Los smartwatch ¿convertidos en herramientas de espionaje?

Cada vez son más los usuarios que utilizan diariamente smartwatches y pulseras de fitness para monitorizar sus entraminetos, su salud y recibir notificaciones. Para llevar a cabo sus funciones principales, la mayoría de estos dispositivos están equipados con sensores de aceleración integrados (pulsómetro), que a menudo se combinan con sensores de rotación (giroscopios) para contar pasos e identificar la ubicación del usuario.

¿Sabemos realmente qué ocurre con la información que proporcionan estos sensores? ¿Qué ocurriría si los cibercriminales se hiciesen con ella? 

Como ya hemos visto en varias ocasiones, los datos son el oro negro del siglo XXI gracias al uso casi ilimitado que los cibercriminales pueden hacer de ellos. Desde perfiles digitales sofisticados de víctimas a predicciones de mercado sobre el comportamiento de los usuarios.

En este sentido, aunque el temor de los consumidores sobre el uso indebido de su información personal ha aumentado considerablemente tras el escándalo de Facebook, la fuga de datos de Uber o Yahoo o los diversos ataques de ransomware que han afectado a grandes empresas a nivel mundial, son muy pocos los usuarios que protegen este tipo de dispositivos. “Muchos centran su atención en las plataformas online y métodos de recopilación de datos, otras fuentes menos visibles de amenazas permanecen desprotegidas” apuntan desde Kaspersky Lab.

Por ejemplo, para ayudar a mantener un estilo saludable de vida, muchos de nosotros usamos dispositivos para controlar la actividad física y deportiva. Pero esto puede llegar a tener consecuencias no deseadas. Por ello los analistas de Kaspersky Lab han analizado qué información del usuario podrían proporcionar estos sensores a terceros no autorizados, y estudiar más detenidamente varios relojes inteligentes de diferentes proveedores.

 

Para ello, los analistas desarrollaron una app de smartwatch que registraba señales de los pulsómetros y giroscopios incorporados. Los datos grabados se guardaron en la memoria del dispositivo portátil o se subieron a un teléfono móvil conectado con Bluetooth.

“Utilizando algoritmos matemáticos para la potencia de cálculo del dispositivo inteligente portátil, fue posible identificar patrones de comportamiento, períodos de tiempo, cuándo y dónde se movían los usuarios y durante cuánto tiempo. Y lo que es más importante, fue posible identificar actividades delicadas, incluyendo la introducción de una frase o contraseña en el ordenador (con una precisión de hasta el 96%), meter un código pin en el cajero automático (aproximadamente del 87%) y desbloquear el teléfono móvil (aproximadamente un 64%)” apuntan desde la empresa.

Un tercero podría ir más allá y tratar de identificar la identidad de un usuario, ya sea a través de una dirección de correo electrónico solicitada en la etapa de registro en la aplicación o mediante el acceso activado a las credenciales de la cuenta de Android. Tras esto, es sólo cuestión de tiempo que se identifique información detallada de la víctima, incluidas sus rutinas diarias y los momentos en que se introducen datos importantes. “Hemos visto como los cibercriminales pueden lograr hasta un 80% de precisión cuanto intentan descifrar las señales del acelerómetro o identificar la contraseña o el pin utilizando solo los datos recopilador por los sensores del smartwatch” añaden los expertos de Kaspersky Lab.

“Los wearables inteligentes no son solo gadgets en miniatura, son sistemas que pueden registrar, almacenar y procesar parámetros físicos”

“Los wearables inteligentes no son solo gadgets en miniatura, son sistemas que pueden registrar, almacenar y procesar parámetros físicos. Nuestra investigación muestra que incluso los algoritmos muy sencillos que se ejecutan en el propio smartwatch son capaces de capturar el perfil único del usuario de las señales del pulsómetro y giroscopio. Estos perfiles se pueden usar para desanonimizar al usuario y realizar un seguimiento de sus actividades, incluidos los momentos en los que se introduce información confidencial. Y esto se puede hacer a través de aplicaciones legítimas de smartwatch que envían datos de señales a terceros de forma encubierta”, afirma Sergey Lurye, experto en seguridad y coautor del estudio en Kaspersky Lab.

En este sentido, Deepak Daswani, Experto en ciberseguridad y colaborador en varios medios especializados, realizó en Mundo Hacker Day 2018 una demostración sobre los peligros que uede suponer la utilización incorrecta de Apps de gimnasio.

Para evitar poner en peligro tus datos con estos dispositivos, los analistas de Kaspersky Lab dan algunos consejos a tener en cuenta con dispositivos inteligentes:

1. Si la aplicación envía una solicitud para recuperar información de la cuenta del usuario, esto es ya motivo de preocupación, ya que los ciberdelincuentes podrían construir fácilmente la “huella digital” de su propietario.
2. Si la aplicación también solicita permiso para enviar datos de geolocalización, entonces hay que preocuparse. En un rastreador de actividad física que descarguemos en nuestro reloj inteligente no se le deben otorgar permisos adicionales ni utilizar una dirección de correo electrónico corporativa como inicio de sesión.
3. El consumo rápido de la batería del dispositivo también puede ser un motivo grave de preocupación. Si nuestro dispositivo se agota en unas pocas horas en lugar de un día, deberíamos verificar lo que está realmente haciendo. Podría estar escribiendo registros de señal o, lo que es peor, enviándolos a otro lugar.

La entrada Los smartwatch ¿convertidos en herramientas de espionaje? aparece primero en Globb Security.