La keynote de la conferencia WWDC 2019 de Apple dejó muchas novedades, y entre ellas las que afectaban a macOS Catalina, la nueva versión de su sistema operativo de escritorio.
Entre esas características destacó una de forma especial: se trata de Find My, la opción que permite que encontremos un MacBook extraviado (o robado) gracias a la magia de Bluetooth LE. Así funciona un servicio que hace que el resto de usuarios de dispositivos de Apple se conviertan en chivatos anónimos y transparentes de la localización de tu MacBook perdido.
Como destacaba Craig Federighi durante la presentación de esta característica, el cifrado de Find My se realiza de extremo a extremo y es anónimo. Eso quiere decir que Apple no tiene acceso a esa información, que solo el usuario propietario de esos dispositivos podrá consultar.
Para poder usar esta característica es necesario que el usuario disponga de al menos dos dispositivos de Apple para ponerla en marcha. Uno emite constantemente una clave que va variando y que se usa para que dispositivos de Apple que están cerca envíen tu localización de forma cifrada a los servidores de Apple.
¿Cómo funciona esta característica tan llamativa? Lo curioso es que no hace uso de la señal GPS o de una potencial triangulación con redes WiFi o con redes móviles, sino que se basa en una opción del protocolo Bluetooth Low Energy (BLE). Como explican en Wired el proceso es el siguiente:
El servicio presentado por Apple es desde luego llamativo, pero está lejos de ser novedoso. La capacidad de Bluetooth como sistema para localizar dispositivos viene de lejos, y de hecho fue definida ya en el perfil "Find Me" de la especificación Bluetooth en 2011 (PDF).
Dicha opción ha servido para que algunas empresas lancen accesorios que ayudan a localizar todo tipo de objetos. La más conocida probablemente es Tile, que vende pequeños accesorios que podemos enganchar a las llaves, al portátil o al teléfono y que nos permiten localizar esos objetos fácilmente si los perdemos desde otro Tile o bien dispositivo o un ordenador.
Los rastreadores Bluetooth como el de Tile permiten usar una aplicación móvil para monitorizar la ubicación de cualquier objeto a la que estén conectados. También pueden activar remotamente un sonido en el rastreador para localizarlo cuando esté cerca (por ejemplo, cuando perdemos las llaves de casa.
Desde hace tiempo Tile implementa la característica "Community Find" que funciona con el mismo principio que indicaban en Apple. Si hay un dispositivo Bluetooth de Tile en la zona de cobertura, este actualiza la ubicación de tu dispositivo en tiempo real de forma automática y anónima.
Esa ubicación no se comparte con la persona que precisamente la compartió, es un proceso invisible para ella. Esa función de "búsqueda comunitaria" permite que otras personas te ayuden a localizar tu artículo.
Esta característica sorprende por no estar basada ni en el potencial uso de la señal GPS ni tampoco en la de la conexión a redes de datos. En lugar de eso hace uso de la tecnología Bluetooth y de esa comunidad de usuarios que sirven como retransmisores de la ubicación de nuestros dispositivos sin que ellos lo sepan.
Como explicaba Matthew Green, criptógrafo y profesor de la Johns Jopkins University, la idea de Apple es convertir su red de iPhone en un gigantesco sistema comunitario de seguimiento de la ubicación. Cada iPhone con iOS 13 estará constantemente monitorizando mensajes de balizas BLE que podrían llegar de dispositivos de Apple que han sido robados o extraviados.
Para Green esto podría convertirse en una potencial "pesadilla para la privacidad" que podría unirse a otras que no han sido ajenas a los dispositivos de Apple. En primer lugar, porque este sistema plantea otra forma más de seguirnos a todas partes (por si ya eran pocas). Además, explica, no solo expone al usuario de la característica, sino a todos los dispositivos que están haciendo ese seguimiento. Los potenciales atacantes podrían ejecutar ataques que falsearan la ubicación de tu dispositivo, por ejemplo, tratando de "corromper" el sistema.
Entre los problemas que plantea Green está el de la forma en la que se usan los identificadores para monitorizar nuestros dispositivos, que podrían estar basados en una lista de pseudónimos que comparten el usuario que retransmite la ubicación de tu dispositivo extraviado y tú mismo, pero que según Green añade nuevos peligros y amenazas a la privacidad.
Los beacons o balizas Bluetooth en la forma de poner en contacto a marcas y comercios con sus clientes. La idea nunca ha llegado a cuajar del todo.
Entre otras, que al final se acaba generando una "gigantesca base de datos que muestra todas las localizaciones GPS en las que algún dispositivo de Apple ha sido detectado". El profesor de la Johns Hopkins University añade que hay formas de minimizar riesgos como el uso de claves aleatorias que generan versiones de la clave pública que no se pueden asociar con la original pero que aún así cumplen su objetivo último.
Así pues, el protocolo planteado por Apple y que sus responsables detallaban (un poco) en Wired tiene desde luego muchos puntos a favor, pero no está a salvo de potenciales formas de aprovecharlo para usos no deseados.
No parece fácil que un atacante logre encontrar fisuras a pesar de las pistas dadas por Green, pero aquí habrá que ver qué opinan el resto de usuarios de esa gigantesca red sobre esa función que al final les convierte en retransmisores invisibles y automáticos de la localización de la ubicación de muchos otros dispositivos a su alrededor.
Eso no solo plantea dudas en la seguridad, sino en algo más palpable en el día a día como el consumo de batería. ¿Supondrá ese uso de Find My un problema para la autonomía? No parece probable dado que se hace uso del estándar Bluetooth Low Energy, pero será interesante ver qué ocurre con este servicio una vez esté desplegado a partir de otoño, cuando aparezcan tanto iOS 13 como macOS Catalina.
.
