El año pasado, una investigación de los medios reveló que un corredor de datos con sede en Florida, DataStream Group, estaba vendiendo datos de ubicación altamente sensibles que rastreaban el personal militar y de inteligencia de los Estados Unidos en el extranjero. En ese momento, el origen de esos datos era desconocido.
Ahora, una carta enviada a la oficina del senador estadounidense Ron Wyden que fue obtenida por un colectivo internacional de medios de comunicación, incluidos los medios de comunicación cableados y 404, revela que la fuente definitiva de esos datos era Eskimi, una compañía AD-Tech lituana poco conocida.
El papel de Eskimi destaca la naturaleza opaca e interconectada de la industria de datos de ubicación: una compañía lituana proporcionó datos sobre el personal militar estadounidense en Alemania a un corredor de datos en Florida, que luego podría vender esos datos a esencialmente a cualquier persona.
"Existe un riesgo global de amenaza interna, de algunas compañías de publicidad desconocidas, y esas compañías esencialmente están rompiendo todos estos sistemas al abusar de su acceso y vender estos datos extremadamente sensibles a los corredores que los venden a los intereses gubernamentales y privados", dice Zach Edwards, Analista de amenazas senior de la firma de ciberseguridad Silent Push, refiriéndose ampliamente al ecosistema AD-Tech.
En diciembre, la investigación conjunta de Wired, Bayerischer Rundfunk (BR) y Netzpolitik.org analizó una muestra gratuita de datos de ubicación proporcionados por DataStream. La investigación reveló que DataStream estaba ofreciendo acceso a datos de ubicación precisos de dispositivos que probablemente pertenecen al personal militar y de inteligencia estadounidense en el extranjero, incluida las bases aéreas alemanas que se cree que almacena armas nucleares estadounidenses. DataStream es un corredor de datos en el historial de datos de ubicación, obteniendo datos de otros proveedores y luego vendiéndolo a los clientes. Su sitio web dijo anteriormente que ofrecía "datos de publicidad en Internet junto con correos electrónicos hash, cookies y datos de ubicación móvil".
Ese conjunto de datos contenía 3,6 mil millones de coordenadas de ubicación, algunas registradas en intervalos de milisegundos, desde hasta 11 millones de identificaciones publicitarias móviles en Alemania durante un período de un mes. Los datos probablemente se recopilaron a través de SDK (kits de desarrollo de software) integrados en aplicaciones móviles por desarrolladores que integran a sabiendas herramientas de seguimiento a cambio de acuerdos de intercambio de ingresos con corredores de datos.
Tras este informe, la oficina de Wyden exigió respuestas de DataStream Group sobre su papel en el tráfico de los datos de ubicación del personal militar estadounidense. En respuesta, DataStream identificó a Eskimi como su fuente, indicando que obtuvo los datos "legítimamente de un proveedor de terceros respetado, eskimi.com". Vytautas Paukstys, CEO de Eskimi, dice que "Eskimi no tiene ni ha tenido ninguna relación comercial con DataSys/DataStream Group", refiriéndose a otro nombre que DataStream ha utilizado, y que Eskimi "no es un corredor de datos".
En un correo electrónico que responde a preguntas detalladas del colectivo de informes, M. Seth Lubin, un abogado que representa DataStream Group, describió los datos como legalmente obtenidos de un tercero. Si bien Lubin reconoció a Wyden que los datos estaban destinados a su uso en publicidad digital, enfatizó al colectivo de informes que nunca se pretendió reventa. Lubin se negó a revelar la fuente de los datos, citando un acuerdo de no divulgación y desestimó el análisis del colectivo de informes como imprudente y engañoso.
El Departamento de Defensa (DOD) se negó a responder preguntas específicas relacionadas con nuestra investigación. Sin embargo, en diciembre, el portavoz del DOD, Javan Rasnake, dijo que el Pentágono es consciente de que los servicios de geolocalización podrían poner en riesgo al personal e instó a los miembros del servicio a recordar su capacitación y adherirse estrictamente a los protocolos de seguridad operativos.
En un correo electrónico, Keith Chu, asesor principal de comunicaciones y director de política adjunto de Wyden, explicó cómo su oficina ha tratado de interactuar con la Autoridad de Protección de Datos (DPA) de Eskimi y Lituania durante meses. La oficina contactó a Eskimi el 21 de noviembre y no ha recibido una respuesta, dice Chu. Luego, el personal contactó al DPA varias veces, "planteando preocupaciones sobre el impacto de seguridad nacional de una empresa lituana que vende datos de ubicación del personal militar estadounidense que sirve en el extranjero". Después de no recibir respuesta, el personal de Wyden contactó al fijación de defensa en la embajada lituana en Washington, DC.