Se ha reportado que en el foro ruso de delitos informáticos, XSS, ciberdelincuentes declararon haber logrado vulnerar a Gravy Analytics, empresa matriz de Venntel, reconocida por suministrar grandes cantidades de datos de localización de teléfonos móviles a gobiernos y organizaciones de todo el mundo. De acuerdo con sus mensajes, Gravy Analytics tenía 24 horas para responder o comenzarían a publicar los datos extraídos, sin embargo, al momento de emitir esta alerta (8 enero de 2025), los ciberdelincuentes han detenido la publicación y la han pospuesto para el 10 de enero de 2025.

El foro XSS no es de acceso público, pero la unidad de investigación de SILIKN ha conseguido las capturas de pantalla y los datos de muestra publicados por los ciberdelincuentes.

Los ciberdelincuentes, que han advertido que planean hacer pública la información robada, incluye alrededor de 6.9 TB de datos generales de cuentas y usuarios, junto con 10 TB de historiales de actividad y patrones de uso por individuo. Entre los datos comprometidos se encuentran listas de clientes, información sobre el sector y, de manera preocupante, registros de localización obtenidos de teléfonos inteligentes que revelan movimientos precisos de las personas.

Esta publicación surge en un contexto delicado para la industria de los datos de ubicación. Durante años, diversas empresas han recolectado información de localización proveniente de teléfonos inteligentes, ya sea mediante aplicaciones comunes o a través del ecosistema publicitario y de mercadotecnia. Posteriormente, han desarrollado productos basados en esos datos o los han comercializado con terceros.

En varios foros, los ciberdelincuentes han divulgado fragmentos de los datos robados, que contienen coordenadas precisas de ubicación, tiempos de desplazamiento e incluso etiquetas como “probablemente conduciendo” (Likely_Driving) o “alta precisión” (High_Accuracy). Entre los países afectados se encuentra México, donde, según las evidencias presentadas, se habrían comprometido los datos de 40,707,575 teléfonos celulares distribuidos en todos los estados de la república.

Las muestras de datos filtradas por los ciberdelincuentes incluyen lo que parece ser el historial de ubicaciones de los teléfonos inteligentes. Los archivos contienen coordenadas exactas de latitud y longitud, junto con la hora en que el teléfono estuvo en esa ubicación. Algunas capturas de pantalla revelan los países de origen de los datos, y una lista ordenada alfabéticamente menciona a México, entre otros muchos países.

Los ciberdelincuentes aseguran haber accedido a la infraestructura de Gravy Analytics desde el año 2018. Las pruebas presentadas, incluyendo capturas de pantalla, evidencian un acceso total a los servidores, dominios y al almacenamiento en Amazon S3 de la compañía. Además, se señala que los servidores comprometidos operan con Ubuntu, subrayando la gravedad de la brecha de seguridad.

Cabe señalar que un ataque a un intermediario de datos de ubicación como Gravy Analytics representa el escenario que defensores de la privacidad han advertido durante años. Las posibles consecuencias para las personas son alarmantes, especialmente si los datos de ubicación de usuarios mexicanos, así como de otros países, terminan siendo comercializados en mercados clandestinos. Esto podría generar graves riesgos de desanonimización y problemas de seguimiento para individuos y organizaciones en situaciones de alto riesgo.

Durante años, estos datos han sido vendidos a intereses corporativos y gubernamentales, pero nunca habían estado tan accesibles para todos los cibercriminales. Este tipo de información se ha utilizado para rastrear instalaciones gubernamentales sensibles, infraestructura crítica y lugares que podrían revelar aspectos protegidos de las personas. Incluso, estos datos podrían permitir a un atacante identificar la escuela a la que asisten los hijos de una persona, su lugar de trabajo y sus actividades en su tiempo libre.

Para proteger su privacidad frente a la filtración y comercialización de datos de ubicación, se recomienda a los usuarios desactivar el rastreo de ubicación en sus dispositivos cuando no sea necesario, revisar los permisos de las aplicaciones, usar redes VPN para ocultar su ubicación y eliminar regularmente el historial de ubicación. Además, es recomendable evitar aplicaciones que recopilen grandes volúmenes de datos sensibles, mantener actualizado el software de seguridad y estar al tanto de los riesgos asociados al compartir su ubicación.

–Víctor Ruiz, fundador de SILIKN.