Hace más de una década, cerca de Kandahar, Afganistán, el ejército de EE. UU. empleó por última vez uno de sus dispositivos Secure Electronic Enrollment Kit (SEEK II). La pieza de tecnología, un rectángulo negro grueso que se usa para escanear huellas dactilares e iris, se apagó y se guardó.

Es decir, hasta agosto de 2022, cuando Matthias Marx, un investigador de seguridad alemán, compró el dispositivo por $68 en eBay (una ganga, aproximadamente la mitad del precio indicado). Pero eso no es todo. Por el bajo precio de menos de $ 70, Marx, sin darse cuenta, también había comprado datos confidenciales de identificación de miles de personas. Nombres, nacionalidades, fotos y descripciones detalladas acompañaron los escaneos biométricos de huellas dactilares e iris de 2632 personas, según un informe de The New York Times.

Desde la zona de guerra hasta la subasta de equipos gubernamentales y la entrega en eBay, aparentemente ningún funcionario del Pentágono pensó en quitar la tarjeta de memoria contenida en el SEEK II en particular con el que terminó Marx. “El manejo irresponsable de esta tecnología de alto riesgo es increíble”, dijo el investigador al Times. “Es incomprensible para nosotros que al fabricante y a los antiguos usuarios militares no les importe que los dispositivos usados con datos confidenciales se vendan online”, agregó.

La mayor parte de la información contenida en SEEK II eran datos recopilados sobre personas que el ejército de los EE. UU. había identificado como terroristas o personas buscadas, según el Times. Sin embargo, otros eran simplemente civiles que habían sido detenidos en los puestos de control en el Medio Oriente o incluso aquellos que habían ayudado al gobierno de los EE. UU. Y toda esa información podría usarse fácilmente para rastrear a alguien, lo que hace que el dispositivo y los datos que lo acompañan sean particularmente peligrosos si terminaran en las manos equivocadas. Por ejemplo, con los talibanes que podrían tener un interés creado en encontrar y castigar a las personas que trabajaron con las fuerzas estadounidenses en la región.

El secretario de prensa del Departamento de Defensa, el general Patrick S. Ryder le dijo al NYT que el departamento no podía confirmar la autenticidad de los datos ni comentarlos. El dispositivo debe ser devuelto a los militares, dijo Ryder además, y proporcionó al Times una dirección en Fort Belvoir en Virginia.

Marx y sus co-investigadores del Chaos Computer Club, que se describe a sí mismo como la asociación de hackers más grande de Europa, compraron el SEEK II junto con otros cinco dispositivos de captura biométrica, todos comprados en eBay. El grupo planeó analizar las máquinas en busca de posibles vulnerabilidades luego de un informe de 2021 de The Intercept sobre los talibanes que incautaron dicha tecnología militar.

Pero a pesar de que Marx se había propuesto desde el principio evaluar el riesgo asociado con los dispositivos biométricos, todavía estaba alarmado por el alcance de lo que encontró. Además de los miles identificados en el único dispositivo SEEK II utilizado por última vez en Afganistán, un segundo SEEK II comprado por CCC y utilizado por última vez en Jordania en 2013 contenía datos sobre las tropas estadounidenses, probablemente recopilados durante el entrenamiento, según el Times. 

El hardware militar nunca estuvo destinado a terminar a la venta en el “mercado online del mundo”. En cambio, la Agencia de Logística de Defensa le dijo al NYT que estos dispositivos SEEK II deberían haberse destruido en el sitio tan pronto como dejaron de usarse. El DOD se hizo eco de esta explicación en un correo electrónico a Gizmodo. “Los artículos militares como [dispositivos biométricos] generalmente están marcados para la desmilitarización por parte de los Servicios antes del despliegue, y el [DLA] tendría que destruirlos al regresar”, escribió la portavoz del DOD, comandante Nicole Schwegman. “Ninguno de estos artículos está disponible para la venta al por menor”, agregó. Gizmodo se acercó a la DLA con preguntas sobre cómo las máquinas de Marx podrían haber fallado, pero no recibió una respuesta de inmediato.

Aunque la ruta exacta de los dispositivos que obtuvo CCC no está clara, uno de los vendedores le dijo al Times que la compañía adquirió el SEEK II en una subasta de equipos gubernamentales.

La lista de productos electrónicos que contienen información personal o identificable viola la política de la empresa de eBay, dijo un portavoz al NYT. Los usuarios que enumeren dichos artículos pueden enfrentar acciones que incluyen la suspensión permanente, según se informa, dijo la compañía.

Actualmente, sin embargo, varios dispositivos biotecnológicos militares idénticos o similares todavía están a la venta en eBay. Puedes comprar un SEEK II tú mismo (aparentemente un excedente de la Patrulla Fronteriza) por solo unos cientos de dólares. Pero hazlo rápido porque el interés parece estar aumentando. eBay no respondió de inmediato a las preguntas de Gizmodo ni a la solicitud de comentarios.

Fuentes:

https://es.gizmodo.com/un-dispositivo-militar-que-contiene-datos-biometricos-d-1849933515