Un investigador de ciberseguridad ha descubierto una preocupante vulnerabilidad en la red de entrega de contenido de Cloudflare. Según se ha revelado, la falla podría permitir a los piratas informáticos determinar la ubicación geográfica aproximada de un usuario con solo enviarle una imagen a través de aplicaciones de mensajería como Signal y Discord.
El descubrimiento, realizado por un investigador conocido como Daniel, explota el mecanismo de Cloudflare Workers, que se encarga de almacenar en caché los recursos multimedia en el centro de datos más cercano al usuario para mejorar los tiempos de carga. El método de ataque implica enviar un mensaje con una imagen única alojada en la CDN de Cloudflare. Utilizando una herramienta creada por él mismo, bautizada como Cloudflare Teleport, el atacante puede redirigir las solicitudes a centros de datos específicos y así rastrear la ubicación aproximada del usuario.
Esta vulnerabilidad permite identificar localizaciones que varían entre 80 y 480 kilómetros de distancia de la posición real del usuario, siendo más precisa en áreas urbanas con múltiples centros de datos. Lo verdaderamente inquietante es que se trata de un ataque «zero-click», lo que significa que no requiere ninguna acción por parte del usuario. La característica de algunas aplicaciones de mensajería de descargar automáticamente imágenes para notificaciones push posibilita que el atacante obtenga la ubicación del usuario sin que este lo note.
La precisión del ataque fluctúa dependiendo de la región, siendo más eficaz en grandes ciudades. Daniel, durante sus pruebas, logró rastrear al CTO de Discord, Stanislav Vishnevskiy, utilizando esta técnica.
En respuesta a este descubrimiento, el investigador notificó a Cloudflare, Signal y Discord acerca de la vulnerabilidad. Cloudflare reconoció el problema y lanzó una actualización para corregir el fallo en Workers, recompensando al investigador con 200 dólares. No obstante, Daniel advirtió que, utilizando una red VPN con servidores distribuidos globalmente, todavía es posible acceder a más del 50% de los centros de datos de Cloudflare, demostrando que la vulnerabilidad no está completamente resuelta.
Por su parte, Signal y Discord rechazaron la responsabilidad sobre el problema. Signal argumentó que la anonimización a nivel de red está fuera de su misión, mientras que Discord sostuvo que el inconveniente reside en la infraestructura de Cloudflare.
Si bien este tipo de ataque no es lo suficientemente preciso para identificar direcciones específicas, sí permite rastrear regiones geográficas y patrones de movimiento, lo que es especialmente preocupante para los usuarios que requieren un alto nivel de privacidad, como periodistas, activistas o disidentes.
Los usuarios y administradores deben considerar medidas como deshabilitar la caché de contenido en aplicaciones sensibles, limitar la descarga automática de imágenes y evitar aplicaciones que no implementen medidas de seguridad robustas en sus servicios de red. Este hallazgo resalta la necesidad de una vigilancia constante en la seguridad de las CDN y la gestión de datos por parte de servicios en la nube.
