Hasta qué punto una dirección MAC es anónima

Leía el otro día sobre Renew (EN), una startup londinense que diseñaba papeleras reciclables que servían tanto de contenedores de basura, como de expositores de publicidad personalizada.

renew

La parte más disruptiva del proyecto, y que ha sido el condicionante de este artículo, es que se aprovecha de la conexión WIFI para obtener la dirección MAC de los smartphones que circulen a su alrededor, y consultando su base de datos, mostraría publicidad según los intereses de ese usuario, sus trayectos y sus rutinas diarias.


Desde el punto de vista de la publicidad, es un acierto total. Estamos hablando de una verdadera revolución en lo que viene siendo llamada la publicidad presencial (publicidad dirigida a un target individual, sin casi porcentaje de fallo). Pero viendo donde se está desarollando (Reino Unido no es precisamente el mejor ejemplo de privacidad y libertad digital), ya andaba un servidor con la mosca detrás de la oreja.

Así que ni corto ni perezoso, me puse a investigar cómo demonios obtenían la MAC usando el protocolo WIFI, que remontándome varios años atrás a esas clases de redes en telecomunicaciones, tenía la impresión que se trataba de una tecnología emisora, incapaz de forzar el envío de paquetes por parte del receptor a no ser que éste diera consentimiento para conectarse.

Las opciones a las que he llegado, después de consultarlo con Chema (ES) y varios compañeros de TALENTUM (en especial muchas gracias Rafa por esa labor de documentación vía WhatsApp, :)), han sido dos:

  • O bien con beacoms de WIFIs reales: algo que entiendo que muy legal no debe ser, y que ya hemos visto como elemento principal para ataques masivos a terminales iPhone aprovechándose de la incapacidad de éstos para denegar el acceso a WIFIs públicas sin estar conectadas a ella, y la sorprendente afición de sus dueños al Starbucks.
  • O poner el emisor WIFI de la papelera en modo promiscuo, mandar paquetes arp de broadcast y leer las respuestas con Aircap o parecido (véase Kismet para OS X o Airodump en Linux): algo usado sobre todo para identificar un posible terminal infectado en una red, y que en este caso se usaría para justamente lo contrario (“infectar” al usuario con publicidad sabiendo que está a la escucha).

Aquí el debate ya no es sólo el cómo obtienen esos datos (de lo que por supuesto no hay información completa por ningún lado), sino que su filosofía parte de la hipótesis que una dirección MAC es anónima. Y esto podría ser verdad sino se cumplieran además las siguientes coincidencias:

  1. La dirección MAC es individual a cada dispositivo: Por tanto es anónima siempre y cuando no podamos corresponder un dispositivo con un usuario. Y viviríamos en el mundo de Yupi sino tuviéramos en cuenta que tanto las operadoras tienen esa información, como nosotros la enviamos cada vez que nos comunicamos por internet por él (escribo en mi cuenta de Facebook, o en mi Twitter, con mi dispositivo).
  2. Los smartphones son personales: Y la prueba de ello es que incluso habiendo ya tecnología en SO móviles para multicuenta, el smartphone de la calle sigue sin contar con ella. Si cada teléfono tiene una dirección MAC, y cada teléfono lo usa solo una persona, ya me diréis cuan anónimo es.
  3. Publicidad segmentada por georeferencia a tarjetas de fidelización: Me encanta ese momento en el que dicen que podemos estar tranquilos, ya que la MAC es anónima, pero para mostrar publicidad personalizada, recurrimos a las tarjetas de fidelización de cliente asociadas a esa MAC que hay por las tiendas de alrededor, y que al parecer, deben ser también muy anónimas.

Sea como fuere, no debo de andar muy desencaminado cuando hace escasas horas el ayuntamiento de Londres ha pedido expresamente que se retiren las papeleras (EN) por considerarse un abuso de la privacidad del transeúnte. Pero tranquilos, que cuando el proyecto llegue a manos de Cameron, seguramente vuelva con más fuerza, y se apoye en esas blacklist que tanto le gustan para sectorizar a su ciudadanía y controlar sus movimientos, no vaya a ser que les de por mirar pornografía, o entrar en esos peligrosos “foros de internet”.