Cuando un investigador de seguridad alemán, Matthias Marx, encontró un dispositivo militar de los Estados Unidos a la venta en eBay, un instrumento utilizado anteriormente para identificar a personas buscadas y terroristas conocidos durante la guerra en Afganistán, Marx apostó un poco y realizó una oferta baja de $ 68.
Probablemente no esperaba ganar, ya que ofreció menos de la mitad del precio solicitado por el vendedor, $149,95. Pero ganó, y después de eso, se esperaba una sorpresa aún mayor, informó The New York Times. Cuando el dispositivo llegó con una tarjeta de memoria dentro, Marx se sorprendió al darse cuenta de que, sin saberlo, había comprado los nombres, las nacionalidades, las fotografías, las huellas dactilares y los escaneos del iris de 2632 personas cuyos datos biométricos supuestamente habían sido escaneados por el ejército estadounidense.
El dispositivo supuestamente almacenó no solo información de identificación personal (PII) de personas aparentemente sospechosas, sino también de miembros del ejército estadounidense, personas en Afganistán que trabajaron con el gobierno y personas comunes detenidas temporalmente en los puntos de control militares. La mayoría de los datos provinieron de residentes de Afganistán e Irak.
Se suponía que todos estos datos se destruirían en el sitio, pero aparentemente eso nunca sucedió. La falta de borrado del dispositivo es consistente con las fallas ocasionales del ejército de los EE. UU. durante la última década, que han puesto a las personas que ayudaron al ejército de los EE. UU. y a los miembros del ejército de los EE. UU. en riesgo de ser identificados y atacados por los talibanes, informó The Times.
Actualmente, nadie está seguro de cuántas veces el dispositivo ha cambiado de manos desde que se usó por última vez en 2012 cerca de Kandahar, Afganistán.
Marx ha mostrado abundante cautela con los datos, negándose a compartir la base de datos electrónicamente con The Times. En cambio, The Times envió a un reportero en Alemania a la ubicación de Marx para ver los datos, luego se puso en contacto con al menos un estadounidense que confirmó que los datos probablemente eran suyos.
El secretario de prensa del Departamento de Defensa (DOD), el general de brigada Patrick S. Ryder, le dijo a The Times que tendrían que revisar los datos antes de confirmar su autenticidad.
“Debido a que no hemos revisado la información contenida en los dispositivos, el departamento no puede confirmar la autenticidad de los supuestos datos ni comentarlos”, dijo Ryder a The Times. “El departamento solicita que cualquier dispositivo que se crea que contiene información de identificación personal sea devuelto para un análisis más detallado”.
Los expertos le dijeron a The Times que si los datos son auténticos, esta violación en particular podría tener consecuencias fatales. Recomiendan que el gobierno de EE. UU. revise los datos, informe a todos los afectados por la violación y luego proporcione asilo a cualquier persona que aún se encuentre en Afganistán.
Cuando Marx descubrió los datos, dijo que se puso en contacto con el DOD, pero Marx le dijo a Ars que estaba «alarmado» cuando el DOD supuestamente no investigó ni tomó medidas para proteger a los afectados por la filtración.
“También imaginamos que los datos serían útiles para investigar cómo los dispositivos terminaron en línea y determinar quién más está potencialmente en peligro”, dijo Marx a Ars.
Marx le dijo a The Times que encontró «perturbador» el hecho de que los militares no eliminaron estos datos altamente confidenciales, alegando que «ni siquiera intentaron proteger los datos» y sugiriendo que esto se debía a que «no les importaba el riesgo, o ignoraron el riesgo”.