Los sistemas operativos de Apple no ocultaban tu dirección MAC

Tirón de orejas para Apple, y precisamente en un aspecto en el que los de Cupertino suelen sacar pecho de manera habitual. Y que no se me malinterprete en este punto, pues estoy de acuerdo en que hablamos de una tecnológica a la que hemos visto tomar bastantes medidas dirigidas a proteger la privacidad y la seguridad de sus usuarios. Desde tecnologías como Private Relay, que disgustan precisamente a las partes afectadas por proteger la privacidad del usuario, hasta el Modo Aislamiento para protegerse de amenazas avanzadas como Pegasus, cada cierto tiempo la compañía realiza algún avance en este sentido.

También, es justo señalarlo, ha tenido tropezones muy serios en este sentido. El más reciente ha dado lugar a una demanda de sus usuarios contra la compañía, que supone una importante mácula en su expediente, o los planes iniciales de NeuralHash, que fue planteado con muy buenas intenciones, pero que suponía una importante merma en la privacidad de los usuarios, al punto de que, finalmente, Apple se vio obligada a cancelarlo.

Así, si preguntamos en la calle, seguramente nos encontraremos con opiniones de lo más variadas, desde quienes siguen considerando que Apple cuida la privacidad de sus usuarios de manera intachable hasta quienes no confían nada en Cupertino. En mi caso, creo que han hecho méritos para ser reconocidos positivamente en este sentido, pero también tengo claro que los casos que apuntan en la dirección contraria, ya sea por acción o por omisión, desmerecen su imagen, e impiden que tenga una total confianza en la compañía. Y en mi caso, el punto de inflexión en este sentido quedó marcado cuando trascendieron los problemas de iOS con las VPN, con todos los riesgos que esto implica.

Pues bien (aunque casi sería más correcto decir «pues mal», habida cuenta de los hechos), de nuevo nos encontramos con un problema de privacidad, y es que los sistemas operativos de Apple compartían nuestra dirección MAC, pese a que se supone que ocultaban dicho dato. Este problema, ahora ya resuelto, afectaba a iOS, iPadOS, tvOS y watchOS, es decir, que todos los dispositivos móviles de Apple se han visto afectados por este problema. Las versiones actualizadas de los OS que lo solventan son iOS 17.1 y iPadOS 17.1, iOS 16.7.2 y iPadOS 16.7.2, tvOS 17.1 y watchOS 10.1.

El problema es que, allá por 2020, Apple anunció una función que impedía que la MAC real de los dispositivos fuera visible, pues la sustituía por una falsa en las conexiones, que además variaba según la SSID de la conexión inalámbrica, e incluso permite a los usuarios asignar una MAC falsa en particular a cada SSID. Sin embargo, según se ha divulgado, esta operación de sustitución solo llevaba a cabo de manera parcial, pues aunque sí que reemplazaba la MAC en la mayoría del tráfico de datos, las solicitudes de descubrimiento de AirPlay emitidas por los dispositivos al conectarse a una red sí que revelaban la dirección MAC real.

Así, como puedes ver en el vídeo que se muestra algo más arriba, basta con estar analizando el tráfico de red con una herramienta como Wireshark para, en el momento en el que el dispositivo se conecta a la red, averiguar tanto su MAC real como la que está empleando para intentar ocultarse.

Es cierto, sin duda, que el alcance de la peligrosidad de este problema es limitado, y que para gran parte de los usuarios de dispositivos de Apple no ha llegado a suponer una amenaza real, pero el problema es que ha proporcionado una falsa sensación de seguridad a personas que, por razones de lo más diversas, sí que necesitaban confiar en esta función, y sorprende que en tres años nadie en Apple se haya dado cuenta de ello. Afortunadamente, como indicaba antes, ya se han publicado versiones actualizadas del sistema operativo que lo solucionan, pero da la sensación de que esta función no fue evaluada en condiciones antes de ser liberada, y eso, más aún si hablamos de seguridad, supone un problema, un problema muy serio.

Lo más grave es, sin duda, que no es la primera vez. Recordaba anteriormente el problema de iOS con las VPN, algo que personalmente me parece inaceptable, y que supone otra muestra de poco cuidado en el despliegue de una función de seguridad. Y dado que, como indicaba al principio, precisamente este es uno de los puntos, junto con la privacidad, en los que Apple pone el foco al hablar de sus dispositivos, está claro que algo tiene que cambiar en Cupertino.