Datos de vigilancia que sacuden las ideas previas sobre el rastreo de ubicación

 (lighthousereports.com)
2 puntos por GN⁺ 2025-10-15 | 2 comentarios | Compartir por WhatsApp
  • Una poco conocida empresa de tecnología de vigilancia llamada First Wap vendió a compañías privadas y otros clientes el potente software Altamides, capaz de rastrear la ubicación de personas en todo el mundo
  • Lighthouse Reports y periodistas de medios asociados analizaron un archivo de más de 1.5 millones de registros y revelaron que políticos, empresarios y personas comunes fueron blanco de vigilancia ilegal
  • La industria de la vigilancia afirmaba que estas herramientas solo se usaban para investigaciones criminales, pero salió a la luz que en la práctica también se toleran usos privados y con fines poco éticos fuera del gobierno
  • First Wap construyó un sistema global de rastreo aprovechando fallas de seguridad del antiguo protocolo de telecomunicaciones SS7, y luego lo amplió con funciones de intercepción de llamadas y hackeo de mensajeros cifrados
  • A través de un reportaje encubierto, se detectaron indicios de que la dirección de la empresa seguía discutiendo operaciones aunque conocía los riesgos vinculados a ventas indirectas para evadir sanciones

La cara real del negocio de la vigilancia: el rastreo de Altamides y su escala internacional

Lo que quedó expuesto en Praga sobre la industria de la vigilancia

  • En junio de 2024, durante ISS World, una feria de tecnología de vigilancia realizada en secreto, el ejecutivo comercial de First Wap, Günther Rudolph, mencionó que “podría ir a la cárcel por intermediar la operación” mientras discutía la venta del software de rastreo Altamides a una empresa privada de minería
  • La contraparte de esa negociación era una empresa propiedad de una persona sancionada que buscaba vigilar a activistas ambientales, y Rudolph dio a entender una capacidad tecnológica exclusiva al decir: “solo nosotros podemos hacerlo”
  • Pero la contraparte era en realidad un periodista infiltrado de Lighthouse Reports

Un enorme archivo de rastreo de ubicación y una investigación periodística internacional

  • El punto de partida fue el análisis de un archivo con más de 1.5 millones de datos de rastreo de ubicación hallado por un periodista de Lighthouse en la deep web
  • Participaron 14 medios y más de 70 periodistas, que identificaron a los dueños de números telefónicos y clasificaron grupos objetivo (clústeres) para reconstruir el alcance del sistema
  • En los datos aparecían personas de 160 países, incluidos altos políticos en funciones y retirados, empresarios y ciudadanos comunes
  • Ejemplos: el ex primer ministro de Qatar, la esposa del ex presidente sirio Bashar al-Assad, un productor de Netflix, el fundador de Blackwater, la fundadora de 23andMe y ejecutivos de Red Bull, entre muchas otras personas rastreadas
  • Durante el análisis de datos y la investigación, periodistas de distintos países siguieron y verificaron indicios de vigilancia y víctimas adicionales dentro de sus propios territorios

La postura de First Wap y la autodefensa de la industria

  • First Wap sostuvo que “no tiene relación con actividades ilegales ni violaciones de derechos humanos” y evitó comentarios específicos porque el asunto podría exponer la identidad de clientes
  • También insistió en la postura general de que, una vez instalado el sistema, no interviene en su uso y que las fuerzas del orden lo emplean para combatir “crimen organizado, terrorismo y corrupción”
  • Toda la industria de la vigilancia mantuvo el relato de que sus productos solo se usan contra el terrorismo y el crimen, pero esta investigación mostró una realidad donde se toleran usos gubernamentales y no gubernamentales, tanto comerciales como privados

Software de vigilancia sin fronteras: una realidad en la que cualquiera puede ser víctima

Casos reales de víctimas de Altamides

  • En 2012, “Sophia” (seudónimo), que estaba de vacaciones en una playa de Goa, India, fue rastreada por un hombre con una obsesión personal usando un sistema de vigilancia de nivel estatal
  • Como en ese caso, Altamides se expandió también fuera del gobierno hacia actores privados (acosadores, empresas, etc.), y entre las víctimas registradas hubo personas comunes como docentes, terapeutas y tatuadores

Canales de distribución y expansión del software

  • First Wap vendió el software en todo el mundo a través de una red de distribuidores intermediarios
  • La firma británica de consultoría e investigación KCS Group intentó vender Altamides a gobiernos del norte de África y Asia, y documentos revelaron intentos de aprovechar la inestabilidad política (Primavera Árabe) como oportunidad comercial
  • KCS declaró oficialmente que “no participó en la venta ni en el uso de herramientas de vigilancia poco éticas”

El pionero silencioso que dominó la industria

Origen técnico y crecimiento de Altamides

  • Josef Fuchs, ex Siemens, descubrió a inicios de los 2000 las vulnerabilidades de SS7 en las redes globales de telecomunicaciones y, a partir de eso, cambió el rumbo del negocio de First Wap de marketing por mensajes de texto → software de rastreo de celulares
  • Desde la era de los feature phones de BlackBerry y Nokia, logró implementar un sistema capaz de ubicar a alguien en cualquier parte del mundo con solo ingresar un número telefónico
  • Después amplió las funciones con intercepción de SMS, escuchas de llamadas y hackeo de mensajeros cifrados como WhatsApp

Dominio del mercado global y gestión en las sombras

  • Durante más de 20 años, First Wap construyó en silencio un imperio global de vigilancia sin fronteras ni restricciones legales efectivas, prácticamente sin fijar límites al alcance de la vigilancia

La realidad fuera del manual, revelada por una investigación encubierta

Límites éticos y prácticas de ventas indirectas

  • En los primeros contactos y en el análisis de documentos se detectaron casos de vigilancia contra personas sin relación con delitos comunes y de uso por parte de regímenes autoritarios y actores no gubernamentales
  • First Wap afirmó que solo contrata con clientes gubernamentales tras aplicar procedimientos estrictos de cumplimiento de sanciones y revisión
  • El periodista infiltrado, con una identidad falsa como representante de una consultora sudafricana, asistió a ISS World en Praga y se reunió con un comercial real para explorar la posibilidad de proyectos de vigilancia para empresas privadas y fines políticos
  • Sobre los casos de alto riesgo, el director comercial Rudolph admitió que, aunque las sanciones europeas hacían riesgosa la operación, era posible concretarla a través de una filial en Indonesia y el uso de empresas de papel, reconociendo así métodos de evasión
  • Más adelante, cuando Lighthouse informó a First Wap sobre la investigación encubierta, la empresa respondió que “las declaraciones reales se referían a posibilidades técnicas y hubo un malentendido”

Lecturas relacionadas

2 comentarios

 
crawler 2025-10-15

¿De verdad esto es real y no una teoría conspirativa?
Por más que sea una vulnerabilidad del propio protocolo, debe haber cientos de operadoras de telecomunicaciones, así que me cuesta creer eso de rastrear a todo el mundo.
Para empezar, ¿cómo sabrían e identificarían los números de teléfono del presidente de Estados Unidos, Jensen Huang o Chunsik, que vive al lado de mi casa?
 
GN⁺ 2025-10-15
Opiniones de Hacker News

  • Ojalá los periodistas investigaran más por qué se permite este tipo de tecnología de vigilancia y el intercambio de esa información, y qué incentivos hacen posible que exista. Lo que sentí al leer las memorias del presidente Obama, <A Promised Land>, es que cuando uno está en la posición de un líder y tiene la responsabilidad directa por la seguridad pública, su postura sobre la vigilancia cambia por completo. Cada vez que veo cámaras de Flock o dispositivos de vigilancia dentro de tiendas, me da la impresión de que a los líderes les fascina el poder mismo de esta tecnología más que la posibilidad abstracta de abuso. Me parece parecido a cuando se informa sobre el riesgo de incendios en la sociedad sin mencionar la necesidad de sistemas preventivos como leyes contra incendios, alarmas de humo y normas sociales. Me gustaría ver artículos que investiguen quién es responsable de instalar las cámaras de Flock, por qué se instalan y cómo obtener resultados positivos —por ejemplo, atrapar ladrones de autos— sin los efectos secundarios negativos como el perfilamiento, el acoso o el seguimiento de personas que no han cometido delitos

    • Cualquiera que tenga poder termina pensando que lo usará correctamente. En teoría, si existiera un gobierno perfecto con todas las facultades de vigilancia, podría haber ventajas como una menor tasa de criminalidad, pero en la práctica las organizaciones grandes no son buenas en el control minucioso, y aunque un líder empiece con buenas intenciones, los problemas aparecen por mandos intermedios o por datos inexactos. Incluso un buen líder puede elegir mal a su sucesor, y al final es muy probable que termine llegando un dirigente corrupto. Además, aunque la descentralización o la privacidad no fueran ideales, igual deben permanecer como respaldo por si un sistema centralizado de vigilancia falla

    • Creo que la parte sobre Obama, donde se dice que buscaba reformar la vigilancia masiva pero cambió de actitud al quedar a cargo real de la seguridad pública, no es más que una excusa. Por el riesgo político de cargar con la culpa por cualquier tragedia posterior a una reforma de vigilancia, aunque no tenga relación con ella, terminan abandonando la postura correcta que tenían como candidatos y optan por evitar el problema. Es perfectamente posible prevenir delitos sin vigilancia masiva, y también reducir los hechos malos disminuyendo la pobreza, por ejemplo. Como ninguna política puede llevar esto al 0%, renunciar a una reforma correcta solo por miedo a las críticas es falta de valentía

    • No me opongo por completo a la vigilancia en sí. Solo quiero que sea transparente y esté limitada al mínimo necesario. Por ejemplo, si la policía quiere mi historial de búsquedas de Google, debería tener que conseguir una orden judicial y demostrar el motivo, y después de cierto tiempo debería notificarse al dueño de la cuenta. Si necesitan acceso a un celular, lo correcto sería obtenerlo por los canales formales y luego pedirle la contraseña directamente a la persona, no hackearlo en secreto. Todo eso, en vez de rastrear a todos constantemente, hace que la acción sea lo bastante visible como para frenar abusos. Además, los datos empresariales recolectados para prevenir robos, como el reconocimiento facial, no deberían usarse para marketing ni análisis, y debería exigirse por ley que se eliminen después de un periodo determinado

    • Se enfatiza que la razón por la que se permite esta tecnología de vigilancia es, al final, la “indiferencia” del público

    • La idea de que “no cuesta nada no abordar el problema” está tan extendida porque impone a todos costos pequeños y poco claros, mientras se vende como algo que quizá, de vez en cuando, podría salvar una vida. Este método lo usan en todo el mundo personas malintencionadas y comentaristas sin escrúpulos. La sociedad no sabe responder bien a este tipo de defecto estructural donde “individualmente el daño es mínimo, pero en conjunto la pérdida es enorme”. Si en todo Estados Unidos cada persona gastara un minuto al día para salvar una vida al año, en realidad la pérdida sería mayor que la vida que se salva, pero como el perjuicio es subjetivo, nadie termina objetándolo

  • Una empresa llamada First Wap hace posible rastrear personas. Su producto principal es software que opera a nivel de la red de telecomunicaciones. El punto clave aquí es que las compañías telefónicas todavía soportan el antiguo protocolo Signalling System 7 (SS7). Para que la red telefónica entregue mensajes o llamadas según la ubicación del usuario, es indispensable intercambiar señales de solicitud de ubicación. La vulnerabilidad esencial es que las redes procesan esos comandos de solicitud sin verificar quién es realmente la otra parte que los envía ni con qué propósito lo hace. Estas señales (mensajes de señalización) no son visibles de ninguna manera en el teléfono del usuario y solo circulan entre números de nodos de red llamados “Global Titles (GT)”

    • Como “dato curioso”, “otra red” también incluye todas las redes asociadas de roaming internacional. Es decir, aprovechando la vulnerabilidad de SS7 también es posible rastrear la ubicación de otra persona desde el otro lado del continente

    • Sospecho que las telecos simplemente están vendiendo los datos de los usuarios. También hubo noticias de que la FCC las multó por vender esta información sin consentimiento del usuario enlace de referencia

  • Incluso en 2025, las vulnerabilidades de la red SS7 siguen vigentes. Un atacante puede interceptar tráfico SS7 instalando una femtocelda (estación repetidora pequeña) o un IMSI catcher (estación base falsa). En GSM, el terminal sí autentica su identidad ante la red, pero la red no autentica su identidad ante el terminal, así que es fácil inducir al celular a conectarse a un IMSI catcher. Incluso en LTE intentan eludir la seguridad degradando la conexión por medio de una estación base falsificada. Más detalles sobre el funcionamiento del ataque

  • Hay un artículo titulado <i>Why the US still won’t require SS7 fixes that could secure your phone</i> (2019), donde se cuenta que la FCC de Estados Unidos ha ido postergando la solución de las vulnerabilidades de SS7, ignoró incluso recomendaciones técnicas del Department of Homeland Security (DHS), y aunque hubo propuestas de buenas prácticas —como aplicar varios sistemas de filtrado—, en la práctica se depende solo de la implementación voluntaria enlace del artículo

  • Me sorprende que este tipo de “secretos” aparezcan en los medios hoy en día. La fuente dentro del artículo parece estar redactada deliberadamente de forma ambigua. Solo dice: “Lighthouse found a vast archive of data on the deep web”, pero entonces ¿no significa eso, al final, que una empresa de vigilancia subió información de miles de personas como si fuera un bucket S3 abierto? En realidad, en esta industria es común que ataquen fallas de seguridad ajenas para espiar y vigilar, pero luego dejen expuestos sus propios datos por errores básicos. En la filtración de TM_Signal, por ejemplo, la causa fue que archivos de archivo de mensajes de altos funcionarios de EE. UU. estaban guardados en un S3 abierto. Irónicamente, una empresa de seguridad que vive de extraer datos ajenos termina dejando también sus propios datos visibles para cualquiera, en un error de seguridad tan triste como absurdo

    • Puede que la gente de esta industria esté tan especializada en su propio dominio que en realidad no tenga experiencia administrando la nube. También es bastante posible que hayan configurado S3 copiando y pegando cosas desde Stack Overflow y se hayan equivocado. Cuando uno trata de resolver a medias algo que no forma parte de su trabajo habitual, este tipo de incidentes ocurre con facilidad. Si su especialidad es otra, ese tipo de error se entiende perfectamente. Tal vez incluso piensen que tú eres más tonto por seguir usando SMS

  • Para quienes estén interesados, Lighthouse Reports tiene un texto que explica en detalle, desde el punto de vista técnico, la metodología de su investigación sobre vigilancia enlace a la explicación técnica

  • Esto me recordó la charla de 2014, “SS7: Locate. Track. Manipulate.”, que vi hace años en el CCC (Chaos Communication Congress) enlace al video de la charla

    • La primera fue la charla de Tobias Engel en 25C3 en 2008, “Locating Mobile Phones using SS7” enlace al video

  • En el artículo se menciona “1.5 millones de registros, más de 14 mil números únicos y registros de vigilancia en alrededor de 160 países”; ojalá existiera un sitio como HIBP (Have I Been Pwned) para comprobar si mi número está incluido

  • Stallman era una persona ruda y peculiar, pero tenía razón en que cualquier dispositivo con riesgo de invadir la privacidad debería publicar absolutamente todo su código, hasta los transistores incluidos