La empresa analista de datos Gravy Analytics ha sido hackeado y la información de ubicación de millones de usuarios de iPhone y Android está en riesgo, informa TechCrunch. La empresa matriz de Gravy Analytics, Unacast, reveló la violación de datos a principios de este mes y dijo que una persona no autorizada había accedido a su entorno de almacenamiento en la nube de AWS utilizando una «clave de acceso malversada».
Se obtuvieron «algunos archivos» y los hallazgos preliminares sugieren que esos archivos «podrían contener datos personales» recopilados de usuarios de servicios de terceros que utilizan Gravy Analytics. Según 404Media, los piratas informáticos afirman tener listas de clientes y datos de ubicación de teléfonos inteligentes que muestran los movimientos precisos de las personas, lo que afecta a millones de usuarios. Algunos de esos datos, que de hecho incluyen la ubicación histórica de los teléfonos inteligentes, se han publicado en foros privados.
Unacast escribió lo siguiente en una notificación de desviación dirigida a la Autoridad Noruega de Protección de Datos:
El 4 de enero de 2025, Gravy Analytics, una filial de Unacast, descubrió que alguien tenía acceso no autorizado a su área de almacenamiento en la nube de AWS
Esta fue la nota que envió Gravy Analytics. Según una captura de pantalla publicada por los piratas informáticos, es posible que se haya robado un conjunto de datos no publicados con información sobre 146.000 dispositivos móviles noruegos. En total, se han filtrado más de 3 millones de registros de movimientos de personas en Europa.
«La persona no autorizada se hizo con determinados archivos, pero se está investigando activamente su contenido y si contenían datos personales. Gravy Analytics está informando a la Autoridad Noruega de Protección de Datos en este momento para informarles del incidente, ya que han comenzado a surgir especulaciones sobre el incidente en las redes sociales y en los medios editoriales«, escribe la empresa.
Filtrados más de 30 millones de puntos de localización
Baptiste Robert, director ejecutivo de la empresa de seguridad digital Predicta Lab, que obtuvo una copia del conjunto de datos filtrado, dijo en un hilo en X que el conjunto de datos contenía más de 30 millones de puntos de datos de ubicación. Estos incluyeron dispositivos ubicados en la Casa Blanca en Washington, DC; el Kremlin en Moscú; Ciudad del Vaticano; y bases militares en todo el mundo.
Uno de los mapas compartidos, Robert demostró que era posible identificar personas que probablemente sirvieran como personal militar superponiendo los datos de ubicación robados con las ubicaciones de instalaciones militares rusas conocidas.
This isn’t your typical data leak, it’s a national security threat.
By mapping military locations in Russia alongside the location data, I identified military personnel in seconds.
Again, this is just a "sample". pic.twitter.com/bHkmc6yROv
— Baptiste Robert (@fs0c131y) January 8, 2025
Datos de ubicación obtenidos de redes publicitarias
Así explica TechCrunch el proceso de los datos que usa Gravy Analytics:
Gravy Analytics obtiene gran parte de sus datos de ubicación de un proceso llamado oferta en tiempo real , una parte clave de la industria de la publicidad en línea que determina durante una subasta de milisegundos qué anunciante entrega su anuncio en su dispositivo.
Durante esa subasta casi instantánea, todos los anunciantes que pujan pueden ver cierta información sobre su dispositivo, como el fabricante y el tipo de modelo, sus direcciones IP (que pueden usarse para inferir la ubicación aproximada de una persona) y, en algunos casos, datos de ubicación más precisos si los otorga el usuario de la aplicación, junto con otros factores técnicos que ayudan a determinar qué anuncio se mostrará a un usuario.
Pero como subproducto de este proceso, cualquier anunciante que haga una oferta, o cualquiera que siga de cerca estas subastas, también puede acceder a ese tesoro de datos llamados «bidstream» que contienen información del dispositivo. Los intermediarios de datos, incluidos los que venden a los gobiernos, pueden combinar esa información recopilada con otros datos sobre esas personas de otras fuentes para pintar una imagen detallada de la vida y el paradero de alguien.
Gravy Analytics dice que rastrea más de mil millones de dispositivos en todo el mundo diariamente, y los investigadores de seguridad que vieron una muestra de los datos recopilados por Gravy Analytics confirmaron que la información se puede utilizar para rastrear las ubicaciones recientes de una persona, sin anonimización.
La Comisión Federal de Comercio de los Estados Unidos (FTC) prohibió a Gravy Analytics y su filial Venntel vender, revelar o utilizar datos de ubicación confidenciales en cualquier producto o servicio en diciembre de 2024. La FTC advirtió que las dos empresas expusieron a los consumidores a daños a la privacidad que podrían incluir la divulgación de información de salud, actividad política y prácticas religiosas, y pusieron a las personas en riesgo de estigma, discriminación, violencia y otros daños.
La orden requería que Gravy Analytics eliminara todos los datos históricos de ubicación y cualquier producto de datos desarrollado utilizando datos recopilados de los consumidores, pero aparentemente ya era demasiado tarde porque los sistemas de la empresa probablemente ya habían sido violados en ese momento.
Gravy Analytics recopila datos de ubicación a través de un proceso de oferta de anuncios en tiempo real que permite a las empresas que compiten por comprar un anuncio ver la dirección IP del cliente y datos de ubicación más precisos si están habilitados.
La base de datos de Gravy Analytics tenía datos de ubicación de aplicaciones de iPhone que incluyen FlightRadar, Grindr y Tinder, y aunque las aplicaciones no tenían una relación directa con el corredor de datos, la información de ubicación del usuario se recopiló a través de sus anuncios.
Cómo mejorar tu seguridad y privacidad en tu iPhone y iPad
Con el lanzamiento de iOS 15.2, Apple decidió mejorar iOS y iPadOS reforzando el control de datos que se comparten con las apps ofreciendo uninforme de privacidad de las apps. Por ello, habilitó una función importante que es recomendable para todos: Desactivar el seguimiento de aplicaciones en la sección Privacidad y Seguridad de la aplicación Configuración del iPhone evita que los anuncios puedan obtener un identificador de dispositivo único para vincular datos de ubicación a un dispositivo específico, y evitar que las aplicaciones utilicen datos de ubicación precisos también es una forma de preservar más privacidad.
Puedes revisar tu configuración para controlar el acceso a la información en las apps en el iPhone, yendo a:
- Ajustes > Privacidad y Seguridad
- Toca una categoría de información, como Calendarios, Recordatorios o “Movimiento y fitness”.
- Aparece una lista con las apps que han solicitado acceso. Puedes activar o desactivar el acceso para cualquier app de la lista.
Baptiste Robert, director ejecutivo de la empresa de seguridad Predicta Lab, dijo a TechCrunch que los datos de los usuarios de iPhone que tenían desactivado el seguimiento de aplicaciones no compartían sus datos.