Saber cuántas calorías consumes es genial, pero… ¡Cuidado con las pulseras de running!
Gracias a los sensores que incorporan, las pulseras y demás wearables se han convertido en el instrumento perfecto para monitorizar la forma física de sus dueños: les informan de su evolución deportiva y de cuántas calorías gastan en las sesiones de gimnasio y running. Sin embargo, junto con las ventas de estos dispositivos, crece también el número de expertos que advierten sobre los riesgos que entrañan para la seguridad de los datos.
Los últimos han sido un equipo de investigadores del Centro para el Diseño Seguro del IEEE (siglas de ‘Institute of Electrical and Electronics Engineers’) estadounidense, que han alertado en un reciente informe sobre algunas de estas amenazas.
Los mayores riesgos, según estos expertos, tienen su razón de ser en el desarrollo del dispositivo: aquellos diseñados con menos precisión y cuidado no suelen incluir las especificaciones de seguridad necesarias para proteger los datos que recopilan. Su popularidad y la cantidad de información que guardan los convierten en un suculento objetivo para los cibercriminales.
Para el análisis, se han centrado en las pulseras de actividad física que miden variables como las constantes vitales e incorporan sensores de movimiento, como acelerómetros, y que se conectan a Internet para enviar los datos de los usuarios a un servidor centralizado.
Los investigadores aseguran que los ataques se dirigen a los sistemas de software que controlan el flujo de información entre dispositivo y servidor. Es lo mismo que ocurre con otro tipo de aparatos electrónicos conectados, como teléfonos móviles u ordenadores, por lo que las vulnerabilidades que aprovechan son muy similares.
Uno de los métodos que pueden utilizar los ciberdelincuentes para acceder a los datos de los usuarios es la inyección SQL. Esta técnica consiste en aprovechar un agujero de seguridad para insertar código malicioso en alguna de las aplicaciones informáticas que controlan las bases de datos del servidor.
Otras opciones ya conocidas son el phishing y la falsificación de petición o CSRF (de ‘cross-site request forgery’), una técnica por la que se transmiten órdenes no autorizadas a un servidor, como una solicitud de información. También el desbordamiento de ‘buffer’o saturación de datos en un área del disco duro, que permitiría modificar el programa que gestiona el almacenamiento.
Además, los delincuentes pueden realizar ataques de denegación de servicio a través de una actualización fraudulenta del ‘firmware’. La acción deja el dispositivo inservible, agota la batería y bloquea el acceso de los usuarios a alguna de sus cuentas. Así mismo, podría afectar también a otros elementos asociados al wereable, como un teléfono o un ordenador.
El informe hace especial hincapié en los datos de salud, una información delicada que podría ser falsificada o robada por los ciberdelicuentes. Sus autores afirman que hacen falta más medidas de seguridad para garantizar que estos datos no se comparten con terceros o con anunciantes, incluso aunque el usuario publique cierta información en sus redes sociales.
Las vulnerabilidades de los ‘trackers’ o pulseras de actividad pueden servir a un ciberdelincuente no solo para acceder a los datos de sus dueños, sino también para lanzar ataques a páginas web y servidores de terceros.
Ante todos estos riesgos, los expertos advierten que, más que centrarse en arreglar agujeros y vulnerabilidades, es necesario revisar el proceso de diseño de los wearables y analizar concienzudamente todo el ecosistema software que los rodea: en el equipo del usuario, su smartphone o los servidores que almacenan los datos.
Fuente: http://www.pandasecurity.com/
Fecha de consulta: 04 Marzo 2016
