Relojes inteligentes, la grieta invisible en la seguridad de nuestros líderes: el caso Strava y la amenaza silenciosa de la tecnología “inofensiva”.
En el siglo XXI, los ciberataques ya no se producen solo a través de ordenadores y redes corporativas: los dispositivos que usamos a diario para medir nuestros pasos, ritmo cardíaco o rutas de entrenamiento se han convertido en auténticos “chivatos” digitales capaces de comprometer la seguridad nacional. Y lo más alarmante: muchas de estas brechas no requieren complejas intrusiones, sino tan solo el análisis de datos públicos mal gestionados.
La noticia estalló hace unas semanas: el equipo de seguridad del primer ministro sueco publicó más de 1.400 entrenamientos en Strava, una popular plataforma de registro de actividad física. Lo que parecía una práctica saludable terminó revelando información extremadamente sensible:
- Ubicación de su residencia
- Rutas de desplazamiento habituales
- Movimientos oficiales y patrones de viaje
Todo quedó expuesto porque varios miembros de su equipo utilizaban relojes inteligentes, principalmente Garmin, que cargaban automáticamente la información de cada sesión a bases de datos públicas.
Lo que podría parecer un descuido individual es, en realidad, una grave brecha de seguridad operativa (OPSEC): los metadatos de estas plataformas permiten reconstruir la rutina de una persona con un alto nivel de detalle, facilitando desde ataques dirigidos hasta seguimientos físicos sin levantar sospechas.
No es la primera vez que Strava está en el ojo del huracán. En 2018, su mapa de calor global —un servicio que muestra las rutas más frecuentadas por los usuarios— reveló la ubicación y los perímetros exactos de bases militares secretas en Afganistán, Siria y otros puntos calientes del planeta.
Los datos eran públicos, y cualquier analista con paciencia podía detectar rutas de patrullaje, turnos de guardia y entradas y salidas de instalaciones críticas. La información no procedía de hackers, sino de soldados que subían sus entrenamientos de running o ciclismo sin configurar adecuadamente la privacidad de la aplicación.
Ese caso evidenció un problema estructural: la tecnología de consumo, diseñada para la comodidad, no está pensada para entornos de alta seguridad.
COROS: el Bluetooth como puerta trasera
El problema no es exclusivo de Strava. Hace pocas semanas, investigadores de ciberseguridad descubrieron fallas graves en la conectividad Bluetooth de COROS, una marca de relojes inteligentes económicos cada vez más popular.
Las vulnerabilidades permiten que un atacante, situado a pocos metros del dispositivo, secuestrase la conexión y extrajese datos privados, desde rutas y entrenamientos hasta datos biométricos. En algunos escenarios, incluso podría manipular la información para crear coartadas falsas o desviar investigaciones.
La combinación de vulnerabilidades de hardware (Bluetooth inseguro) y errores de configuración (cargas públicas automáticas) crea un cóctel explosivo para cualquier figura pública, pero también para sus escoltas y personal de apoyo.
Cuando un político, diplomático o alto directivo es objetivo de vigilancia, no es necesario atacar directamente su móvil cifrado o su portátil oficial. Basta con encontrar un eslabón débil en su entorno: un reloj inteligente, una pulsera de actividad o una aplicación de fitness que parezca inocua.
Los atacantes pueden:
- Inferir rutinas: horarios de salida, ubicaciones sensibles, patrones de seguridad.
- Identificar entornos de reunión: zonas donde coinciden varias figuras clave, permitiendo trazar redes de contacto.
- Explotar datos biométricos: ritmo cardíaco y variabilidad de frecuencia pueden delatar estrés, enfermedad o preparación física.
- Infiltrarse por proximidad: ataques Bluetooth o Wi-Fi para acceder a redes internas desde dispositivos asociados.
En el caso sueco, los relojes no expusieron solo al primer ministro, sino a todo su equipo de seguridad: rutas de escoltas, vehículos y protocolos internos quedaron al descubierto, sin que mediara un ataque “clásico” de hacking.
OPSEC: la disciplina que falta en la política
En el argot de seguridad, OPSEC (Operaciones de Seguridad) se refiere a un conjunto de prácticas para evitar que información aparentemente trivial sea explotada por adversarios. En el sector militar y de inteligencia es doctrina básica, pero en la política, incluso en altos niveles, todavía se pasa por alto.
Un reloj inteligente mal configurado puede:
- Exponer ubicaciones en tiempo real.
- Guardar historiales con precisión GPS centimétrica.
- Compartir información con servidores ubicados fuera de la jurisdicción nacional.
En un entorno de alta amenaza, esto es equivalente a dejar las llaves del despacho colgadas en la puerta.
Aunque el caso sueco ha generado titulares internacionales, España enfrenta vulnerabilidades similares. Alcaldes, consejeros y altos cargos usan wearables conectados, en muchos casos integrados con sus cuentas de correo corporativas o sincronizados con servicios en la nube.
En Canarias, por ejemplo, los equipos de seguridad que acompañan a autoridades insulares y regionales no siempre cuentan con protocolos claros sobre el uso de dispositivos personales conectados. En ciudades como La Laguna o Santa Cruz de Tenerife, donde el contacto ciudadano es constante, la geolocalización involuntaria puede exponer no solo al político, sino a los vecinos y funcionarios que interactúan con él.
Cómo cerrar la brecha
La solución pasa por una combinación de políticas claras, formación y medidas técnicas:
- Auditorías periódicas de todos los dispositivos personales y corporativos de los miembros del gobierno y su personal de apoyo.
- Prohibición de cargas automáticas a servicios públicos como Strava, Garmin Connect o similares en entornos de trabajo.
- Cifrado y anonimización de datos antes de cualquier transferencia a la nube.
- Formación en OPSEC digital para todo el personal, incluyendo escoltas y conductores.
- Creación de entornos de entrenamiento seguros, con servidores internos para registrar actividad física sin exponerla a Internet.
La tecnología vestible y las apps de fitness ofrecen beneficios reales: fomentan la salud, mejoran la logística de entrenamientos y, en algunos casos, sirven para monitorizar el estado físico en misiones exigentes. Pero su uso en entornos políticos y de seguridad requiere una supervisión que hoy todavía no es la norma.
Como señaló un experto en ciberinteligencia a TecFuturo:
“Un reloj inteligente es como llevar un micrófono y un GPS en la muñeca, pero sin darte cuenta. El riesgo no es si lo van a explotar, sino cuándo y con qué consecuencias.”
El caso sueco es solo un síntoma de un problema más amplio: la convergencia entre la vida personal y profesional de las figuras públicas, mediada por tecnología conectada, crea nuevos vectores de ataque que los adversarios ya saben explotar.
Y no hablamos de ciencia ficción: estas filtraciones se pueden combinar con inteligencia de fuentes abiertas (OSINT), datos filtrados en la dark web y vulnerabilidades de hardware para construir perfiles precisos y peligrosos de quienes ostentan poder.
En un mundo hiperconectado, cada pulsación, cada ruta y cada carga a la nube puede convertirse en munición para un ataque dirigido.
La pregunta no es si debemos dejar de usar tecnología, sino si nuestros líderes están dispuestos a adoptar la disciplina necesaria para que esta no se convierta en su talón de Aquiles.
Buenas prácticas de OPSEC digital para dispositivos de fitness y wearables
| Medida | Descripción | Impacto esperado |
| Configurar privacidad estricta | Ajustar las apps para que solo el usuario pueda ver rutas y entrenamientos. Evitar datos públicos. | Elimina exposición en bases de datos públicas. |
| Desactivar cargas automáticas | No permitir sincronización en tiempo real con servicios en la nube o redes sociales. | Reduce riesgos de geolocalización en tiempo real. |
| Usar alias y perfiles genéricos | Evitar nombres reales, fotos o vínculos con cuentas corporativas. | Dificulta la correlación de datos con la identidad real. |
| Bloquear Bluetooth/Wi-Fi cuando no se use | Desactivar conectividad en entornos sensibles o de riesgo. | Previene ataques por proximidad (bluejacking, bluesnarfing). |
| Servidores privados para datos | Si es imprescindible registrar actividad física, hacerlo en servidores internos de la organización. | Asegura el control de los datos y reduce exposición externa. |
| Formación en ciberseguridad y OPSEC | Instruir a autoridades y equipos de protección sobre riesgos y procedimientos. | Aumenta la conciencia situacional y reduce errores humanos. |
Incidentes históricos de filtración por wearables y apps de fitness
| Año | Incidente | Impacto |
| 2018 | Mapa de calor de Strava reveló bases militares secretas en Afganistán, Siria y otras zonas de conflicto. | Compromiso de ubicaciones y rutas operativas militares. |
| 2019 | Soldados británicos filtraron ubicación de patrullas en Malí mediante app de running. | Riesgo para tropas y operaciones de seguridad. |
| 2020 | Investigadores descubrieron que Polar Flow exponía datos de militares y agentes de inteligencia. | Filtración de identidades y localizaciones sensibles. |
| 2022 | Guardia de prisiones italiana expuso rutas de trabajo y ubicación de su residencia usando Garmin. | Potencial amenaza física por parte de grupos criminales. |
| 2024 | Falla de COROS permitió ataques Bluetooth para robar datos de entrenamientos y biométricos. | Acceso no autorizado a información privada de usuarios. |
| 2025 | Caso del primer ministro sueco: 1.400 entrenamientos publicados por error en Strava. | Exposición de rutina, ubicación y seguridad del líder y su equipo. |
