En 2015, Hewlett Packard, en el ámbito del Internet de las Cosas (Internet of Things - IoT), llevó a cabo un estudio sobre la seguridad en smartwatch.
El resultado del estudio fue demoledor. Todos los smartwatches analizados presentaban vulnerabilidades tan relevantes como insuficiente autenticación, no encriptación de datos y problemas de privacidad.
Y es que como dicen Kavya Racharla (investigador de Intel) y Sumant Naropanth (fundador de Deep Armor) en el Black Hat Asia 2018, hay un problema de base en estos dispositivos, debido a la enorme competencia del mercado. El tiempo de desarrollo es de apenas seis meses de duración, por lo que se suele sacrificar tiempo de pruebas para poder cumplir con estos plazos tan agresivos. En ese tiempo, es imposible analizar todos los posibles problemas de seguridad. Se puede consultar el artículo, ¿son seguros los smartwatches?
¿Cuáles son los principales problemas de seguridad de nuestros relojes inteligentes?
Como todo el mundo sabe, un smartwatch es un pequeño ordenador, o incluso un pequeño dispositivo móvil. Por ello necesitan un sistema operativo, espacio de almacenamiento, y conectividad para el intercambio de información. Esta conectividad puede ser aprovechada mediante técnicas de enumeración para conseguir datos personales. Algunos relojes que almacenan sus datos en texto plano, como por ejemplo, los mensajes que el dispositivo lee al usuario o el mismo nombre del usuario.
También es importante anotar que el reloj, como cualquier otro "weareable" necesita estar siempre conectado al móvil a través de bluetooth. Mediante esta conexión se transfiere todo tipo de información, mensajes, llamadas, información biométrica, etc. Aquí surge la necesidad de implementar un cifrado que proteja esta comunicación entre el móvil y el reloj inteligente.
Otro posible punto vulnerable de nuestro smartwatch es la nube. Muchos relojes comparten información con servicios alojados en la nube para darnos la posibilidad de analizarlos después en nuestro ordenador. Si estos servidores sufren un fallo de seguridad nuestros datos e identidad pueden quedar al descubierto.
Internet of things research study.
Hemos analizado el estudio de Hewlett Packard, en concreto HP Fortify, para mostrarte un resumen de los principales problemas de seguridad que, según este artículo son los más comunes:
- Autenticación o autorización insuficiente: Los relojes inteligentes no incluyen autenticación en dos pasos en su interface, o bien no bloquean la cuenta después de tres o cinco intentos erróneos. Esto puede abrir la puerta a ataques de fuerza bruta.
- Encriptación de capa de transporte insuficiente: Aunque cualquier smartwatch incluye de serie, cifrado con SSL / TLS, un gran porcentaje son vulnerables a ataques POODLE (Padding Oracle On Downgraded Legacy Encryption), que es un exploit "man in the middle" que permitiría acceder a todas las comunicaciones enviadas y recibidas desde el móvil.
- Interfaces vulnerables o inseguras: Una gran cantidad de los relojes inteligentes utilizan interfaces web basados en la nube, con los consiguientes problemas de enumeración de la cuenta, muchos de los cuales también tenían problemas de enumeración de cuenta con las aplicaciones móviles. A través de esta vulnerabilidad los hackers pueden obtener cuentas válidas, y ganar acceso a nuestro dispositivo.
- Software o firmware inseguro: Gran parte de los smartwaches tienen problemas con las actualizaciones de firmware, con el agravante de que la mayoría no reciben las actualizaciones cifradas. Aunque las actualizaciones vienen firmadas para evitar alteraciones, las actualizaciones pueden ser descargadas y analizadas para buscar vulnerabilidades.
- Problemas de privacidad: Los relojes recolectan una gran cantidad de información personal, como el nombre, dirección, fecha de nacimiento, peso, sexo, pulsaciones, y todo tipo de información biométrica que el nuevo Reglamento General de Protección de Datos (RGPD) considera datos sensibles.
¿Qué podemos hacer para mejorar la seguridad de nuestro reloj inteligente?
Siempre es importante tener nuestros dispositivos actualizados, pero cuando se trata de relojes inteligentes las actualizaciones son más necesarias que nunca.
Una práctica bastante común en la industria (especialmente en el mercado chino) es que una empresa fabrica un modelo de smartwatch y después otras compañías utilizan exactamente el mismo modelo, pero con el logo propio de la empresa. Pero se da la potencial y peligrosa circunstancia de que los datos de los usuarios de todos estos relojes se guardan en la misma base de datos.
Como recomendaciones, los antes citados, Racharla y Naropanth, creen que es conveniente que se extiendan los ciclos de desarrollo de este tipo de productos, y que haya un plan de contención en el caso de que se encuentre un wearable que tenga graves problemas de seguridad.
Puede verse fácilmente que estos problemas de seguridad no son exclusivos de los relojes inteligentes, sino que también afectará a otro tipo de dispositivos conectados (IoT) que podemos tener en nuestro domicilio. Por ejemplo, cámaras de seguridad, dispositivos de vigilancia de bebés o cualquier otro juguete conectado (vtech Touch & Learn Activity Desk). Estos dispositivos no suelen recibir actualizaciones de seguridad (a veces ninguna en toda su vida útil), y esto permite la creación de botnets con dispositivos vulnerables.
Botnet es una red de dispositivos infectados controlados de forma remota, y se utilizan para todo tipo de tareas maliciosas, como lanzar ataques de denegación de servicio, envío de spam, o minería y robo de bitcoins.
Finalmente, todos los dispositivos pueden tener alguna vulnerabilidad, por lo que es fundamental que estén lo más actualizados posible.
Un problema parecido sigue surgiendo en nuestros routers: KRACK, la vulnerabilidad que amenaza la seguridad WiFi. Puedes encontrar más información acerca de este tema en el artículo, las principales amenazas en la red.
La seguridad de estos dispositivos vulnerada por internet
Resumiendo, nos arriesgamos a la pérdida de datos personales y biométricos, a que tomen el control de nuestro dispositivo, e incluso a que utilizando los sensores (acelerómetro, giroscopio y magnetómetro) de nuestro smartwatch puedan averiguar nuestro número pin cuando utilicemos un cajero o la contraseña de nuestro ordenador.
Recientemente, el Consejo del Consumidor Noruego (NCC) encontró una serie de vulnerabilidades en varios modelos de relojes inteligentes para niños, que harían posible localizar, rastrear y escuchar a escondidas a los niños y, en algunos casos, incluso contactar con ellos.
Para que podáis comprobar que efectivamente se lleva a cabo el hackeo en este dispositivo, os dejamos un ejemplo, entre muchos, de los artículos que podéis encontrar en la web sobre este tema. Es posible que solo los más técnicos consigan comprenderlo, pero es posible de hacer:
cómo hackear un teléfono móvil utilizando un reloj inteligente.
Con este artículo lo que pretendemos es que los usuarios sean conscientes de las posibles vulnerabilidades que pueden surgir en su día a día y de la mano de dispositivos que quizás utilicen a diario.