Flock Safety codificó 53 veces la contraseña de la infraestructura de vigilancia de EE. UU.

 (nexanet.ai)
2 puntos por GN⁺ 2026-01-10 | 1 comentarios | Compartir por WhatsApp
  • Se confirmó que Flock Safety, que opera una red de vigilancia en todo Estados Unidos, dejó una clave API de ArcGIS hardcodeada y expuesta en 53 bundles públicos de JavaScript
  • Esa clave permitía acceder a un entorno de ArcGIS que administra de forma unificada datos de ubicación y detección de unas 12,000 organizaciones, y como no tenía restricciones de IP ni de referer, cualquiera podía usarla
  • Entre los datos expuestos había información sensible basada en ubicación, como la posición de patrullas policiales, drones, bodycams, llamadas al 911 y el despliegue de cámaras
  • Además, un investigador encontró una segunda vulnerabilidad que permitía emitir tokens de ArcGIS sin autenticación, y siguió sin parchearse durante más de 55 días
  • El caso deja en evidencia un riesgo grave para la seguridad nacional y la privacidad, y se señala que requiere investigación por parte del Congreso de EE. UU. y de los reguladores

Resumen y hallazgos principales

  • La clave API de ArcGIS de Flock Safety estaba incluida en 53 bundles públicos de JavaScript web, lo que otorgaba acceso a unas 50 capas de datos privadas

    • Era la clave API predeterminada (Default), una credencial organizacional emitida automáticamente al crear una cuenta de ArcGIS
    • No tenía restricciones de referer, IP ni dominio, por lo que cualquiera podía acceder

  • Los datos accesibles con esta clave incluían detección de placas vehiculares, ubicación de patrullas, telemetría de drones, llamadas al 911 y ubicación de cámaras de vigilancia

    • Los datos de aproximadamente 5,000 departamentos de policía, 6,000 comunidades y 1,000 empresas privadas quedaron expuestos al riesgo

  • FlockOS es una interfaz unificada basada en mapas que integra todos los equipos y datos de vigilancia, y ArcGIS funciona como su base

    • La clave expuesta otorgaba acceso a toda esta capa de mapas integrada

Flock Safety y la infraestructura de vigilancia

  • Flock Safety opera en todo Estados Unidos lectores de placas vehiculares, drones y sensores de audio, y recopila más de 30 mil millones de detecciones de vehículos al mes
  • El sistema administra todos los datos de forma integrada en un solo mapa a través de FlockOS, una plataforma basada en ArcGIS
  • La clave API expuesta actuaba como la llave que desbloqueaba toda esta estructura de “One Map”

Detalles de la vulnerabilidad

  • La credencial expuesta era una clave a nivel organizacional conectada a todo el entorno de ArcGIS de Flock Safety

    • La misma clave apareció repetidamente en 53 endpoints públicos
    • Cada endpoint podía acceder de forma independiente al entorno de ArcGIS

  • Según la documentación de Esri, las claves API definen permisos de acceso a contenido público y privado, y antes del despliegue deben limitarse por alcance y referer

    • Flock no aplicó ninguna de esas restricciones

Categorías de datos expuestos

  • Infraestructura de vigilancia: cámaras policiales, comunitarias y privadas, drones, sensores de audio y equipos de terceros
  • Datos de ubicación: GPS de patrullas, bodycams, smartwatches, eventos CAD e historial de patrullaje
  • Información de personas y vehículos: alertas de detección, historial de búsqueda y alertas de audio (incluida detección de disparos)
  • Datos de investigación: detecciones de hotlists, filtros de búsqueda y áreas geográficas de búsqueda
  • Información de identificación personal (PII): nombres de registrantes de cámaras, correos electrónicos, números de teléfono, direcciones y cantidad de cámaras
  • Datos de Flock911: ubicación de incidentes en tiempo real, ID de llamadas, tokens de acceso a grabaciones y estado de reproducción de audio
  • Información de estado de drones: visualización del estado del equipo (grabando, cargando, fuera de línea, etc.)

Patrón repetido de exposición de credenciales

  • Además de la misma clave API predeterminada, también se encontró una vulnerabilidad que emitía tokens de ArcGIS sin autenticación
    • Un token llamado “Flock Safety Prod” podía acceder a datos reales de la red de cámaras
    • Tras el primer reporte, el 13 de noviembre de 2025, siguió sin parchearse durante más de 55 días
Propiedad Default API Key Flock Safety Prod
Acceso a elementos 50 ítems privados Ninguno
Acceso a red de cámaras
Origen Bundle JS de desarrollo Emisión de token sin autenticación
Estado Corregido (junio de 2025) Sin parche (más de 55 días)
  • El entorno de desarrollo tenía permisos de acceso más amplios que el entorno de producción y además era accesible desde el exterior

Riesgos para la seguridad nacional y la privacidad

  • Los datos de ubicación a escala nacional pueden exponer patrones de movimiento de políticos, personal militar y agentes de inteligencia, entre otros
    • Incluso simples vacíos de ubicación podrían permitir inferir el inicio de operaciones especiales
  • Si una agencia de inteligencia extranjera explotara estos datos, podría deducir información operativa sin necesidad de interceptar comunicaciones
  • A nivel interno, existe riesgo de uso indebido para invadir la privacidad, extorsionar o ejercer influencia

Casos reales de abuso

  • Braselton, Georgia (2025): un jefe de policía fue arrestado por presuntamente usar cámaras de Flock para acosar a una persona
  • Sedgwick, Kansas (2023–2024): un jefe de policía rastreó a una expareja 228 veces e ingresó motivos de investigación falsos
  • Orange City, Florida (2024–2025): un policía rastreó a una expareja y fue arrestado por acceso ilegal y acoso

Estos casos muestran que los sistemas de vigilancia pueden ser mal utilizados con fines personales

Verificación de las afirmaciones de seguridad y compliance de Flock

  • El CEO de Flock afirmó que “Flock nunca ha sido hackeada”, pero eso se debe a que la vulnerabilidad fue descubierta mediante reporte y no porque hubiera sido explotada
  • Flock afirmó cumplir con CJIS, SOC 2/3, ISO 27001, entre otros, pero en la práctica su clave API predeterminada estaba incluida en 53 activos públicos
  • Esto se evalúa no como una simple falla procedimental, sino como un defecto estructural de seguridad

Recomendaciones

  • Ciudadanía: solicitar la divulgación de contratos y logs de Flock a los gobiernos locales
  • Periodistas: realizar investigaciones adicionales basadas en evidencia técnica
  • Agencias de seguridad pública: verificar resultados de pruebas de penetración del proveedor y el alcance del acceso a datos
  • Responsables de políticas públicas: exigir auditorías de seguridad independientes y apoyar una investigación de la FTC

Conclusión

  • Aunque la clave API fue reemplazada, el hecho de que la credencial de acceso central de la infraestructura nacional de vigilancia haya quedado expuesta 53 veces es una seria alerta de seguridad
  • Si una sola persona investigadora pudo obtener acceso a esta escala, un actor hostil habría podido recopilar mucha más información
  • Se considera que Flock Safety no solo filtró una clave, sino que expuso el corazón operativo del sistema de vigilancia de Estados Unidos

Lecturas relacionadas

1 comentarios

 
GN⁺ 2026-01-10
Comentarios en Hacker News

  • No me gusta Flock, pero hay algo dudoso en lo que afirma el artículo
    La mayoría de las capturas parecen ser código JavaScript del lado del cliente, no respuestas reales de la API
    En la comunidad de bug bounty, la exposición de claves de Google Maps API es un caso común de falso positivo, porque solo sirven para facturación y no dan acceso a los datos
    El artículo tampoco presenta pruebas de que ArcGIS sea diferente

    • En la práctica, la seguridad de los mapas es imposible
      En el gobierno o en ingeniería hay que compartir mapas ampliamente, y con solo buscar un poco es fácil encontrar formas de acceder incluso a capas pagas
      La razón por la que no se revocan las claves al terminar un proyecto es que se romperían todos los enlaces existentes, lo que afecta la investigación o la planificación
      Incluso estudiantes universitarios pueden acceder a diversos datos cartográficos a través de convenios con sus instituciones, y al final esos datos quedan prácticamente públicos
      En el siglo XXI, mantener la privacidad se está volviendo casi imposible

  • El problema de Flock no es su nivel de seguridad, sino su propia existencia
    Rastrear continuamente la ubicación de alguien no es vigilancia razonable, sino un registro irrazonable

    • Si alguien me siguiera las 24 horas del día tomando fotos y registrando mis movimientos, eso sería claramente acoso
      Lo que hace Flock no es esencialmente distinto, solo es menos visible
    • Viendo los casos de las últimas décadas, uno termina pensando que debería existir un derecho constitucional a la privacidad explícito

  • Las transmisiones de cámaras públicas son un bien público, así que deberían ser públicas

    • Creo que esto aplica especialmente si las cámaras las opera una institución que dice prestar un servicio público
      Aun así, también preocupa que esa apertura termine tercerizando un Estado de vigilancia
    • Este tipo de sistemas también sirve de base para crear con más facilidad apps de acoso

  • En un mundo sensato, esto habría terminado con la empresa en quiebra y con la dirección en la cárcel

  • Comparten un video experimental de técnicas adversarias para confundir lectores de placas
    Eso sí, no es legal en todos lados, así que hay que revisar la ley
    Enlace de YouTube

  • Me pregunto si alguien ha logrado que retiren cámaras de Flock en su ciudad
    En mi zona las instalaron hace como año y medio, y las ciudades cercanas también las adoptaron casi al mismo tiempo

    • Soy uno de los organizadores comunitarios que lograron cancelar los contratos de Flock en Eugene y Springfield, Oregon
      Ahora estoy trabajando con ciudades del área de Portland y con un grupo de trabajo de la legislatura estatal para impulsar legislación sobre esto
      Es impresionante cómo Flock manipula a los departamentos de policía
      Por ejemplo, una empresa llamada Lexipol vende documentos de políticas policiales y al mismo tiempo opera una plataforma llamada Police1
      Police1 ayuda a la policía a encontrar subsidios para pagar suscripciones de Flock, y Flock aparece ahí de manera muy activa
      Al final, la policía compra políticas de Lexipol, y esas políticas son muy favorables a Flock
      Flock repite una y otra vez el mismo discurso promocional a la policía y a funcionarios municipales
      Flock Safety, que salió de Y Combinator, hace afirmaciones muy engañosas sobre su producto y su negocio
    • En Redmond, Washington, también hubo un caso exitoso de desactivación de Flock
      Artículo relacionado
    • También hubo casos de cancelación o rechazo de contratos en Sedona, Arizona; Bend, Oregon; Hays County, Texas; y Lockhart
      Caso de Sedona, Artículo sobre Bend, Artículo sobre Hays County, Artículo sobre Lockhart
      También estamos haciendo campaña en nuestra ciudad, y mientras más conocida se vuelve la marca Flock, más cambia la opinión pública
      Ir personalmente a las reuniones del concejo municipal y conversar es importante
    • En Flagstaff, Arizona, también se canceló el contrato con Flock
      Enlace al artículo
    • Varias ciudades de Oregon y Washington decidieron no renovar sus contratos con Flock
      Artículo relacionado

  • Parece simplemente el resultado de la incompetencia
    Durante la polémica por la adopción de ShotSpotter, dejaron fuera al CIO y al auditor de la ciudad, y hubo que convencer a los concejales uno por uno para que hubiera una revisión técnica
    Ojalá esto no vuelva a pasar

    • Pero esto no es incompetencia, sino indiferencia
      Si hubiera voluntad de arreglarlo, ya lo habrían hecho

  • Una vez encontré y reporté una clave con datos sensibles expuestos en una institución pública usada por millones de personas
    Ahora entiendo por qué estas vulnerabilidades quedan abandonadas durante meses, o incluso años
    La causa es el burnout, la ignorancia y una cultura en la que se cree que conviene más ocultar el problema que admitirlo

  • En Reino Unido existen los 'Blade Runners', que retiran cámaras CCTV; me pregunto por qué en Estados Unidos no hay una respuesta tan activa

    • Las fuerzas antisupervisión en Estados Unidos son débiles, y de hecho el lado agresivo es el que quiere construir el sistema de vigilancia
    • En mi ciudad, algunas cámaras de Flock quedaron desactivadas por daños en paneles solares o en los lentes, pero por contrato el costo de reparación lo paga la ciudad
    • El riesgo de castigo legal es alto y los honorarios de abogados son caros, así que es difícil pasar a la acción
      Además, también existe el riesgo de toparse con una policía violenta
    • Si entras al sitio web de Flock, también puedes ver explicaciones sobre sus funciones con drones
    • Cada vez sufrimos más una nueva forma de política del terror (gestapo)
      Se hacen llamar 'guardianes de la libertad', pero en la práctica casi no logran resistir