En noviembre del 2022, unos investigadores de universidades de EE. UU. y Canadá demostraron un método de localización de dispositivos wifi utilizando equipos económicos y fáciles de encontrar. La prueba de concepto del ataque se denominó Wi-Peep, ya que se puede usar para espiar (peep en inglés) dispositivos que se comunican entre sí a través de wifi. Esta investigación ofrece nuevos conocimientos sobre ciertas características de las redes wifi y los riesgos potenciales de la localización de dispositivos. Deberíamos comenzar diciendo que los riesgos no son demasiado altos: el ataque parece sacado de una película de James Bond. Pero eso no hace que la investigación sea menos interesante.
Las funciones del ataque Wi-Peep
Antes de ver el informe en detalle, imaginemos el que podría ser un ataque en la vida real. Los atacantes vuelan un mini cuadricóptero con la microcomputadora más económica a bordo alrededor de un edificio objetivo, recopilando datos para obtener un mapa de los dispositivos inalámbricos en el interior con una precisión razonable (±1,5 metros en condiciones ideales). Pero ¿por qué lo harían? Bueno, supongamos que es un banco o un laboratorio secreto cuyos sistemas de seguridad están equipados con módulos wifi. Y ahí está el “por qué”: su ubicación podría ser de gran interés práctico para los atacantes que planean una penetración física.
Entonces, ¿cómo imitan los investigadores algo así?…
El ataque Wi-Peep explota dos características importantes de absolutamente cualquier dispositivo con conexión wifi, desde los antiguos módulos inalámbricos de hace 20 años hasta los más modernos. El primero es el mecanismo de ahorro de energía. Por ejemplo, el módulo wifi en un teléfono inteligente puede conservar la batería apagando el receptor inalámbrico durante cortos periodos de tiempo. Un punto de acceso inalámbrico debe considerar este modo de operación: su router puede acumular paquetes de datos para un dispositivo específico y luego transmitirlos todos a la vez cuando indica que está listo nuevamente para recibir una transmisión.
Para un ataque exitoso, un posible espía necesitaría obtener una lista de direcciones MAC, identificaciones de dispositivos únicas cuyas ubicaciones se determinarían más adelante. Los dispositivos de una misma casa, oficina u hotel suelen estar conectados a una red wifi compartida, cuyo nombre no es ningún secreto. Pues resulta que es posible enviar un paquete de datos falso, aparentemente desde esta red inalámbrica compartida, informando a todos los dispositivos conectados que el búfer del punto de acceso ha acumulado algunos datos destinados a ellos. Ante esto, los dispositivos envían respuestas que, cuando se analizan, revelan las direcciones MAC únicas de todos los dispositivos de la red casi al instante. Pero hay una forma más sencilla: escuchar a escondidas el tráfico de radio inalámbrico; sin embargo, esto lleva más tiempo: según los investigadores necesitas acumular datos en modo pasivo durante 12 horas.
La segunda característica explotable del intercambio inalámbrico de datos se denominó provisionalmente Wi-Fi Polite. Ese nombre fue asignado por los autores de un estudio anterior del 2020. En pocas palabras, la esencia de la función es la siguiente: un dispositivo inalámbrico siempre responde a una solicitud de dirección de otro dispositivo, incluso aunque no esté conectado a una red wifi compartida o la solicitud no esté cifrada o malformada. En respuesta, el módulo wifi envía una simple confirmación (“Datos recibidos”), que resulta suficiente para determinar la distancia hasta el dispositivo que responde. El tiempo de respuesta para la recepción de dicho paquete está estrictamente regulado y es de 10 microsegundos. Un atacante potencial puede medir el tiempo entre el envío de una solicitud y la recepción de una respuesta, restar esos 10 microsegundos y obtener el tiempo que tarda la señal de radio en llegar al dispositivo.
¿Y qué aporta esta información? Moviéndonos alrededor de un dispositivo inalámbrico estacionario, podemos determinar sus coordenadas con un grado de precisión bastante alto, conociendo nuestra propia ubicación y la distancia hasta el objeto de interés.
Gran parte de la investigación se dedica a superar las muchas dificultades de este método. La señal del transmisor de radio wifi se refleja constantemente en las paredes y otros obstáculos, lo que dificulta el cálculo de la distancia. De hecho, ese tiempo de respuesta estandarizado debería ser de 10 microsegundos, pero en realidad varía de un dispositivo a otro, entre 8 y 13 microsegundos.
La precisión de geolocalización del propio módulo wifi de los atacantes también tiene un efecto: resulta que ni siquiera la precisión de los sistemas de geoposicionamiento (GPS, GLONASS, etc.) es siempre suficiente. Aunque los datos resultantes contienen mucho ruido, si se realizan suficientes mediciones, se puede lograr una precisión relativamente alta. Eso significa que, si realizan decenas de miles de lecturas, se obtiene una precisión de posicionamiento con un error en un rango de 1,26 a 2,30 metros en el plano horizontal. En la vertical, los investigadores pudieron determinar el piso exacto en el 91% de los casos, pero nada más.
Un ataque sofisticado low-cost
Aunque el sistema para determinar las coordenadas de los dispositivos inalámbricos resultó no ser muy preciso, sigue siendo interesante, sobre todo porque el equipo utilizado por los investigadores es muy barato.
En teoría, un espía potencial puede llevar a cabo un ataque en persona, simplemente caminando lentamente alrededor del objeto. Para mayor comodidad, los investigadores utilizaron un cuadricóptero económico equipado con una microcomputadora basada en el conjunto de chips ESP32 y un módulo inalámbrico.
¡El coste total de este equipo de reconocimiento (excluyendo el coste del cuadricóptero) es inferior a 20 dólares!
Además, el ataque es prácticamente imposible de rastrear en el dispositivo de la víctima. Utiliza las capacidades estandarizadas de los módulos wifi, que no se pueden desactivar o al menos modificar en términos de comportamiento.
Si se consigue la comunicación entre el dispositivo de la víctima y la microcomputadora de los atacantes, el ataque funcionará. El rango práctico de transmisión de datos a través de wifi es de decenas de metros, que en la mayoría de los casos será suficiente.
La implementación del ataque
Si asumimos que el ataque es factible en la vida real, ¿los datos obtenidos sirven de algo? Los investigadores proponen varias situaciones. La primera, y más obvia, si conocemos la dirección MAC del smartphone de un individuo específico, podemos rastrear aproximadamente sus movimientos en lugares públicos.
Esto es posible incluso aunque su smartphone no está conectado a ninguna red inalámbrica en el momento del ataque. En segundo lugar, crear un mapa de dispositivos inalámbricos en un edificio seguro (la oficina de un competidor, las instalaciones de un banco) para un ataque físico posterior es un escenario totalmente realista. Por ejemplo, los atacantes pueden determinar la ubicación aproximada de las cámaras de vigilancia si utilizan conexión wifi para la transmisión de datos.
La recopilación de dichos datos también presenta una serie de beneficios menos obvios. Podría, por ejemplo, recopilar información sobre la cantidad de dispositivos con conexión wifi que hay en un hotel para estimar cuántos huéspedes hay. Dichos datos pueden ser de interés para la competencia. O bien, conocer la cantidad de dispositivos inalámbricos podría ayudar a determinar si las posibles víctimas están en casa. Incluso las propias direcciones MAC, sin coordenadas, pueden resultar de utilidad para recopilar estadísticas sobre el uso de smartphones en un lugar público. Además del espionaje y el robo, estos métodos representan una amenaza para la privacidad de las personas.
Sin embargo, el riesgo inmediato de que dicho método se implemente en la práctica sigue siendo bastante bajo. Y esto podría aplicarse a todos los posibles ataques y métodos de recopilación de datos en los que sea necesario aproximarse al objeto de destino.
Por un lado, requiere bastante mano de obra, lo que significa que pocos lo harían a gran escala, y para ataques dirigidos, otros métodos pueden ser más efectivos. A su vez, la investigación científica ayuda a comprender cómo las características menores de las tecnologías complejas pueden aprovecharse para fines maliciosos. Los propios investigadores señalan que su trabajo dará realmente frutos si este pequeño riesgo de seguridad y privacidad se elimina en futuras versiones de tecnologías inalámbricas de transmisión de datos.
Por el momento, todo lo que podemos recomendar es utilizar es un sistema anti drones. No ayudará contra un ataque Wi-Peep, pero al menos evitará que te espíen desde el aire.