Tracker Bluetooth da 5 euro rivela posizione nave militare: grave falla nella sicurezza

Un tracker Bluetooth disponibile sul mercato per appena  5 euro, è stato nascosto dentro una cartolina per tenere sotto osservazione una fregata della marina militare olandese per quasi 24 ore.

Non è la trama di un thriller di spionaggio: è quello che è successo davvero alla HNLMS Evertsen, una fregata per la difesa aerea dispiegata a protezione della portaerei francese Charles de Gaulle contro minacce missilistiche.

A condurre il test è stato Just Vervaart, giornalista dell’emittente regionale olandese Omroep Gelderland, che ha dimostrato come la vulnerabilità non fosse tecnologica ma procedurale. La minaccia non è arrivata da un sistema di sorveglianza avanzato, ma da un oggetto che passa per posta senza essere radiografato.

Come funziona il tracciamento e come è stato possibile

I tracker Bluetooth non trasmettono la propria posizione direttamente: sfruttano reti distribuite di smartphone nelle vicinanze, che fungono da relay anonimi aggiornando la posizione su un server remoto.

Il Ministero della Difesa olandese pubblica online le istruzioni complete per inviare posta e pacchi ai militari in servizio, e sono state proprio queste informazioni liberamente accessibili a consentire a Vervaart di recapitare il tracker a bordo della nave.

La scelta della cartolina non è stata casuale. I video e le istruzioni postali del ministero indicavano che le buste non venivano sottoposte a raggi X, a differenza dei pacchi, rendendo quella via più adatta a passare inosservata. Una volta a bordo, il dispositivo ha tracciato la rotta della nave: la HNLMS Evertsen è stata seguita mentre lasciava il porto di Heraklion, a Creta, navigava verso ovest lungo la costa dell’isola e poi virava verso est in direzione Cipro, dove il tracker si è spento dopo circa un giorno.

Le implicazioni per la sicurezza militare e civile

Secondo le autorità militari olandesi, il tracker è stato trovato durante lo smistamento della posta e disattivato. Il Ministero ha però avviato una revisione delle proprie politiche postali, vietando da subito i biglietti di auguri contenenti batterie. Una risposta rapida, ma che arriva dopo che il danno, almeno in termini dimostrativi, era già stato fatto.

La lezione va oltre i confini militari. Come ha dichiarato il generale in pensione Mart de Kruif a Omroep Gelderland, oggi è possibile colpire obiettivi a distanza con grande precisione, ma per farlo è necessario sapere dove si trovano: una fregata non dovrebbe mai rivelare la propria posizione. Il punto non è solo proteggere le navi: è riconoscere che qualsiasi organizzazione, militare o civile, deve riconsiderare le proprie procedure alla luce di tecnologie consumer che fino a pochi anni fa non esistevano o erano irrilevanti dal punto di vista della sicurezza.

Un campanello d’allarme che riguarda tutti

Questo episodio si inserisce in un quadro più ampio. I social media hanno già creato enormi problemi di sicurezza operativa per le forze armate di diversi paesi, con militari che hanno involontariamente divulgato informazioni sensibili attraverso post apparentemente innocui. I tracker Bluetooth, peraltro, sono già oggetto di attenzione per il loro utilizzo in casi di sorveglianza non consensuale e stalking.

La superficie di attacco si espande insieme alla diffusione dei dispositivi IoT e delle tecnologie consumer a basso costo. Ciò che serve non è solo aggiornare i protocolli di controllo della posta, ma sviluppare una cultura della sicurezza operativa capace di tenere il passo con un panorama tecnologico che cambia più in fretta delle procedure che dovrebbero governarlo.