Fallo en la privacidad: los dispositivos de Apple enviaban la MAC real del dispositivo junto a la aleatoria
Introducción
Allá por 2020, Apple introdujo una funcionalidad muy bien recibida por personas especialmente vulnerables a ataques a su privacidad. Consistía en ocultar la dirección MAC (Media Access Control) real cuando un usuario de un dispositivo de Apple se conectaba a una red WiFi.
En vez de usar la dirección asignada a la interfaz de red del smartphone o tablet, el dispositivo crea una MAC virtual aleatoria para cada nueva red (SSID) a la que se conecta. Una funcionalidad bautizada como “Private Wi-Fi Address” y que se aplicaba por defecto.

Pero, ¿por qué es esto relevante?
Beneficios de ocultar la dirección MAC
Ocultar la dirección MAC real de un dispositivo dota a los usuarios de un añadido en privacidad porque impide a un atacante conectado a dichas redes registrar el comportamiento, ubicación y movimiento del dispositivo de forma eficaz.
Para aclarar esto, veámoslo desde la otra perspectiva. Si un dispositivo siempre usa la misma dirección MAC de Wi-Fi en todas las redes, los operadores de red y otros observadores de red pueden relacionar más fácilmente esa dirección con la actividad y ubicación de la red del dispositivo a lo largo del tiempo. Esto permite un tipo de seguimiento o perfilado de usuarios, y se aplica a todos los dispositivos en todas las redes Wi-Fi. En resumen: manteniendo la MAC se podría saber cuándo un teléfono se ha conectado a una red Wi-Fi y por tanto trazar una ruta clara de movimiento.
Pues bien, a partir del iOS 14, Apple permitía minimizar ese riesgo, o al menos de forma teórica, con el uso de direcciones MAC privadas y diferentes por cada red a la que nos conectamos.
A lo largo de estos años, se han ido introduciendo mejoras sobre la funcionalidad inicial, como, por ejemplo, la posibilidad de resetear la MAC para conexiones conocidas o cambiar automáticamente la MAC privada si no te has conectado a la red en las últimas 6 semanas.
◾ ¿Qué es la dirección MAC? Un identificador único asignado a cada dispositivo de red que sirve para identificar y comunicarse con otros dispositivos en una red. Es importante para garantizar la seguridad y el correcto funcionamiento de la red.
Malfuncionamiento detectado
Dos investigadores de seguridad han descubierto y reportado a Apple una vulnerabilidad que permitía obtener la dirección MAC real del usuario en los campos de información adicional enviados en el tráfico al puerto UDP 5353. Pero, ¿Para qué se usa el puerto UDP 5353?
Apple, tal y como especifica en su documentación de soporte, utiliza dicho puerto 5353 para el descubrimiento de otros dispositivos AirPlay, Bonjour, e impresoras en la red local, un intercambio definido por el estándar Multicast DNS o mDNS .
Pues resulta que, tal y como muestra el investigador de seguridad Tommy Mysk en el siguiente vídeo, usando simplemente el conocido inspector de tráfico WireShark.
Aunque en el origen de la petición se refleja la MAC privada correctamente, en otra parte del tráfico se envía la información de la MAC real, lo que en definitiva inhabilita el objetivo principal de la ocultación.
Publicación de la solución
Apple no ha dado muchas explicaciones acerca de como este malfuncionamiento estuvo activo durante más de tres años sin ser detectado, simplemente indican que se ha retirado el código vulnerable en la información sobre el CVE publicado, y en las notas asociadas a la publicación, a finales que octubre de 2023, de los siguientes sistemas operativos: watchOS 10.1, iOS 16.7.2 and iPadOS 16.7.2, tvOS 17.1, iOS 17.1 and iPadOS 17.1.
Conclusiones
Para la gran mayoría de usuarios el impacto de este error es mínimo, pero precisamente para aquellas personas cuya privacidad es importante, o incluso vital, esta es una muy mala noticia.
Estos colectivos pueden haber sido trackeados sin su conocimiento durante más de tres años, más aún cuando creían estar protegidos por dicha funcionalidad que el propio Apple describía como que ayudaba a proteger específicamente ante esta amenaza.
Esto nos lleva a reflexionar sobre, la seguridad, por un lado, y la sensación de seguridad por el otro, a menudo una muy mala compañera de viaje. Cuando una persona tiene o cuenta con una falsa sensación de seguridad, el riesgo se multiplica, ya que de forma natural se disminuye la precaución, bajo la premisa de que estamos “protegidos”.
Esta reflexión no solo aplica a este caso sino a múltiples otros, como por ejemplo, personas que contactan con plataformas anónimas de denuncia de medios de comunicación y que han visto su identidad revelada al haber realizado una mala gestión de los metadatos de los archivos enviados.
La desconfianza es una gran herramienta para colectivos altamente sensibles a ataques de privacidad, como comentaba nuestro compañero David García en el cierre de su post sobre fatiga de contraseñas: “Tú confía, pero luego revisa”. O mi adaptación personal: “tú confía, pero siempre revisa”.
Imagen de Freepik.