Investigadores de ciberseguridad de la Universidad de Londres, la Universidad de California, Santa Barbara y el Politecnico di Milano están advirtiendo de que la tecnología de ultrasonido inaudible que se usa en publicidad se puede utilizar para que los hackers ataquen dispositivos cercanos. La nueva manera que tienen los encargados de publicidad de rastrear e identificar a la gente que ve sus anuncios es a través de la inserción de sonidos inaudibles de alta frecuencia en anuncios de televisión y anuncios de navegador. Cuando los anuncios se reproducen, cualquier smartphone o tablet a su alrededor capta el sonido y las cookies del navegador pueden emparejar a un usuario con todos sus dispositivos para rastrear qué anuncios ven.

hackersLa tecnología, conocida como rastreo ultrasónico de dispositivos (uXDT) también se usa en apps de recompensa de compra que ofrece a sus clientes promociones y descuentos mientras caminan junto a una tienda en un centro comercial o en áreas comerciales específicas. Los activistas de la privacidad ya están preocupados por la tecnología que viola los derechos de privacidad del consumidor, pero aún más sobre la capacidad de espiar sus hábitos de visualización de televisión y vídeo en streaming. La comisión de comercio federal estadounidense envió cartas de advertencia a 12 desarrolladores de apps que usaban esta tecnología de rastreo incluso cuando las apps no estaban abiertas en el dispositivo.

«Cualquier app que quiera usar ultrasonido necesita acceder al micrófono», dice Vasilios Mavroudis, un investigador doctoral de la UCL y la UC Santa Barbara. «Las balizas de ultrasonido todavía no tienen especificaciones. No hay reglas sobre cómo construir o conectar balizas de ultrasonidos. Es una zona gris donde nadie quiere tomar responsabilidad.»

Pero la cosa se pone peor. Los investigadores dicen que los hackers podrían aprovecharse fácilmente de los marcos de trabajo de uXDT para averiguar las IP reales de los usuarios que están intentando mantener su tráfico web privado usando Tor o VPN.

Los investigadores presentarán su trabajo en la Black Hat Europe 2016, una conferencia de seguridad en Londres el 3 de noviembre, y pretenden demostrar cómo, con una sola baliza que emita ultrasonido, es posible que los hackers saboteen todos los dispositivos de los clientes que estén en una cafetería popular y que tengan apps de recompensa de compra instaladas en sus smartphones.

Hasta ahora, los investigadores dicen que no se ha realizado ningún análisis de seguridad de las uXDT. Advierten a los desarrolladores y consumidores que implementen tres contramedidas para evitar ser espiados a través del ultrasonido, incluyendo conseguir que Google añada un nuevo control de permiso en el sistema operativo Android para que las apps pidan permiso para conectarse al espectro del ultrasonido.