Los espías que llegan a bases militares secretas con una aplicación para deportistas
Agentes no identificados han estado utilizando la red social Strava con tecnología GPS para espiar a miembros del ejército israelí, siguiendo sus movimientos en bases secretas de todo el país y mientras viajan por el mundo en misiones oficiales. Strava es una red social enfocada a deportistas, como ciclistas y corredores. Cuenta con millones de seguidores en todo el mundo y permite a los usuarios compartir su ruta y crear tramos específicos para que sus amigos o seguidores vean sus tiempos.
Según la investigación publicada ahora, la operación de espionaje consistió en crear “tramos de carrera” falsos dentro de las bases militares para conseguir un seguimiento del personal que hacía ejercicio allí, incluso en los supuestos de usuarios que habían activado las opciones de la aplicación que garantizan una máxima privacidad de la cuenta.
En un ejemplo visto por The Guardian, un usuario de Strava que corría en una base ultrasecreta que se cree que puede tener vínculos con el programa nuclear israelí pudo haber sido rastreado en otras bases militares y en un país extranjero.
Esta acción de espionaje ha sido descubierta por el grupo israelí de inteligencia de código abierto FakeReporter. El director ejecutivo del grupo, Achiya Schatz, dice que contactaron con las fuerzas de seguridad israelíes en cuanto tuvieron “conocimiento de este fallo de seguridad”. Después de recibir la aprobación de las fuerzas de seguridad para seguir con la investigación, FakeReporter se puso en contacto con Strava, y se formó un grupo de alto nivel para abordar el problema.
Cómo funciona
Las herramientas de seguimiento de Strava están diseñadas para permitir que cualquiera defina y compita sobre “tramos específicos”, secciones cortas de una carrera o de un paseo en bicicleta sobre las que se puede competir regularmente, como una larga subida en una ruta ciclista popular o un único circuito de un parque. Los usuarios pueden definir un tramo concreto después de cargarlo desde la aplicación Strava, pero también pueden cargar grabaciones GPS de otros productos o servicios.
Sin embargo, Strava no tiene forma de controlar si esas cargas de GPS son legítimas, y permite que cualquiera defina un tramo al subirlo, aunque no haya estado en el lugar que está siguiendo. De hecho, algunos tramos subidos son claramente generados de forma artificial, con ritmos medios de cientos de kilómetros por hora, líneas anormalmente rectas y saltos verticales instantáneos por los acantilados.
Es posible que algunas de esas carreras falsas se hayan utilizado para hacer trampas en competiciones amistosas, o para crear un tramo que sirva de guía a otros, pero todo parece indicar que algunos de estos tramos generados podrían tener un propósito más oscuro. Un usuario anónimo, cuya ubicación se indica como “Boston, Massachusetts”, creó una serie de tramos falsos en varias instalaciones militares israelíes, incluyendo dependencias de las agencias de inteligencia del país y bases de alta seguridad que se cree que tienen vínculos con el programa nuclear del país.
“Al aprovechar la capacidad de subir archivos de ingeniería, revelando los detalles de los usuarios en cualquier parte del mundo, los elementos hostiles han dado un paso alarmante para explotar una aplicación popular con el fin de dañar la seguridad de los ciudadanos y los países por igual”, dice Schatz.
La estrategia de crear tramos falsos también ha esquivado algunas de las opciones de privacidad de Strava. Los usuarios pueden configurar sus perfiles para que solo sean visibles para los “seguidores”, lo que impide que terceras personas sigan sus movimientos a lo largo del tiempo. Pero a menos que también configuren cada carrera individual para que esté protegida de forma activa, su foto de perfil, su nombre y su inicial aparecerán en los segmentos que hayan corrido, en el espíritu de la competición amistosa. Con suficientes segmentos repartidos por el mapa, los individuos pueden seguir siendo identificados. Por ejemplo, un usuario hizo un seguimiento de su participación en una carrera de la que se informó públicamente, que ganó, así como de su carrera en establecimientos militares seguros.
Un escándalo similar en 2018
En un comunicado, Strava dijo que se tomaba “muy en serio los asuntos relacionados con la privacidad” y que FakeReporter les había informado de “un problema de seguridad relacionado con una cuenta de usuario específica”. “Hemos tomado las medidas necesarias para abordar esta situación”, dijo la compañía.
“Proporcionamos información fácilmente accesible sobre cómo se comparte la información en Strava, y damos a cada atleta la posibilidad de hacer sus propias selecciones de privacidad”, explicó Strava. “Para obtener más información sobre todos nuestros controles de privacidad, visite nuestro centro de privacidad, ya que recomendamos que todos los deportistas se tomen el tiempo necesario para asegurarse de que sus selecciones en Strava reflejan la experiencia que desean”.
La noticia recuerda a un escándalo de 2018 cuando una nueva función de Strava publicó una visualización de toda la actividad en la plataforma de seguimiento de fitness en todo el mundo. El mapa de calor mostraba rutas populares de carrera, ciclismo y natación, y un anuncio de Strava destacó que podía utilizarse para detectar lugares como la ruta del triatlón Ironman en Hawái. Pero también mostraba rutas que eran menos públicas: la ubicación y el trazado de múltiples bases militares en la provincia de Helmand (Afganistán) eran claramente visibles, al igual que un lugar para nadar al aire libre junto a la base militar RAF Mount Pleasant en las Islas Malvinas. El mapa incluso registró la ruta de un ciclista solitario en el Área 51, en Nevada.
La respuesta de Strava al revuelo fue aconsejar a los usuarios militares que no participaran en su visualización, argumentando que la información se hacía pública por los usuarios que la subían. En una situación que recuerda a la vulneración de privacidad que salió ahora a la luz, algunos usuarios fueron rastreados con una precisión alarmante: una integrante del servicio de la fuerza aérea estadounidense pudo ser rastreada desde un recorrido en Yibuti, donde corrió un circuito de siete kilómetros por la pista, hasta una base aérea en Alemania donde fue destinada en 2016.
Traducción de Emma Reverter.
0