Experimento: ¿Es difícil espiar al propietario de un smartwatch?

Amenazas Privacidad Proyectos Especiales

¿Se puede utilizar un smartwatch para espiar a su propietario? Por su puesto, de hecho, ya conocemos muchos métodos; el último consiste en una aplicación espía instalada en un smartphone que puede enviar datos de los sensores de movimiento (como el acelerómetro o el giroscopio) a un servidor remoto y esta información se puede usar para reconstruir las acciones de su dueño: caminar, sentarse, teclear y demás.

¿Hasta dónde se extiende la práctica de esta amenaza y cuánta información puede extraer? Hemos decidido investigarlo.

Experimento: ¿Pueden los movimientos del smartwatch revelar una contraseña?

Comenzamos con un smartwatch de Android, instalamos una aplicación simple para procesar y transmitir datos del acelerómetro y analizamos qué podíamos extraer de esta información. Si quieres ver el informe completo, visita esta página.

Estos datos sirven para descubrir si el propietario está andando o sentado, pero, se puede indagar un poco más, ya que los patrones del acelerómetro difieren ligeramente: ¿está dando un paseo o haciendo trasbordo en el metro? Así es cómo los monitores de actividad diferencian entre ir andando o en bicicleta, por ejemplo.

También es muy fácil comprobar si una persona está tecleando en una computadora, eso sí, descubrir que es lo que están escribiendo es mucho más complicado. Hay muchas formas de teclear, como el método de los diez dedos o el aporreo del teclado con uno o dos dedos o algo intermedio. En resumen, la misma frase tecleada por distintas personas puede producir señales diferentes en el acelerómetro, aunque ,si alguien introduce una contraseña varias veces seguidas, puede producir gráficos muy similares.

Por ello, una red neutral formada para reconocer cómo un individuo particular introduce un texto podría descubrir qué teclea esa persona. Y si se entrena una red neutral en base a tu forma de teclear, los datos del acelerómetro del smartwatch que llevas en la muñeca podrían utilizarse para reconocer una contraseña a través de los movimientos de tu mano.

Sin embargo, el proceso de formación necesitará que la red neutral te monitorice durante un tiempo. Los procesadores de los dispositivos portátiles modernos no tienen la potencia suficiente para ejecutar una red neutral directamente, por lo que los datos se envían a un servidor.

Y ahí reside el problema de un aspirante a espía: la constante carga de lecturas del acelerómetro consume una buena cantidad de tráfico de datos y acaba con la batería del smartwatch en cuestión de horas (6 en nuestro caso). Estos signos reveladores se descubren fácilmente y alertan al propietario de que algo va mal. Sin embargo, se pueden minimizar sin problema si se recopilan datos de forma selectiva, por ejemplo, cuando el objetivo llega al trabajo, momento en el que suele introducir la contraseña.

En resumen, tu smartwatch puede usarse para identificar qué estás tecleando, pero es complicado y para una recopilación precisa se debe ingresar el texto repetidas veces. En nuestro experimento, pudimos recuperar una contraseña de computadora con un 96 % de precisión y un código PIN introducido en un cajero con un 87 %.

Podría ser peor

Sin embargo, para los ciberdelincuentes esta información no es tan útil, ya que, para poder usarla necesitan accesos a la computadora o a la tarjeta de crédito y la tarea para determinar el número de una tarjeta o el código CVC es algo más complicada.

¿Y por qué? Seguramente, cuando regresa a su puesto de trabajo, lo primero que teclea el dueño del smartwatch es una contraseña para desbloquear su computadora. Eso es, el acelerómetro primero detecta el movimiento de andar y, luego, el de teclear. Los datos obtenidos durante ese breve periodo posibilitan la recuperación de la contraseña.

Pero es muy poco probable que alguien teclee el número de su tarjeta bancaria nada más sentarse frente a la computadora o que se levante y se vaya justo después de introducir esa información. Además, nadie va a introducir esos datos varias veces en un corto periodo de tiempo.

Para robar información de la entrada de datos de un smartwatch, los atacantes necesitan una actividad predecible seguida de datos ingresados varias veces. Por cierto, esta es otra buena razón para no utilizar la misma contraseña en diferentes dispositivos.

¿Quién debería preocuparse por los espías en los smartwatch?

Nuestra investigación ha demostrado que los datos obtenidos del sensor de aceleración de un smartwatch se pueden emplear para recuperar información sobre el propietario: movimientos, hábitos, información tecleada (por ejemplo, la contraseña de una portátil).

Infectar un smartwatch con un malware que extraiga información es muy sencillo. Solo tienen que crear una aplicación (por ejemplo, una esfera a la moda o un monitor de actividad) añadir una función para leer información del acelerómetro y subirla a Google Play. En teoría, esta aplicación pasará la inspección de malware ya que, en apariencia, no hay nada malo en lo que hace.

¿Deberías preocuparte por los espías que utilizan esta técnica? Solo si uno de estos espías siente una motivación especial por espiarte y resulta que la mayoría de los ciberdelincuentes van tras las presas fáciles, aunque no tengan mucho que ofrecer.

Y si alguien considera de valor la contraseña de tu computadora o el camino a tu oficina, un smartwatch es una buena herramienta para rastrearlo. En ese caso, nuestro consejo es que:

  • Compruebes que tu smartwatch no consuma muchos datos o batería.
  • No concedas a las aplicaciones demasiados permisos. En concreto, presta atención a las aplicaciones que quieren recuperar información de la cuenta y coordenadas geográficas. Sin estos datos, los intrusos tendrán dificultades para determinar si el smartwatch que han infectado es tuyo.
  • Instales una solución de seguridad en tu smartphone que ayude a detectar un programa espía antes de que este empiece a hacer su labor.