Zapatillas, llaves y “start”. Miles de personas repiten estos pasos diariamente y es que los relojes inteligentes forman parte, cada vez más, de nuestra rutina deportiva.
Lejos de limitarse a dar la hora, estos dispositivos permiten realizar un seguimiento de nuestra actividad física diaria, que va desde contabilizar cuantos pasos damos por hora hasta registrar nuestra frecuencia cardiaca. Por tanto, se han vuelto esenciales para todas las personas que buscan monitorear sus hábitos de ejercicio.
En 2021 el mercado de relojes inteligentes registró alrededor de 102,5 millones de unidades vendidas y las estadísticas pronostican que las ventas sobrepasarán los 200 millones de unidades en todo el mundo para 2027.
La capacidad de los relojes inteligentes de conectarse con otros dispositivos y herramientas permite que se puedan volcar todos los datos a diferentes aplicaciones que generen, entre otras, estadísticas y métricas sobre nuestro rendimiento diario.
Estos dispositivos pertenecen a lo que se conoce como el Internet de las Cosas, IoT por sus siglas en inglés, que es el proceso que habilita la conexión a internet de objetos físicos cotidianos. El desarrollo del 5G y el consiguiente Internet de las Cosas facilitan que los dispositivos digitales como los relojes inteligentes, recopilen nuestros datos a través de sus diferentes sensores y los envíen a otros dispositivos o aplicaciones. Los propios dispositivos se desarrollan gracias a estas tecnologías y permiten que cada vez se elaboren herramientas más sofisticadas que puedan responder a las distintas necesidades de sus usuarios.
Sin embargo, pese a las ventajas que puede suponer el uso de estos dispositivos para mantener una vida activa y saludable, el desarrollo de estas herramientas también genera nuevos y mayores ataques a nuestra esfera íntima personal.
En el caso del uso de relojes inteligentes durante nuestras rutinas deportivas, la principal problemática en materia de privacidad se refriere a la cantidad y sensibilidad de los datos que se recogen, en concreto, datos de salud y localización. A esto se le une una pérdida de control sobre la privacidad de nuestros datos personales en tanto a la falta de información facilitada por los fabricantes de los dispositivos o los titulares de las aplicaciones de rendimiento deportivo, como a las posibles vulneraciones a las que se expone nuestra información personal, especialmente, en relación con el volcado de datos a terceras aplicaciones.
Si realizamos una búsqueda rápida para encontrar las mejores aplicaciones de medición de rendimiento deportivo, enseguida aparece el nombre de Strava.
Strava es una aplicación compatible con un número de dispositivos GPS que hacen seguimiento de datos de ritmo cardiaco, entre los que se encuentran los relojes inteligentes de Garmin, Fitbit, Apple Watch, Polar y Suunto. La aplicación está enfocada a deportistas y, según su propia página web, la utilizan más de 100 millones de personas repartidas en 195 países y permite a sus usuarios medir su progreso, registrar las calorías que consumen en cada actividad y compartir sus resultados con el resto de los usuarios.
La aplicación cuenta con un mapa de calor mundial que recoge las localizaciones más frecuentes para entrenar de sus usuarios, es decir, permite marcar la actividad física de sus usuarios, facilitar a otros las rutas más habituales y comparar sus tiempos, lo que se convierte en un aliciente para mejorar sus marcas.
Los registros del mapa de calor de Strava son anónimos, sin embargo, un estudio de la Universidad Estatal de Carolina del Norte ha revelado que, realizando un cruzado de datos con datos personales públicos de los perfiles de Strava, se puede revelar el domicilio de algunos usuarios de la aplicación. Esta no es la primera vez que su mapa de calor expone datos inesperados, en noviembre de 2017 la publicación del mapa de calor que contenía más de tres billones de puntos de datos GPS permitió desvelar las bases militares y las instalaciones secretas de los ejércitos de varios países.
Dada la sensibilidad de los datos que se recogen a través de estos dispositivos es alarmante que personas no autorizadas puedan acceder a estos datos, pero también hay que tener especial cuidado con el uso que hacen terceros autorizados de esta información personal.
Por tanto, en aras de garantizar la protección de datos personales es esencial que todos los responsables involucrados en el ciclo de vida de los datos cuenten con una base de legitimación adecuada para su tratamiento, tanto para la recogida de los datos que realizan los relojes como para su almacenamiento y comunicación a terceros. Así como, un cumplimiento estricto de su deber de transparencia, que implica trasladar al usuario en el momento en el que se recogen sus datos la información sobre el tratamiento de su información personal y las circunstancias en las que se procesa, distinguiendo si se han obtenido directamente del interesado o no.
La privacidad de los datos que se procesan en estos dispositivos depende en gran parte de la robustez de su seguridad. Los relojes inteligentes se encuentran sometidos a riesgos similares a otros dispositivos IoT, por lo que su principal riesgo es su tecnología conectada.
Las aplicaciones vinculadas a los relojes inteligentes son una de las principales vías de ataque, ya que, independientemente de los niveles de seguridad que pueda garantizar el dispositivo, las aplicaciones pueden contener vulnerabilidades en su programación que permitan exponer los datos de sus usuarios. Asimismo, existen aplicaciones maliciosas que simulan otras aplicaciones legítimas de manera que el usuario, confiando en que se trata de una aplicación legítima, facilita su información personal directamente. Del mismo modo, un método de autentificación o un cifrado frágil resulta una vía de acceso a la información personal que se comparte con el dispositivo.
En línea con este último punto, cuando se conecta un reloj inteligente con otros dispositivos a través de tecnologías Bluetooth se ha comprobado que existen vulnerabilidades en el cifrado de los datos que permiten que las conexiones puedan ser forzadas e intervenidas.
Por tanto, los distintos proveedores y los programadores de estos dispositivos deben procurar aplicar medidas técnicas suficientes que permitan mitigar el riesgo al que se ven expuestos sus usuarios. Asimismo, los usuarios de estos dispositivos deben ser conscientes de la sensibilidad de la información que comparten con estos dispositivos (datos de salud, datos de localización, contraseñas, mensajes, etc.) cuyo uso indebido podrían tener un gran impacto en sus derechos y libertades.
Pese a las muchas vulnerabilidades que se encuentran en estos dispositivos no todas dependen directamente de su configuración y programación técnica y los usuarios pueden tomar consciencia e implementar las siguientes medidas para evitar exponerse a riesgos innecesarios:
- Configurar la seguridad del dispositivo y bloquear las conexiones y/o a emparejamientos no autorizados.
- Establecer un doble factor de autenticación.
- Hacer uso únicamente de aplicaciones oficiales.
- Actualizar el dispositivo y las distintas aplicaciones a sus últimas versiones.
- Usar una conexión de red privada virtual (VPN).
- Establecer un código PIN o contraseña de desbloqueo.
- Escanear únicamente QRs y códigos de sitios de confianza ubicadas en un entorno real y asegurarse de que los estándares de navegación son seguros.
Descárgate el PDF.