Un investigador de seguridad alemán que compró en eBay un escáner biométrico militar estadounidense descubrió que contenía las huellas dactilares y el iris de 2.632 personas, informa el New York Times.
Un investigador de seguridad alemán adquirió inadvertidamente las huellas dactilares y el iris de unas 2.632 personas tras pujar con éxito por un dispositivo portátil de captura biométrica en eBay, informa The New York Times.
Matthias Marx, de Hamburgo (Alemania), descubrió que el dispositivo, que le costó sólo 68 dólares, es en realidad una máquina biométrica construida por el Pentágono, que se utilizó en Afganistán e Irak. Contiene más de 2.000 escaneos de huellas dactilares e iris, así como nombres y nacionalidades de personas, en su tarjeta de memoria.
Marx, que permitió a un periodista del Times revisar la información contenida en el dispositivo, descubrió que la mayoría de las huellas dactilares y los escaneos del iris pertenecen a personas de Afganistán e Irak y que muchas de ellas son conocidos terroristas y personas buscadas. Algunos, sin embargo, parecen ser personas que trabajaron con el gobierno estadounidense o que fueron detenidas en puestos de control de esos países controlados por Estados Unidos.
El dispositivo formaba parte de un programa de registro biométrico dirigido por el Pentágono que, al parecer, se diseñó para ayudar a detener e identificar a posibles agentes talibanes dentro de las bases del ejército afgano, tras una serie de tiroteos contra soldados estadounidenses por parte de tropas y policías afganos.
Gefährliche Ansammlung biometrischer Daten: CCC erwarb Gerät des US-Militärs mit Namen, Fotos, Fingerabdrücken, Iris-Scans https://t.co/Hynn9Dqnie
— CCC Updates (@chaosupdates) December 27, 2022
Al parecer, la máquina, denominada Secure Electronic Enrollment Kit (SEEK II), se utilizó por última vez en el verano de 2012 cerca de Kandahar (Afganistán). Dispone de una pantalla y un teclado diminutos, una pequeña alfombrilla de ratón y un lector de huellas dactilares. Para escanear el iris, la máquina se despliega para hacer fotos. Marx cuenta al Times que, cuando utilizó el dispositivo consigo mismo, apareció un mensaje en el que se le pedía que se conectara a un servidor del Mando de Operaciones Especiales de Estados Unidos para cargar los nuevos «datos biométricos recopilados».
En una declaración al Times, el general de brigada Patrick S. Ryder, secretario de prensa del Departamento de Defensa, dijo: «Dado que no hemos revisado la información contenida en los dispositivos, el departamento no puede confirmar la autenticidad de los supuestos datos ni hacer ningún otro comentario al respecto. El departamento solicita que se devuelva cualquier dispositivo que se crea que contiene información personal identificable para su posterior análisis.»
Marx pertenece a un pequeño grupo de investigadores del Chaos Computer Club, una asociación europea de hackers, que compró seis dispositivos de captura biométrica en eBay, con el fin de detectar cualquier vulnerabilidad o fallo de diseño. El proyecto se inició a raíz de los informes de que los talibanes se habían apoderado de tales dispositivos tras la evacuación estadounidense de Afganistán el año pasado. Los investigadores querían saber si los talibanes podrían haber obtenido datos biométricos de personas que habían ayudado a Estados Unidos. Los investigadores compraron seis dispositivos: cuatro de los mencionados SEEK y dos Handheld Interagency Identity Detection Equipment (HIIDE).
Se descubrió que dos de los SEEK contenían datos sensibles y que el segundo contenía al parecer las huellas dactilares y los escáneres de iris de un «pequeño grupo de miembros del servicio estadounidense.» Se había utilizado por última vez en Jordania en 2013, informa el Times.
El dispositivo que contenía los 2.632 escáneres de huellas dactilares e iris fue vendido a Marx por una empresa de equipos de Texas llamada Rhino Trade. El tesorero de la empresa, David Méndez, declaró al Times que lo habían comprado en una subasta de material gubernamental y dijo que no se había dado cuenta de que un dispositivo militar dado de baja contendría datos sensibles.
El segundo dispositivo SEEK II, que contenía las huellas dactilares de las tropas estadounidenses, procedía de un vendedor de eBay de Ohio llamado Tech-Mart, que declinó decir cómo habían sido adquiridos este dispositivo y los otros dos vendidos a los investigadores. Un portavoz de eBay explica al Times que la política de la empresa prohíbe la venta de dispositivos electrónicos que contengan datos personales confidenciales.