La conferencia Black Hat USA 2024 se ha convertido en el epicentro de una alarma global respecto a la privacidad y la seguridad cibernética, con la presentación de un estudio que expone vulnerabilidades de envergadura. El investigador Erik Rye, de la Universidad de Maryland, junto con su equipo, ha puesto de manifiesto cómo el sistema de posicionamiento Wi-Fi (WPS) de Apple puede ser transformado en una herramienta masiva de vigilancia global, sin el conocimiento de los usuarios.
El sistema WPS, utilizado habitualmente para geolocalización en interiores, opera de manera bastante conocida: dispositivos móviles envían información de redes Wi-Fi cercanas a servidores tecnológicos para determinar ubicaciones. Sin embargo, Rye ha demostrado que esta tecnología no solo es un recurso útil para los usuarios, sino también una puerta abierta al espionaje masivo.
Un aspecto crucial del hallazgo es cómo la API de Apple permitía consultas de ubicación sin autenticación y sin restricciones significativas, lo cual podría ser explotado tanto por cibercriminales como por entidades extranjeras para rastrear ubicaciones y movimientos a escala global. En el transcurso de un año, el equipo de Rye recopiló datos de más de 2,000 millones de identificaciones de redes, mostrando así la magnitud del posible control que se puede ejercer y cómo este sistema se asemeja a un mapa detallado de actividades y presencias globales.
El informe incluye ejemplos alarmantes que ilustran la aplicación práctica de esta tecnología en situaciones reales. Desde el espionaje en zonas de conflicto como Ucrania y Gaza, hasta el seguimiento de evacuaciones tras catástrofes naturales como los incendios en Maui, el potencial perjudicial es significativo. Además, se advierte sobre la posibilidad de que cualquier dispositivo conectado a una red Wi-Fi se convierta en un punto de rastreo constante, poniendo en riesgo la privacidad individual.
El impacto es especialmente grave en regiones densamente pobladas, donde se ha detectado un patrón de rastreo global, a excepción de China, donde leyes estrictas limitan el uso de tales datos. Sin embargo, dispositivos de fabricantes como TP-Link, Huawei, Vantiva, y en un caso preocupante, Starlink de SpaceX, han sido susceptibles a rastreo preciso, comprometiendo potencialmente actividades críticas como las operaciones militares.
En respuesta a estos descubrimientos, Apple ha introducido algunas medidas como la limitación de consultas por IP y la opción de exclusión voluntaria, aunque los expertos consideran que estas acciones son insuficientes. Rye advierte que la mayor amenaza radica en que cualquier actor malicioso, sin requerir permisos ni invadir privacidad explícitamente, puede mapear movimientos personales y activos críticos sin ser detectado.
La recomendación para contrarrestar esta vulnerabilidad incluye restringir el acceso a APIs, eliminar datos adicionales de redes cercanas en las respuestas y exigir la aleatorización de identificadores de red. A su vez, se aconseja a los usuarios evitar el uso prolongado de un mismo dispositivo en diversas ubicaciones y optar por tecnologías que permitan la rotación de direcciones MAC.
Este descubrimiento ha revitalizado el debate en el ámbito tecnológico sobre la responsabilidad que gigantes como Apple o Google deben asumir en relación con las explotaciones involuntarias de sus sistemas para espionaje. Con los métodos para explotar estos datos aún operativos, la urgencia de una regulación internacional para frenar estas amenazas a la privacidad y seguridad global se impone como una cuestión crucial que demanda respuestas inmediatas.
