Un equipo de investigadores ha identificado vulnerabilidades graves en la privacidad de los datos de unos dispositivos ponibles, cada vez más populares, que comprometen su fiabilidad.
Los dispositivos más modernos dedicados a registrar información sobre la salud o la actividad física del usuario ofrecen datos adictivos sobre la ubicación, el ejercicio, el sueño, la frecuencia cardiaca, el peso, la alimentación, los pasos, etc. Además, cada modelo que sale al mercado incorpora características interactivas nuevas, como la capacidad de crear blogs o grupos en los que competir contra otros usuarios. Para este redactor, muy aficionado a correr hasta que se convirtió en padre de gemelos, la tecnología ofrece una vía mediante la que recuperar poco a poco la forma perdida y llevar de nuevo una vida saludable y en forma.
No obstante, la enorme cantidad de datos compartidos y registrados puede entrañar problemas graves. De hecho, un equipo científico de la Universidad de Edimburgo afirma que la protección de estos datos personales no es tal. Sus integrantes han demostrado la existencia de varios agujeros de seguridad fundamentales en la forma en la que se registran, comunican y comparten los datos sin que el usuario sospeche nada. Estos dispositivos captadores de actividad tienen puntos débiles aprovechables por terceras partes en su propio beneficio y a costa del usuario.
En colaboración con la Universidad Técnica de Darmstadt (Alemania) y la Universidad de Padua (Italia), el equipo de Edimburgo ejecutó un análisis exhaustivo y sus propias pruebas de estado físico sobre dos modelos de captadores de la actividad ponibles fabricados por Fitbit. Los resultados demuestran que es posible sortear el sistema con el que los dispositivos protegen los datos (el cifrado de punto a punto). Los responsables del equipo descubrieron formas de interceptar mensajes transmitidos entre dispositivos y servidores en la nube donde se envían los datos para su análisis. De este modo, pudieron acceder a información personal y crear registros de actividad falsos. De hecho, tras desmontar los dispositivos y modificar la información almacenada en su memoria, los investigadores pudieron sortear el sistema de cifrado y acceder a datos privados.
Para los usuarios esto implica que, si estas debilidades fueran aprovechadas por mentes maliciosas, los datos privados de los usuarios podrían venderse, manipularse o utilizarse como medio de extorsión. Por ejemplo, los datos compartidos con agencias de publicidad y tiendas en internet pueden llegar a manos de personas que falsifiquen registros médicos para defraudar a las aseguradoras y recibir así las bonificaciones que corresponden a alguien que lleve una vida sana y activa.
El Dr. Paul Patras, participante en el estudio realizado en la Facultad de Informática de la Universidad de Edimburgo, señala: "Nuestro trabajo demuestra que las medidas de seguridad y privacidad incorporadas en ciertos dispositivos ponibles populares no están a la altura del desarrollo tecnológico moderno". El Dr. Patras también participó en el proyecto financiado con fondos europeos FLexible Architecture for Virtualizable wireless future Internet Access (FLAVIA, 2010 - 2013), en el que se señaló la importancia de mejorar constantemente el funcionamiento de las redes inalámbricas.
Para garantizar la privacidad y seguridad de los datos personales de los usuarios, el equipo científico está divulgando varias directrices relevantes que ayudarán a los fabricantes a corregir los defectos con nuevas aplicaciones y dispositivos más seguros que no estén expuestos a nuevos ataques. En respuesta a estos descubrimientos, Fitbit trabaja ya en el desarrollo de software que mejore la privacidad y la seguridad de sus dispositivos.
"Nos parece muy positiva la forma en la que Fitbit ha recibido nuestros hallazgos, así como su profesionalidad a la hora de comprender las vulnerabilidades identificadas y la rapidez con la que han mejorado los servicios afectados", señaló el Dr. Patras. Solo con el tiempo se demostrará si estos dispositivos están también "en forma" para contrarrestar en todo momento las amenazas a la seguridad y ofrecer a sus usuarios la seguridad que merecen los datos sobre su salud.
