Un equipo internacional de investigadores, dirigido por IMDEA Networks y la Northeastern University, en colaboración con varias instituciones académicas de renombre, arroja luz sobre los riesgos ocultos de los dispositivos del Internet de las Cosas (IoT) en nuestros hogares. En concreto, la investigación reveló que un hogar inteligente puede ser identificado de forma única con tan solo tres datos de dispositivos IoT, lo que plantea serias preguntas sobre la privacidad y la seguridad en nuestras redes domésticas.
Con la proliferación del Internet de las Cosas (IoT), nuestros hogares están repletos de dispositivos que prometen hacer nuestra vida más fácil y eficiente. Desde televisores inteligentes y asistentes virtuales hasta cámaras de circuito cerrado, estos dispositivos están equipados con sensores diseñados para monitorear y mejorar nuestro entorno doméstico. Sin embargo, el reciente estudio indica que la confianza que depositamos en estos dispositivos podría ser todo un riesgo para nuestra privacidad.
“Cuando pensamos en lo que ocurre entre las paredes de nuestro hogar, imaginamos que es un lugar privado y de confianza. En realidad, descubrimos que los dispositivos inteligentes están traspasando ese velo de confianza y privacidad, de forma que permiten a casi cualquier empresa saber qué dispositivos hay en tu casa, saber cuándo estás en ella y su ubicación. Por lo general, estos comportamientos no se comunican a las personas consumidoras, y es necesario mejorar la protección en el hogar”, afirma David Choffnes, Profesor Asociado de Informática y Director Ejecutivo del Instituto de Ciberseguridad y Privacidad de la Universidad Northeastern.
El estudio, presentado en la ACM Internet Measurement Conference de Montreal, profundiza por primera vez en los entresijos de las interacciones de la red local entre 93 dispositivos IoT y aplicación móviles, revelendo una cantidad excesiva de amenazas a la seguridad y la privacidad no desveladas hasta ahora y con implicaciones reales en el mundo real.
Un hallazgo particularmente alarmante fue que muchos dispositivos IoT estaban exponiendo inadvertidamente información personal identificable. Esto significa que nombres únicos de dispositivos, direcciones MAC y otros datos podrían ser fácilmente cosechados por terceros sin el conocimiento del usuario. Esta exposición puede permitir a las entidades crear un perfil único de un hogar, con implicaciones potencialmente invasivas para la privacidad del usuario.
Según Vijay Prakash, estudiante de doctorado de la NYU Tandon y coautor del artículo, “analizando los datos recogidos por la herramienta IoTInspector, encontramos pruebas de que los dispositivos IoT exponen inadvertidamente al menos una información personal identificable, como la dirección única de hardware (MAC), UUID o nombres únicos de dispositivos, en miles de hogares inteligentes del mundo real. Cualquier identificador y metadato es útil para identificar un hogar, pero la combinación de los tres hace que una casa sea única y fácilmente identificable de manera global. A modo de comparación, si a un usuario web se le perfila utilizando la técnica más sencilla de “fingerprinting”, es tan única como una de cada 1.500 personas. Si se perfila un hogar inteligente con sólamente tres datos de dispositivos IoT, es tan único como uno de cada 1,12 millones de hogares inteligentes”.
Los protocolos de red local en el punto de mira
El estudio identificó protocolos de red local, como UPnP y mDNS, como puntos de vulnerabilidad. Estos protocolos, cuando se utilizan incorrectamente, pueden exponer información que debería estar protegida. Además, se encontró que ciertas aplicaciones y empresas publicitarias podrían abusar de estos protocolos para acceder de forma furtiva a datos sensibles.
“Nuestro estudio demuestra que los protocolos de red local usados por dispositivos IoT no están lo suficientemente protegidos y exponen información sensible sobre el hogar y el uso que hacemos de los dispositivos. Esta información está siendo recogida de forma opaca y facilita que se elaboren perfiles de nuestros hábitos o nivel socieconómico”, añade Juan Tapiador, catedrático de la UC3M, entidad que también colaboró en el estudio.
Estos descubrimientos subrayan la importancia de la ciberseguridad en el contexto del IoT. Es esencial que fabricantes, desarrolladores y reguladores se unan para abordar estas vulnerabilidades. Afortunadamente, el equipo de investigación ya ha iniciado el proceso de comunicación con proveedores y plataformas relevantes, lo que ha resultado en mejoras de seguridad en algunos productos.
Imágenes: Freepik