Conclusiones clave
- AirDrop es genial para enviar fotos a tus amigos, pero una falla recientemente descubierta significa que extraños también podrían obtener tu información de contacto.
- Los extraños podrían ver su número de teléfono y dirección de correo electrónico con solo abrir un panel para compartir de iOS o macOS dentro del rango de Wi-Fi de otras personas.
- Se ha demostrado que los usuarios anónimos pueden enviar fotos o archivos a los dispositivos de destino mediante AirDrop.
La función AirDrop de Apple es una forma práctica de compartir cosas, pero también puede ser un riesgo para la privacidad.
Una falla de AirDrop recientemente descubierta permite que extraños vean su número de teléfono y dirección de correo electrónico con solo abrir un panel de uso compartido de iOS o macOS dentro del rango de Wi-Fi de otras personas. Es una de una variedad de vulnerabilidades de privacidad que los usuarios de Mac e iOS deben conocer.
"Nuestros dispositivos iOS están conectados a innumerables aplicaciones de redes sociales, plataformas de mensajería de terceros y sitios de redes que permiten a las personas compartir todo tipo de contenido entre sí", Hank Schless, experto en seguridad de la firma de ciberseguridad Lookout, dijo en una entrevista por correo electrónico. "Si recibe algún tipo de archivo de un contacto desconocido, siempre debe tratarlo como potencialmente peligroso hasta que se demuestre lo contrario".
Apple permanece en silencio sobre una solución
Los investigadores descubrieron las fallas en los protocolos de seguridad de AirDrop en 2019 y le informaron a Apple sobre el problema. Sin embargo, la compañía aún tiene que dar una solución. Un artículo reciente descubrió que el problema es más extenso de lo que se sabía anteriormente.
"Como los datos confidenciales generalmente se comparten exclusivamente con personas que los usuarios ya conocen, AirDrop solo muestra los dispositivos receptores de los contactos de la libreta de direcciones de forma predeterminada", indica el informe. "Para determinar si la otra parte es un contacto, AirDrop utiliza un mecanismo de autenticación mutua que compara el número de teléfono y la dirección de correo electrónico de un usuario con las entradas en la libreta de direcciones del otro usuario."
Recibir una notificación de AirDrop de un individuo desconocido es una gran señal de alerta.
El problema con el uso de AirDrop para el robo de datos parece estar limitado a números de teléfono y direcciones de correo electrónico, que podrían usarse en futuros ataques de phishing dirigidos, dijo el experto en seguridad cibernética Patrick Kelley en una entrevista por correo electrónico.
Jacob Ansari, experto en seguridad de Schellman & Company, un asesor global independiente de cumplimiento de la seguridad y la privacidad, estuvo de acuerdo en que el phishing podría ser el objetivo de cualquier posible pirata informático.
"Un atacante con proximidad a un dispositivo de destino puede obtener un nombre de usuario (probablemente una dirección de correo electrónico) y un número de teléfono muy fácilmente", dijo en una entrevista por correo electrónico. "Quizás sea más útil para obtener el número de teléfono de una víctima en particular, como una celebridad o un objetivo en particular (por ejemplo, el director ejecutivo de una empresa), pero también es útil para montar un phishing más directo o un ataque similar contra personas menos famosas."
El problema de AirDrop no es solo la falla recientemente descubierta. A lo largo de los años, se ha demostrado que los usuarios anónimos pueden enviar fotos o archivos a los dispositivos de destino mediante AirDrop.
"Esto se ha utilizado para interrumpir eventos multimedia públicos mediante AirDropping [adulto] imágenes", dijo Kelley. "Dicho esto, hubo una 'campaña de positivismo' en la que usuarios anónimos lanzaban imágenes motivacionales mediante AirDropping a dispositivos de destino".
No entre en pánico, dicen los expertos
Pero no se preocupe demasiado por la falla de AirDrop, dijo Oliver Tavakoli, director de tecnología de la firma de ciberseguridad Vectra, en una entrevista por correo electrónico. El atacante tiene que estar en una proximidad física relativamente cercana a usted, y se requiere algo de trabajo para descifrar su dirección de correo electrónico y número de teléfono. Por supuesto, Apple puede y debe corregir este defecto.
"Sin embargo, mantengamos esto en perspectiva", agregó Tavakoli, "si el hackeo descrito tiene éxito, un atacante tendrá la dirección de correo electrónico y el número de teléfono de un extraño cercano. No es exactamente el fin del mundo".
Si bien Apple aún no solucionó el problema de AirDrop, hay cosas que puedes hacer para ayudar a mitigarlo. Los usuarios deben desactivar AirDrop si no se está utilizando, dijo Kelley. También podría considerar usar un proyecto de código abierto llamado PrivateDrop, que afirma haber resuelto el proceso de verificación de la lista de contactos. La solución es de uso gratuito como reemplazo de AirDrop.
Pero lo mejor que pueden hacer los usuarios es desconfiar de quién intenta enviarles archivos, dijo Schless.
"Recibir una notificación de AirDrop de un individuo desconocido es una gran señal de alerta", agregó. "Ejecute sus dispositivos móviles con una política de acceso y privilegios mínimos necesarios. Intente activamente reducir la cantidad de permisos de acceso a dispositivos y datos que permite que tengan sus aplicaciones para minimizar la exposición potencial a las ciberamenazas".