{"id":13025,"date":"2018-05-30T10:59:18","date_gmt":"2018-05-30T16:59:18","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=13025"},"modified":"2018-05-31T11:05:10","modified_gmt":"2018-05-31T17:05:10","slug":"smart-watch-research","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/smart-watch-research\/13025\/","title":{"rendered":"Experimento: \u00bfEs dif\u00edcil espiar al propietario de un smartwatch?"},"content":{"rendered":"

\u00bfSe puede utilizar un smartwatch<\/i> para espiar a su propietario? Por su puesto, de hecho, ya conocemos muchos m\u00e9todos; el \u00faltimo consiste en una aplicaci\u00f3n esp\u00eda instalada en un smartphone<\/i> que puede enviar datos de los sensores de movimiento (como el aceler\u00f3metro o el giroscopio) a un servidor remoto y esta informaci\u00f3n se puede usar para reconstruir las acciones de su due\u00f1o: caminar, sentarse, teclear y dem\u00e1s.<\/p>\n

\u00bfHasta d\u00f3nde se extiende la pr\u00e1ctica de esta amenaza y cu\u00e1nta informaci\u00f3n puede extraer? Hemos decidido investigarlo.<\/p>\n

\"\"<\/p>\n

Experimento: \u00bfPueden los movimientos del smartwatch<\/i> revelar una contrase\u00f1a?<\/b><\/h2>\n

Comenzamos con un smartwatch<\/i> de Android, instalamos una aplicaci\u00f3n simple para procesar y transmitir datos del aceler\u00f3metro y analizamos qu\u00e9 pod\u00edamos extraer de esta informaci\u00f3n. Si quieres ver el informe completo, visita esta p\u00e1gina<\/a>.<\/p>\n

Estos datos sirven para descubrir si el propietario est\u00e1 andando o sentado, pero, se puede indagar un poco m\u00e1s, ya que los patrones del aceler\u00f3metro difieren ligeramente: \u00bfest\u00e1 dando un paseo o haciendo trasbordo en el metro? As\u00ed es c\u00f3mo los monitores de actividad diferencian entre ir andando o en bicicleta, por ejemplo.<\/p>\n

Tambi\u00e9n es muy f\u00e1cil comprobar si una persona est\u00e1 tecleando en una computadora, eso s\u00ed, descubrir que es lo que est\u00e1n escribiendo es mucho m\u00e1s complicado. Hay muchas formas de teclear, como el m\u00e9todo de los diez dedos o el aporreo del teclado con uno o dos dedos o algo intermedio. En resumen, la misma frase tecleada por distintas personas puede producir se\u00f1ales diferentes en el aceler\u00f3metro, aunque ,si alguien introduce una contrase\u00f1a varias veces seguidas, puede producir gr\u00e1ficos muy similares.<\/p>\n

Por ello, una red neutral formada para reconocer c\u00f3mo un individuo particular introduce un texto podr\u00eda descubrir qu\u00e9 teclea esa persona. Y si se entrena una red neutral en base a tu<\/em> forma de teclear, los datos del aceler\u00f3metro del smartwatch<\/i> que llevas en la mu\u00f1eca podr\u00edan utilizarse para reconocer una contrase\u00f1a a trav\u00e9s de los movimientos de tu mano.<\/p>\n

Sin embargo, el proceso de formaci\u00f3n necesitar\u00e1 que la red neutral te monitorice durante un tiempo. Los procesadores de los dispositivos port\u00e1tiles modernos no tienen la potencia suficiente para ejecutar una red neutral directamente, por lo que los datos se env\u00edan a un servidor.<\/p>\n

Y ah\u00ed reside el problema de un aspirante a esp\u00eda: la constante carga de lecturas del aceler\u00f3metro consume una buena cantidad de tr\u00e1fico de datos y acaba con la bater\u00eda del smartwatch<\/i> en cuesti\u00f3n de horas (6 en nuestro caso). Estos signos reveladores se descubren f\u00e1cilmente y alertan al propietario de que algo va mal. Sin embargo, se pueden minimizar sin problema si se recopilan datos de forma selectiva, por ejemplo, cuando el objetivo llega al trabajo, momento en el que suele introducir la contrase\u00f1a.<\/p>\n

En resumen, tu smartwatch<\/i> puede usarse para identificar qu\u00e9 est\u00e1s tecleando, pero es complicado y para una recopilaci\u00f3n precisa se debe ingresar el texto repetidas veces. En nuestro experimento, pudimos recuperar una contrase\u00f1a de computadora con un 96 % de precisi\u00f3n y un c\u00f3digo PIN introducido en un cajero con un 87 %.<\/p>\n

\"\"<\/p>\n

Podr\u00eda ser peor<\/h3>\n

Sin embargo, para los ciberdelincuentes esta informaci\u00f3n no es tan \u00fatil, ya que, para poder usarla necesitan accesos a la computadora o a la tarjeta de cr\u00e9dito y la tarea para determinar el n\u00famero de una tarjeta o el c\u00f3digo CVC es algo m\u00e1s complicada.<\/p>\n

\u00bfY por qu\u00e9? Seguramente, cuando regresa a su puesto de trabajo, lo primero que teclea el due\u00f1o del smartwatch<\/i> es una contrase\u00f1a para desbloquear su computadora. Eso es, el aceler\u00f3metro primero detecta el movimiento de andar y, luego, el de teclear. Los datos obtenidos durante ese breve periodo posibilitan la recuperaci\u00f3n de la contrase\u00f1a.<\/p>\n

Pero es muy poco probable que alguien teclee el n\u00famero de su tarjeta bancaria nada m\u00e1s sentarse frente a la computadora o que se levante y se vaya justo despu\u00e9s de introducir esa informaci\u00f3n. Adem\u00e1s, nadie va a introducir esos datos varias veces en un corto periodo de tiempo.<\/p>\n

Para robar informaci\u00f3n de la entrada de datos de un smartwatch<\/i>, los atacantes necesitan una actividad predecible seguida de datos ingresados varias veces. Por cierto, esta es otra buena raz\u00f3n para no utilizar la misma contrase\u00f1a en diferentes dispositivos.<\/p>\n