Los relojes inteligentes con funcionalidades de comunicación y de conexión a Internet abren una nueva frontera para los ciberdelincuentes. Así lo ha revelado un estudio de seguridad llevado a cabo por HP.
La investigación reveló que el 100 por ciento de los relojes sometidos a prueba mostraron ser vulnerables en varios aspectos como en autenticación, cifrado de datos y privacidad.
A medida que crece el mercado del Internet de las Cosas, los smartwatches se vuelven cada vez más populares. Estos equipos guardan información confidencial de los usuarios, tal como datos de salud y muy pronto también serán capaces de desbloquear autos y casas. Es por ello que el objetivo del estudio era conocer si los smartwatches están diseñados para proteger los datos sensibles y las tareas para los que se construyen.
HP utilizó su software HP Fortify on Demand para evaluar 10 smartwatches, además de las respectivas nubes y componentes de aplicaciones móviles de Android y iOS, y descubrió numerosos problemas de seguridad. A continuación los describimos:
1.- Autenticación insuficiente
Todos los relojes probados fueron emparejados con una interfaz móvil que carecía de dos factores de autenticación y de la capacidad de bloquear las cuentas después de 3-5 intentos fallidos de contraseña. Resultó que tres de los diez equipos, es decir el 30 por ciento, eran vulnerables, lo que significa que un atacante podría tener acceso al dispositivo y a los datos a través de una estrategia de combinación de contraseñas débiles y falta de bloqueo de cuentas.
2.- Sistema de encriptación poco seguro
Los protocolos criptográficos son sumamente importantes debido a que la información personal de los usuarios se mueve a diferentes ubicaciones dentro de la nube. Mientras que el 100 por ciento de los equipos puestos a prueba implementaron la encriptación con SSL / TLS, el 40 por ciento de las conexiones en la nube seguirá siendo vulnerable porque usa cifrados débiles o del tipo SSL v2.
3.- Interfaces inseguras
El 30 por ciento de los smartwatches evaluados utilizan interfaces web basadas en la nube, las cuales mostraron problemas relacionados con la enumeración de cuentas. En una prueba separada se determinó que el 30 por ciento de los equipos presentaba problemas relacionados con las aplicaciones móviles. Esta vulnerabilidad le permite a los hackers identificar las cuentas de los usuarios por medio del feedback que reciben de los mecanismos de reseteo de claves.
4.- Problemas de privacidad
Todos los smartwatches almacenan algún tipo de información personal como nombre, dirección, fecha de nacimiento, peso, sexo y datos sobre salud. Debido a los problemas de enumeración de cuentas y el uso de contraseñas débiles, la exposición de esta información personal representa un problema.
Finalmente, mientras los fabricantes trabajan en incorporar las medidas de seguridad necesarias en estos dispositivos, es importante que los usuarios verifiquen la seguridad de sus smartwatches cuando decidan usarlos. Se recomienda que hasta que no se solucionen los problemas de vulnerabilidad, los consumidores no activen las funciones que den acceso a información sensible como por ejemplo el desbloqueo de puertas, tanto de sus casas como de sus vehículos.
Adicionalmente, se insta a los usuarios a que establezcan contraseñas seguras en sus dispositivos y una autenticación de doble factor para evitar que personas no autorizadas tengan acceso a su información. Estas medidas de seguridad no solo son importantes para proteger datos personales sino también para datos corporativos, en el caso de que se utilicen los smartwatches en el lugar de trabajo.
