Cada vez que alguien menciona un fallo de seguridad en el Internet de las Cosas, muere un gatito. Bueno, no, pero casi. No hace falta buscar mucho para darse cuenta de que la cantidad de dispositivos de todo tipo conectados a Internet está creciendo exponencialmente, pero su seguridad no lo hace de igual forma.
Smart TV y la privacidad
Las Smart TV no son ningún dispositivo nuevo, puesto que llevan ya unos cuantos años entre nosotros. No cabe duda de que han cambiado el modo que teníamos de ver la televisión y que sus posibilidades han ido en aumento. Casi me atrevería a decir que las Smart TV actuales son como móviles gigantes con su posibilidad de conectarse a Internet y descargarse aplicaciones.
No obstante, Internet de las Cosas y la modernización de un dispositivo tan clásico como el televisor también acarrean sus riesgos, y no, esta vez no nos referimos a que tu flamante Smart TV tenga una vulnerabilidad pueda verse infectada por un malware que te pide que pagues un rescate si quieres ver “Sálvame” o “¿Quién quiere casarse con mi hijo?,” aunque tampoco sería descabellado pensar en un escenario así.
La noticia de hoy vuelve a poner de actualidad los sistemas implementados que llevan muchas Smart TV y que permiten capturar imágenes del usuario y registrar comandos de voz a través de la webcam incorporada. Tampoco es la primera vez que se produce una situación similar a la que vamos a analizar hoy. Solo hace falta tirar de hemeroteca para ver cómo otras empresas líderes en este sector como LG han tenido que reconocer que estaban recopilando datos de los usuarios sin su permiso.
Términos de privacidad preocupantes
En esta ocasión, no ha sido un investigador curioso el que ha descubierto que se estaba transmitiendo información confidencial. Tan solo ha bastado echar un vistazo a los términos y condiciones sobre privacidad que Samsung tiene publicados en su web para ver una mención acerca de la funcionalidad de reconocimiento de voz que incorporan algunos modelos.
En ese apartado podemos leer:
[…] Samsung puede recopilar y su dispositivo recopilar comandos de voz y textos asociados para poder proporcionarle con funciones de reconocimiento de voz, evaluar y mejorar esta característica. Por favor, tenga en cuenta que si sus palabras incluyen información personal o confidencial esta información estará presente entre la cantidad de datos recopilados y enviado a terceros por su uso de la funcionalidad de reconocimiento de voz.[…]
Que la información transmitida por voz sea enviada Samsung puede ser preocupante, pero lo es aún más cuando leemos la palabra “terceros”. ¿A quién se refiere Samsung con terceros? Imaginamos que a otras empresas con las que tiene algún acuerdo, pero tampoco podemos descartar a agencias gubernamentales de países interesados en recopilar esta información.
Samsung se ha defendido alegando: “No hacemos nada diferente al resto de fabricantes y nos tomamos la privacidad de nuestros usuarios muy en serio. Utilizamos prácticas y sistemas que son estándares en la industria, incluyendo el cifrado de datos, para proteger la información personal de nuestros usuarios y evitar una recopilación o uso ilegal de la misma”.
El Internet de los fallos
El verdadero problema de fondo no es que una empresa esté recopilando información de sus usuarios sin su conocimiento. El problema se encuentra en todos esos dispositivos que tenemos conectados a Internet y que supuestamente nos hacen la vida más fácil, pero de los cuales desconocemos todas sus funcionalidades o, peor aún, vulnerabilidades.
Basta recordar cómo el descuido de usuarios que utilizaban sus cámaras IP con contraseñas por defecto y esto se podía aprovechar para transmitir online lo que registraban los equipos. Si nos centramos solamente en la privacidad, el número de dispositivos que han incorporado una cámara web en los últimos años ha ido creciendo de forma alarmante, desde teléfonos móviles y tablets, pasando por las mencionadas Smart TV hasta llegar a las videoconsolas y juguetes más tradicionales como las muñecas.
Todo lo que sea ampliar funcionalidades a electrodomésticos u otros dispositivos que usamos a diario es bienvenido, siempre que eso no represente nuevos vectores de ataque. A nadie le gustaría que su nevera último modelo sea usada por grupos de delincuentes para enviar spam, o que haya amenazas en dispositivos que no imaginaban conectados.
En resumen, no vamos a sorprendernos si este tipo de noticias se convierten en algo común a partir de ahora, puesto que es una evolución lógica en el mundo de la seguridad informática. De todas formas, hay ciertas medidas a seguir para proteger los dispositivos smart.
Lo que debemos hacer es animar a los fabricantes a desarrollar dispositivos cada vez más seguros y actualizables y a los usuarios a reconocer las posibles vulnerabilidades; de esta forma, se buscará evitar en lo posible que estas sean aprovechadas por los delincuentes.