Cuidado con el Bluetooth de tu iPhone, ¡podrían rastrear tu ubicación!

Una investigación realizada por miembros de la Universidad George Mason de los Estados Unidos afirman haber descubierto una vulnerabilidad grave en la red Buscar de Apple en la que piratas informáticos y cualquier maleante en la red con conocimiento pueda realizar rastreos sin consentimiento del usuario propietario. Se trata de un exploit que engaña a la red mencionada de Apple para que los dispositivos Bluetooth sean tratados como si fuera un AirTag. ¿Qué tan grave es esta vulnerabilidad?

Cualquier dispositivo Bluetooth puede convertirse en un rastreador sin que lo sepas con este exploit

Los investigadores de la Universidad George Mason lo bautizaron como "nRootTag", un "ataque que utiliza la dirección Bluetooth de un dispositivo" que convierte cualquier móvil, portátil o hasta una consola de videojuegos como si fuera un AirTag. Junming Chen, autor principal del estudio, indica que puede hacerse desde "miles de kilómetros de distancia" y con "unos pocos dólares". ¿Cómo funciona el ataque? Básicamente es un engaño a la red Buscar de Apple donde el dispositivo objetivo funge como un AirTag perdido. A su vez, se envían mensajes Bluetooth a otros dispositivos de Apple que están cerca y que de forma anónima se transmite su ubicación hacia al propietario para el seguimiento de rigor que se realiza.

Red Buscar de Apple y sus dispositivos

En la práctica del exploit se pudo localizar a un ordenador de escritorio con una precisión de alrededor de 3 metros, una bicicleta eléctrica en movimiento y hasta la trayectoria que tuvo una consola de videojuegos que se llevó a través de un vuelo de avión. El AirTag de Apple está diseñado para cambiar su dirección de Bluetooth junto a una clave criptográfica. En este caso, los investigadores se encargaron del desarrollo de técnicas de búsqueda para encontrar claves compatibles a la dirección Bluetooth.

Lo preocupante es que el exploit no requiere acceso físico ni privilegios de administrador, es perfecto para los maleantes informáticos. Para llevar a cabo el ataque, los investigadores utilizaron varias unidades de GPU para proceder con el procedimiento de las claves criptográficas. Cualquiera podría hacerlo realizando renta de GPU tal y como lo hacen en las comunidades de criptominería. El éxito del exploit es de un 90% y rastrea dispositivos en cuestión de minutos.

Apple ya está enterado de esta vulnerabilidad aunque aún no se desarrolla una solución

El Apple AirTag es un pequeño localizador que muestra la ubicación de tus objetos en el mapa de Buscar

Lo más relevante de esta investigación es que Apple fue notificada desde julio de 2024, reconociendo dicha situación pero sin revelar la posible solución. La vulnerabilidad seguiría existiendo con base en los patrones de actualización de los usuarios. No todos actualizan al mismo tiempo y el problema podría perdurar varios años más. El equipo de investigación indica que la red Buscar de Apple es vulnerable y seguirá siendo así hasta que los dispositivos "mueran lentamente". Lo mencionado anteriormente será puesto a práctica en el próximo mes de agosto en una de las principales conferencias a nivel mundial sobre seguridad informática y criptografía, el Simposio de Seguridad USENIX.

La precaución a tomar en cuenta es principalmente sobre las apps que solicitan permiso de utilizar el Bluetooth del dispositivo, además de mantener actualizado el sistema operativo cada vez que sea posible.

La red Buscar de Apple ha demostrado ser segura

En iPadizate hemos hablado en numeradas ocasiones sobre la red Buscar y el uso de AirTag. En un artículo publicado en agosto de 2024, se señala a esta misma red como una posibilidad de abrirse hacia una red social. Cada vez que compartes la ubicación de tu dispositivo o ahora de un AirTag, siempre es con los más estrictos estándares de seguridad hechos por Apple.

La app Buscar demuestra ser más útil de lo que parece

Más que una red social, es una red que también está siendo utilizada por padres y madres de familia que monitorean a sus hijos en varias circunstancias. También se ha convertido en una red de apoyo entre mujeres que cuidan su seguridad al realizar salidas nocturnas.

El caso de vulnerabilidad expuesto es uno más de tantos en los que se descubren que los sistemas de seguridad de algunas marcas no son tan seguros como declaran. Confiamos en que Apple podrá mejorarlo y evitar que investigaciones como la de esta ocasión no sean posibles de realizar.

Puedes seguir a iPadizate en Facebook, WhatsApp, Twitter (X) o consultar nuestro canal de Telegram para estar al día con las últimas noticias de tecnología.