Noticias

Ciberacosadores podrían hackear un reloj para niños con una aplicación para hacer bromas telefónicas

Se han descubierto vulnerabilidades de seguridad en un reloj diseñado para que los padres puedan hacer un seguimiento de la ubicación de sus hijos. Las características inteligentes de este reloj pueden ser contraproducentes para la seguridad de los niños, ya que al estar desprotegidas además de anunciar a los padres dónde se encuentran sus hijos, exponen su ubicación a desconocidos.

Los relojes inteligentes MiSafes comenzaron a fabricarse en 2015. Utilizan tecnologías GPS y una conexión 2G para informar a los padres, mediante una aplicación en sus teléfonos, sobre la ubicación de sus hijos. El producto además permite a los padres establecer “zonas seguras” para recibir alertas cuando sus hijos salgan del territorio establecido. El dispositivo también funciona como un micrófono para que los padres puedan escuchar las conversaciones de sus hijos y les permite iniciar llamadas entre sí con facilidad.

A pesar de que estos relojes se promocionan como herramientas para mantener la seguridad de los niños, una investigación de Ken Munro y Alan Monie, analistas de seguridad de Pen Test Partners, develó que los dispositivos MiSafes no cifran los datos ni protegen las cuentas de los menores. Esto significa que cualquier hacker malintencionado podría espiar a los menores aprovechando el diseño y vulnerabilidades de estos relojes.

Los investigadores descubrieron que se podía usar un programa de fácil acceso en la red para acceder a la cuenta de los usuarios de los relojes MiSafes. “Quedamos sorprendidos con lo fácil que era acceder a los relojes inteligentes”, dijo Munro. “Creo que es el ciberataque más fácil que he visto en mi vida”.

Los investigadores utilizaron un programa para hacer bromas telefónicas, que cambia la identidad de la persona que llama en el identificador de llamadas. Esto fue suficiente para burlar toda la seguridad de los relojes MiSafes. “Ojalá fuese más difícil, pero no lo es”, opinó Munro. Todo este peligro está potenciado por el hecho de que el tráfico de datos de los relojes no está cifrado.

Esto le daba acceso a los perfiles de los menores que incluyen información que ayude a reconocerlos, como nombre, fecha de nacimiento, género, peso, altura y una fotografía. Además, las vulnerabilidades del reloj hacían que cada una de sus características pueda ser usada de forma maliciosa. Esto significa que un atacante podría penetrar en el equipo para activar el micrófono del reloj y espiar al niño, detectar su ubicación actual por GPS y conocer sus lugares más frecuentados, iniciar llamadas telefónicas con el menor haciéndose pasar por su familiar a cargo y alterar la zona segura para que se muestren alertas cuando el niño ingrese a la zona segura, no cuando salga de ella.

“Este es un ejemplo más de un producto inseguro que jamás debió haber llegado al mercado”, dijo Gro Mette Moen, del Consejo de Consumidores de Noruega. “Aconsejamos que se abstengan de comprar estos relojes hasta que los fabricantes puedan demostrar que sus características y estándares de seguridad son satisfactorios”.

Fuentes
MiSafes’ child-tracking smartwatches are ‘easy to hack’ • BBC News
Hacking MiSafes’ smartwatches for kids is child’s play • Naked Security
Smartwatches that track a child’s movements can be hacked by criminals • The Daily Telegraph

Ciberacosadores podrían hackear un reloj para niños con una aplicación para hacer bromas telefónicas

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada