Presentes de forma silenciosa para difundir nuestra voz, guardar nuestra memoria o registrar nuesra actividad física, a veces son víctimas de pirateos. Y sin que nos demos cuenta, alguien nos ha instalado malware, se queda con nuestra información personal o toma el control del aparato. Los sensores, cámaras y micrófonos de los dispositivos portátiles son blanco de los ciberatacantes, y cuidarlos sirve para proteger nuestra privacidad.
“El peligro de estos elementos es sobre todo su ubicuidad y capacidad para pasar desapercibidos”, resume Sergio de los Santos, coordinador del área de Innovación y Laboratorio de ElevenPaths, a Xataka. “Si bien antes podíamos estar razonablemente seguros de que nuestra conversación no estaba siendo grabada (tanto en audio como en vídeo), ahora es mucho más sencillo que así sea. Y ya no solo por los teléfonos móviles que llevan todos los interlocutores, sino por los dispositivos en casa que obedecen a comandos de voz”.
Te puede pasar a ti: los casos que recuerdan los expertos
Todos estamos expuestos a que se filtre nuestra información, por muy anónimos que seamos. “Agregada con millones de usuarios, supone un valor muy interesante con el que comercian, lo que convierte al usuario en un mero generador de información valiosa por la que, quizás, no percibe ningún beneficio acorde ni controla el uso”, dice De los Santos.
Varios han sido los casos sonados. En España, en 2018, conocimos que la aplicación oficial de La Liga se servía de los micrófonos y de la ubicación para encontrar bares sin licencia de emisión de partidos. En este caso, la aplicación avisaba de la recopilación de datos... en sus términos de uso. “Aunque quizás ingenioso para los intereses de La Liga, el compromiso de la privacidad era demasiado. No está justificado y sus creadores no valoraron la privacidad de los usuarios”, resume De lo Santos.
Alfonso Muñoz, experto en ciberseguridad y fundador de CriptoCert, señala a Xataka que los ciberatacantes se suelen centrar en piratear cámaras y micrófonos, “pero existen otros sensores que pueden provocar problemas de privacidad y no siempre son fáciles de proteger”. Cita cómo se han usado sensores de acelerómetros para robar contraseñas o micrófonos para captar patrones, También recuerda cuando se filtraron los datos de actividad sexual de los usuarios de Fitbit, que por defecto eran públicos en el perfil de cada usuario.
Yago Jesús, editor de Security by Default, apunta a Xataka que los sistemas de autovigilancia, como las webs de monitorización de niños y las cámaras que instalamos en casa, son los que más problemas dan. “A la hora de configurarlo, por la comodidad o por lo que sea, permiten accesos de internet” con los que pueden filtrar las imágenes en ciertas webs. “En el boom de estas cámaras, era como un Gran Hermano”, recuerda. “Te encontrabas una cámara que estaba guardando un perro, otra cámara con una familia comiendo, un abuelo sentado en el sofá…”.
Ángela García Valdés, técnica de ciberseguridad del área de Ciudadanos del Instituto Nacional de Ciberseguridad de España (INCIBE), destaca a Xataka ciertas aplicaciones de linterna que, para usar el flash, piden acceso a la cámara. “Al final lo que quieren es intentar acceder a tus datos o instalarte algún tipo de malware”.
Trucos para aumentar la privacidad de sensores, cámaras y micrófonos: los markets
García Valdés alerta sobre las aplicaciones malignas y las solicitudes para acceder a micrófonos, cámaras y sensores: “Es muy importante cuando nos instalamos una aplicación fijarnos en qué permisos nos solicita; pensar si tienen sentido o no, y, si vemos que no, desconfiar”.
También, recuerda el consejo básico de instalar apps desde markets oficiales, como la Play Store de Android o la App Store de iOS. Dentro de ellas, hay que fijarse en los comentarios de otros usuarios, el desarrollador o el número de descargas: si los comentarios son positivos, el desarrollador es “confiable”, el volumen de descargas grande y los permisos que pide plausibles, hay más posibilidades de acierto.
Las cautelas no terminan después de instalar. La técnica de INCIBE recomienda revisar de vez en cuando las aplicaciones instaladas, para limpiar y para comprobar los permisos que dimos en el pasado. “A lo mejor en su día pensamos que tenía coherencia y ahora nos damos cuenta de que no, o ahora somos más conscientes de lo que estamos haciendo”. Para cualquier duda, el INCIBE cuenta con una Oficina de Seguridad del Internauta y el 017, una línea telefónica gratuita y confidencial sobre ciberseguridad.
Más trucos: el sistema operativo de los gadgets y las empresas fabricantes “reputadas”
Sigamos protegiéndonos. Muñoz, que también recomienda ser precavidos con las aplicaciones que descargamos y los permisos que piden, advierte sobre la buena configuración del sistema operativo del dispositivo (“en el caso de móvil existen muy buenas guías accesibles del Centro Criptológico Nacional”, por ejemplo para iOS y para Android). Al mismo tiempo, sugiere tirar de bloqueadores de cámara y de micrófono cuando no los estemos usando. En este sentido, García Valdés recuerda las pegatinas, pinzas “o un simple pósit” para tapar las cámaras de portátiles, teléfonos y demás familia.
El mismo Muñoz tapa la cámara delantera y trasera de su smartphone y se sirve de un bloqueador de micrófono: “Es útil para gran parte de las aplicaciones que hay disponibles en los markets”. De los Santos también recomienda “tapar físicamente pantalla y micrófonos” de dispositivos propios si no los estamos usando. Y, si no es así (estamos con el de un amigo o con el de nuestra empresa), usar dispositivos de confianza de “empresas reputadas”, según sus palabras (“y aun así nos hemos llevado sorpresas con compañías que finalmente reconocieron que se filtraban las conversaciones”, alerta).
Más allá de los dispositivos móviles, están las cámaras y sensores que usamos para la vigilancia personal y que mencionábamos al comienzo. Para ellos, Jesús aconseja apostar por profesionales de la seguridad y por un sistema de vigilancia cableado, sobre todo si no sabemos configurar y segurizar cámaras que mandan los datos a través de conexiones inalámbricas. Él mismo usa equipos profesionales que le dan esa confianza.
Consejos para usuarios pro: fijarse en el hardware y el tráfico de red
Si hay usuarios avanzados de smartphones a los que estos consejos se les queden cortos, hay cuidados extra. Muñoz les recomienda centrarse en el hardware: “Este es el motivo fundamental por el que están apareciendo móviles en los que puedes instalar sistemas operativos Linux”. En ellos, explica el especialista, hay “algo más de control” en el software instalado y es más fácil instalar contramedidas y desconectar físicamente sensores”.
El fundador de CriptoCert lamenta que “supuestas propuestas de móviles construidas desde cero” tienen un precio “prohibitivo” para la mayoría de los usuarios. Además, “todavía faltan auditorías de seguridad independientes que verifiquen de verdad si sus afirmaciones de protección son correctas”.
Otra medida, aportada por Jesús, es “analizar el tráfico de red”: “Esto suele dar mucha luz tanto para si algo está a la escucha (y moviendo lo capturado) como en general para troyanos” cuenta el especialista. Según sus indicaciones, nos debemos fijar en si hay un tráfico de red alto con el equipo en reposo (por ejemplo, recién encendido, con los navegadores web cerrados) o si el equipo se conecta a, por ejemplo, hosts alojados en China y servidores privados virtuales (VPS) que nos resulten raros.
TCPView y Wireshark son algunas de las herramientas para analizar y detectar estos peligros. Este último, explica Jesús, “es fantástico por el detalle y los disectores [patrones que permiten analizar un protocolo] que tiene para ver más allá de una conexión. Podrías incluso determinar si el tráfico que mueves es algo con compresión vídeo o audio”.
Ser usuario pro también es conocer los aparatos para protegerse ante los peligros que surjan. García Valdés lo resume así: “Saber qué información recogen, qué se hace con esa información y cómo y durante cuánto tiempo se almacena. Sin olvidarnos de estar al día sobre las posibles vulnerabilidades, mantener al día las actualizaciones, revisar las opciones de privacidad y seguridad y crear una red separada para el uso de este tipo de dispositivos”.--
Los consejos son múltiples y las precauciones muchas. Esto no quiere decir que sensores, cámaras y micrófonos sean el mal. “El mayor peligro no está en los elementos”, resume De los Santos, “sino en cómo los percibimos”.
El miembro de ElevenPaths se explica: “Su capacidad para incrustarse en la sociedad ha permitido que relajemos cualquier intento de proteger la privacidad porque nos parece una batalla perdida y que la supuesta recompensa (proteger una privacidad que no respetamos demasiado) no compensa el esfuerzo (que puede ser percibida como un exceso de paranoia)”. Para revertir este pensamiento, ellos nos han dado un buen puñado de consejos.
Imágenes | cedidas por Sergio de los Santos, Alfonso Muñoz, Yago Jesús e INCIBE; Matthias Oberholzer; Chevanon Photography; Bernard Hermant
Ver 3 comentarios