Una empresa de California confirmó que una falla en su sitio web permitió a personas ajenas a identificar la ubicación de teléfonos móviles en los Estados Unidos sin autorización.

Pero LocationSmart, que recopila datos en tiempo real en dispositivos móviles inalámbricos, dice que no tiene evidencia de que alguien haya explotado la vulnerabilidad antes del 16 de mayo, cuando lo descubrió un investigador de seguridad de Carnegie Mellon.

Brenda Schafer, un vicepresidente de LocationSmart, dijo por correo electrónico el viernes que la compañía todavía está tratando de verificar que no se haya accedido a ningún dato de ubicación sin el consentimiento de los suscriptores individuales. No respondió a las preguntas sobre las prácticas comerciales de LocationSmart o cuánto tiempo había existido la falla.

Los defensores de la privacidad dicen que el caso es el último en subrayar la facilidad con que los operadores inalámbricos pueden compartir o vender la información de geolocalización de los consumidores sin su consentimiento. La falla de LocationSmart fue reportada por primera vez por el periodista independiente Brian Krebs.

LocationSmart opera en un sector comercial poco conocido que proporciona datos a las empresas para usos tales como el seguimiento de los empleados y el envío de cupones electrónicos a los clientes que se encuentran cerca de las tiendas relevantes. Entre los clientes que LocationSmart identifica en su sitio web se encuentran la Asociación Estadounidense del Automóvil, FedEx y la compañía de seguros Allstate.

The New York Times informó a principios de este mes que una empresa llamada Securus Technologies proporcionó datos de ubicación de clientes móviles a un ex alguacil de Missouri acusado de usar los datos para rastrear personas sin una orden judicial. El miércoles, Motherboard informó que los servidores de Securus habían sido violados por un pirata informático que robó datos de usuarios que en su mayoría pertenecían a funcionarios encargados de hacer cumplir la ley.

Es posible que Securus haya obtenido sus datos de ubicación indirectamente de LocationSmart. Los funcionarios de Securus le dijeron a la oficina del senador Ron Wyden, un demócrata de Oregon, que obtuvieron los datos de una empresa llamada 3Cinterative, dijo el portavoz de Wyden, Keith Chu. LocationSmart incluye a 3Cinteractive entre sus clientes en su sitio web.

Wyden dijo que los casos LocationSmart y Securus subrayan los "peligros ilimitados" que enfrentan los estadounidenses debido a la ausencia de una regulación federal sobre los datos de geolocalización.

"Un pirata informático podría haber usado este sitio para saber cuándo estabas en tu casa para saber cuándo robarlo. Un depredador podría haber rastreado el teléfono celular de tu hijo para saber cuándo estaban solos, ", dijo en un comunicado.

Una portavoz de la Comisión Federal de Comunicaciones dijo que el caso de LocationSmart había sido remitido a la oficina de ejecución de la agencia para su investigación.

LocationSmart desconectó la página web defectuosa el jueves, un día después de que el estudiante de ciencias de la computación de la Universidad Carnegie Mellon, Robert Xiao, descubriera el error del software y notificara a la compañía, Xiao dijo a The Associated Press.

El error "permitió a cualquiera, en cualquier lugar del mundo, para buscar la ubicación de un teléfono celular de EE. UU., "dijo Xiao, un investigador de doctorado. "Podría marcar cualquier número de teléfono de 10 dígitos, "añadió, "y podría obtener la ubicación de cualquiera".

La página web fue diseñada para permitir a los visitantes probar el servicio de LocationSmart ingresando su número de teléfono celular. El servicio luego haría sonar su teléfono o enviaría un mensaje de texto para obtener el consentimiento, después de lo cual mostraría la ubicación del teléfono, generalmente a varios cientos de yardas.

Pero Xiao encontró una falla que le permitió eludir el consentimiento en solo 15 minutos. "No le tomaría mucho tiempo a nadie con suficiente conocimiento técnico encontrar esto, ", dijo. Escribió un guión para explotarlo.

La investigación de Xiao indicó que LocationSmart había ofrecido el servicio desde al menos enero de 2017.

LocationSmart se promociona a sí misma como la "empresa de ubicación como servicio más grande del mundo". Dice que obtiene información de ubicación de las principales compañías inalámbricas de EE. UU. Y Canadá, con una cobertura del 95 por ciento.

El portavoz de Verizon, Rich Young, dijo que la compañía ha tomado medidas para garantizar que Securus ya no pueda solicitar información sobre los clientes inalámbricos de la compañía y que estaba revisando su relación con LocationSmart. T-Mobile también dijo que ha "abordado los problemas que se identificaron con Securus y LocationSmart".

Los representantes de AT&T y Sprint dijeron que no permiten compartir información de ubicación sin el consentimiento individual o una orden legal como una orden judicial.

Gigi Sohn, ex asistente principal de la FCC durante la administración Obama, dijo que los datos de ubicación de los usuarios han estado en alto riesgo desde el año pasado. Fue entonces cuando el Congreso derogó las reglas de privacidad de la FCC que prohíben a los operadores de telefonía móvil compartir o vender sin el consentimiento expreso de "aceptación" de los clientes.

"Como mínimo, los consumidores deberían poder elegir si una empresa como LocationSmart debería tener acceso a estos datos, " ella dijo.

© 2018 The Associated Press. Reservados todos los derechos.