Las Navidades se acercan. ¿Estás pensando regalar un smartwatch a tu hijo? Pues el Instituto de Consumo Noruego (NCC) acaba de publicar un informe (PDF) en el que advierte de los fallos en ciberseguridad de este tipo de dispositivos.
El principal objetivo de los relojes inteligentes es geolocalizar a los niños, incluso algunos modelos también permiten llamarlos o enviarles mensajes de texto. Al fin y al cabo, se trata de una opción más barata que un teléfono móvil 100% funcional y más difícil de extraviar.
De la misma manera que los fabricantes de drones fabrican sus aeronaves, algunos padres utilizan los smartwatches con GPS para limitar los movimientos de sus hijos programándolos de manera que avisen cuando éstos salen de un área geográfica determinada. Otros modelos incluyen una función que envía un mensaje de emergencia al cuidador.
Eso son buenas noticias, excepto cuando no lo son. Los investigadores del NCC examinaron cuatro modelos de smartwatch encontrando que pueden ofrecer una falsa sensación de seguridad a los padres. Algunas funciones, como el mensaje de emergencia o la limitación geográfica, no funcionaban correctamente.
Y, lo más preocupante de todo, con unos simples pasos, un extraño puede tomar el control del reloj inteligente. Dada su falta de seguridad, un atacante podría escuchar las conversaciones de los niños, comunicarse con ellos como si fuera su cuidador, usar la cámara, rastrear al niño o simular que se encuentra en otra posición.
Los investigadores también descubrieron que los relojes envían datos personales a servidores en América del Norte y del este de Asía, en algunos casos sin cifrar. Un modelo también funciona como un micrófono, permitiendo a un padre o a un extraño escuchar todo lo que ocurre sin que el reloj muestre ninguna señal de lo que está ocurriendo.
No se trata solo de problemas con la privacidad de los niños, afirma Finn Myrstad del NCC, también ponen en peligro su seguridad, por lo que mientras no se garantice esta, no deberían estar en las tiendas, ni mucho menos en las muñecas de los niños.
En un reloj, si se conoce el número de teléfono del usuario, un atacante puede tomar el control total del dispositivo. En otro modelo, los investigadores accedieron a información personal de otros usuarios, que incluía geolocalización, nombre y números de teléfono.
Uno de los modelos permitió a los investigadores vincular un dispositivo con otra cuenta completamente nueva, permitiendo ver los datos del usuario, incluyendo la localización actual e histórica del reloj y los números de contacto, todo sin informar al usuario.
Según The Telegraph, la cadena británica John Lewis ha respondido al informe del NCC retirando uno de los modelos estudiados, el Gator 2, de sus tiendas.
También estudiaron los relojes inteligentes Viksfjord y Xplora. El cuarto modelo, el Tinitell, carece de los principales problemas de seguridad, pero tampoco tenía protección para la privacidad de los datos.
La Navidad se acerca. Mucho cuidado con los juguetes conectados en Internet porque pueden ser un serio problema de seguridad, como hemos visto en este caso, y en multitud de otros en el pasado.
Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en Twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro boletín de seguridad en tu correo electrónico, suscríbete en la siguiente aplicación:
Dejar un comentario