Los rastreadores, localizadores o etiquetas son pequeños dispositivos diseñados para ayudar a localizar objetos y aparatos. Por ejemplo, puedes emplearlos para encontrar una maleta, llaves, una mascota, entre otros. Normalmente, funcionan mediante Bluetooth y, a través de una aplicación, puedes ver su ubicación actual o la última conocida. Tile es una de las marcas más reconocidas en este ámbito. Sin embargo, en este artículo abordamos una seria vulnerabilidad.
Un informe del Instituto Tecnológico de Georgia, una entidad líder en ciberseguridad, ha puesto en evidencia esta situación, y ha sido mencionado en una publicación de Wired el 29 de septiembre. Este estudio fue llevado a cabo por Akshaya Kumar, Anna Raymaker y Michael Specter, quienes han descubierto serias fallas en la seguridad y privacidad de los dispositivos Tile.
Fallas en los dispositivos Tile
Los investigadores encontraron que cada dispositivo Tile emite una dirección MAC estática no cifrada junto con un ID único. Un potencial atacante, con equipo básico de radiofrecuencia, podría interceptar la señal y seguir los movimientos del dispositivo, lo que podría llevar a espiar al propietario de dicho dispositivo.
Es importante mencionar que la dirección MAC es fija y no cambia, aunque el ID único sí lo hace. Sin embargo, la combinación de ambos permite a un atacante identificar y rastrear el dispositivo, poniendo en riesgo la privacidad y seguridad del usuario.
Además, el informe no solo señala la posibilidad de un rastreo local, sino que también destaca que, cuando los teléfonos detectan la ubicación de un dispositivo Tile, los datos se envían sin cifrar a los servidores de la marca. Esto incluye la información de ubicación, dirección MAC e ID único.
Aunque no lo confirman, se sugiere en el informe del Instituto Tecnológico de Georgia, mencionado en Wired, que es probable que esta información se almacene sin cifrar, lo que permite a Tile llevar a cabo una vigilancia masiva.
Otro aspecto crítico que se señala es el sistema «Buscar y proteger» de Tile, que está diseñado para detectar dispositivos desconocidos cercanos al usuario. Este sistema presenta fallas significativas. A diferencia de otros dispositivos similares, como los de Apple o Samsung, que realizan análisis automáticos en segundo plano, Tile requiere que el usuario inicie manualmente un escaneo de 10 minutos mientras se mueve, lo que hace que la detección sea irregular y dependa de la atención del usuario.
Contactos con Life360
Otro punto relevante mencionado en el informe es que esta protección, considerada ineficaz, puede ser desactivada completamente a través del «Modo antirrobo» de Tile. Si el propietario activa este modo, el dispositivo se vuelve indetectable para la función «Buscar y proteger». Sin embargo, un intruso podría activar este modo fácilmente en un dispositivo de rastreo oculto, sin que la víctima se dé cuenta.
Los investigadores consideran que esta debilidad ha sido abordada por otros fabricantes, pero no en el caso de Tile. A continuación, algunos consejos a tener en cuenta:
- Revisar la configuración de la app: Desactivar funciones no esenciales temporalmente y revisar los permisos otorgados a la aplicación Tile en el móvil.
- Limitar su uso para objetos críticos: Evitar usar Tile para objetos cuya ubicación pueda comprometer información sensible (por ejemplo, llaves de casa o del coche).
- Considerar alternativas con cifrado robusto: Valorar el uso de localizadores como los AirTag de Apple o SmartTag de Samsung, que implementan cifrado de extremo a extremo y redes de búsqueda anónimas.
Vulnerabilidad en rastreadores Tile
| Vulnerabilidad | Riesgo Técnico | Impacto para el Usuario |
|---|---|---|
| MAC estática y ID sin cifrar | Emisión de identificadores únicos y permanentes vía Bluetooth. | Permite a un atacante con equipo básico rastrear los movimientos del dispositivo (y su propietario) a nivel local. |
| Datos de ubicación sin cifrar | Envío de la ubicación, MAC e ID a los servidores de Tile en texto plano. | Facilita la vigilancia masiva por parte de Tile o de cualquier interceptador. |
| Sistema ‘Buscar y proteger’ deficiente | Requiere un escaneo manual y activo de 10 minutos por parte del usuario. | Detección de ‘stalkerware’ (rastreadores ajenos) muy poco fiable en comparación con la competencia. |
| ‘Modo antirrobo’ explotable | Un atacante puede activar este modo en un Tile oculto, haciéndolo invisible para ‘Buscar y proteger’. | Anula completamente la ya débil protección contra el rastreo malicioso. |
Este hallazgo tiene un origen anterior. El equipo del Instituto Tecnológico de Georgia notificó a Life360 en noviembre de 2024, hace casi un año. Mantuvieron contacto durante varios meses, pero desde febrero no obtuvieron respuesta. Los investigadores indican que no saben si se ha realizado algún cambio y, tras hacer pública esta información, aconsejan a los usuarios que eviten el uso de dispositivos Tile si desean proteger su privacidad.
Preguntas frecuentes
¿Dónde puedo usar dispositivos Tile?
Son útiles para rastrear mascotas, maletas, llaves o cualquier objeto.
¿Puedo saber en todo momento dónde está un objeto?
Estos dispositivos no operan con GPS, sino mediante Bluetooth, por lo que debes estar dentro del rango de alcance.
¿Cuánto cuesta un dispositivo de este tipo?
Este tipo de dispositivo tiene un costo aproximado de 30€.
