Amenaza a la privacidad por metadatos en tráfico de dispositivos IoT

A pesar de que varios dispositivos IoT para casas inteligentes cifran su tráfico, un observador pasivo de red, por ejemplo, un ISP o un vecino en nuestro Wi-Fi, puede interferir el comportamiento del consumidor y detalles sensibles sobre los metadatos de un porcentaje del tráfico.

Examinando dispositivos IoT de casas inteligentes

Un grupo de investigadores del departamento de ciencias computacionales de la universidad de Princeton, han probado este hecho tras configurar un laboratorio de casa inteligente con un tap pasivo y examinando el tráfico de cuatro dispositivos IoT de casas inteligentes: un monitor de sueño de la marca Sense, una cámara de seguridad para interiores de Nest Cam, un tomacorrientes inteligente de MeWo y una bocina inteligente Amazon Echo.

De manera separada capturaron el tráfico en paquetes, una vez realizado esto, asociar el tráfico al dispositivo correspondiente no es difícil. “Una vez que quien captura identifica un paquete de un dispositivo especifico, uno o más flujos pueden ser los que codifican el estado del dispositivo. Simplemente exponiendo porcentajes de flujos de envío-recepción (bytes por segundo) revela interacciones potencialmente privadas para cada uno de los dispositivos que probamos”, recalcaron los investigadores.

¿Qué podría hacer alguien con esta información?

El atacante podría así trabajar con los patrones de sueño de los usuarios (y sus problemas al respecto), la presencia en casa o el uso del servicio de asistente personal Alexa.

A pesar de que esto no parezca un gran problema de seguridad ahora, se debe considerar el hecho de que en un futuro se tendrán dispositivos IoT más especializados. También se debe considerar la posibilidad de que estos dispositivos estarán relacionados con salud y seguridad física. ¿Sería de su agrado que su ISP o algún atacante supiera lo que hace en cada momento de su día, o los alimentos que toma?

La criptografía no es la respuesta

Los investigadores notaron que el cifrado por sí solo no provee una protección adecuada a la privacidad de casas inteligentes, ya que su análisis no depende de una inspección profunda de los paquetes, solo envía un promedio de tráfico cifrado.

“Una solución sistemática para preservar la privacidad del consumidor requeriría ofuscar o trabajar todo el tráfico de la casa inteligente para enmascarar acciones de comportamiento en el mundo real”, también notaron que una solución de este tipo no tendría por qué impactar negativamente en el desempeño de los dispositivos IoT, se deberían respetar sus límites de datos y no debería requerir modificaciones del fabricante.

Estrategias para incrementar la privacidad

En una publicación subsecuente, los mismos investigadores han brindado cuatro estrategias que los fabricantes de dispositivos y terceros pueden implementar para proteger la privacidad de sus consumidores de este tipo de intrusiones.

Se incluyen:

• Bloquear conexiones salientes para privar a los atacantes de datos de la casa inteligente.
• Cifrar las consultas DNS para prevenir que un atacante identifique dispositivos.
• Dirigir todo el tráfico de la casa inteligente a través de una VPN, y de esa forma prevenir que un atacante realice una correlación del tráfico a un dispositivo en específico.
• Formar o inyectar el tráfico para limitar la confianza de un atacante al identificar dispositivos o comportamiento, ya sea enmascarando patrones o fingiendo ser dispositivos que no se encuentran en la red.

Los investigadores están conscientes de que estas soluciones no son las ideales. Por ejemplo, todos los dispositivos probados tienen funcionalidad nula o limitada cuando se encuentran tras un firewall que prevenga comunicación con el exterior de la casa inteligente, y eso es algo que en definitiva no sería bueno para los usuarios ni para los fabricantes. Así, los desarrolladores deberían considerar como sus dispositivos deberían ser por defecto un “producto mínimo confiable” con internet limitado.

Para finalizar, a pesar de que quienes realizan las políticas deberían estar haciendo su trabajo con políticas que protegen a los consumidores, solo concluyeron que esta amenaza seguirá creciendo junto con el mercado de dispositivos IoT para casas inteligentes.