El Apple Vision Pro, el dispositivo de realidad mixta de Apple, ha sido objeto de ataques cibernéticos que han aprovechado un fallo de seguridad en su sistema de seguimiento ocular para interceptar datos personales de los usuarios. Este fallo, identificado como GAZExploit (CVE-2024-40865), ha generado preocupación entre usuarios y expertos en ciberseguridad.
El Apple Vision Pro es un dispositivo de realidad mixta que permite a los usuarios combinar elementos del mundo digital con el mundo físico. Gracias a sus gafas avanzadas, los usuarios pueden interactuar con imágenes virtuales mientras ven su entorno real, ofreciendo aplicaciones en campos como la educación, el entretenimiento y el trabajo. Una de las características más destacadas del Vision Pro es su capacidad para seguir los movimientos oculares del usuario, lo que permite una interacción precisa con los objetos virtuales.
Sin embargo, este sistema de seguimiento ocular, que promete revolucionar la forma en que los usuarios interactúan con la tecnología, también se ha visto vulnerable por un fallo en su sistema de seguridad que ha sido explotado por ciberdelincuentes.
El Ataque GAZExploit
El fallo que da lugar a los ataques se ha denominado GAZExploit y fue descubierto por un grupo de académicos de la Universidad de Florida, el equipo CertiK Skyfall y la Universidad Tecnológica de Texas. Este ciberataque se basa en la capacidad de los ciberdelincuentes para analizar los movimientos oculares de los usuarios mientras estos interactúan con el teclado virtual del Apple Vision Pro. Según la investigación, los atacantes pueden deducir qué teclas están siendo pulsadas al observar la dirección de la mirada y la frecuencia del parpadeo del usuario.
El fallo permitía a los atacantes interceptar datos personales, como contraseñas y mensajes, con una precisión del 77% en solo cinco intentos. Lo más alarmante es que los hackers no necesitaban acceso físico al dispositivo para llevar a cabo el ataque, sino que podían observar los patrones de la mirada de los usuarios a través de avatares 3D durante videollamadas u otras interacciones en línea.
Impacto del ataque en la privacidad de los usuarios
La capacidad de los ciberdelincuentes para interceptar datos personales utilizando solo el seguimiento ocular es un recordatorio de los riesgos inherentes a las tecnologías avanzadas. El uso de datos biométricos, como el movimiento ocular, plantea preguntas importantes sobre la seguridad y la privacidad. Aunque no se han reportado ataques reales que hayan aprovechado esta vulnerabilidad, el potencial para el robo de información sensible es significativo.
El seguimiento ocular es una herramienta poderosa que permite a los dispositivos como el Vision Pro mejorar la experiencia del usuario, pero también puede ser utilizado en su contra. En este caso, los atacantes podían obtener acceso no solo a contraseñas, sino también a direcciones de sitios web, mensajes privados y otros datos sensibles que se introducen a través del teclado virtual.
Respuesta de Apple: Actualización de Seguridad en visionOS 1.3
Tras la divulgación responsable del fallo de seguridad por parte de los investigadores, Apple lanzó una actualización de seguridad con el sistema operativo visionOS 1.3. para el Apple Visión Pro. Esta actualización desactivó los avatares 3D cuando el teclado virtual estaba en uso, lo que bloquea la capacidad de los atacantes para aprovechar la vulnerabilidad y se corrige así el fallo de seguridad.
Apple ha demostrado un compromiso firme con la seguridad y la privacidad de sus usuarios al responder rápidamente a la amenaza. La empresa describió la vulnerabilidad como un problema en un componente llamado Presence y explicó que la solución consistía en «suspender Persona cuando el teclado virtual está activo».
Esta medida ha sido efectiva para detener el ataque GAZExploit, pero la vulnerabilidad subraya la importancia de continuar mejorando las protecciones de seguridad en dispositivos que utilizan datos biométricos avanzados.