Pulseras 'poco inteligentes' al proteger información

CIUDAD DE MÉXICO.- Las pulseras inteligentes que las personas usan para monitorear su actividad física tienen brechas de seguridad que deben resolverse a la brevedad para que no sean aprovechadas por los cibercriminales para obtener información valiosa, advirtió el analista senior de Malware de Kaspersky Lab, Roman Unuchek.

El interés del especialista por la seguridad de este tipo de dispositivos vestibles, también llamados wearables, surgió porque él mismo adquirió una pulsera para monitorear su actividad física.

Para ocuparla descargó la aplicación Android Wear en su teléfono móvil y éste se conectó sin problemas a la pulsera, sin embargo se dio cuenta que el programa se sincronizó con una Nike+ Fuel Band SE que pertenecía a un colega.

Esto toma relevancia debido al crecimiento que está experimentando el mercado de dispositivos wearables en los últimos meses. Datos de la consultora IDC advierten que el número de dispositivos vestibles pasará de 15.4 millones de unidades embarcadas en 2014 a 20 millones al cierre de este año, de los cuales 80 por ciento corresponderán a pulseras, brazaletes y relojes inteligentes.

Durante su investigación, el especialista de Kaspersky se centró en las pulseras inteligentes compatibles con el sistema operativo Android, entre las que destacan marcas como Fitbit, Garmin, Adidas, Jawbone y Samsung. 

Las vulnerabilidades

Luego de varias horas de pruebas, Unuchek encontró la vulnerabilidad en la seguridad de las pulseras inteligentes, es decir, el momento en que se sincroniza con el smartphone al cual enviará la información recabada y el proceso de autentificación.

En el primer caso detalló que la mayoría de las pulseras usa la tecnología Bluetooth LE para enlazarse al smartphone y, a diferencia de otros procesos, no requiere de una contraseña para aprobar la conexión porque éstas no tienen ni pantalla ni teclado.

Por lo mismo, estos brazaletes usan un sistema conocido como “Perfil de Atributos Genérico” para ser reconocido por el smartphone o tablet, mientras que la autentificación entre ambos equipos se trata de una vibración que le indica al usuario que tiene que pulsar un botón para aprobarla.

Unuchek consideró que los cibercriminales o un hacker pueden crear una especie de “escáner” para hallar los dispositivos cercanos y tratar de sincronizarse con ellos. El usuario recibiría el aviso con la vibración, pero al pensar que se trata de su pulsera intentando enviar información a su teléfono o ser muy insistentes lo aprobaría.

Con esto, parte de la información que genere la pulsera inteligente llegará al  dispositivo móvil del cibercriminal y es posible modificar algunas cosas como la hora y fecha, siempre y cuando se quede en un rango de 6 metros y el dueño no la sincronice con su verdadero smartphone o tablet.

Los peligros a futuro

Para comprobar esta vulnerabilidad, el experto realizó varios escaneos buscando pulseras inteligentes en el metro de Moscú, en un club de fitness en Estados Unidos y en Cancún, México, logrando conectarse a 54 equipos.

Si bien aceptó que estos dispositivos fitness actualmente no contienen mucha información y se centran en la cantidad de pasos, las fases del sueño o el pulso durante la última hora, indicó que conforme evolucionen y añadan sensores habrá más datos valiosos.

Unuchek ve la posibilidad de usar datos como el ritmo cardiaco o el pulso para saber la reacción de las personas a la publicidad, también como un detector de mentiras y, con propósitos maliciosos, interceptar el control de la pulsera y hacer que vibre todo el tiempo para pedir un rescate por ella.

Afortunadamente, en estos momentos los ciberdelincuentes no pueden obtener acceso a todos los datos del usuario, ya que éstos no se guardan en la pulsera o teléfono, sino que la aplicación oficial los envía con cierta regularidad a la nube.