Así pueden usar el nivel de batería de tu móvil para invadir tu privacidad
Un fallo de seguridad en el código HTML, el utilizado por las páginas web, permite rastrear a usuarios en la Red, según un grupo de investigadores de seguridad de Francia y Bélgica
Un grupo de investigadores ha demostrado que para localizar a sus usuarios basta con conocer el nivel de batería restante de sus dispositivos, lo que podría comprometer la privacidad. Una característica poco conocida de la especificación HTML5, la última gran revisión del lenguaje básico de la Red, permite a las páginas web saber la cantidad de batería del portátil o del smartphone que consumen sus visitantes. Ahora, unos grupos de investigación en seguridad de Francia y Bélgica han advertido de que esa información puede usarse para rastrear los navegadores online.
Actualmente, los navegadores Firefox, Opera y Chrome soportan la API del estado de la batería, introducida en 2012 por el World Wide Web Consortium (W3C), la organización que supervisa el desarrollo de los estándares web, con el objetivo de ayudar a las páginas web a ahorrar la energía de los usuarios. Funciona así: una página o una aplicación web pueden llegar a saber si a un visitante le queda poca batería, y así pasar a un modo de bajo consumo, que inhabilita las funciones superfluas para optimizar la energía.
Sin embargo, la especificación del W3C exime explícitamente a las páginas web de pedir permiso a los usuarios para conocer ese nivel restante de batería. La excusa es que "la información revelada tiene un impacto mínimo en la privacidad o la identificación, y por lo tanto se expone sin necesidad de permisos". En un artículo publicado por cuatro investigadores franceses y belgas, esa afirmación se pone en entredicho.
La última gran versión del código HTML, la quinta, accede sin permiso del usuario a sus datos de batería y puede ayudar a que otros lo identifiquen y sigan su rastro de visitas en la web
Los investigadores señalan que la información que recibe una página web es sorprendentemente específica, y contiene el tiempo aproximado en segundos que la batería tardará en descargarse por completo, así como el nivel de batería restante, expresado en forma de porcentaje. Juntas, estas dos cifras constituyen una de alrededor de 14 millones de combinaciones, lo que significa que funcionan como un número de DNI en potencia. Para más inri, estos valores solo se actualizan cada 30 segundos, lo que quiere decir que durante medio minuto la API del estado de la batería puede usarse para identificar a los usuarios a su paso por las páginas web.
Por ejemplo, si un usuario visita una página con el modo incógnito de Chrome usando una red privada virtual (VPN), la página no debería poder vincularlo a una visita posterior, realizada sin el modo incógnito ni la VPN. Sin embargo, los investigadores advierten de que eso podría dejar de funcionar: "Los usuarios que vuelven a visitar una página con una nueva identidad podrían usar el modo incógnito de los buscadores o eliminar las cookies y otros identificadores del cliente. [Pero] cuando se hacen visitas consecutivas en un breve intervalo de tiempo, la página web puede vincular la nueva identidad del usuario con la antigua a través del nivel de batería y el tiempo estimado de carga/descarga. Entonces la página web puede restablecer las cookies del usuario y otros identificadores del cliente, un método conocido como respawning.
Y lo que es aún más grave: los investigadores descubrieron que, en algunas plataformas y a través de una serie de consultas, se puede determinar la capacidad de batería máxima del aparato. Esto equivaldría a crear un sistema de medida semipermanente para comparar entre sí dispositivos.
Traducción de News Clips.
© 2015 The Guardian
Tu suscripción se está usando en otro dispositivo
¿Quieres añadir otro usuario a tu suscripción?
Si continúas leyendo en este dispositivo, no se podrá leer en el otro.
FlechaTu suscripción se está usando en otro dispositivo y solo puedes acceder a EL PAÍS desde un dispositivo a la vez.
Si quieres compartir tu cuenta, cambia tu suscripción a la modalidad Premium, así podrás añadir otro usuario. Cada uno accederá con su propia cuenta de email, lo que os permitirá personalizar vuestra experiencia en EL PAÍS.
En el caso de no saber quién está usando tu cuenta, te recomendamos cambiar tu contraseña aquí.
Si decides continuar compartiendo tu cuenta, este mensaje se mostrará en tu dispositivo y en el de la otra persona que está usando tu cuenta de forma indefinida, afectando a tu experiencia de lectura. Puedes consultar aquí los términos y condiciones de la suscripción digital.