Aunque las cámaras estén apagadas, los programas de videoconferencias pueden filtrar nuestra ubicación y dejarla expuesta a los delincuentes informáticos, según un nuevo estudio. Los “ecos” de sonidos introducidos por los ciberdelincuentes pueden ser analizados y utilizados para localizar personas o instalaciones, entre otros datos de importancia en términos de seguridad.

Investigadores de la Southern Methodist University (SMU), en Estados Unidos, alertan en un nuevo estudio, presentado en la conferencia 2025 IEEE Symposium on Security and Privacy (SP), que las aplicaciones de videoconferencia, incluso con cámaras apagadas y fondos virtuales, pueden exponer datos críticos de los usuarios al permitir que un atacante sondee su ubicación y el entorno físico, mediante el análisis de ecos acústicos.

Millones de personas expuestas

La metodología consiste en introducir sonidos breves y controlados durante la llamada o conferencia y analizar las emisiones que retornan, o ecos, para determinar características del espacio, como por ejemplo si la persona está en una vivienda, una oficina o un vehículo. Los autores identificaron dos variantes de ataque: una denominada “in-channel”, que busca sortear los sistemas de cancelación de eco, y otra que se conoce como “off-channel”, que camufla las señales maliciosas tras ruidos cotidianos o habituales, como notificaciones.

De acuerdo a una nota de prensa, los experimentos se realizaron durante seis meses en doce ubicaciones diferentes. Según los resultados, los atacantes pueden reconocer contextos de ubicación con hasta un 88 % de precisión, incluso cuando el usuario nunca había estado antes en ese lugar durante las pruebas. El estudio evaluó plataformas populares, como por ejemplo Zoom: esto indica que millones de personas estarían expuestas a los ciberdelincuentes, porque estas herramientas se utilizan a diario en todo el mundo para trabajar, estudiar o establecer relaciones sociales.

Medidas para mejorar la seguridad

¿Qué significa esto en términos prácticos? Que cualquier delincuente podría determinar cuándo una vivienda está vacía, identificar patrones de ubicación o filtrar información sobre instalaciones sensibles. Los investigadores advierten que el sistema de intromisión explota pequeñas pausas al hablar o silencios entre intervenciones, por lo cual es difícil reducir el riesgo solo modificando hábitos de uso.

En cambio, el equipo propone medidas técnicas que podrían desplegarse en los servidores de las plataformas: algoritmos que detecten y eliminen sonidos de sondeo sospechosos antes de reenviar el audio a los participantes, o mejoras en los codificadores para impedir que modelos generativos reconstruyan ecos suprimidos. Los especialistas creen que si estas medidas se implementan a nivel de servicio, podrían reducir la capacidad de extracción de información sin afectar la experiencia del usuario.

Por el momento, algunas prácticas sencillas pueden ayudar: mantener las aplicaciones actualizadas, usar auriculares que minimicen la devolución de audio, evitar compartir llamadas desde ubicaciones sensibles o que comprometan a las personas u organizaciones y exigir a los proveedores políticas y herramientas de protección más estrictas.