Cómo las aplicaciones de fitness filtran secretos militares
Las aplicaciones de seguimiento de actividad física como Strava han expuesto repetidamente la ubicación de bases militares, portaaviones y guardaespaldas de líderes mundiales. Así es como los datos de ubicación se convierten en una mina de oro para la inteligencia.
El rastro invisible
Cada vez que un soldado se ata las zapatillas de correr y pulsa "inicio" en una aplicación de fitness, comienza a registrarse un rastro de migas de pan de GPS. Para la mayoría de los usuarios, los datos son inofensivos: un registro de carreras matutinas y paseos en bicicleta de fin de semana. Pero para el personal militar, los agentes de inteligencia y los equipos de seguridad, esos mismos datos pueden delatar la ubicación de bases secretas, portaaviones nucleares y líderes mundiales.
El problema no es nuevo. Desde al menos 2018, las plataformas de seguimiento de actividad física, especialmente Strava, han estado en el centro de repetidos fallos de seguridad operativa (OPSEC) que expusieron parte de la información militar más sensible del mundo a cualquiera con una conexión a Internet.
Cómo los datos de ubicación se convierten en inteligencia
Las aplicaciones de fitness funcionan registrando las coordenadas GPS de un usuario a intervalos frecuentes durante el ejercicio. Cuando los usuarios suben entrenamientos públicamente, cualquiera puede ver la ruta, la marca de tiempo y la ubicación. Por sí solo, un solo trote puede parecer insignificante. Pero los analistas de inteligencia utilizan una técnica llamada análisis del patrón de vida: agregar muchos puntos de datos a lo largo del tiempo para mapear rutinas, identificar instalaciones e incluso predecir movimientos futuros.
El mapa de calor global de Strava, una visualización de miles de millones de puntos de datos de GPS de sus usuarios, lo hace aún más fácil. El mapa de calor brilla intensamente donde mucha gente hace ejercicio y se atenúa en zonas remotas. En 2018, el investigador australiano Nathan Ruser notó caminos brillantes para correr en medio de los desiertos sirio y afgano, trazando los perímetros exactos y las rutas de patrulla de bases militares estadounidenses y aliadas no reveladas.
Un patrón de brechas
El incidente del mapa de calor de 2018 fue solo el principio. Investigaciones posteriores revelaron un patrón alarmante:
- 2018: El mapa de calor de Strava expuso bases militares estadounidenses en Afganistán, Siria, Irak e incluso una presunta instalación de la CIA en Somalia. El Pentágono lanzó una revisión inmediata.
- 2018: Los investigadores descubrieron que la aplicación de fitness Polar podía identificar nombres y direcciones particulares del personal en la Bahía de Guantánamo, bases de drones e instalaciones de almacenamiento de armas nucleares, según informó Bellingcat.
- 2022: La ONG israelí FakeReporter descubrió una brecha en Strava que identificó a 100 personas en seis instalaciones militares israelíes de alto secreto.
- 2024: La investigación #StravaLeaks de Le Monde identificó a 26 agentes del Servicio Secreto de EE. UU., 12 miembros del personal de seguridad francés y 6 agentes rusos a partir de sus perfiles públicos de Strava, señalando las ubicaciones de los presidentes Biden y Trump, e incluso el hotel donde Biden se alojó antes de una reunión con Xi Jinping de China.
Por qué sigue sucediendo
Después del escándalo de 2018, el Departamento de Defensa de EE. UU. prohibió los dispositivos con geolocalización para las tropas desplegadas. Los miembros del servicio pueden llevar rastreadores de actividad física, pero deben desactivar las funciones de GPS en las áreas operativas. Otros aliados de la OTAN emitieron directrices similares.
Sin embargo, las brechas continúan por varias razones. En primer lugar, las políticas son difíciles de aplicar cuando se trata de dispositivos personales. El Servicio Secreto de EE. UU. dijo a Le Monde que no puede prohibir el uso de las redes sociales fuera de servicio de los agentes. En segundo lugar, muchos usuarios simplemente no se dan cuenta de que sus perfiles son públicos por defecto. En tercer lugar, la cultura de compartir los logros de fitness en las plataformas sociales crea una tentación constante de anular los protocolos de seguridad.
Inteligencia de código abierto en piloto automático
Lo que hace que las filtraciones de las aplicaciones de fitness sean especialmente peligrosas es que no requieren pirateo. Todos los datos se cargan voluntariamente y son públicamente visibles. Los profesionales de la inteligencia llaman a esto inteligencia de código abierto (OSINT): información recopilada de fuentes disponibles gratuitamente. Un actor hostil solo necesita navegar por Strava, cruzar nombres de usuario con perfiles de LinkedIn o registros públicos, y construir una imagen detallada de los movimientos militares.
La técnica se escala fácilmente. Los scripts automatizados pueden rastrear miles de perfiles, mapear grupos de actividad cerca de instalaciones militares conocidas y señalar anomalías, como un estallido de actividad de carrera que aparece en un tramo vacío del océano, que es exactamente como los periodistas en 2026 confirmaron la posición del portaaviones nuclear francés Charles de Gaulle en el Mediterráneo después de que un marinero registró una carrera de 7 kilómetros en la cubierta en Strava.
Qué pueden hacer los usuarios
Los expertos en seguridad recomiendan varios pasos para cualquier persona en un rol sensible: establecer todos los perfiles de fitness como privados, desactivar la grabación de GPS durante el trabajo, utilizar las zonas de privacidad integradas de Strava para ocultar los puntos de inicio y fin, y evitar compartir datos de entrenamiento en cualquier plataforma pública. Para las organizaciones militares, la lección es clara: la tecnología de consumo y la seguridad operativa existen en una tensión permanente, y ningún memorándum de política puede sustituir a la conciencia individual.
