Imagen: Shutterstock. Apple y el servicio de banda ancha satelital Starlink tomaron medidas recientemente para abordar nuevas investigaciones sobre las posibles implicaciones de seguridad y privacidad de cómo sus servicios geolocalizan los dispositivos. Investigadores de la Universidad de Maryland dicen que confiaron en datos disponibles públicamente de Apple para rastrear la ubicación de miles de millones de dispositivos en todo el mundo, incluidos dispositivos que no son de Apple, como los sistemas Starlink, y descubrieron que también podían usar estos datos para monitorear la destrucción de Gaza. como los movimientos y en muchos casos las identidades de las tropas rusas y ucranianas. Lo que está en juego es la forma en que Apple recopila y comparte públicamente información sobre la ubicación precisa de todos los puntos de acceso Wi-Fi vistos por sus dispositivos. Apple recopila estos datos de ubicación para brindar a los dispositivos Apple una alternativa de bajo consumo y de colaboración colectiva a la solicitud constante de coordenadas del sistema de posicionamiento global (GPS). Tanto Apple como Google operan sus propios sistemas de posicionamiento (WPS) basados ​​en Wi-Fi que obtienen ciertos identificadores de hardware de todos los puntos de acceso inalámbrico que se encuentran dentro del alcance de sus dispositivos móviles. Ambos registran la dirección de control de acceso a medios (MAC) que utiliza un punto de acceso Wi-FI, conocida como identificador de conjunto de servicios básicos o BSSID. Periódicamente, los dispositivos móviles de Apple y Google reenviarán sus ubicaciones, consultando el GPS y/o utilizando torres de telefonía celular como puntos de referencia, junto con cualquier BSSID cercano. Esta combinación de datos permite a los dispositivos Apple y Google determinar dónde se encuentran dentro de unos pocos pies o metros, y es lo que permite que su teléfono móvil continúe mostrando su ruta planificada incluso cuando el dispositivo no puede localizar el GPS. Con el WPS de Google, un dispositivo inalámbrico envía una lista de BSSID de puntos de acceso Wi-Fi cercanos y sus intensidades de señal, a través de una solicitud de interfaz de programación de aplicaciones (API) a Google, cuyo WPS responde con la posición calculada del dispositivo. El WPS de Google requiere al menos dos BSSID para calcular la posición aproximada de un dispositivo. El WPS de Apple también acepta una lista de BSSID cercanos, pero en lugar de calcular la ubicación del dispositivo basándose en el conjunto de puntos de acceso observados y la intensidad de la señal recibida y luego informar ese resultado al usuario, la API de Apple devolverá las ubicaciones geográficas de hasta 400 cientos más BSSID que estén cerca del solicitado. Luego utiliza aproximadamente ocho de esos BSSID para determinar la ubicación del usuario en función de puntos de referencia conocidos. En esencia, el WPS de Google calcula la ubicación del usuario y la comparte con el dispositivo. El WPS de Apple proporciona a sus dispositivos una cantidad suficiente de datos sobre la ubicación de puntos de acceso conocidos en el área para que los dispositivos puedan hacer esa estimación por sí solos. Esto es según dos investigadores de la Universidad de Maryland, quienes teorizaron que podrían usar la verbosidad de la API de Apple para mapear el movimiento de dispositivos individuales dentro y fuera de prácticamente cualquier área definida del mundo. La pareja de UMD dijo que pasaron un mes al comienzo de su investigación consultando continuamente la API, preguntándole por la ubicación de más de mil millones de BSSID generados al azar. Descubrieron que, si bien la API de geolocalización Wi-Fi de Apple sólo conocía alrededor de tres millones de esos BSSID generados aleatoriamente, Apple también devolvió 488 millones de ubicaciones BSSID adicionales ya almacenadas en su WPS a partir de otras búsquedas. El profesor asociado de la UMD, David Levin, y el estudiante de doctorado, Erik Rye, descubrieron que en su mayoría podían evitar solicitar BSSID no asignados consultando la lista de rangos de BSSID asignados a fabricantes de dispositivos específicos. Esa lista la mantiene el Instituto de Ingenieros Eléctricos y Electrónicos (IEEE), que también patrocina la conferencia de privacidad y seguridad donde Rye presentará la investigación de la UMD más tarde hoy. Al trazar las ubicaciones devueltas por WPS de Apple entre noviembre de 2022 y noviembre de 2023, Levin y Rye vieron que tenían una visión casi global de las ubicaciones vinculadas a más de dos mil millones de puntos de acceso Wi-Fi. El mapa mostraba puntos de acceso geolocalizados en casi todos los rincones del mundo, aparte de casi la totalidad de China, vastas extensiones de desierto en Australia central y África, y en lo profundo de las selvas tropicales de América del Sur. Un «mapa de calor» de BSSID que el equipo de UMD dijo que descubrió adivinando aleatoriamente los BSSID. Los investigadores dijeron que al concentrarse o “geocercar” otras regiones más pequeñas indexadas por la API de ubicación de Apple, podrían monitorear cómo se movían los puntos de acceso Wi-Fi a lo largo del tiempo. ¿Por qué podría ser un gran problema? Descubrieron que al geocercar las zonas de conflicto activo en Ucrania, pudieron determinar la ubicación y el movimiento de los dispositivos Starlink utilizados por las fuerzas ucranianas y rusas. La razón por la que pudieron hacer esto es que cada terminal Starlink (la antena parabólica y el hardware asociado que permite a un cliente de Starlink recibir servicio de Internet desde una constelación de satélites Starlink en órbita) incluye su propio punto de acceso Wi-Fi, cuya ubicación va a ser indexado automáticamente por cualquier dispositivo Apple cercano que tenga habilitados los servicios de ubicación. Un mapa de calor de los enrutadores Starlink en Ucrania. Imagen: UMD. El equipo de la Universidad de Maryland cercó geográficamente varias zonas de conflicto en Ucrania e identificó al menos 3.722 terminales Starlink geolocalizadas en Ucrania. «Encontramos lo que parecen ser dispositivos personales llevados por personal militar a zonas de guerra, exponiendo sitios previos al despliegue y posiciones militares», escribieron los investigadores. «Nuestros resultados también muestran personas que han abandonado Ucrania hacia una amplia gama de países, lo que valida los informes públicos sobre dónde se han reasentado los refugiados ucranianos». En una entrevista con KrebsOnSecurity, el equipo de UMD dijo que descubrieron que, además de exponer los sitios previos al despliegue de las tropas rusas, los datos de ubicación facilitaban ver de dónde se originaban los dispositivos en las regiones en disputa. «Esto incluye direcciones residenciales en todo el mundo», dijo Levin. «Incluso creemos que podemos identificar a personas que se han unido a la Legión Extranjera de Ucrania». Un mapa simplificado de dónde se originan los BSSID que ingresan a las regiones de Donbas y Crimea en Ucrania. Imagen: UMD. Levin y Rye dijeron que compartieron sus hallazgos con Starlink en marzo de 2024, y que Starlink les dijo que la compañía comenzó a enviar actualizaciones de software en 2023 que obligan a los puntos de acceso de Starlink a aleatorizar sus BSSID. SpaceX, empresa matriz de Starlink, no respondió a las solicitudes de comentarios. Pero los investigadores compartieron un gráfico que, según dijeron, fue creado a partir de sus datos de monitoreo BSSID de Starlink, que muestra que solo en el último mes hubo una caída sustancial en la cantidad de dispositivos Starlink que eran geolocalizables usando la API de Apple. Los investigadores de la UMD compartieron este gráfico, que muestra que su capacidad para monitorear la ubicación y el movimiento de los dispositivos Starlink mediante BSSID cayó precipitadamente en el último mes. También compartieron una declaración escrita que recibieron de Starlink, que reconocía que los enrutadores de la terminal de usuario de Starlink originalmente usaban un BSSID/MAC estático: “A principios de 2023 se lanzó una actualización de software que aleatorizó el BSSID del enrutador principal. Las versiones de software posteriores han incluido la aleatorización del BSSID de los repetidores WiFi asociados con el enrutador principal. Actualmente se están implementando actualizaciones de software que incluyen la funcionalidad de aleatorización de repetidores en toda la flota, región por región. Creemos que los datos descritos en su documento se basan en los enrutadores o repetidores principales de Starlink que fueron consultados antes de recibir estas actualizaciones aleatorias”. Los investigadores también centraron su geocercado en la guerra entre Israel y Hamas en Gaza, y pudieron rastrear la migración y desaparición de dispositivos en toda la Franja de Gaza cuando las fuerzas israelíes cortaron el suministro eléctrico al país y las campañas de bombardeo destruyeron infraestructura clave. “A medida que pasó el tiempo, el número de BSSID de Gaza que son geolocalizables siguió disminuyendo”, escribieron. «A finales de mes, sólo el 28% de los BSSID originales todavía se encontraban en el WPS de Apple». A finales de marzo de 2024, Apple actualizó silenciosamente su sitio web para señalar que cualquiera puede optar por que Apple no recopile y comparta la ubicación de sus puntos de acceso inalámbrico, agregando “_nomap” al final del nombre del punto de acceso Wi-Fi (SSID). ). Agregar «_nomap» al nombre de su red Wi-Fi también impide que Google indexe su ubicación. Apple actualizó su política de servicios de privacidad y ubicación en marzo de 2024 para permitir que las personas opten por que su servicio no indexe su punto de acceso Wi-Fi agregando “_nomap” al nombre de la red. Cuando se le preguntó sobre los cambios, Apple dijo que habían respetado el indicador “_nomap” en los SSID durante algún tiempo, pero que esto solo se mencionó en un artículo de soporte a principios de este año. Rye dijo que la respuesta de Apple abordó el aspecto más deprimente de su investigación: que anteriormente no había forma de que nadie pudiera optar por no participar en esta recopilación de datos. “Es posible que no tengas productos Apple, pero si tienes un punto de acceso y alguien cercano a ti posee un dispositivo Apple, tu BSSID estará en [Apple’s] base de datos”, dijo. “Lo que es importante tener en cuenta aquí es que cada punto de acceso está siendo rastreado, sin optar por participar, ya sea que ejecuten un dispositivo Apple o no. Sólo después de que le revelamos esto a Apple, agregaron la posibilidad de que las personas opten por no participar”. Los investigadores dijeron que esperan que Apple considere salvaguardas adicionales, como formas proactivas de limitar los abusos de su API de ubicación. «Es un buen primer paso», dijo Levin sobre la actualización de privacidad de Apple en marzo. “Pero estos datos representan una vulnerabilidad de privacidad realmente grave. Espero que Apple imponga más restricciones al uso de su API, como limitar la velocidad de estas consultas para evitar que la gente acumule cantidades masivas de datos como lo hicimos nosotros”. Los investigadores de la UMD dijeron que omitieron ciertos detalles de su estudio para proteger a los usuarios que pudieron rastrear, y señalaron que los métodos que utilizaron podrían presentar riesgos para quienes huyen de relaciones abusivas o acosadores. «Observamos que los enrutadores se mueven entre ciudades y países, lo que potencialmente representa la reubicación de su propietario o una transacción comercial entre un antiguo y un nuevo propietario», escribieron. “Si bien no existe necesariamente una relación 1 a 1 entre los enrutadores Wi-Fi y los usuarios, los enrutadores domésticos generalmente solo tienen varios. Si estos usuarios son poblaciones vulnerables, como aquellos que huyen de la violencia de pareja o de un acosador, el simple hecho de que su enrutador esté en línea puede revelar su nueva ubicación”. Los investigadores dijeron que los puntos de acceso Wi-Fi que se pueden crear utilizando el módem celular integrado de un dispositivo móvil no crean un riesgo de privacidad de ubicación para sus usuarios porque los puntos de acceso de los teléfonos móviles elegirán un BSSID aleatorio cuando se activen. «Los dispositivos Android e iOS modernos elegirán un BSSID aleatorio cuando entren en modo de punto de acceso», dijo. “Los hotspots ya están implementando las recomendaciones más estrictas para la protección de la privacidad. Son otros tipos de dispositivos los que no hacen eso”. Por ejemplo, descubrieron que ciertos enrutadores de viaje de uso común agravan los riesgos potenciales para la privacidad. «Debido a que los enrutadores de viaje se usan con frecuencia en casas rodantes o botes, vemos que un número significativo de ellos se mueven entre campamentos, parques de casas rodantes y puertos deportivos», escribió el dúo UMD. “Son utilizados por turistas que se desplazan entre viviendas residenciales y hoteles. Tenemos evidencia de su uso por parte de miembros militares cuando se despliegan desde sus hogares y bases a zonas de guerra”. Una copia de la investigación de la UMD está disponible aquí (PDF). Actualización, 22 de mayo, 4:54 pm ET: respuesta agregada de Apple.