• Analistas de Kaspersky Lab han llevado a cabo pruebas para comprobar si los brazaletes de actividad se podían hackear y sus primeras conclusiones son que resulta relativamente sencillo acceder a una de estas pulseras y conseguir pasar la autenticación para acceder a los datos.

Con la llegada del buen tiempo, muchos se lanzan a hacer ejercicio y quieren planificar su rutina al tiempo que conocer datos como las calorías consumidas, la distancia recorrida o las pulsaciones en cada momento… Por ello, los dispositivos vestibles como pulseras cuantificadoras para salud y deporte se han convertido en el aliado ideal de muchos aficionados que las usan en sus entrenamientos y las conectan a sus smartphones para comprobar sus progresos y las usan también para recibir notificaciones del smartphone o controlar el sueño.

¿Son seguras las pulseras para salud y deporte? No mucho

En el mercado hay una amplia variedad de este tipo de dispositivos y aplicaciones que permiten sincronizarlos con el móvil, pero, ¿son seguros estos dispositivos?, ¿es el propietario el único que tiene acceso a la información que recogen estas pulseras?, ¿pueden hackearse? Todas estas preguntas se las hicieron los analistas de Kaspersky Lab quienes, mediante un sencillo método, quisieron ponerlas a prueba.

La mayoría de ellas usa la tecnología Bluetooth LE para conectarse con el smartphone, lo que supone que el modo de conexión es diferente al que emplea este sistema habitualmente y no dispone de contraseñas para configurarlo ya que muchas de estas pulseras de actividad no cuentan con pantalla ni, por supuesto,  teclado. Además, este tipo de brazaletes usa el sistema GATT (Generic Attribute Profile), que significa que estos dispositivos tienen un conjunto de servicios cada uno con unas características específicas.

Gracias a la prueba realizada, se descubrió que con un simple código Android SDK se pudo acceder a la mayoría de pulseras de fitness que hay en el mercado. En algunos casos, no se consiguieron obtener los datos de las características específicas de cada servicio. Sin embargo, haciendo la prueba con dispositivos de otras marcas, sí que pudieron leer estos descriptores que, según los analistas de Kaspersky, es probable que se correspondan con los datos de los usuarios.

FitnessBands

Tras lograr conectarse con estos dispositivos, el siguiente paso fue crear una aplicación para buscar brazaletes de actividad de forma automática. Los resultados no se hicieron esperar. En poco más de seis horas se había conectado a 54 dispositivos distintos. En concreto, durante el experimento, el analista de Kaspersky consiguió conectarse, sobre todo, a dispositivos de las marcas Jawbone y FitBit pero también de Nike, Microsoft, Polar y Quans. Todo ello pese a dos supuestas limitaciones que tienen estos brazaletes: su radio de acción que, supuestamente es de 50 metros aunque suele ser mucho menor, y el que un aparato no puede conectarse con más de un teléfono a la vez.

La realidad es que un ciberdelincuente tiene grandes posibilidades de conectarse a uno de estos dispositivos bien porque la pulsera no esté sincronizada a ningún smartphone previamente o bien porque el hacker bloquee esa conexión y la sustituya por otra con su terminal. Por fortuna, lograr sincronizar un móvil con una pulsera no significa que se puedan acceder directamente a los datos de los usuarios. Normalmente, es necesaria una autentificación desde el propio brazalete para recibir notificaciones.

No obstante, no es difícil lograr esta autentificación. Habitualmente basta con que el usuario presione un botón de la pulsera cuando ésta vibre, algo que se puede conseguir reiniciando la notificación hasta que lo pulse. Una vez superado este paso, acceder a los datos del dispositivo es sencillo. Y, pese a que en la actualidad estos brazaletes de fitness no contienen demasiada información y la que tienen suelen mandarla a la nube cada hora aproximadamente, el riesgo es evidente y ejecutar acciones en los dispositivos hackeados resulta muy sencillo.

Tras el experimento, las conclusiones a las que han llegado los analistas de Kaspersky Lab es que resulta relativamente sencillo piratear una de estas pulseras y, pese a que por el momento no revelan información demasiado útil para los ciberdelincuentes, en un futuro, con dispositivos más sofisticados, es posible que usen estos datos en su provecho. Y es que algunos de los últimos modelos de pulseras de fabricantes como Fitbit anuncian conexión NFC y la posibilidad de realizar pagos con ellas, lo que significa que una pulsera de este tipo ya empieza a almacenar datos muy sensibles.

About Author

Periodista especializado con más de 18 años de experiencia en tecnología. He sido director de publicaciones como Macworld (dedicada al mundo Apple) o TechStyle (dedicada a electrónica de consumo) y después he trabajado con TICbeat.com como responsable de desarrollo de producto. Actualmente trabajo como Chief Content Officer en GlobbTV.

Deja un comentario