Esta alternativa al AirTag es una pesadilla de seguridad: un fallo permite que los hackers te rastreen con un solo código

Investigadores de seguridad han descubierto fallos importantes en los dispositivos Tile, que permiten localizar objetos perdidos gracias a la red Bluetooth y la compatibilidad con Apple "Find my", que permitirían tanto a la compañía como a un acosador con conocimientos técnicos rastrear la ubicación de los usuarios. El problema se debe a dos diferencias cruciales en la seguridad utilizada por Tile en comparación con los AirTags.

Ambos rastreadores funcionan de la misma forma, emitiendo una señal Bluetooth que cambia cada 15 minutos para evitar el rastreo permanente. Sin embargo, aquí es donde Tile falla de forma catastrófica:

• Datos sin cifrar: los rastreadores Tile no solo transmiten un ID rotatorio, sino también su dirección MAC estática, y ninguna de las dos se transmite cifrada. Esto permite que cualquiera con un escáner de radiofrecuencia pueda interceptar la información.

• La compañía puede rastrearte: os datos de ubicación, la dirección MAC y el ID único se envían sin cifrar a los servidores de Tile, lo que, según los investigadores, otorga a la compañía la capacidad de rastrear la ubicación de las etiquetas y sus dueños, a pesar de que la compañía niegue tener esa capacidad.

El gran problema: rastreo sistémico con un solo mensaje

Lo peor de todo es que el diseño de Tile es intrínsecamente inseguro. Los investigadores descubrieron que la forma en que se genera el ID rotatorio no es segura. Esto significa que un atacante solo necesita registrar un solo mensaje de tu dispositivo para "tomarle la huella digital" y rastrearlo durante el resto de su vida útil. Esto crea un riesgo de vigilancia sistémica para cualquier persona que utilice un Tile.

Además, existe una vulnerabilidad alarmante en la función antirrobo de Tile: si un usuario activa el modo antirrobo para ocultar su etiqueta de posibles ladrones, esa etiqueta también se vuelve invisible para las personas que intentan detectar si están siendo rastreadas.

El riesgo de la "incriminación falsa"

El fallo va más allá del simple rastreo. Un atacante podría incluso incriminarte falsamente. Un actor malicioso puede interceptar la señal sin cifrar de tu etiqueta, extraer tu dirección MAC y tu ID, y luego retransmitirlos en otra ubicación.

Si una víctima realiza un escaneo antirrastreo en esa ubicación, vería tu información y se enviaría a los servidores de Tile, lo que te haría parecer que estabas cerca de esa persona, sin que realmente fuera cierto.

Los investigadores informaron a la empresa matriz de Tile, Life360, hace meses, pero la compañía "cesó las comunicaciones" en febrero de este año. Aunque Tile asegura haber realizado "mejoras de seguridad", no especificó si se solucionaron estos problemas cruciales. El mensaje es claro: si usas Tile, tu ubicación podría no estar tan segura como crees.