En un mundo donde la privacidad digital es cada vez más valorada, un nuevo tipo de ataque conocido como desanonimización 0-click ha puesto en jaque a plataformas como Signal y Discord. Este ataque permite a los ciberdelincuentes obtener la ubicación precisa de un usuario sin que este interactúe con el dispositivo, lo que plantea serias preocupaciones de seguridad para periodistas, activistas y usuarios en general.
El ataque se basa en la explotación de las redes de entrega de contenido (CDN) como Cloudflare, que almacenan en caché datos cerca de los usuarios para mejorar el rendimiento. Al enviar un recurso a un dispositivo, el atacante puede determinar qué centro de datos de Cloudflare ha almacenado en caché el recurso, lo que proporciona una estimación precisa de la ubicación del usuario. Este método es particularmente efectivo en aplicaciones que utilizan notificaciones push, ya que el contenido se descarga automáticamente sin necesidad de interacción del usuario.
Signal, conocido por su enfoque en la privacidad, utiliza CDNs para gestionar el contenido multimedia. Un atacante puede enviar un archivo adjunto a un usuario de Signal, y al ser descargado automáticamente por el dispositivo del destinatario, el atacante puede identificar su ubicación. Discord, por otro lado, permite la desanonimización a través de notificaciones push de solicitudes de amistad, donde el avatar del solicitante se descarga automáticamente, revelando la ubicación del usuario.
A pesar de la gravedad del problema, las respuestas de las empresas afectadas han sido variadas. Signal ha argumentado que no es responsable de la anonimización a nivel de red, mientras que Discord inicialmente mostró interés en solucionar el problema, pero luego lo consideró un problema de Cloudflare. Cloudflare, por su parte, ha parcheado el fallo que permitía la manipulación de centros de datos, pero el problema subyacente persiste. Los usuarios deben ser conscientes de estos riesgos y tomar medidas para proteger su privacidad, como desactivar las notificaciones push o utilizar servicios que no dependan de CDNs para el almacenamiento en caché.
