Fuga de datos en plataforma militar: fallo en API expone registros de militares y materiales de formación

Una plataforma de formación militar utilizada por el Departamento de Defensa de Estados Unidos expuso registros de usuarios y materiales de entrenamiento clasificados debido a un fallo en sus endpoints de API, según ha revelado el proyecto de seguridad autónoma Strix.

El problema afectó a Schemata, una plataforma de entrenamiento virtual con inteligencia artificial empleada en entornos militares y de defensa. Según Strix, una cuenta de bajo privilegio pudo acceder a datos de múltiples organizaciones, incluyendo listas de usuarios, registros de organizaciones, información de cursos, metadatos de formación y enlaces directos a documentos alojados en los servidores de Amazon Web Services de Schemata.

Entre los materiales expuestos se encontraban:

• Un curso de formación virtual en 3D para personal de mantenimiento naval, con documentación marcada como confidencial y de propiedad exclusiva.
• Un curso que incluía manuales del Ejército sobre manipulación de municiones explosivas y despliegue táctico.
• Cientos de registros de usuarios vinculados a bases militares y matrículas en cursos de formación.

Además, se filtraron nombres, direcciones de correo electrónico, detalles de matrícula y las bases militares donde estaban destinados los miembros del servicio de EE.UU.

Respuesta tardía y fallos de seguridad

Schemata reconoció que los endpoints afectados estuvieron expuestos desde el 1 de mayo, tras un proceso de divulgación que Strix describió como de 150 días. Aunque la empresa afirmó haber verificado las correcciones antes de su publicación, Strix hizo público su informe esta semana, 152 días después de su primer intento de notificación.

El fallo no requería un exploit complejo. Según Strix, bastó con utilizar una cuenta de bajo privilegio para observar el tráfico normal del navegador, identificar los endpoints de la API expuestos y solicitar datos de alto valor usando la misma sesión. Estos accesos devolvieron registros ajenos a la organización del usuario, lo que sugiere que la API no aplicaba correctamente los límites entre tenants ni los permisos de usuario.

En el software multitenant, los controles de autorización están diseñados para garantizar que los usuarios solo accedan a los datos y funciones asignados a su cuenta u organización. El fallo descrito por Strix representa, por tanto, una vulnerabilidad crítica en este modelo de seguridad.

La firma también advirtió que algunas rutas de la API parecían estar habilitadas para operaciones de escritura, lo que podría permitir a un atacante modificar o eliminar cursos mediante solicitudes de actualización o eliminación. Strix aclaró que no realizó pruebas destructivas.

Riesgos operativos y preguntas sin responder

La plataforma de Schemata se utiliza en entornos de formación militar y de defensa, donde las identidades de los usuarios, sus asignaciones y las matrículas en cursos pueden revelar información operativa sensible. Incluso cuando los datos no están clasificados, registros que muestran dónde están destinados los militares, en qué cursos están matriculados o qué materiales pueden acceder pueden generar riesgos si se exponen fuera de los canales autorizados.

En un comunicado publicado en su web, Schemata declaró que no tenía pruebas de que ningún tercero explotara la vulnerabilidad para acceder a datos de clientes. Sin embargo, el plazo de divulgación plantea dudas sobre cómo las empresas que manejan datos sensibles relacionados con el gobierno reciben e implementan los informes de vulnerabilidades.

Según Strix, su primer contacto con Schemata fue el 2 de diciembre de 2025. En un primer momento, el CEO de la empresa respondió:

«Me encantaría saber cuál es la vulnerabilidad, pero supongo que querrás que te paguen por ello. ¿Es eso lo que buscas?»