Si bien la paranoia de los consumidores por el uso indebido de la información personal está creciendo –y muchos dirigen su atención a las plataformas en línea y los métodos de recopilación de datos–, otras fuentes menos visibles de amenazas permanecen desprotegidas.
Por ejemplo, el uso monitores de actividad física para mantener el registro del ejercicio y las actividades deportivas podrían tener consecuencias peligrosas.
Los relojes inteligentes pueden convertirse en herramientas para espiar a sus dueños, pues recopilan una serie de datos personales que pueden ser aprovechados por ciberdelincuentes.
Los smartwatches recaban silenciosas señales del acelerómetro y el giróscopo que, después de analizarlos, podrían convertirse en conjuntos de datos exclusivos a su propietario, de acuerdo con una investigación de Kaspersky Lab.
Estos conjuntos de datos, si se usan de forma incorrecta, permiten llevar registro de las actividades del usuario, incluso la información confidencial que éste pueda introducir.
¿Cómo lo hacen?
Los investigadores de Kaspersky desarrollaron una aplicación para relojes inteligentes que registraba las señales de los acelerómetros y giroscopios incorporados.
Los datos grabados se guardaron en la memoria del dispositivo portátil o se cargaron en el teléfono móvil mediante conexión Bluetooth.
Mediante algoritmos matemáticos disponibles para la capacidad de cómputo del dispositivo inteligente portátil, fue posible identificar:
- Patrones de comportamiento
- Periodos de tiempo
- Cuándo y por dónde se desplazaban los usuarios
- Durante cuánto tiempo lo hacían
Hallazgos preocupantes
Los investigadores fueron capaces de identificar actividades confidenciales de los usuarios, incluso el ingreso de una contraseña en la computadora (con una precisión de hasta 96%), ingresar un código PIN en un cajero automático (aproximadamente 87%) y desbloquear un teléfono móvil (aproximadamente 64%).
El conjunto de datos de señales es en sí un patrón de comportamiento único del propietario del dispositivo.
Al usarlo, un tercero podría ir más allá y tratar de identificar la identidad de un usuario, ya sea a través de una dirección de correo electrónico solicitada en la etapa de registro en la aplicación o mediante la activación del acceso a las credenciales de la cuenta de Android.
Después de eso, es solo cuestión de tiempo hasta que se identifique la información detallada de la víctima, incluidas sus rutinas diarias y los momentos en que ingresan datos importantes.
Y considerando que el precio por los datos privados de los usuarios continúa aumentando, rápidamente podríamos encontrarnos en un mundo en el que terceros moneticen este vector.
Aun cuando este exploit no se capitalice y, en cambio, sea utilizado por los ciberdelincuentes con fines maliciosos propios, las posibles consecuencias solo se limitan a lo que determine su imaginación y nivel de conocimiento técnico.
Por ejemplo, podrían descifrar las señales recibidas utilizando redes neuronales, atacar a víctimas o instalar skimmers en sus cajeros automáticos favoritos.
Ya hemos visto cómo los delincuentes pueden lograr 80% de precisión cuando intentan descifrar las señales del acelerómetro e identificar la contraseña o el PIN utilizando solo los datos obtenidos de los sensores del reloj inteligente.
3 consejos al usar wearables
1. Desconfíe
Si la aplicación envía una solicitud para recuperar la información de la cuenta del usuario, esto es motivo para alarmarse, ya que los delincuentes podrían construir fácilmente una ‘huella digital’ de su propietario.
2. Tenga cuidado
Si la aplicación también solicita permiso para enviar datos de geolocalización, entonces debe preocuparse.
No otorgue permisos adicionales ni proporcione su dirección de correo electrónico corporativo como inicio de sesión a aplicaciones para el monitoreo de actividad física que descargue en su reloj inteligente.
3. Preste atención
El rápido consumo de la batería del dispositivo también puede ser motivo grave de preocupación.
Si su smartwatch se agota en pocas horas, en lugar de un día, debería verificar qué está haciendo realmente el dispositivo.
Podría estar escribiendo registros de señales o, lo que es peor, enviándolos a otro lugar.
