Un investigador ha desarrollado un sencillo código que permite saber la localización de cualquier dispositivo Wi-Fi que actúe como punto de acceso y que el servicio de mapas de Microsoft tenga registrado en su base de datos. Las cuestiones sobre la privacidad ya están encima de la mesa.
Elie Burstein es un investigador post-doctorado que trabaja en el Laboratorio de Seguridad de Stanford, y ha descubierto cómo acceder a los datos de geolocalización de los puntos de acceso Wi-Fi que se van encontrando tanto los móviles con Windows Phone 7 como los coches que Microsoft tiene con el mismo propósito, al estilo Street View de Google.
En principio, los dispositivos capturados son sólo todos aquellos que en el momento de pasar por allí un dispositivo que los detectase, funcionasen como punto de acceso Wi-Fi: routers o móviles en modo tethering (compartiendo la conexión 3G).
La cuestión está en que Microsoft tiene su enorme base de datos en Live.com abierta, sin contraseñas ni límites de consultas, algo que Google sí incorpora en pos de proteger en mayor medida la privacidad de los datos.
Esto, obviamente, ha disparado las alarmas sobre la protección de la privacidad de las personas. Los problemas que está teniendo Google con esta cuestión por el servicio Maps es una prueba de ello.
Además, Google incorporó otras técnicas de protección y que el propio investigador recomienda implantar a Microsoft, como limitar las búsquedas de direcciones MAC por la propia situación del usuario, forzando al que busca, conocer de antemano su situación en más o menos una manzana de edificios.
Para probarlo y demostrarlo en la próxima conferencia Black Hat, Burstein ha elaborado una prueba de concepto en forma de página web que, aprovechando la API de Live.com, consulta directamente a la base de datos de dispositivos Wi-Fi de Microsoft, devolviendo las coordenadas de la dirección MAC buscada. Éstas luego se pasan a un mapa de Google, pero esto sólo se utiliza para representar la posición, el trabajo lo hace realmente la base de datos de Live.com.
Puestos en contacto con Microsoft, éstos parecen reconocer que dejar su base de datos sin límites no les es ningún problema por el momento, y que no pretenden cambiar su modo de funcionamiento.
En principio, todas las direcciones MAC que se dan como ejemplo están localizadas en los Estados Unidos, y al parecer Microsoft todavía no habría recopilado demasiados datos de España, ya que probablemente sus coches no hayan pasado por aquí todavía, y la cuota de mercado de los Windows Phone 7 es muy baja.
