Una amenaza para la privacidad y seguridad en los hogares
Los hogares inteligentes están experimentando un aumento en la interconexión de diversos dispositivos IoT, que abarcan desde teléfonos y televisores inteligentes hasta asistentes virtuales y sistemas de videovigilancia.
Estos dispositivos, equipados con sensores como cámaras y micrófonos, tienen la capacidad de detectar y supervisar actividades en los espacios privados de nuestros hogares. Sin embargo, surge la pregunta de si podemos confiar en que estos dispositivos gestionan y resguardan de manera segura la información sensible a la que tienen acceso.
Algunos de estos dispositivos están socavando la confidencialidad y la seguridad al permitir que prácticamente cualquier empresa obtenga conocimiento acerca de los dispositivos presentes en tu hogar, cuándo estás presente y dónde te encuentras.
Con frecuencia, estas prácticas no se comunican adecuadamente a los consumidores, lo que resalta la necesidad de fortalecer la seguridad en los hogares, como menciona David Choffnes, profesor asociado de Informática y Director Ejecutivo del Instituto de Ciberseguridad y Privacidad de la Universidad Northeastern.
La investigación extensa, en colaboración con la NYU Tandon School of Engineering, la Universidad Carlos III de Madrid, IMDEA Software, la Universidad de Calgary y el International Computer Science Institute, ha sido titulada "In the Room Where It Happens: Characterizing Local Communication and Threats in Smart Homes" (En la habitación donde sucede: caracterizando la comunicación local y las amenazas en las casas inteligentes) y fue presentada en la ACM Internet Measurement Conference (ACM IMC'23) en Montreal, Canadá, esta semana.
El artículo profundiza en las complejidades de las interacciones de red local entre 93 dispositivos IoT y aplicaciones móviles, desvelando numerosas amenazas de seguridad y privacidad que no habían sido completamente reveladas hasta ahora, y que tienen implicaciones concretas en la vida cotidiana.
A pesar de que la mayoría de los usuarios tienden a considerar que las redes locales son entornos seguros y confiables, este estudio destaca nuevas amenazas relacionadas con la exposición involuntaria de datos confidenciales por parte de dispositivos IoT en redes locales, debido al uso inadecuado de protocolos estándar como UPnP o mDNS.
Esta información involucra la exposición de identificadores únicos de dispositivos, UUID e incluso datos de geolocalización de hogares, que pueden ser explotados por la industria de marketing digital sin que el usuario sea consciente de ello.
Como explica Vijay Prakash, estudiante de doctorado de la NYU Tandon y coautor del artículo, "al analizar los datos obtenidos mediante la herramienta IoTInspector, descubrimos evidencia de que los dispositivos IoT revelan inadvertidamente al menos alguna información personal identificable, como la dirección única de hardware (MAC), UUID o nombres únicos de dispositivos, en miles de hogares inteligentes del mundo real.
Cualquier identificador o metadato puede ser utilizado para identificar un hogar, pero la combinación de estos datos hace que un hogar sea único y fácilmente identificable a nivel mundial.
Para ponerlo en perspectiva, si se perfila a un usuario web mediante la técnica más simple de huella digital, su singularidad es de aproximadamente una entre 1,500 personas. En cambio, cuando se perfila un hogar inteligente utilizando solo tres datos de dispositivos IoT, su singularidad se compara a la de uno entre 1,12 millones de hogares inteligentes".
Estos protocolos de red local se utilizan como canales secundarios para acceder a datos que teóricamente están protegidos por varios permisos de Android, como la ubicación de los hogares.
Narseo Vallina-Rodríguez, profesor asociado de IMDEA Networks y cofundador de AppCensus, explica: "Un canal secundario es un medio relativamente sigiloso para acceder de manera indirecta a información sensible".
"A pesar de que los desarrolladores de aplicaciones de Android suelen requerir permisos del sistema para obtener el consentimiento de los usuarios y acceder a datos como la ubicación, hemos demostrado que ciertas aplicaciones de seguimiento y empresas de publicidad abusan de los protocolos de red local para obtener silenciosamente esta información confidencial, sin que el usuario sea consciente de ello. Para lograrlo, solo necesitan solicitarlo a otros dispositivos IoT en la misma red local utilizando protocolos estándar como UPnP", comentó.