Las nuevas tecnologías han traído consigo innumerables ventajas para los consumidores, pero con el pasar de los años, también se han incrementado los peligros relacionados con el valor de los datos personales que se pueden obtener desde los numerosos dispositivos y que son utilizados por los cibercriminales para propósitos poco honestos.
Y aunque los casos recientes pueden centrarse en el uso indebido de la información personal obtenida de las plataformas online (especialmente las redes sociales) y métodos de recopilación de datos, existen otras posibilidades en dispositivos como los smartwatches y brazaletes fitness, a los que se les suele prestar menos atención como fuente de datos privado más que apetecibles para el cibercrimen.
La mayoría de estos dispositivos requiere, para llevar a cabo sus principales funciones principales, sensores de aceleración integrados (pulsómetro), los que suelen estar combinados con sensores de rotación (giroscopios) que sirven para contar pasos además de identificar la ubicación del usuario.
Para conocer qué tipo de información podría obtenerse a partir de los sensores de estos dispositivos a terceras personas no autorizadas, Kaspersky Lab ha analizado varios relojes inteligentes de diversos proveedores, a través de la creación de una app de smartwatch con la que registraba las señales de los pulsómetros y giroscopios incorporados. “Los datos grabados se guardaron en la memoria del dispositivo portátil o se subieron a un teléfono móvil conectado con Bluetooth.”
Gracias al uso de algoritmos matemáticos “para la potencia de cálculo del dispositivo inteligente portátil, fue posible identificar patrones de comportamiento, períodos de tiempo, cuándo y dónde se movían los usuarios y durante cuánto tiempo. Y lo que es más importante, fue posible identificar actividades delicadas, incluyendo la introducción de una frase o contraseña en el ordenador (con una precisión de hasta el 96%), meter un código pin en el cajero automático (aproximadamente del 87%) y desbloquear el teléfono móvil (aproximadamente un 64%).”
En si mismo, ya este conjunto de datos forma un patrón de comportamiento único del el propietario del dispositivo. Una información que podría ser utilizada por un tercero para tratar de conocer la identidad de ese usuario, bien a través de una dirección de email aportada durante el registro en la app o del acceso activado a la cuenta de Android. A partir de allí, sería bastante sencillo obtener información detallada del propietario del dispositivo, que incluirían rutinas diarias y la introducción de datos importantes, que pueden ser de gran valor para los ciberdelincuentes que se lucran con ellos.
“Pero incluso si estos exploits no se capitalizan, sino que se utilizan por los ciberdelincuentes para sus propios objetivos, las posibles consecuencias únicamente están limitadas por su imaginación y nivel de conocimiento técnico. Por ejemplo, pueden descifrar las señales recibidas utilizando redes neuronales, acechar víctimas o instalar “skimmers” en sus cajeros automáticos favoritos. Hemos visto como los cibercriminales pueden lograr hasta un 80% de precisión cuanto intentan descifrar las señales del acelerómetro o identificar la contraseña o el pin utilizando solo los datos recopilador por los sensores del smartwatch.”
Según Sergey Lurye, experto en seguridad y coautor del estudio de Kaspersky Lab: “Los wearables inteligentes no son solo gadgets en miniatura, son sistemas que pueden registrar, almacenar y procesar parámetros físicos. Nuestra investigación muestra que incluso los algoritmos muy sencillos que se ejecutan en el propio smartwatch son capaces de capturar el perfil único del usuario de las señales del pulsómetro y giroscopio. Estos perfiles se pueden usar para desanonimizar al usuario y realizar un seguimiento de sus actividades, incluidos los momentos en los que se introduce información confidencial. Y esto se puede hacer a través de aplicaciones legítimas de smartwatch que envían datos de señales a terceros de forma encubierta”.
Como recomendaciones finales, Kaspersky Lab sugiere a los usuarios prestar atención a estas peculiaridades si les suceden durante el uso de sus dispositivos inteligentes:
- Si la aplicación envía una solicitud para recuperar información de la cuenta del usuario, esto es ya motivo de preocupación, ya que los ciberdelincuentes podrían construir fácilmente la “huella digital” de su propietario.
- Si la aplicación también solicita permiso para enviar datos de geolocalización, entonces hay que preocuparse. En un rastreador de actividad física que descarguemos en nuestro reloj inteligente no se le deben otorgar permisos adicionales ni utilizar una dirección de correo electrónico corporativa como inicio de sesión.
- El consumo rápido de la batería del dispositivo también puede ser un motivo grave de preocupación. Si nuestro dispositivo se agota en unas pocas horas en lugar de un día, deberíamos verificar lo que está realmente haciendo. Podría estar escribiendo registros de señal o, lo que es peor, enviándolos a otro lugar.