La última gran versión del código HTML, la quinta, accede sin permiso del usuario a sus datos de batería y puede ayudar a que otros lo identifiquen y sigan su rastro de visitas en la web
Un grupo de investigadores ha demostrado que para localizar a sus usuarios basta con conocer el nivel de batería restante de sus dispositivos, lo que podría comprometer la privacidad. Una característica poco conocida de la especificación HTML5, la última gran revisión del lenguaje básico de la Red, permite a las páginas web saber la cantidad de batería del portátil o del smartphone que consumen sus visitantes. Ahora, unos grupos de investigación en seguridad de Francia y Bélgica han advertido de que esa información puede usarse para rastrear los navegadores online.
Actualmente, los navegadores Firefox, Opera y Chrome soportan la API del estado de la batería, introducida en 2012 por el World Wide Web Consortium (W3C), la organización que supervisa el desarrollo de los estándares web, con el objetivo de ayudar a las páginas web a ahorrar la energía de los usuarios. Funciona así: una página o una aplicación web pueden llegar a saber si a un visitante le queda poca batería, y así pasar a un modo de bajo consumo, que inhabilita las funciones superfluas para optimizar la energía.
Sin embargo, la especificación del W3C exime explícitamente a las páginas web de pedir permiso a los usuarios para conocer ese nivel restante de batería. La excusa es que «la información revelada tiene un impacto mínimo en la privacidad o la identificación, y por lo tanto se expone sin necesidad de permisos». En un artículo publicado por cuatro investigadores franceses y belgas, esa afirmación se pone en entredicho.
Los investigadores señalan que la información que recibe una página web es sorprendentemente específica, y contiene el tiempo aproximado en segundos que la batería tardará en descargarse por completo, así como el nivel de batería restante, expresado en forma de porcentaje. Juntas, estas dos cifras constituyen una de alrededor de 14 millones de combinaciones, lo que significa que funcionan como un número de carnet de identidad (CI )en potencia. Además, estos valores solo se actualizan cada 30 segundos, lo que quiere decir que durante medio minuto la API del estado de la batería puede usarse para identificar a los usuarios a su paso por las páginas web.
Por ejemplo, si un usuario visita una página con el modo incógnito de Chrome usando una red privada virtual (VPN), la página no debería poder vincularlo a una visita posterior, realizada sin el modo incógnito ni la VPN. Sin embargo, los investigadores advierten de que eso podría dejar de funcionar: «Los usuarios que vuelven a visitar una página con una nueva identidad podrían usar el modo incógnito de los buscadores o eliminar las cookies y otros identificadores del cliente. [Pero] cuando se hacen visitas consecutivas en un breve intervalo de tiempo, la página web puede vincular la nueva identidad del usuario con la antigua a través del nivel de batería y el tiempo estimado de carga/descarga. Entonces la página web puede restablecer las cookies del usuario y otros identificadores del cliente, un método conocido como respwaning.
Y lo que es aún más grave: los investigadores descubrieron que, en algunas plataformas y a través de una serie de consultas, se puede determinar la capacidad de batería máxima del aparato. Esto equivaldría a crear un sistema de medida semipermanente para comparar entre sí dispositivos.
A través de EL PAÍS
