Si pensabas que lo habías visto todo en cuanto a formas de obtener información privada de los usuarios de un dispositivo electrónico, unos investigadores franceses han sacado a la luz un nuevo método para obtener datos privados de una persona simplemente monitorizando el nivel de batería del teléfono móvil. El exploit se basa en una función de HTML5 que permite a una web acceder a la autonomía restante del dispositivo.
Al usar un navegador podemos dejar más pistas de las deseadas acerca de nosotros aunque tomemos todas las precauciones conocidas, y es que esta nueva brecha de seguridad permite aprovecharse de una función que permitía a las páginas webs detectar cuando se estaba accediendo a ellas a través de un portátil o un smartphone con un nivel bajo de batería, para cambiar a un modo de bajo consumo con el objetivo de prolongar la autonomía de los mismos durante un tiempo. Esta función permite desactivar elementos prescindibles en la navegación evitando hacer un mayor consumo de batería.
Pero por desgracia, esta útil característica es la puerta de entrada a riesgos de seguridad ya que no se solicita al usuario permiso para comprobar el nivel de batería de forma explícita pero lo grave es que la información que la página web recibe a cambio no es tan inocua como podría parecer. Simplemente se trata del tiempo en segundos que quedan para una descarga completa de la energía, pero como ese tiempo restante se puede identificar a un usuario durante 30 segundos a través de una ID única en la red, el tiempo que tarda en actualizarse el nivel de batería.
Usar una VPN en el móvil no protege contra el exploit de la batería
El problema llegaría cuando se revisita una página en un corto espacio de tiempo, lo que permitiría a un atacante detectar a un usuario y obtener datos contenidos en cookies o en identificadores. Pero no solo eso, ya que manteniendo un registro de los diferentes dispositivos y accediendo al nivel de carga máxima, pueden extraerse huellas concretas acerca de qué usuario está visitando la página en cada momento, algo que si bien no es tan extraño de obtener en una navegación tradicional, sí que deja sin efecto la protección en modos privados.
El uso de una VPN no supondría una diferencia en este sentido ya que se podría desenmascarar a cualquier teléfono móvil, tableta u ordenador portátil al comparar los niveles de batería obtenidos. Un ejemplo más de cómo una función que podría ser beneficiosa para el usuario esconde otros riesgos ocultos.