Fotomontaje con una imagen del mapa con las localizaciones filtradas. Omicrono
Un hackeo deja al descubierto el domicilio de miles de personas: sacaron los datos de apps y juegos
Las muestras publicadas por los responsables no solo incluyen la posición de millones de personas, sino que involucran posiciones militares y estratégicas.
Más información: Un hacker vende la mayor filtración de la historia de Twitter: datos de 400 millones de usuarios
Los últimos años en España están siendo críticos en lo que a ciberseguridad refiere. Solo en 2024, se filtraron 2.700 millones de datos de todos los ciudadanos de Estados Unidos o Canadá, y a principios de ese mismo año, se produjo la catalogada como la mayor filtración de datos de la historia, con 26.000 millones de registros. La cosa empeora mucho más cuando entre los datos filtrados se encuentran nada menos que datos de ubicación personales. Datos que se acaban de filtrar de forma masiva por un hackeo.
Así lo revelan los medios TechCrunch y 404Media, citando a la compañía Gravy Analytics, una firma de inteligencia que gestiona, compra y vende datos de ubicación para, en sus palabras, ayudar "a las organizaciones a tomar mejores decisiones comerciales". Un ataque por parte de un hacker habría expuesto los datos de ubicación de millones de personas en todo el mundo, obtenidos por parte de apps de salud, fitness, telefonía o juegos.
Gravy Analytics habría sufrido una ingente brecha de seguridad resultante en una masiva filtración de datos precisos de ubicación. Un robo de datos perpetrado por parte de un hacker ruso que publicó capturas de pantallas e incluso una muestra de datos en foros de cibercriminales para probar su responsabilidad en el asunto. Dicha muestra (una supuesta fracción de la totalidad de los datos sustraídos) incluye por sí sola más de 30 millones de ubicaciones.
Datos de millones, revelados
Todo comienza el pasado 7 de enero de 2025, cuando 404Media informó que un hacker ruso afirmaba ser el autor del hackeo a Gravy Analytics, empresa responsable de haber vendido datos de ubicación de smartphones a entidades gubernamentales. En estos datos robados, un ciberdelincuente se jactaba de haber sustraído información confidencial, datos de localización, listas de clientes, etcétera.
En ese entonces, el atacante principal amenazó a la firma con la publicación de dichos datos, lo que causó posteriormente que publicara una gran muestra de datos para su venta a futuro y así demostrar su implicación con el ataque. Estos datos de ubicación habían sido recopilados de juegos como Candy Crush, apps de citas o aplicaciones para ejercitarse, entre otras. Los datos muestran millones de puntos de datos de ubicación que llegan a implicar a personal en la Casa Blanca, el Kremlin o el Vaticano, así como instalaciones militares.
Hackers claim to have breached Gravy Analytics, a US location data broker selling to government agencies.
— Baptiste Robert (@fs0c131y) January 8, 2025
They shared 3 samples on a Russian forum, exposing millions of location points across the US, Russia, and Europe.
It's OSINT time! 👇 pic.twitter.com/sVlEEgEFcF
Así lo revela Baptiste Robert, CEO de la empresa Predicta Lab, que ha tratado el asunto. Robert revela que en total se han publicado tres muestras de datos que han expuesto "millones de puntos de localización a lo largo de Rusia, Estados Unidos y Europa", incluyendo estas posiciones tan sensibles. Es tal la magnitud de estas muestras que ni siquiera puede mostrarlo en un mapa como Google Earth Pro.
"Visualizar una cantidad tan masiva de datos de localización no es tarea fácil", se lamenta Robert. "Google Earth Pro se cierra a los 500.000 puntos de localización, y nuestra plataforma OSINT tiene su límite en 1,5 millones. Incluso si es solo una muestra, renderizar el conjunto de datos a la vez es un verdadero reto", apostilla el directivo en su cuenta de X (antes Twitter).
This isn’t your typical data leak, it’s a national security threat.
— Baptiste Robert (@fs0c131y) January 8, 2025
By mapping military locations in Russia alongside the location data, I identified military personnel in seconds.
Again, this is just a "sample". pic.twitter.com/bHkmc6yROv
El atacante aseguró en estos foros rusos que había conseguido hacerse con varios terabytes de datos de consumidores, además de afirmar que había incluidos datos históricos de ubicación de millones de smartphone. No fue hasta el 11 de enero que la empresa matriz de Gravy Analytics, Unacast, explicó en la radio local que se había producido tal brecha de datos. La ley de Noruega (país en el que está ubicada Unacast) obliga a las empresas a notificar de estos problemas de forma pública.
En la notificación presentada por la empresa, Unacast revela que el pasado 4 de enero Gravy Analytics identificó un "acceso no autorizado a su entorno de almacenamiento en la nube AWS". Este acceso permitió a esta persona "no autorizada" a "obtener algunos documentos, pero el contenido de esos archivos o si contienen datos personales permanece bajo investigación".
Si bien la filtración ya es grave de por sí, la propia naturaleza de los datos expuestos hace que todo sea mucho peor. Los datos de localización se pueden usar básicamente para rastrear los paraderos recientes de las personas involucradas, y pueden servir para que hackers y atacantes informáticos focalicen sus estafas en base a ubicaciones concretas. A esto hay que sumarle lo que el propio Robert expone; los puntos abarcan ubicaciones tan sensibles como la Ciudad del Vaticano, bases militares, la Casa Blanca o el Kremlin.
El mismo Robert resalta que es posible identificar y rastrear personas que sirvan como personal militar; tan solo es necesario superponer los datos de ubicación robados con las ubicaciones de las instalaciones militares conocidas. "Es una amenaza de seguridad nacional", alerta el experto. "Mapeando las localizaciones militares en Rusia junto a los datos de localización, he identificado personal militar en segundos. De nuevo, esta es solo una 'muestra'".
