Investigadores de la Universidad de New Haven han demostrado que pueden extraer información personal del LG G Watch y del Samsung Gear 2 Neo. En concreto, se pueden recuperar calendario, contactos y datos de podómetro del G Watch, junto con la dirección de correo electrónico del usuario del reloj. Del Gear 2 Neo, en cambio, consiguieron datos de salud, dirección de correo electrónico, mensajes y datos de contactos. Nada de esa información estaba cifrada.
«No fue muy difícil conseguir los datos, pero se requiere experiencia e investigación», dijo Ibrahim Baggili, director de cibernética forense investigación y educación de la universidad. Él y sus coautores Jeff Oduru, Kyle Anthony, Frank Breitinger y Glenn McGee presentarán sus hallazgos en un artículo para una conferencia de ciencia forense digital en agosto.
El acceso no autorizado a nuestros datos se ha convertido en una preocupación cada vez más apremiante, sobre todo porque los objetos cotidianos que nos rodean — desde relojes inteligentes hasta nuestra ropa — se vuelven cada más inteligentes, más conectados y comparten más información entre sí. La facilidad con que fueron hackeados estos dos smartwatches de LG y Samsung habla de la importancia de la encriptación de estos datos.
No muchas personas tienen aún un smartwatch, pero los números crecerán en los próximos meses y años. Según la firma de investigación Strategy Analytics, en 2014 los fabricantes de dispositivos como Samsung, LG, Motorola y Pebble enviaron un total de sólo 4.6 millones de smartwatches en todo el mundo, aunque la previsión para 2015 es mucho mayor: 28.1 millones.
Se espera que en el futuro estos dispositivos inteligentes ayuden a los pagos móviles y se conviertan en el centro de nuestras vidas digitales. Será fácil para los fabricantes de dispositivos cifrar los datos de los smartwatch, dijo Baggili, pero eso no es garantía de seguridad. «El hecho de que el cifrado esté habilitado, no significa que se lleve a cabo de una manera que no nos permita derrotarlo», dijo.
El Gear 2 Neo utiliza el sistema operativo Tizen de Samsung, mientras que el LG G Watch es uno de los varios modelos que utiliza el sistema operativo Android Wear de Google. Los investigadores obtuvieron los datos gracias a la búsqueda de actividad y de los dispositivos a los que estaban vinculados. Los investigadores han comenzado a probar el reloj de Apple.
Google y LG Electronics no hicieron ningún comentario para esta historia, y Apple no respondió a una solicitud de comentarios. Samsung dijo en un comunicado que la empresa «toma la privacidad del consumidor y la seguridad muy en serio y nuestros productos están diseñados con la privacidad en mente. Si en algún momento identificamos una vulnerabilidad potencial, actuamos con prontitud para investigar y resolver el problema».
La Universidad de New Haven ha estado trabajando en cuestiones de privacidad y encriptación que afectan a los consumidores. En 2014, se encontró que muchas aplicaciones de comunicaciones de teléfonos inteligentes estaban transmitiendo mensajes y fotos sin el escudo protector de la encriptación de la tecnología de cifrado de datos. Y este año se lanzó Datapp, un programa de Windows diseñado para que la gente compruebe si los datos de sus apps están cifrados.