Anomaly Six, un contratista gubernamental secreto, afirma monitorear los movimientos de miles de millones de teléfonos en todo el mundo y desenmascarar espías con solo pulsar un botón.
EN LOS MESES previos a la invasión rusa de Ucrania, dos oscuras startups estadounidenses se reunieron para discutir una posible asociación de vigilancia que fusionaría la capacidad de rastrear los movimientos de miles de millones de personas a través de sus teléfonos con un flujo constante de datos comprados directamente en Twitter. Según Brendon Clark de Anomaly Six, o «A6», la combinación de su tecnología de seguimiento de la ubicación de teléfonos móviles con la vigilancia de las redes sociales proporcionada por Zignal Labs permitiría al gobierno de los Estados Unidos espiar sin esfuerzo a las fuerzas rusas mientras se acumulaban a lo largo de la frontera ucraniana, o rastrear de manera similar los submarinos nucleares chinos. Para demostrar que la tecnología funcionaba, Clark señaló los poderes del A6 hacia adentro, espiando a la Agencia de Seguridad Nacional y a la CIA, usando sus propios teléfonos móviles contra ellos.
Anomaly Six, con sede en Virginia, fue fundada en 2018 por dos exoficiales de inteligencia militar y mantiene una presencia pública que es escasa hasta el punto de ser misteriosa, su sitio web no revela nada sobre lo que realmente hace la empresa. Pero es muy probable que A6 sepa mucho de ti. La compañía es una de las muchas que compra vastas resmas de datos de ubicación, rastreando a cientos de millones de personas en todo el mundo explotando un hecho poco entendido: innumerables aplicaciones comunes para teléfonos inteligentes están cosechando constantemente su ubicación y transmitiéndola a los anunciantes, generalmente sin su conocimiento o consentimiento informado, confiando en divulgaciones enterradas en la legal de Una vez que su ubicación se transmite a un anunciante, actualmente no hay ninguna ley en los Estados Unidos que prohíba la venta y reventa de esa información a empresas como Anomaly Six, que son libres de venderla a su sector privado y a su clientela gubernamental. Para cualquier persona interesada en rastrear la vida cotidiana de los demás, la industria de la publicidad digital se está ocupando del trabajo gruñido día tras día; todo lo que un tercero necesita hacer es comprar acceso.
Los materiales de la empresa obtenidos por The Intercept y Tech Inquiry proporcionan nuevos detalles de lo poderosos que son los poderes de vigilancia que abarcan todo el mundo de Anomaly Six, capaces de proporcionar a cualquier cliente que pague habilidades previamente reservadas para oficinas de espionaje y militares.
Según las grabaciones audiovisuales de una presentación A6 revisada por The Intercept y Tech Inquiry, la empresa afirma que puede rastrear aproximadamente 3 mil millones de dispositivos en tiempo real, lo que equivale a una quinta parte de la población mundial. La asombrosa capacidad de vigilancia se citó durante un lanzamiento para proporcionar las capacidades de seguimiento telefónico de A6 a Zignal Labs, una empresa de monitoreo de redes sociales que aprovecha su acceso al flujo de datos de «mangueras de fuego» raramente concedido de Twitter para tamizar cientos de millones de tweets al día sin restricciones. Con sus poderes combinados, propuso A6, los clientes corporativos y gubernamentales de Zignal no solo pudieron vigilar la actividad global de las redes sociales, sino también determinar quién envió exactamente ciertos tweets, desde dónde los enviaron, con quién estaban, dónde habían estado anteriormente y a dónde fueron a continuación. Esta capacidad enormemente aumentada sería una bendición obvia para que tanto los regímenes controlen a sus adversarios globales como para las empresas que controlen a sus empleados.
La fuente de los materiales, que habló bajo condición de anonimato para proteger sus medios de vida, expresó su grave preocupación por la legalidad de los contratistas gubernamentales como Anomaly Six y Zignal Labs «revelando publicaciones sociales, nombres de usuario y ubicaciones de los estadounidenses» a los usuarios del «Departamento de Defensa». La fuente también afirmó que Zignal Labs había engañado deliberadamente a Twitter al retener los casos de uso más amplios de vigilancia militar y corporativa de su acceso a manguera de fuego. Los términos de servicio de Twitter prohíben técnicamente a un tercero «llevar a cabo o proporcionar vigilancia o recopilar inteligencia» utilizando su acceso a la plataforma, aunque la práctica es común y la aplicación de esta prohibición es rara. Cuando se le preguntó sobre estas preocupaciones, el portavoz Tom Korolsyshun dijo a The Intercept que «Zignal cumple con las leyes y directrices de privacidad establecidas por nuestros socios de datos».
A6 afirma que su red de arrastre GPS produce entre 30 y 60 pings de ubicación por dispositivo y día y 2,5 billones de puntos de datos de ubicación al año en todo el mundo, sumando hasta 280 terabytes de datos de ubicación por año y muchos petabytes en total, lo que sugiere que la compañía vigila aproximadamente 230 millones de dispositivos en un día promedio. El vendedor de A6 agregó que, si bien muchas empresas rivales recopilan datos de ubicación personal a través de las conexiones Bluetooth y Wi-Fi de un teléfono que proporcionan un paradero general, Anomaly 6 recopila solo puntos GPS, potencialmente precisos a menos de varios pies. Además de la ubicación, A6 afirmó que ha construido una biblioteca de más de 2.000 millones de direcciones de correo electrónico y otros datos personales que las personas comparten al registrarse en aplicaciones de teléfonos inteligentes que se pueden utilizar para identificar a quién pertenece el ping GPS. Todo esto está impulsado, señaló Clark de A6 durante el lanzamiento, por la ignorancia general de la ubicuidad y la invasividad de los kits de desarrollo de software para teléfonos inteligentes, conocidos como SDK: «Todo está acordado y enviado por el usuario a pesar de que probablemente no lea las 60 páginas en el [acuerdo de licencia de usuario final]».
The Intercept no pudo corroborar las afirmaciones de Anomaly Six sobre sus datos o capacidades, que se hicieron en el contexto de un argumento de venta. El investigador de privacidad Zach Edwards dijo a The Intercept que creía que las afirmaciones eran plausibles, pero advirtió que las empresas pueden ser propensas a exagerar la calidad de sus datos. El investigador de seguridad móvil Will Strafach estuvo de acuerdo, señalando que el abastecimiento de datos de A6 se jacta de «sonar alarmante, pero no está muy lejos de las afirmaciones ambiciosas de otros». Según Wolfie Christl, investigador especializado en las implicaciones de vigilancia y privacidad de la industria de datos de aplicaciones, incluso si las capacidades de Anomaly Six son exageradas o se basan en parte en datos inexactos, una empresa que posea incluso una fracción de estos poderes de espionaje sería profundamente preocupante desde el punto de vista de la privacidad personal.
Alcanzado para hacer comentarios, el portavoz de Zignal hizo la siguiente declaración: «Si bien Anomaly 6 ha demostrado en el pasado sus capacidades a Zignal Labs, Zignal Labs no tiene ninguna relación con Anomaly 6. Nunca hemos integrado las capacidades de Anomaly 6 en nuestra plataforma, ni hemos entregado Anomaly 6 a ninguno de nuestros clientes».
Cuando se le preguntó sobre la presentación de la empresa y sus capacidades de vigilancia, Brendan Huff, cofundador de Anomaly Six, respondió en un correo electrónico que «Anomaly Six es una pequeña empresa propiedad de veteranos que se preocupa por los intereses estadounidenses, la seguridad natural y entiende la ley».
Empresas como A6 se ven impulsadas por la ubicuidad de los SDK, que son paquetes de código llave en mano que los fabricantes de software pueden introducir en sus aplicaciones para añadir fácilmente funcionalidad y monetizar rápidamente sus ofertas con anuncios. Según Clark, el A6 puede desviar las mediciones exactas del GPS recopiladas a través de asociaciones encubiertas con «miles» de aplicaciones para teléfonos inteligentes, un enfoque que describió en su presentación como un «enfoque de la granja a la mesa para la adquisición de datos». Estos datos no solo son útiles para las personas que esperan venderle cosas: el comercio mundial de datos personales, en gran medida no regulado, está encontrando cada vez más clientes no solo en las agencias de marketing, sino también en las agencias federales que rastrean a los inmigrantes y los objetivos de drones, así como las sanciones y la evasión fiscal. Según los registros públicos reportados por primera vez por Motherboard, EE. UU. El Comando de Operaciones Especiales pagó a Anomaly Six 590.000 dólares en septiembre de 2020 por un año de acceso a la «alimentación de telemetría comercial» de la empresa.
El software Anomaly Six permite a sus clientes navegar por todos estos datos en una cómoda e intuitiva vista por satélite de la Tierra al estilo de Google Maps. Los usuarios solo necesitan encontrar una ubicación de interés y dibujar una caja a su alrededor, y A6 llena ese límite con puntos que denotan teléfonos inteligentes que pasaron por esa área. Al hacer clic en un punto, se le proporcionarán líneas que representan los movimientos del dispositivo, y de su propietario, alrededor de un vecindario, ciudad o, de hecho, el mundo entero.
A medida que el ejército ruso continuaba su acumulación a lo largo de la frontera del país con Ucrania, el representante de ventas de la A6 detalló cómo la vigilancia GPS podría ayudar a convertir a Zignal en una especie de agencia de espionaje privada capaz de ayudar a la clientela estatal a monitorear los movimientos de tropas. Imagina, explicó Clark, si los tuits de la zona de crisis, Zignal sale rápidamente a la superficie a través de la manguera de fuego fuera solo un punto de partida. Utilizando imágenes de satélite tuiteadas por cuentas que realizan investigaciones cada vez más populares de «inteligencia de código abierto» u OSINT, Clark mostró cómo el seguimiento GPS de A6 permitiría a los clientes de Zignal determinar no solo que se estaba llevando a cabo la acumulación militar, sino también rastrear los teléfonos de los soldados rusos a medida que se movilizaban para determinar exactamente dónde habían entrenado, dónde estaban estacionados y a qué unidades pertenecían. En un caso, Clark mostró el software A6 que rastreaba los teléfonos de las tropas rusas hacia atrás a través del tiempo, lejos de la frontera y de vuelta a una instalación militar fuera de Yurga, y sugirió que se podían rastrear más, todo el camino de vuelta a sus hogares individuales. Informes anteriores del Wall Street Journal indican que este método de seguimiento telefónico ya se utiliza para monitorear las maniobras militares rusas y que las tropas estadounidenses son igual de vulnerables.
En otra demostración del mapa A6, Clark se acercó de cerca a la ciudad de Molkino, en el sur de Rusia, donde, según se informa, tiene su sede el Grupo Wagner, una infame compañía mercenaria rusa. El mapa mostraba docenas de puntos que indicaban dispositivos en la base de Wagner, junto con líneas dispersas que mostraban sus movimientos recientes. «Así que puedes empezar a ver estos dispositivos», explicó Clark. «Cada vez que comienzan a abandonar la zona, estoy viendo la posible actividad previa al despliegue ruso para sus actores no estándar, su gente no uniforme. Así que si los ves entrar en Libia o la República Democrática del Congo o cosas así, eso puede ayudarte a entender mejor las posibles acciones de poder blando que están haciendo los rusos».
Para impresionar completamente a su audiencia el inmenso poder de este software, Anomaly Six hizo lo que pocos en el mundo pueden afirmar que hacen: espiar espías estadounidenses.
El argumento señaló que este tipo de vigilancia telefónica masiva podría ser utilizada por Zignal para ayudar a clientes no especificados con «contramensajería», desacreditando las afirmaciones rusas de que tales acumulaciones militares eran meros ejercicios de entrenamiento y no el período previo a una invasión. «Cuando están mirando la contramensajería, donde ustedes tienen una gran parte del valor que proporcionan a su cliente en la pieza de contramensajería es – [Rusia está] diciendo: ‘Oh, son solo ejercicios locales, regionales, um,’. Como, no. Podemos ver por los datos que vienen de toda Rusia».
Para impresionar completamente a su audiencia el inmenso poder de este software, Anomaly Six hizo lo que pocos en el mundo pueden afirmar que hacen: espiar espías estadounidenses. «Me gusta burlarme de nuestra propia gente», comenzó Clark. Al obtener una vista por satélite similar a la de Google Maps, el representante de ventas mostró la sede de la NSA en Fort Meade, Maryland, y la sede de la CIA en Langley, Virginia. Con cajas de límites virtuales dibujadas alrededor de ambos, una técnica conocida como geocerca, el software de A6 reveló una increíble recompensa de inteligencia: 183 puntos que representan teléfonos que habían visitado ambas agencias potencialmente pertenecientes al personal de inteligencia estadounidense, con cientos de líneas que se extienden hacia afuera revelando sus movimientos, listas para rastrear en todo el mundo. «Así que, si soy un oficial de inteligencia extranjero, esos son 183 puntos de partida para mí ahora», señaló Clark.
Tanto la NSA como la CIA se negaron a hacer comentarios.
Hacer clic en uno de los puntos de la NSA permitió a Clark seguir los movimientos exactos de ese individuo, prácticamente en cada momento de su vida, desde el año anterior hasta el presente. «Quiero decir, solo piensa en cosas divertidas como el abastecimiento», dijo Clark. «Si soy un oficial de inteligencia extranjero, no tengo acceso a cosas como la agencia o el fuerte, puedo encontrar dónde viven esas personas, puedo encontrar a dónde viajan, puedo ver cuándo salen del país». La manifestación luego rastreó al individuo alrededor de los Estados Unidos y en el extranjero hasta un centro de entrenamiento y aeródromo aproximadamente a una hora en coche al noroeste de la Base Aérea de Muwaffaq Salti en Zarqa, Jordania, donde, según se informa, Estados Unidos mantiene una flota de drones.
«No se necesita mucha creatividad para ver cómo los espías extranjeros pueden usar esta información para espionaje, chantaje, todo tipo de, como solían decir, actos cobardes».
«Seguro que hay una grave amenaza para la seguridad nacional si un corredor de datos puede rastrear a un par de cientos de funcionarios de inteligencia hasta sus hogares y en todo el mundo», dijo el Sen. Ron Wyden, demócrata de origen, un crítico vocal de la industria de los datos personales, dijo a The Intercept en una entrevista. «No se necesita mucha creatividad para ver cómo los espías extranjeros pueden usar esta información para espionaje, chantaje, todo tipo de, como solían decir, actos cobardes».
En Estados Unidos, la persona fue rastreada hasta su propia casa. El software de A6 incluye una función llamada «Regularidad», un botón que los clientes pueden pulsar que analiza automáticamente las ubicaciones visitadas con frecuencia para deducir dónde vive y trabaja un objetivo, a pesar de que los puntos GPS obtenidos por A6 omiten el nombre del propietario del teléfono. Los investigadores de privacidad han demostrado durante mucho tiempo que incluso los datos de ubicación «anónimos» son trivialmente fáciles de adjuntar a un individuo en función de dónde más frecuentan, un hecho confirmado por la propia demostración de A6. Después de pulsar el botón «Regularidad», Clark acercó una imagen de Google Street View de su casa.
«La industria ha afirmado repetidamente que recopilar y vender estos datos de ubicación de teléfonos móviles no violará la privacidad porque están vinculados a números de identificación de dispositivo en lugar de a los nombres de las personas. Esta característica demuestra lo fáciles que son esas afirmaciones», dijo Nate Wessler, subdirector del Proyecto de Discurso, Privacidad y Tecnología de la Unión Americana de Libertades Civiles. «Por supuesto, seguir los movimientos de una persona las 24 horas del día, día tras día, te dirá dónde vive, dónde trabaja, con quién pasa tiempo y quiénes son. La violación de la privacidad es inmensa».
La demostración continuó con un ejercicio de vigilancia que etiquetaba los movimientos navales de EE. UU., utilizando una foto de satélite tuiteada del USS Dwight D. Eisenhower en el mar Mediterráneo tomado por la firma comercial Maxar Technologies. Clark desglosó cómo una sola instantánea de satélite podría convertirse en vigilancia que, según él, era aún más poderosa que la ejecutada desde el espacio. Utilizando las coordenadas de latitud y longitud anexas a la foto de Maxar junto con su marca de tiempo, el A6 pudo captar una sola señal telefónica desde la posición del barco en ese momento, al sur de Creta. «Pero solo se necesita uno», señaló Clark. «Así que cuando miro hacia atrás a dónde va ese dispositivo: Oh, vuelve a Norfolk. Y en realidad, en el transportista de la imagen del satélite, ¿qué más hay en el transportista? Cuando miras, aquí están todos los demás dispositivos». Su pantalla reveló una vista del transportista atracado en Virginia, repleto de miles de puntos coloridos que representan pings de ubicación del teléfono recogidos por A6. “Bueno, ahora puedo ver cada vez que esa nave se está desplegando. No necesito satélites en este momento. Puedo usar esto».
Aunque Clark admitió que la compañía tiene muchos menos datos disponibles sobre los propietarios de teléfonos chinos, la demostración concluyó con un ping GPS recogido a bordo de un presunto submarino nuclear chino. Utilizando solo imágenes satelitales no clasificadas y datos publicitarios comerciales, Anomaly Six pudo rastrear los movimientos precisos de las fuerzas militares y de inteligencia más sofisticadas del mundo. Con herramientas como las vendidas por A6 y Zignal, incluso un aficionado a OSINT tendría poderes de vigilancia global anteriormente solo en manos de las naciones. «La gente pone demasiado en las redes sociales», añadió Clark riendo.
A medida que los datos de ubicación han proliferado en gran medida sin control por la supervisión del gobierno en los Estados Unidos, una mano lava a otra, creando un sector privado capaz de poderes de vigilancia a nivel estatal que también pueden alimentar el creciente apetito del estado por la vigilancia sin el escrutinio judicial habitual. Los críticos dicen que el comercio suelto de datos publicitarios constituye una laguna en la Cuarta Enmienda, que requiere que el gobierno presente su caso a un juez antes de obtener coordenadas de ubicación de un proveedor de telefonía móvil. Pero la mercantilización total de los datos telefónicos ha hecho posible que el gobierno se salte la orden judicial y simplemente compre datos que a menudo son aún más precisos de lo que podrían proporcionar empresas como Verizon. Los libertarios civiles dicen que esto deja una peligrosa brecha entre las protecciones previstas por la Constitución y la comprensión de la ley sobre el comercio de datos moderno.
«La Corte Suprema ha dejado claro que la información de ubicación de los teléfonos móviles está protegida por la Cuarta Enmienda debido a la imagen detallada de la vida de una persona que puede revelar», explicó Wessler. «Las compras de acceso de las agencias gubernamentales a los datos confidenciales de ubicación de los estadounidenses plantean serias dudas sobre si están involucradas en una carrera final ilegal en torno al requisito de la orden judicial de la Cuarta Enmienda. Es hora de que el Congreso ponga fin a la inseguridad jurídica que permite esta vigilancia de una vez por todas avanzando hacia la aprobación de la Ley de la Cuarta Enmienda No Está en Venta».
Aunque dicha legislación podría restringir la capacidad del gobierno para aprovechar la vigilancia comercial, los fabricantes de aplicaciones y los corredores de datos seguirían siendo libres de vigilar a los propietarios de teléfonos. Aun así, Wyden, copatrocinador de ese proyecto de ley, dijo a The Intercept que cree que «esta legislación envía un mensaje muy fuerte» al «Salvaje Oeste» de la vigilancia basada en anuncios, pero que la represión de la cadena de suministro de datos de ubicación sería «ciertamente una pregunta para el futuro». Wyden sugirió que la mejor manera de proteger el rastro de ubicación de un dispositivo de husmear aplicaciones y anunciantes podría ser manejado mejor por la Comisión Federal de Comercio. Una legislación separada introducida anteriormente por Wyden permitiría a la FTC tomar medidas enérgicas contra el intercambio promiscuo de datos y ampliaría la capacidad de los consumidores para optar por no participar en el seguimiento de anuncios.
A6 está lejos de ser la única empresa dedicada a la vigilancia privatizada del seguimiento de dispositivos. Tres de los empleados clave de Anomaly Six trabajaron anteriormente en la firma competidora Babel Street, que nombró a los tres en una demanda de 2018 reportada por primera vez por el Wall Street Journal. Según la presentación legal, Brendan Huff y Jeffrey Heinz cofundaron Anomaly Six (y Datalus 5 menos conocido) meses después de terminar su empleo en Babel Street en abril de 2018, con la intención de replicar el producto de vigilancia de la ubicación de teléfonos móviles de Babel, «Locate X», en asociación con el principal competidor de Babel Semantic En julio de 2018, Clark siguió a Huff y Heinz renunciando a su puesto como «interfaz principal de Babel para … clientes de la comunidad de inteligencia» y convirtiéndose en empleado tanto de Anomaly Six como de Semantic.
Al igual que su rival Dataminr, Zignal promociona sus asociaciones mundanas con personas como Levi’s y Sacramento Kings, comercializándose públicamente en términos vagos que llevan pocas indicaciones de que utilice Twitter con fines de recopilación de inteligencia, aparentemente en clara violación de la política antivigilancia de Twitter. Los vínculos de Zignal con el gobierno son profundos: la junta asesora de Zignal incluye a un ex jefe de los EE. UU. El Comando de Operaciones Especiales del Ejército, Charles Cleveland, así como el CEO del Grupo Rendon, John Rendon, cuya biografía señala que «pionero en el uso de las comunicaciones estratégicas y la gestión de la información en tiempo real como un elemento del poder nacional, sirviendo como consultor de la Casa Blanca, EE. UU. Comunidad de Seguridad Nacional, incluidos los EE. UU. Departamento de Defensa”. Además, los registros públicos afirman que a Zignal se le pagaron aproximadamente 4 millones de dólares para subcontratar bajo la firma de personal de defensa ECS Federal en el Proyecto Maven para «Información Disponible Públicamente … Agregación de Datos» y un «enclave de Información Disponible Pública» relacionado en los EE. UU. Red segura no clasificada del ejército.
Las notables capacidades de Anomalía Seis que abarcan el mundo son representativas del salto cuántico que se produce en el campo de OSINT. Si bien el término se usa a menudo para describir el trabajo de detectives habilitado para Internet que se basa en registros públicos para, por ejemplo, identificar la ubicación de un crimen de guerra a partir de un clip de vídeo granulado, los sistemas «OSINT automatizado» ahora utilizan software para combinar enormes conjuntos de datos que superan con creces lo que un ser humano podría hacer por su cuenta. La OSINT automatizada también se ha convertido en una especie de nombre inapropiado, utilizando información que de ninguna manera es de «código abierto» o de dominio público, como los datos comerciales de GPS que deben comprarse a un corredor privado.
Si bien las técnicas de OSINT son poderosas, generalmente están protegidas de las acusaciones de violación de la privacidad porque la naturaleza de «código abierto» de la información subyacente significa que ya era hasta cierto punto pública. Esta es una defensa que Anomaly Six, con su tesoro de miles de millones de puntos de datos comprados, no puede reunir. En febrero, el Comité de Revisión Holandés de los Servicios de Inteligencia y Seguridad emitió un informe sobre las técnicas automatizadas de OSINT y la amenaza a la privacidad personal que pueden representar: «El volumen, la naturaleza y la gama de datos personales en estas herramientas automatizadas de OSINT pueden conducir a una violación más grave de los derechos fundamentales, en particular el derecho a la privacidad, que consultar datos de fuentes de información en línea de acceso público, como datos de redes sociales de acceso público o datos recuperados utilizando un motor de búsqueda genérico». Esta fusión de datos disponibles públicamente, registros personales adquiridos de forma privada y análisis computarizado no es el futuro de la vigilancia gubernamental, sino el presente. El año pasado, el New York Times informó que la Agencia de Inteligencia de Defensa «compra bases de datos disponibles comercialmente que contienen datos de ubicación de aplicaciones de teléfonos inteligentes y los busca en los movimientos pasados de los estadounidenses sin una orden judicial», un método de vigilancia que ahora se practica regularmente en todo el Pentágono, el Departamento de Seguridad Nacional, el IRS y más allá.
Fuente: https://theintercept.com/2022/04/22/anomaly-six-phone-tracking-zignal-surveillance-cia-nsa/
QAnons España 