Carrera de secretos: Cómo investigar con la app deportiva Strava

Stanislav Rzhitsky, un excomandante de submarinos acusado de realizar un ataque con misiles en Ucrania, en el que murieron 23 civiles, fue asesinado a tiros mientras trotaba como de costumbre en el complejo deportivo Krasnodar Olimp. Pocas horas después, el general Kyrylo Budanov, jefe de la inteligencia militar de Ucrania, le dio un “Me Gusta” a la última ruta que Rzhitsky subió a su perfil de Strava, una aplicación para registrar actividad física. Aunque Budanov dijo que su departamento no tuvo ningún papel en el ataque, y a pesar de acusaciones de que el “Me Gusta” fue un sardónico guiño, este incidente refuerza las vulnerabilidades en torno a la privacidad de Strava.

Esta popular app estadounidense es una red social para entusiastas de la actividad física. Fue lanzada en 2009, está disponible en 13 idiomas y alardea de tener más de 135 millones de usuarios en más de 190 países. En su página web, Strava dice ser “más que una aplicación para llevar cuenta de tus sesiones de ejercicio —es donde prosperan la conexión, la motivación y la mejoría personal”.

Una de las características más populares de Strava les permite a los usuarios compartir sus objetivos y logros atléticos, así como reseñar, comentar y enviar felicitaciones a sus pares. Descrita como un “Facebook para trotadores”, Strava convierte las solitarias sesiones de ejercicio en experiencias sociales, al introducir elementos de juegos de video a la actividad física y fomentar que los usuarios compartan sus sesiones de ejercicio de forma competitiva.

No obstante, los periodistas e investigadores de fuente abierta han advertido durante años que hay problemas de privacidad relacionados con Strava, y esta misma habilidad para compartir les ha dado a los periodistas —y a otros— la capacidad de ratrear los movimientos de soldados en bases europeas e israelíes, los de la tripulación de submarinos atómicos franceses y los de equipos de seguridad de varios líderes mundiales. Aunque los escándalos relacionados con Strava han ocupado titulares desde 2017, investigaciones recientes revelan cómo el uso de la app por parte de personas que deberían mantener un bajo perfil público les hace vulnerables, y pone en peligro las instituciones donde trabajan.

Un misterioso trotador en Israel

En octubre de 2024, los funcionarios israelíes se preocuparon cuando Omer Benjakob, periodista de desinformación y de temas cibernéticos para Haaretz, les envió preguntas sobre un sospechoso usuario de Strava que decía ser de Texas, y que parecía estar explotando las funciones de la app para recoger información sobre las instalaciones militares del país. En cuatro días, el perfil de “Kevin D” supuestamente realizó 60 recorridos en 30 bases militares israelíes y en tiempos increíblemente cortos.

Al publicar en Strava recorridos falsos en lugares específicos, la app le permitía a “Kevin D” ver las rutas y perfiles de otros usuarios que también ejercitaban allí, siempre y cuando no hubiesen activado las opciones más avanzadas de privacidad en sus perfiles. Muchos soldados probablemente no lo habían hecho, lo que le daba a “Kevin D” acceso a datos sensibles sobre ellos y sus bases.

En efecto, esta no era la primera vez que Benjakob cubría cómo Strava había sido clave para encontrar datos sobre soldados y bases israelíes. Tenía un ojo puesto en Strava desde 2018 cuando, luego de que la app publicara un mapa de calor de todos sus usuarios en el mundo, analistas independientes de fuente abierta como Nathan Ruser (entonces un estudiante de 20 años) y Alec Muffet, comenzaran a publicar cómo la app revelaba personas trotando en complejos de la CIA en Somalia, puestos militares de Estados Unidos en Irak y Siria, bases británicas en las Malvinas, bases italianas en Yibuti, e incluso  a un ciclista solitario en la legendaria Area 51 de Nevada. Aric Toler, el primer director de entrenamiento e investigación de Bellingcat, incluso publicó una hoja de consejos para ayudarles a los periodistas a aprovechar el rico material disponible en la app. Muchos de sus consejos aún son relevantes, así que asegúrate de revisarlos.

Desde entonces, los periodistas e investigadores han profundizado en Strava como si fuera todo un género del periodismo investigativo. En 2020, Nick Waters, de Bellingcat, identificó 14 tropas de SAS en la base de máxima seguridad Hereford, y en 2022, la ONG israelí FakeReporter reveló una falla de seguridad de Strava que logró identificar a 100 individuos en seis bases militares israelíes de máxima seguridad.

Si bien antes de los ataques terroristas de Hamas del 7 de octubre de 2023 los militares israelíes habían desestimado las vulnerabilidades de Strava, cuando Benjakob se aproximó a ellos un año más tarde, sonaron alarmas. Pero antes que Haaretz o los militares israelíes pudieran determinar quién era “Kevin D”, éste reveló su identidad.

Los #StravaLeaks de Le Monde recorren el mundo

La serie #StravaLeaks, publicada en Le Monde, es la última investigación de gran envergadura sobre Strava y fue realizada por Sébastien Bourdon, periodista de investigación de fuente abierta especializado en la extrema derecha europea, y Antoine Schirer, periodista, documentalista y diseñador experto en crear visualizaciones de inteligencia de fuente abierta (OSINT).

La primera pieza de los periodistas reveló cómo fue posible predecir exactamente dónde el presidente de Francia, Emmanuel Macron, estaría durante sus viajes, una vez gracias a Strava se identificó la identidad de uno de los miembros de su esquema de seguridad, el Grupo de la Seguridad para la Presidencia de la República (GSPR).

Los periodistas usaron un método engañosamente simple: si registras un recorrido falso en un lugar específico, Strava revelará quién más corre allí. Elige un lugar donde seguramente no troten más que miembros del GSPR y podrás comenzar a identificar a un miembro del grupo de seguridad de Macron. “El Palacio del Elíseo es muy pequeño, así que no puedes trotar allí. Además, encontrarías a muchos otros parisinos trotando en la zona. Por eso elegimos comenzar con la casa de campo de Macron, a las afueras de la ciudad”, dice Bourdon a GIJN.

Usando una herramienta de Python desarrollada por Schirer, los periodistas hicieron un mapa de todos los lugares donde podrían trotar los miembros del equipo de seguridad. Luego cruzaron esta información con noticias sobre los viajes internacionales del presidente, y confirmaron que los lugares donde la persona trotaba coincidieran con los movimientos de Macron en el extranjero. Por último, usando fotografías e identificando si la persona estaba cerca del presidente, corroboraron que en efecto era miembro de su equipo de seguridad.

En otras ocasiones, el proceso fue incluso más sencillo: algunos miembros del GSPR usaban sus nombres reales en Strava, y cuando les buscaban en Google, sus perfiles públicos de LinkedIn confirmaban que eran parte del equipo de seguridad de Macron.

Cuando el GSPR fue contactado por los periodistas, Bourdon y Schirer dijeron que la institución se negó a hablar con ellos. Cuando se pusieron en contacto con Strava, Bourdon y Schirer dijeron que la compañía desplazó la responsabilidad por lo ocurrido a los usuarios: “Somos muy cuidadosos con las opciones de privacidad en toda nuestra experiencia; los datos de ubicación sólo se usan con una opción específica de aceptar darlos, se despliega visiblemente en cada actividad de Strava, y puede ser fácilmente modificada en las opciones del usuario. SI bien nuestra plataforma es diseñada para que cualquier persona la use, esperamos que las personas que trabajan en profesiones sensibles usen los controles que tienen a su disposición y limiten su contenido”.

La segunda historia de Le Monde, que describía cómo los agentes del Servicio Secreto de Estados Unidos quedaban expuestos en Strava, siguió un método similar. Reunieron 150 perfiles de trotadores de los campos de entrenamiento del Servicio Secreto en el estado de Maryland, y cruzaron cada perfil con otros datos públicos para llegar a 26 personas que hacían parte del equipo de seguridad del entonces presidente Joe Biden. Esto quiere decir que, al igual que con Macron, fue posible predecir los movimientos de Biden. Algunos agentes del Servicio Secreto también publicaban información personal en internet bajo sus nombres reales, como fotos con miembros de su familia, y algunas junto a Joe y Jill Biden.

La respuesta oficial del Servicio Secreto de Estados Unidos fue breve: dijeron que investigarían el caso.

Luego de encontrar las vulnerabilidades en Europa y los Estados Unidos, los periodistas volcaron su atención sobre un objetivo de incluso más alto perfil: el presidente de Rusia Vladimir Putin. Putin ha negado reiteradamente los hallazgos de una investigación publicada por el equipo de Alexéi Navalni, el opositor del Kremlin que murió misteriosamente en una prisión de Siberia, que reveló cómo el líder ruso había construido un multimillonario palacio en la costa del mar Negro. Al buscar trotadores de Strava en ese complejo palaciego, Bourdon y Schirer hallaron algunos de los guardaespaldas de Putin y pudieron rastrear al cauto líder ruso por el mundo.

¿Son las políticas de redes sociales de los otros líderes mundiales igual de débiles, al menos cuando se trata de ejercitar? Cuando Bourdon y Schirer intentaron aplicar su método de investigación al equipo de seguridad de Xi Jinping, cayeron en cuenta de que Strava realmente no se usa en China. La investigación sobre los guardaespaldas del Canciller de Alemania fue muy engorrosa, porque no hay una casa de campo o lugar de entrenamiento que se pueda seleccionar. Finalmente, no hay suficientes agentes de seguridad del primer ministro del Reino Unido o del presidente de Turquía que usen Strava, por lo que la investigación llegó a un punto muerto con ellos.

Fue con su investigación identificando a soldados israelíes que combatían en Gaza que el perfil de “Kevin D” salió a la luz. “Cuando publicamos nuestra investigación, el periodista de Haaretz nos escribió y dijo: ‘Gran investigación sobre Strava. Miren, yo publiqué mi propia investigación sobre Strava’, y compartió el artículo en el que halló el perfil de Strava que nosotros usamos. Entonces le dijimos que esa persona que él buscaba era, en efecto, nosotros”, dice Bourdon.

“Al principio yo estaba avergonzado. Pensé, ‘diablos, me voy a meter en problemas’”, recuerda Benjakob. “Armamos un lío con el ejército, el jefe de seguridad digital y todos los militares. Así que fui donde mi jefe, pero él me dijo: ‘Tranquilo, este asunto con Le Monde es la historia. Alguien estaba poniendo a prueba el sistema y el sistema falló’”.

Bourdon y Schirer señalan que hace poco volvieron a utilizar su técnica investigativa usando la app y aún era funcional, lo cual explica por qué la metodología de #StravaLeaks pudo usarse en otros países. En marzo de 2025, Jean-Hugues Roy, periodista de datos de La Presse, un medio de Quebec, identificó dónde el ex primer ministro Justin Trudeau y su esposa se hospedaban durante sus viajes. Incluso, al examinar 46 rutas publicadas en Strava por uno de sus guardaespaldas, descubrió lo que podría ser la ruta que solía usar Trudeau en Ridau Cottage, su residencia oficial.

Consejos para hacer investigaciones con apps para ejercitar

Bourdon y Schirer compartieron con GIJN consejos para periodistas que quieran hacer sus propios #StravaLeaks:

• Busca lugares donde sea probable que las únicas personas que troten allí son las que estás buscando.
• Cuando uses Python, haz un mapa de todas las actividades del perfil que pienses son interesantes. Tu script debe ir a cada recorrido, recoger los lugares y poner pines en el mapa. Al final, simplemente haz el mapa de todo lo que te da el perfil durante una década de actividad.
• Te puede dar resultados interesantes rastrear las actividades de un usuario en el tiempo, no sólo en el espacio, con un script de Python. Al usar esta aproximación, Bourdon y Schirer identificaron usuarios en una base de submarinos nucleares de Brest que tenían vacíos de dos meses. Esto sugería que podrían ser la tripulación de un submarino. Bourdon luego confirmó estas sospechas al cruzar los hallazgos con sus publicaciones en Strava: “Es difícil volver [a trotar] después de pasar dos meses en una caja de excrementos”, se quejó un usuario en su perfil.
• Folium puede darte una visualización de datos de mapas, para que cuando hagas clic en un pin específico, aparezca la actividad. “Esto te permite verificar lugares rápidamente”, explica Schirer. “No es muy complicado: simplemente recoge los datos y ubícalos en el mapa”.
• Tener a un diseñador visual en tu investigación de fuente abierta la llevará al siguiente nivel, y podrás recoger mucha más información si también incluyes a una persona hábil con tecnología.
• Schirer duda al compartir su último consejo, porque no es como hallaron la mayoría de la información, pero si tienes una lista de perfiles en los que estás interesado, realiza una búsqueda que determine si alguno de ellos ha trotado en un lugar que sea importante para tu investigación.

GIJN le preguntó a Bourdon si Strava podría ser útil para encontrar y seguir a extremistas de derecha, pero él no fue muy optimista con respecto a ese ángulo. “Lo que es difícil de esta técnica, y el motivo por el que funcionó con el equipo de seguridad de Macron, es que se trata de dónde estás buscando, más que a quién. La mayoría de los activistas de extrema derecha vive en barrios donde trotan muchas otras personas, así que no puedes simplemente ir a un lugar aislado e identificar sus perfiles”, dice Bourdon.

No obstante, si sabes quién es tu objetivo específico, puedes intentar seguirlos en Strava. En una investigación de 2024, Netra News, de Nepal, Deutsche Welle y Süddeutsche Zeitung colaboraron para realizar una historia que reveló que un miembro de las Fuerzas de Paz de Naciones Unidas en la República Centroafricana había pertenecido a un “escuadrón de la muerte” de Bangladesh. En marzo de 2025, periodistas de The Times y Bellingcat revelaron que un ejecutivo alemán de tecnología de finanzas era también asesor financiero del nefasto cartel criminal Kinahan, de Irlanda.

En una investigación colaborativa, Netra News identificó a un soldado de Bangladesh (izquierda) sospechoso de haber pertenecido a un “escuadrón de la muerte” — y luego halló que había sido enviado a República Centroafricana como parte de las Fuerzas de Paz de Naciones Unidas, rastreando sus recorridos en Strava (derecha) en ese país. Imagen: Toma de pantalla, Netra News

La periodista original de Strava y la evolución en las respuestas de la compañía

En 2017, casi un año antes que los analistas OSINT y los periodistas de investigación usaran Strava para encontrar bases secretas y guardias presidenciales, Rosie Spinks, entonces periodista freelance que publicaba regularmente en Quartz, estaba prendiendo las alarmas sobre los peligros de la app para la privacidad.

“Era una gran trotadora en esa época y usaba mucho Strava. También era una mujer soltera que vivía en la ciudad, así que era observadora”, explica Spinks. “Encontré personas que no conocía poniendo un ‘Me Gusta’ a mis recorridos. Era extrañamente invasivo porque yo corría en parques de Londres que estaban junto a mi casa, o en rutas que iniciaban en la puerta de mi casa, así que me pregunté: ¿cómo puede ser que a hombres desconocidos les están gustando mis recorridos, habiendo activado mis opciones de privacidad?”

Spinks describió cómo se dio cuenta de que las opciones de privacidad de la app eran débiles en 2017, y terminó en una telaraña de otras opciones para poder asegurar sus datos y ubicación, y que no fueran compartidos con extraños.

Después del escándalo del mapa de calor de 2018, el entonces director ejecutivo de Strava inició una campaña de control de daños, respondiendo preguntas sobre privacidad y explicando cómo habían modificado las opciones.

Pero desde entonces el mismo ciclo se repite. Sale una historia sobre cómo Strava se usa para obtener información secreta, y Strava dice que están trabajando en mejorar la app.

El periodista de investigación Omer Benjakob. Imagen: Cortesía de Benjakob

“Muchos de estos problemas no son por errores de programación, sino por funciones que son problemáticas si eres el guardaespaldas de Emmanuel Macron”, dice Benjakob.

En el corazón del problema hay una higiene cibernética deficiente por parte de usuarios que deberían ser más conscientes de ella, pues tienen empleos de muy alta sensibilidad: “Las opciones de seguridad de Strava son de hecho muy buenas, y es verdad que son accesibles para los usuarios. El problema en torno a nuestra investigación no era que no existieran las opciones de seguridad, sino que la mayoría de los usuarios que nos interesaban no las usaban”, señala Bourdon.

En nuestra descuidada era digital, en la que incluso los jefes de las agencias de inteligencia y fuerzas militares de Estados Unidos comparten planes de guerra en Signal, la información no se compartimenta fácilmente en canales “secretos” y “públicos”. Los desbordamientos son generalizados, los protocolos se ignoran, la tecnología se regula de forma torpe, si es que se regula, y tanto la seguridad de una mujer urbana solitaria como la del presidente de los Estados Unidos puede terminar comprometida por las mismas funciones de una app deportiva.

Santiago Villa es un periodista galardonado que ha escrito para medios de comunicación latinoamericanos durante más de una década. Actualmente reside en Washington DC y escribe una columna de opinión para El Espectador. Anteriormente trabajó como corresponsal extranjero en Sudáfrica, China, Venezuela y Ecuador.