Conecta con nosotros

Noticias

Brecha en app de delivery rusa permite saber qué piden, y desde dónde, los servicios secretos

Publicado el

Brecha en app de delivery rusa permite saber qué cenan, y desde dónde, los servicios secretos

Una brecha de seguridad de la app rusa Yandex Food, que ha desembocado en un robo de datos a gran escala del servicio ha puesto al descubierto los hábitos alimenticios de varias miembros de la policía secreta de Rusia y de otras agencias de seguridad. Pero no solo eso: también desde dónde piden, los números de teléfono desde los que lo hacen, las instrucciones de reparto, y sus nombres. Así lo asegura el grupo de investigadores Bellingcat, que ha podido extraer estos datos a raíz del análisis de los datos obtenidos que se han filtrado en Internet.

Yandex Food, una filial de la principal compañía de Internet de Rusia, Yandex, reconoció que había sufrido una filtración el pasado 1 de marzo, de la que culpó a «acciones poco honestas» de uno de sus empleados, y asegurando que la filtración no incluía la información de conexión a sus cuentas de sus usuarios. Desde entonces, el regulador de comunicaciones ruso, el Roskomnadzor, ha amenazado con multar a la empresa con hasta 100.000 rublos, que al cambio son poco más de 1.150 dólares, por la filtración.

En total, según Reuters, la filtración dejó al descubierto los datos de 58.000 usuarios del servicio, que quedaron expuestos en un mapa, al que el Roskomnadzor bloqueó el acceso para intentar ocultar la información de ciudadanos de a pié, al parecer. Pero seguro que lo que más le interesaba no era eso, sino ocultar los datos de personas relacionadas con los servicios de seguridad y con el ejército ruso que aparecían en el mapa.

Los investigadores de Bellingcat han conseguido acceso a los datos filtrados, y los han peinado en busca de pistas y datos de personas relevantes. Y los han encontrado. Unos de los individuos que han localizado está relacionado con el envenenamiento del líder de la oposición rusa Alñexei Navalny. Buscando en la base de datos varios números de teléfono que habían conseguido en una investigación anterior, los miembros de Bellingcat localizaron el nombre de la persona que estaba en contacto con el Servicio de seguridad federal de Rusia, el FSB, para planear el envenenamiento de Navalny. Según los investigadores, esta persona utilizó su dirección de email de trabajo para registrarse en Yandex Food, lo que ha permitido asegurar su identidad.

Por otro lado, tras examinar la información filtrada y cruzarla con los números de teléfono que tienen en Bellingcat de individuos relacionados con la Junta directiva principal de la inteligencia de Rusia, la GRU, es decir, la Agencia de inteligencia militar extranjera del país. Los investigadores descubrieron el nombre de uno de sus agentes, Yevgeny, y han podido relacionarle con al Ministerio de asuntos exteriores de Rusia y encontrar la información de registro de su vehículo.

Bellingcat también cruzó los datos filtrados con direcciones físicas concretas. Así, cuando buscaron la sede del GRU en Moscú, descubrieron solo cuatro resultados, lo que es una muestra de que sus empleados no usan la app, o prefieren pedir en restaurantes que están a poca distancia a pie de la sede. Pero cuando buscaron la dirección del Centro de operaciones especiales del FSB en Un suburbio de Moscú, obtuvieron 20 resultados. Algunos contenían instrucciones de reparto interesantes, que alertaban a los repartidores de que la dirección de reparto es una base militar. Un par dijeron a sus repartidores instrucciones para llamarse antes de llegar para recoger el pedido en un punto exterior al Centro.

Pot otra parte, un político ruso partidario de Navalny, Lyubov Sobol, ha asegurado que la información filtrada ha llevado incluso a conocer información sobre una de las antiguas amantes de Vladimir Putin, así como de una supuesta hija secreta. Entre ellos, su nombre, dirección y datos de la vivienda desde donde se hicieron los pedidos.

A la vista de esto, los datos que atesora cualquier app de reparto de comida pueden resultar bastante jugosos para investigadores o gente con malas intenciones, tal como se vio en 2019 con una filtración de datos de la app de reparto DoorDash, que puso al descubierto nombres, direcciones de email, números de teléfono, direcciones de reparto y las contraseñas, cifradas, de 4,9 millones de personas, muchísimas más de las afectadas por esta filtración de Yandex Food, lo que puede dar una idea de la información que pudo ofrecer a terceros.

Redactora de tecnología con más de 15 años de experiencia, salté del papel a la Red y ya no me muevo de ella. Inquieta y curiosa por naturaleza, siempre estoy al día de lo que pasa en el sector.

Lo más leído

Suscríbete gratis a MCPRO

La mejor información sobre tecnología para profesionales IT en su correo electrónico cada semana. Recibe gratis nuestra newsletter con actualidad, especiales, la opinión de los mejores expertos y mucho más.

¡Suscripción completada con éxito!