Es posible que tu Smart TV te esté espiando. Si has prestado atención al escándalo de WikiLeaks durante los últimos años, quizás ya estés al tanto de esta información; sin embargo, lo que quizás no sepas es que no solo los gobiernos y los cibercriminales pueden espiarte. Esto también ocurre entre los fabricantes, y es posible que los dispositivos que consideras seguros en realidad sean vulnerables.
Nuevos tipos de herramientas de hacking
Para complicar todo, los nuevos métodos emergentes de espionaje están convirtiendo la privacidad en un concepto obsoleto. Por ejemplo, en 2017, investigadores de la Universidad de Washington demostraron que un software llamado CovertBand puede usar el sistema de sonido de un dispositivo inteligente para seguir los movimientos de las personas en una habitación. Para esto, se ocultan señales de “pitidos” casi indetectables en pistas de música, y se utiliza el rebote de los pitidos en los cuerpos de las personas como una especie de sonar para los micrófonos. Se determinó que el software es capaz de detectar la presencia de personas a una distancia máxima de 6 metros del dispositivo, con una precisión de 18 centímetros.
Otro ataque ocurrido en la primavera de 2017 utilizó señales de radio para aprovechar vulnerabilidades conocidas en los navegadores de Internet de los Smart TV. En pocas palabras, los hackers aprovecharon las fallas de seguridad de los navegadores de Internet de los televisores y utilizaron un transmisor barato para incrustar código programático en una señal de TV maliciosa. Cuando la señal se emitía, los hackers podían tomar el control de los televisores en el área. Una vez que los hackers tomaban el control del televisor, podían controlar otros dispositivos y vigilar el movimiento en el hogar. Este método utiliza fallas de seguridad de los navegadores de Internet de los televisores.
Uno de los métodos de espionaje más recientes incluye el uso de una red neuronal y un nuevo algoritmo desarrollado por investigadores de la Universidad de Tel Aviv, en conjunto con la Universidad de Cornell, para analizar patrones en los flujos de datos de videos cifrados de servicios como Netflix, Amazon y YouTube, y así determinar lo que el usuario está viendo. Lo único que necesita el hacker es acceso a la red Wi-Fi.
Cómo funciona: las transmisiones de video generalmente se envían a través de segmentos llamados “bursts”, los cuales están comprimidos con una velocidad de bits variable; es decir, segmentos de la misma duración pueden tener distintas cantidades de datos. Si se miden los bits por segmento, se puede crear una especie de “huella digital”, que luego se puede comparar con videos específicos cuyos patrones hayan sido analizados.
Este nuevo método requiere que el cibercriminal entrene la red neuronal con una biblioteca de “huellas” para así comparar los datos interceptados con las huellas de los videos. Esto es similar a la comparación de huellas dactilares; sin embargo, la precisión de una red neuronal entrenada es del 99 %.
Estas herramientas, y otras similares, pueden ser utilizadas por el gobierno con fines de espionaje. WikiLeaks hizo pública información acerca de un plan de este tipo, creado por el Reino Unido y los Estados Unidos en abril de 2017. El nombre en clave del plan era “Weeping Angel”, y se basaba en la captura de audio a través de los micrófonos de los Smart TV de la serie F8000 de Samsung. Entre sus características clave se incluían un modo falso de “apagado” y una función de reconexión Wi-Fi para convencer a los usuarios de que el televisor estaba apagado, incluso cuando en verdad seguía grabando. También se discutía la posibilidad de usar métodos similares para grabar videos y transmitirlos mediante la conexión Wi-Fi del televisor.
Fabricantes y decodificadores
Pese a que estas posibilidades son ciertamente inquietantes, lo más probable es que los fabricantes de dispositivos Smart TV ya estén vigilando los hábitos de televisión de los consumidores y vendiendo esta información a publicistas. En otras palabras, el jefe de la red de espionaje suele ser el fabricante del televisor. En febrero de 2017, la Comisión Federal de Comercio multó a Vizio por 2,2 millones de dólares estadounidenses por rastrear el contenido que los usuarios, identificados por sus direcciones IP, veían en sus televisores y venderles la información a publicistas. Otros fabricantes de televisores también vigilan los hábitos de consumo de contenido, pero aún no han sido sorprendidos vendiendo esta información a publicistas.
Sin embargo, la recolección de datos no siempre es culpa del fabricante. Es posible atacar un decodificador de TV o un enrutador Wi-Fi con relativa facili
dad. Por ejemplo, en 2013, se descubrió la existencia del bot “Linux/Flasher.A”, que recopila credenciales de inicio de sesión de dispositivos Smart TV, tablets, teléfonos y PC. El proceso de infiltración era bastante sencillo, debido a que los enrutadores antiguos contaban con medidas de seguridad deficientes. En aquel entonces, las compañías de cable solían utilizar las mismas contraseñas para todos los decodificadores que instalaban, y los suscriptores del servicio no podían cambiarlas con facilidad. Por tanto, cualquier persona que tuviese la contraseña de un enrutador o decodificador podía infiltrarse en muchos otros dispositivos. Para complicar aún más las cosas, muchos equipos incluían “puertas traseras”.Un incidente más reciente ocurrió en septiembre de 2016, en el cual un botnet llamado Mirai causó una interrupción importante mediante la transformación de dispositivos IoT en hosts de botnets (“zombis”) que saturaron Internet con un elevado tráfico de datos. Existe la preocupación de que el botnet Hajime utilizado para combatir la amenaza también se utilice para realizar ciberataques.
Afortunadamente, los fabricantes de televisores y decodificadores están comenzando a enfrentar el problema. Los enrutadores fabricados en los últimos años son, en general, más seguros que los más antiguos. Dicho esto, la Comisión Federal de Comunicaciones canceló en 2017 un proyecto que obligaría a los proveedores de televisión por cable a desbloquear sus decodificadores para desarrolladores externos. Si el proyecto hubiese sido aprobado, los consumidores habrían podido escoger sus propios decodificadores para garantizar una funcionalidad más personalizada y una mejor seguridad.
Si se trata de eliminar los riesgos de ciberseguridad, la forma más eficaz es desconectarse de Internet; sin embargo, es algo poco factible en este mundo moderno. Si no, puedes instalar un dispositivo de transmisión especializado o enviar la señal desde el dispositivo hasta una llave inalámbrica en el televisor para aprovechar la protección que ofrecen las aplicaciones de antimalware de tu dispositivo. Y mantente siempre alerta.