Las pulseras de fitness, fuente de información para los ciberdelincuentes
Existe una amplia variedad de este tipo de wearables y varias aplicaciones relacionadas que permiten sincronizarlos con el teléfono móvil, pero, ¿son seguros estos dispositivos?, ¿es el propietario el único que tiene acceso a la información que recogen estas pulseras?, ¿pueden hackearse? Todas estas preguntas se las hicieron los analistas de Kaspersky Lab quienes, mediante un sencillo método, quisieron ponerlas a prueba.
La mayoría de ellas usa la tecnología Bluetooth LE para conectarse con el smartphone, lo que supone que el modo de conexión es diferente al que emplea este sistema habitualmente y no dispone de contraseñas para configurarlo ya que la mayoría de estas pulseras de actividad no cuentan con pantalla ni teclado. Además, este tipo de brazaletes usa el sistema GATT (Generic Attribute Profile), que significa que estos dispositivos tienen un conjunto de servicios cada uno con unas características específicas.
Gracias a la prueba realizada, se descubrió que con un simple código Android SDK se pudo acceder a la mayoría de pulseras de fitness que hay en el mercado. En algunos casos, no consiguieron obtener los datos de las características específicas de cada servicio. Sin embargo, haciendo la prueba con dispositivos de otras marcas, sí que pudieron leer estos descriptores que, según los analistas de Kaspersky, es probable que se correspondan con los datos de los usuarios.
Tras lograr conectarse con estos dispositivos, el siguiente paso fue crear una aplicación para buscar brazaletes de actividad de forma automática. Los resultados no se hicieron esperar. En poco más de seis horas se había conectado a 54 dispositivos distintos. En concreto, durante el experimento, el analista de Kaspersky consiguió conectarse, sobre todo, a dispositivos de las marcas Jawbone y FitBit pero también de Nike, Microsoft, Polar y Quans.
Todo ello pese a dos supuestas limitaciones que tienen estos brazaletes: su radio de acción que, supuestamente es de 50 metros aunque suele ser mucho menor, y el que un aparato no puede conectarse con más de un teléfono a la vez.
La realidad es que un ciberdelincuente tiene grandes posibilidades de conectarse a uno de estos dispositivos bien porque la pulsera no esté sincronizada a ningún smartphone previamente o bien porque el hacker bloquee esa conexión y la sustituya por otra con su terminal. Por fortuna, lograr sincronizar un móvil con una pulsera no significa que se puedan acceder directamente a los datos de los usuarios. Normalmente, es necesaria una autentificación desde el propio brazalete para recibir notificaciones.
No obstante, no es difícil lograr esta autentificación. Habitualmente basta con que el usuario presione un botón de la pulsera cuando ésta vibre, algo que se puede conseguir reiniciando la notificación hasta que lo pulse. Una vez superado este paso, acceder a los datos del dispositivo es sencillo. Y, pese a que en la actualidad estos brazaletes de fitness no contienen demasiada información y la que tienen suelen mandarla a la nube cada hora aproximadamente, el riesgo es evidente y ejecutar acciones en los dispositivos hackeados resulta muy sencillo.
Tras el experimento, las conclusiones a las que han llegado los analistas de Kaspersky Lab es que resulta relativamente sencillo piratear una de estas pulseras y, pese a que por el momento no revelan información demasiado útil para los ciberdelincuentes, en un futuro, con dispositivos más sofisticados, es posible que usen estos datos en su provecho.
