Investigadores alemanes han conseguido comprar a través de eBay, dispositivos de uso militar utilizados para la identificación biométrica y que exponen datos personales no cifrados sobre ciudadanos de Afganistán, Oriente Medio y militares estadounidenses.
Algo que a estas alturas creo que tiene claro mucha gente, es la importancia y conveniencia de eliminar todo rastro de datos personales e información confidencial cuando se desecha un dispositivo o alguno de sus componentes. Pero, sigue exponiéndose información comprometedora de muchas personas por todo el planeta, por descuido propio o de terceros.
Retrocediendo en el tiempo.
Debemos retroceder hasta el verano del año 2021. Los talibanes arrasan Afganistán a mediados de agosto, escribiendo su final de dos décadas de guerra. Rápidamente comienzan a circular informes sobre la captura de dispositivos biométricos estadounidenses utilizados por el ejército para recopilar datos como escaneos de iris, huellas dactilares o imágenes faciales. Se temía que los dispositivos HIIDE (de las siglas en inglés de los Equipos de Detección de Identidad Interinstitucional Portátiles), pudieran usarse para ayudar a identificar a aquellos afganos que habían apoyado a las fuerzas de la coalición internacional.
El ejército de EE. UU. poseía una gran base de datos de datos biométricos (sugiriendo un informe que tenía una meta de 25 millones de registros), como parte de su esfuerzo por rastrear a terroristas en Afganistán. Una vez que Estados Unidos se retira del país, informes de The Intercept y la Agencia Reuters sugieren que los talibanes podrían haberlos usado para atacar a los aliados que quedaron atrás.
La recolección de datos biométricos se anunció como un proyecto militar pero, según distintos informes, civiles afganos que trabajaban para las embajadas de EE. UU. y el gobierno de coalición, también fueron incluidos en la base de datos. Según los informes, dichos dispositivos estaban en posesión de los talibanes.
Existe información contradictoria, sobre si los talibanes realmente pudieron acceder y emprender acciones gracias a la información que se había recopilado, basándose en el hecho de que los talibanes no tenían el equipo necesario para usar dichos datos.
El acceso a los datos biométricos que se habían recopilado, podría recaer en otros, como era la Agencia de Servicios de Inteligencia de Pakistán, Inter-Services Intelligence. Los informes locales dijeron que los talibanes habían utilizado datos biométricos del gobierno en los últimos cinco años para atacar a miembros de las fuerzas de seguridad, verificando sus huellas dactilares en “una base de datos”, lo que sólo hacía que enturbiar aún más las cosas.
La realidad.
La realidad era que uno solo de los formularios, llegaba a recopilar hasta 36 campos de datos. Según los expertos, estos dispositivos en realidad sólo brindaban acceso limitado a los datos biométricos que se almacenaban de forma remota en servidores seguros. Pero, otro informe de MIT Technology Review, mostraba que existía una mayor amenaza de las bases de datos del gobierno afgano que contenían información personal confidencial que podría usarse para identificar a millones de personas en todo el país.
El 24 de agosto de 2021, la Alta Comisionada para los Derechos Humanos de la ONU afirmaba en una reunión especial del G7 que su oficina había recibido informes fidedignos sobre “ejecuciones de civiles y combatientes de las fuerzas de seguridad nacionales afganas”.
La biometría había desempeñado un papel importante en dicha actividad desde al menos el año 2016, según las cuentas de los medios locales. En un incidente ampliamente informado de ese año, los insurgentes tendieron una emboscada a un autobús en ruta a Kunduz, tomando como rehenes a 200 pasajeros y matando finalmente a 12, incluidos soldados locales del Ejército Nacional Afgano que regresaban a su base después de visitar a su familia. Los testigos dijeron a la policía que los talibanes usaban algún tipo de escáner de huellas dactilares para verificar la identidad de las personas.
Volviendo a la actualidad.
Según un artículo publicado a finales de diciembre de 2022 por el The New York Times, un dispositivo con “forma de caja de zapatos”, diseñado para la captura de huellas dactilares y realizar escaneos de iris, salía a la venta en eBay por 149,95$. Era el SEEK II. Un investigador de ciberseguridad alemán, Matthias Marx, ofreció con éxito 68$ en la subasta de la plataforma y cuando lo recibió en su casa de Hamburgo, pudo comprobar que la robusta máquina portátil contenía más de lo que se prometía en el listado.
Sólo la tarjeta de memoria del dispositivo, contenía los nombres, nacionalidades, fotografías, huellas dactilares y escáneres de iris de al menos 2.632 personas.
El dispositivo en cuestión, era una reliquia del sistema de recopilación biométrica que el Pentágono construyó en los años posteriores a los ataques del 11 de septiembre de 2001. No está claro, cómo pudo el dispositivo pasar de los campos de batalla en Oriente Medio, a un sitio de subastas en Internet. Pero, los datos ofrecen descripciones detalladas de las personas, además de su fotografía y datos biométricos y podrían ser suficientes para señalar a personas que anteriormente no se sabía que habían colaborado con las fuerzas militares estadounidenses, en caso de que dicha información cayera en las manos equivocadas.
Marx, siguiendo su código ético, no publicó la información en la red, ni la compartió en un formato electrónico, pero para demostrarlo, permitió que un reportero del Times en Alemania, viese los datos en persona junto a él.
Durante el año pasado, Marx y un pequeño grupo de investigadores del Chaos Computer Club, una asociación europea de hackers, consiguieron comprar seis dispositivos de captura biométrica en eBay, la mayoría por menos de 200 euros, con la intención de analizarlos para encontrar vulnerabilidades o fallos de diseño, motivados por las preocupaciones planteadas anteriormente de que los talibanes se habían apoderado de tales dispositivos después de la evacuación estadounidense de Afganistán. Los investigadores quería entender si los talibanes podrían haber obtenido datos biométricos de las personas que habían ayudado a Estados Unidos a partir de los dispositivos, poniéndolos en riesgo. Su sorpresa fue mayúscula, cuando pudieron comprobar que la información no estaba cifrada y era de muy fácil acceso.
Según Stewart Baker, abogado de Washington y exfuncionario de seguridad nacional, dijo que el escaneo biométrico era una herramienta valiosa en las zonas de guerra, pero que los datos recopilados debían mantenerse bajo control. Por lo tanto, predijo que el hallazgo de los datos haría que muchas personas que ayudaron a los EE. UU. y que todavía estaban en Afganistán, se “sintieran realmente incómodas”.
De los seis dispositivos que los investigadores habían comprado en eBay, cuatro SEEK y dos HIIDE, para dotar a los equipos portátiles de detección de identidad entre agencias, dos de los dispositivos SEEK II contenían datos confidenciales. El segundo SEEK II, con metadatos de ubicación, mostraban que se usó por última vez en Jordania en 2013, conteniendo las huellas dactilares y los escaneos de iris de un pequeño grupo de miembros del servicio estadounidense.
Contactado por el Times, un estadounidense cuyo escaneo biométrico se halló en el dispositivo, confirmó que los datos “probablemente” eran suyos. Anteriormente desempeñó su labor como especialista en inteligencia de la Marina y dijo que sus datos, así como los de cualquier otro estadounidense encontrado en estos dispositivos, probablemente se “recopilaron durante un curso de entrenamiento militar”. El hombre, que declaró bajo anonimato porque todavía trabajaba en el campo de la inteligencia y no estaba autorizado para hablar en público, pidió que se eliminase su archivo biométrico.
Conclusión.
Los datos confidenciales de los dispositivos, se almacenaron en tarjetas de memoria. Si las tarjetas hubieran sido retiradas y destruidas convenientemente, estos datos no habrían quedado expuestos.
Queda demostrado que el manejo irresponsable de dicha tecnología de alto riesgo, puede llegar a ser increíble. Por lo que, resulta incomprensible que tanto al fabricante, como a los antiguos usuarios militares no les preocupe que los dispositivos usados con datos confidenciales se estén vendiendo en la red. Uno de los puntos clave que siempre debemos de plantearnos sobre los datos biométricos y por qué son tan confidenciales, es porque pueden identificarnos para siempre.
Marx presentó sus hallazgos en un evento para hackers que se produce en un hangar de Berlín periódicamente. Una vez que se completó el análisis de los dispositivos biométricos, él y sus colegas investigadores eliminaron los datos de identificación personal, algo que debían haber hecho sus responsables originarios y que debería hacer cualquier persona antes de deshacerse de un dispositivo de estas características.
Debemos tomar conciencia de que, a la hora de deshacernos de cualquier dispositivo o componente que pueda albergar datos personales, incluso de memoria volatil, deben ser eliminados convenientemente y destruido el dispositivo, evitando su recuperación posterior.
Con sólo aporrear a martillazos un disco duro, no vamos a evitar la recuperación de la información que contenga. Ni formateando el dispositivo de una pasada. Existen dispositivos en el mercado para eliminar o inutilizar eficientemente el contenido de estas unidades de almacenamiento. Procediendo lo más exhaustivamente posible, evitaremos pasar algunas noches sin dormir o tener que hacerlo entre rejas en un futuro.
¿Encontraste este artículo interesante?
Sigue a DDR en Twitter, Instagram, LinkedIn, Tiktok y Facebook o suscríbete a nuestra newsletter.
Inicié mi andadura en el mundo de la tecnología aporreando las teclas de un Spectrum ZX de 8 bits. No escarmenté y con el tiempo acabé titulándome como Técnico en Administración de Sistemas Informáticos y Redes, realizando diversos cursos sobre el apasionante mundo de las TIC, obteniendo certificaciones y experiencia en ciberseguridad. Mi adicción continúa con el paso del tiempo y sigo formándome, dedicado, apasionado por la tecnología y aporreando teclas.