Una app reveló información confidencial sobre el personal militar de EEUU

Hace menos de siete meses, un grupo de periodistas e investigadores de Internet informaron que Strava, la aplicación que hace un tracking (o seguimiento) de la actividad física, estaba revelando información altamente confidencial sobre el personal militar de Estados Unidos desplegado por todo el mundo, incluyendo Irak y Siria. La brecha de seguridad, que alarmó a los legisladores y a los funcionarios del Pentágono, provocó que los militares de este país restringieran los dispositivos inalámbricos en instalaciones militares.

Ahora, un grupo de reporteros de los Países Bajos ha encontrado otra aplicación de fitness que puede haber colocado a los militares de Estados Unidos en un riesgo aún mayor.

Hasta hace poco, una aplicación llamada Polar permitía a prácticamente cualquier persona acceder a los nombres, direcciones y actividades de miles de soldados y agentes secretos, según escribieron los reporteros de De Correspondent, un sitio web holandés de noticias y periodistas. En un artículo publicado hace unos días, los periodistas explicaron cómo pudieron obtener fácilmente la información personal de más de 6.460 militares estadounidenses y personal de seguridad, incluidas personas que trabajan en la Agencia de Seguridad Nacional y en el Servicio Secreto de Estados Unidos.

Al igual que Strava, Polar creó un mapa de actividades que mostraba las rutas exactas donde los usuarios se ejercitaban. Pero Polar también rastreó todas las sesiones de cualquier usuario individual en ese mismo mapa. Simplemente haciendo clic en el perfil de un usuario, los periodistas pudieron acceder a las rutas de ese usuario, las frecuencias cardíacas y las actividades que datan de 2014, por lo que es mucho más fácil seguir a un solo usuario en Polar que en Strava.

Capturas de pantalla proporcionadas por The Washington Post confirmaron que los periodistas pudieron rastrear el historial de usuarios estacionados en bases militares en el extranjero, incluida la Base Naval de la Bahía de Guantánamo y el Campamento Lemonnier en Djibouti, la principal base de operaciones en el Cuerno de África.

Dado que la mayoría de los usuarios tienden a activar o desactivar sus rastreadores de fitness al salir o entrar a sus hogares, el personal del gobierno de Polar no solo reveló dónde trabajaban sino que también "marcó involuntariamente sus casas en el mapa", según dijo el investigador holandés Foeke Postma en una publicación para Bellingcat.

"Strava permitió a las personas identificar sitios, pero aquí se centra en las personas que trabajan en ese sitio y donde viven", señaló Eric Vanderburg, vicepresidente de la división de consultoría de ciberseguridad en TCDI, una compañía de software. El riesgo que Polar representa para los usuarios individuales era "definitivamente más significativo".

No está claro si Polar es tan utilizado como Strava, que según los informes agrega 1 millón de usuarios nuevos cada 40 días. Dimitri Tokmetzis de De Correspondent estimó que Polar tiene más de 30 millones de usuarios y agregó que la aplicación es popular en Europa occidental, particularmente en Francia y en Estados Unidos.

Audricia Mckinney Harris, vocera del Departamento de Defensa de Estados Unidos, dijo que los funcionarios del Pentágono son conscientes de que un número "grande" de empleados del departamento usa Polar pero no saben el número exacto.

Una semana después de que los reporteros holandeses se pusieran en contacto con la empresa haciéndoles saber el resultado de sus hallazgos, la compañía finlandesa suspendió la función "Explorar" que permitía a las personas ver la información del usuario, según publicó Verge. Y el día en que los reporteros publicaron su investigación, el Ministerio de Defensa holandés anunció que prohibía la instalación de aplicaciones de fitness en teléfonos proporcionados por el gobierno, según informó el NL Times.

Harris apuntó que los funcionarios del Pentágono no han tomado medidas específicas para abordar los riesgos planteados por Polar. "Cualquier dispositivo con GPS habilitado viene con ciertos riesgos de seguridad". "Entonces, ya sea que se trata de esa marca u otra, creo que aún existe la posibilidad de un riesgo de seguridad. Eso es algo que el Departamento de Defensa siempre ha tenido en cuenta".

Luego del incidente de Strava en enero, el Departamento de Defensa anunció que revisaría las pautas para los dispositivos con GPS. Harris dijo que la revisión todavía está en progreso. Se espera que "pronto" se impulse una nueva política para los empleados del Departamento de Defensa aunque fuentes del organismo público se negaron a proporcionar un cronograma más específico.