Investigadores del CISPA descubrieron vulnerabilidades en ambos sistemas de transferencia de archivos inalámbrica que permiten a un atacante a 30 metros bloquear el ecosistema Apple o saltear la autenticación de Quick Share en Android y Windows, sin necesidad de phishing ni acceso físico al dispositivo.
Compartir un archivo por proximidad inalámbrica es hoy algo tan cotidiano como enviar un mensaje. Pero esa comodidad tiene un costo de seguridad que acaba de quedar documentado de forma detallada. Investigadores del CISPA Helmholtz Center for Information Security descubrieron una nueva serie de vulnerabilidades en AirDrop de Apple y Quick Share de Android que ponen en riesgo a más de 5.000 millones de dispositivos activos. Un atacante no necesita tocar el teléfono de la víctima, enviarle un enlace de phishing ni compartir su red Wi-Fi: basta con estar a 30 metros de distancia con una laptop.
El problema de fondo es arquitectónico y compartido por ambas plataformas. Los investigadores tomaron ambos ecosistemas y analizaron cómo gestionan las transferencias inalámbricas de archivos. Estas funciones corren como servicios altamente privilegiados en segundo plano que se activan en el momento en que otro dispositivo se acerca, porque priorizan una experiencia fluida. Aunque Apple y Google no comparten prácticamente ningún código, ambas cayeron en la misma trampa: sacrificar seguridad por conveniencia al exponer procesos complejos en segundo plano antes de poder verificar la identidad del remitente.
En el caso de Apple, el impacto puede ser especialmente molesto. El bug explota un daemon en segundo plano que controla AirDrop, AirPlay, Handoff, Universal Clipboard y Continuity Camera. Con una sola solicitud malformada se puede hacer colapsar todo el sistema. Si un atacante repite esa solicitud cada pocos segundos, mantiene el ecosistema Apple de la víctima permanentemente fuera de línea.
Quick Share tampoco salió bien parado. Los investigadores probaron en un Samsung Galaxy S23 Ultra y en el cliente Windows de Google, y encontraron bypasses lógicos que permitían saltear pasos críticos de autenticación. También hallaron un bug de corrupción de memoria en el lado de Windows.
La buena noticia es que las consecuencias para el usuario promedio tienen límites claros. No se trata de una situación de robo de datos donde un atacante roba silenciosamente fotos privadas. Para el usuario común, el impacto es mayormente una molestia masiva de denegación de servicio. Sin embargo, para quienes transfieren archivos constantemente por AirDrop o Quick Share, que alguien secuestre su estado de conexión puede ser bastante frustrante.
Las correcciones ya comenzaron a llegar de forma parcial. Apple corrigió uno de los tres bugs de AirDrop en una actualización reciente, y Google ya tiene un parche disponible para su cliente Windows. El resto de los problemas, incluyendo los bypasses de Samsung, están aún en desarrollo o en proceso de divulgación coordinada.
Mientras tanto, la mitigación más efectiva no requiere esperar un parche: los usuarios más vulnerables son quienes tienen sus dispositivos configurados para aceptar archivos de «Todos». Ir a los ajustes generales del iPhone o al menú de Quick Share en Android y cambiar la visibilidad a «Solo contactos» —o directamente desactivar la recepción— es la acción más simple y efectiva para reducir la superficie de ataque.
Nota elaborada con asistencia de IA. Fuentes verificadas y contenido editado por el equipo de Infosertec. [Conocé nuestro proceso editorial].

