¿Llevas un smartwatch en la muñeca? Según el último informe de la firma de análisis de mercado International Data Corporation, las ventas de relojes inteligentes han aumentado en un 200% durante el primer trimestre de este año. Han salido de las tiendas más de 11 millones.
Además de resultar atractivos a los consumidores, estos dispositivos también pueden atraer a los cibercriminales. Ya hemos advertido en otras ocasiones sobre sus vulnerabilidades, pero un equipo de investigadores de la Universidad de Illinois (Estados Unidos), acaba de añadir un riesgo de seguridad a la lista: han demostrado que es posible utilizarlos para detectar los movimientos de tus manos sobre el teclado del ordenador.
Saber qué letras está presionando el dueño de un smartwatch podría servir a los ciberdelincuentes para conocer sus contraseñas, sin necesidad de tener acceso a su ordenador.
El sistema tampoco requiere modificar físicamente el reloj, se basa únicamente en la aplicación desarrollada por los expertos estadounidenses. La herramienta recaba la información obtenida por los diferentes sensores que el dispositivo lleva incorporados.
Con los datos del acelerómetro y el giroscopio, la app registra el movimiento de la mano y los dedos al golpear el teclado. Además, los investigadores han utilizado los datos espaciales para construir un mapa espacial en tres dimensiones.
Por otro lado, han introducido la información en un software que analiza el ritmo del tecleo y su situación. Dos algoritmos utilizados conjuntamente les han permitido conocer la zona exacta que ha sido presionada cada vez para identificar las diferentes letras.
Uno de ellos detecta el momento en que el usuario comienza a ejercer presión, y crea un mapa de temperatura que indica los puntos donde ha golpeado. El segundo recibe la información resultante, y analiza las pausas entre pulsos, así calcula el número de letras que han tocado los dedos de la mano derecha –la contraria a la del reloj−.
Finalmente, esta última herramienta matemática acude a un diccionario para encontrar las palabras utilizadas por el dueño del smartwatch. La herramienta es eficiente, pero aún tienen que perfeccionarla, ya que no puede detectar signos de puntuación y otros símbolos del teclado.
El trabajo de estos investigadores se engloba dentro del proyecto Motion Leaks through Smartwatch Sensors, financiado por la National Science Foundation. “Los sensores de estos ‘wearables’ son un arma de doble filo”, ha advertido Romit Roy, uno de los miembros del equipo.
Aunque los dispositivos permiten monitorizar datos relacionados con la salud, también implican un mayor riesgo para la privacidad de las personas. Según Roy, “el verdadero reto es saber la cantidad y naturaleza de la información que puede obtenerse sobre los individuos”.
En este caso han sido ellos quienes han desarrollado la aplicación, pero aseguran que los ciberdelincuentes podrían crear una similar y difundirla a través de plataformas como iTunes o Google Play. Por eso, al igual que en un teléfono inteligente, es aconsejable verificar la procedencia de todas las aplicaciones antes de descargarlas en un smartwatch.
Panda Security es una empresa especializada en la creación de productos de seguridad para endpoints que son parte del portfolio de soluciones de seguridad IT de WatchGuard. Centrada inicialmente en la creación de software antivirus, la compañía ha ampliado sus objetivos expandiendo su línea de negocio hacia los servicios de ciberseguridad avanzada con tecnologías para la prevención del cibercrimen.
