Para mantener un estilo de vida saludable, muchos usuarios recurrimos a dispositivos que nos ayudan a controlar nuestras constantes vitales, nos aportan datos y herramientas para monitorizar la actividad física. Ejemplo de ello son los dispositivos móviles inteligentes, tales como pulseras de fitness o smartwatch.
Para llevar a cabo sus funciones principales, muchos de estos wearables cuentan con diferentes características de hardware o software: sensores de aceleración integrados (pulsómetro), sensores de rotación (giroscopios), podómetros para contar los pasos y GPS para localizar al usuario y poder dar datos sobre la ruta y los kilómetros recorridos.
¿Qué tipo de información sobre el usuario podrían proporcionar todos estos sensores a terceros no autorizados? Esto es lo que ha investigado el laboratorio de Kaspersky Lab, estudiando diferentes smartwatch de varios fabricantes.
Para llevar a cabo la investigación, sus analistas desarrollaron una app de smartwatch sencilla que registraba señales de los pulsómetros y giroscopios incorporados. Los datos grabados se guardaban en la memoria del dispositivo portátil o se subían a un teléfono móvil conectado con Bluetooth.
«Utilizando algoritmos matemáticos para la potencia de cálculo del dispositivo inteligente portátil, fue posible identificar patrones de comportamiento, períodos de tiempo, cuándo y dónde se movían los usuarios y durante cuánto tiempo», explican las fuentes de la investigación. Del estudio, destacan que les fue posible identificar actividades delicadas, incluyendo la introducción de una frase o contraseña en el ordenador (con una precisión de hasta el 96%), meter un código pin en el cajero automático (aproximadamente del 87%) y desbloquear el teléfono móvil (aproximadamente un 64%).
Patrones de comportamiento
La investigación señala que «el conjunto de datos de la señal en sí ya es un patrón de comportamiento único para el propietario del dispositivo». Al usar esta información, un tercero podría, por ejemplo, tratar de identificar la identidad de un usuario ¿Cómo? A través de una dirección de correo electrónico solicitada en la etapa de registro en la aplicación o mediante el acceso activado a las credenciales de la cuenta de Android.
Una vez conseguidos estos datos, solamente sería cuestión de tiempo que se lograra identificar más información detallada de la víctima. Datos que los ciberdelincuentes podrían monetizar rápidamente. O incluso usarlos para «sus propios objetivos», apuntan desde Kaspersky.
Los expertos recuerdan que este tipo de dispositivos del Internet de las Cosas o wearables, son sistemas que pueden registrar parámetros físicos y almacenar una gran cantidad de información. Datos que pueden conseguir la desanonimización de un usuario o realizar un seguimiento de sus actividades.
Como recomendaciones, los especialistas recomiendan ser cautelosos con las aplicaciones móviles descargadas para usar este tipo de dispositivos, y ceñirse siempre que sea posible a las oficiales. Si estas aplicaciones envían solicitudes para recuperar información de la cuenta del usuario, debemos sospechar que no sea un fraude. También si solicita permisos que no debería tener un dispositivo de estas características.
Atención también si la batería se consume demasiado rápido: podría significar que se están produciendo demasiados registros, o que incluso se están enviando de forma remota.
El ransomware es más móvil que nunca: aumentan los ataques a dispositivos móviles en 2018
