Las pulseras de fitness, fuente de información para los

Las pulseras de fitness, fuente de información para los

Las pulseras de fitness, fuente de información
para los ciberdelincuentes
Madrid, 23 de abril de 2015

Los analistas de Kaspersky Lab realizaron una prueba para comprobar si los
brazaletes de actividad se podían hackear

La conclusión es que resulta relativamente sencillo acceder a una de estas pulseras y
conseguir pasar la autentificación para acceder a los datos
Con la llegada del buen tiempo y el comienzo de la operación bikini, son muchas las personas que
se lanzan a hacer ejercicio y quieren planificar su rutina al tiempo que conocer datos como las
calorías quemadas, la distancia recorrida o las pulsaciones que se tienen en cada momento… Por
ello, las pulseras de fitness se han convertido en el aliado ideal de muchos deportistas que las usan
en sus entrenamientos diarios y las conectan a sus smartphones para comprobar sus progresos.
Existe una amplia variedad de este tipo de wearables y varias aplicaciones relacionadas que
permiten sincronizarlos con el teléfono móvil, pero, ¿son seguros estos dispositivos?, ¿es el
propietario el único que tiene acceso a la información que recogen estas pulseras?, ¿pueden
hackearse? Todas estas preguntas se las hicieron los analistas de Kaspersky Lab quienes,
mediante un sencillo método, quisieron ponerlas a prueba.
La mayoría de ellas usa la tecnología Bluetooth LE para conectarse con el smartphone, lo que
supone que el modo de conexión es diferente al que emplea este sistema habitualmente y no
dispone de contraseñas para configurarlo ya que la mayoría de estas pulseras de actividad no
cuentan con pantalla ni teclado. Además, este tipo de brazaletes usa el sistema GATT (Generic
Attribute Profile), que significa que estos dispositivos tienen un conjunto de servicios cada uno con
unas características específicas.
Gracias a la prueba realizada, se descubrió que con un simple código Android SDK se pudo
acceder a la mayoría de pulseras de fitness que hay en el mercado. En algunos casos, no
consiguieron obtener los datos de las características específicas de cada servicio. Sin embargo,
haciendo la prueba con dispositivos de otras marcas, sí que pudieron leer estos descriptores que,
según los analistas de Kaspersky, es probable que se correspondan con los datos de los usuarios.
Tras lograr conectarse con estos dispositivos, el siguiente paso fue crear una aplicación para
buscar brazaletes de actividad de forma automática. Los resultados no se hicieron esperar. En
poco más de seis horas se había conectado a 54 dispositivos distintos. En concreto, durante el
experimento, el analista de Kaspersky consiguió conectarse, sobre todo, a dispositivos de
las marcas Jawbone y FitBit pero también de Nike, Microsoft, Polar y Quans. Todo ello pese
a dos supuestas limitaciones que tienen estos brazaletes: su radio de acción que,
supuestamente es de 50 metros aunque suele ser mucho menor, y el que un aparato no
puede conectarse con más de un teléfono a la vez.
La realidad es que un ciberdelincuente tiene grandes posibilidades de conectarse a uno de estos
dispositivos bien porque la pulsera no esté sincronizada a ningún smartphone previamente o bien
porque el hacker bloquee esa conexión y la sustituya por otra con su terminal. Por fortuna, lograr
sincronizar un móvil con una pulsera no significa que se puedan acceder directamente a los datos
de los usuarios. Normalmente, es necesaria una autentificación desde el propio brazalete para
recibir notificaciones.
No obstante, no es difícil lograr esta autentificación. Habitualmente basta con que el usuario
presione un botón de la pulsera cuando ésta vibre, algo que se puede conseguir reiniciando la
notificación hasta que lo pulse. Una vez superado este paso, acceder a los datos del dispositivo es
sencillo. Y, pese a que en la actualidad estos brazaletes de fitness no contienen demasiada
información y la que tienen suelen mandarla a la nube cada hora aproximadamente, el riesgo es
evidente y ejecutar acciones en los dispositivos hackeados resulta muy sencillo.
Tras el experimento, las conclusiones a las que han llegado los analistas de Kaspersky Lab es que
resulta relativamente sencillo piratear una de estas pulseras y, pese a que por el momento no
revelan información demasiado útil para los ciberdelincuentes, en un futuro, con dispositivos más
sofisticados, es posible que usen estos datos en su provecho.
Links de utilidad:
Sala de Prensa de Kaspersky Lab España
Sobre Kaspersky Lab
Kaspersky Lab es la mayor empresa privada de soluciones de seguridad endpoint del mundo. La compañía se incluye
entre los 4 mayores proveedores de soluciones de seguridad endpoint del mundo*. A lo largo de sus más de 15 años de
empresas, PYMES y consumidores. Actualmente, Kaspersky Lab opera en casi 200 países y territorios de todo el mundo,
ofreciendo protección a más de 300 millones de usuarios. Más información en www.kaspersky.es
La empresa se sitúa en la cuarta posición en el Ranking Mundial de Proveedores de Seguridad Endpoint (por ingresos) de IDC en 2011.
Esta clasificación se ha publicado en el informe de IDC "Worldwide Endpoint Security 2012–2016 Forecast and 2011 Vendor Shares
(IDC #235930, July 2012)”. El informe clasifica los proveedores de software de acuerdo a los ingresos obtenidos en la venta d e
soluciones de seguridad endpoint en 2011.
Síguenos en:
http://twitter.com/#!/KasperskyES
http://www.youtube.com/user/kasperskyespana
http://www.facebook.com/kasperskyes
http://blog.kaspersky.es/
Para más información, contactar con:
eVerythink PR
Virginia Frutos
Tel. +34 91 551 98 91
Mov: 670 502 902
Email: [email protected]
KasperskyLab Iberia
Vanessa González
Directora de Comunicación
Tel. +34 91 398 37 52
Email [email protected]
© La información contenida en la presente puede ser modificada sin previo aviso. Las únicas garantías de los productos y servic ios de
Kaspersky Lab quedan establecidos de ahora en adelante en las declaraciones de garantía expresa que acompañan a dichos productos
y servicios. Ninguno de los contenidos de la presente podrá ser interpretado como garantía adicional. Kaspersky Lab no se hac e
responsable de los errores técnicos o editoriales u omisiones presentes en el texto.