Un hackeo y una brecha de datos en el corredor de datos de ubicación Gravy Analytics está amenazando la privacidad de millones de personas en todo el mundo cuyas aplicaciones de teléfonos inteligentes revelaron sin saberlo sus datos de ubicación recopilados por el gigante de datos.
La escala completa de la brecha de datos aún no se conoce, pero el presunto hacker ya ha publicado una gran muestra de datos de ubicación de las principales aplicaciones de teléfonos de consumidores, incluidas aplicaciones de salud, citas y tránsito, así como juegos populares. Los datos representan decenas de millones de puntos de datos de ubicación de dónde han estado, viven, trabajan y viajan las personas.
La noticia de la brecha se conoció el fin de semana pasado después de que un hacker publicara capturas de pantalla de datos de ubicación en un foro de ciberdelincuencia en ruso de acceso restringido, afirmando que había robado varios terabytes de datos de consumidores de Gravy Analytics. El medio de comunicación independiente 404 Media informó primero sobre la publicación en el foro que alegaba la aparente brecha, que afirmaba incluir los datos de ubicación históricos de millones de teléfonos inteligentes.
La cadena noruega NRK informó el 11 de enero que Unacast, la empresa matriz de Gravy Analytics, reveló la brecha a las autoridades de protección de datos del país según lo requerido por la ley.
Unacast, fundada en Noruega en 2004, se fusionó con Gravy Analytics en 2023 para crear lo que en ese momento promocionaba como una de las mayores colecciones de datos de ubicación de consumidores. Gravy Analytics afirma seguir más de mil millones de dispositivos en todo el mundo diariamente.
En su aviso de brecha de datos presentado en Noruega, Unacast dijo que identificó el 4 de enero que un hacker adquirió archivos de su entorno en la nube de Amazon a través de una "clave apropiada". Unacast dijo que se enteró de la brecha a través de la comunicación con el hacker, pero la empresa no dio más detalles. La empresa dijo que sus operaciones se desconectaron brevemente después de la brecha.
Unacast dijo en el aviso que también notificó a las autoridades de protección de datos del Reino Unido sobre la brecha. Lucy Milburn, una portavoz de la Oficina del Comisionado de Información del Reino Unido, confirmó a TechCrunch que la ICO ha "recibido un informe de Gravy Analytics y está realizando investigaciones".
Los ejecutivos de Unacast, Jeff White y Thomas Walle, no devolvieron múltiples correos electrónicos de TechCrunch esta semana solicitando comentarios. En una declaración no atribuida de una cuenta de correo electrónico genérica de Gravy Analytics enviada a TechCrunch el domingo, Unacast reconoció la brecha, diciendo que su 'investigación sigue en curso'.
El sitio web de Gravy Analytics aún estaba inactivo en el momento de la redacción. Varios otros dominios asociados con Gravy Analytics también parecían no estar funcionales, según comprobaciones realizadas por TechCrunch en la semana pasada.
30 millones de puntos de datos de ubicación filtrados hasta ahora
Los defensores de la privacidad de datos han advertido durante mucho tiempo sobre los riesgos que los corredores de datos representan para la privacidad individual y la seguridad nacional. Los investigadores con acceso a la muestra de datos de ubicación de Gravy Analytics publicada por el hacker dicen que la información se puede utilizar para rastrear extensamente los lugares recientes de las personas.
Baptiste Robert, el CEO de la firma de seguridad digital Predicta Lab que obtuvo una copia del conjunto de datos filtrado, dijo en un hilo en X que el conjunto de datos contenía más de 30 millones de puntos de datos de ubicación. Estos incluían dispositivos ubicados en la Casa Blanca en Washington, D.C .; el Kremlin en Moscú; Ciudad del Vaticano; y bases militares de todo el mundo. Uno de los mapas compartidos por Robert mostraba los datos de ubicación de usuarios de Tinder en todo el Reino Unido. En otra publicación, Robert demostró que era posible identificar a individuos que probablemente sirven como personal militar al superponer los datos de ubicación robados con las ubicaciones de instalaciones militares rusas conocidas.
Robert advirtió que los datos también permiten la desanominización fácil de los individuos comunes; en un ejemplo, los datos rastrearon a una persona mientras viajaba desde Nueva York a su hogar en Tennessee. Forbes informó sobre los peligros que el conjunto de datos tiene para los usuarios LGBTQ+, cuyos datos de ubicación derivados de ciertas aplicaciones podrían identificarlos en países que criminalizan la homosexualidad.
La noticia de la brecha llega semanas después de que la Comisión Federal de Comercio prohibiera a Gravy Analytics y su filial Venntel, que proporciona datos de ubicación a agencias gubernamentales y fuerzas del orden, recopilar y vender los datos de ubicación de los estadounidenses sin el consentimiento de los consumidores. La FTC acusó a la empresa de rastrear ilegalmente a millones de personas en lugares sensibles, como clínicas de salud y bases militares.
Datos de ubicación extraídos de redes publicitarias
Gravy Analytics obtiene gran parte de sus datos de ubicación de un proceso llamado subasta en tiempo real, una parte clave de la industria de la publicidad en línea que determina durante una subasta de milisegundos qué anunciante puede enviar su anuncio a su dispositivo.
Durante esa subasta casi instantánea, todos los anunciantes que hacen una oferta pueden ver cierta información sobre su dispositivo, como el fabricante y el tipo de modelo, sus direcciones IP (que se pueden usar para inferir la ubicación aproximada de una persona) y, en algunos casos, datos de ubicación más precisos si el usuario de la aplicación lo permite, junto con otros factores técnicos que ayudan a determinar qué anuncio se mostrará a un usuario.
Pero como subproducto de este proceso, cualquier anunciante que haga una oferta, o cualquier persona que monitoree de cerca estas subastas, también puede acceder a esa gran cantidad de datos llamados 'bidstream' que contienen información del dispositivo. Los corredores de datos, incluidos los que venden a gobiernos, pueden combinar esa información recopilada con otros datos sobre esas personas de otras fuentes para pintar un cuadro detallado de la vida y la ubicación de alguien.
Los análisis de los datos de ubicación realizados por los investigadores de seguridad, incluido Robert de Predicta Lab, revelan miles de aplicaciones que muestran anuncios y que han compartido, a menudo sin saberlo, datos de bidstream con corredores de datos.
El conjunto de datos contiene datos derivados de aplicaciones populares de Android e iPhone, incluidas FlightRadar, Grindr y Tinder, todas las cuales han negado cualquier vínculo comercial directo con Gravy Analytics pero han reconocido mostrar anuncios. Pero por la naturaleza de cómo funciona la industria publicitaria, es posible que las aplicaciones que sirven anuncios recopilen datos de sus usuarios, y al mismo tiempo no sepan explícitamente sobre eso o no lo aprueben.
Como señaló 404 Media, no está claro cómo Gravy Analytics obtuvo su gran cantidad de datos de ubicación, como si la empresa recopiló los datos por sí misma o de otros corredores de datos. 404 Media encontró que grandes cantidades de los datos de ubicación se infirieron de la dirección IP del propietario del dispositivo, que se geolocalizaba para aproximar su ubicación del mundo real, en lugar de depender de que el propietario del dispositivo permita que la aplicación acceda a las coordenadas GPS precisas del dispositivo.
Qué puedes hacer para prevenir la vigilancia publicitaria
Según el grupo de derechos digitales Electronic Frontier Foundation, las subastas de anuncios ocurren en casi todos los sitios web, pero hay medidas que puedes tomar para protegerte de la vigilancia publicitaria.
Usar un bloqueador de anuncios, o un bloqueador de contenido a nivel de dispositivo móvil, puede ser una defensa efectiva contra la vigilancia publicitaria al bloquear el código publicitario que carga en los sitios web en el navegador del usuario.
Los dispositivos Android e iPhones también incorporan funciones a nivel de dispositivo que dificultan que los anunciantes te rastreen entre aplicaciones o en la web, y vinculen tus datos pseudónimos del dispositivo con tu identidad real. La EFF también tiene una guía útil sobre cómo verificar estos ajustes de dispositivo.
Si tienes un dispositivo Apple, puedes ir a las opciones de 'Rastreo' en tus Ajustes y desactivar el ajuste para que las aplicaciones soliciten rastrear. Esto pone en cero el identificador único de tu dispositivo, haciéndolo indistinguible de los demás.
'Si desactivas el rastreo de la aplicación, tus datos no se han compartido', dijo Robert a TechCrunch.
Los usuarios de Android deben ir a la sección 'Privacidad' y luego 'Anuncios' en la configuración de sus teléfonos. Si la opción está disponible, puedes borrar tu ID de publicidad para evitar que cualquier aplicación en tu teléfono acceda al identificador único de tu dispositivo en el futuro. Aquellos sin esta configuración aún deben restablecer regularmente sus IDs de publicidad.
Evitar que las aplicaciones accedan a tu ubicación precisa cuando no sea necesario también ayudará a reducir tu huella de datos.
Actualizado con el comentario de la ICO. Contacta a Zack Whittaker de forma segura en Signal y WhatsApp en +1 646-755-8849. También puedes compartir documentos de forma segura con TechCrunch a través de SecureDrop.
