Es de sobra conocido que los dispositivos del Internet de las Cosas (IoT) conllevan una serie de riesgos, como hemos advertido en diversas ocasiones desde estas páginas. Pero un nuevo estudio ha revelado que entrañan una variedad de amenazas para la privacidad y la seguridad que no habían visto la luz hasta ahora y que tienen implicaciones en el mundo real.
El estudio, titulado "In the Room Where It Happens: Characterizing Local Communication and Threats in Smart Homes", se ha basado en un enfoque inédito que ha analizado por primera vez las interacciones de la red local entre 93 dispositivos IoT y aplicaciones móviles. Ha sido elaborado por un equipo internacional de investigadores, dirigido por IMDEA Networks y la Northeastern University, en colaboración con la Universidad Carlos III de Madrid, la NYU Tandon School of Engineering, IMDEA Software, la Universidad de Calgary y el International Computer Science Institute. Y se ha presentado esta misma semana en la ACM Internet Measurement Conference de Montreal (Canadá).
Sus hallazgos, pioneros y preocupantes
Sus conclusiones ponen de manifiesto que, pese a que la mayoría de los usuarios suelen considerar las redes locales como un entorno fiable y seguro, existen nuevas amenazas asociadas a la exposición involuntaria de datos sensibles por parte de dispositivos IoT dentro de redes locales debido al uso inadecuado de protocolos estándar como UPnP o mDNS. Estos datos incluyen la exposición de nombres únicos de dispositivos, UUID e incluso datos de geolocalización de hogares, los cuales pueden ser recopilados por la oscura industria digital de los datos y el marketing sin que la persona usuaria sea consciente de ello.
Según ha señalado Vijay Prakash, estudiante de doctorado de la NYU Tandon y coautor de la investigación, al examinar los datos recogidos por la herramienta IoTInspector descubrieron "pruebas de que los dispositivos IoT exponen inadvertidamente al menos una información personal identificable, como la dirección única de hardware (MAC), UUID o nombres únicos de dispositivos, en miles de hogares inteligentes del mundo real".
En este sentido, ha explicado que "cualquier identificador y metadato es útil para identificar un hogar, pero la combinación de los tres hace que una casa sea única y fácilmente identificable de manera global". Para ejemplificarlo, ha apuntado que si se perfila a un usuario web utilizando la técnica más sencilla de 'fingerprinting' esta huella dactilar "es tan única como una de cada 1.500 personas", mientras que, si se perfila un hogar inteligente con solamente tres datos de dispositivos IoT, "es tan único como uno de cada 1,12 millones de hogares inteligentes".
El estudio advierte que estos protocolos de red local pueden utilizarse como canales laterales para acceder a datos que supuestamente están protegidos por varios permisos de Android, como puede ser la ubicación de los hogares. "Un canal lateral es una forma un tanto furtiva de acceder indirectamente a datos sensibles. Por ejemplo, se supone que los desarrolladores de aplicaciones Android deben solicitar permisos del sistema para obtener el consentimiento de los usuarios y usuarias para acceder a datos como la geolocalización. Sin embargo, hemos demostrado que ciertas aplicaciones espía y empresas de publicidad abusan de los protocolos de red locales para acceder silenciosamente a esa información sensible sin que la persona usuaria sea consciente de ello. Todo lo que tienen que hacer es pedírselo amablemente a otros dispositivos IoT desplegados en la red local utilizando protocolos de red estándar como UPnP.", afirma Narseo Vallina-Rodríguez, Profesor Asociado de IMDEA Networks y cofundador de AppCensus.
"Nuestro estudio demuestra que los protocolos de red local usados por dispositivos IoT no están lo suficientemente protegidos y exponen información sensible sobre el hogar y el uso que hacemos de los dispositivos. Esta información está siendo recogida de forma opaca y facilita que se elaboren perfiles de nuestros hábitos o nivel socioeconómico", añade Juan Tapiador, catedrático de la UC3M.
Por su parte, David Choffnes, Profesor Asociado de Informática y director ejecutivo del Instituto de Ciberseguridad y Privacidad de la Universidad Northeastern, ha alertado que los dispositivos inteligentes para el hogar están traspasando "el velo de confianza y privacidad, de forma que permiten a casi cualquier empresa saber qué dispositivos hay en tu casa, saber cuándo estás en ella y su ubicación. Por lo general, estos comportamientos no se comunican a las personas consumidoras, y es necesario mejorar la protección en el hogar".
Implicaciones más amplias
El impacto de esta investigación va mucho más allá del mundo académico. Las conclusiones hacen hincapié en la imperiosa necesidad de que fabricantes, desarrolladores de software, operadores de plataformas IoT y móviles, y reguladores tomen medidas para mejorar las garantías de privacidad y seguridad de los dispositivos domésticos inteligentes y de los hogares. El equipo de investigación actuó con responsabilidad al comunicar estos problemas a los proveedores de dispositivos IoT vulnerables y al equipo de seguridad de Android de Google, lo que ya ha provocado mejoras de seguridad en algunos de estos productos.