Ciudad de México, 4 de agosto (SinEmbargo).- Una especificación poco conocida de HTML5 puede saber qué tanta batería tiene la laptop o el smartphone de un visitante. Hasta hace poco esa se trataba de una habilidad poco útil que no pasaba de ser una curiosidad; algo aparentemente sin importancia. Sin embargo, ahora investigadores especializados en seguridad advierten que esta información puede ser usada para rastrear navegadores en línea, algo que pone en riesgo la privacidad de los internautas.
La API de estado de la batería es admitida actualmente en los navegadores Firefox, Opera y Chrome, y fue presentado en 2012 por el World Wide Web Consortium (W3C), la organización que supervisa el desarrollo de los estándares de la web, con el objetivo de ayudar a que los sitios de internet conservaran la energía de los usuarios. Idealmente, una página web o aplicación web puede notar cuando a un visitante le resta poca energía de la batería y cambiar a un modo de bajo consumo de energía mediante la desactivación de características extrañas para evitar un gasto innecesario.
La especificación del W3C libera expresamente a los sitios de una responsabilidad para pedir permiso al usuario para descubrir cuánto le queda de vida restante a su batería, con el argumento de que “la información revelada tiene un impacto mínimo sobre la privacidad o las huellas digitales, y por lo tanto está expuesto y sin concesiones de permisos”. No obstante en un nuevo documento a partir de cuatro investigadores de seguridad franceses y belgas, se pone en entredicho tal afirmación que clama que tal función es inofensiva, dio a conocer el diario británico The Guardian.
Los investigadores señalan que la información que los sitios web reciben es bastante específica, conteniendo el tiempo estimado en segundos que le quedan a la batería para descargarse completamente, así como el porcentaje restante. Estos dos datos, conjugados pueden encontrarse en una de 14 millones de combinaciones, lo que se traduce en un potencial de posible reconocimiento. Aún más, dichos valores se actualizan cada 30 segundos, lo que significa que durante medio minuto la API de estatus de batería puede usarse para identificar a usuarios a través de la red de redes.
“Destacamos los riesgos de privacidad asociados con la API de estado de la batería HTML5. Ponemos especial énfasis en su aplicación en el navegador Firefox”, dice el documento firmado por Lukasz Olejnik, Gunes Acar, Claude Castelluccia y Claudia Diaz. “Nuestro estudio muestra que los sitios web pueden descubrir la capacidad de las baterías de los usuarios mediante la explotación de las lecturas de alta precisión proporcionada por Firefox en Linux. La capacidad de la batería, así como su nivel, exponen una superficie que deja huellas que se puede utilizar para rastrear a los usuarios de Internet en intervalos de tiempo cortos.”
Por ejemplo, si un usuario visita una página a través de Chrome utilizando una red privada virtual (RPV), el sitio no debería estar disponible para enlazarse a una visita subsecuente empleando un método de navegación privado y la RPV apagada. Sin embargo, los especialistas afirman que esto pudiera no funcionar.
“Los usuarios que tratan de volver a un sitio web con una nueva identidad puede utilizar navegadores en modo privado o eliminar cookies y otros datos de identificación de cliente. Cuando las visitas consecutivas se hacen dentro de un corto intervalo de tiempo, el sitio web puede enlazar identidades nuevas y viejas de los usuarios mediante la explotación de nivel de la batería y los tiempos de carga/descarga. La página web puede entonces ‘reinstanciar’ las cookies de los usuarios y otros identificadores del lado del cliente, un método conocido como respawnin“, escriben los investigadores.
No obstante, hay algo peor: en algunas plataformas, los investigadores encontraron que es posible determinar la capacidad máxima de la batería de un dispositivo con suficientes consultas, creando así una métrica semipermanente para comparar dispositivos.
“Nuestro análisis muestra que el riesgo es mucho mayor para las baterías viejas o usadas con capacidades reducidas, ya que la capacidad de la batería puede servir potencialmente como un identificador de seguimiento”, concluyen.
