Anomaly Six y el poder de la vigilancia masiva

Anomaly S1x

Firma estadounidense de rastreo de teléfono demostró poderes de vigilancia al espiar a la CIA y la NSA

22 de abril


Anomaly Six, un contratista secreto del gobierno, afirma monitorear los movimientos de miles de millones de teléfonos en todo el mundo y desenmascarar espías con solo presionar un botón.

En los meses previos a la invasión de Ucrania por parte de Rusia, dos desconocidas nuevas empresas estadounidenses se reunieron para discutir una posible asociación de vigilancia que fusionaría la capacidad de rastrear los movimientos de miles de millones de personas a través de sus teléfonos con un flujo constante de datos comprados directamente de Twitter. Según Brendon Clark de Anomaly Six, o "A6", la combinación de su tecnología de rastreo de ubicación de teléfonos celulares con la vigilancia de las redes sociales proporcionada por Zignal Labs permitiría al gobierno de EE. UU. espiar sin esfuerzo a las fuerzas rusas mientras se acumulan a lo largo de la frontera con Ucrania, o rastrear de manera similar los submarinos nucleares chinos. Para demostrar que la tecnología funcionaba, Clark apuntó los poderes de A6 hacia adentro, espiando a la Agencia de Seguridad Nacional y la CIA, usando sus propios teléfonos celulares contra ellos.

Anomaly Six, con sede en Virginia, fue fundada en 2018 por dos exoficiales de inteligencia militar y mantiene una presencia pública que es escasa hasta el punto de ser misteriosa. Su sitio web no revela nada sobre lo que realmente hace la empresa. Pero hay una buena posibilidad de que A6 sepa mucho sobre ti. La compañía es una de las muchas que compra grandes cantidades de datos de ubicación, rastreando a cientos de millones de personas en todo el mundo al explotar un hecho poco conocido: innumerables aplicaciones comunes para teléfonos inteligentes están constantemente recopilando su ubicación y transmitiéndola a los anunciantes, generalmente sin su conocimiento o consentimiento informado, basándose en divulgaciones enterradas en la jerga legal de los extensos términos de servicio que las compañías involucradas esperan que usted nunca lea una vez que su ubicación se transmite a un anunciante. Actualmente no existe ninguna ley en los Estados Unidos que prohíba la venta y reventa de esa información a empresas como Anomaly Six, que son libres de venderla a su clientela gubernamental y del sector privado.

Los materiales de la compañía obtenidos por The Intercept y Tech Inquiry brindan nuevos detalles de cuán poderosos son los poderes de vigilancia que abarcan todo el mundo de Anomaly Six, capaces de proporcionar a cualquier cliente que paga habilidades previamente reservadas para las oficinas de espionaje y los militares.

Según las grabaciones audiovisuales de una presentación A6 revisadas por The Intercept y Tech Inquiry, la firma afirma que puede rastrear aproximadamente 3 mil millones de dispositivos en tiempo real, lo que equivale a una quinta parte de la población mundial. La asombrosa capacidad de vigilancia se citó durante un lanzamiento para proporcionar las capacidades de rastreo de teléfonos de A6 a Zignal Labs, una empresa de monitoreo de redes sociales que aprovecha su acceso al flujo de datos "firehose" rara vez otorgado de Twitter para filtrar cientos de millones de tweets por día sin restricciones. . Con sus poderes combinados, propuso A6, los clientes corporativos y gubernamentales de Zignal no sólo podrían monitorear la actividad global de las redes sociales, sino también determinar quién envió exactamente ciertos tweets, de dónde los enviaron, con quién estaban, dónde habían estado anteriormente y donde fueron después.

La fuente de los materiales, que habló bajo condición de anonimato para proteger su sustento, expresó su grave preocupación por la legalidad de los contratistas gubernamentales como Anomaly Six y Zignal Labs que "revelan publicaciones sociales, nombres de usuario y ubicaciones de estadounidenses" al "Departamento de Defensa". La fuente también afirmó que Zignal Labs había engañado deliberadamente a Twitter al retener los casos más amplios de uso de vigilancia militar y corporativa de su acceso a mangueras contra incendios. Los términos de servicio de Twitter técnicamente prohíben que un tercero "realice o brinde vigilancia o recopile inteligencia" utilizando su acceso a la plataforma, aunque la práctica es común y la aplicación de esta prohibición es rara. Cuando se le preguntó acerca de estas preocupaciones, el portavoz Tom Korolsyshun le dijo a The Intercept que "Zignal cumple con las leyes y pautas de privacidad establecidas por nuestros socios de datos".

A6 afirma que su red de rastreo de GPS produce entre 30 y 60 pings de ubicación por dispositivo por día y 2,5 billones de puntos de datos de ubicación anualmente en todo el mundo, sumando hasta 280 terabytes de datos de ubicación por año y muchos petabytes en total, lo que sugiere que la empresa vigila aproximadamente 230 millones dispositivos en un día promedio. El vendedor de A6 agregó que, si bien muchas empresas rivales recopilan datos de ubicación personal a través de las conexiones Bluetooth y Wi-Fi de un teléfono que brindan un paradero general, Anomaly 6 sólo recopila puntos de GPS, potencialmente con una precisión de varios pies. Además de la ubicación, A6 afirmó que ha creado una biblioteca de más de 2 mil millones de direcciones de correo electrónico y otros datos personales que las personas comparten cuando se registran en aplicaciones de teléfonos inteligentes que se pueden usar para identificar a quién pertenece el ping de GPS. Todo esto está alimentado, señaló Clark de A6 durante el lanzamiento,

The Intercept no pudo corroborar las afirmaciones de Anomaly Six sobre sus datos o capacidades, que se hicieron en el contexto de un argumento de venta. El investigador de privacidad Zach Edwards le dijo a The Intercept que creía que las afirmaciones eran plausibles, pero advirtió que las empresas pueden ser propensas a exagerar la calidad de sus datos. El investigador de seguridad móvil Will Strafach estuvo de acuerdo y señaló que el abastecimiento de datos de A6 se jacta de que "suena alarmante, pero no está muy lejos de las ambiciosas afirmaciones de otros". Según Wolfie Christl, un investigador especializado en las implicaciones de vigilancia y privacidad de la industria de datos de aplicaciones, incluso si las capacidades de Anomaly Six son exageradas o se basan en parte en datos inexactos, una empresa que posea incluso una fracción de estos poderes de espionaje sería profundamente preocupante desde un punto de vista de la privacidad personal.

Cuando se le solicitó un comentario, el portavoz de Zignal proporcionó la siguiente declaración: “Si bien Anomaly 6 ha demostrado en el pasado sus capacidades a Zignal Labs, Zignal Labs no tiene una relación con Anomaly 6. Nunca hemos integrado las capacidades de Anomaly 6 en nuestra plataforma, ni entregamos Anomalía 6 a ninguno de nuestros clientes”.

Cuando se le preguntó sobre la presentación de la empresa y sus capacidades de vigilancia, el cofundador de Anomaly Six, Brendan Huff, respondió en un correo electrónico que "Anomaly Six es una pequeña empresa propiedad de veteranos que se preocupa por los intereses estadounidenses, la seguridad natural y entiende la ley".

Las empresas como A6 se ven impulsadas por la ubicuidad de los SDK, que son paquetes de código llave en mano que los fabricantes de software pueden incluir en sus aplicaciones para agregar funciones fácilmente y monetizar rápidamente sus ofertas con anuncios. Según Clark, A6 puede desviar mediciones GPS exactas recopiladas a través de asociaciones encubiertas con "miles" de aplicaciones de teléfonos inteligentes, un enfoque que describió en su presentación como un "enfoque de la granja a la mesa para la adquisición de datos". Estos datos no sólo son útiles para las personas que esperan venderle cosas: el comercio mundial de datos personales, en gran parte no regulado, está encontrando cada vez más clientes no sólo en las agencias de marketing, sino también en las agencias federales que rastrean inmigrantes  y  objetivos de drones,  así como sanciones y evasión de impuestos. Según registros públicos informado por primera vez por Motherboard, el Comando de Operaciones Especiales de EE. UU. pagó a Anomaly Six $ 590,000 en septiembre de 2020 por un año de acceso a la "alimentación de telemetría comercial" de la empresa.

El software Anomaly Six permite a sus clientes navegar por todos estos datos en una vista satelital de la Tierra conveniente e intuitiva al estilo de Google Maps. Los usuarios sólo necesitan encontrar una ubicación de interés y dibujar un cuadro a su alrededor, y A6 llena ese límite con puntos que indican los teléfonos inteligentes que pasaron por esa área. Al hacer clic en un punto, obtendrá líneas que representan los movimientos del dispositivo, y de su propietario, en un vecindario, una ciudad o, de hecho, en todo el mundo.

A medida que el ejército ruso continuaba con su acumulación a lo largo de la frontera del país con Ucrania, el representante de ventas de A6 detalló cómo la vigilancia por GPS podría ayudar a convertir a Zignal en una especie de agencia de espionaje privada capaz de ayudar a la clientela estatal a monitorear los movimientos de tropas. Imagínese, explicó Clark, si los tuits de la zona de crisis que Zignal emerge rápidamente a través de la manguera contra incendios fueran sólo un punto de partida. Uso de imágenes satelitales tuiteadas por cuentas. Al realizar investigaciones cada vez más populares de "inteligencia de código abierto" u OSINT, Clark mostró cómo el rastreo GPS de A6 permitiría a los clientes de Zignal determinar no sólo que se estaba produciendo una concentración militar, sino también rastrear los teléfonos de los soldados rusos mientras se movilizaban para determinar exactamente dónde habían entrenado, dónde estaban estacionados y a qué unidades pertenecían. En un caso, Clark mostró el software A6 que rastreaba los teléfonos de las tropas rusas hacia atrás en el tiempo, lejos de la frontera y de regreso a una instalación militar en las afueras de Yurga, y sugirió que podían rastrearse más allá, hasta sus hogares individuales. Informes anteriores del Wall Street Journal indican que este método de rastreo telefónico ya se usa para monitorear las maniobras militares rusas  y que las tropas estadounidenses son igual de vulnerables.

En otra demostración del mapa A6, Clark se acercó a la ciudad de Molkino, en el sur de Rusia, donde supuestamente tiene su sede el Grupo Wagner, un infame grupo de mercenarios rusos . El mapa mostraba docenas de puntos que indicaban dispositivos en la base de Wagner, junto con líneas dispersas que mostraban sus movimientos recientes. “Así que puedes empezar a ver estos dispositivos”, explicó Clark. “Cada vez que comienzan a abandonar el área, estoy mirando la posible actividad previa al despliegue ruso para sus actores no estándar, su gente sin uniforme. Entonces, si los ve entrar en Libia o la República Democrática del Congo o cosas así, eso puede ayudarlo a comprender mejor las posibles acciones de poder blando que están haciendo los rusos”.

El lanzamiento señaló que Zignal podría utilizar este tipo de vigilancia telefónica masiva para ayudar a clientes no especificados con "contramensajes", desacreditando las afirmaciones rusas de que tales acumulaciones militares eran meros ejercicios de entrenamiento y no el período previo a una invasión. “Cuando estás mirando contramensajes, donde ustedes tienen una gran parte del valor que le brindan a su cliente en la pieza de contramensajes es — [Rusia está] diciendo, 'Oh, es sólo local, regional, um, ejercicios'. Como, no. Podemos ver a partir de los datos que vienen de toda Rusia”.

Para impresionar completamente a su audiencia con el inmenso poder de este software, Anomaly Six hizo lo que pocos en el mundo pueden decir que hacen: espiar a los espías estadounidenses. “Me gusta burlarme de nuestra propia gente”, comenzó Clark. Al abrir una vista satelital similar a Google Maps, el representante de ventas mostró la sede de la NSA en Fort Meade, Maryland, y la sede de la CIA en Langley, Virginia. Con cuadros de límites virtuales dibujados alrededor de ambos, una técnica conocida como geofencing, el software de A6 reveló una increíble recompensa de inteligencia: 183 puntos que representan teléfonos que habían visitado ambas agencias que posiblemente pertenecían al personal de inteligencia estadounidense, con cientos de líneas que se extendían hacia afuera revelando sus movimientos, listos para pista en todo el mundo. “Entonces, si soy un oficial de inteligencia extranjero, eso es 183 puntos de inicio para mí ahora”, señaló Clark.

La NSA y la CIA se negaron a comentar.

Al hacer clic en uno de los puntos de la NSA, Clark pudo seguir los movimientos exactos de ese individuo, prácticamente en cada momento de su vida, desde ese año anterior hasta el presente. “Quiero decir, sólo piense en cosas divertidas como el abastecimiento”, dijo Clark. “Si soy un oficial de inteligencia extranjero, no tengo acceso a cosas como la agencia o el fuerte, puedo encontrar dónde viven esas personas, puedo encontrar a dónde viajan, puedo ver cuándo salen del país”. Luego, la demostración siguió al individuo por los Estados Unidos y el extranjero hasta un centro de entrenamiento y un aeródromo aproximadamente a una hora en automóvil al noroeste de la base aérea Muwaffaq Salti en Zarqa, Jordania, donde, según se informa, los EE. UU. mantienen una flota de drones.

“Seguro que existe una seria amenaza para la seguridad nacional si un corredor de datos puede rastrear a un par de cientos de funcionarios de inteligencia hasta sus hogares y en todo el mundo”, dijo el senador Ron Wyden, D-Ore., un crítico vocal de la industria de datos personales a The Intercept en una entrevista. “No se necesita mucha creatividad para ver cómo los espías extranjeros pueden usar esta información para espionaje, chantaje, todo tipo de, como solían decir, actos cobardes”.

De vuelta en Estados Unidos, la persona fue rastreada hasta su propia casa. El software de A6 incluye una función llamada "Regularidad", un botón que los clientes pueden presionar y que analiza automáticamente las ubicaciones visitadas con frecuencia para deducir dónde vive y trabaja un objetivo, aunque los puntos de GPS proporcionados por A6 omiten el nombre del propietario del teléfono. Los investigadores de privacidad han demostrado durante mucho tiempo que incluso los datos de ubicación "anonimizados" son trivialmente fáciles de adjuntar a un individuo en función de dónde frecuentan más, un hecho confirmado por la propia demostración de A6. Después de presionar el botón "Regularidad", Clark hizo zoom en una imagen de Google Street View de su casa.

“La industria ha afirmado repetidamente que recopilar y vender estos datos de ubicación de teléfonos celulares no violará la privacidad porque está vinculado a los números de identificación del dispositivo en lugar de los nombres de las personas. Esta característica demuestra cuán fáciles son esas afirmaciones”, dijo Nate Wessler, subdirector del Proyecto de Discurso, Privacidad y Tecnología de la Unión Estadounidense de Libertades Civiles. "Por supuesto, seguir los movimientos de una persona las 24 horas del día, día tras día, te dirá dónde vive, dónde trabaja, con quién pasa el tiempo y quién es. La violación de la privacidad es inmensa”.

La demostración continuó con un ejercicio de vigilancia que marcaba los movimientos navales de EE. UU., usando una foto satelital tuiteada del USS Dwight D. Eisenhower en el Mar Mediterráneo tomada por la firma comercial Maxar Technologies. Clark explicó cómo una instantánea de un solo satélite podría convertirse en una vigilancia que, según él, era incluso más poderosa que la ejecutada desde el espacio. Usando las coordenadas de latitud y longitud adjuntas a la foto de Maxar junto con su marca de tiempo, A6 pudo captar una sola señal telefónica desde la posición del barco en ese momento, al sur de Creta. “Pero sólo se necesita uno”, señaló Clark. “Entonces, cuando miro hacia atrás a dónde va ese dispositivo: Oh, vuelve a Norfolk. Y, de hecho, en la portadora de la imagen satelital, ¿qué más hay en la portadora? Cuando miras, aquí están todos los demás dispositivos. Su pantalla reveló una vista del operador atracado en Virginia, repleto de miles de puntos coloridos que representan los pings de ubicación del teléfono recopilados por A6. “Bueno, ahora puedo ver cada vez que esa nave se está desplegando. No necesito satélites en este momento. Puedo usar esto.

Aunque Clark admitió que la compañía tiene muchos menos datos disponibles sobre los propietarios de teléfonos chinos, la demostración concluyó con un ping de GPS detectado a bordo de un supuesto submarino nuclear chino. Usando sólo imágenes satelitales no clasificadas y datos publicitarios comerciales, Anomaly Six pudo rastrear los movimientos precisos de las fuerzas militares y de inteligencia más sofisticadas del mundo. Con herramientas como las vendidas por A6 y Zignal, incluso un aficionado a OSINT tendría poderes de vigilancia global que anteriormente sólo tenían las naciones. “La gente pone demasiado en las redes sociales”, agregó Clark con una sonrisa.

Dado que los datos de ubicación han proliferado en gran medida sin supervisión gubernamental en los Estados Unidos, una mano se lava la otra, creando un sector privado capaz de poderes de vigilancia a nivel estatal que también puede alimentar el creciente apetito de vigilancia del estado sin el escrutinio judicial habitual. Los críticos dicen que el comercio suelto de datos publicitarios constituye una laguna en la Cuarta Enmienda, que requiere que el gobierno presente su caso ante un juez antes de obtener las coordenadas de ubicación de un proveedor de telefonía celular. Pero la mercantilización total de los datos telefónicos ha hecho posible que el gobierno se salte la orden judicial y simplemente compre datos que a menudo son incluso más precisos que los que podrían proporcionar empresas como Verizon.

“La Corte Suprema ha dejado en claro que la información de ubicación de teléfonos celulares está protegida por la Cuarta Enmienda debido a la imagen detallada de la vida de una persona que puede revelar”, explicó Wessler. “Las compras de acceso a los datos confidenciales de ubicación de los estadounidenses por parte de las agencias gubernamentales plantean serias dudas sobre si están involucradas en un fin ilegal que elude el requisito de orden judicial de la Cuarta Enmienda. Es hora de que el Congreso ponga fin a la incertidumbre legal que permite esta vigilancia de una vez por todas al avanzar hacia la aprobación de la Ley de la Cuarta Enmienda. No Está a la Venta”.

Aunque dicha legislación podría restringir la capacidad del gobierno para aprovechar la vigilancia comercial, los fabricantes de aplicaciones y los intermediarios de datos seguirían siendo libres de vigilar a los propietarios de teléfonos. Aún así, Wyden, copatrocinador de ese proyecto de ley, le dijo a The Intercept que cree que "esta legislación envía un mensaje muy fuerte" al "Salvaje Oeste" de la vigilancia basada en anuncios, pero que tomar medidas drásticas contra la cadena de suministro de datos de ubicación sería “ciertamente una pregunta para el futuro.” Wyden sugirió que la Comisión Federal de Comercio podría manejar mejor la protección del rastro de ubicación de un dispositivo de aplicaciones y anunciantes espías. Una legislación separada previamente presentada por Wyden facultaría a la FTC para tomar medidas enérgicas contra el intercambio promiscuo de datos y ampliar la capacidad de los consumidores para optar por no participar en el seguimiento de anuncios.

A6 está lejos de ser la única empresa dedicada a la vigilancia de seguimiento de dispositivos privatizados. Tres de los empleados clave de Anomaly Six trabajaron anteriormente en la firma competidora Babel Street, que los nombró a los tres en una demanda de 2018 reportada por primera vez por el Wall Street Journal. Según la presentación legal, Brendan Huff y Jeffrey Heinz cofundaron Anomaly Six (y el menos conocido Datalus 5) meses después de terminar su empleo en Babel Street en abril de 2018, con la intención de replicar el producto de vigilancia de ubicación de teléfonos celulares de Babel, "Locate X". En asociación con el principal competidor de Babel, Semantic AI. En julio de 2018, Clark siguió a Huff y Heinz al renunciar a su puesto como "interfaz principal para... los clientes de la comunidad de inteligencia" de Babel y convertirse en empleado tanto de Anomaly Six como de Semantic.

Al igual que su rival Dataminr, Zignal promociona sus asociaciones mundanas con Levi's y los Sacramento Kings, promocionándose públicamente en términos vagos que dan pocos indicios de que usa Twitter con fines de recopilación de inteligencia, aparentemente en clara violación de la política antivigilancia de Twitter. Los lazos de Zignal con el gobierno son profundos: la junta asesora de Zignal incluye a un exjefe del Comando de Operaciones Especiales del Ejército de los EE. y la gestión de la información en tiempo real como un elemento del poder nacional, sirviendo como consultor de la Casa Blanca, la comunidad de Seguridad Nacional de los EE. UU., incluido el Departamento de Defensa de los EE. UU. Más lejos,los registros públicos indican que a Zignal se le pagó aproximadamente $ 4 millones para subcontratar bajo la firma de personal de defensa ECS Federal en Project Maven para "Información disponible públicamente... Agregación de datos" y un "enclave de información disponible públicamente" relacionado en la Red segura no clasificada del Ejército de EE. UU .

Las notables capacidades mundiales de Anomaly Six son representativas del salto cuántico que se está produciendo en el campo de OSINT. Si bien el término se usa a menudo para describir el trabajo de detective habilitado en Internet que se basa en registros públicos para, por ejemplo, identificar la ubicación de un crimen de guerra a partir de un video clip granulado, los sistemas "OSINT automatizados" ahora usan software para combinar enormes conjuntos de datos tan lejanos para uperar lo que un humano podría hacer por su cuenta. OSINT automatizado también se ha convertido en un nombre inapropiado, ya que utiliza información que de ninguna manera es de "fuente abierta" o de dominio público, como los datos comerciales de GPS que deben comprarse a un corredor privado.

Si bien las técnicas OSINT son poderosas, generalmente están protegidas de las acusaciones de violación de la privacidad porque la naturaleza de "código abierto" de la información subyacente significa que ya era pública en cierta medida. Esta es una defensa que Anomaly Six, con su tesoro de miles de millones de puntos de datos comprados, no puede reunir. En febrero, el Comité holandés de revisión de los servicios de inteligencia y seguridad emitió un informesobre las técnicas OSINT automatizadas y la amenaza a la privacidad personal que pueden representar: “El volumen, la naturaleza y la gama de datos personales en estas herramientas OSINT automatizadas pueden dar lugar a una violación de los derechos fundamentales, en particular el derecho a la privacidad, más grave que la consulta de datos de fuentes de información en línea de acceso público, como datos de redes sociales de acceso público o datos recuperados mediante un motor de búsqueda genérico”. Esta fusión de datos disponibles públicamente, registros personales adquiridos de forma privada y análisis computarizados no es el futuro de la vigilancia gubernamental, sino el presente. El año pasado, el New York Times informó que la Agencia de Inteligencia de Defensa "compra bases de datos disponibles comercialmente que contienen datos de ubicación de aplicaciones de teléfonos inteligentes y busca movimientos anteriores de estadounidenses sin una orden judicial", un método de vigilancia que ahora se practica regularmente en todo el Pentágono, el Departamento de Seguridad Nacional, el IRS y más allá.

Fuente: The Intercept

Exégesis Diario

Redacción de Exégesis Diario
Invitame un café en cafecito.app

Te puede interesar