Cuidado, los sensores silenciosos le espían desde su smartphone

Los sensores silenciosos le espían desde su smartphone

Los especialistas les llaman «sensores silenciosos» y han identificado hasta 25 de ellos, instalados por defecto en la mayoría de los terminales móviles. El auge de aplicaciones de fitness, salud y entretenimiento, ha hecho que se incremente su número, ya que en nuestro smartphone sobre todo, disponemos de todo tipo de funciones con sensores silenciosos. Nos permiten calcular la ubicación (GPS), o son vitales para hacer fotos (cámara), para hablar por teléfono (micrófono) o pagar a través del móvil (NFC). Y en conjunto lo saben todo sobre el usuario: la velocidad a la que camina, la manera en que inclina el teléfono, dónde se encuentra, si hace frío o calor o cómo son sus huellas dactilares. En pocas palabras, los sensores silenciosos permiten rastrear información de manera encubierta. No cabe duda que la sombra del Gran Hermano crece a diario.

Maryam Mehrnezhad, investigadora de la Facultad de Ciencias de Computación de la Universidad de Newcastle (Reino Unido)
Maryam Mehrnezhad, investigadora de la Facultad de Ciencias de Computación de la Universidad de Newcastle (Reino Unido)

«La mayoría de los smartphones, tabletas y otros dispositivos portátiles están equipados con una multitud de sensores (giroscopios, sensores de rotación, acelerómetros, etc). Aunque permiten a los usuarios «interactuar con el mundo real», también pueden crearles diversos problemas, debido a que las aplicaciones móviles y las páginas Web no piden permiso para acceder a gran parte de ellos, por lo que los programas maliciosos pueden “escuchar” de manera encubierta los datos de sus sensores», comentó a la BBC Maryam Mehrnezhad, investigadora de la Facultad de Ciencias de Computación de la Universidad de Newcastle (Reino Unido).

Y es que, excepto en lo que respecta a nuestra localización, los navegadores no suelen «preguntarnos» si queremos compartir nuestros datos; se da por hecho que no es tan  relevante. Por lo tanto y según los  resultados del equipo de científicos de la Universidad de Newcastle, los hackers pueden valerse de ellos para averiguar sin mayores problemas el código PIN o la contraseña del usuario.  Si este visita la Web equivocada en el momento equivocado – sea cual sea el navegador (Safari, Chrome, Opera o Firefox)- el atacante puede conseguir datos de los sensores y averiguar qué parte del aparato se activa y qué botones se pulsan.  Cada clic, pulsación e inclinación del teléfono puede revelar datos a los hackers, siempre y cuando se haya accedido a la página equivocada.

Todo lo que se hace en la pantalla – desde clics hasta mantener apretada una tecla o pulsar un botón-  hace que se coja el teléfono de una manera única personal, lo que  proporciona información útil para los criminales informáticos.  De acuerdo con los investigadores, los movimientos a la hora de usar el teléfono permiten descifrar el código PIN de cuatro dígitos con un 74% de precisión en el primer intento (y un 100% en el quinto).  Todo esto, sin olvidar que el tema tiene implicaciones relacionadas con la intimidad de los usuarios, “ya que este no querría, por ejemplo, que una compañía de seguros supiese si se es una persona de acción o un perezoso”. 

Para solucionar el problema, los científicos sugieren que los sitios Web pidan permiso a los usuarios antes de compartir los datos recopilados por esos sensores (al igual que hacen muchas apps),y que consideren «información sensible» algunos temas como la orientación del dispositivo.

Los sensores silenciosos le espían desde su smartphone

Sin embargo el tema no es de hoy. En 2015, se llegó a conclusiones similares relacionadas con una aplicación para informar sobre el estado de la batería del celular y que en 2016 fue utilizada por algunos hackers, lo cual llevó a Firefox a eliminar la herramienta por completo. Y no era la primera vez que se analizaban este tipo de sensores, ya que en el Chaos Communications Congress de 2014 se demostró cómo un selfie puede dejar el PIN al descubierto, tomando control de la cámara frontal del teléfono de una manera similar. Pero por el momento, las compañías todavía no se han pronunciado al respecto.

Jan Wang, experto en ciberseguridad y profesor adjunto de la Universidad de Binghamton
Jan Wang, experto en ciberseguridad y profesor adjunto de la Universidad de Binghamton

Si se utiliza un smartwatch se debe ser precavido — explicaba hace un año Jan Wang, experto en ciberseguridad y profesor adjunto de la Universidad de Binghamton (Nueva York).  “Los wearables pueden conocer y enviar el PIN de su tarjeta de crédito entre otras muchas cosas (…) gracias a los sensores de movimiento que miden la aceleración, orientación y dirección de los dispositivos que se llevan en la muñeca un equipo de investigadores fue capaz de obtener los PIN de tarjetas de crédito con entre un 80 y 90 por ciento de aciertos”.

Dado que los sensores «registran los movimientos de la mano al milímetro» el equipo del profesor Wang tuvo que procesar los movimientos «hacia atrás», desde el momento en el que se conoce qué posición ocupa la mano respecto al teclado, el instante en el cual el usuario termina de teclear la clave y «aceptar». De ahí el nombre del algoritmo. Desde esa posición se reconstruyen los movimientos de la mano y por tanto su posición respecto al teclado. Basta con que el usuario use tres veces la tarjeta (que escriba tres veces el PIN) para obtener una clave que, con una alta probabilidad, será correcta.

Por su parte el informe de la Universidad de Newcastle, publicado en el Journal of Information Security and Applications (revista especializada en seguridad de la información y de aplicaciones), sugiere que el problema se debe al número de sensores diferentes que utilizan las empresas.

«En algunos navegadores descubrimos que si el usuario abre una página en su teléfono o tableta que alberga uno de esos códigos maliciosos y a continuación abre otra, entonces se pueden ver cada uno de los datos personales que introduce«, dice Mehrnezhad.

Esto permite que los hackers conozcan la actividad de sus víctimas desde una Web remota y que obtengan todo tipo de información, a partir del momento en que se hicieron las llamadas hasta actividades físicas, acciones en internet y, por supuesto, las contraseñas. «Y lo que es peor, en algunos casos, a no ser que las cierres por completo, pueden incluso espiarte cuando tu teléfono está bloqueado«, agrega.

Lo que está claro es que cada clic, scroll y tecla pulsada sobre el teléfono puede revelarlo todo sobre usted.

Mientras buscan soluciones, los expertos recomiendan desconfiar de las páginas sospechosas y, en la medida de lo posible, no proporcionar toda nuestra información. Pero sobre todo, debemos  interesarnos por saber cómo funciona nuestro smartphone y estar al tanto de lo que los sensores «saben» sobre nosotros.  «A la gente le preocupa mucho más la cámara y el GPS que los sensores silenciosos», se queja Mehrnezhad.

DATOS  PARA UN INFORME
Tipos de sensores silenciosos de los teléfonos móviles
1. Acelerómetro 14. Sensor Hall
2. Humedad ambiental 15. Magnetómetro
3. Luz ambiental 16. Micrófono
4. Presión ambiental 17. Movimiento
5. Temperatura ambiente 18. NFC
6. Barómetro 19. Orientación
7. Bluetooth 20. Proximidad
8. Cámara 21. Rotación
9. Temperatura del aparato 22. Sensor Hub (un chip de Google)
10. Huellas dactilares 23. TouchID
11. GPS 24. Touch Screen
12. Gravedad 25. WiFi
13. Giroscopio
Fuente: Maryam Mehrnezhad/Universidad de Newcastle
…y también las recomendaciones de siempre

Asegúrese de cambiar los PIN y contraseñas con regularidad sitios web maliciosos por lo que no pueden empezar a reconocer un patrón.Cerrar aplicaciones de fondo cuando no se esté utilizando y desinstalar aplicaciones que ya no necesita

Mantenga su sistema operativo para teléfonos y aplicaciones al día

Sólo instale aplicaciones de las tiendas de aplicaciones aprobadas

Auditar los permisos que tienen aplicaciones en su teléfono

Escrutar el permiso solicitado por las aplicaciones antes de instalarlos y elegir alternativas con permisos más sensibles, si es necesario.

Dejar respuesta

Please enter your comment!
Please enter your name here

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.