El estudio probó 81 dispositivos IoT para analizar su comportamiento y hábitos de seguimiento, y en algunos casos arrojó hallazgos bastante sorprendentes
¿Se ha detenido a pensar qué tipo de datos puede recopilar un dispositivo inteligente de aspecto inocuo, dónde se envía la información y si está cifrada? Investigadores de la Northeastern University y el Imperial College or university London han estudiado este mismo problema y llevado a cabo una serie de experimentos en entornos controlados tanto en los Estados Unidos como en el Reino Unido.
Su papel muestra que los investigadores adoptaron un enfoque interesante al configurar su laboratorio de EE. UU. para que parezca un estudio con todos los dispositivos IoT integrados. El «laboratorio de estudio» fue utilizado por 36 participantes durante seis meses, quienes interactuaron con los dispositivos de una manera que sería común en el uso diario. Estos experimentos no estaban controlados y consistían en capturar todo el tráfico no etiquetado generado por los dispositivos. Los resultados completos de los experimentos se resumen en el documento completo, llamado Exposición de información de los dispositivos IoT del consumidor.
Por ejemplo, se demostró que dos de los timbres inteligentes probados realizan tareas bastante inesperadas. La cámara integrada en uno de los timbres subió una instantánea después de su primera activación y cada vez que alguien se movía frente a ella, una característica que no se reveló en ningún lado. Curiosamente, no había forma de acceder a estas instantáneas, lo que plantea la pregunta: ¿dónde se cargaron estas instantáneas y por qué no había una manera de acceder a ellas?
El otro timbre, mientras tanto, grabó un video clip cada vez que un usuario se movía delante de él, y la aplicación complementaria que se united states para configurar el dispositivo no pudo revelar que se estaba capturando una grabación en tiempo serious, aunque se pudo encontrar esta información en la política de privacidad. Dicho esto, cuando los investigadores intentaron iniciar sesión en la cuenta asociada con el timbre, descubrieron que las grabaciones son accesibles solo después de pagar una tarifa mensual. Tras una investigación adicional, no pudieron encontrar una manera de desactivar esta función.
El estudio también analizó dónde los dispositivos IoT envían parte de su tráfico de pink. Las empresas que fueron contactadas por la mayoría de los dispositivos (31 de los EE. UU. Y 24 del Reino Unido) envían los datos a al menos un servidor que se ejecuta en Amazon Internet Expert services (AWS), la plataforma de nube elegida por la mayoría de las empresas en el estudio. Las otras direcciones contactadas con frecuencia fueron las de plataformas en la nube que pertenecen a Microsoft o Google.
Cuando se trata de televisores inteligentes probados, casi todos se comunicaron con Netflix. Lo cual es curioso ya que ninguno de los televisores se configuró con una cuenta de Netflix. Se puede ver un contraste entre los EE. UU. Y la Unión Europea en que los dispositivos en el laboratorio de EE. UU. Contactaron con más personas que no son las primeras, lo que puede atribuirse a las regulaciones de privacidad menos estrictas en comparación con las de la UE. Uno de nuestros artículos recientes. observó cómo los dispositivos de transmisión rastrean los hábitos de visualización de las personas.
Por un lado, la conclusión no parece tan sombría, con los investigadores elogiando el hecho de que varios dispositivos utilizan cifrado para proteger los datos personales de sus usuarios, con una exposición mínima en texto sin formato. Por otro lado, los dispositivos que carecen de cifrado pueden exponer los datos de las personas a miradas indiscretas y permitirles averiguar cómo se utilizan los dispositivos.
Este tipo de estudios ofrecen información valiosa sobre lo que algunos dispositivos IoT están haciendo y qué tipo de datos recopilan, especialmente si consideramos que muchos de nosotros no tenemos hábitos saludables de seguridad cibernética, como lo demuestra un reciente encuesta realizada por ESET.
