Precaución ante los riesgos de wearables y dispositivos inteligentes

Los wearables (smartwatches, smartbands, localizadores…) y los dispositivos del internet de las cosas (cámaras, luces, robots aspiradores, altavoces, termostatos, etc.) son productos muy útiles, que nos hacen la vida más fácil y que suelen gustar tanto a los amantes de la tecnología como al resto de los consumidores. Además, son productos con precios accesibles, al alcance de todos.

Por eso, es fácil predecir que serán uno de los regalos más buscados en estas fechas. Sin embargo, hay que tener en cuenta que su uso puede entrañar algunos riesgos si son utilizados con fines subrepticios o si se explotan sus vulnerabilidades.

Por ejemplo, Kaspersky advierte que varias mujeres han interpuesto denuncias contra Apple por su dispositivo de localización AirTag, alegando que puede ser utilizado por acosadores con el fin de tenerlas localizadas.

La firma de ciberseguridad señala que esta práctica no es nueva, puesto que se sabe que varios rastreadores de mascotas podían usarse para acechar a personas, introduciéndolos en el bolso o en el coche de la víctima. El problema es que los AirTags son mucho más populares que aquellos otros dispositivos, ya que pueden utilizarse con millones de iPhone en todo el mundo.

Aunque Kaspersky recuerda que hay formas de evitar esta localización. Por ejemplo, un iPhone puede notificar el intento de rastreo no deseado de un AirTag. Y los usuarios de Android disponen de aplicaciones como Apple Tracker Detect, que permiten protegerse para no ser localizados con este tipo wearables.

También generó mucho revuelo cuando Strava Labs publicó hace algunos años los mapas de calor que daban a conocer las rutas más comunes de sus usuarios. Estos mapas desvelaban las ubicaciones de varias bases secretas estadounidenses en Irak o Afganistán. Los militares solían correr por su perímetro, alimentando a Strava con los datos de sus wearables y dibujando así el contorno de estos asentamientos.

Además, hay otras formas de explotar maliciosamente las posibilidades de diversos dispositivos inteligentes, no sólo wearables. Kaspersky indica que distintos gadgets del internet de las cosas, como cámaras, luces o robots aspiradores, pueden ser la puerta de entrada para que los ciberdelincuentes accedan a redes domésticas o que incluso se conviertan en herramientas para espiar y rastrear lo que hace la víctima.

Los expertos de la compañía han detectado diversos vectores de ataque, como la vigilancia o espionaje en remoto o la suplantación de fotogramas de vídeo, sustituyendo las imágenes de la cámara por otras diferentes para que los asaltantes de una vivienda puedan pasar desapercibidos.

En este mismo sentido, Bitdefender informó hace algunos meses acerca de diversas vulnerabilidades encontradas en las cámaras de la marca Ezviz, las cuales permitían que un atacante pudiera controlarlas de forma remota, descargar imágenes y descifrarlas u omitir la autenticación para ejecutar código de forma remota.

Con el fin de protegerse ante este tipo de amenazas, Kaspersky aporta una serie de recomendaciones. En primer lugar, afirma que comprar electrodomésticos de segunda mano no es una práctica segura. Explica que su firmware podría haber sido modificado por sus anteriores propietarios para conferir al atacante la posibilidad de tomar control remoto sobre un hogar inteligente.

Además, aconseja leer los análisis de seguridad de los dispositivos que se van a adquirir. La compañía señala que los fabricantes suelen reaccionar ante las vulnerabilidades descubiertas, por lo que es una buena señal comprobar si resuelven rápido estos problemas.

También anota que es recomendable descargar únicamente aplicaciones de tiendas oficiales como App Store, Google Play o Amazon Appstore. Aunque reconoce que las apps de estos sitios no son 100% seguras, hace hincapié en que son revisadas por los propietarios de las tiendas y existen sistemas de filtrado.

Por último, aconseja utilizar alguna solución de seguridad fiable, capaz de detectar stalkerware y avisar a los usuarios de cualquier actividad sospechosa iniciada por las aplicaciones, como intentos de acceso a la ubicación, los mensajes o las redes sociales.