Hace poco nos encontramos con un informe según el cual los dispositivos wearables, como los smartwatches, pueden transmitir los datos de los sensores de movimiento incorporados (por ejemplo, el acelerómetro y el giroscopio) a un servidor remoto y luego utilizar estos datos para reconocer las acciones del usuario: caminar, sentarse, escribir, etc.
¿Qué importancia tiene esto en la práctica y qué datos pueden aportar los smartwatches? Decidimos averiguarlo.
Recuperar la Contraseña de los Movimientos del Smartwatch
En primer lugar, decidimos probar un smartwatch con Android. Instalamos una sencilla aplicación diseñada para procesar y transmitir los datos del acelerómetro y luego analizamos lo que podíamos obtener de ellos.
Resultó que estos datos sí pueden utilizarse para establecer si el usuario está caminando o sentado. Además, estudiando más el tema, es posible averiguar si una persona está caminando o viajando en algún medio de transporte: los datos del acelerómetro son ligeramente diferentes. Por ejemplo, es bastante fácil distinguir entre caminar y montar en bicicleta.
Además, es fácil de entender cuando alguien escribe en un ordenador. Pero, deducir lo que se escribe es mucho más difícil, porque cada uno tiene su propia forma de escribir. Una frase escrita por diferentes personas crea gráficos de acelerómetro diferentes, y una persona que introduce una contraseña varias veces seguidas crea gráficos muy similares.
Sin embargo, una red neuronal entrenada es muy capaz de leer lo que está escrito. Y si esa red neuronal está entrenada para reconocer tu forma particular de escribir, los datos del acelerómetro del smartwatch en tu muñeca pueden utilizarse para reconocer tu contraseña en función de los movimientos de tu mano.
Pero, para que el proceso de aprendizaje sea eficaz, la red neuronal debe seguir los movimientos durante bastante tiempo. Los procesadores que albergan los aparatos móviles actuales no son lo suficientemente potentes como para ejecutar la red neuronal directamente en ellos, por lo que los datos deben enviarse a un servidor.
Y ahí es donde viene el problema para un potencial espía: transmitir constantemente las lecturas del acelerómetro consume mucho tráfico y consume la carga de la batería del smartwatch durante varias horas (o 6 en nuestro caso, para ser exactos). Ambos cambios harán sospechar rápidamente al usuario. Sin embargo, estos indicios pueden minimizarse fácilmente mediante la recogida selectiva de datos, por ejemplo, cuando la persona vigilada llega al trabajo, donde sin duda introducirá la contraseña.
En resumen, tu smartwatch puede ser utilizado para identificar lo que escribes. Pero, se trata de una tarea compleja, y la predicción precisa requiere una entrada repetida. En nuestro experimento, fuimos capaces de adivinar la contraseña de su ordenador con un 96% de precisión y el PIN de su tarjeta bancaria con un 87% de precisión.
Seguridad de los Smartwatches: Podría ser peor
Sin embargo, esta información podría ser inútil para los ciberdelincuentes. Necesitan tener acceso a un ordenador o a una tarjeta de crédito para utilizarlos. El número de la tarjeta de crédito o el código CVC es mucho más difícil de averiguar.
¿Por qué? Lo primero que introduce el usuario del smartwatch es, casi con toda seguridad, la contraseña utilizada para desbloquear el ordenador. El gráfico del acelerómetro mostrará primero el caminar y luego el teclear. Basándose en los datos obtenidos en tan poco tiempo, es posible adivinar potencialmente la contraseña.
Pero esa persona no introducirá un número de tarjeta de crédito hasta que se siente o se levante y se vaya inmediatamente después de introducir esos datos. Además, nadie introducirá esa información varias veces en un corto periodo de tiempo.
Así, para robar la información introducida con un smartwatch, el atacante necesita una actividad clara del usuario y múltiples entradas. Por cierto, por eso no es buena idea usar la misma contraseña para diferentes servicios.
¿Deben Preocuparse los Propietarios de Smartwatches?
Las investigaciones han demostrado que los datos del sensor del acelerómetro de un smartwatch pueden utilizarse para robar información sobre la persona que lleva el dispositivo: sus movimientos, hábitos, ciertas entradas (como la contraseña de un ordenador portátil).
Infectar un smartwatch con malware puede permitir a los atacantes obtener esta información de forma bastante sencilla. Todo lo que tienen que hacer es escribir una aplicación (como un reloj de moda o un rastreador de actividad física), añadirle una función de lectura del acelerómetro y luego colocarla en la tienda Google Play. En teoría, una aplicación de este tipo no sería reconocida como malware, ya que no hay nada dañino en su modus operandi.
¿Tenemos que preocuparnos de que alguien pueda estar espiándonos? Sólo si ese alguien tiene realmente una razón de ser. Los estafadores convencionales prefieren formas más fáciles de hacer las cosas.
Sin embargo, si la contraseña de tu ordenador o la información de un viaje es valiosa para alguien, un smartwatch puede ser una herramienta de seguimiento.
En ese caso, para protegerse, observa las siguientes reglas:
- Asegúrate de que el smartwatch no consume muchos datos y que la batería no se agota demasiado rápido: lo contrario es un signo de infección.
- No des demasiados permisos a las aplicaciones. Desconfía especialmente de las aplicaciones que quieren información sobre la cuenta y las coordenadas geográficas.
- Instala una aplicación para proteger su smartphone que detecte el software espía antes de que inicie su actividad.
Las Mejores Formas de Proteger los Datos de tu Smartwatch
Compra un smartwatch de un fabricante de confianza (por ejemplo, un Huawei Watch GT 2). Los fabricantes de renombre no escatiman en seguridad. Estas marcas construyen su reputación sobre la base de productos responsables, lo que no ocurre con las empresas baratas y poco conocidas.
Presta atención a los signos de un dispositivo comprometido. Si tu dispositivo se comporta de forma extraña, puede indicar que se ha incrustado un código malicioso en él. Vigila los recuentos de tráfico y los índices de agotamiento de la batería: un aumento de estos índices puede indicar la recopilación, el seguimiento y el envío de datos personales.
Limitar los permisos de las aplicaciones. Los atacantes a menudo intentan rastrear uu ubicación, pero puedes desactivar esto. Las aplicaciones de Android y Apple suelen pedirte permiso para geolocalizarte. Esta función no es necesaria en todos los casos, así que habilítala sólo en aquellas aplicaciones en las que sea necesaria para tu trabajo. Cuantos menos permisos tenga, más seguro será tu dispositivo. Siempre puedes volver a activar los permisos, pero no podrás recuperar los datos robados.
En general, es mejor limitar la cantidad de información personal que se introduce en un smartwatch hasta que haya normas que regulen la seguridad de estos dispositivos. Esta es actualmente la mejor manera de proteger tus datos cuando usas un smartwatch, aunque puede no ser adecuada para todos.
