En teoría, nuestros hogares son lugares privados y de confianza, pero la proliferación de dispositivos IoT ha desafiado esta percepción.

Los hogares inteligentes se están volviendo cada vez más comunes en todo el mundo, con una creciente variedad de dispositivos IoT (Internet de las Cosas) que van desde teléfonos y televisores inteligentes hasta asistentes virtuales y cámaras de circuito cerrado de televisión. Estos dispositivos están diseñados para hacer nuestras vidas más cómodas y eficientes, pero a menudo nos enfrentamos a la pregunta crucial: ¿podemos confiar en que estos dispositivos manejan y protegen adecuadamente los datos sensibles a los que acceden?.

Un equipo internacional de investigadores dirigido por IMDEA Networks y la Northeastern University, en colaboración con la NYU Tandon School of Engineering, la Universidad Carlos III de Madrid, IMDEA Software, la Universidad de Calgary y el International Computer Science Institute, se propuso responder a esta pregunta y desveló hallazgos pioneros sobre los retos de seguridad y privacidad que plantea la creciente prevalencia de dispositivos opacos y técnicamente complejos del Internet de las Cosas en los hogares inteligentes.

El equipo de investigadores realizó un amplio estudio titulado «In the Room Where It Happens: Characterizing Local Communication and Threats in Smart Homes». El estudio se presentó en la ACM Internet Measurement Conference (ACM IMC’23) de Montreal y representa el primer intento de profundizar en las interacciones de la red local entre 93 dispositivos IoT y aplicaciones móviles. Los resultados del estudio revelan una serie de amenazas a la seguridad y la privacidad que hasta ahora habían pasado desapercibidas, pero que tienen implicaciones significativas en el mundo real.

En teoría, nuestros hogares son lugares privados y de confianza, pero la proliferación de dispositivos IoT ha desafiado esta percepción. David Choffnes, Profesor Asociado de Informática y Director Ejecutivo del Instituto de Ciberseguridad y Privacidad de la Universidad Northeastern, señala que los dispositivos inteligentes están traspasando ese velo de confianza y privacidad. Estos dispositivos no solo pueden detectar qué dispositivos hay en tu hogar, sino también cuándo estás en él y tu ubicación. Lo que es aún más preocupante es que, en muchos casos, estas acciones no se comunican de manera transparente a los usuarios. Esto plantea interrogantes sobre la protección de la privacidad en los hogares inteligentes.

Amenazas a la Seguridad y la Privacidad en Redes Locales

A pesar de que la mayoría de las personas consideran sus redes locales como entornos seguros y fiables, el estudio destaca nuevas amenazas relacionadas con la exposición no deseada de datos sensibles por parte de dispositivos IoT debido al uso inapropiado de protocolos estándar como UPnP (Universal Plug and Play) o mDNS (Multicast DNS). Estos datos incluyen la exposición de nombres únicos de dispositivos, identificadores únicos (UUID) e incluso datos de geolocalización de hogares. Lo alarmante es que esta información puede ser recolectada y utilizada por la industria de datos y marketing sin que el usuario sea consciente de ello.

Vijay Prakash, estudiante de doctorado de la NYU Tandon y coautor del estudio, destaca que se encontraron pruebas de que los dispositivos IoT exponen inadvertidamente información personal identificable en miles de hogares inteligentes reales. Los datos como la dirección única de hardware (MAC), UUID o nombres únicos de dispositivos se convierten en elementos clave para identificar un hogar. La combinación de estos tres datos hace que un hogar sea único y fácilmente identificable a nivel global. Comparativamente, si a un usuario web se le perfila utilizando la técnica más simple de «fingerprinting», es tan único como uno de cada 1,500 personas. Sin embargo, cuando se perfila un hogar inteligente con tan solo tres datos de dispositivos IoT, es tan único como uno de cada 1.12 millones de hogares inteligentes.

Abuso de Protocolos de Red Local

Uno de los hallazgos preocupantes del estudio es el abuso de protocolos de red local que permiten el acceso a datos supuestamente protegidos por permisos de Android. Aunque se supone que los desarrolladores de aplicaciones Android deben solicitar permisos del sistema para obtener el consentimiento de los usuarios para acceder a datos como la geolocalización, el estudio demuestra que ciertas aplicaciones y empresas de publicidad utilizan los protocolos de red local para acceder silenciosamente a esta información sin el conocimiento del usuario. Todo lo que necesitan es solicitar esta información a otros dispositivos IoT dentro de la red local utilizando protocolos de red está