MAC Randomization
- Santiago Nanclares (Unlicensed)
- Marce De Miguel (Unlicensed)
Introducción
Las compañías Apple y Google han desarrollado nuevas funcionalidades que provocan cambios en el modo de acceso de los dispositivos a las redes Wifi, en concreto con el lanzamiento de las nuevas versiones de Sistemas Operativos Android 10 e iOS 14. Con esta nueva implementación, por defecto, cuando los dispositivos se conectan a una nueva red wifi y de manera automática, se genera una MAC aleatoria que no es la real del dispositivo, siendo la visible en la red. Con más detalle:
En Android 10, por defecto está habilitada la opción “Usar dirección MAC aleatoria”, aunque existe la posibilidad de configurar “Usar dirección MAC del dispositivo”. En este sistema operativo se utilizará una MAC aleatoria diferente por red y no cambiará por defecto. Más información en: https://source.android.com/devices/tech/connect/wifi-mac-randomization
En Apple iOS 14, iPadOS 14 y watchOS 7, también tiene activa la opción “Dirección privada” por defecto y es configurable. Estos sistemas operativos utilizan una MAC aleatoria por red, pero además por cada red rotan cada 24 horas (siempre que no estés con actividad en la red). Más información: https://support.apple.com/en-us/HT211227
Otros sistemas operativos como Windows 10 y MacOS tienen la opción, pero no está habilitada por defecto:
Sistema Operativo | Soporte MAC Randomization | Habilitado por defecto | Habilitado por SSID | MAC Randomization diario |
|---|---|---|---|---|
Windows 10 | Si | Si | Si | Opcional |
iOS 14 / iPadOS / WatchOS 7 | Si | Si | Si | No |
Android 10+ | Si | Si | Si | Opcional (Android 11) |
macOS | No (a partir de 9/20) | No | No | No |
Esto tiene importantes implicaciones en las redes Wifi tanto a nivel legal como técnico y es lo que será tratado en el documento.
Cumplimiento Ley Conservación de Datos.
En la plataforma Octopus Wifi existe la posibilidad de configurar varios métodos de acceso en el portal cautivo para validarse en el servicio wifi. Por cada uno de estos métodos se define como mínimo un user-id único para identificar la trazabilidad de conexiones de los usuarios y de esta manera cumplir con la normativa “Ley 25/2007, de 18 de octubre, de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones”.
A continuación se muestra una tabla con los diferentes métodos de acceso e identificador asociado.
Método de acceso | ID |
|---|---|
User registration | |
ID Social Network | |
ID Social Network | |
Google+ | ID Social Network |
ID Social Network | |
ID Social Network | |
Voucher | ID Emisión ticket |
PMS | Nº Habitacion Alojamiento |
SMS | Numero de teléfono movil |
Click-through | MAC dispositivo |
Payment | |
User External Account | User account |
Especial integrations (APPs) | ID Base de datos |
Debido a las nuevas versiones de sistemas operativos lanzadas por Google y Apple con el objetivo de proteger la privacidad de los usuarios, el acceso a través de Aceptar Condiciones o Click-through se ve claramente afectado, ya que en caso de que el usuario tenga configurado en su dispositivo la MAC aleatoria en acceso a la red Wifi, las conexiones quedarían sin identificación fiable y real.
MAC Authentication
Esta medida de configuración de MAC aleatoria adoptada en las nuevas versiones de sistemas operativos también afecta a la validación mediante MAC Authentication en servidores Radius, en la cual está basada la funcionalidad MAC Caching ofrecida por Octopus Wifi.
A nivel técnico no existe mucho problema con dispositivos Android 10, ya que la MAC aleatoria no varía en una misma red o SSID, y funcionalmente se cachearía la conexión para que los usuarios se validen de manera automática sin pasar por el portal cautivo. Sin embargo en iOS 14 si rotaría esta MAC aleatoria diariamente, luego funcionalmente la conexión solo se cachearía por días.
Recomendaciones a implementar
Blue Octopus aconseja adoptar una serie de medidas en la configuración del acceso en los portales cautivos de acceso Wifi Invitados:
Evitar el uso del método de validación “Aceptar Condiciones” o “Click-through”, ya que en los dispositivos afectados, las conexiones no tendrán una identificación de usuario fiable y en consecuencia se propone utilizar otros métodos de acceso self-service que dejen algún otro tipo de información de usuario, como pueden ser acceso mediante formulario (con pre-registro o sin él), redes sociales, vouchers / tickets, etc.
En la medida de lo posible evitar el uso de un mismo ticket para grupos masivos sin identificar a los usuarios individualmente. También promover el uso de acceso con sponsor, cuentas de usuario, etc.
En cuanto a los accesos configurados con Mac Caching, especialmente en conexiones corporativas o muy recurrentes, informar a los usuarios con iOS 14 que desactiven la funcionalidad de MAC aleatoria en la red que interese, si no se deberán introducir los credenciales de acceso a la red diariamente.