Tu pulsera de fitness te desnuda ante los hackers

Investigadores de la Universidad Politécnica de Madrid y de la Universidad Pontificia de Comillas han diseñado una metodología para analizar los riesgos de seguridad y privacidad en wearables (dispositivos vestibles o accesorios de uso corporal), especialmente en aquellos dirigidos a niños y jóvenes

El aumento del uso de dispositivos del Internet de las Cosas (IoT) en los últimos años ha propiciado un gran desarrollo tecnológico en este ámbito, aunque sin la supervisión adecuada, la usabilidad puede primar sobre la seguridad, señalan en su trabajo.

Además, el hecho de que los dispositivos IoT hayan ido requiriendo cada vez más datos personales del usuario los convierte en dispositivos atractivos para un atacante. Esta es uno de los riesgos que advierte el equipo que los ha estudiado.

"El hecho de que los dispositivos IoT hayan ido requiriendo cada vez más datos personales del usuario los convierte en dispositivos atractivos para un atacante"

Según los resultados de las pruebas realizadas, aunque los dispositivos de gama baja considerados son, en términos generales, menos seguros que los de gama alta, la mayoría de ellos presentan fallos tanto de privacidad como de seguridad.

Tras evaluar los problemas de vulnerabilidad asociados con dichos dispositivos, los investigadores proporcionan recomendaciones para evitar y mitigar esos riesgos.

"Aunque los dispositivos de gama baja considerados son, en términos generales, menos seguros que los de gama alta, la mayoría de ellos presentan fallos tanto de privacidad como de seguridad"

En los últimos años, ha habido un notable aumento en el mercado de dispositivos corporales conectados como relojes inteligentes o dispositivos portátiles de fitness.

A diferencia de los wearables del pasado, los de hoy en día recopilan una amplia gama de datos que a menudo se almacenan en la nube, son administrados por terceros y se utilizan para mostrar información agregada del usuario en dispositivos móviles.

Dichos datos del usuario con frecuencia implican información confidencial que va desde la ubicación y la dirección de correo electrónico del usuario hasta la información de frecuencia cardíaca y otros datos relacionados con la salud.

Aunque el crecimiento acelerado del mercado de wearables puede favorecer el progreso tecnológico, plantea el riesgo de que su producción crezca sin el control y la regulación necesarios para garantizar niveles adecuados de privacidad y seguridad.

"Algunos de los problemas identificados en la investigación son, por ejemplo, la debilidad o ausencia de cifrado en las comunicaciones y el uso de métodos de emparejamiento que no garantiza la privacidad de los datos personales"

LOS MENORES EN EL OBJETIVO

Una supervisión insuficiente o ineficaz de la producción de estos dispositivos puede permitir el lanzamiento de productos inseguros que prioricen la usabilidad sobre la seguridad, y esta amenaza es de particular preocupación en el caso de los dispositivos para menores.

Dado este escenario, un equipo de investigadores de la Escuela Técnica Superior de Ingenieros de Telecomunicación (ETSIT) de UPM y del Instituto de Investigación Tecnológica (IIT) de la Escuela Técnica Superior de Ingeniería (ICAI) de la Universidad Pontificia de Comillas decidió estudiar la situación actual del mercado de los wearables que se comercializan actualmente para niños y jóvenes.

El objetivo es aumentar la transparencia y la conciencia del usuario sobre la seguridad y privacidad que ofrecen los dispositivos, así como alentar a los fabricantes a mejorar sus características en ambos aspectos.

"Estos problemas resultan más preocupantes en el caso de dispositivos específicamente diseñados para menores y que utilizan aplicaciones de terceros de cuestionable seguridad"

En cualquier caso, señala Manuel Álvarez Campana, investigador de la UPM que ha formado parte del equipo de trabajo, “resulta fundamental concienciar a los niños y jóvenes de los problemas que pueden plantear el uso de los dispositivos conectados y en la importancia de realizar un uso adecuado y consciente de los mismos”.

En este sentido, añade Sonia Solera Cotanilla, investigadora también de la UPM, “merece la pena señalar que el objetivo principal del proyecto RAYUELA –en el que se enmarca este trabajo− es el desarrollo de un juego serio orientado a concienciar a los jóvenes de los riesgos de Internet y la prevención de los cibercrímenes”.

"No resultaría muy complicado para un atacante interceptar la dirección MAC del dispositivo usado por el menor y rastrear su actividad"

Algunos de los problemas identificados en la investigación son, por ejemplo, la debilidad o ausencia de cifrado en las comunicaciones y el uso de métodos de emparejamiento que no garantiza la privacidad de los datos personales.

Además, las políticas de privacidad indican que se hace uso de información sensible del usuario y que, en muchas ocasiones, se envía a través de canales inseguros, permitiendo así a un atacante obtener cierta información sensible y privada del usuario.

NO SOLO LOS 'WAREABLES'

En definitiva, muchos de los dispositivos carecen de medios o herramientas que garanticen la integridad de los datos que manejan. Esto deriva en que la privacidad de sus usuarios se ve comprometida, tanto por el posible acceso a la información sensible manejada, como porque dicha información se transfiere a través de conexiones inseguras con servidores en la nube y se comparte con terceras empresas.

Estos problemas resultan más preocupantes en el caso de dispositivos específicamente diseñados para menores y que utilizan aplicaciones de terceros de cuestionable seguridad. En este caso, no resultaría muy complicado para un atacante interceptar la dirección MAC del dispositivo usado por el menor y rastrear su actividad.

Los dispositivos que se encuentran en el hogar, vehículos, edificios e instalaciones industriales podría producir una cosecha mucho mayor de problemas más allá de los que se encuentran en los wearables

“Aunque el lado del análisis de nuestra investigación se ha centrado en dispositivos dirigidos a menores, la aplicación de la metodología de prueba a otros dispositivos IoT como los que se encuentran en el hogar, vehículos, edificios e instalaciones industriales, así como a productos utilizados por adultos, podría producir una cosecha mucho mayor de problemas más allá de los que se encuentran en los wearables”, concluyen los investigadores.