La mayoría de las ocasiones los anuncios que aparecen en las apps son un «mal menor». El precio a pagar por tener un servicio gratuito y de calidad, y uno que la mayoría de usuarios acepta sin problemas. Sin embargo, puede que no tengamos muy claro qué es lo que estamos pagando exactamente cuando usamos apps con anuncios.
Y no hablo de manido dicho «si el producto es gratis, es que el producto eres tú». De eso ya se ha hablado mucho y al final, a la mayoría de la gente no le importa; si por usar una app gratis un anunciante sabe más de ti y puede mostrarte productos que te interesen, es incluso una ganancia.
Cómo rastrear a un usuario usando anuncios
Pero, ¿dirías lo mismo si un atacante, literalmente cualquier persona, pudiese aprender tu localización? En eso se ha basado el último estudio del investigador de seguridad Mark Milhouse, que ha revelado cómo el ecosistema de anuncios puede ser usado para rastrear a usuarios, incluso aunque no esté diseñado inicialmente para ello.
En realidad, que los anuncios se pueden usar para rastrear usuarios no es algo nuevo; lo llamativo es que Milhouse lo ha conseguido con un precio medio de 5 dólares por usuario. En total, su investigación apenas necesitó 100 dólares para capturar datos de localización de usuarios; una cantidad ridícula para alguien que realmente quiera saber dónde estamos.
Este método funciona aprovechándose de una opción que tienen la mayoría de redes publicitarias: la geolocalización. Las grandes compañías de publicidad como Google afirman por activa y por pasiva que no comparten la localización de los usuarios; pero eso no significa que no se pueda inferir la localización siguiendo unos pasos.
No, cuando ves un anuncio en tu app favorita el anunciante no recibe tu localización; pero no la necesita, porque si has visto el anuncio es que ya sabe dónde estás.
La clave está en crear anuncios personalizados para cada localización, una función presente en la mayoría de servicios; normalmente se usa para mostrar anuncios relacionados con el sitio que estás visitando.
Una lógica ingeniosa
Cada uno de estos anuncios creados por el atacante tiene un «píxel de rastreo», capaz de obtener información del dispositivo en el que se está mostrando; esta información se guarda en un servidor externo. El atacante crea un píxel único para cada anuncio que crea para cada localización. Entonces, sólo tiene que esperar.
En cuanto abramos la app y se nos muestre el anuncio, nuestro móvil cargará el píxel de rastreo; e inmediatamente, el atacante sabrá que estamos en una localización concreta, ya que si no, no se hubiera cargado el píxel de rastreo.
Para demostrar la capacidad de este ataque, el investigador creó una campaña de publicidad falsa, con la que obtuvo la localización de la casa de 100.000 usuarios. Algo que le costó 40 dólares; Milhouse cree que, afinando la localización y el tipo de anuncio, es posible encontrar a alguien por un coste muy inferior.