Seguridad

Los riesgos de seguridad de los ‘wearables’

Galaxy Gear 2
Escrito por Redacción TICbeat

Los nuevos dispositivos ponibles o ‘wearables’ también tienen vulnerabilidades, afirman los expertos de seguridad de Kaspersky Lab tras analizar dos en concreto: las gafas Google Glass y el reloj Samsung Galaxy Gear 2.

Los wearables o dispositivos ponibles como las gafas y relojes inteligentes que empiezan a poblar el mercado de los gadgets permiten a sus usuarios acceder a Internet y a distintas aplicaciones de forma más cómoda respecto a los teléfonos y las tabletas. Pero, como estos últimos, estos gadgets también traen consigo nuevos riesgos de seguridad a los que tendrán que hacer frente los usuarios. Así lo indican los expertos de la empresa de seguridad Kaspersky Lab, cuyos analistas Roberto Martínez y Juan Andrés Guerrero han analizado Google Glass y Samsung Galaxy Gear 2 con el fin de detectar posibles vulnerabilidades que podrían afectar a la privacidad y la seguridad de las personas.

Respecto al primer dispositivo analizado, las Google Glass, los analistas recuerdan que existen dos formas distintas de conectarse a la Red con las populares gafas de Google: uniendo el dispositivo vía Bluetooth con el dispositivo móvil con el que comparte su conexión o directamente por wifi. La última opción es la que ofrece al usuario más libertad, ya que no requiere de otro dispositivo móvil para navegar, pero, indica Martínez, esta funcionalidad también hace que las gafas estén expuestas a ataques vectoriales de red, especialmente del tipo Man-in-the-Middle ya que la comunicación entre dos sistemas puede ser interceptada.

En sus pruebas con el dispositivo de Google, los analistas de Kaspersky Lab vincularon éste a una red de seguimiento y control de los datos que transmite. Los resultados del análisis de los datos capturados mostraron que no todo el tráfico que se intercambia entre el dispositivo y el hotspot estaba cifrado. En concreto, se pudo averiguar que el usuario estaba buscando compañías aéreas, hoteles y destinos turísticos. En otras palabras, era posible llevar a cabo una tarea de perfiles, una forma sencilla de vigilancia. “En realidad no es una vulnerabilidad muy grave, pero aun así, a través de perfiles de metadatos de intercambio de tráfico web podría convertirse en el primer paso hacia un ataque más complejo contra el usuario del dispositivo”, afirma Roberto Martínez, autor del análisis.

En cuanto al dispositivo de Samsung, el Galaxy Gear 2, éste está diseñado para emitir un ruido fuerte y advertir que hay gente cerca cuando se está haciendo una foto. Analizando el dispositivo en profundidad, según Guerrero, el software del Galaxy Gear 2 mostraba que tras el rooting y utilizando ODIN, herramienta de software de Samsung, era posible habilitar Galaxy Gear 2 para hacer fotos con la cámara integrada pero en silencio. Esto, indican los analistas, abre la puerta a posibles escenarios en los que el Galaxy Gear 2 podría violar la privacidad de otras personas.

Aunque silenciar la cámara no es la única manera de convertir el reloj inteligente en una herramienta de espionaje. Algunas aplicaciones de Galaxy Gear 2 se cargan en el dispositivo con la ayuda de Gear Manager, una aplicación especial de Samsung diseñada para transmitir una app desde el smartphone al smartwatch. Cuando la aplicación se instala en el sistema operativo del reloj no se muestra ninguna notificación en la pantalla del reloj. Obviamente, esto hace que los ataques dirigidos que implican la instalación de aplicaciones en silencio sea posible.

Juan Andrés Guerrero afirma que, aunque en este momento la empresa no tiene evidencias de que los wearables estén en el punto de mira de los creadores de amenazas APT “es probable que en el futuro se conviertan en objetivo si llegan a ser son adoptadas ampliamente por los consumidores. En el futuro los datos recogidos por estos dispositivos atraerán nuevos jugadores a la escena el ciberespionaje”.

 

Sobre el autor de este artículo

Redacción TICbeat

Actualidad y análisis en tecnología, tendencias, aplicaciones web, seguridad, educación, social media y las TIC en la empresa.