¿Sabemos lo que un “smartwatch” conoce sobre sus usuarios?

Smartwatch y ciberdelicuencia

“Las empresas están teniendo grandes dificultades para adaptar su seguridad a la proliferación del BYOD o uso de dispositivos personales en el trabajo. Las compañías deben asegurarse de que los empleados puedan acceder de forma segura a los datos desde cualquier dispositivo, incluidos los dispositivos móviles no gestionados. El control, ubicación y acceso a esos datos son capacidades fundamentales para evitar las fugas de información y la piratería informática”, fue una de las principales conclusiones de la conferencia de seguridad Black Hat celebrada en Las Vegas en julio de 2017.

Preocupantes conclusiones que un par de meses más tarde dejarían paso a nuevas y más complicadas amenazas, que demuestran – una vez más – que la ciberdelincuencia no descansa. En efecto, un grupo de investigadores de Armis, la empresa estadounidense de seguridad detectaba una nueva vulnerabilidad que amenazaba con afectar a casi todos los terminales conectados a bluetooth. Y no sólo a smartphones. El problema también atañe a televisores inteligentes, tabletas, portátiles, altavoces e incluso automóviles.  El ataque consiste en un malware llamado BlueBorne que – se señalaba – «se expande como el aire» y permite a los hackers tomar el control del aparato, acceder los datos y a las redes a las que está conectado y propagarse a otros dispositivos.

Evidentemente la multiplicación de riesgos vinculados a la popular tecnología inalámbrica es imparable, algo lógico por lo demás, ya que los datos privados de los usuarios se han convertido un producto de alto valor debido a su uso casi ilimitado por los cibercriminales; abanico que va desde perfiles digitales sofisticados de víctimas a predicciones de mercado sobre el comportamiento de los usuarios. Mientras tanto, el temor de los consumidores sobre el uso indebido de su información personal aumentan, y muchos centran su atención en las plataformas online y métodos de recopilación de datos, otras fuentes menos visibles pero igualmente atractivas, permanecen desprotegidas. Un ejemplo, para ayudar a mantener un estilo saludable de vida, muchos utilizamos dispositivos para controlar la actividad física y deportiva. Caso del smartwatch o reloj inteligente, una oferta interesante debido a sus prestaciones, pero a la vez un campo propicio para el ciberdelito, por lo que puede llegar a tener consecuencias no deseadas.

El malware llamado BlueBorne permite a los hackers tomar el control del smartwatch, acceder los datos y a las redes a las que está conectado y propagarse a otros dispositivos.

En efecto, los dispositivos portátiles inteligentes, incluidos los smartwatches y las pulseras de fitness, se utilizan normalmente al realizar actividades deportivas para monitorizar nuestra salud y recibir notificaciones “push”, etc. Para llevar a cabo sus funciones principales, la mayoría de estos dispositivos están equipados con  sensores de aceleración integrados (pulsómetro), que a menudo se combinan con sensores de rotación (giroscopios) para contar pasos e identificar la ubicación del usuario. Los analistas de Kaspersky Lab han analizado qué información del usuario podrían proporcionar estos sensores a terceros no autorizados, y estudiar más detenidamente varios relojes inteligentes de diferentes proveedores.

Para ello desarrollaron una app de smartwatch bastante sencilla que registraba señales de los pulsómetros y giroscopios incorporados. Los datos grabados se guardaron en la memoria del dispositivo portátil o se subieron a un teléfono móvil conectado con Bluetooth.

Utilizando algoritmos matemáticos para la potencia de cálculo del dispositivo inteligente portátil, fue posible identificar patrones de comportamiento, períodos de tiempo, cuándo y dónde se movían los usuarios y durante cuánto tiempo. Y lo que es más importante, fue posible identificar actividades delicadas, incluyendo la introducción de una frase o contraseña en el ordenador (con una precisión de hasta el 96%), meter un código pin en el cajero automático (aproximadamente del 87%) y desbloquear el teléfono móvil (aproximadamente un 64%).

Aumenta la vulnerabilidad que afecta a casi todos los terminales conectados a bluetooth

El conjunto de datos de la señal en sí ya es un patrón de comportamiento único para el propietario del dispositivo. Al utilizarlo, un tercero podría ir más allá y tratar de identificar la identidad de un usuario, ya sea a través de una dirección de correo electrónico solicitada en la etapa de registro en la aplicación o mediante el acceso activado a las credenciales de la cuenta de Android. Tras esto, es sólo cuestión de tiempo que se identifique información detallada de la víctima, incluidas sus rutinas diarias y los momentos en que se introducen datos importantes. Y dado el creciente precio que se está pagando por los datos privados de los usuarios, podríamos encontrarnos rápidamente en un mundo en el que terceros puedan monetizar este vector.

Pero incluso si estos exploits no se capitalizan, sino que se utilizan por los ciberdelincuentes para sus propios objetivos, las posibles consecuencias únicamente están limitadas por su imaginación y nivel de conocimiento técnico. Por ejemplo, pueden descifrar las señales recibidas utilizando redes neuronales, acechar víctimas o instalar “skimmers” en sus cajeros automáticos favoritos. Hemos visto como los cibercriminales pueden lograr hasta un 80% de precisión cuanto intentan descifrar las señales del acelerómetro o identificar la contraseña o el pin utilizando solo los datos recopilador por los sensores del smartwatch.

Sergey Lurye, experto en seguridad y coautor de varios estudio en Kaspersky Lab
Sergey Lurye, experto en seguridad y coautor del estudio en Kaspersky Lab

«Los wearables inteligentes no son solo gadgets en miniatura, son sistemas que pueden registrar, almacenar y procesar parámetros físicos. Nuestra investigación muestra que incluso los algoritmos muy sencillos que se ejecutan en el propio smartwatch son capaces de capturar el perfil único del usuario de las señales del pulsómetro y giroscopio. Estos perfiles se pueden usar para desanonimizar al usuario y realizar un seguimiento de sus actividades, incluidos los momentos en los que se introduce información confidencial. Y esto se puede hacer a través de aplicaciones legítimas de smartwatch que envían datos de señales a terceros de forma encubierta”, afirma Sergey Lurye, experto en seguridad y coautor del estudio en Kaspersky Lab.

Los analistas de Kaspersky Lab aconsejan a los usuarios que presten atención a las siguientes peculiaridades cuando usan dispositivos inteligentes:

  • Si la aplicación envía una solicitud para recuperar información de la cuenta del usuario, esto es ya motivo de preocupación, ya que los ciberdelincuentes podrían construir fácilmente la “huella digital” de su propietario.
  • Si la aplicación también solicita permiso para enviar datos de geolocalización, entonces hay que preocuparse. En un rastreador de actividad física que descarguemos en nuestro reloj inteligente no se le deben otorgar permisos adicionales ni utilizar una dirección de correo electrónico corporativa como inicio de sesión.
  • El consumo rápido de la batería del dispositivo también puede ser un motivo grave de preocupación. Si nuestro dispositivo se agota en unas pocas horas en lugar de un día, deberíamos verificar lo que está realmente haciendo. Podría estar escribiendo registros de señal o, lo que es peor, enviándolos a otro lugar.

Dejar respuesta

Please enter your comment!
Please enter your name here

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.