Los investigadores de Kaspersky Lab publicaron un informe en el blog corporativo de su empresa con los resultados de un conjunto de pruebas que realizaron para comprobar si los brazaletes que monitorean la actividad física de una persona se podían hackear y, si así fuera, si esta acción posibilitaría la realización de acciones dañinas.
Las pulseras de fitness se han convertido en el aliado ideal de muchos deportistas que las usan en sus entrenamientos diarios y las conectan a sus smartphones para comprobar sus progresos. Existe una amplia variedad de este tipo de wearables y varias aplicaciones relacionadas que permiten sincronizarlos con el teléfono móvil.
La mayoría de ellas usa la tecnología Bluetooth LE para conectarse con el smartphone, lo que supone que el modo de conexión es diferente al que emplea este sistema habitualmente y no dispone de contraseñas para configurarlo ya que la mayoría de estas pulseras de actividad no cuentan con pantalla ni teclado. Además, este tipo de brazaletes usa el sistema GATT (Generic Attribute Profile), que significa que estos dispositivos tienen un conjunto de servicios cada uno con unas características específicas.
En las pruebas realizadas, se descubrió que con un simple código Android SDK se pudo acceder a la mayoría de pulseras de fitness que hay en el mercado. En algunos casos, no consiguieron obtener los datos de las características específicas de cada servicio. Sin embargo, haciendo la prueba con dispositivos de otras marcas, sí que pudieron leer estos descriptores que, según los analistas de Kaspersky, es probable que se correspondan con los datos de los usuarios.
Tras lograr conectarse con estos dispositivos, el siguiente paso fue crear una aplicación para buscar brazaletes de actividad de forma automática. En poco más de seis horas se habían conectado a 54 dispositivos distintos. En concreto, durante el experimento, el analista de Kaspersky consiguió conectarse, sobre todo, a dispositivos de las marcas Jawbone y FitBit pero también de Nike, Microsoft, Polar y Quans. Todo ello pese a dos supuestas limitaciones que tienen estos brazaletes: su radio de acción que, supuestamente es de 50 metros aunque suele ser mucho menor, y el que un aparato no puede conectarse con más de un teléfono a la vez.
La realidad es que un ciberdelincuente tiene grandes posibilidades de conectarse a uno de estos dispositivos bien porque la pulsera no esté sincronizada a ningún smartphone previamente o bien porque el hacker bloquee esa conexión y la sustituya por otra con su terminal. Lograr sincronizar un móvil con una pulsera no significa que se puedan acceder directamente a los datos de los usuarios. Normalmente, es necesaria una autentificación desde el propio brazalete para recibir notificaciones.
No obstante, no es difícil lograr esta autentificación. Habitualmente basta con que el usuario presione un botón de la pulsera cuando ésta vibre, algo que se puede conseguir reiniciando la notificación hasta que lo pulse. Una vez superado este paso, acceder a los datos del dispositivo es sencillo. Y, pese a que en la actualidad estos brazaletes de fitness no contienen demasiada información y la que tienen suelen mandarla a la nube cada hora aproximadamente, el riesgo es evidente y ejecutar acciones en los dispositivos hackeados resulta muy sencillo.
Tras el experimento, las conclusiones a las que han llegado los analistas de Kaspersky Lab es que resulta relativamente sencillo piratear una de estas pulseras y, pese a que por el momento no revelan información demasiado útil para los ciberdelincuentes, en un futuro, con dispositivos más sofisticados, es posible que usen estos datos en su provecho.
