Universidad
Politécnica de Madrid

05.06.23

El aumento del uso de dispositivos del Internet de las Cosas (IoT) en los últimos años ha propiciado un gran desarrollo tecnológico en este ámbito, aunque sin la supervisión adecuada, la usabilidad puede primar sobre la seguridad. Además, el hecho de que los dispositivos IoT hayan ido requiriendo cada vez más datos personales del usuario los convierte en dispositivos atractivos para un atacante.

Enmarcado en el proyecto H2020 RAYUELA financiado por la Unión Europea, investigadores de la Universidad Politécnica de Madrid (UPM) y de la Universidad Pontificia de Comillas (Comillas) han evaluado la seguridad y privacidad de los dispositivos IoT comerciales dirigidos a menores de edad. Según los resultados de las pruebas realizadas, aunque los dispositivos de gama baja considerados son, en términos generales, menos seguros que los de gama alta, la mayoría de ellos presentan fallos tanto de privacidad como de seguridad. Tras evaluar los problemas de vulnerabilidad asociados con dichos dispositivos, los investigadores proporcionan recomendaciones para evitar y mitigar esos riesgos.

Dispositivos IoT analizados en el proyecto RAYUELA. Fuente: UPM

En los últimos años, ha habido un notable aumento en el mercado de dispositivos corporales conectados (wearables) como relojes inteligentes o dispositivos portátiles de fitness. A diferencia de los wearables del pasado, los de hoy en día recopilan una amplia gama de datos que a menudo se almacenan en la nube, son administrados por terceros y se utilizan para mostrar información agregada del usuario en dispositivos móviles. Dichos datos del usuario con frecuencia implican información confidencial que va desde la ubicación y la dirección de correo electrónico del usuario hasta la información de frecuencia cardíaca y otros datos relacionados con la salud. Aunque el crecimiento acelerado del mercado de wearables puede favorecer el progreso tecnológico, plantea el riesgo de que su producción crezca sin el control y la regulación necesarios para garantizar niveles adecuados de privacidad y seguridad. Una supervisión insuficiente o ineficaz de la producción de estos dispositivos puede permitir el lanzamiento de productos inseguros que prioricen la usabilidad sobre la seguridad, y esta amenaza es de particular preocupación en el caso de los dispositivos para menores.

Dado este escenario, un equipo de investigadores de la Escuela Técnica Superior de Ingenieros de Telecomunicación (ETSIT) de UPM y del Instituto de Investigación Tecnológica (IIT) de la Escuela Técnica Superior de Ingeniería (ICAI) de la Universidad Pontificia de Comillas decidió estudiar la situación actual del mercado de los wearables que se comercializan actualmente para niños y jóvenes, con el objetivo de aumentar la transparencia y la conciencia del usuario sobre la seguridad y privacidad que ofrecen los dispositivos, así como alentar a los fabricantes a mejorar sus características en ambos aspectos. En cualquier caso, señala Manuel Álvarez Campana, investigador de la UPM que ha formado parte del equipo de trabajo, “resulta fundamental concienciar a los niños y jóvenes de los problemas que pueden plantear el uso de los dispositivos conectados y en la importancia de realizar un uso adecuado y consciente de los mismos”. En este sentido, añade Sonia Solera Cotanilla, investigadora también de la UPM, “merece la pena señalar que el objetivo principal del proyecto RAYUELA –en el que se enmarca este trabajo− es el desarrollo de un juego serio orientado a concienciar a los jóvenes de los riesgos de Internet y la prevención de los cibercrímenes”.

Algunos de los problemas identificados en la investigación son, por ejemplo, la debilidad o ausencia de cifrado en las comunicaciones y el uso de métodos de emparejamiento que no garantiza la privacidad de los datos personales. Además, las políticas de privacidad indican que se hace uso de información sensible del usuario y que, en muchas ocasiones, se envía a través de canales inseguros, permitiendo así a un atacante obtener cierta información sensible y privada del usuario.

En definitiva, muchos de los dispositivos carecen de medios o herramientas que garanticen la integridad de los datos que manejan. Esto deriva en que la privacidad de sus usuarios se ve comprometida, tanto por el posible acceso a la información sensible manejada, como porque dicha información se transfiere a través de conexiones inseguras con servidores en la nube y se comparte con terceras empresas.

Estos problemas resultan más preocupantes en el caso de dispositivos específicamente diseñados para menores y que utilizan aplicaciones de terceros de cuestionable seguridad. En este caso, no resultaría muy complicado para un atacante interceptar la dirección MAC del dispositivo usado por el menor y rastrear su actividad.

En base a los resultados, se echa en falta la existencia de una regulación que garantice el cumplimiento de unos requisitos de seguridad y privacidad adecuados, especialmente teniendo en cuenta que se trata de un colectivo vulnerable. Además, se considera esencial que las empresas sean transparentes y concisas a la hora de informar de manera apropiada al usuario con relación a los datos personales que el dispositivo captura y qué uso hace de los mismos. Esta información requerida debe ser la estrictamente necesaria para el correcto funcionamiento del dispositivo y siempre con limitaciones a la hora de ser compartida con las aplicaciones.

“Aunque el lado del análisis de nuestra investigación se ha centrado en dispositivos dirigidos a menores, la aplicación de la metodología de prueba a otros dispositivos IoT como los que se encuentran en el hogar, vehículos, edificios e instalaciones industriales, así como a productos utilizados por adultos, podría producir una cosecha mucho mayor de problemas más allá de los que se encuentran en los wearables”, concluyen los investigadores.

Jaime Fúster, Sonia Solera-Cotanilla, Jaime Pérez, Mario Vega-Barbas, Rafael Palacios, Manuel Álvarez-Campana & Gregorio Lopez. Analysis of security and privacy issues in wearables for minors. Wireless Netw (2023). https://doi.org/10.1007/s11276-022-03211-6