Cada vez llevamos más wearables con nosotros: pulseras cuantificadoras sin más, pulseras inteligentes y relojes que son algo más gracias a Android Wear que pueden sernos muy útiles en nuestro día a día, pero esto también puede conllevar un riesgo si todos estos dispositivos no están protegidos de manera adecuada. La privacidad siempre está a la orden del día, y estas pulseras cuantificadoras pueden revelar a los atacantes muchos más datos de los que nos gustaría dar a cualquier desconocido.
Hablamos de todo esto porque Kaspersky, los laboratorios detrás del conocido antivirus del mismo nombre, han lanzado los resultados de una pregunta que se han hecho los analistas de la compañía: ¿se puede hackear un brazalete de actividad? Hemos analizado el estudio que han presentado hoy entre nosotros, que muestra los esfuerzos de Kaspersky por hackear la mayor cantidad de pulseras posibles con motivos de investigación, y estos son los puntos clave.
Conexión Bluetooth: no tan segura como podemos pensar
Como bien indica Kaspersky en su estudio, la mayoría de brazaletes de actividad o pulseras cuantificadoras utilizan Bluetooth LE para conectarse a nuestros smartphones (sin contraseña de ningún tipo para emparejar los dispositivos), y empezaron a investigar por esa vía. Se pudo acceder a una buena parte de las pulseras del mercado con algo de código sacado del SDK de Android, aunque sacar los datos de la pulsera fue un asunto completamente diferente: algunas pulseras revelan los posibles datos del usuario, y con otras no es algo posible.
Después de esto, se pusieron manos a la obra con una aplicación capaz de buscar brazaletes de actividad automáticamente, y consiguieron conectarse a 54 brazaletes en algo más de seis horas. Afirman que las marcas más afectadas son Jawbone y FitBit, pero que también Nike, Microsoft, Polar y Quans están afectadas, por mucho que el rango de conexión esté limitado a 50 metros de distancia y (con la mayoría de pulseras) sólo sea posible conectar con un teléfono a la vez.
En base a todo esto, desde Kaspersky llegan a la conclusión de que un ciberdelincuente tiene fácil acceder a nuestra pulsera cuantificadora: sólo tiene que encontrar una pulsera que no esté conectada a un smartphone, o bloquear la conexión de ese smartphone conectado y hacerse pasar por el dispositivo original. No es tan sencillo conseguir esto último, en la mayoría de pulseras tienes que confirmar la conexión a un nuevo dispositivo, pero esto es cuestión de pulsar un botón en muchos casos, y algunos usuarios podrían picar pensando que es un comportamiento normal de su pulsera cuando estarán dando acceso a un smartphone desconocido.
¿Cuántos datos se pueden sacar de una pulsera cuantificadora?
Apartándonos del estudio, y dejando a un lado el debate de si las pulseras cuantificadoras son seguras, es cierto que una pulsera cuantificadora no puede tener muchos detalles acerca de nosotros: nuestros pasos, actividad física que hemos hecho durante el día, pulsaciones… cosas como sacar los datos GPS no tienen mucho sentido si tenemos que estar cerca para conseguirlos, y en cualquier caso, todos esos datos se suben regularmente a la nube de la compañía.
A un atacante le merece más la pena intentar atacar mientras los datos están de camino a la nube si quiere conseguir esa información, no cuando están contenidos en el dispositivo, aunque todo dependerá del hipotético caso en el que nos pongamos a pensar. Además, pensar que existen sistemas 100% seguros es una tontería: vamos a seguir descubriendo vulnerabilidades como Heartbleed que pongan en jaque a la seguridad, la cuestión es resolverlos rápidamente para evitar que sean explotados.
Pero tampoco podemos dejar de lado ese debate de cuánto de seguras son las pulseras inteligentes que llevamos todos los días: siguen siendo una puerta hacia datos personales sobre nosotros, y ninguno estará cómodo sabiendo que toda esa información puede caer en manos ajenas. ¿Es importante la seguridad de estas pulseras o se le está dando mucha más importancia de la que debería tener? ¿Es un peligro real el que intenten hackear nuestra pulsera cuantificadora?