'StravaLeaks': Le Monde rastrea en tiempo real la ubicación de un portaaviones francés mediante una app de fitness

 (lemonde.fr)
2 puntos por GN⁺ 2026-03-21 | 1 comentarios | Compartir por WhatsApp
  • Un oficial de la marina francesa subió registros de ejercicio a la app de fitness Strava desde un perfil público, dejando expuesta en tiempo real la ubicación exacta del portaaviones Charles de Gaulle mientras operaba en el Mediterráneo
  • Le Monde cruzó esos datos con imágenes satelitales y confirmó la posición del portaaviones al noroeste de Chipre, a unos 100 km de la costa turca
  • En medio del contexto de guerra en Medio Oriente, fuerzas vinculadas a Irán ya habían atacado dos bases militares francesas, por lo que esta divulgación de datos de ubicación representa una grave amenaza de seguridad
  • La misma falla de seguridad se ha repetido varias veces, como con el uso de Strava por parte de escoltas presidenciales en otoño de 2024 y la exposición en enero de 2025 del calendario de patrullas de un submarino nuclear
  • El Estado Mayor francés reconoció que se violaron las directrices vigentes, pero sin una mejora estructural del sistema de seguridad digital, es probable que el mismo problema se repita con el próximo portaaviones

Resumen del incidente: exposición de la ubicación del portaaviones a través de Strava

  • El 13 de marzo a las 10:35 a. m., un oficial de la marina francesa apodado "Arthur" subió públicamente a Strava datos registrados con un smartwatch mientras corría unos 7 km durante 35 minutos en la cubierta del buque
  • Como su perfil de Strava estaba configurado como "público (public)", cualquiera podía identificar casi en tiempo real la ubicación exacta del portaaviones a partir de ese registro de actividad
  • Le Monde confirmó con ello que el Charles de Gaulle se encontraba al noroeste de Chipre, en aguas del Mediterráneo a unos 100 km de la costa turca
  • Además del portaaviones, el grupo de ataque naval francés estaba compuesto por al menos 3 fragatas y 1 buque de apoyo

Contexto: despliegue en Medio Oriente y riesgo de seguridad

  • El 3 de marzo, el presidente Macron ordenó el despliegue en Medio Oriente, en una decisión tomada justo después del ataque de Israel y Estados Unidos contra Irán
  • El Charles de Gaulle tenía previsto operar originalmente hasta mayo en el mar Báltico como parte de un ejercicio de la OTAN, pero fue redirigido con urgencia
  • El 6 de marzo, las autoridades francesas anunciaron oficialmente su paso por el estrecho de Gibraltar
  • Al menos 2 bases militares francesas en la región de Medio Oriente fueron atacadas por fuerzas vinculadas a Irán, y en un ataque con dron en el norte de Irak murió 1 soldado francés y 6 resultaron heridos
  • En este contexto, subir datos precisos de ubicación del portaaviones a un sitio web público constituye un nivel de descuido peligroso

Verificación cruzada de datos: confirmación con imágenes satelitales

  • Le Monde siguió la ruta del Charles de Gaulle a partir de los datos de Strava de Arthur
    • 14 de febrero: registro de ejercicio cerca de la costa de la península de Cotentin, en Francia
    • 26-27 de febrero: mientras el portaaviones estaba atracado en Malmö, Suecia, Arthur registró actividad en tierra en Copenhague, Dinamarca
    • 13 de marzo: actividad en el Mediterráneo al noroeste de Chipre
  • En una imagen satelital tomada aproximadamente 1 hora después de la carrera de Arthur, se identificó con claridad la silueta del portaaviones de 262 m de eslora
  • La ruta de la carrera mostraba una trayectoria circular sobre un buque en movimiento, en un punto situado a unos 6 km del lugar donde fue captado por el satélite
    • Hay dos posibilidades: que Arthur haya corrido sobre el portaaviones y luego el buque se haya desplazado, o que fuera a bordo de uno de los buques de escolta

Hallazgo adicional: exposición de varios perfiles de Strava

  • Además de Arthur, al menos otra persona más con un perfil público de Strava publicó registros de ejercicio con datos de ubicación desde un buque en operación
  • Algunos perfiles públicos incluían incluso fotos de la cubierta del buque, imágenes de otros militares y fotos del equipo de fitness instalado en el interior del barco

Respuesta del Estado Mayor francés

  • El Estado Mayor francés afirmó que publicar en Strava la ruta de la carrera "no cumplió con las directrices vigentes"
  • También indicó que los marineros "reciben regularmente instrucciones al respecto"
  • Subrayó que la "higiene digital (digital hygiene)" forma parte de todos los requisitos previos a cada despliegue
  • Añadió que "el mando tomará las medidas adecuadas"

Fallas previas de seguridad en StravaLeaks

  • En otoño de 2024, un reportaje de Le Monde titulado "StravaLeaks" reveló fallas de seguridad derivadas del uso de Strava por parte de escoltas presidenciales de Francia, Estados Unidos y Rusia
    • Se pudo identificar a los escoltas y a sus familias, rastrear sus movimientos e incluso anticipar posibles recorridos presidenciales
  • En enero de 2025, tripulantes de un submarino francés de misiles balísticos de propulsión nuclear (SSBN) expusieron mediante Strava información sobre el calendario de patrullas del submarino
    • En ese momento, la marina respondió que se trató de "descuido de algunas personas" y que no era una vulneración que afectara las actividades de la base operativa de Île Longue

El próximo portaaviones y los retos pendientes

  • El próximo portaaviones francés, France Libre ("Francia Libre"), sustituirá al Charles de Gaulle alrededor de 2038
  • Podrá transportar hasta 40 aeronaves, e incorporará 3 catapultas de lanzamiento y equipamiento para drones
  • El presidente Macron declaró que para su construcción se movilizarán "los mejores talentos del país, la pericia más escasa y la vocación más exigente"
  • Sigue sin resolverse si en el futuro los marineros continuarán compartiendo públicamente sus registros de ejercicio o si pasarán a cuentas privadas

Lecturas relacionadas

1 comentarios

 
GN⁺ 2026-03-21
Comentarios en Hacker News
  • Hace unos 3 años, murió un excomandante de submarino ruso implicado en un ataque con misiles en el que fallecieron 23 civiles ucranianos
    Hubo reportes de que su recorrido fue rastreado mediante Strava
    Artículos relacionados: reporte de CNN, caso de investigación de GIJN usando Strava
  • En el ejército, este tipo de problema de filtración de datos de ubicación es común
    Es difícil prohibir por completo que los soldados usen celulares e internet, y en la mayoría de los casos surge de la ingenuidad y del deseo de evitar incomodidades
    Esto sigue ocurriendo también en Ucrania
    • Hace 15 años nuestra brigada estaba en entrenamiento, y la fuerza opositora (OPFOR) usó Tinder para triangular la ubicación del cuartel general
      Usaron la información de ubicación de Tinder en incrementos de 1 milla para hacer una simulación de bombardeo, y al comandante de la brigada le molestó muchísimo
    • Antes había un rastreador de actividad física que mostraba solo la ubicación, sin nombre de usuario
      En el mapa de Irak aparecieron rutas rectangulares, y eran huellas de militares estadounidenses trotando dentro de la base
      No era información clasificada, pero fue un caso que mostró lo fácil que se filtran los datos de ubicación
    • Si ni siquiera los superiores usan bien apps de comunicación segura como Signal, me parece difícil culpar a los soldados
    • Incluso si se bloquea el compartir ubicación de forma directa, la recolección de información mediante brokers de datos puede volver riesgoso el acceso mismo a internet
    • Durante los primeros 2 años de la guerra, la mayoría de los soldados que rompían estas reglas morían o resultaban heridos
      Últimamente, el Ministerio de Defensa ruso está imponiendo castigos severos a los soldados que usan Telegram o redes de comunicación ucranianas cerca del frente
  • Me pregunto si la ubicación de un portaaviones realmente debería ser secreta
    Me parece difícil ocultarla de los satélites
    • Si un país enemigo rastrea la actividad de cuentas en línea de militares y combina rango, unidad, especialidad y otros datos, puede averiguar mucho más que una simple ubicación
      Incluso sin satélites se puede obtener bastante información
    • Según un artículo de Naval Gazing, el secreto sobre la ubicación de un portaaviones es solo una “capa de supervivencia
      Debe verse como uno de varios medios de defensa, no como ocultamiento total
    • Un portaaviones tiene una escala de 17,000㎡ y equivale a la altura de un edificio de 25 pisos
      No es una estructura que pueda ocultarse; para eso están los submarinos
    • Los satélites de inteligencia no dan posición en tiempo real, sino la de hace varias horas
      En cambio, los datos GPS en tiempo real son mucho más útiles para guiar misiles
    • Si una cuenta de Strava se vincula a un tripulante específico, también existe el riesgo de rastrear sus trayectos en tierra
  • A Estados Unidos también le pasó antes que Strava expusiera la ubicación de bases secretas
    (artículo de The Guardian)
    Me da curiosidad si el portaaviones usa internet satelital o si solo sincroniza cerca de la costa
    Si es lo primero, deberían limitar el acceso a apps con un sistema de lista blanca
  • La exagente de la CIA Sarah Adams trató este tema en el pódcast Your Phone Isn’t Safe Right Now
    Presentó 100 formas de reducir la huella digital al viajar, y señaló como mayores amenazas a las apps de ejercicio y de citas
  • No creo que exista un país que no pueda detectar un portaaviones en el Mediterráneo
    No es una nave furtiva
    • En el Mediterráneo tal vez, pero en mar abierto es mucho más difícil detectarlo
      Esto se debe a que es difícil que los satélites vigilen todas las zonas marítimas en tiempo real
    • Como en el caso de la desaparición del MH370, hasta un avión enorme fue difícil de encontrar
      Detectar barcos en el mar no es algo sencillo en absoluto
    • Habría sido mucho más sorprendente si hubieran encontrado un submarino con Strava
    • Averiguar una ubicación mediante una API pública y hacerlo con activos satelitales estatales son cosas completamente distintas
      La mayoría de los países no tiene satélites de reconocimiento
    • Últimamente también se volvió posible cierto nivel de seguimiento con redes satelitales privadas como Planet Labs, pero siguen existiendo limitaciones
  • Como dice la frase “Loose lips sink ships”, el uso imprudente del celular también puede hundir embarcaciones
    • Probablemente Strava funcionó a través del punto de acceso a internet a bordo
      El departamento de TI de la marina francesa debería gestionar las apps riesgosas mediante una política de bloqueo
    • En los celulares personales no se sabe qué software puede estar instalado, y solo con la conexión a internet ya existe riesgo de recolección de datos
      Este tipo de situación muestra una falta de conciencia de seguridad en las fuerzas armadas
  • El portaaviones Charles de Gaulle tiene una velocidad de crucero de 27 nudos, lo que vuelve totalmente caótico el cálculo del ritmo de alguien corriendo
    Las estadísticas de Strava pueden quedar muy distorsionadas
    • Los civiles también corren a veces en la cubierta de cruceros, y los datos de velocidad y distancia salen rarísimos
    • Si se mira la ruta del artículo, hay tramos que se mueven en dirección contraria al avance del barco
      Es posible que el portaaviones estuviera navegando lentamente
    • Corrió 7.2 km a un ritmo de 4:38, y como la ruta se repite, parece que el barco iba en una trayectoria circular
      Tal vez era para retrasar la aproximación hacia la zona cercana al Líbano
    • El cálculo de calorías basado en la frecuencia cardíaca produce errores similares
      Hay casos en que ciertos medicamentos hacen que el gasto calórico diario aparezca anormalmente alto
  • Si el portaaviones está a solo 10 m sobre la costa, puede verse a simple vista desde unas 28 millas
    Habría sido visible desde gran parte del litoral mediterráneo
    • Me pregunto si existe una política que permita usar Strava cerca de la costa, pero lo prohíba durante operaciones sensibles
      O quizás este caso sea simplemente un ejemplo de ese tipo de conducta riesgosa
    • Solo con la forma de la ruta de carrera ya se podrían estimar el rumbo y la velocidad
  • Como comentario aparte, me pregunto si estas apps de ejercicio corrigen el movimiento del barco
    Mucha gente trota en cruceros, así que es posible que los datos queden distorsionados frente a la realidad