Así nos espían los dispositivos inteligentes y revelan información de nuestras casas: “La gente no tiene ni idea”

La casa ha sido tradicionalmente el lugar más privado para una familia. Pero primero entró el móvil, y ahora también lo han hecho los dispositivos inteligentes. Sus conversaciones digitales hacen que, a menudo sin que los usuarios lo sepan, den detalles íntimos de cada hogar que antes eran imposibles de obtener. Las investigaciones sobre estos dispositivos hasta ahora se centraban en los riesgos externos, que provienen de fuera del hogar: ¿es posible acceder a una cámara casera desde internet? ¿Es vulnerable un altavoz inteligente? Ahora, un trabajo pionero de varias universidades y centros de investigación, entre ellos los españoles Imdea Networks, Imdea Software y la Universidad Carlos III, descubre que también, debajo de la calma teórica de una casa, existen multitud de riesgos.

“Uno de los mayores problemas es la invasión de la privacidad”, dice David Choffnes, profesor de la Northeastern University (Boston, EE UU) y uno de los coautores del trabajo. “Estas debilidades dan a los atacantes una idea clara de qué hay en tu casa, quién está en ella y también cuándo se mueve y a dónde. Descubrimos que algunas apps aprovechan esto para recoger datos de las casas, con fines que no tienen nada que ver con su función. Si nuestros hogares son el lugar más privado, me parece una invasión de privacidad grave”, añade.

Choffnes y su equipo montaron en su universidad un “laboratorio/apartamento viviente con más de 100 dispositivos” llamado Mon(IoT)r Lab [IoT son las siglas en inglés del internet de las cosas]. Es como una gran fiesta, pero de dispositivos. Allí, investigadores de la universidad y de otros centros estudian toda la variedad de comportamientos y relaciones que se dan entre ellos, desde bombillas y neveras, a routers y altavoces, que se comunican entre sí. Esta investigación estudia además las conexiones de todos ellos con apps, tanto las que gestionan esos dispositivos como otras que llevan usuarios de Android en sus móviles, y tanto de quienes viven en esa casa como de quienes la visitan. El entorno de Apple es mucho más privado.

EL PAÍS ha preguntado por este estudio a Google, que compró Android en 2005 y tiene una línea de dispositivos inteligentes. Esta es la respuesta de una portavoz: “Apreciamos mucho la investigación de la comunidad de seguridad. Estamos mejorando constantemente nuestras protecciones de seguridad para ayudar a mantener seguros a los usuarios de Android”. El entorno Android, por sus características y número de actores, tiene un montón de retos por resolver.

“Creo que la gente no tiene ni la más remota idea de que todos los dispositivos conectados a la wifi hablan entre sí de alguna manera. Y eso tiene implicaciones”, dice Juan Tapiador, catedrático de la Universidad Carlos III y también coautor del estudio.

¿Qué tipo de información comparten estos dispositivos? No son las conversaciones ni mensajes que mandamos. El tipo de información que circula va desde direcciones únicas de dispositivos (llamadas MAC), números de serie, versiones de protocolos vulnerables o incluso nombres de dispositivos concretos como “altavoz de Jorge en comedor”.

Toda esta información, y los servicios a los que se conectan, permiten inferir muchos detalles de nuestras vidas, y podrían proporcionar una huella digital de nuestra casa, lo que permitiría ataques o vigilancias dirigidas: “La exposición de esta información sin control”, dice Narseo Vallina-Rodríguez, investigador de Imdea Networks y coautor, “permite que servicios de publicidad o aplicaciones de espionaje realicen una huella digital de tu casa que la identifique de forma única o puedan inferir tu nivel de renta y hábitos”. No solo eso. Si estos aparatos escanean de forma frecuente en busca de nueva información, “pueden inferir quién entra y sale de casa y tus estructuras sociales para monitorizar sus actividades a través de redes y dispositivos”, añade el experto.

No entendemos bien los riesgos

Alguien puede pensar que todo esto no es tan grave porque no parece tan íntimo. Los usuarios tienden a malinterpretar el riesgo que implica la reunión de docenas de datos puntuales de una casa. Estos datos son captados, por ejemplo, por apps que llevamos en los móviles y recogen el número de serie del router o el nombre de la conexión, lo que permite saber la localización (sin ni siquiera acceder al GPS del dispositivo). Hay páginas donde están mapeados los wifis de todo el mundo. Si dos móviles acceden al mismo wifi, no solo se sabe que están cerca, sino también dónde están. Si una app del móvil del visitante escanea cuántos dispositivos inteligentes hay allí, y cuáles, ese dato puede ayudar a calcular la renta de un hogar.

“Una de las cosas que nos costó más que la gente entendiese es que el valor informativo que tiene un dato técnico a veces es difícil de prever”, dice Tapiador. Por ejemplo el SSID, que es el nombre de la red wifi. Cuando un móvil escanea las redes disponibles, se ve el nombre de todas las cercanas. “Hay muchos servicios online que a partir de ese nombre te proporcionan información de geolocalización”, sigue Tapiador.

Un ejemplo concreto del uso temible de la combinación de información que se puede reunir gracias a estos dispositivos lo da Vijay Prakash, investigador de la Universidad de Nueva York, y coautor del estudio: “Si un actor malicioso abusa de la información que flota libremente en las redes domésticas inteligentes, puede rastrear a un usuario a través de dispositivos de varios proveedores. Por ejemplo, si una aplicación maliciosa toma huellas de casas inteligentes de varios usuarios, y alguno de ellos visita la casa de uno de los usuarios, digamos Juan, con su teléfono encima, la aplicación podría inferir las relaciones sociales del usuario Juan y los horarios en que los demás usuarios le visitan”. Hay que tener en cuenta que esto no pasaría solo una vez, sino continuamente.

Apps analizadas en el estudio con millones de descargas contienen software que recoge este tipo de información. Si una app, por ejemplo, tiene acceso a la localización y escanea las redes wifi, ya sabe que esas redes están ahí: “Esto es crowdsourcing [labor colectiva] realizado por millones de personas”, sigue Tapiador. “Hay mapas de todo el mundo con esos nombres. Cuando tú le dices a alguien, ‘oye, esta bombilla está cogiendo el SSID o la dirección MAC del router’, es igual que decirle ‘esta bombilla está cogiendo la localización de tu casa”. Ese no es el único problema: “La cuestión es qué otras relaciones pueden tejer a partir de ahí. Permitir que tengas acceso a tráfico que te generan los dispositivos puede tener consecuencias no anticipadas”, dice.

Sin permisos legales

Muchos de estos ejemplos no son legales, pero el entorno Android es una selva: “Estas prácticas tienen muchas implicaciones, ya que muchas veces ocurren sin ningún tipo de consentimiento del usuario, y además se obtiene información sensible como la geolocalización o los dispositivos y usuarios, datos protegidos por el Reglamento General de Protección de Datos”, dice Vallina-Rodríguez.

Este es un ejemplo del baile de conversaciones que los dispositivos tienen dentro de una casa, según está explicado en la investigación: “Seis aplicaciones [de dispositivos caseros] transmiten direcciones [únicas MAC] de dispositivos a la nube, y los destinatarios son dominios propios [por ejemplo, Alexa] o proveedores externos como Tuya, un proveedor de plataformas [de dispositivos caseros] con sede en China, y Amplitude, un servicio de análisis”.

A un humano toda esta combinación de datos le puede parecer pesadísima e insufrible. Pero para las máquinas es su labor cotidiana. Más allá de hipotéticos riesgos de seguridad, esta información nutre la enorme y oscura maquinaria del marketing y la publicidad mundial, también llamada “vigilancia comercial”. De momento no ocurre, pero igual que recibimos publicidad personalizada en los móviles, la industria ya podría identificar nuestro hogar para personalizar la publicidad a nuestras condiciones económicas y familia: ¿qué hay más fácil que descubrir cuándo una pareja se separa o qué nivel de renta tienen los amigos que van a tu fiesta de cumpleaños?

“Igual que muchas páginas hacen una huella digital del usuario para reconocerlo entre sesiones a pesar de que borres las cookies”, dice Tapiador, “vimos que es posible hacer lo mismo para una casa usando los dispositivos. Es una observación teórica en el sentido de que a día de hoy posiblemente no se hace personalización dirigida a hogares específicos, pero la posibilidad de que se pueda hacer está ahí”, añade.

Puedes seguir a EL PAÍS Tecnología en Facebook y X o apuntarte aquí para recibir nuestra newsletter semanal.