Pueden parecer un reloj normal pero son capaces de hacer mucho más que solo mostrar la hora: los llamados rastreadores de actividad física están recopilando datos sobre el estilo de vida y el estado de salud de sus usuarios a gran escala, ayudándoles a entrenar o perder peso. Ahmad-Reza Sadeghi, profesora de seguridad del sistema en el área de perfil de ciberseguridad CYSEC de TU Darmstadt y su equipo investigó las oportunidades de fraude con rastreadores de actividad física y detectó serias fallas de seguridad.
La popularidad de estos dispositivos crece constantemente. En todo el mundo, se vendieron casi 20 millones de rastreadores de actividad física en el primer trimestre de 2016. Muchos de ellos rastrean por GPS los kilómetros que el usuario corre, miden la frecuencia cardíaca y el pulso o comprueban si el usuarioestá dormido. "Estos datos no solo se utilizan para el propósito original, sino que también son utilizados por terceros", explica el profesor Sadeghi.
Los datos recopilados por los rastreadores de condición física se han utilizado como evidencia en juicios en los Estados Unidos, según informó la revista Forbes en 2014. La policía y los abogados han comenzado a reconocer los dispositivos portátiles como la "caja negra" del cuerpo humano, escribió el NY Daily Newsen abril de 2016. Algunas compañías de seguros de salud recientemente comenzaron a ofrecer descuentos si las personas aseguradas proporcionan datos personales de sus rastreadores de condición física. Esto podría atraer a los estafadores que manipulan los datos rastreados para obtener beneficios financieros de forma fraudulenta o incluso influir en un juicio judicial, dice Sadeghi.hace que sea aún más importante que la transmisión, el procesamiento y el almacenamiento de datos personales confidenciales cumplan con altos estándares de seguridad.
Para investigar esto, Sadeghi y su equipo llevaron a cabo un estudio en cooperación con la Universidad de Padua Italia sobre 17 diferentes rastreadores de estado físico, incluidos dispositivos de fabricantes menos conocidos y dispositivos de marcas populares como Xiaomi, Garmin y Jawbone.Los investigadores se concentraron en manipular los datos en su camino hacia el servidor de la nube mediante un ataque de "hombre en el medio" y examinaron la seguridad de los protocolos de comunicación utilizados por los rastreadores de estado físico.
El resultado: aunque todos los sistemas de seguimiento basados en la nube usan un protocolo encriptado como HTTPS para transferir datos, los investigadores pudieron falsificar datos en todos los casos. De todos los rastreadores de estado físico examinados, solo los dispositivos de cuatro fabricantes tomaron algunas medidas menores paraproteger la integridad de los datos, es decir, garantizar que los datos permanezcan intactos y sin alteraciones. "Estos obstáculos no pueden detener a un atacante motivado. Los estafadores pueden manipular los datos incluso con muy poco conocimiento de TI", advierte Sadeghi, ya que ninguno de los rastreadores emplea End-to-Endcifrado u otras medidas eficaces de protección contra manipulaciones al sincronizar datos.
Cinco de los rastreadores de estado físico examinados no brindaban la posibilidad de sincronizar los datos de estado físico con un servicio en línea. Sin embargo, estos fabricantes almacenan los datos de estado físico recopilados en texto sin formato, es decir, sin cifrar y legibles para todos, en el teléfono inteligente que introduceun riesgo potencial de fuga de datos no autorizada en caso de que el teléfono inteligente sea robado o infectado con malware. Esta es otra falla grave de seguridad de los rastreadores de actividad física que encontraron los investigadores de TU Darmstadt y la Universidad de Padua.
"Los seguros de salud y todas las demás empresas que desean utilizar rastreadores de actividad física para sus servicios deben buscar el asesoramiento de expertos en seguridad antes de hacerlo", sugiere Sadeghi. Las fallas encontradas en el estudio podrían solucionarse con tecnologías estándar conocidas, "es solo quelos fabricantes tienen que esforzarse más en emplear estas tecnologías en sus productos "
Fuente de la historia :
Materiales proporcionado por Technische Universität Darmstadt . Nota: El contenido puede ser editado por estilo y longitud.
Cite esta página :