Vivimos en una época en la que el teléfono móvil forma parte importante de nuestra conectividad. Hace unos años lo usábamos para llamar o enviar SMS. Sin embargo hoy en día estamos constantemente conectados a Internet. Usamos múltiples aplicaciones que, en segundo plano, están las 24 horas del día activas. Algunos anunciantes pueden aprovechar este hecho y abusar para rastrear a los usuarios, incluso la posición con una precisión de 8 metros. Todo esto con un presupuesto de menos de 1000 dólares, según un informe, utilizando para ello los anuncios móviles.
Anuncios para rastrear usuarios
Estas son algunas de las conclusiones de un estudio exhaustivo del panorama de la publicidad móvil llevado a cabo por un equipo de tres investigadores del Laboratorio de Seguridad y Privacidad de la Universidad de Washington. Podéis visitar nuestro tutorial sobre rastrear a personas que pinchen en un enlace.
Los investigadores descubrieron que las redes móviles proporcionan capacidades de orientación al usuario tan precisas y afinadas que un individuo podría abusar de estas herramientas para rastrear usuarios que se ajustan a un patrón determinado o para espiar objetivos marcados.
Por ejemplo, un atacante podría registrarse para uno de estos servicios y configurarse para entregar anuncios solo a un área geográfica determinada, como las coordenadas de una casa en su vecindario local. El atacante, al comprar anuncios, también significa que obtiene informes de uso sobre cómo y cuándo se entregaron estos anuncios para su compra reciente.
Estos informes no solo se muestran cuando se hace clic en los anuncios, sino que también se informa de cuándo aparecen y, en el caso de los anuncios para dispositivos móviles, en qué aplicaciones y sitios web.
Obtener detalles variados
Un atacante puede usar esta técnica para inferir detalles sobre su objetivo, como la hora del día cuando está en casa, sus creencias religiosas, condiciones médicas y mucho más. Esta información no está disponible directamente a través del informe, pero si el usuario a menudo recibe publicidad mientras visita el sitio web de una clínica determinada o dentro de una aplicación de cualquier ámbito, entonces la información, los datos, hablan por sí mismos en la mayoría de los casos.
Este tipo de escenario de seguimiento se basa en datos volátiles y, a menudo inexactos, como coordenadas geográficas o direcciones IP. Los investigadores dicen que el seguimiento de usuarios a través de anuncios móviles podría ser mucho más preciso si el atacante descubre la MAID (ID de publicidad móvil) de un usuario, que es única por dispositivo.
El truco es que la MAID no está disponible libremente, pero los investigadores también argumentan que esto no es en realidad un gran obstáculo para los atacantes.
Descubrir la MAID
Los agentes de amenazas pueden descubrir la MAID de un objetivo cuando el usuario hace clic en un anuncio, interceptando el tráfico de red WiFi local local sin cifrar o entregando anuncios con JavaScript malicioso que recopila la MAID incluso si el usuario no hace clic en el anuncio. Además, en algunos casos, un atacante puede calcular él mismo la MAID si tiene acceso a varias especificaciones del dispositivo.
Una vez que el atacante tiene la MAID, la precisión de sus habilidades de rastreo se puede aumentar muchas veces y le permite entregar anuncios aún más orientados.
Los investigadores denominaron a esta técnica de seguimiento ADINT, similar a los términos SIGINT (inteligencia de señales) y HUMINT (inteligencia humana), dos términos utilizados en operaciones de espionaje en el mundo real.
Además, la técnica también es muy barata de realizar, ya que cuesta solo unos pocos miles de dólares, en comparación con el malware de seguimiento de grado espía que a veces puede costar millones.