Un equipo internacional de investigadores, liderado por IMDEA Networks y la Northeastern University, ha sacado a la luz importantes descubrimientos sobre los desafíos de seguridad y privacidad que acarrea la creciente adopción de dispositivos de Internet de las Cosas (IoT) en los hogares inteligentes.
Cada vez más, los hogares inteligentes están interconectados mediante una variedad de dispositivos IoT, como teléfonos y televisores inteligentes, asistentes virtuales y cámaras de vigilancia. Estos aparatos cuentan con sensores como cámaras y micrófonos que, aunque facilitan la vida diaria, también pueden monitorizar lo que ocurre en nuestros espacios más privados: nuestros hogares. La gran pregunta es si estos dispositivos realmente protegen los datos sensibles a los que tienen acceso.
Algunos de estos dispositivos han comenzado a traicionar la confianza depositada en ellos, permitiendo a casi cualquier empresa saber qué dispositivos hay en un hogar, cuándo sus propietarios están presentes y su ubicación. Estos comportamientos raramente son comunicados a los consumidores. “Cuando pensamos en lo que ocurre entre las paredes de nuestro hogar, imaginamos que es un lugar privado y de confianza. En realidad, descubrimos que los dispositivos inteligentes están traspasando ese velo de confianza y privacidad”, comenta David Choffnes, profesor asociado de Informática y Director Ejecutivo del Instituto de Ciberseguridad y Privacidad de la Universidad Northeastern.
La extensa investigación, que también contó con la colaboración de la NYU Tandon School of Engineering, la Universidad Carlos III de Madrid, IMDEA Software, la Universidad de Calgary y el International Computer Science Institute, se presentó en la ACM Internet Measurement Conference (ACM IMC’23) en Montreal, Canadá. El estudio, titulado “In the Room Where It Happens: Characterizing Local Communication and Threats in Smart Homes” (En la habitación donde sucede: caracterizando la comunicación local y las amenazas en las casas inteligentes), analiza en profundidad las interacciones de red local entre 93 dispositivos IoT y aplicaciones móviles, revelando amenazas significativas a la seguridad y la privacidad que hasta ahora no se habían desvelado con claridad.
Si bien la mayoría de los usuarios perciben las redes locales como entornos seguros, el estudio subraya nuevas amenazas relacionadas con la exposición no intencionada de datos sensibles por parte de dispositivos IoT, debido al uso inadecuado de protocolos estándar como UPnP o mDNS. Estos datos incluyen nombres únicos de dispositivos, UUID e incluso datos de geolocalización, que pueden ser explotados por la industria del marketing y el análisis de datos sin que los usuarios estén conscientes de ello.
Vijay Prakash, doctorando en la NYU Tandon y coautor del estudio, señaló: “Analizando los datos recogidos por la herramienta IoTInspector, encontramos pruebas de que los dispositivos IoT exponen, al menos, una información personal identificable, como la dirección única de hardware (MAC), UUID o nombres únicos de dispositivos, en miles de hogares inteligentes en todo el mundo. La combinación de estos datos hace que una casa sea única y fácilmente identificable a nivel global.”
Estos protocolos de red local pueden usarse como canales laterales para acceder a datos que deberían estar protegidos por permisos de Android, como la ubicación de los hogares. “Un canal lateral permite acceder indirectamente a datos sensibles. Hemos demostrado que algunas aplicaciones espía y empresas de publicidad abusan de los protocolos de red locales para acceder silenciosamente a información sensible sin el conocimiento del usuario,” afirma Narseo Vallina-Rodríguez, profesor asociado de IMDEA Networks.
Juan Tapiador, catedrático de la UC3M, añade: “Nuestro estudio demuestra que los protocolos de red local usados por dispositivos IoT no están lo suficientemente protegidos y exponen información sensible sobre el hogar y el uso de dispositivos.”
Este estudio resalta la urgente necesidad de que fabricantes, desarrolladores de software, operadores de plataformas IoT y reguladores implementen medidas para mejorar las garantías de privacidad y seguridad de los dispositivos domésticos inteligentes. Tras comunicar estos problemas a los proveedores de dispositivos IoT vulnerables y al equipo de seguridad de Android de Google, ya se han realizado mejoras de seguridad en algunos productos.
Fuente: Agencia Sinc.
