Un investigador de seguridad ha puesto al descubierto una vulnerabilidad en la red de entrega de contenido (CDN) de Cloudflare, que podría permitir a posibles atacantes identificar la ubicación geográfica aproximada de un usuario con tan solo enviarle una imagen a través de aplicaciones de mensajería como Signal y Discord.
El defectuoso mecanismo, detectado por Daniel, un experto en seguridad, explota el uso de Cloudflare Workers, los cuales almacenan en caché los recursos multimedia en el centro de datos más cercano al usuario para mejorar los tiempos de carga. El proceso del ataque implica el envío de un mensaje con una imagen única alojada en la CDN de Cloudflare. A través de una herramienta personalizada bautizada como Cloudflare Teleport, el atacante orienta las solicitudes a centros de datos específicos, permitiendo así la aproximación de la ubicación del usuario.
La precisión de la ubicación obtenida puede variar entre 80 y 480 kilómetros del punto real, dependiendo de la cercanía con los centros de datos de Cloudflare, siendo particularmente eficaz en áreas urbanas donde la densidad de centros de datos es mayor.
Preocupantemente, este ataque se clasifica como «zero-click», lo que significa que no requiere interacción por parte del usuario. Muchas aplicaciones, incluidas Signal y Discord, descargan automáticamente imágenes para notificaciones push, permitiendo la extracción de la ubicación del usuario sin su conocimiento.
Durante sus pruebas, Daniel logró rastrear con éxito al CTO de Discord, Stanislav Vishnevskiy, demostrando la factibilidad del ataque. Tras el descubrimiento, el investigador informó a Cloudflare, Signal y Discord de sus hallazgos. Cloudflare reconoció la existencia del problema y desplegó una corrección, recompensando al investigador con 200 dólares por su contribución. Sin embargo, Daniel indicó que el uso de una VPN con servidores globalmente distribuidos todavía permite acceder a más del 50% de los centros de datos de Cloudflare, sugiriendo que la mitigación del riesgo no es absoluta.
Por su parte, Signal y Discord se eximieron de una responsabilidad directa en el problema. Signal argumentó que la anonimización de la red no entra dentro de su misión, mientras que Discord señaló que la problemática reside en la infraestructura de Cloudflare.
Aunque este tipo de ataque carece de la precisión para localizar direcciones exactas, su capacidad para revelar regiones geográficas es especialmente riesgosa para usuarios con mayores necesidades de privacidad, tales como periodistas, activistas o disidentes.
De cara a mitigar potenciales riesgos, se recomienda a usuarios y administradores desactivar la caché en aplicaciones delicadas, limitar la descarga automática de imágenes y evitar el uso de aplicaciones que no implementen medidas de seguridad robustas en sus servicios de red. Este incidente subraya la necesidad de una vigilancia constante en la seguridad de las CDN y en el manejo de los datos de usuario por parte de los servicios en la nube.
