29 de mayo de 2020

Equipado y vulnerable. Los riesgos de los dispositivos wearables

Imagen decorativa, Equipado y vulnerable. Los riesgos de los dispositivos wearables
Cuando oímos hablar de un dispositivo wearable, lo primero que puede venirse a nuestra mente es la de un dispositivo futurista, propio de las películas de ciencia ficción. Pero son algo muy real e implantado en nuestro día a día. Desde pulseras o relojes inteligentes, hasta gafas y auriculares, los usuarios disponemos de una gran variedad de ellos. Pero, ¿somos conscientes de sus riesgos y vulnerabilidades?
Poco a poco, el confinamiento va dando paso a las fases de desescalada con las que poder volver a la normalidad. Las primeras fases permiten salir a hacer algo de deporte y muchos de nosotros vamos a aprovecharlo para poner a prueba nuestros dispositivos wearables
Estos dispositivos interactúan con el cuerpo humano de forma directa o indirecta, recogiendo datos y aportando información útil de todo tipo al usuario. A día de hoy, hay una gran variedad de ellos, como gafas, ropa, e incluso joyas o complementos de moda, aunque los más comunes siguen siendo los relojes o pulseras inteligentes.
Los favoritos de los usuarios son aquellos adaptados para el entrenamiento físico y el deporte, que permiten compartir en redes sociales nuestras rutinas y logros de entrenamiento. Otros están adaptados para recoger y medir datos sobre nuestro estado de salud, como por ejemplo los niveles de azúcar en sangre o el ritmo cardíaco.
Sus ventajas y funcionalidades son muchas, pero, como cualquier otro dispositivo inteligente, no están exentos de riesgos, sobre todo si tenemos en cuenta la cantidad de información personal que registran.

Entonces, ¿cómo de seguros son los dispositivos wearables?

La información que pueden manejar ciertas aplicaciones de wearables, como la ubicación o datos de salud de los usuarios, representan un botín muy jugoso para los ciberdelincuentes. Y, al igual que ocurre con los dispositivos IoT de nuestros hogares, las vulnerabilidades son tanto de nivel técnico (brechas e incidentes de seguridad) como a nivel de usuario (no actualizar software, uso de contraseñas débiles, caer en ataques de ingeniería social).
Si nos aseguramos de llevar a cabo una configuración segura de nuestros dispositivos y estamos concienciados con nuestra seguridad y privacidad llevando a la práctica hábitos ciberseguros, nuestros datos estarán a salvo.
Imagen infografía hiperconectado pero seguro: buenas prácticas para dispositivos wearables
Pero si no, los riesgos a los que se exponen nuestros datos personales son muchos. Además, lamentablemente, no siempre depende de nosotros y las medidas de seguridad del propio dispositivo pueden no ser suficiente para proteger la información que contienen por la falta de medidas de seguridad que traen implementadas por defecto.

¿A qué riesgos nos exponemos?

Normalmente, los wearables se conectan a los servidores o la plataforma del fabricante mediante una aplicación móvil, mientras que la conexión entre móvil y dispositivo suele ser inalámbrica y, en la mayoría de las veces, por Bluetooth.
Esto, sumado a los datos que manejan, supone que nos expongamos a una serie de riesgos, como son:
  1. imagen decorativa móvil y ciberdelincuenteSeguridad de los servidores del fabricante. Si la compañía no dispone de unos servidores seguros, corremos el riesgo de que los datos que nuestros dispositivos almacenan se filtren y se acabe vulnerando nuestra privacidad antes o después. Si bien no depende de nosotros, conviene que nos aseguremos del tipo de tratamiento y almacenamiento que se va a hacer de nuestra información.
  2. Políticas de privacidad pobres o nulas. ¿Somos conscientes del uso que van a hacer de nuestros datos? Unas políticas de privacidad poco seguras pueden no garantizar la protección de nuestros datos u omitir el uso que se va a hacer de ellos, como compartirlos con terceros. Debemos asegurarnos de qué información se va a almacenar, dónde y cómo, así como con quien se van a compartir y con qué fin.
  3. Permisos sospechosos. Debemos tener especial cuidado con los permisos solicitados por estos dispositivos y limitarlos a aquellos que sean imprescindibles para su funcionamiento. Si solo queremos que nuestra pulsera inteligente registre nuestros pasos y el consumo de calorías, ¿por qué íbamos a darle acceso a nuestros contactos, micrófono o a los mensajes?
  4. Espionaje. Estos dispositivos cuentan con numerosos sensores que recogen datos como nuestra ubicación GPS o estado de salud. Un dispositivo que no haya sido configurado correctamente, o cuya seguridad se haya visto comprometida, puede ser utilizado por los ciberdelincuentes para espiarnos y monitorizar nuestra actividad.
    Desde escucharnos a través de un micrófono o vernos a través de la cámara, localizarnos a través del GPS o conocer nuestro estado de salud son algunos ejemplos de la información que los atacantes pueden averiguar sobre nosotros.
  5. Información pública. En determinadas aplicaciones de estos dispositivos (especialmente en aquellas relacionadas con el deporte), se puede acceder por defecto a los datos de otro miembro y conocer su actividad, por ejemplo, si dos personas de la misma familia utilizan el mismo dispositivo. Ignorando que esto ya expone datos sensibles a otra persona, los ciberdelincuentes no tendrían muchas dificultades para preparar un ataque dirigido, recabando esta información y preparando un ataque por ingeniería social adaptado a nosotros con el que conseguir engañarnos, y hacerse con más información.
  6. Conexiones poco seguras. Estos dispositivos requieren de una conexión inalámbrica para sincronizar los datos recogidos con nuestra cuenta. Generalmente se sirven de la conexión Bluetooth de nuestros smartphones para sincronizarse y volcar todos los datos en la app. Es en este momento cuando más vulnerable es nuestra privacidad y los ciberdelincuentes podrían aprovechar esta puerta de acceso para entrar al dispositivo y robar nuestros datos.
  7. Falta de medidas de seguridad. Muchos fabricantes buscan abaratar costes y ofrecer usabilidad por encima de la seguridad. Por ello, no es extraño encontrarnos con dispositivos wearables con escasas medidas de seguridad, como contraseñas débiles por defecto con pocos caracteres, pobres opciones para configurar la privacidad de nuestros datos o nula información sobre el tratamiento que se va a hacer de nuestros datos.
    En ocasiones, incluso algunas funcionalidades como la geolocalización pueden estar siempre conectadas.
En conclusión, antes de adquirir cualquier dispositivo wearable, asegúrate de analizarlo detenidamente y contrastar las ventajas que nos aportan y los riesgos a los que nos exponemos al utilizarlos. Infórmate para poder disfrutar de todas las ventajas que esta tecnología nos ofrece. 
Si necesitas consultar cualquier tema relacionado con la ciberseguridad, recuerda que tienes a tu disposición la Línea de Ayuda en Ciberseguridad de INCIBE en el teléfono gratuito 017.
¿Tienes pensado hacerte con uno de estos dispositivos o ya tenías alguno? Comparte con el resto de los usuarios tu opinión y experiencias y mantente al día con las publicaciones de la OSI en materia de ciberseguridad para poder disfrutar de las ventajas de la tecnología.
Fuente: INCIBE