Cuidado con el smartwatch que compras: estás pidiendo a gritos que te hackeen
Estos días está teniendo lugar la Black Hat Asia, una conferencia donde se ponen de manifiesto, entre otras cosas, los principales problemas de seguridad que tienen los dispositivos que usamos a diario. Entre ellos encontramos los smartwatches, cuya seguridad no se analiza tanto como debería.
Cifrado, conectividad y la nube: los tres principales problemas de los relojes inteligentes
Así lo han afirmado Kavya Racharla, investigador de Intel, y Sumant Naropanth, fundador de Deep Armor. El principal problema de estos dispositivos es que su tiempo de desarrollo es muy corto, situándose en torno a los seis meses desde que se concibe hasta que empieza a venderse. En ese tiempo no se pueden analizar todos los posibles problemas de seguridad. Y es que los relojes inteligentes son básicamente mini ordenadores, o pequeños móviles. Tienen un sistema operativo, un almacenamiento, y una conectividad que puede aprovecharse para obtener datos personales.
Los investigadores afirmaron que se han encontrado relojes que almacenan en texto plano muchos datos, como los mensajes que el dispositivo lee en voz alta o el nombre del dueño. Otro factor que es posible que no se analice con cuidado es que el reloj va casi siempre conectado al móvil mediante Bluetooth. En esta conexión se envían todo tipo de datos, como mensajes, llamadas o información biométrica. El problema es que es necesario confiar en que el desarrollador ha aplicado correctamente el cifrado en ese enlace entre nuestro móvil y el smartwatch. El último punto de entrada en el que un smartwatch puede ser vulnerable es en la nube. Muchos relojes comparten datos con servicios almacenados en la nube para poder verlos posteriormente en nuestro ordenador y analizarlos. Sin embargo, es frecuente que los servidores en la nube no estén convenientemente asegurados, y una mala configuración en un AWS S3 de Amazon puede hacer que se filtren, pudiendo identificar a una persona, su dispositivo, y consecuentemente sus datos.
Las actualizaciones: más necesarias que nunca en un smartwatch
Una práctica bastante común en la industria (sobre todo en los relojes chinos) es que una empresa fabrique un modelo de smartwatch y que posteriormente otras compañías se limiten a ponerle su nombre encima. Sin embargo, los datos de los usuarios de los relojes se almacenan en una misma base de datos. Como recomendaciones, tanto Racharla como Naropanth creen que es conveniente que se extiendan los ciclos de desarrollo de este tipo de productos, y que haya un plan de contención en el caso de que se encuentre un wearable que tiene graves problemas de seguridad. Este tipo de problemas de seguridad no son exclusivos de los smartwatches, sino que también afecta a otro tipo de dispositivos que podemos tener en casa, como cámaras de seguridad. Tanto las cámaras como los smartwatches no suelen recibir actualizaciones de seguridad, y esto hace que sea muy fácil crear una botnet con dispositivos vulnerables. Al final, todos los dispositivos son vulnerables, por lo que es importantísimo que éstos reciban las actualizaciones lo antes posible.