Smartwatches y pulseras pueden ser usados para realizar un rastreo preciso del usuario
En los tiempos actuales vivimos rodeados de dispositivos conectados o que envían datos a Internet, los cuales generalmente almacenan datos personales y la geolocalización. Ambas cosas suelen ser recopiladas por los relojes inteligentes y pulseras de actividad física, que pueden acabar convertidos en herramientas de espionaje para recopilar las señales del pulsómetro y el giroscopio, unos datos que, según los expertos de Kaspersky Lab, pueden terminar por ser usados para monitorizar las actividades del usuario y obtener información confidencial.
Si en el pasado la prioridad era infectar el sistema operativo Windows, en la actualidad los datos de los usuarios juegan un papel muy relevante y se han convertido en uno de los principales objetivos de los cibercriminales, que pueden abarcar desde perfiles digitales sofisticados hasta predicciones de mercado sobre el comportamiento de los usuarios. Aunque la preocupación por el uso indebido de los datos es algo que está creciendo, posiblemente por parte de muchos se esté enfocando mal el problema, ya que la atención la centran las plataformas online y los métodos de recopilación, mientras que otras fuentes como los dispositivos de actividad física e incluso ciertas aplicaciones que en teoría tendría que realizar una labor puramente informativa también están realizado actividades de recolección.
En más de una ocasión hemos comentado sobre las pobres medidas a nivel de seguridad implementadas en el IoT, y esto es algo que se puede extender a los wearables. Aquí juegan un papel muy importante los smartwatches y las pulseras de fitness, que últimamente se han extendido entre la gente y suelen estar sincronizados con los smartphones. A esto hay que sumar sensores como el giroscopio y el pulsómetro, encargados de recopilar datos que luego pueden acabar en manos de terceros no autorizados. Para ello solo hay que desarrollar una aplicación que se dedique a enviar (con posible almacenamiento previo) lo que interesa mediante el teléfono móvil, ya que pocos smartwatches y pulseras tienen conexión directa a Internet.
Mediante algoritmos matemáticos que se ejecutan sobre la potencia de cálculo del wearable, es posible identificar patrones de comportamiento, periodos de tiempo, cuándo y dónde se movían los usuarios y durante cuánto tiempo. También se han podido identificar actividades más delicadas, como la introducción de una frase o contraseña en el ordenador (con una precisión de hasta el 96%), meter un código PIN en el cajero automático (aproximadamente del 87%) y desbloquear el teléfono móvil (aproximadamente un 64%). Mediante la recopilación de datos se puede hallar un patrón de comportamiento único. Empezando con el correo electrónico para así identificar al usuario, que es suministrado al iniciar la aplicación por primera vez o mediante el acceso a las credenciales de cuenta de Google, tras pasar un tiempo se puede obtener información detallada de la víctima, incluyendo rutinas diarias y los momentos en los que introduce datos importantes.
Sin embargo, vender los datos podría no ser la única utilidad que tendrían, ya que tampoco se puede descartar el procesamiento mediante una red neuronal artificial, el acecho a la persona e incluso el robo de los datos de la tarjeta de crédito mediante sabotaje previo de los cajeros que frecuenta la víctima. Lo recopilado mediante los wearables pueden llegar a proporcionar una información precisa hasta en un 80%, por lo que el riesgo contra los usuarios es muy real. Los expertos de Kaspersky Lab recomiendan prestar atención a los siguientes detalles:
- Si la aplicación envía una solicitud para recuperar información de la cuenta del usuario, esto es ya motivo de preocupación, ya que los ciberdelincuentes podrían construir fácilmente la “huella digital” de su propietario.
- Si la aplicación solicita permiso para enviar datos de geolocalización, entonces hay que preocuparse. En un rastreador de actividad física que descarguemos en nuestro reloj inteligente no se le deben otorgar permisos adicionales ni utilizar una dirección de correo electrónico corporativa como inicio de sesión.
- El consumo rápido de la batería del dispositivo puede ser un motivo grave de preocupación. Si nuestro dispositivo se agota en unas pocas horas en lugar de un día, deberíamos verificar lo que está realmente haciendo. Podría estar escribiendo registros de señal o, lo que es peor, enviándolos a otro lugar.
Via: www.muyseguridad.net