La privacidad de millones de estadounidenses se vio comprometida esta semana, luego de que se descubrió un bug en un sitio web de una firma de seguimiento de móviles en tiempo real expuso las ubicaciones de los usuarios y el teléfono celular de cualquiera de ellos. Esto quiere decir que cualquiera pudo ver dónde estaba una persona sin su consentimiento.

Un informe de ZDNet reveló esta semana que los principales operadores de telefonía móvil en Estados Unidos, como AT&T, T-Mobile, Verizon y Sprint, estaban vendiendo el acceso a sus datos de ubicación de móviles en tiempo real.

Una de las firmas a la que se vendieron estos datos parece ser LocationSmart, ya que su sitio web hace alarde de sus conexiones directas con los operadores de telefonía móvil para obtener ubicaciones de torres celulares cercanas.

Dicha firma habilitó un sitio web que permite probar la función antes de pagar por ella, y que aparentemente requiere del consentimiento del usuario antes de que sus datos de ubicación sean utilizados.

Pues bien, resulta que al intentar rastrear el número de teléfono de varias personas, un investigador de seguridad informática de la Universidad Carnegie Mellon descubrió que podía acceder a la ubicación real de estos usuarios sin su permiso. Su nombre es Robert Xiao, y afirmó que debido a un error muy elemental en el sitio web, el sistema omite el consentimiento del usuario y va directamente hacia su ubicación.

Este nuevo método permite a los hackers ocultar malware sin ser detectado

En este sentido, Xiao considera que LocatioSmart nunca necesitó el consentimiento de los usuarios para revelar sus ubicaciones. Luego de que el investigador reveló el error a la compañía, el sitio web de prueba fue eliminado.

La cantidad de usuarios de smartphones que pudieron estar expuestos con este error, según Xiao, asciende a los 200 millones de clientes. The New York Times también dio a conocer un caso similar a finales de la semana pasada, donde un agente de policía en Mississippi obtuvo la ubicación de varias personas a través de Securus, un cliente de LocationSmart. Lo peor de todo es que lo hizo sin una orden judicial.