¿Tiene la sensación de que las aplicaciones que usa saben dónde ha estado? ¿Cómo es posible que lleguen anuncios de cierta marca de café si ni siquiera se conectó a la red wifi cuando visitó la tienda hace un par de horas?

Vivimos en una sociedad altamente conectada. Cada día tenemos más dispositivos conectados y nos conectamos más tiempo y desde más localizaciones diferentes. Esto supone una amenaza silenciosa constante. Sin ser conscientes dejamos un rastro de lo que hacemos, cuándo lo hacemos y dónde lo hacemos.

El problema de la privacidad y la seguridad en internet está hoy más vigente que nunca. Existen múltiples dimensiones: la confidencialidad de la información, la autenticidad de la misma y de los interlocutores.

Para conectarse a una red wifi los dispositivos utilizan las direcciones MAC (las siglas en inglés de Medium Access Control). Estas sirven para identificar al dispositivo en la red cuando envía o recibe datos. Por ese motivo, las direcciones MAC deben ser únicas en la red.

Cada dispositivo viene con una dirección MAC configurada de fábrica. Dichas direcciones son únicas globalmente, de forma que no hay dos dispositivos en el mundo que compartan la misma dirección.

Esto es un problema, como vamos a ver a continuación.

En una red wifi los dispositivos utilizan las direcciones MAC cada vez que envían o reciben información. Si se usa siempre la misma dirección, los operadores de la red u otro tipo de observadores que pueda haber en la red pueden monitorizar cuándo un dispositivo concreto está conectado a la red. Además, en muchos casos es muy sencillo asociar la dirección MAC utilizada por un dispositivo con la identidad real del usuario. Por ejemplo, cuando al conectarnos por primera vez a una red proporcionamos información para poder obtener acceso.

Un dispositivo es vulnerable a ser rastreado incluso sin estar conectado a la red. El wifi requiere, en muchos casos, que los dispositivos tengan que enviar ciertos mensajes, por ejemplo para averiguar qué redes están disponibles. Estos mensajes incluyen las direcciones MAC, por lo que se pueden utilizar para revelar la identidad de los terminales, incluso sin que estos estén conectados a la red.

En algunos casos, un dispositivo puede preguntar activamente por redes a las que ha estado conectado recientemente, incluyendo los nombres de dichas redes en los mensajes que envían. Esto permite a un potencial atacante averiguar qué redes ha visitado recientemente el dispositivo, obteniendo información muy sensible.

Para evitar estos serios problemas de privacidad los principales sistemas operativos han comenzado a utilizar direcciones MAC aleatorias (llamadas direcciones privadas en el caso de los dispositivos de Apple). Para dificultar el rastreo, los dispositivos generan una dirección MAC aleatoria en lugar de la que trae configurada de fábrica. Esta dirección solo debe ser única en la red en la que está el dispositivo.

Si el dispositivo utiliza direcciones aleatorias diferentes para cada red a la que se conecta, un observador no podrá concluir que se trata del mismo dispositivo. Además, los dispositivos utilizan direcciones MAC aleatorias diferentes cada vez que envías información sin estar conectados a ninguna red. Esto dificulta el rastreo de usuarios que ni siquiera se han conectado a la red.

Recientemente los dispositivos móviles Android e iOS han comenzado a usar direcciones MAC aleatorias por defecto. En algunos escenarios o redes concretas puede ser necesario desactivar este comportamiento. Un ejemplo es en aquellas redes que utilizan listas de direcciones MAC autorizadas.

En la actualidad se está investigando el impacto que puede tener el uso de direcciones MAC aleatorias en las aplicaciones que usamos y en las redes a las que nos conectamos. Existen escenarios en los que es necesario que la red identifique a un dispositivo de forma anónima a pesar de que emplee direcciones aleatorias. Este es el objetivo del grupo de trabajo MADINAS del IETF (Internet Engineering Task Force), principal organismo de estandarización de protocolos de internet.

Es importante estudiar cómo combinar el uso de direcciones aleatorias con otros mecanismos diseñados para mejorar la privacidad. En el futuro los dispositivos podrán adaptarse al contexto y las necesidades concretas de cada usuario. De igual forma que no andamos descalzos por la calle y sí podemos hacerlo en casa, nuestros dispositivos deben aprender cómo y cuándo aplicar ciertas soluciones para proteger nuestra privacidad.

¿Ha leído este artículo desde un dispositivo móvil conectado a una red wifi? Quizá haya revelado más información de la que piensa.

Escrito por Carlos Jesus Bernardos Cano