Cuando los smartwatch se convierten en una pesadilla

Los investigadores demuestran que el uso de información de los sensores de movimiento incorporados en los smartwatch permite reconocer las teclas presionadas en el teclado numérico. ¿Cómo puede esto afectar a tu seguridad?

Hoy en día, casi cada empresa cuenta con un smartwatch. Estos tienen todo tipo de funciones, desde monitorizar el latido de tu corazón a hacer llamadas de teléfono y… hasta darte la hora. Pero, ¿sabías que también pueden reconocer lo que tecleas?

Vale, esto es nuevo.

Los dispositivos wearables como las pulseras de fitness plantean ciertas preocupaciones sobre la seguridad desde sus inicios. Esto se debe principalmente a que los datos que recopilan y transfieren a la nube podrían acabar en malas manos o ser vendidos al mejor postor.

Los proveedores de las pulseras de fitness intentan por todos los medios convencer a los usuarios de la seguridad de sus datos, pero, a su vez, también venden estas pulseras inteligentes a clientes corporativos. Por ejemplo, las empresas pueden usar estos wearables para hacer un seguimiento de la salud de sus empleados, una acción que no respeta demasiado la privacidad de los datos. Sin embargo, es posible que esta no sea la peor cuestión respecto a la seguridad de las pulseras de fitness y los smartwatch.

Cuando Roman Unuchek de Kaspersky Lab descubrió la facilidad con la que se puede conectar un smartphone a casi cualquier pulsera de fitness, que ya está conectada a otro dispositivo, concluyó su investigación con un apunte bastante positivo:

“Al hackear una pulsera, un pirata informático no puede acceder a todos los datos del usuario, ya que no se almacenan en la propia pulsera o en el teléfono, la aplicación oficial transfiere periodicamente la información de la pulsera a la nube”.

Sin embargo, Tony Beltramelli, un estudiante de informática de la Universidad de Copenhague, demostró más tarde que un hacker no necesita esta información para dañar el wearable de un usuario. En el proyecto de tesis de su máster, demostró que, tras conseguir acceder al smartwatch, se pueden monitorizar los gestos del usuario y utilizar ingeniería inversa para obtener los símbolos que este escribe en el teclado numérico.

El investigador se basa en el hecho de que cada usuario tiene un estilo propio y único de escribir. Los investigadores plantean la posibilidad de utilizar este hecho para mejorar la seguridad: a la hora de acceder a un servicio, se podría utilizar, además de una contraseña, el patrón de pulsaciones de teclado del usuario del dispositivo.

En su experimento Beltramelli usó un SmartWatch 2 Sony para Android, un teclado numérico de mano, y un fragmento de código con algunas funciones de inteligencia artificial. Su software reconocía su propio patrón de pulsaciones de teclado, por lo que, usando los datos de los sensores de movimiento integrados en el smartwatch, fue capaz de convertir estos datos en los dígitos tecleados, con un 60 % de precisión.

Vale, entonces es posible saber qué tecleamos en un teclado numérico hackeando un smartwatch. ¿Y ahora qué?

Técnicamente… Podrían pasar muchas cosas malas.

Podría tratarse del teclado numérico de un cajero automático o del lector de tarjetas de una tienda, y el hacker sabría el código PIN de tu tarjeta de crédito. O el teclado numérico podría ser el de la pantalla de bloqueo de tu móvil, y una vez que el criminal tenga acceso a tu teléfono, puede obtener fácilmente toda tu información, incluyendo tus contactos, mensajes, los datos de tu cuenta bancaria, etc., ya que ya tiene tu código PIN.

Por otra parte, si alguien puede hacer que el software reconozca los dígitos en el teclado numérico, también podrá mejorar este método y llegar a distinguir las letras en un teclado de ordenador. Si eso ocurre, el hacker podría monitorizar todo lo que escribes, por lo que toda tu correspondencia estaría en riesgo. Bueno, ya que solo usamos un smartwatch, se monitorizará solamente una de nuestras manos, pero, con entender la mitad de las letras que escribimos, podría ser suficiente para comprender lo que hemos escrito.

Aún no tenemos pruebas de que existan este tipo de amenazas, pero estamos seguros de que no te gustaría encontrarte con una de ellas si aparecen (o cuando lo hagan). En este caso solo hay una manera de protegerse. Asegúrate de que no haya ningún malware instalado en tu smartwatch.

Puedes hacer dos cosas para incrementar la seguridad de tus wearables:

  1. Descarga tus aplicaciones solamente desde tiendas de apps oficiales como Apple App Store, Google Play o Amazon Appstore. Las aplicaciones de estas tiendas no solo están protegidas, sino que también pasan una serie de pruebas y un sistema de filtrado, no todas las apps consiguen introducirse en el mercado.

  1. Utiliza una buena solución de seguridad. Si instalas la versión Premium de Kaspersky Internet Security para Android, todas las apps que lleguen a tu smartwatch se analizarán automáticamente, ya que primero tienes que descargarlas en tu móvil.
Consejos