Un equipo internacional de investigadores, dirigido por IMDEA Networks y la Northeastern University, ha revelado preocupantes hallazgos sobre los desafíos de seguridad y privacidad que plantea la proliferación de dispositivos de Internet de las Cosas (IoT) en los hogares inteligentes.
Los hogares inteligentes están cada vez más llenos de dispositivos interconectados, desde teléfonos y televisores inteligentes hasta asistentes virtuales y cámaras de seguridad. Estos dispositivos, equipados con sensores como cámaras y micrófonos, vigilan constantemente los espacios privados de las casas. La gran pregunta es si estos dispositivos manejan y protegen de manera segura los datos sensibles a los que tienen acceso.
El estudio señala inquietantes descubrimientos: algunos dispositivos permiten a casi cualquier empresa saber qué elementos están en un hogar, cuándo se encuentra alguien en casa y la ubicación exacta de dichos dispositivos, sin que los consumidores sean conscientes de estos comportamientos. «Cuando pensamos en nuestro hogar, lo imaginamos como un lugar privado y seguro. Sin embargo, descubrimos que los dispositivos inteligentes están rompiendo esa barrera de confianza y privacidad, permitiendo a casi cualquier empresa saber qué dispositivos hay en tu casa, cuándo estás en ella y su ubicación», señala David Choffnes, profesor asociado de Informática y Director Ejecutivo del Instituto de Ciberseguridad y Privacidad de la Universidad Northeastern.
Este exhaustivo trabajo de investigación, titulado «In the Room Where It Happens: Characterizing Local Communication and Threats in Smart Homes», en colaboración con la NYU Tandon School of Engineering, la Universidad Carlos III de Madrid, IMDEA Software, la Universidad de Calgary y el International Computer Science Institute, se presentó esta semana en la ACM Internet Measurement Conference (ACM IMC’23) en Montreal, Canadá.
El análisis de las interacciones de red local entre 93 dispositivos IoT y aplicaciones móviles reveló una cantidad alarmante de amenazas a la seguridad y privacidad hasta ahora no desveladas totalmente, con implicaciones reales en el mundo cotidiano. A pesar de que la mayoría de los usuarios perciben sus redes locales como entornos seguros, las conclusiones del estudio ponen en evidencia nuevas amenazas relacionadas con la exposición involuntaria de datos sensibles por parte de dispositivos IoT dentro de las redes locales. Esto sucede debido al uso inadecuado de protocolos estándar como UPnP o mDNS, que exponen nombres únicos de dispositivos, UUID e incluso datos de geolocalización del hogar, los cuales pueden ser aprovechados por la oscura industria digital de los datos y el marketing sin que los usuarios sean conscientes.
Vijay Prakash, estudiante de doctorado de la NYU Tandon y coautor del artículo, destacó que «analizando los datos recogidos por la herramienta IoTInspector, encontramos pruebas de que los dispositivos IoT exponen inadvertidamente al menos una información personal identificable, como la dirección única de hardware (MAC), UUID o nombres únicos de dispositivos, en miles de hogares inteligentes del mundo real. La combinación de estos identificadores hace que una casa sea única y fácilmente identificable globalmente».
Estos protocolos de red local pueden ser utilizados como canales laterales para acceder a datos que en teoría están protegidos por diversos permisos de Android, como la localización de los hogares. «Un canal lateral es una forma furtiva de acceder a datos sensibles de manera indirecta. Los desarrolladores de aplicaciones Android deben solicitar permisos del sistema para obtener el consentimiento de los usuarios para datos como la geolocalización. Sin embargo, hemos demostrado que ciertas aplicaciones espía y empresas de publicidad abusan de los protocolos de red locales para acceder silenciosamente a esa información», afirma Narseo Vallina-Rodríguez, profesor asociado de IMDEA Networks y cofundador de AppCensus.
Juan Tapiador, catedrático de la UC3M, añadió: «Nuestro estudio demuestra que los protocolos de red local utilizados por dispositivos IoT no están lo suficientemente protegidos y exponen información sensible sobre el hogar y el uso de los dispositivos. Esta información está siendo recogida de forma opaca y facilita la elaboración de perfiles de nuestros hábitos o nivel socioeconómico”.
El impacto de esta investigación trasciende el ámbito académico, subrayando la necesidad de que fabricantes, desarrolladores, operadores de plataformas IoT y móviles, y reguladores tomen medidas urgentes para mejorar la privacidad y seguridad de los dispositivos domésticos inteligentes. Los investigadores han comunicado estos problemas a los proveedores de dispositivos IoT vulnerables y al equipo de seguridad de Android de Google, lo que ha conllevado mejoras de seguridad en algunos productos.
