El mundo a tu alcance… y al de ellos también

La tecnología ha cambiado la forma en que vivimos y trabajamos. Con la aparición de los dispositivos portátiles de todo tipo, o wearables, la convergencia entre el mundo virtual y el físico hace que la gente se sienta más natural usando la tecnología todo el tiempo. Google Glass es uno de los dispositivos portátiles más asombrosos y aunque todavía se encuentra en desarrollo, es innegable que permitirá hacer cosas asombrosas y experimentar el mundo de una forma distinta.

Listos para usarse, pueden realizar búsquedas en Internet, tomar fotos o grabar videos, revisar el correo, enviar mensajes o publicar información en Google+. Lo que en realidad nos emociona es su potencial aplicación en campos como la medicina o la educación. Este dispositivo podría llegar a ser indispensable al permitir que los cirujanos verifiquen los signos vitales de sus pacientes o transmitan sus cirugías a otros especialistas. Del mismo modo, podemos prever novedosas maneras de transmitir conocimientos a los estudiantes en forma interactiva. Quizás hasta lleguemos a imaginar su uso policial, permitiendo, por ejemplo, el reconocimiento inmediato de criminales buscados.

Por desgracia, la aparición de nuevas tecnologías también conlleva nuevos riesgos de seguridad. Existe mucha preocupación por los riesgos potenciales para la privacidad y por las formas en que estos nuevos dispositivos podrían quedar comprometidos. Los ciberdelincuentes no cesan en su búsqueda de nuevas formas de obtener ganancias de sus víctimas, y en cuanto descubren una oportunidad, trabajan día y noche para lograr su objetivo.

Nuevas tecnologías, viejos riesgos.

Los dispositivos nuevos y los que ya existen tienen varios puntos en común: utilizan los mismos protocolos y están interconectados con otros dispositivos que usan aplicaciones similares. No hay forma de evitarlo. Los vectores tradicionales de ataque apuntan principalmente a la red, ya sea como Man-in-The-Middle (MiTM), explotando alguna vulnerabilidad en el sistema operativo o atacando a las aplicaciones. Puesto que utiliza la plataforma Android, Glass podría heredar las vulnerabilidades conocidas que se detectaron en otros dispositivos con la misma plataforma.

Existen dos formas de navegar la web con Google Glass: a través de una conexión Bluetooth con un dispositivo móvil que comparte los datos de su conexión de red, o directamente a través de Wi-Fi, previa configuración de la red mediante un código QR generado por una cuenta MyGlass o una aplicación móvil.

El procedimiento para agregar una red es bastante sencillo: cuando se agrega el nombre de una red y una contraseña, se genera un código QR que contiene los ajustes de la conexión que le permite a Google Glass conectarse automáticamente a la red.

El año pasado, la compañía de seguridad Lookout publicó una vulnerabilidad relacionada con este procedimiento que engaña al usuario para que se conecte con un falso punto de acceso mediante un QR malicioso, lo que permite que un atacante penetre en la comunicación de la red y desvíe al usuario hacia un sitio web malicioso que podría explotar una vulnerabilidad web de Android conocida. Se reparó esta vulnerabilidad, pero nos sirvió para darnos cuenta de la posibilidad de que los atacantes descubran formas de comprometer estos novedosos dispositivos.

Una fuente de riesgos potenciales es que a diferencia de un ordenador o un dispositivo móvil, la interfaz de Glass se navega mediante ‘tarjetas’ para desplazarse a través de las diferentes aplicaciones y ajustes, lo que limita las opciones de configuración, y en algunos casos se automatizan ciertos procedimientos y funciones con mínima intervención del usuario, como es el caso de la conexión a una red o compartir información. Esta automatización les abre la puerta a los hackers para acceder a la privacidad del usuario.

Otra amenaza es la tendencia de los usuarios a activar el “modo depurar” para instalar aplicaciones fuera del ecosistema oficial de Glass, pues existe el riesgo de instalar aplicaciones maliciosas.

Esto les permite a los nuevos atacantes utilizar viejos métodos, como la ingeniería social recurriendo a las palabras mágicas: “gratis” y “sexo”. Aunque no todas las aplicaciones que se publicitan de esta manera son maliciosas, estas palabras son un anzuelo para los usuarios que buscan nuevas experiencias y que están dispuestos a salir de la zona de comodidad predefinida por el fabricante.

Una sencilla prueba

Como mencionamos antes, una característica que diferencia a Glass de los otros dispositivos portátiles es su habilidad para navegar en Internet directamente mediante una conexión Wi-Fi, en lugar de conectarse a otro dispositivo móvil para poder hacerlo. Sin embargo, esta habilidad también significa que el dispositivo está expuesto a ataques de vectores de red, especialmente del tipo MiTM.

Imagina este escenario: estás en tu café favorito y decides conectarte a la red Wi-Fi con tu dispositivo Glass. Ajustas la red y te dispones a usar Foursquare y a activar una aplicación para reconocer la canción que estás escuchando. Pero, ¿qué pasaría si alguien está usando esta red como una herramienta para infectar otros dispositivos para desviar el tráfico hacia una dirección IP router a fin de capturar todo el tráfico de la red?

Pusimos a prueba lo que pasaría en un laboratorio de red controlado. Una vez que la red quedó comprometida, realizamos algunas búsquedas en Google, navegamos sitios, enviamos imágenes y mensajes a nuestros contactos, e incluso leímos las noticias.

Una vez que capturamos el suficiente tráfico para analizar, descubrimos que casi todo el tráfico permanece cifrado después de comprometer la red, especialmente las búsquedas en Google. Sin embargo, encontramos suficiente información en texto plano para correlacionar y reconstruir la navegación del usuario por sitios de aerolíneas, hoteles y destinos turísticos, y cómo y dónde se conectó el dispositivo. En este caso no había datos confidenciales, pero podrían servirle a algún hacker que trabaje en la construcción de perfiles.

Al final, como sucede con otros dispositivos, hay que visualizar la seguridad en capas, y necesitamos proteger cada una de estas capas para reducir el riesgo de quedar comprometidos.

En este caso, la capa de la red podría quedar expuesta ya que el dispositivo puede conectarse a redes públicas pero carece de la opción para conexiones VPN, lo que permite que los ciberpiratas capturen el tráfico y lo analicen.

En los siguientes meses veremos dispositivos portátiles, o wearables, que se convierten en blancos de ataques, lo que resaltará la necesidad de prestar especial atención a estos dispositivos, a sus capacidades y a la información que manejan.

Sígueme en Twitter: @r0bertmart1nez