La red mundial de vigilancia ya existe — se sustenta en las claves que usas

Científicos del Instituto Tecnológico de Georgia compartieron los resultados del análisis del sistema de seguimiento de etiquetas Tile, que usan más de 88 millones de personas en todo el mundo. Los especialistas descubrieron que estos dispositivos transmiten datos críticos en texto claro, lo que crea riesgos graves de vigilancia y de abuso. Tile pertenece a la compañía Life360, que en sus declaraciones afirma que no tiene la capacidad técnica para rastrear a los usuarios. Sin embargo, los investigadores demostraron lo contrario.

Cada rastreador Tile transmite por el aire un identificador único y una dirección MAC no protegidos por cifrado. Estos datos se pueden interceptar fácilmente con un smartphone o una antena de radiofrecuencia y usar para rastrear los desplazamientos del propietario. Además, datos no cifrados iguales se envían a los servidores de Tile y, según los especialistas, se almacenan allí en texto claro. Esto significa que la compañía, teóricamente, podría llevar a cabo una vigilancia centralizada de todos los propietarios de etiquetas y de sus dispositivos, y, si fuera necesario, proporcionar esa información a organizaciones externas.

Según los investigadores, esa arquitectura convierte a Tile en un sistema global de vigilancia. A diferencia de Apple, Google o Samsung, que usan cifrado de extremo a extremo y un identificador que cambia regularmente, Tile transmite al mismo tiempo una dirección MAC estática y un ID rotatorio. Como resultado, incluso cuando cambia el número único, la dirección permanente permite continuar el seguimiento del dispositivo durante toda su vida útil.

La situación empeora por los débiles mecanismos de protección contra abusos. Tile ofrece a los usuarios el modo «Scan and Secure», que permite detectar etiquetas ajenas en las cercanías, pero hay que activarlo manualmente y solo funciona 10 minutos. Para que la función opere, la persona debe moverse en el espacio durante el escaneo y repetir el procedimiento regularmente. A diferencia de los competidores, que notifican automáticamente la aparición de dispositivos desconocidos, aquí la responsabilidad recae completamente en el propietario del smartphone.

Los investigadores también comprobaron que la función «antirrobo», presentada como protección contra el hurto, en realidad abre la puerta a la vigilancia oculta. Si se activa este modo, la etiqueta se vuelve invisible para el escaneo en la aplicación, y la víctima no podrá saber que hay un dispositivo de seguimiento asociado a ella. No obstante, toda la información recopilada sigue llegando al servidor de Tile. De ese modo, el atacante obtiene una forma de eludir las medidas antiacoso.

Además, el equipo descubrió la posibilidad de inculpar a una persona inocente por persecución. Para ello basta con grabar la señal de radio de un rastreador auténtico y luego reproducirla en otro lugar. Como resultado, la aplicación mostrará que hay cerca el dispositivo de un propietario concreto, y al servidor llegarán datos falsos sobre su ubicación.

En respuesta a las solicitudes de los investigadores, Life360 se limitó a frases generales sobre «varias mejoras», sin especificar en qué consisten. La compañía cortó el contacto con el equipo de especialistas ya en febrero, aunque recibió por primera vez el informe sobre las vulnerabilidades en noviembre del año pasado.

Hoy las etiquetas Tile están integradas no solo en llaveros independientes, sino también en dispositivos de grandes fabricantes — desde portátiles Dell hasta auriculares Bose y pulseras de actividad Fitbit. Desde 2021 también son compatibles con la infraestructura Amazon Sidewalk, que incluye cámaras Ring y altavoces Echo. Todo ello hace que el problema sea masivo y afecte a millones de usuarios en todo el mundo.

Los investigadores subrayan que las vulnerabilidades podrían eliminarse con la simple implementación de cifrado en la transmisión de datos, como han hecho otros fabricantes. Pero mientras la arquitectura de Tile permanezca sin cambios, los usuarios corren el riesgo de convertirse en objeto de vigilancia constante — tanto por parte de atacantes como de la propia compañía.