As¨ª nos esp¨ªan los dispositivos inteligentes y revelan informaci¨®n de nuestras casas: ¡°La gente no tiene ni idea¡±

La casa ha sido tradicionalmente el lugar m¨¢s privado para una familia. Pero primero entr¨® el m¨®vil, y ahora tambi¨¦n lo han hecho los dispositivos inteligentes. Sus conversaciones digitales hacen que, a menudo sin que los usuarios lo sepan, den detalles ¨ªntimos de cada hogar que antes eran imposibles de obtener. Las investigaciones sobre estos dispositivos hasta ahora se centraban en los riesgos externos, que provienen de fuera del hogar: ?es posible acceder a una c¨¢mara casera desde internet? ?Es vulnerable un altavoz inteligente? Ahora, un trabajo pionero de varias universidades y centros de investigaci¨®n, entre ellos los espa?oles Imdea Networks, Imdea Software y la Universidad Carlos III, descubre que tambi¨¦n, debajo de la calma te¨®rica de una casa, existen multitud de riesgos.

¡°Uno de los mayores problemas es la invasi¨®n de la privacidad¡±, dice David Choffnes, profesor de la Northeastern University (Boston, EE UU) y uno de los coautores del trabajo. ¡°Estas debilidades dan a los atacantes una idea clara de qu¨¦ hay en tu casa, qui¨¦n est¨¢ en ella y tambi¨¦n cu¨¢ndo se mueve y a d¨®nde. Descubrimos que algunas apps aprovechan esto para recoger datos de las casas, con fines que no tienen nada que ver con su funci¨®n. Si nuestros hogares son el lugar m¨¢s privado, me parece una invasi¨®n de privacidad grave¡±, a?ade.

Choffnes y su equipo montaron en su universidad un ¡°laboratorio/apartamento viviente con m¨¢s de 100 dispositivos¡± llamado Mon(IoT)r Lab [IoT son las siglas en ingl¨¦s del internet de las cosas]. Es como una gran fiesta, pero de dispositivos. All¨ª, investigadores de la universidad y de otros centros estudian toda la variedad de comportamientos y relaciones que se dan entre ellos, desde bombillas y neveras, a routers y altavoces, que se comunican entre s¨ª. Esta investigaci¨®n estudia adem¨¢s las conexiones de todos ellos con apps, tanto las que gestionan esos dispositivos como otras que llevan usuarios de Android en sus m¨®viles, y tanto de quienes viven en esa casa como de quienes la visitan. El entorno de Apple es mucho m¨¢s privado.

EL PA?S ha preguntado por este estudio a Google, que compr¨® Android en 2005 y tiene una l¨ªnea de dispositivos inteligentes. Esta es la respuesta de una portavoz: ¡°Apreciamos mucho la investigaci¨®n de la comunidad de seguridad. Estamos mejorando constantemente nuestras protecciones de seguridad para ayudar a mantener seguros a los usuarios de Android¡±. El entorno Android, por sus caracter¨ªsticas y n¨²mero de actores, tiene un mont¨®n de retos por resolver.

¡°Creo que la gente no tiene ni la m¨¢s remota idea de que todos los dispositivos conectados a la wifi hablan entre s¨ª de alguna manera. Y eso tiene implicaciones¡±, dice Juan Tapiador, catedr¨¢tico de la Universidad Carlos III y tambi¨¦n coautor del estudio.

?Qu¨¦ tipo de informaci¨®n comparten estos dispositivos? No son las conversaciones ni mensajes que mandamos. El tipo de informaci¨®n que circula va desde direcciones ¨²nicas de dispositivos (llamadas MAC), n¨²meros de serie, versiones de protocolos vulnerables o incluso nombres de dispositivos concretos como ¡°altavoz de Jorge en comedor¡±.

Toda esta informaci¨®n, y los servicios a los que se conectan, permiten inferir muchos detalles de nuestras vidas, y podr¨ªan proporcionar una huella digital de nuestra casa, lo que permitir¨ªa ataques o vigilancias dirigidas: ¡°La exposici¨®n de esta informaci¨®n sin control¡±, dice Narseo Vallina-Rodr¨ªguez, investigador de Imdea Networks y coautor, ¡°permite que servicios de publicidad o aplicaciones de espionaje realicen una huella digital de tu casa que la identifique de forma ¨²nica o puedan inferir tu nivel de renta y h¨¢bitos¡±. No solo eso. Si estos aparatos escanean de forma frecuente en busca de nueva informaci¨®n, ¡°pueden inferir qui¨¦n entra y sale de casa y tus estructuras sociales para monitorizar sus actividades a trav¨¦s de redes y dispositivos¡±, a?ade el experto.

No entendemos bien los riesgos

Alguien puede pensar que todo esto no es tan grave porque no parece tan ¨ªntimo. Los usuarios tienden a malinterpretar el riesgo que implica la reuni¨®n de docenas de datos puntuales de una casa. Estos datos son captados, por ejemplo, por apps que llevamos en los m¨®viles y recogen el n¨²mero de serie del router o el nombre de la conexi¨®n, lo que permite saber la localizaci¨®n (sin ni siquiera acceder al GPS del dispositivo). Hay p¨¢ginas donde est¨¢n mapeados los wifis de todo el mundo. Si dos m¨®viles acceden al mismo wifi, no solo se sabe que est¨¢n cerca, sino tambi¨¦n d¨®nde est¨¢n. Si una app del m¨®vil del visitante escanea cu¨¢ntos dispositivos inteligentes hay all¨ª, y cu¨¢les, ese dato puede ayudar a calcular la renta de un hogar.

¡°Una de las cosas que nos cost¨® m¨¢s que la gente entendiese es que el valor informativo que tiene un dato t¨¦cnico a veces es dif¨ªcil de prever¡±, dice Tapiador. Por ejemplo el SSID, que es el nombre de la red wifi. Cuando un m¨®vil escanea las redes disponibles, se ve el nombre de todas las cercanas. ¡°Hay muchos servicios online que a partir de ese nombre te proporcionan informaci¨®n de geolocalizaci¨®n¡±, sigue Tapiador.

Un ejemplo concreto del uso temible de la combinaci¨®n de informaci¨®n que se puede reunir gracias a estos dispositivos lo da Vijay Prakash, investigador de la Universidad de Nueva York, y coautor del estudio: ¡°Si un actor malicioso abusa de la informaci¨®n que flota libremente en las redes dom¨¦sticas inteligentes, puede rastrear a un usuario a trav¨¦s de dispositivos de varios proveedores. Por ejemplo, si una aplicaci¨®n maliciosa toma huellas de casas inteligentes de varios usuarios, y alguno de ellos visita la casa de uno de los usuarios, digamos Juan, con su tel¨¦fono encima, la aplicaci¨®n podr¨ªa inferir las relaciones sociales del usuario Juan y los horarios en que los dem¨¢s usuarios le visitan¡±. Hay que tener en cuenta que esto no pasar¨ªa solo una vez, sino continuamente.

Apps analizadas en el estudio con millones de descargas contienen software que recoge este tipo de informaci¨®n. Si una app, por ejemplo, tiene acceso a la localizaci¨®n y escanea las redes wifi, ya sabe que esas redes est¨¢n ah¨ª: ¡°Esto es crowdsourcing [labor colectiva] realizado por millones de personas¡±, sigue Tapiador. ¡°Hay mapas de todo el mundo con esos nombres. Cuando t¨² le dices a alguien, ¡®oye, esta bombilla est¨¢ cogiendo el SSID o la direcci¨®n MAC del router¡¯, es igual que decirle ¡®esta bombilla est¨¢ cogiendo la localizaci¨®n de tu casa¡±. Ese no es el ¨²nico problema: ¡°La cuesti¨®n es qu¨¦ otras relaciones pueden tejer a partir de ah¨ª. Permitir que tengas acceso a tr¨¢fico que te generan los dispositivos puede tener consecuencias no anticipadas¡±, dice.

Sin permisos legales

Muchos de estos ejemplos no son legales, pero el entorno Android es una selva: ¡°Estas pr¨¢cticas tienen muchas implicaciones, ya que muchas veces ocurren sin ning¨²n tipo de consentimiento del usuario, y adem¨¢s se obtiene informaci¨®n sensible como la geolocalizaci¨®n o los dispositivos y usuarios, datos protegidos por el Reglamento General de Protecci¨®n de Datos¡±, dice Vallina-Rodr¨ªguez.

Este es un ejemplo del baile de conversaciones que los dispositivos tienen dentro de una casa, seg¨²n est¨¢ explicado en la investigaci¨®n: ¡°Seis aplicaciones [de dispositivos caseros] transmiten direcciones [¨²nicas MAC] de dispositivos a la nube, y los destinatarios son dominios propios [por ejemplo, Alexa] o proveedores externos como Tuya, un proveedor de plataformas [de dispositivos caseros] con sede en China, y Amplitude, un servicio de an¨¢lisis¡±.

A un humano toda esta combinaci¨®n de datos le puede parecer pesad¨ªsima e insufrible. Pero para las m¨¢quinas es su labor cotidiana. M¨¢s all¨¢ de hipot¨¦ticos riesgos de seguridad, esta informaci¨®n nutre la enorme y oscura maquinaria del marketing y la publicidad mundial, tambi¨¦n llamada ¡°vigilancia comercial¡±. De momento no ocurre, pero igual que recibimos publicidad personalizada en los m¨®viles, la industria ya podr¨ªa identificar nuestro hogar para personalizar la publicidad a nuestras condiciones econ¨®micas y familia: ?qu¨¦ hay m¨¢s f¨¢cil que descubrir cu¨¢ndo una pareja se separa o qu¨¦ nivel de renta tienen los amigos que van a tu fiesta de cumplea?os?

¡°Igual que muchas p¨¢ginas hacen una huella digital del usuario para reconocerlo entre sesiones a pesar de que borres las cookies¡±, dice Tapiador, ¡°vimos que es posible hacer lo mismo para una casa usando los dispositivos. Es una observaci¨®n te¨®rica en el sentido de que a d¨ªa de hoy posiblemente no se hace personalizaci¨®n dirigida a hogares espec¨ªficos, pero la posibilidad de que se pueda hacer est¨¢ ah¨ª¡±, a?ade.

Puedes seguir a EL PA?S Tecnolog¨ªa en Facebook y X o apuntarte aqu¨ª para recibir nuestra newsletter semanal.