Una notificación a su correo electrónico alterno alertó a David Mena que algo andaba mal con su e-mail personal. La empresa proveedora del servició le notificó que se había cambiado su contraseña con “éxito”, pero él no había realizado tal acción.

Inmediatamente intentó ingresar a su correo y no pudo. Su desesperación era mayor, ya que por “seguridad” él tenía creado en el apartado de borradores un e-mail con todas las contraseñas de las diferentes aplicaciones que utiliza, incluyendo las de su banco.

David bloqueó el ingreso a la cuenta de correo y empezó a cambiar las claves de las diferentes apps y notificar al banco que no validen ninguna transacción sin previa autorización de él.

Publicidad

Ya con cabeza fría y sin ningún perjuicio económico -porque logró actuar a tiempo- empezó a analizar cómo los ciberdelincuentes obtuvieron su clave. Acudió a un amigo, experto en seguridad informática, para que revisara su laptop, teléfono móvil y su reloj inteligente.

Yo pensaba que en la laptop o en el celular se habían metido, pero mi amigo me dijo que en mi smartwatch yo había descargado una aplicación espía. Era una app para monitorear mi actividad física”, indica Mena.

Los relojes inteligentes son dispositivos que están conectados a servidores y tienen funcionalidades como bluetooth, conexión wifi y GPS. Si no cuentan con una protección adecuada, podrían ser una vía fácil para que los cibercriminales ingresen al dispositivo y accedan a la información sobre quién lo utiliza, desde su nombre y ubicación, números de teléfono, conversaciones y contraseñas. Incluso contactar al usuario para extorsionarlo.

Publicidad

En Ecuador, este tipo de relojes han tenido gran acogida, ya sea para realizar deporte, contestar llamadas, leer correos o mensajes. De hecho, varios bancos han anunciado que sus usuarios podrán realizar pagos a través de estos dispositivos.

Según un estudio realizado por la firma Strategy Analitycs, en 2019 se vendieron 14,2 millones de relojes inteligentes en todo el mundo y para 2025, sin analizar las consecuencias de la pandemia, las ventas de estos dispositivos serían de $ 31.000 millones.

Publicidad

Relojes inteligentes, ¿eficaces sucesores de teléfonos celulares?

Debido a la importancia que han tomado en aspectos básicos de la vida de las personas también se han vuelto un blanco de los delincuentes cibernéticos.

Para un estudio de la empresa de seguridad informática Kaspersky se realizó un experimento que mostró las debilidades de los smartwatches. Instalaron una aplicación simple para procesar y transmitir datos del acelerómetro en varios de estos relojes y analizaron qué podían extraer de información.

Los datos del acelerómetro sirven para descubrir si el propietario está caminando, sentado, montando en bicicleta o tomando un bus. Sin embargo, también es muy fácil comprobar si una persona está tecleando en un ordenador, aunque descubrir qué es lo que se está escribiendo es más complejo.

“La misma frase tecleada por distintas personas puede producir señales diferentes en el acelerómetro, aunque si alguien introduce una contraseña varias veces seguidas puede producir gráficos muy similares. Por ello, una red neutral formada para reconocer cómo un individuo particular introduce un texto podría descubrir qué teclea esa persona. Y si se entrena una red neutral en base a tu forma de teclear, los datos del acelerómetro del smartwatch que llevas en la muñeca podrían utilizarse para reconocer una contraseña a través de los movimientos de tu mano”, afirma el estudio.

Publicidad

En el experimento, Kaspersky pudo recuperar la contraseña de un ordenador con un 96 % de precisión y un código PIN introducido en un cajero automático de un banco con un 87 %.

El uso de estos dispositivos esta en auge en países como Ecuador. Foto: LLUIS GENE

Sin embargo, para que los ciberdelincuentes logren su cometido deben monitorear al usuario durante un tiempo y los procesadores de estos dispositivos no tienen la potencia suficiente para soportar la constante carga de lecturas del acelerómetro, por lo que se consume una gran cantidad de datos y de batería.

Aunque pueden minimizar el problema si se recopilan datos de forma selectiva, por ejemplo, cuando la persona llega al trabajo, momento en el que suele introducir una contraseña. “Esta es otra buena razón para no utilizar la misma contraseña en diferentes dispositivos”, añade el estudio.

Mena indica que su reloj se descargaba en menos de ocho horas, pero pensaba que era “normal”, ya que era una réplica de la marca original, pero la vulnerabilidad de estos relojes crece si son copias, dice Martina López, security researcher de la empresa de seguridad informática ESET.

La experta indica que las personas tienden a menospreciar a los relojes inteligentes cuando se habla de temas de ciberseguridad, pero los criminales pueden sustraer hasta fotos y credenciales a través de estos.

“Tal como sucedió con los teléfonos móviles al principio pensamos que eran rudimentarios. Ahora observamos a los relojes inteligentes como dispositivos que no pueden hacer acciones de gran escala como reproducir un video, pero pueden realizar otras actividades. Además, obtienen permisos de manera no tan llamativa para el consumidor como, por ejemplo, la mayoría tienen activada la geolocalización para el tema de la actividad física. También ayuda a esta percepción que no haya habido, hasta el momento, ataques a gran escala hacia estos dispositivos”, afirma.

Es por eso, indica López, que el usuario antes de comprar uno de estos dispositivos debe analizar para qué lo quiere y con base en esa información adquirir uno con las funcionalidades específicas. Es decir, si solo se quiere el dispositivo para monitorear actividad física, no se necesita uno que tenga cámara, micrófono, acceso a redes sociales o correo electrónico.

En tanto, una vez adquirido el reloj es primordial tenerlo actualizado constantemente, ya que así el fabricante puede subsanar las fallas de seguridad que se han encontrado: “Los ciberdelincuentes incluso pueden abrir la cámara, el micrófono. Si el reloj está vinculado a un celular, pues tendrían acceso a las aplicaciones que el usuario instaló en el móvil, registro de llamadas, lista de contactos, etc.”, dice López. (I)