Cualquier dispositivo conectado a internet es susceptible de recoger datos sobre su usuario. Y esto incluye a los smartwatches. Estos relojes nos avisan de cuándo nos llega un correo electrónico o un mensaje de WhatsApp o si estamos recibiendo una llamada, entre otras notificaciones. Y aquellos con prestaciones deportivas son capaces de elaborar informes diarios de nuestra actividad física.
Para ejecutar sus funciones principales, la mayoría de estos dispositivos están equipados con diferentes sensores. Los del pulsómetro miden la aceleración, y los del giroscopio la rotación. Al combinar ambos es posible contar los pasos e identificar la ubicación del usuario. Un patrón de datos único que permite identificar al usuario.
Para ello, no solo tienen que tener conexión a internet, en algunos casos también hay que vincularlos a los servicios que utilizamos, y que queremos que estos relojes monitoricen. Al darles permiso, les damos acceso a parte de nuestros datos.
Los smartwatches no son solo gadgets
Esto, en principio, no tiene por qué tener consecuencias negativas. Pero sí hay que ser consciente del tipo de información que exponemos. Los datos personales son un valor en alza entre los ciberdelincuentes. Y estos cada vez desarrollan técnicas más sofisticadas para hacerse con ellos. Y entre sus objetivos también incluyen a smartwatches y pulseras deportivas.
La razón es que a través de estos dispositivos es posible acceder a acciones que pueden poner en peligro nuestra privacidad. Una de ellas es la introducción de una frase o contraseña en el ordenador, con una precisión de hasta el 96%, según Kaspersky Lab. Un estudio realizado por esta empresa de ciberseguridad también desvela que, a través de estos relojes, los delincuentes pueden obtener un código pin del cajero automático (con un porcentaje de aciertos del 87%) y desbloquear el teléfono móvil (64%).
“Los wearables no son solo gadgets en miniatura. Son sistemas que pueden registrar, almacenar y procesar parámetros físicos”, explica Sergey Lurye, experto en seguridad y coautor del estudio. “Nuestra investigación muestra que incluso los algoritmos más sencillos que se ejecutan en el propio smartwatch son capaces de capturar el perfil único del usuario”.
Estos perfiles se pueden usar para sacar del anonimato al usuario y realizar un seguimiento de sus actividades. Esto incluye los momentos en los que se introduce información confidencial. “Se puede hacer a través de aplicaciones legítimas de smartwatch. Estas se encargan de enviar datos de señales a terceros de forma encubierta”, afirma Lurye.
Patrones de comportamiento únicos
Para averiguar esto, los analistas de Kaspersky Lab han desarrollado una aplicación para smartwatches. Esta se encargaba de registrar las señales de los pulsómetros y giroscopios. Los datos grabados se guardaban en la memoria del propio dispositivo o en la de un teléfono móvil a través de una conexión Bluetooth.
Utilizando algoritmos matemáticos, fue posible identificar patrones de comportamiento, cuándo y dónde se movían los usuarios y durante cuánto tiempo. Desde esta compañía rusa explican que “el conjunto de datos de la señal en sí ya es un patrón de comportamiento único”.
“Al utilizarlo –describen–, un tercero podría ir más allá y tratar de identificar al usuario. Ya sea a través de una dirección de correo electrónico, solicitada en la etapa de registro en la aplicación. O mediante el acceso activado a las credenciales de la cuenta de Android”.
Con estos datos, solo es cuestión de tiempo que el ciberdelincuente conozca detalles de la vida de su víctima, como sus rutinas diarias o cuáles son los momentos en los que introduce datos relevantes. Es decir, cuándo entra a consultar sus movimientos bancarios o accede a su correo electrónico. Lo que hagan con ello ya solo depende de sus intenciones.
Ante cualquier sospecha, mejor ignorar
Por ejemplo, si una aplicación nos envía una solicitud para recuperar la información de nuestro cuenta del usuario, hay que estar alerta. Si respondemos al requerimiento, es probable que estemos dando nuestros datos a terceros. Y estos pueden hacer un uso fraudulento de ellos.
Otra posible situación con la que podemos encontrarnos es que nos pidan permiso para enviar datos de geolocalización. Entonces es cuando hay que preocuparse. A una aplicación de actividad física no se le deben otorgar permisos adicionales. Ni utilizar una dirección de correo electrónico corporativa como inicio de sesión.
El consumo rápido de la batería del dispositivo también puede ser un motivo grave de preocupación. Si nuestro dispositivo se agota en unas pocas horas, deberíamos verificar lo que está haciendo realmente. Podría estar escribiendo registros de señal o, lo que es peor, enviándolos a otro lugar. Para comprobar cuál es su duración idónea, se puede consultar la ficha de técnica del modelo en tiendas online como la de Orange.
Lejos de crear alarma, lo importante es ser conscientes de que cualquier dispositivo con conexión a internet es susceptible de ponerse en el punto de mira de un cibercriminal. El sentido común y estar atentos a los servicios a los que damos conformidad puede ahorrarnos más de un disgusto.
En Nobbot | El reloj Casio se ríe de los smartwatches: más de moda que nunca