Una reciente investigación de Kaspersky Lab ha puesto de manifiesto lo sencillo que puede ser acceder a los datos de los usuarios que utilizan smartwaches y pulseras de fitness. Estos dispositivos están equipados con sensores de aceleración integrados (pulsómetro), que a menudo se combinan con sensores de rotación (giroscopios) para contar pasos e identificar la ubicación del usuario.
Los analistas llevaron a cabo un análisis para ver qué tipo de información podrían proporcionar estos sensores a terceros no autorizados y estudiar más detenidamente varios relojes inteligentes de diferentes proveedores. Desarrollaron una app de smartwatch bastante sencilla que registraba señales de los pulsómetros y giroscopios incorporados. Los datos grabados se guardaron en la memoria del dispositivo portátil o se subieron a un teléfono móvil conectado con Bluetooth.
Utilizando algoritmos matemáticos para la potencia de cálculo del dispositivo inteligente portátil fue posible identificar patrones de comportamiento, períodos de tiempo, cuándo y dónde se movían los usuarios y durante cuánto tiempo. Además, identificaron otras serie de actividades delicadas como la introducción de una frase o contraseña en el ordenador (con una precisión de hasta el 96 %), meter un código pin en el cajero automático (aproximadamente del 87 %) y desbloquear el teléfono móvil (aproximadamente un 64 %).
El conjunto de datos de la señal en sí ya es un patrón de comportamiento único para el propietario del dispositivo. Al utilizarlo un tercero podría ir más allá y tratar de identificar la identidad de un usuario, ya sea a través de una dirección de correo electrónico solicitada en la etapa de registro en la aplicación o mediante el acceso activado a las credenciales de la cuenta de Android.
Kaspersky Lab avisa que es bastante sencillo identificar la información detallada de la víctima, incluidas sus rutinas diarias y los momentos en los que se introducen datos importantes. Sergey Lurye, experto en seguridad y coautor del estudio en Kaspersky Lab, señaló que “nuestra investigación muestra que incluso los algoritmos muy sencillos que se ejecutan en el propio smartwatch son capaces de capturar el perfil único del usuario de las señales del pulsómetro y giroscopio. Estos perfiles se pueden usar para desanonimizar al usuario y realizar un seguimiento de sus actividades, incluidos los momentos en los que se introduce información confidencial. Y esto se puede hacer a través de aplicaciones legítimas de smartwatch que envían datos de señales a terceros de forma encubierta”
Los analistas de Kaspersky Lab aconsejan a los usuarios prestar atención si la aplicación envía una solicitud para recuperar información de la cuenta del usuario porque los ciberdelincuentes podrían construir fácilmente la “huella digital” de su propietario.
También hay que tener cuidado si la aplicación también solicita permiso para enviar datos de geolocalización o si se consume muy rápido la batería porque podría estar enviando registros de señal.
