Los rastreadores de mascotas se han hecho muy populares, sin embargo, una nueva investigación descubrió que pueden poner en riesgo los datos personales de los dueños.
Informáticos de la Universidad de Newcastle y de Royal Holloway, Universidad de Londres, descubrieron múltiples problemas de seguridad y privacidad al evaluar 40 aplicaciones populares de Android para mascotas y otros animales de compañía, así como para animales de granja.
Los resultados del estudio presentado en el 2022 IEEE European Symposium on Security and Privacy Workshops muestran que varias de estas apps ponen en peligro a sus usuarios al exponer sus datos de acceso o localización.
“Aunque los dueños puedan utilizar estas aplicaciones para estar tranquilos sobre la salud de su perro o dónde está su gato, puede que no les haga mucha gracia descubrir los riesgos que entrañan para su propia ciberseguridad”, explica a Metro Scott Harper, candidato a doctor en la Escuela de Informática de la Universidad de Newcastle y autor principal del estudio.
La vulnerabilidad de las contraseñas fue una de las áreas expuestas por el equipo. Identificaron tres aplicaciones en las que los datos de acceso de los usuarios eran visibles en texto plano dentro de tráfico HTTP no seguro. Esto significa que cualquiera puede mirar el tráfico de Internet de alguien que utilice una de estas aplicaciones y averiguar sus datos de inicio de sesión.
Además de esta información, dos de las aplicaciones mostraban detalles del usuario, como su ubicación, lo que podría permitir a alguien acceder a los dispositivos y realizar un ciberataque.
Otra preocupación identificada por la investigación fue el uso de rastreadores. Se descubrió que todas las aplicaciones, excepto cuatro, incluían algún tipo de software de seguimiento. Un rastreador recopila información sobre la persona que utiliza la aplicación, cómo la utiliza o qué smartphone está utilizando.
Los científicos también advirtieron que las aplicaciones no informan bien al usuario de su política de privacidad. Su análisis mostró que 21 aplicaciones rastrean al usuario sin ningún consentimiento, violando la normativa vigente sobre protección de datos.
“Instamos a cualquiera que utilice estas aplicaciones a que se tome el tiempo necesario para asegurarse de que utiliza una contraseña única, compruebe la configuración y se asegure de que tiene en cuenta cuántos datos comparte o está dispuesto a compartir”, concluye Harper.
21
de las 40 aplicaciones analizadas rastrean a los usuarios sin su consentimiento.
Scott Harper explica a Metro cómo evitar ser rastreado por aplicaciones para mascotas:
-Los usuarios deben asegurarse de que utilizan una contraseña única sólo para esa aplicación.
-Compruebe la configuración y considere qué datos están compartiendo.
-Los propietarios deben ser conscientes de los riesgos e investigar sobre cualquier nuevo dispositivo del Internet de las Cosas que introduzcan en sus hogares.
-Leer guías como el proyecto “Privacidad no incluida” de Mozilla, que ayudan a informar a los consumidores sobre los posibles riesgos de seguridad y privacidad de estos dispositivos.
¿Qué reveló la investigación en términos de seguridad y privacidad?
Seguridad: 3 de las 40 aplicaciones revelaban los datos de acceso del usuario en texto plano en tráfico HTTP no seguro. Esto significa que un atacante podría observar fácilmente el proceso de inicio de sesión y conocer los datos de acceso del usuario. Esto podría utilizarse para obtener acceso a estas aplicaciones, o para acceder a cualquier otra cuenta del usuario que utilice la misma información de inicio de sesión. Dos de estas tres aplicaciones también revelaron información adicional del usuario en la respuesta a este mensaje de inicio de sesión. En el caso de una de estas aplicaciones, se incluía la longitud y latitud estimadas del usuario. La otra aplicación mostraba el código postal del usuario, así como su número de casa, lo que significa que ambas revelaban la ubicación del usuario.
Privacidad: Los científicos descubrieron que 21 de las aplicaciones interactuaban con algún tipo de software de seguimiento antes de que el usuario tuviera la oportunidad de dar su consentimiento, lo que viola el Reglamento de Protección de Datos. Al crear una cuenta o iniciar sesión, 23 de las aplicaciones no mencionaban en absoluto su política de privacidad.
Entrevista
Scott Harper
candidato a doctor en la Escuela de Informática de la Universidad de Newcastle
P: ¿Por qué realizaron esta investigación?
- Habíamos estado investigando las distintas tecnologías para mascotas que se utilizan y descubrimos que algunos de los dispositivos más comunes son los monitores de actividad y los dispositivos GPS que se colocan en el collar de la mascota. Los datos recogidos por estos dispositivos pueden estar directa o indirectamente relacionados con la ubicación o la rutina del usuario humano, por lo que serían preocupantes en manos de un malintencionado.
Dado que estas tecnologías manejan datos relacionados con el usuario humano, pero no están necesariamente diseñadas pensando en él, queríamos comprobar si estos dispositivos y las aplicaciones que se comunican con ellos transmiten de forma segura la información del usuario.
P: ¿Cómo analizaron las aplicaciones?
- Realizamos análisis estáticos, dinámicos, de tráfico de red y de política de privacidad. Para el análisis del tráfico de red, utilizamos el entorno de interceptación de datos de Privacy International, que nos permitió identificar los problemas de seguridad que encontramos. Para el análisis estático, utilizamos Exodus para identificar los permisos solicitados y cualquier software de seguimiento con el que se comunicara la aplicación. Para el análisis dinámico se utilizó Lumen Privacy Monitor, para identificar de nuevo los permisos solicitados y los rastreadores, esta vez mientras se utiliza la aplicación. Esto nos permitió ver si la aplicación se comunicaba con el software de seguimiento antes de que el usuario pudiera consentir su uso.
P: ¿Cómo filtran las aplicaciones para mascotas información sobre sus dueños?
- Las tres aplicaciones filtraron la información al no cifrar ninguno de los mensajes del proceso de inicio de sesión en su aplicación. Esto hacía que el nombre de usuario y la contraseña del usuario fueran fácilmente visibles para cualquier atacante que viera su tráfico de red.