Los precios de vigilancia —la práctica de cobrar a cada cliente un precio diferente basado en sus datos personales, su historial de compras o incluso el nivel de batería de su móvil— han empezado a llegar a los supermercados físicos a través de una tecnología aparentemente inocua: las etiquetas de precio electrónicas (ESL, Electronic Shelf Labels), esas pequeñas pantallas digitales que reemplazan a los carteles de papel en las estanterías. Y resulta que son sorprendentemente fáciles de hackear. Lo publica Tom Hawking en Gizmodo este 7 de mayo.
Un desarrollador ha publicado en GitHub una app llamada TagTinker para el Flipper Zero —el gadget multitool de hacking legal que cabe en un bolsillo— capaz de comunicarse con estas etiquetas. El aviso en el repositorio es explícito: «un proyecto independiente destinado estrictamente a la investigación educativa, la curiosidad de seguridad y la exhibición de arte digital en hardware de tu propiedad legal.»
La advertencia contra usos ilegales está ahí. La tentación también.
Por qué las ESL son tan fáciles de hackear
La razón es técnica y tan anticuada como un mando de televisión. Muchas variedades de etiquetas de precio electrónicas no usan Bluetooth, WiFi ni ningún protocolo moderno con autenticación. Usan señales infrarrojas, exactamente la misma tecnología que llevas usando para cambiar canales en la televisión desde 1980.
Como documenta el repositorio de GitHub de TagTinker: «toda la seguridad dependía de la oscuridad del protocolo.» Dicho de otra forma: el fabricante confió en que nadie descubriera cómo funcionaba el protocolo. Los investigadores de seguridad llevan años documentando estos dispositivos, y el sitio furrtek.org tiene un análisis exhaustivo de la seguridad (o falta de ella) de distintas ESL.
Con TagTinker y un Flipper Zero, lo que puede hacer un investigador (o quien no lo sea) es básicamente lo que puedes hacer con cualquier pantalla: mostrar texto, imágenes y patrones de prueba. Los Flipper con una placa de expansión WiFi adicional pueden incluso actualizar el diseño de la etiqueta en tiempo real desde la red.
Las implicaciones prácticas para los precios de vigilancia son las que imaginas: si los supermercados pueden cambiar los precios en tiempo real según el perfil de cada cliente, y las etiquetas que muestran esos precios son vulnerables a modificación por infrarrojo desde el pasillo, la cadena de seguridad tiene un eslabón bastante débil.
El contexto: la llegada de los precios de vigilancia al supermercado
La práctica de cobrar precios diferentes a personas diferentes existe desde hace años en el comercio online. Las aerolíneas ajustan tarifas. Los servicios de transporte bajo demanda han experimentado con subidas de precio para usuarios con batería baja. Los supermercados están empezando a explorar el mismo terreno.
El movimiento de las ESL conectadas a sistemas de gestión dinámica de precios va exactamente en esa dirección: en lugar de imprimir un cartón con el precio, el sistema actualiza digitalmente el precio en la estantería en tiempo real, y ese precio podría variar según quién esté frente a la estantería con su tarjeta de fidelización en la mano.
Maryland aprobó recientemente en EE.UU. una ley que prohíbe los precios de vigilancia en supermercados, aunque críticos señalan que tiene brechas importantes. Nueva York, Nueva Jersey e Illinois estudian legislación similar. En Europa, la regulación de datos personales del RGPD ya pone ciertos límites a qué datos pueden usarse para este tipo de discriminación de precios.
El Flipper Zero, entretanto, sigue siendo el dispositivo de referencia para la investigación de seguridad de sistemas de radiofrecuencia, infrarrojos y RFID que nos rodean en la vida cotidiana y que, con frecuencia, son menos seguros de lo que parece. Y TagTinker es el último recordatorio de que «obscuridad como seguridad» es una estrategia que no envejece bien.
Mi valoración
Llevo siguiendo la evolución de los precios dinámicos desde las primeras implementaciones de revenue management en las aerolíneas, y la llegada a los supermercados físicos me parece el salto más importante porque afecta a bienes de primera necesidad de formas que no afectaba una tarifa de avión.
Lo que más me convence de TagTinker como llamada de atención es que el ataque es infrarrojo y queda dentro de los límites legales de quién puede usar su Flipper Zero en hardware que ha comprado (con los matices legales de cada jurisdicción). Lo que más me preocupa es que el debate público sobre precios de vigilancia sigue centrado en el software y los datos, cuando el hardware que habilita esos precios en tiendas físicas tiene vulnerabilidades que un investigador puede demostrar con 50 euros de gadget y una tarde de curiosidad.
Preguntas frecuentes
¿Qué es un precio de vigilancia?
Es la práctica de cobrar precios diferentes a distintos consumidores según su perfil de datos personales: historial de compras, localización, nivel de ingresos inferido, o incluso el estado del dispositivo móvil que llevan. Lo que empezó en el comercio online ha llegado a tiendas físicas a través de sistemas de etiquetas electrónicas y tarjetas de fidelización conectadas a algoritmos de precios dinámicos.
¿Qué es TagTinker y es legal usarlo?
TagTinker es una app de código abierto para el Flipper Zero que permite comunicarse con etiquetas de precio electrónicas que usan señal infrarroja. La app está publicada para investigación de seguridad. Su uso depende de la legislación de cada país: modificar etiquetas de precios en una tienda sin permiso sería ilegal en prácticamente cualquier jurisdicción; hacer investigación en hardware propio, en condiciones de laboratorio, está generalmente permitido. El repositorio incluye una advertencia explícita contra usos ilegales.
¿Todos los supermercados con etiquetas electrónicas son vulnerables?
No todos. La vulnerabilidad infrarroja descrita afecta a variedades específicas de ESL que usan ese protocolo sin cifrado. Existen sistemas de etiquetas electrónicas que usan comunicaciones cifradas y autenticadas por Bluetooth o redes propietarias más seguras. El problema es que la seguridad de los sistemas de etiquetas es heterogénea y muchos fabricantes han apostado por la obscuridad del protocolo en lugar de la autenticación real.