apps que realmente la necesiten
Archivos / almacenamientoAcceso a fotos, documentos, contraseñas guardadasUsa opciones de acceso limitado
ContactosPermite construir perfiles socialesEvitar salvo apps de mensajería
Sensores (Bluetooth, acelerómetro)Permite rastreo indirecto o identificaciónDesactivar si no es necesario

Cómo revisar permisos en tu móvil​

Android​

  1. Ve a Configuración → Privacidad → Gestor de permisos.
  2. Revisa categoría por categoría (micrófono, cámara, ubicación...).
  3. Cambia a “Solo mientras se usa la app” o “No permitir”.
  4. Activa notificaciones de acceso reciente: Android mostrará si una app usa cámara o micrófono en segundo plano.
💡 También puedes ver qué apps no usas hace tiempo y revocar permisos automáticamente.

iOS/iPadOS​

  1. Ve a Ajustes → Privacidad y seguridad.
  2. Revisa cada permiso: “Ubicación”, “Fotos”, “Micrófono”, “Cámara”…
  3. Activa la opción “Informe de privacidad de las apps” para ver qué datos usan realmente.
  4. Usa Indicadores de acceso: iOS muestra un punto naranja o verde cuando el micrófono o cámara están activos.

Buenas prácticas adicionales​

  • No instales apps fuera de las tiendas oficiales (Google Play, App Store, F-Droid si es de código abierto).
  • Desinstala apps que no uses: cada app extra es una posible brecha de seguridad.
  • Desconfía de apps “milagrosas” gratuitas (por ejemplo, “mejora tu batería”, “limpia tu teléfono”). Suelen ser adware o spyware.
  • Prefiere apps de código abierto o europeas: suelen cumplir mejor con el RGPD y transparencia de datos.
  • Usa perfiles separados (en Android puedes crear perfiles de trabajo o secundarios).

Caso práctico​

Imagina que instalas una app para escanear documentos y esta te pide:
  • Acceso a contactos.
  • Acceso a ubicación.
  • Acceso total a almacenamiento.
Red flag total: ninguna de esas funciones es necesaria para escanear.
Usa alternativas confiables con código abierto como Open Note Scanner o Simple Scan, que solo piden acceso a la cámara.

Strava y el mapa de calor con bases militares secretas.​

En 2018 Strava publicó su Global Heatmap, una visualización agregada con miles de millones de puntos de actividad (carreras, rutas en bici, etc.). Aunque la intención era mostrar dónde la gente hacía deporte, el mapa dejó patrones de calor muy nítidos en zonas poco pobladas —y entre ellas aparecieron rutas y puntos que coincidían con bases militares y puestos avanzados. Al superponer el mapa con imágenes satélite o mapas base, analistas y periodistas identificaron instalaciones, patrullas y recorridos que antes no estaban tan visibles públicamente.

Cómo sucedió (mecánica resumida):

  • Strava creó la visualización a partir de datos GPS publicados por usuarios (muchos deportistas dejan sus actividades como "públicas").
  • En áreas con personal militar activo (soldados que usan relojes/GPS y suben actividades), los segmentos y rutas repetidas generan “zonas calientes” en el heatmap que delatan la presencia humana y sus recorridos. Con suficiente densidad se pueden inferir entradas, perímetros y patrullas.
  • Investigadores y aficionados (incluyendo estudiantes y analistas abiertos) cruzaron el heatmap con mapas satélite para localizar puntos concretos —por ejemplo, pistas de entrenamiento, recorridos dentro de bases, o puestos en zonas remotas— sin necesidad de acceder a datos personales.
Impacto y ejemplos:

  • El descubrimiento llevó a que gobiernos y ejércitos revisaran las políticas de uso de rastreadores y wearablespor parte del personal desplegado, y a que Strava sugiriera a usuarios militares revisar sus opciones de privacidad.
  • Desde entonces han surgido nuevos informes que muestran cómo esta clase de datos puede identificar individuos o unidades en contextos sensibles; investigaciones recientes han vuelto a encontrar casos donde tropas o personal en bases quedaron localizables por actividades públicas en apps de fitness.

¿Por qué los mapas agregados se pueden desanonimizar?​

Aunque un heatmap muestre datos agregados, la geolocalización repetida (muchas actividades coincidentes en un punto) convierte la agregación en un patrón identificable.

Además, pequeñas pistas (horarios, direcciones de salida, rutas recurrentes) permiten inferir quién o qué está detrás de esa actividad. Investigaciones académicas han demostrado que es posible desanonimizar conjuntos de datos geoespaciales aparentemente anónimos usando simples cruces con otras fuentes.
 
  • Me encanta
  • Me gusta
Reacciones: AbderramanII, Goldoff, Albasit y 4 más
Gracias compañero es una información muy útil.
 
  • Me gusta
Reacciones: jorgesdb
Muy útil e interesante. Pa' cagarse
 
  • Me gusta
Reacciones: jorgesdb
itsmemario dijo:
Muy útil e interesante. Pa' cagarse
Haz clic para expandir...
Estoy usando contenido de mis charlas que está bastante suavizado y adaptado para un público no técnico.

Pretendo no parecerme al de este meme, pero a veces es complicado viendo el mundo como yo lo veo y conociendo a la gente que conozco.

Hay un montón de cosas inseguras, desde las habitaciones de hotel que se abren con una tarjeta contactless, puertas de garaje que en pocos segundos se abre, ataques a televisores inteligentes a través del bluetooth (que habitualmente no tienen opción para desactivarlo) o de la misma señal TDT, coches conectados que se pueden abrir en remoto, hospitales con dispositivos sensibles como bombas infusoras conectadas por Wi-Fi inseguro...

Y es un pequeño ejemplo, si sabes donde buscar puedes encontrar de todo conectado a Internet, no solo webcams o sistemas domóticos, también gasolineras, sistemas de alimentación de granjas, presas de agua, plantas potabilizadoras.

Afortunadamente pasan muy pocas cosas 😂

IMG_6355.webp
 
  • Me gusta
Reacciones: Goldoff y itsmemario

Hilos similares

jorgesdb
Octubre mes de la Ciberseguridad - Día 1: Crea y protege tus contraseñas de forma segura
Respuestas
4
Visitas
134
jorgesdb
jorgesdb
jorgesdb
Octubre mes de la Ciberseguridad - Día 5: Haz copias de seguridad periódicas
Respuestas
2
Visitas
122
jorgesdb
jorgesdb
jorgesdb
Octubre mes de la Ciberseguridad - Día 3: Mantén tus dispositivos y programas actualizados
Respuestas
0
Visitas
90
jorgesdb
jorgesdb
jorgesdb
Octubre mes de la Ciberseguridad - Día 4: No uses Wi-Fi público sin protección
Respuestas
1
Visitas
105
ricardomor55
ricardomor55
jorgesdb
Octubre mes de la Ciberseguridad - Día 2: Desconfía de correos y mensajes sospechosos
Respuestas
0
Visitas
95
jorgesdb
jorgesdb
Atrás
Arriba Pie