Un equipo internacional de investigadores, dirigido por IMDEA Networks y la Northeastern University, ha desvelado hallazgos pioneros sobre los retos de seguridad y privacidad que plantea la creciente prevalencia de dispositivos opacos y técnicamente complejos de Internet de las Cosas (IoT, por sus siglas en inglés) en los hogares inteligentes.
Los hogares inteligentes están cada vez más interconectados y comprenden una serie de dispositivos IoT que van desde teléfonos y televisores inteligentes hasta asistentes virtuales y cámaras de circuito cerrado de televisión.
Estos dispositivos tienen sensores como cámaras, micrófonos y otras formas de detectar y monitorizar lo que ocurre en nuestros espacios más privados: nuestras casas. Pero, la cuestión es: ¿se puede confiar en que estos dispositivos están manejando y protegiendo de forma segura los datos sensibles a los que tienen acceso?
Algunos dispositivos están traspasando un velo de confianza: permiten a casi cualquier empresa saber qué dispositivos hay en tu casa, cuándo estás en ella y su ubicación. Y estos comportamientos no suelen comunicarse a los consumidores
"Cuando pensamos en lo que ocurre entre las paredes de nuestro hogar, imaginamos que es un lugar privado y de confianza. En realidad, descubrimos que los dispositivos inteligentes están traspasando ese velo de confianza y privacidad, de forma que permiten a casi cualquier empresa saber qué dispositivos hay en tu casa, saber cuándo estás en ella y su ubicación.
Por lo general, estos comportamientos no se comunican a las personas consumidoras, y es necesario "mejorar la protección en el hogar", afirma David Choffnes, profesor asociado de Informática y Director Ejecutivo del Instituto de Ciberseguridad y Privacidad de la Universidad Northeastern.
El amplio trabajo de investigación —en el que han colaborado también la NYU Tandon School of Engineering, la Universidad Carlos III de Madrid, IMDEA Software, la Universidad de Calgary y el International Computer Science Institute— se ha titulado In the Room Where It Happens: Characterizing Local Communication and Threats in Smart Homes (En la habitación donde sucede: caracterizando la comunicación local y las amenazas en las casas inteligentes) y se ha presentado esta semana en la ACM Internet Measurement Conference (ACM IMC'23) de Montreal (Canadá).
El artículo profundiza en los entresijos de las interacciones de la red local entre 93 dispositivos IoT y aplicaciones móviles, revelando una cantidad excesiva de amenazas a la seguridad y la privacidad no desveladas del todo hasta ahora y con implicaciones reales en el mundo real.
¿Entornos fiables y seguros?
Aunque la mayoría de los usuarios suelen considerar las redes locales como un entorno fiable y seguro, las conclusiones del estudio ponen de manifiesto nuevas amenazas asociadas a la exposición involuntaria de datos sensibles por parte de dispositivos IoT dentro de redes locales debido al uso inadecuado de protocolos estándar como UPnP o mDNS. Estos datos incluyen la exposición de nombres únicos de dispositivos, UUID e incluso datos de geolocalización de hogares, los cuales pueden ser cosechados por la oscura industria digital de los datos y el marketing sin que la persona usuaria sea consciente de ello.
Cualquier identificador y metadato es útil para identificar un hogar, pero la combinación de varios de ellos hace que una casa sea única y fácilmente identificable de manera global
Según Vijay Prakash, estudiante de doctorado de la NYU Tandon y coautor del artículo, "analizando los datos recogidos por la herramienta IoTInspector, encontramos pruebas de que los dispositivos IoT exponen inadvertidamente al menos una información personal identificable, como la dirección única de hardware (MAC), UUID o nombres únicos de dispositivos, en miles de hogares inteligentes del mundo real.
Cualquier identificador y metadato es útil para identificar un hogar, pero la combinación de los tres hace que una casa sea única y fácilmente identificable de manera global. A modo de comparación, si a un usuario web se le perfila utilizando la técnica más sencilla de fingerprinting, es tan única como una de cada 1.500 personas. Si se perfila un hogar inteligente con solo tres datos de dispositivos IoT, es tan único como uno de cada 1,12 millones de hogares inteligentes".
Estos protocolos de red local pueden emplearse como canales laterales para acceder a datos que supuestamente están protegidos por varios permisos de Android, como la ubicación de los hogares.
"Un canal lateral es una forma un tanto furtiva de acceder indirectamente a datos sensibles. Por ejemplo, se supone que los desarrolladores de aplicaciones Android deben solicitar permisos del sistema para obtener el consentimiento de los usuarios para acceder a datos como la geolocalización. Sin embargo, hemos demostrado que ciertas aplicaciones espía y empresas de publicidad abusan de los protocolos de red locales para acceder silenciosamente a esa información sensible sin que la persona usuaria sea consciente de ello. Todo lo que tienen que hacer es pedírselo amablemente a otros dispositivos IoT desplegados en la red local utilizando protocolos de red estándar como UPnP.", afirma Narseo Vallina-Rodríguez, profesor asociado de IMDEA Networks y cofundador de AppCensus.
Implicaciones más amplias
“Nuestro estudio demuestra que los protocolos de red local usados por dispositivos IoT no están lo suficientemente protegidos y exponen información sensible sobre el hogar y el uso que hacemos de los dispositivos. Esta información está siendo recogida de forma opaca y facilita que se elaboren perfiles de nuestros hábitos o nivel socieconómico”, añade Juan Tapiador, catedrático de la UC3M.
El impacto de esta investigación va mucho más allá del mundo académico. Las conclusiones subrayan la necesidad imperiosa de que fabricantes, desarrolladores de software, operadores de plataformas IoT y móviles y reguladores tomen medidas para mejorar las garantías de privacidad y seguridad de los dispositivos domésticos inteligentes y de los hogares. El equipo de investigación comunicó estos problemas a los proveedores de dispositivos IoT vulnerables y al equipo de seguridad de Android de Google, lo que ya ha provocado mejoras de seguridad en algunos de estos productos.