TRABAJO DE GRADO

SEGURIDAD DE LA INFORMACIÓN EN DISPOSITIVOS SMARTWATCH

GINA JULIETH ESCOBAR CORREDOR

LAURA PAOLA HERNANDEZ VELASQUEZ

UNIVERSIDAD CATÓLICA DE COLOMBIA

FACULTAD DE INGENIERÍA

PROGRAMA DE ESPECIALIZACIÓN EN SEGURIDAD DE LA INFORMACIÓN

BOGOTÁ D.C

2020

TRABAJO DE GRADO

SEGURIDAD DE LA INFORMACIÓN EN DISPOSITIVOS SMARTWATCH

GINA JULIETH ESCOBAR CORREDOR

LAURA PAOLA HERNANDEZ VELASQUEZ

Trabajo de grado presentado para optar al título de Especialista en Seguridad de la Información

Docente

DIEGO OSORIO REINA

Magister en Seguridad de las Tecnologías de la Información y las Comunicaciones.

UNIVERSIDAD CATÓLICA DE COLOMBIA

FACULTAD DE INGENIERÍA

PROGRAMA DE ESPECIALIZACIÓN EN SEGURIDAD DE LA INFORMACIÓN

BOGOTÁ D.C

2020

3

4

Dedicatoria

Este trabajo está dedicado a Dios, a mi padre Alfonso Hernández Pérez quien siempre me ha alentado a continuar mi formación profesional desde su ejemplo, a mi hijo Antonio Maldonado

Hernández quien me inspira a superarme cada día, a toda mi familia por su apoyo incondicional en este proceso.

Laura Paola Hernández Velásquez

Dedico este trabajo a Dios por darme la oportunidad de llevar mi carrera profesional a otro nivel, A mi madre Yolanda Corredor por su ejemplo, por enseñarme que los proyectos que se inician se

deben finalizar, por su confianza y por impulsarme siempre a seguir a delante en la consecución de mis sueños, a mi hermana Andrea Escobar por su compañía y apoyo incondicional en cada reto

que emprendo.

Gina Julieth Escobar Corredor

5

Agradecimientos

Primero agradecer a Dios por darnos la sabiduría para avanzar en este proceso, a la Universidad Católica de Colombia por poner a nuestra disposición este espacio para el desarrollo profesional, a los docentes por compartir sus conocimientos, experiencia, y a través de su orientación alentarnos

a seguir adelante en este camino desde la ética fomentando la pasión por lo que hacemos.

A nuestros asesores por ser una guía, por enseñarnos desde su experiencia y conocimientos la metodología para llevar a cabo con éxito el propósito de nuestra investigación.

6

TABLA DE CONTENIDO

Pág. Introducción 8

1. Generalidades 9

1.1 Planteamiento del Problema 9

1.1.1. Antecedentes del problema 11

1.1.2. Pregunta de investigación 12

2. Justificación 13

3. Objetivos 14

3.1 Objetivo general 14

3.2 Objetivos específicos 14

4. Marcos de referencia 15

4.1 Marco conceptual 15

4.2 Marco teórico 17

4.3 Marco jurídico 23

5. Metodología 25

5.1. Fases del trabajo de grado 26

5.2. Instrumentos o herramientas utilizadas 26

5.3. Alcances y limitaciones 27

6. Productos a entregar 28

7. Entrega De Resultados E Impactos 29

7.1 Dispositivos Smartwatch seleccionados 29

7.2 Ecosistema de pruebas 33

7.2.1.1 Ubertooth- one 33

7.2.1.1.1 Análisis De Las Capturas De Tráfico Con Ubertooth One 35

7.2.2.1 Connectify Hotspot 2020 38

7.2.2.1.1 Análisis de las capturas de tráfico con Connectify. 40

8. CONCLUSIONES 43

9. BIBLIOGRAFÍA 45

7

INDICE DE ILUSTRACIONES Ilustración 1. Economical impact on IoT application to 2022 ................................. 17

Ilustración 2. Proyección de la nueva adopción de la conexión tecnología por los consumidores......................................................................................................... 18 Ilustración 3. Dispositivo Ubertooth One ................................................................ 33 Ilustración 4. Versión Inicial Firmware ................................................................... 34 Ilustración 5. Versión actualizada Firmware .......................................................... 35

Ilustración 6. Evidencias MAC Samsung ............................................................... 36

Ilustración 7. Evidencias MAC Apple ..................................................................... 36

Ilustración 8. Evidencias MAC AONYSTAR DINA+, .............................................. 37 Ilustración 9. Lectura Samsung Tráfico Ubertooth One ......................................... 37 Ilustración 10. Lectura Apple Tráfico Ubertooth One ............................................. 38 Ilustración 11. Connectify Hotspot 2020 ................................................................ 38

Ilustración 12. Configuración Apple y Samsung..................................................... 39 Ilustración 13. Prueba Samsung Connectify .......................................................... 40

Ilustración 14. Prueba Apple Connectify ................................................................ 41

INDICE DE TABLAS Tabla 1. Características de los encuestados ......................................................... 20 Tabla 2. Recomendaciones ENISA ........................................................................ 21 Tabla 3. Características Generales SmartWatch ................................................... 29

Tabla 4. Información Almacenada ......................................................................... 30 Tabla 5. Análisis de Riesgos .................................................................................. 31

Tabla 6. Información Dispositivos .......................................................................... 35

8

INTRODUCCIÓN Según Gartner, en 2020 habrá en el mundo aproximadamente 26 mil millones de dispositivos conectados a Internet, siendo cada vez es más económico y accesible fabricar y adquirir dispositivos con capacidad de cómputo suficiente como para conectarse a Internet1; sin embargo, la falta de una asignación clara de responsabilidades (fabricante/prestador del servicio/usuario) podría dar lugar a ambigüedades y conflictos en caso de ocurrir un suceso que afecte a la seguridad o privacidad que es transmitida o intercambiada a realizarse interconexiones. Esta investigación revela las condiciones de seguridad en relación con Internet de las Cosas (IoT), que con el constante avance tecnológico y con la intención de mejorar la eficiencia de los proveedores de productos y servicios, el internet de las cosas permite que hoy en día la interconexión digital de objetos cotidianos sea capaz de transferir datos. Convirtiéndose en una ventaja al tener en un solo dispositivo todas las funcionalidades necesarias para permanecer conectados y actualizados como lo es para este caso los SmartWatch; que por sus funcionalidades y características va en aumento su adquisición a nivel mundial. Sin embargo, así como esta tecnología ofrece muchas ventajas, también de alguna manera expone la información sensible y personal que se transmite a través de estas soluciones tecnológicas incrementando el número de brechas o vulnerabilidades. Es por esto, que se ha podido evidenciar que cuando de seguridad se trata no hay mucho que esté definido para esta tecnología, por ello, debe prestarse especial importancia a la definición de una serie de recomendaciones que le aporten a la seguridad y privacidad de los datos gestionados. Se realizará una identificación de brechas de seguridad existentes en los SmartWatch ofrecidos por los diferentes fabricantes y proveedores en cuatro (4) fases de desarrollo, desde un ejercicio de levantamiento de información a nivel general de la tecnología IoT, hasta llegar a lo específico, analizando cada fuente que permita identificar las brechas de seguridad en estos dispositivos y también los controles existentes que se hayan tenido en cuenta independientemente de los robustos o efectivos que puedan ser, buscando finalmente en la fase de cierre sugerir una lista de recomendación para el usuario al momento de adquirir un SmartWatch. Para el desarrollo de esta investigación tendremos en cuenta únicamente el nivel jurídico colombiano y sus diferentes organismos de regulación y control que han establecido leyes que amparan la privacidad de todo colombiano.

9

1. GENERALIDADES

1.1 PLANTEAMIENTO DEL PROBLEMA La evolución de las herramientas que buscan facilitar los procesos, acercar personas y mejorar la calidad de vida, ha hecho que la humanidad se encuentre en una necesidad de interconexión a través de diferentes dispositivos, dando cabida a las soluciones IoT. De acuerdo con la legislación que se lanzó en california y que entrará en efecto en 2020 la definición para un dispositivo IoT es: “cualquier dispositivo u objeto físico que sea capaz de conectarse a Internet, ya sea de manera directa o indirecta, y que es asignado a una dirección de Protocolo de Internet o una dirección Bluetooth”.2 En la dinámica por seguir avanzando e innovando; cuando se habla de IoT el componente de seguridad de la información no ha tenido relevancia respecto a la definición e implementación de controles de seguridad eficientes. Según Gartner se espera un aumento de 25 mil millones de dispositivos conectados en el año 2020, teniendo en cuenta lo anterior se debe priorizar la evaluación de las vulnerabilidades y amenazas a este tipo de dispositivos, para contribuir en la reducción de la brecha de seguridad y privacidad que se estima para el año 2020 presentará un aumento de más del 25%3. De acuerdo con el INCIBE este tipo de dispositivos presentan una serie de riesgos y vulnerabilidades entre los que se podrían resaltar4: Recursos limitados: la mayoría de los dispositivos IoT tienen capacidades limitadas en procesamiento, memoria y potencia, por lo que los controles de seguridad avanzados no pueden aplicarse eficazmente. Ecosistema complejo: Las preocupaciones de seguridad se agravan ya que el IoT no debe verse como una colección de dispositivos independientes, sino como un ecosistema rico, diverso y amplio que involucra aspectos como dispositivos, comunicaciones, interfaces y personas. Bajo costo: en algunos casos los fabricantes podrían estar inclinados a limitar las características de seguridad para asegurar un bajo costo y, por lo tanto, la seguridad del producto podría no ser capaz de proteger contra ciertos tipos de ataques IoT.

Falta de control y asimetría de la información: en muchas ocasiones el usuario no es consciente del tratamiento de datos llevado a cabo por los dispositivos sensorizados. Los mecanismos convencionales utilizados para obtener el consentimiento de los usuarios son considerados consentimientos “de baja calidad” debido a que en muchos casos se basan en la falta de información que recibe el

10

usuario sobre el posterior tratamiento de los datos personales que está proporcionando. Además, esta información puede llegar a manos de terceros sin que el usuario sea consciente de la difusión de esta. También, aunque no es una práctica específica de IoT, la falta de control que existe en tecnologías como los servicios en la nube y el Big Data, incluso en la problemática que surge de la combinación de ambos, hace que la falta de control y la asimetría de la información estén muy presentes en el ámbito del IoT. Responsabilidades poco claras: la falta de una asignación clara de responsabilidades (fabricante/prestador del servicio/usuario) podría dar lugar a ambigüedades y conflictos en caso de ocurrir un suceso que afecte a la seguridad, especialmente teniendo en cuenta la gran y compleja cadena de suministro que entraña el IoT. Además, la cuestión de cómo gestionar la seguridad si un solo componente fuera compartido por varias partes sigue sin resolverse. De acuerdo con la información de la empresa signalsIoT5 los envíos globales de dispositivos portátiles llegarán a 189,9 millones de unidades en 2022, los relojes inteligentes y las pulseras dominarán el mercado, de los “Wearables” que hace referencia al conjunto de aparatos y dispositivos electrónicos que se incorporan en alguna parte del cuerpo interactuando de forma continua con el usuario y con otros dispositivos con la finalidad de realizar alguna función concreta, relojes inteligentes o SmartWatch son ejemplos entre otros muchos de este género tecnológico que se halla poco a poco más presente en nuestras vidas”6. De forma involuntaria se han asumido riesgos por parte de las personas que otorgan datos de clasificación confidencial exponiendo su privacidad y la de otros; estas acciones pueden derivar en multas y actos legales de acuerdo con la ley colombiana “1581 de 2012 protección de datos personales”7. Se han identificado impactos derivados de ataques a causa de ciertos dispositivos IoT que se encuentran comprometidos por su exposición según advertencias emitidas por el FBI. Tales como:8

1. Routers 2. Relojes 3. Dispositivos de transmisión de audio/vídeo 4. Raspberry Pis 5. Cámaras IP 6. DVR 7. Dispositivos NAS 8. Equipos de antena satélite 9. Abridores inteligentes de puertas de garaje, etc.

11

Este tipo de dispositivos pueden servir como intermediarios para enrutar el tráfico malicioso con el fin de materializar ciberataques y la explotación de las redes a las que se encuentren conectados. Un gran referente de la tecnología IoT es el SmartWatch (relojes inteligentes), que con el paso del tiempo ha presentado un incremento en el mercado debido a las funcionalidades que ofrecen: acceso a internet, realizar o recibir llamadas, enviar o recibir correos, mensajes, notificaciones, además de contar con características como pulsómetro, geolocalización (GPS), altavoz, micrófono, Bluetooth, Wi-Fi entre otras, siendo así codiciados por las personas. Ante los riesgos existentes es necesario identificar los puntos de convergencia donde se puedan aprovechar las vulnerabilidades y/o amenazas; materializando los riesgos que pueden impactar la confidencialidad, integridad y disponibilidad de las infraestructuras y personas. Se deberá establecer un conjunto de recomendaciones de seguridad que permitan proteger la información entregada por las personas a través de estos dispositivos.

1.1.1. Antecedentes del problema En la actualidad los dispositivos IoT no cuentan en todos los casos con unas buenas prácticas de seguridad de la información, y políticas claras sobre el tratamiento de los datos que son entregados por las personas. Teniendo en cuenta algunos estudios se ha podido certificar que las comunicaciones entre ambos extremos (dispositivo integrado al SmartWatch) no es del todo segura, dejando datos expuestos como los PIN de seguridad de ambos dispositivos, (teléfono, y el SmartWatch) permitiendo que se pueden ver en texto claro a través de un sniffer ubicado en la misma red9. De acuerdo con ENISA la superficie de ataque de los dispositivos es tan amplia que es difícil determinar quién será el responsable por los riesgos que se puedan materializar a través de los diferentes dispositivos disponibles, y aún más difícil determinar o identificar quienes serán los responsables de dar la respuesta ante una eventual exposición de los datos personales10. Dada la importancia del manejo de la información y la facilidad con que se obtienen, han surgido diferentes preguntas alrededor de estos dispositivos. Como las realizadas en el estudio “JUEGOS DE RELOJ INTELIGENTE: FOMENTANDO EL COMPORTAMIENTO DE PROTECCIÓN DE LA PRIVACIDAD EN UN ESTUDIO LONGITUDINAL”11, donde se expone la disparidad presente en los consumidores a través del desarrollo de un juego educativo sobre privacidad. Este juego se refiere a la paradoja de la privacidad que consiste en la discrepancia entre la preocupación expresada y el comportamiento real de los usuarios. en un

12

experimento realizada a 969 usuarios se pudo descubrir que la fatiga fomentaba la divulgación, la investigación sugiere aumentar la conciencia para mitigar este comportamiento. El principal problema identificado es la falta de conocimiento técnico de las personas, terminando en la subestimación de los riesgos presentes para su privacidad. a medida que se aumente el conocimiento en estos temas de consumo masivo se puede aumentar las posibilidades de considerar todas las medidas de protección posible. Esto va a alineado con la motivación que debe existir para que las personas introduzcan estas medidas de protección en la práctica.

1.1.2. Pregunta de investigación ¿Qué recomendaciones de seguridad se deberían tener en cuenta para la adquisición y uso de los SmartWatch?

13

2. JUSTIFICACIÓN Esta investigación se enfocará en identificar las brechas de seguridad en los dispositivos SmartWatch, siendo estos unos de los dispositivos más apetecidos en el mercado, su adquisición continuará en aumento en los próximos años, ya que día a día crece la necesidad de realizar la interconexión digital de los objetos cotidianos con internet. Sin embargo, aunque es una tecnología prometedora, no ha tenido en cuenta la seguridad de la información desde la fase de su desarrollo, exponiendo la información sensible, incluso siendo estos dispositivos medios vulnerables para generar un ciberataque o la materialización de un riesgo de acuerdo con la información publicada por la revista digital12.

La definición de mecanismos de seguridad de la información en todas las fases del ciclo de vida de un dispositivo tecnológico cobra más importancia pues el ciberataque toma fuerza ya que solo se necesita encontrar una debilidad para que se materialicen los posibles riesgos, es por esto que se pretende aportar a la identificación de las debilidades existentes, la definición de recomendaciones de seguridad que permitan establecer interconexiones confiables entre los dispositivos, propendiendo por una experiencia transparente para el consumidor al momento de su adquisición, alineado con la motivación que debe existir para que las personas las pongan en práctica.

En el Black Hat 2018 Kavya Racharla expone acerca de los problemas de seguridad en los nuevos dispositivos y como abordarlos, menciona que los wearables viven y operan en el cuerpo humano, recolectando una gran cantidad de datos personales. Dando lugar a nuevos desafíos para almacenar dichos datos de forma segura y cumplir con las normas de privacidad, llego a identificar múltiples puntos de exposición, como: la recopilación de datos personales, datos de actividad del usuario, acción de aplicación (llamadas, música, texto), exposición de la ubicación geográfica, datos biométricos, actualizaciones difíciles, protocolos de comunicación diversos, desafíos técnicos, entre otros; atribuyendo el problema a las limitaciones de almacenamiento privado, archivos en texto plano, permitiendo que se presenten ataques de denegación de servicio, alterar o copiar los archivos de texto, ejecución de código y accesibilidad por aplicaciones maliciosas.

A su vez Racharla enumera una serie de recomendaciones de seguridad sugiriendo evitar el almacenamiento de información público siempre que sea posible, las claves deben ser específicas del usuario o de la aplicación, capacidad para eliminar / inhabilitar el registro de diálogo y encriptación entre otras.13 Al final, este estudio beneficiará al consumidor con las recomendaciones de seguridad que permiten disminuir el riesgo al intercambiar datos sensibles o personales a través de los dispositivos SmartWatch.

14

3. OBJETIVOS

3.1 OBJETIVO GENERAL

Formular recomendaciones de seguridad para la adquisición y uso de los dispositivos SmartWatch, a partir de la selección de cuatro(4) de estos dispositivos para la investigación

3.2 OBJETIVOS ESPECÍFICOS Identificar las características de seguridad de la información de cuatro (4) SmartWatch (U8, Samsung Galaxy Watch, Apple Series 3, AONYSTAR DINA+)

Ejecutar una validación técnica de las condiciones de seguridad de cuatro (4) SmartWatch. (U8, Samsung Galaxy Watch, Apple Series 3, AONYSTAR DINA+) Formular las recomendaciones de seguridad para la adquisición y el uso de los SmartWatch, a partir de la identificación de las características y la validación de las condiciones de seguridad de los dispositivos seleccionados.

15

4. MARCOS DE REFERENCIA 4.1 MARCO CONCEPTUAL Cuando hablamos de los dispositivos IoT, conocidos de esta manera por su significado en inglés "Internet Of Things", es decir, "Internet de las cosas” podría ser la agrupación e interconexión de dispositivos y objetos a través de una red (bien sea privada o Internet, la red de redes), donde todos ellos podrían ser visibles e interaccionar. Respecto al tipo de objetos o dispositivos podrían ser cualquiera, desde sensores y dispositivos mecánicos hasta objetos cotidianos como pueden ser el calzado o la ropa14. Algunos de ellos conocidos como Wearable que traduce “vestible” o “llevable”, el cual referencia a los dispositivos electrónicos que se incorporan en alguna parte de nuestro cuerpo interactuando de forma continua con el usuario y con otros dispositivos con la finalidad de realizar alguna función concreta, relojes inteligentes o SmartWatch, zapatillas de deportes con GPS incorporado y pulseras que controlan nuestro estado de salud son ejemplos entre otros muchos de este género tecnológico. Al realizarse una interconexión se inicia un proceso de transferencia de datos entre dispositivos, gran parte de esta información se encuentra almacenada en la Nube, conocida en inglés cloud computing es una nueva alternativa tecnológica que representa una forma ágil para administrar la información; esta infraestructura permite a los usuarios acceder a datos y aplicaciones en el lugar, momento y durante el tiempo que los necesitan.15 Existen diversas formas de conectarse, el espectro inalámbrico es amplio los dispositivos con características que permitan el protocolo Wi-Fi genera una movilidad casi sin restricciones, dispositivos como los Wearables pueden conectarse a internet a través de un punto de acceso Wi-Fi, es una forma de comunicación inalámbrica por radio utilizada para crear redes informáticas inalámbricas; Las personas usan redes Wi-Fi para distribuir el acceso a Internet desde un proveedor de Internet (ISP), para compartir fotografías, música y otra información importante. Las redes Wi-Fi pueden ser tan pequeñas como la red personal de un departamento o tan grandes como el sistema de Internet público de una ciudad metropolitana. Además, dado que las redes Wi-Fi son un subconjunto importante de sistemas de hardware de Internet de las cosas (IoT)16. Las conexiones Bluetooth siendo de las primeras existentes que permitían transmitir información sin necesidad de conexiones físicas de corto alcance ha seguido vigente y son el medio de conexión mayormente usado en el mundo de los Wearables. Los dispositivos deben poder interpretar ciertos perfiles del protocolo Bluetooth,

16

perfiles como la configuración y parametrización para el comienzo de la sesión17; siendo parte del estándar 802.15.1 y su iteración reciente consta de dos tipos de modos de operación:

● Clásico Bluetooth funciona en la banda de frecuencia de 2,4 GHz al igual que ZigBee o Wi-Fi, pero utiliza canales que no se superponen con los existentes de las otras dos tecnologías. Un salto de frecuencia integrado intenta enviar mensajes automáticamente en canales Bluetooth gratuitos.

● Energía baja En los últimos años, se introdujo el estándar 4.0 para Bluetooth. La nueva especificación incluía "Low Energy" que, en comparación con la versión clásica, ofrecía una relación precio-rendimiento convincente para módulos con servicios predefinidos, excelente rendimiento de la batería, pero una tasa de actualización lenta.

Los SmartWatch (relojes inteligentes) no solo son un nuevo actor en el mundo de los dispositivos IoT, sino que también son un producto de moda18. Diseñados para ser usados en la muñeca, cuentan con pantallas táctiles, permitiendo un fácil acceso a las distintas funcionalidades que interactúan con internet, las funcionalidades que ofrecen entre otras son: realizar y recibir llamadas telefónicas, enviar y recibir correos electrónicos, mensajes, consultar las redes sociales, seguimiento cardiaco, rutinas de ejercicio y ubicación en tiempo real. Cualquier cosa que se pueda imaginar podría ser conectada a internet e interaccionar sin necesidad de la intervención humana, el objetivo por tanto es una interacción de máquina a máquina, o lo que se conoce como una interacción M2M (machine to machine) o dispositivos M2M.

17

4.2 MARCO TEÓRICO El internet de las cosas (IoT), es un nuevo participante en los medios tecnológicos de la vida cotidiana, se refiere a los dispositivos que cuentan con una conexión a internet a través de otro recurso de red como smartphone, redes Wi-Fi o Bluetooth19. Han presentado un significativo aumento desde 2014 donde se despierta el interés por la interconexión y se presenta el ¡Boom! de desarrollo en los elementos tradicionales y llegan los conectados a internet como; neveras, televisores, sensores de actividad médica, sísmica y relojes por mencionar algunos20. Presentes en diferentes ámbitos del desarrollo personal y laboral conectan con recursos de la salud, seguridad, agricultura, logística, industria y medio ambiente, aportando un amplio ámbito de características que facilitan las mediciones e interconexión con las labores cotidianas21. Existen estudios especializados que identifican como los Wearables pueden recopilar información médica a través de dispositivos comerciales o prototipos. El impacto a la economía que puede establecer este tipo de dispositivos cuenta con una estimación por área de aplicación. A continuación, datos estadísticos de

acuerdo con el estudio “Encuesta sobre soluciones de IoT aplicadas a la asistencia sanitaria”. Ilustración 1. Economical impact on IoT application to 2022

Fuente: https://www.semanticscholar.org/paper/Wide-Machine-Learning-Algorithms-Evaluation-Applied-Cabra Mendez/4f3b4500670f58c9f94abec9daf48c941d73d375/figure/0

18

Teniendo en cuenta los datos de la ilustración 1. Encuesta sobre soluciones IoT, las áreas que mayor impacto en la economía tendrán para 2020 son: E-Health y Manufactura. esto obedece a la precisión que presentan este tipo de dispositivos en los datos que recolectan. Están por otra parte todos los dispositivos que adoptan los consumidores como parte de su vestuario más conocidos como los Wearables, que otorgan facilidades de comunicación, entretenimiento o monitoreo de las actividades físicas diarias. Proyección de la nueva adopción de la conexión tecnología por los consumidores

Fuente: https://thumbor.forbes.com/thumbor/960x0/https%3A%2F%2Fblogs-images.forbes.com%2Fgilpress%2Ffiles%2F2014%2F08%2FIoT_AdaptationGraph-1940x1391.jpg De acuerdo con la ilustración 2, los SmartWatch para el 2014 se ubicaba por debajo del 10%, sin embargo, presentan una expectativa de la adopción por parte de los consumidores en el 2020 cercano al 45%. Este incremento puede significar que los diferentes fabricantes están diseñando este tipo de dispositivo a gran escala para el consumo masivo y la gran competencia que estará presente en características y precio todo por ganar la mayor porción del mercado disponible. Siendo un accesorio bastante práctico y fácil de usar los relojes ofrecen una amplia gama de características yendo desde las más sencillas como contestar llamadas, o

Ilustración 2. Proyección de la nueva adopción de la conexión tecnología por los consumidores

19

recibir notificaciones hasta los que pueden tener control sobre otras funciones del hogar, médicas o de comunicaciones; contando con diferentes métodos de autenticación activarse por movimiento, PIN, huellas dactilares, o no contar con seguridad para su inicio. Las características de estos dispositivos permiten encender vehículos, abrir puertas de las casas, realizar compras sin necesidad de presentar las tarjetas de crédito, entre otros; teniendo en cuenta esto la investigación se centrará en la seguridad de algunos de estos SmartWatch y los datos que procesan. Existen posturas como las presentadas en el estudio “¿Es el reloj inteligente un producto de TI o un producto de moda? Un estudio sobre los factores que afectan la intención de usar relojes inteligentes”, donde se indica que los SmartWatch son dispositivos que se adquieren como producto de moda de lujo. Que en algunos casos puede llegar a ser considerado por los consumidores “como una especie de símbolo de moda y la riqueza”. Esto basado en que relojes de este tipo se agotan en tiempo récord aun cuando sus costos pueden ser realmente elevados en algunos casos pueden costar más que un Smartphone. Estos relojes según el estudio de comportamiento realizado por------- tienen un alto componente de “vanidad” y “necesidad de unicidad”. De acuerdo con la encuesta realizada por “Macromill Embrain Co.” A 562 participantes válidos, “El 59.50.5% (n = 284) de los participantes eran hombres y el 49.5% (n = 278) eran mujeres”, presentando un equilibrio entre géneros para el desarrollo de la encuesta. La tabla siguiente resume las estadísticas descriptivas de los datos recolectados para el estudio.

20

Fuente: https://www.sciencedirect.com/science/article/pii/S0747563216304356

Como conclusiones del estudio se presentan diferentes aspectos uno de ellos y que estimulan a su adquisición es la utilidad percibida de SmartWatch, por otro lado, es poco significativo para los consumidores características como la facilidad de uso. Que existen dos perspectivas amplias: el reloj inteligente como una innovación de TI y el reloj inteligente como producto de moda de lujo. De acuerdo con este estudio se puede ver que las personas no tienen en consideración aspectos de seguridad del dispositivo o de tratamiento que recibirán los datos entregados en los procesos de vinculación de su SmartWatch o en las aplicaciones descargadas.

Tabla 1. Características de los encuestados

21

Baseline Security Recommendations for IoT De acuerdo con la Agencia de la Unión Europea para la seguridad Cibernética (ENISA), que se encarga de contribuir a la respuesta de incidentes cibernéticos, fomentando a que el ambiente digital se comporte de una manera segura para los agentes participantes del mismo. Esta agencia propone siete (7) recomendaciones queriendo establecerse como un facilitador para el fortalecimiento de la seguridad en IoT, estas recomendaciones se pueden ver en la tabla a continuación: Tabla 2. Recomendaciones ENISA

Fuente: https://www.enisa.europa.eu/publications/baseline-security-recommendations-for-iot

Las recomendaciones listadas muestran que se debe iniciar a con la promoción de regulaciones de seguridad IoT enfocada hacia buenas prácticas que pueden ser adoptadas por los diferentes proveedores, fabricantes, la armonización de esta estandarización debe estar alineada a cada sector donde se desarrollen dispositivos IoT. Pasando de la estandarización se establece la imperiosa necesidad de ampliar la conciencia sobre la ciberseguridad en estos dispositivos, el cómo la responsabilidad sobre este componente es algo que debe ser compartido entre las partes interesadas, en panorama actual de amenazas se puede identificar la falta de conocimiento en los desarrolladores de IoT y de igual manera en los usuarios y consumidores. Debe ser parte de los desarrolladores considerar todos los aspectos de seguridad posibles en el ciclo de vida de los dispositivos. La seguridad debe ser implementada como un todo. Se puede estimar que dependiendo el contexto existe el riesgo cibernético.

22

La responsabilidad sobre el riesgo teniendo en cuenta el contexto en el que se identifique podría recaer en diferentes interesados como: desarrolladores, fabricantes, proveedores, vendedores operadores de soporte en el ámbito de la posventa pueden verse implicados en responsabilidades inherentes los usuarios finales, proveedores externos. Para poder establecer acciones tendientes a las responsabilidades que deben ser adoptadas por cada una de las partes interesadas se deben identificar las lagunas presentes a nivel de ley nacional y tener en cuenta leyes ya más maduras como la europea de acuerdo con lo que indica ENISA en su “Baseline Security Recommendations for IoT”.

23

4.3 MARCO JURÍDICO Desde el nivel jurídico colombiano y sus diferentes organismos de regulación y control se ha establecido leyes que amparan la privacidad de todo colombiano. Organismos como la Superintendencia de Industria y Comercio, adscrita al Ministerio de Comercio Industria y Turismo cuya actividad está orientada a fortalecer los procesos de desarrollo empresarial y los niveles de satisfacción del consumo colombiano. Cuenta con funciones para vigilar el cumplimiento de las normas relacionadas con la administración de datos Ley De Habeas Data, Ley Estatutaria 1581 De 2012. Que tiene como objeto desarrollar el derecho constitucional de todas las personas a conocer, actualizar y rectificar la información que se hayan recogido sobre ellas en las bases de datos o archivos. La Ley Estatutaria 1581 De 2012 aplicara el tratamiento de datos personales efectuado en territorio colombiano o cuando el responsable de tratamiento o encargado no establecido en territorio nacional le sea aplicable la legislación colombiana. Para los SmartWatch aplican diferentes principios definidos en la Ley Estatutaria 1581 De 2012, tales como: principio tratamiento de datos personales, principio de finalidad, principio de libertad, principio de accesos y circulación restringida, principio de seguridad, principio de confidencialidad todos estos relacionados con la información que los usuarios puedan entregar a los fabricantes al momento de iniciar su dispositivo. Igualmente, esta ley define los responsables del tratamiento y los encargados del tratamiento quienes deben cumplir con deberes como: garantizar al titular en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data, conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.

Los datos sensibles afectan la intimidad de los titulares generando factores de

discriminación por revelación de origen racial o étnico, orientación política,

convicciones religiosas o filosóficas, así como los datos relativos a salud y a la vida

sexual. Así mismo se especifican el tipo de datos personales en relación

identificación relacionados con el nombre, teléfono, correo electrónico entre otros,

información laboral, académico.

Por su parte la ley 1273 de 200922 estipula diez (10) delitos informáticos y las sanciones aplicables a los atentados contra la confidencialidad, la integridad y la disponibilidad de los datos y de los sistemas informáticos.

24

Los artículos que constituyen la ley impactan el proyecto considerando los temas de seguridad que pueden ser aplicables en los SmartWatch: Artículo 269A: Acceso abusivo a un sistema informático. Artículo 269B: Obstaculización ilegítima de sistema informático o red de telecomunicación. Artículo 269C: Interceptación de datos informáticos. Artículo 269D: Daño Informático. Artículo 269E: Uso de software malicioso. Artículo 269F: Violación de datos personales. Artículo 269G: Suplantación de sitios web para captura. Artículo 269H: Circunstancias de agravación punitiva. Artículo 269I: Hurto por medios informáticos y semejantes. Artículo 269J: Transferencia no consentida de activos.

25

5. METODOLOGÍA

Enfoque Esta investigación cuenta con un enfoque de carácter cualitativo, dado que a partir de la información recolectada de proveedores, diferentes investigaciones y estudios consultados, se realiza un análisis de la misma, para identificar las brechas de seguridad existentes en los dispositivos SmartWatch con el fin de definir las recomendaciones de seguridad que se deben tener en cuenta durante su adquisición para proteger los datos y la información que se transmite a través de las interconexiones que con el tiempo serán más comunes y necesarias. Tipo de investigación Esta investigación es exploratoria, analítica y propositiva, por cuanto se requiere realizar un proceso de levantamiento y recolección de información de los dispositivos SmartWatch para la identificación de las brechas de seguridad. Analítica toda vez que, con la información recolectada de los fabricantes, proveedores, artículos y diferentes fuentes se evalúan las características de seguridad ya existentes y simultáneamente las brechas de seguridad, para finalmente presentar una propuesta con las recomendaciones de seguridad que permitan al consumidor al momento de adquirir estos dispositivos establecer interconexiones confiables. Técnicas e instrumentos Para el desarrollo del proyecto de investigación y cumplimiento de los objetivos se toma como técnicas e instrumentos el análisis documental de la información recolectada de fabricantes, proveedores, artículos, estándares de la industria, legislación y diferentes fuentes, las cuales se convierten en el insumo más importante puesto que es el camino para la definición de las recomendaciones de seguridad para los consumidores de los dispositivos SmartWatch.

26

5.1. FASES DEL TRABAJO DE GRADO Fase 1 Levantamiento de información: En esta fase se realizará la exploración de información a nivel general de la tecnología IoT.

- Buscar información relacionada con IoT, validar artículos, bases de datos, información de fabricantes etc.

- Filtrar la información consultada y trabajar sobre los documentos que aplique. Fase 2 Análisis: Se realizará el análisis de la información recopilada para la identificación de brechas y controles de seguridad en dispositivos SmartWatch.

- Focalizar la investigación en la identificación de brechas y controles de seguridad específicamente en SmartWatch existentes actualmente, para orientar la investigación en los puntos débiles que no han sido tenidos en cuenta en ninguna fase del desarrollo y comercialización de estos dispositivos.

Fase 3 Ejecución: Durante el desarrollo de la investigación se listarán las brechas y controles de seguridad identificados, se elaborarán y se definirán las recomendaciones de seguridad para la adquisición de dispositivos SmartWatch. Fase 4 Cierre: Una vez se haya culminado cada una de las fases de la investigación y se haya logrado el cumplimiento del objetivo principal, se realizará la sustentación ante el jurado y se entregará el artículo que incluirá las recomendaciones de seguridad para los consumidores de los dispositivos SmartWatch. 5.2. INSTRUMENTOS O HERRAMIENTAS UTILIZADAS

● Investigación a través de bases de datos científicas ● Revisión documental de los manuales y características de cada fabricante

seleccionado para la investigación ● Análisis comparativo ● Consulta de la información de fabricantes de SmartWatch, proveedores,

artículos y diferentes fuentes expuestas en internet. ● Herramientas para husmeo de tráfico

27

5.3. ALCANCES Y LIMITACIONES Durante esta investigación se validará la tecnología IoT a nivel general, sin embargo, el alcance de este proyecto de investigación es identificar las características y condiciones de seguridad que están presentes en los dispositivos SmartWatch (relojes inteligentes) con el fin de formular recomendaciones que permitan mejorar el nivel de seguridad al momento de la adquisición y uso de los SmartWatch. La investigación contempla dos pruebas técnicas con dispositivos de fácil adquisición que permiten husmear y potencialmente acceder a la información que por condiciones de inseguridad sean visibles dentro del entorno y ecosistema que establecen los relojes inteligentes. La limitación en este aspecto está enfocada en el tiempo de investigación y adquisición de competencias en el manejo de los dispositivos de husmeo, así como en las capacidades de los dispositivos de husmeo seleccionados. Para el desarrollo de esta investigación se tendrá en cuenta únicamente el nivel jurídico colombiano y sus diferentes organismos de regulación y control que han establecido leyes que amparan la privacidad de todo colombiano, como la Superintendencia de Industria y Comercio, la Ley Estatutaria 1581 de 2012 que aplica al tratamiento de datos personales y La ley 1273 de 2009 que estipula diez (10) delitos informáticos y las sanciones aplicables a los atentados contra la confidencialidad, la integridad y la disponibilidad de los datos y de los sistemas informáticos.

28

6. PRODUCTOS A ENTREGAR

Como resultado de la investigación se entregará una matriz con la identificación de las características de seguridad de los SmartWatch (U8, Samsung Galaxy Watch, Apple

Series 3, AONYSTAR DINA+); los resultados de la validación técnica de las características de seguridad realizada con el apoyo de herramientas para husmeo tráfico (Wireshark, Ubertooth One) y recomendaciones de seguridad para la adquisición y uso de los dispositivos SmartWatch.

29

7. ENTREGA DE RESULTADOS E IMPACTOS Para la ejecución de la investigación se escogieron cuatro (4) SmartWatch teniendo en cuenta a los líderes del mercado y otros de consumo masivo. Se identificaron las características generales compartidas por los cuatro (4) dispositivos para la validación de las características de seguridad, las cuales se pueden apreciar en la Tabla3. Características Generales SmartWatch 7.1 DISPOSITIVOS SMARTWATCH SELECCIONADOS

● Samsung Galaxy Watch ● Apple Watch Serie 4 ● Smartwatch U8 ● AONYSTAR DINA+

Tabla 3. Características Generales SmartWatch

Características Seguridad SmartWatch Reloj/ Característica

comparada

Galaxy

Watch

Apple

Watch

Series 3

SmartWatch

U8

AONYSTAR

DINA+

PIN de Bloqueo SI SI SI SI

Monitor Cardiaco SI SI SI SI

Permisos de

Emparejamiento SI SI SI SI

Permisos Descarga

Aplicaciones SI SI SI SI

Bluetooth SI SI SI SI

Wi-Fi SI SI NO NO

Cifrado datos

almacenados

No

concluyente AES 128

No

concluyente

No

concluyente

Cifrado datos en

tránsito

No

concluyente AES 128

No

concluyente

No

concluyente

Cuenta con Política

de Privacidad SI SI NO NO

Cumple Ley 1581

DE 2012 SI SI

No

concluyente

No

concluyente

Los smartwatch tienen la capacidad de almacenar una serie de datos de manera independiente para después ser sincronizados con el smartphone, entre estos datos están: frecuencia cardiaca, ubicación, actividad física, contactos, mensajes de texto,

30

fotos, E-mails, la relación de esta información se puede apreciar en la Tabla 4.

Información Almacenada

Tabla 4. Información Almacenada

Información almacenada localmente Smartwatch

/Información

Galaxy

Watch

Apple

Watch

Series 3

SmartWatch

U8

AONYSTAR

DINA+

Frecuencia

Cardiaca SI SI

No

Concluyente SI

Ubicación /

Actividad física SI SI

No

concluyente SI

Contactos, Reg.

Llamadas, SMS SI SI SI SI

Fotos- E-mails SI SI SI SI

Gustos e intereses

particulares

Accesos de

información(Ip,

claves, etc.)

SI

SI

SI

SI

No

Concluyente

SI

No

Concluyente

SI

Dado que los SmartWatch almacenan este tipo de información se pudo establecer que las personas que utilizan estos dispositivos dejan de lado la verificación del tratamiento de los datos personales, por lo cual automáticamente se acogen y aceptan las condiciones de uso de estos dispositivos. Por esto es de gran relevancia indicar los riesgos a los que se está expuesto con la adquisición y uso de estos. Impacto: Nivel de criticidad que genera la materialización del riesgo de acuerdo con la información que puede estar almacenada en el dispositivo y la información que se transmite a través de este. Descripción: descripción de los escenarios de riesgo en los que se pueden ver afectados los principios de confidencialidad, integridad y disponibilidad de la información.

31

Tabla 5. Análisis de Riesgos

Análisis de Riesgos Impacto Descripción

Catastrófico • Se puede incurrir en la afectación de la

confidencialidad debido a la exposición de

información sensible; datos de salud del

propietario, que se recolectan a través del

sensor cardiaco, aplicaciones de seguimiento

a la actividad física, incorporados en los

dispositivos.

• Se puede incurrir en hostigamiento al usuario

debido a la exposición de gustos e intereses

particulares, al afectarse el principio de la

confidencialidad, teniendo en cuenta las

definiciones de la ley 1581 de 2012

Alto • Se puede incurrir en la exposición de fotos

personales afectándose el principio de

confidencialidad por pérdida o hurto de este.

• Se puede llegar a incurrir en llamadas de

extorsión a los contactos almacenados en el

dispositivo por exposición de la información

afectándose el principio de confidencialidad

debido a la pérdida o hurto.

• Se podría acceder a la información del

SmartWatch AONYSTAR DINA+, debido a su

autonomía por SIM card, afectándose los

principios de confidencialidad, disponibilidad e

integridad ante pérdida o hurto.

• Se podría incurrir en autorizaciones a

diferentes aplicaciones, que permitan el uso

indebido de la información debido al

desconocimiento del usuario afectándose los

principios de integridad y confidencialidad.

• Se puede incurrir en la pérdida de gestión sobre

la información debido a la falta de definición de

responsabilidades para la cadena de

32

distribución y uso, afectándose los principios de

la seguridad de la información.

Medio • Se podría acceder a la información almacenada

localmente en el Galaxy Watch, Smartwatch

U8, afectándose los principios de

confidencialidad e integridad ante pérdida o

hurto.

• Se podría afectar el principio confidencialidad al

exponerse los E-mails y mensajes de texto

almacenados localmente por pérdida o hurto

del dispositivo.

• Se podría incurrir en afectaciones al dispositivo

por falta de actualizaciones de seguridad en el

sistema operativo que corrijan las

vulnerabilidades presentes; afectando los

principios de Confidencialidad e Integridad

• Se podría incurrir en afectaciones al dispositivo

por falta de actualizaciones en las aplicaciones

instaladas que corrijan las vulnerabilidades

presentes; afectando los principios de

confidencialidad e integridad.

• Se puede presentar afectación en el principio

de disponibilidad por las fallas que pueden

ocurrir en el sistema operativo del SmartWatch

dado que algunos fabricantes limitan las

características de seguridad por mantener un

bajo costo.

Bajo • Se podría presentar daño físico en los

dispositivos SmartWatch por la baja calidad en

fabricación. afectándose el principio de

disponibilidad.

• Se podría incurrir en hostigamiento al usuario debido a la exposición involuntaria de información relacionada con la ubicación en tiempo real afectándose la confidencialidad

Insignificante • Se podría incurrir en la afectación de la confidencialidad e integridad al acceder a la información almacenada localmente en el AppleWatch ante pérdida o hurto.

33

7.2 ECOSISTEMA DE PRUEBAS

Para la ejecución de las pruebas se estableció un entorno compatible y aceptable con las herramientas seleccionadas para poder interceptar el tráfico bluetooth y Wi-Fi transmitido entre los SmartWatch y los celulares a los cuales se emparejaron.

Las pruebas de validación de las características de ejecutaron con las siguientes herramientas:

- Herramienta Wireshark en su versión 3.2.3 para la interceptación y análisis de las capturas de tráfico transmitido por los SmartWatch.

- Máquina virtual Linux Ubuntu requerida para la ejecución del

dispositivo de husmeo de tráfico bluetooth Ubertooth One, el cual permite la captura de tráfico, detección, monitorización y captura de las señales transmitidas a través de la conexión Bluetooth.

- Software licenciado Connectify Hotspot para establecer una red hotspot y ver el tráfico limpio transmitido entre los dispositivos objeto de la prueba.

Se utilizaron herramientas de husmeo de tráfico bluetooth e Interceptación de tráfico Wi-Fi para la validación de las características de seguridad de los dispositivos SmartWatch, a continuación, se relacionan los resultados obtenidos:

7.2.1 Entorno Bluetooth

7.2.1.1 Ubertooth- one

Para hacer uso del Ubertooth- One es necesario instalar al momento de sus

Ilustración 3. Dispositivo Ubertooth One

34

conexión un software que permite su manipulación. Como primera medida se valida la versión del Ubertooth-One ejecutando el comando ubertooth-util -V se puede evidenciar la desactualización.

Ilustración 4. Versión Inicial Firmware

La actualización se realiza por medio de la siguiente cadena de comandos:

1. $ ubertooth-dfu -d bluetooth_rxtx.dfu -r 2. Switching to DFU mode… 3. El ubertooth ingresa modo DFU 4. UberTooth -utll -v

35

7.2.1.1.1 Análisis De Las Capturas De Tráfico Con Ubertooth One

Los siguientes dispositivos fueron identificados en las capturas de tráfico realizadas

con el Ubertooth One, a través de la conexión Bluetooth

Tabla 6. Información Dispositivos

DISPOSITIVO MAC

Samsung Galaxy Watch 88:9F:6F:7D:B2:37 Apple Watch 34:7C:25:D4:15:F5

AONYSTAR DINA+ D0:C5:F3:DA:FF:F0

Con el comando Ubertooth-rx se obtuvo las MAC de los dispositivos emparejados

y que estaban generando tráfico Bluetooth.

El análisis de la captura se puede realizar entendiendo los términos que allí se

relacionan.

LAP: Parte inferior de la dirección. Los tres bytes inferiores de la dirección del

dispositivo, asignados por el fabricante.

En la siguiente captura se puede evidenciar que a través del Ubertooth One las

Ilustración 5. Versión actualizada Firmware

36

peticiones son realizadas por el Samsung Galaxy Watch, con dirección MAC 88:9F:6F:7D:B2:37

La siguiente captura, corresponde a las peticiones realizadas por el celular IPhone 7, en el cual se encuentra vinculado en Apple Watch 3, con dirección MAC D0:C5:F3:90:1A:C1

Ilustración 7. Evidencias MAC Apple

La siguiente captura, corresponde a las peticiones realizadas por el celular AONYSTAR DINA+, en el cual se encuentra vinculado en Apple Watch 3, con dirección MAC D0:C5:F3:DA:FF:F0

Ilustración 6. Evidencias MAC Samsung

37

Ilustración 8. Evidencias MAC AONYSTAR DINA+,

En las capturas con WireShark utilizando el Ubertooth One se puede ver la respuesta de

los canales dedicados a la entrega de avisos de conexiones.

Ilustración 9. Lectura Samsung Tráfico Ubertooth One

38

Ilustración 10. Lectura Apple Tráfico Ubertooth One

7.2.2 Entorno Wi-Fi

7.2.2.1 Connectify Hotspot 2020 Se utilizó la herramienta CONNECTIFY HOTSPOT 2020, para generar un entorno

de conexión a través del punto de acceso Wi-Fi para compartir Internet desde el

equipo de cómputo a los dispositivos Smartwatch y así realizar la captura de tráfico

sin interferencia de otra navegación en el equipo host.

Ilustración 11. Connectify Hotspot 2020

39

Se creó la red hotspot y se vincularon los smartwatch y los celulares a fin de verificar

el tráfico generado entre estos dispositivos, dado que los smartwatch U8 y

AONYSTAR DINA+ no cuentan con conexión Wi-Fi, se realiza la prueba con los

líderes del mercado Samsung Galaxy y Apple Watch.

Ilustración 12. Configuración Apple y Samsung

40

7.2.2.1.1 Análisis de las capturas de tráfico con Connectify.

El tráfico capturado a través de Connectify por conexión Wi-Fi del Smartwatch

Galaxy, permitió identificar durante el análisis realizado peticiones hacia diferentes

aplicaciones como Outlook Office 365, Skype, LinkedIn, Hotmail, Google play, entre

otras, utilizado el protocolo UDP.

Ilustración 13. Prueba Samsung Connectify

41

El tráfico analizado correspondiente a la información capturada del Apple Watch

corresponde igualmente a cuentas de correo como Yahoo!, Gmail, sesiones de chat,

WhatsApp, Cloud, YouTube entre otras.

Ilustración 14. Prueba Apple Connectify

De los datos recolectados durante las pruebas de husmeo de tráfico por medios de conexión Bluetooth y Wi-Fi se pudieron identificar las MAC de los SmartWatch Apple, Samsung, AONYSTAR DINA+, la prueba no se pudo realizar en el Smartwatch U8 dado que presentó fallas en su carga quedando fuera de uso.

Durante el escaneo utilizando el Ubertooth One, se puede evidenciar que se requiere de un entorno especializado para la captura de la data, teniendo en cuenta lo anterior no es posible verificar si los datos transmitidos utilizan algún protocolo de cifrado.

En un entorno no controlado es poco probable que un atacante logre capturar datos, debido a los altos requerimientos técnicos para llevar a cabo una violación a los datos almacenados en el dispositivo o en su transmisión.

42

Resultado de estas pruebas se pueden establecer una serie de recomendaciones al momento de adquirir o usar este tipo de dispositivos.

• Verificar que el SmartWatch cuente con la característica de permisos de emparejamiento

• Verificar la política de privacidad del SmartWatch

• Configurar el SmartWatch prestando atención a los accesos que solicita antes de permitirlos.

• Evitar conectarse a redes inalámbricas abiertas.

• Configurar el código PIN de acceso al SmartWatch.

• Descargar las aplicaciones solo desde los sitios oficiales.

• Evitar almacenar grandes cantidades de información en el SmartWatch.

• Adoptar hábitos de higiene digital eliminando la información de manera periódica en los SmartWatch, con el fin de minimizar la afectación a la confidencialidad en caso de hurto o pérdida del dispositivo.

• Al cambiar el SmartWatch hay que asegurar que toda la información

almacenada de manera local se elimine antes de su disposición final.

• Elegir SmartWatch de fabricantes reconocidos que ofrezcan garantía en cuanto a daño o ajustes de configuración.

• Configurar las actualizaciones de versión del software para que sean instaladas de manera automática al detectar redes WI-FI o sincronización con el Smartphone.

• Aceptar las actualizaciones de las aplicaciones instaladas en los SmartWatch.

• Verificar con quien es compartida la información sensible como datos de salud y actividad física.

• Permitir la geolocalización del SmartWatch solo a las aplicaciones que requieran de esto para su funcionamiento objetivo.

• No elegir un SmartWatch solo por su bajo costo, dado que pueden dañarse con gran facilidad, lo cual pone en duda todo la seguridad en su ciclo de vida.

43

8. CONCLUSIONES Es posible observar e interpretar los datos que puede recolectar el Ubertooth One y en un ambiente más desarrollado generar ataques dirigidos a cada dispositivo

A pesar de la facilidad para adquirir herramientas de husmeo de tráfico, el uso de estas como el Ubertooth One requieren de conocimientos avanzados de hacking, sistemas operativos y redes.

Los dispositivos U8 y AONYSTAR DINA+, son limitados en características, de difícil configuración y requieren de un software intrusivo en permisos para poder sincronizar las notificaciones de los dispositivos celulares.

La data de todos los dispositivos Apple se encuentra cifrada tanto en tránsito como en reposo de acuerdo con lo publicado en la página web del fabricante.

El resultado de la investigación deja establecida una incertidumbre en cuanto a la data transmitida por el Galaxy Watch dado que no se pudo validar a nivel documental o técnica esta característica.

La complejidad en el uso de las herramientas como el Ubertooth reduce la probabilidad de un ataque o de la visualización de los datos ya que es necesario contar un alto conocimiento técnico para lograr el objetivo. Las pruebas deben ejecutarse en diferentes escenarios para finalmente lograr la captura de la data. No se evidenció por parte de los fabricantes información clara respecto a los mecanismos de cifrado utilizados para la data que se transmite a través del SmartWatch y su entorno.

Dada la incertidumbre en cuanto al cifrado de los datos en tránsito y en reposo del Galaxy Watch se abre la puerta para siguientes investigaciones que partiendo de la información técnica encontrada profundicen en el esclarecimiento de este interrogante.

Al contar con la herramienta de husmeo bluetooth el presente proyecto deja la puerta abierta para que siguientes proyectos profundicen en el análisis de la información en tránsito, la verificación de la seguridad de la información que viaja cifrada y la inyección de paquetes que planteen engaños a los dispositivos objetivo.

No es clara la información expuesta por los fabricantes en cuanto a la eliminación de información en caso de robo o pérdida del SmartWatch de forma remota.

El AppleWatch cuenta con un factor de seguridad superior en comparación con los

44

demás SmartWatch elegidos para esta investigación, dado que es no es posible emparejarlo con otro dispositivo si este ya se encuentra vinculado con una cuenta de ICloud. En caso de robo o pérdida del AppleWatch es posible a través de la cuenta de iCloud.com realizar el bloqueo inmediato. El Galaxy Watch y AppleWatch se encuentran alineados y en cumplimiento con la ley 1581 de 2012 relacionada con la protección de datos personales en Colombia y sus políticas se encuentran publicadas en un sus sitios web. Los marcas de SmartWatch U8, AONYSTAR DINA+, no cuentan con sitio web oficial en el que se pueda verificar el cumplimiento de las leyes colombianas. Las funciones de ubicación de estos dispositivos deben ser tenidas en consideración para la asignación de los permisos que solicitan las diferentes aplicaciones. La información de estos dispositivos se almacena en mayor medida en la nube, lo que hace difícil entender el gobierno que se maneja en el momento de su uso. Cada día se ven en el mercado dispositivos con mayores recursos en capacidad de almacenamiento, recursos de memoria, y a los fabricantes líderes invirtiendo en la seguridad de la información de estos.

45

9. BIBLIOGRAFÍA

1 RODRIGUEZ NAVARRO, Carlos. “Qué se espera del IoT en los próximos años”. En línea. 22 octubre de 2019 disponible en: (https://soloelectronicos.com/tag/para-que-sirve-el-iot/).

2 ANSCOMBE, Tony. “Legislar la seguridad de los dispositivos IoT: ¿es realmente la solución?” en línea. 6 mayo de 2019. Disponible en: (https://www.welivesecurity.com/la-es/2019/05/06/legislar-seguridad-dispositivos-iot/).

3 PORTAFOLIO, “Seguridad del IoT se convierte en megatendencia” en línea. 23 mayo de 2019. Disponible en: (https://www.portafolio.co/tendencias/seguridad-del-iot-se-convierte-en-megatendencia-529872).

4 PUENTE GARCIA, Miriam. “Riesgos y retos de ciberseguridad y privacidad en IoT”, en línea. 22 diciembre de 2017. Disponible en: (https://www.incibe-cert.es/blog/riesgos-y-retos-ciberseguridad-y-privacidad-IoT).

5 SIGNALS IOT, “Relojes inteligentes liderarán ventas de wearables hasta 2022”,

en línea. 18 diciembre de 2018. Disponible en: (https://signalsIoT.com/relojes-inteligentes-lideraran-ventas-de-Wearables-hasta-2022/).

6 Ibíd, p. 7,15. DISPOSITIVOS WEARABLES, “¿Que es Wearable? – Los dispositivos vestibles” en línea. disponible en: (http://www.dispositivosWearables.net).

7 Ibíd, p. 7,18. COLOMBIA, CONGRESO DE LA REPUBLICA. Ley estatutaria 1581 de 2012. (octubre 17) Por la cual se dictan las disposiciones generales para la protección de datos personales. Diario Oficial No. 48.587 de 18 de octubre de 2012

8 CCN-CERT, “EL FBI advierte sobre dispositivos de Internet de las Cosas (IoT) comprometidos” en línea. 07 agosto de 2018. disponible en: (https://www.ccn-cert.cni.es/seguridad-al-dia/noticias-seguridad/6717-el-fbi-advierte-sobre-dispositivos-de-internet-de-las-cosas-iot-comprometidos.html).

9 CRESPO, Adrián, “Los smartwatch son un peligro para la seguridad de los datos de los usuarios, o al menos de momento” en línea. 12 diciembre de 2014. Disponible en: (https://www.redeszone.net/2014/12/12/los-smartwatch-son-un-peligro-para-la-seguridad-de-los-datos-de-los-usuarios-o-al-menos-de-momento/).

10 Ibíd, p. 8, 17 ENISA, “Internet de las cosas (IoT)” en línea. disponible en: (https://www.enisa.europa.eu/topics/IoT-and-smart-infrastructures/IoT).

11 MEREDYDD Williams, Jason R.C. Nurse, CREESE Sadie. Computers in Human

46

Behavior: Encouraging privacy-protective behavior in a longitudinal study. Volume 99, October 2019, Pages 38-54

12 ACOSTA, Victor Manuel. “Seguridad en Smartwatch: claves para protegerlo de posibles hackers” en línea. 23 julio de 2018. Disponible en: (https://revistadigital.inesem.es/informatica-y-tics/seguridad-en-SmartWatch/).

13 RACHARLA, Kavya, NAROPANTH Sumanth. “Securing your in-ear fitness coach: Challenges in hardening next generation wearables” en línea. agosto 2018. Disponible en: (https://i.blackhat.com/briefings/asia/2018/asia-18-naropanth-racharla-In-ear-fitness.pdf).

14 GARCIA, Maria. “IoT - Internet Of Things” DELOITTE, en línea. disponible en: (https://www2.deloitte.com/es/es/pages/technology/articles/IoT-internet-of-things.html).

15 LOPEZ, María de los ángeles, Albanese, Diana Ester, Sánchez Marisa Analía. Contaduría y Administración: Gestión de riesgos para la adopción de la computación en nube en entidades financieras de la República Argentina. Volume 59, Issue 3, October–December 2014, Pages 61-88

16 EBSCO. IoT Device risk assesssment. En línea. disponible en: (http://eds.b.ebscohost.com/eds/detail/detail?vid=2&sid=76aaa9e0-4008-4c8f-94b0be73c3247c21%40sessionmgr103&bdata=Jmxhbmc9ZXMmc2l0ZT1lZHMtbGl2ZQ%3d%3d#AN=87322980&db=ers).

17 SCIENCE DIRECT. Wireless broadband standards and technologies. Ahmadi, in Academic Press Library in Mobile and Wireless Communications, 2016. En línea. disponible en: (https://www.sciencedirect.com/topics/engineering/bluetooth/pdf)

18 Ibíd, p. 13,16. CHOI, Jaewon, KIM Seongcheol. Computers in Human Behavior: Is the smartwatch an IT product or a fashion product? A study on factors affecting the intention to use smartwatches. Volume 63, October 2016, Pages 777-786

19 SANMARTIN MENDOZA, Paul, AVILA HERNANDEZ Karen, VILORA NÚÑEZ, Cesar, MOLINARES JABBA, Daladier. “Internet de las cosas y la salud centrada en el hogar”. En línea. 29 de abril de 2016. Disponible en: http://www.scielo.org.co/pdf/sun/v32n2/v32n2a14.pdf

20 PRESS, Gil. “Internet of Things by the numbers: market estimates and forecasts, en línea 22 agosto de 2014. Disponible en: (https://www.forbes.com/sites/gilpress/2014/08/22/internet-of-things-by-the-numbers-market-estimates-and-forecasts/#5976d2cb9194).

21 CASTRO, Diego, CORAL William, CABRA, José. “Survey on IoT applied to healthcare”. en línea. 12 octubre de 2017. Disponible en:

47

https://www.redalyc.org/jatsRepo/496/49655603024/index.html

22 COLOMBIA, CONGRESO DE LA REPÚBLICA. Ley 1273 de 2009. (enero 5) por medio de la cual se modifica el Código Penal, se crea un nuevo bien jurídico tutelado - denominado “de la protección de la información y de los datos”- y se preservan integralmente los sistemas que utilicen las tecnologías de la información y las comunicaciones, entre otras disposiciones. Diario Oficial No. 47.223 de 5 de enero de 2009

CAICEDO, John. “Internet de las cosas y la seguridad”. En línea.16 octubre de 2017 disponible en: (https://www.johncaicedo.com.co/2017/10/16/internet-de-las-cosas-y-la-seguridad/).

CHUAH, Stephanie Hui-Wen. Telematics and Informatics: You inspire me and make my life better: Investigating a multiple sequential mediation model of smartwatch continuance intention. Volume 43, October 2019, 101245

HSIAO, Kuo-Lun, CHEN, Chia-Chen. Telematics and Informatics: What drives smartwatch purchase intention? Perspectives from hardware, software, design, and value. Volume 35, Issue 1, April 2018, Pages 103-113

HA, Taehyum, BEIJNON, Bjorn, KIM, Sangyeon, LEE, Sangwon, KIM, Jang Hyun. Telematics and Informatics: Examining user perceptions of smartwatch through dynamic topic modeling. Volume 34, Issue 7, November 2017, Pages 1262-1273

TSUNG-Chien, Lu, YAO-Ting, Chang, TE-Wei, Ho, YI, Chen, YI-Ting, Lee YU-Siang, Wang YEN-Pin, Chen, CHU-Lin, Tsai, MATTHEW, Huei-Ming, Ma, CHENG-Chung, Fang, FEIPEI, Lai HENDRIKA W., Meischke, ANNE M.Turner. Resuscitation: Using a smartwatch with real-time feedback improves the delivery of high-quality cardiopulmonary resuscitation by healthcare professionals. Volume 140, July 2019, Pages 16-22 MATIN, Kheirkhahan, PhD, SANJAY, Nair, ANIS, Davoudi, Parisa, Rashidi, AMAL A., Wanigatunga, DUANE B., Corbett, TONATIUH, Mendoza, TODD M., Manini, SANJAY, Ranka. Journal of Biomedical Informatics: Volume 89, January 2019, Pages 29-40

MEREDYDD, Williams, JASON R.C.Nurse, SADIE, Creese. International Journal of Human-Computer Studies: (Smart)Watch Out! encouraging privacy-protective behavior through interactive games. Volume 132, December 2019, Pages 121-137 PHILIP, Menard, GREGORY J., Bott. Computers & Security: Analyzing IOT users’ mobile device privacy concerns: Extracting privacy permissions using a disclosure experiment. Volume 95, August 2020, 101856

VINCENT, Dutot, VEERA, Bhatiasevi, NADIM, Bellallahom. The Journal of High

48

Technology Management Research: Applying the technology acceptance model in a three-countries study of smartwatch adoption. Volume 30, Issue 1, May 2019, Pages 1-14 LIANG-Hong, Wu, LIANG-Chuan, Wu, SHOU-Chi, Chang. Computers in Human Behavior: Exploring consumers’ intention to accept smartwatch. Volume 64, November 2016, Pages 383-392 Sangeun, Jin, Minsung, Kim, Jihyeon, Park, Minsung, Jang, Kyuseok, Chang, Daemin,Kim. Applied Ergonomics: A comparison of biomechanical workload between smartphone and smartwatch while sitting and standing. Volume 76, April 2019, Pages 105-112 LEE, HC, LEE DM, Conferencia Internacional 2020 sobre inteligencia Artificial en Información y Comunicación, ICAIIC 2020: Modelo de aprendizaje automático para algoritmos de localización en interiores con GPS y reloj inteligente. Artículo 9065245, Febrero de 2020 Páginas 735-737 SAMSUNG ELECTRONICS COLOMBIA S.A. “Política De Tratamiento De Datos Personales” En línea. 25 Junio de 2013 disponible en: (https://www.samsung.com/co/proteccion_de_datos/). APPLE Inc, “Política de Privacidad” En línea. 31 Diciembre de 2019 disponible en: (https://www.apple.com/legal/privacy/es/). APPLE Inc. “Información general sobre la seguridad de iCloud” En línea. 17 Abril de 2020 disponible en: (https://support.apple.com/es-es/HT202303). ENISA, “Sobre ENISA” En línea. disponible en: (https://www.enisa.europa.eu/about-enisa)