Expertos descubren que los dispositivos inteligentes nos espían y guardan información del hogar sin permiso

La privacidad en el hogar puede estar en riesgo. Ante la llegada de múltiples dispositivos inteligentes, la información que compartimos en nuestra casa estaría vulnerable, ya que estos productos intercambian información y exponen detalles íntimos sin que los residentes lo noten.

Un reciente estudio realizado por centros de investigación, entre ellos Imdea Networks, Imdea Software y la Universidad Carlos III, ha revelado que la interacción entre estos aparatos y aplicaciones móviles implica riesgos significativos de seguridad y privacidad.

La investigación destaca que, dentro de un hogar común, los dispositivos conectados a la red WiFi interactúan y comparten información con otros aparatos y apps móviles. Este flujo de datos va más allá de la comunicación necesaria para el funcionamiento de estos dispositivos.

El estudio mostró que estos dispositivos pueden compartir direcciones MAC, números de serie y nombres de red SSID, creando un perfil digital del entorno doméstico que podría ser utilizado con fines de vigilancia.

Según David Choffnes, profesor de la Northeastern University y coautor del estudio, esta situación representa una invasión de la privacidad: “Estas debilidades dan a los atacantes una idea clara de qué hay en tu casa, quién está en ella y también cuándo se mueve y a dónde”.

Este análisis se llevó a cabo en el laboratorio Mon(IoT)r Lab, una réplica de un apartamento real con más de 100 dispositivos inteligentes, que permitió a los investigadores estudiar el comportamiento de estos aparatos y su conexión con aplicaciones móviles, tanto de los residentes como de sus visitantes.

Lo que se recopila no son conversaciones o mensajes, sino información técnica como direcciones MAC y nombres de redes Wi-Fi, que a primera vista pueden parecer datos inofensivos. Sin embargo, como explica Juan Tapiador, catedrático de la Universidad Carlos III, el valor informativo de un dato técnico puede ser difícil de prever.

Por ejemplo, un simple SSID (el nombre de la red WiFi) puede ser usado para determinar la geolocalización de un hogar, ya que hay servicios en línea que mapean las redes WiFi a nivel mundial.

El estudio detalla cómo ciertos dispositivos y apps pueden actuar como centinelas invisibles. Una app en el móvil que detecta el número de dispositivos conectados y sus identificadores puede inferir el nivel de renta de un hogar y quiénes lo visitan, sin necesidad de utilizar funciones de localización como el GPS. Esto es posible porque, si dos móviles acceden a la misma red, se sabe que están en la misma ubicación.

Más allá del tráfico local, los investigadores descubrieron cómo ciertos datos recolectados por los dispositivos pueden ser enviados a servidores remotos. Aplicaciones y SDKs de terceros pueden exfiltrar esta información para crear perfiles detallados de los hogares, una práctica que puede usarse para la vigilancia comercial y el seguimiento entre dispositivos.

Como lo señaló el estudio, esta información nutre una red oscura de recopilación de datos, que potencialmente puede identificar detalles como los hábitos de los residentes y sus estructuras sociales.

Narseo Vallina-Rodríguez, investigador de Imdea Networks, advirtió sobre el riesgo de que esta exposición de información sin control permita a empresas de publicidad o aplicaciones de espionaje construir un mapa digital de las actividades en un hogar. Este tipo de perfil puede identificar a los ocupantes de una casa, determinar cuándo salen y regresan, y revelar qué dispositivos poseen, detalles que podrían ser explotados por actores maliciosos.

El entorno de Android, por su estructura y la cantidad de desarrolladores involucrados, es particularmente vulnerable. Según Vallina-Rodríguez, muchas de estas prácticas se llevan a cabo sin el consentimiento explícito de los usuarios y, en ocasiones, sin respetar normativas como el Reglamento General de Protección de Datos (GDPR) de la Unión Europea.

Esto plantea preguntas sobre la capacidad de las leyes actuales para proteger a los consumidores en un contexto donde la tecnología avanza más rápido que la regulación.

El estudio identificó aplicaciones ampliamente descargadas que, al tener acceso a permisos como la localización, pueden rastrear redes WiFi y otros dispositivos cercanos. Este tipo de actividad es un ejemplo de crowdsourcing masivo, en el que millones de usuarios contribuyen involuntariamente a un mapa global de redes domésticas.

“Cuando tú le dices a alguien, ‘esta bombilla está cogiendo el SSID o la dirección MAC del router’, es igual que decirle ‘esta bombilla está cogiendo la localización de tu casa’”, enfatiza Tapiador.