Los brazaletes de actividad comienzan a hacer desfile en caminerías, parques y sitios de ejercicio al aire libre, pues con la llegada del buen tiempo, el ambiente es favorable para aquellos que desean rebajar los kilitos de más antes que llegue el verano. Aunque estos dispositivos tienen muchas y prácticas funciones para monitorear la actividad deportiva y a la vez mantenerse conectado, lo cierto es que pueden representar un factor de riesgo para los usuarios, así lo han advertido los expertos de Kaspersky Lab.
Según las fuentes del grupo moscovita, las pulseras fitness puede ser fácilmente hackeadas por ciberdelincuentes y llegaron a esta conclusión luego de una serie de pruebas realizadas a estos wearables. Hay que recordar que los brazaletes comúnmente están vinculados a un smartphone y recogen la información emanada por éste como mensajes de texto, notificaciones de llamadas, entre otros datos. El sistema que utilizan para conectarse con el teléfono inteligente es Bluetooh LE y no dispone de contraseñas para configurarlo. También emplean el sistema GATT (Generic Attribute Profile), lo que quiere decir que las pulseras ofrecen un conjunto de servicios, cada uno con unas características específicas.
El estudio realizado reveló que utilizando un simple código Android SDK se podía acceder a la mayoría de los brazaletes de actividad que existen en el mercado y fue posible leer descriptores que, según los analistas de Kaspersky Lab, es fáctible que se correspondan con los datos de los usuarios.
Una vez lograda la conexión con la mayoría de los gadgets, fue creada una aplicación para buscarlos de forma automática.
“En poco más de seis horas se había conectado a 54 dispositivos distintos. En concreto, durante el experimento, el analista de Kaspersky consiguió conectarse, sobre todo, a dispositivos de las marcas Jawbone y FitBit pero también de Nike, Microsoft, Polar y Quans. Todo ello pese a dos supuestas limitaciones que tienen estos brazaletes: su radio de acción que, supuestamente es de 50 metros aunque suele ser mucho menor, y el que un aparato no puede conectarse con más de un teléfono a la vez”.
Los portavoces han advertido que los ladrones del ciberespacio podrían conectarse sin problemas a estos dispositivos aunque la pulsera no esté sincronizada a ningún smartphone previamente o bloqueando esa conexión y sustituyéndola por otra con su terminal. “Por fortuna, lograr sincronizar un móvil con una pulsera no significa que se puedan acceder directamente a los datos de los usuarios. Normalmente, es necesaria una autentificación desde el propio brazalete para recibir notificaciones”, han comentado los investigadores rusos.
Aún así creen que no es difícil conseguir una autentificación que les dé luz verde para entrar pues solo sería necesario que los portadores de las pulseras fitness pulsaran un botón cuando esta vibre “algo que se puede conseguir reiniciando la notificación hasta que lo pulsen. Una vez superado este paso, acceder a los datos del dispositivo es sencillo. Y, pese a que en la actualidad estos brazaletes de fitness no contienen demasiada información y la que tienen suelen mandarla a la nube cada hora aproximadamente, el riesgo es evidente y ejecutar acciones en los dispositivos hackeados resulta muy sencillo”, han destacado las fuentes por lo que los fabricantes deberán poner atención para proteger a sus consumidores de posibles ataques.