guía de compras navideñas

Los monitores de 'fitness' flaquean en seguridad

Según Symantec, son fáciles de 'hackear', su gestión de contraseñas es pobre y carecen de políticas de privacidad claras.

symantec-tracking-data.jpg
Foto de Symantec

El mercado de la tecnología de vestir está valuado actualmente en unos US$14,000 millones y todo apunta a que seguirá creciendo. Según la firma AB Research, para 2018 se distribuirán 485 millones de dispositivos de vestir al año.

De este total, los monitores de actividad física representan solo una parte del mercado, pero son de los más promovidos y no es sorpresa que hayan caído bajo la lupa de seguridad de Symantec, una empresa especializada en seguridad.

El documento de Symantec How safe is your quantified-self (que se traduce libremente como "¿Cuán seguro está tu ser cuantificado?") echa una mirada al movimiento de los monitores de actividad como un todo, desde dispositivos dedicados como los de Fitbit o Jawbone, hasta apps que usan los sensores integrados de los teléfonos inteligentes, hasta programas que requieren que el usuario meta su información manualmente.

El informe pinta un panorama de un nuevo segmento de mercado que requiere proteger mejor la información. Symantec apunta que el tipo de información recolectada por lo que llama self-trackers (monitores automáticos) difiere significativamente de la información personal "tradicional", como el nombre, la fecha de nacimiento o la dirección física de una persona. La información de los monitores automatizados puede variar desde el peso, la hora de dormir, la ubicación o incluso cosas tan personales como la actividad sexual, el estado emocional o consumo de alcohol.

En cuanto a los temas de seguridad, algunas de las áreas más preocupantes cubiertas por el reporte incluyen:

Monitoreo de ubicación vulnerable: Symantec halló que todos los modelos de monitores de actividad física actuales son vulnerables al hackeo de la información de ubicación, pero dice que los que usan Bluetooth LE son particularmente vulnerables.

La empresa usó una PC Raspberry Pi para fabricar varios escaners Bluetooth baratos y descubrió que al colocar varios dispositivos de escaneo en distintos lugares fue capaz de escanear y localizar un dispositivo al identificar la dirección del hardware y medir la fuerza relativa de las señales entre los escaners y el dispositivo. Con ello es posible obtener una medida aproximada de la ubicación física del dispositivo.

Mala protección de contraseñas: Un sorprendente 20 por ciento de las apps enviaron los datos de la contraseña "en claro" - o sea, sin encriptación de ningún tipo. Dado el conocido hecho que mucha gente usa el mismo password en varios servicios, esto es preocupante.

Falta de políticas de privacidad: Solo un 52 por ciento de las apps analizadas por Symantec pusieron sus políticas de privacidad a disposición de los usuarios.

Filtración de datos no intencional: el reporte de Symantec ofrece ejemplos bastante específicos de un app que comparte información muy personal:

Un app que monitoriza la actividad sexual hace solicitudes específicas a la dirección web de un servicio de analítica al principio y al final de cada sesión. En su comunicación, el app transmite una identificación única del evento que reporta el app y el nombre de la propia app así como mensajes indicando el principio y el fin de la actividad sexual. Con base en esa información, el tercero que recibe los datos podría ser capaz de conocer los hábitos sexuales del dueño del dispositivo, aunque por supuesto el nombre real del usuario podría no estar asociado con la identificación única.

Tristemente, Symantec no pude ofrecer muchas recomendaciones a los usuarios sobre los apps y dispositivos más allá del típico "usa contraseñas robustas" y "ten cuidado con lo que compartes socialmente".

En vez de eso, el llamado de Symantec parece recaer sobre los desarrolladores de apps y los fabricantes de los dispositivos. Algunas de las recomendaciones son administración segura de sesiones, seguida de usar las mejores prácticas para contraseñas y mejores protocoles de transmisión de datos seguros.

Los datos de AB Research dicen que en los primeros seis meses de 2014, ha habido un crecimiento del 62 por ciento en el uso de aplicaciones para salud y ejercicio. Este es un mercado que está teniendo un crecimiento muy rápido, y a menos que los desarrolladores y fabricantes se pongan las pilas pronto no creemos que será la última vez que escucharemos sobre problemas de seguridad en los monitores de actividad física.