Piratas informáticos pueden tomar el control de tu PC en tan solo 10 segundos

Por Jorge Luis Barrios Mejia @BlueScire

Weareable, un concepto muy de moda que hace referencia a todo aquel accesorio que se puede llevar encima y que está conectado a Internet o a otros dispositivos como un smartphone. Dentro de este amplio concepto, los más conocidos son los dispositivos de seguimiento de salud y de actividad física, como un reloj o una pulsera, que se encargan de controlar nuestro estado, registrarlo y monitorizarlo a través de una aplicación desarrollada para dicho fin.

Fitbit es una de las marcas más conocidas dentro del ámbito de los weareables. Este dispositivo de seguimiento de actividad es uno de los más completos y más precisos del mercado por lo que, aunque su precio es algo elevado respecto al de otras marcas como MiBand de Xiaomi, es un complemento muy popular, incluso imprescindible, entre todos los aficionados al deporte. Sin embargo, la seguridad de estos dispositivos no es precisamente su punto fuerte, y es que un estudio ha demostrado como esta puede ser utilizada para lograr acceso a un ordenador remoto, en el cual se ha instalado malware previamente, y tomar el control total del mismo.

Un investigador de seguridad de la compañía Fortinet ha demostrado como debido a una vulnerabilidad presente en la mayor parte de los dispositivos Fitbit, un pirata informático puede introducir código malicioso en el dispositivo, incluso sin que el usuario sea consciente de ello, y utilizar dicho código para infectar cualquier ordenador al que se conecte la pulsera para sincronizar y volcar los datos.

Según el investigador de seguridad, un atacante solo necesita estar dentro del rango de alcance de la Fitbit y enviarla el código malicioso en un proceso que solo dura 10 segundos. Una vez que la pulsera queda infectada solo queda esperar a que el usuario la conecte al PC para que este quede infectado y en manos de los piratas informáticos.

Los piratas informáticos no suelen inyectar un malware completo directamente en el ordenador de la víctima, sino que el código de la Fitbit habilitará una puerta trasera desde donde se conectarán e instalarán otras piezas de software malicioso más completas como troyanos e incluso ransomware.

Este investigador de seguridad detectó la vulnerabilidad en marzo de 2015 y se la notificó a la compañía. Tras más de 6 meses de espera, la vulnerabilidad sigue presente en el firmware más reciente de los dispositivos, por lo que la compañía responsable de Fitbit parece no tener planes para solucionar esta vulnerabilidad. Lo más preocupante de todo es que según este investigador la vulnerabilidad ya ha sido explotada en varias ocasiones por piratas informáticos, por lo que todos los usuarios de una Fitbit están expuestos a estos ataques potenciales.

Por el momento, y a la espera de que FitBit se actualice solucionando la vulnerabilidad, lo mejor es evitar utilizar este monitor de actividad o, de usarlo, evitar conectarlo al PC por si nuestra seguridad se ha visto comprometida mientras hacíamos ejercicio o simplemente paseábamos por la calle.

El artículo original Piratas informáticos pueden tomar el control de tu PC en tan solo 10 segundos lo encuentras en BlueScire.