El Pentágono ha confirmado que adversarios rastrean a tropas en zona de combate mediante datos de localización comprados a brokers comerciales. La carta del Mando Central (CENTCOM) al senador Ron Wyden, fechada el 14 de abril, admite por primera vez lo que los expertos en ciberseguridad llevan años denunciando: el mercado de datos de móvil es una infraestructura de vigilancia al alcance de cualquiera con dinero.
De la advertencia de Strava a la confirmación oficial
No es una sorpresa nueva. En 2018, la aplicación de fitness Strava dejó expuestas bases militares secretas en Afganistán, Irak y Siria a través de los mapas de calor que generaban sus usuarios. Aquella fue la primera señal de alarma masiva. Desde entonces, investigadores de Citizen Lab, Bellingcat y empresas como Mandiant han documentado cómo los mismos datos que las aplicaciones gratuitas venden a intermediarios publicitarios pueden identificar a militares, contratistas e incluso a personal de inteligencia. Le adelanto que la diferencia ahora es que ya no hablamos de potencialidad: CENTCOM ha recibido múltiples informes de explotación real de datos comerciales de localización para rastrear o vigilar a personal en teatro.
‘Hemos recibido múltiples reportes de amenazas sobre explotación adversaria de datos de localización comerciales para localizar o vigilar a personal estadounidense en zona de operaciones’, reza el texto filtrado. La célula de fusión de amenazas del Mando Central ya ha diseminado evaluaciones a los responsables de protección de la fuerza. No es un ejercicio de gabinete, es una respuesta a incidentes concretos.
El ecosistema publicitario como arma de vigilancia sin necesidad de un zero-day
La carta desvela un dato especialmente incómodo: la prohibición de llevar smartphones personales en destino no existe. Las tropas reciben directrices de seguridad operacional (OPSEC) para desactivar la geolocalización y revisar los permisos de privacidad. Pero el propio CENTCOM reconoce que desactivar la geolocalización no siempre la desactiva por completo en los productos comerciales. El ajuste de ‘información de segmentación publicitaria’ permanece configurable por el usuario, y basta con que un soldado no lo cambie para que su dispositivo siga emitiendo datos útiles.
Piense en ello por un momento. El enemigo no necesita infiltrar un topo en la base ni lanzar un ataque de phishing sofisticado. Le basta con comprar un lote de datos en un mercado secundario donde confluyen miles de aplicaciones. Sin zero-days, sin spyware estilo Pegasus. Solo un ecosistema publicitario que no fue diseñado pensando en la seguridad operacional de una fuerza desplegada. Como he escrito en más de una ocasión: si la aplicación es gratuita, alguien está pagando por los datos. Y a veces ese alguien no es un anunciante.
La migración a un nuevo servidor de gestión de dispositivos móviles, que debería permitir desactivar por completo los servicios de localización, estaba prevista para el pasado 6 de mayo de 2026. A fecha de hoy no hay confirmación pública de que se haya completado. Pero incluso si ya está operativo, el desfase temporal es elocuente: casi una década de advertencias hasta que se ha tomado una medida técnica de raíz.
El rastreo no necesita un zero-day ni un spyware de estado; solo necesita que alguien pague por los datos que tu teléfono ya está vendiendo.
Dossier Moncloa: Ojos en la Sombra
Lo veo como un punto de inflexión. Durante años, los debates sobre ciberguerra se han centrado en los grupos APT, en los exploits de día cero y en los grandes apagones de infraestructura crítica. Pero esta admisión coloca en primer plano una verdad incómoda: la inteligencia más barata y eficaz a menudo no procede de un SIGINT estatal, sino de las migajas que la economía de la vigilancia comercial deja caer.
El vector de amenaza es cristalino. Hablamos de explotación de datos de localización comerciales con fines de vigilancia hostil. No se necesita una agencia de inteligencia: cualquier Estado o grupo con presupuesto puede comprar acceso a los flujos de brokers que agregan información de miles de aplicaciones. El defensor, en este caso, es el Mando Central estadounidense, pero el riesgo es sistémico para toda la OTAN. El tercer actor —el que mira— somos todos: aliados que enviamos tropas a misiones internacionales sin garantías plenas de que sus dispositivos no delaten sus posiciones.
En España, el CNI y el Mando Conjunto del Ciberespacio conocen bien esta debilidad. He hablado con fuentes de Moncloa que reconocen que el despliegue de efectivos en Líbano o Irak se enfrenta al mismo dilema. La diferencia es de recursos: mientras DISA prueba parches en los móviles del Pentágono, aquí nos debatimos entre directrices OPSEC que el propio CENTCOM admite como insuficientes.
El nivel de clasificación estimado de la carta filtrada es ‘Sin Clasificar pero Sensible’. Pero la trascendencia de la información operacional que recoge —patrones de movimiento, concentraciones de tropas, rutinas diarias— la eleva de facto a material que los analistas tratarían como confidencial. Recuerdo aquí el precedente de Strava, pero también los trabajos de académicos que en 2021 ya demostraron que podían identificar a personal de inteligencia a través de datos móviles públicos. Aquello no fue una curiosidad académica; era un aviso.
Permítame que subraye la paradoja. El soldado contemporáneo es también un consumidor digital. Su móvil, su pulsera de actividad o la app del tiempo le conectan a un mercado global de datos. Desconectarle de ese mercado exigiría medidas que chocan con los hábitos de una generación hiperconectada. Por eso, incluso cuando se imponen políticas estrictas, el factor humano desborda cualquier cortafuegos. Ya escribí en El quinto elemento que el próximo 11S empezará con un clic; hoy añadiría que también puede empezar con un inocente check-in en una aplicación de correr.
La carta al Senado es, en fin, un acta de defunción de la ilusión de que las políticas de ‘desactivar la geolocalización’ bastan. A partir de aquí, la pregunta incómoda que nadie quiere responder es cuántas víctimas habrá costado este desfase entre arquitectura técnica y doctrina de seguridad.
