Tranquilidad. No se trata de un nuevo bulo de que la CIA esté escondiendo micrófonos en las baterías de ningún terminal para que tras comprobarlo -y quizás despegarlo- uno se acabe enterando que es el NFC del teléfono. Hoy nos hacemos eco de estudio de un equipo de investigadores informáticos que han alertado de cómo el indicador de batería de nuestros móviles puede acabar siendo un nuevo reto para la privacidad de millones de usuarios en todo el mundo.

Una función muy poco conocida del lenguaje HTML5 -con el que se construyen miles y miles de sitios webs- es la capacidad que tienen los administradores y las páginas de internet de averiguar cuánta batería disponible tenemos en nuestro equipo en el momento que accedemos o navegamos por sus dominios.

Indicador de la batería: una función poco conocida aunque no nueva

Esta característica dista mucho de ser nueva. El consorcio World Wide Web (no lo leáis con tono de Pitbull, por favor) lo liberó en 2012. La idea original no era otra que ser altruistas con los usuarios y ayudar a conservar energía cuando la batería esté en sus últimos estertores.

Sobre el papel todo es muy bonito: el sitio web o la web app en cuestión puede escrutar el nivel de batería y una vez conocido desactivar ciertas características que puedan afectar a la autonomía del dispositivo. Actualmente esta característica se admite en Firefox, Chrome y Opera.

Sin embargo, los investigadores plantean una serie de dudas. La primera de ellas, es que el W3C libera a las páginas de internet de solicitar ningún tipo de permiso al usuario para conocer esta información.

¿Qué van a saber de mí si consiguen averiguar que me queda un 3% de energía o voy sobrado porque acabo de cargar el móvil? Eso mismo sostienen desde el consorcio, donde afirman que «la información revelada tiene un impacto mínimo sobre la privacidad» o «las huellas digitales». Argumento de peso, desde su punto de vista, para no tener que solicitar permisos.

Información al milímetro sobre el indicador de la batería

Algo que ponen en duda el equipo compuesto por dos belgas y dos franceses. Estos investigadores alertan que la información que reciben los sitios web es sorprendentemente especifica, casi al milímetro. Por ejemplo, se puede conoce el tiempo estimado en segundos para que la ‘pila’ se vacíe completamente así como el tanto por ciento de batería restante.

Esto, según el informe, puede ayudar a crear números de identificación ya que combinando ambos parámetros se pueden crear hasta 14 millones de combinaciones. Además, estos valores -tiempo estimado y % de batería- se refrescan cada medio minuto, lo que deja un pequeño agujero a través del cual identificar a un usuario, independientemente de si su navegación es pública o privada.

Un antídoto contra el modo incógnito

Por ejemplo, si alguien utiliza el modo incógnito de Chrome usando una VPN, la web debería ser incapaz de vincularlo a una visita posterior sin estas herramientas. Los investigadores alertan que si un usuario realiza visitas en corto intervalo de tiempo la API puede permitir crear perfiles de usuario enlazando visitas viejas y nuevas explorando el nivel de batería y los tiempos de cargas y descarga.

De esta manera, el sitio podrá insertar las cookies y otros identificadores del lado del cliente, algo conocido como ‘respawning’. En algunos casos, sostienen, es más grave el problema: en algunas plataformas es posible determinar, tras ciertas consultas, la capacidad máxima de la batería, lo que puede permitir una nueva métrica entre dispositivos.