Untapped, una aplicación de consumo social está filtrando la ubicación del ejército de E.U.

De nueva cuenta, los miembros del Ejército de E.U. se ven afectados por una falla de seguridad. En esta ocasión, el incidente se relaciona con Untappd, una app para compartir fotos de cervezas y registrar visitas a bares. Un grupo de investigadores empleó datos de acceso público en la app para encontrar la identidad de los usuarios. Esta investigación no requirió ningún tipo de hacking, por lo que se considera un error serio de los desarrolladores.

Los expertos de Bellingcat, autodeterminados como un colectivo de investigadores y periodistas independientes, pudieron determinar dónde viven, dónde trabajan y a dónde van a beber cerveza múltiples usuarios de Untappd, descubriendo además que muchos son miembros del Ejército de E.U. Los investigadores encontraron fotos de identificaciones militares, documentos y equipos completamente expuestos.

Esta no es la primera vez en la que una app expone demasiada información de forma no intencional. Anteriormente, los investigadores descubrieron que Strava, app de seguimiento de rutas para ciclistas, también representaba un riesgo de seguridad para sus usuarios. En el caso de Untappd, se invita a los usuarios a registrarse en varios lugares, realizar un registro de las cervezas que han probado y compartir su experiencia con otros entusiastas de las bebidas alcohólicas.

Aunque esta parece una actividad inofensiva, la investigación demuestra un escenario de riesgo: “Empleando estos datos pudimos rastrear la identidad de un piloto de drones, además de una lista de las bases militares que visitó recientemente. También encontramos a un oficial naval que visitó varias veces las instalaciones del Pentágono, así como un oficial de inteligencia”. Acorde al reporte, esto se logra realizando referencias cruzadas de los registros en Untappd con otras plataformas, algo muy fácil para cualquiera con los conocimientos necesarios.   

Dicho de otro modo, cualquier actor de amenazas podría comprometer la privacidad de los usuarios de Untappd debido a la forma en la que la aplicación administra los datos de acceso público, lo que podría conducir a escenarios desastrosos. La compañía fue cuestionada al respecto, pero no se ha pronunciado de forma oficial hasta ahora.

Si bien esta es una situación indeseable, los expertos señalan que sería inexacto afirmar que esto sucede debido a prácticas maliciosas de la compañía. Al analizar Untappd, los investigadores concluyeron que la app funciona tal como espera la compañía desarrolladora; la cuestión es que los usuarios también han contribuido, publicando fotos de aviones de combate o equipo militar, haciendo más fácil la labor de identificación realizada en esta investigación.

Una forma de mitigar esta clase de riesgos es considerar qué tan necesario es que los usuarios registren su ubicación en plataformas en línea, pues en ocasiones esta información es lo único que requieren los hackers para comenzar un ataque. Inhabilitar el GPS de los dispositivos móviles cuando no sea necesario es una buena medida para limitar estas actividades.