Los piratas informáticos tienen un nuevo objetivo para el phishing … y son las bicicletas de ejercicio

Cada vez que sale un nuevo dispositivo que parece "imposible de piratear", los expertos demuestran que estamos equivocados al aprovecharlo de todos modos. Recientemente, los investigadores descubrieron una falla de seguridad en las bicicletas inteligentes Peloton que podría permitir que un pirata informático te espiara mientras andas en bicicleta.

Entonces, ¿por qué los ciberdelincuentes atacan las bicicletas estáticas? ¿Y qué puedes hacer al respecto?

¿Cómo están atacando los piratas informáticos las bicicletas de ejercicio?

McAfee dio la alarma después de que sus investigadores localizaran un exploit en las bicicletas estáticas Peloton. Afortunadamente, los investigadores lograron llamar la atención de Peloton antes de que lo hicieran los piratas informáticos, pero aún existe la posibilidad de que algunos agentes maliciosos hayan encontrado y utilizado el exploit antes de esa fecha.

Para realizar el ataque, el pirata informático primero haría una memoria USB con el archivo de inicio de Peloton. Luego lo llevarían a la bicicleta que quieren piratear y lo conectarían, modificando el archivo de arranque para permitirles el acceso. Las bicicletas no verifican este tipo de ataque, por lo que le daría al pirata informático derechos de administrador sobre la máquina.

Con estos derechos, pueden manipular la bicicleta como quieran. Pueden usar este poder para recolectar la información personal de quien usa la bicicleta.

McAfee reveló esta falla a Peloton, que luego lanzó un parche para sus bicicletas estáticas el 4 de junio de 2021. Sin embargo, significa que si se subió a una bicicleta en un gimnasio en esa fecha o antes, hay una pequeña posibilidad de que la bicicleta eligió se había visto comprometida.

¿Qué tipo de datos se robaron?

Puede parecer extraño que un pirata informático vaya tras una bicicleta estática, pero los modelos en estos días vienen con una gran cantidad de artilugios y características sofisticadas que se pueden usar en contra de los usuarios para recopilar su información.

Por supuesto, el pirata informático no se está metiendo en la bicicleta para que pueda felicitarlo por completar esa rutina de ejercicios maratón. En cambio, buscan información que puedan usar o vender personalmente.

Creación de aplicaciones falsas de Peloton

Las bicicletas inteligentes como las máquinas de Peloton tienen aplicaciones para que los ciclistas las usen mientras sudan. Estas aplicaciones incluyen servicios en línea populares como Netflix y Spotify.

Los piratas informáticos pueden aprovechar esto cargando versiones falsas de la aplicación en la bicicleta. Estos tienen el mismo aspecto que la aplicación oficial, pero cuando el usuario ingresa sus datos de inicio de sesión, se los devuelve al pirata informático.

Pero espere un minuto; ¿Por qué diablos un hacker quiere ingresar a su cuenta de Netflix o Spotify? Después de todo, puedes crear una cuenta de Spotify gratis y Netflix no es tan caro. ¿Es un hacker realmente tan desesperado por conseguir películas gratis que hackearía una bicicleta estática?

Puede que te sorprenda, pero estas cuentas pueden venderse en el mercado negro. Algunas personas simplemente no quieren pagar la tarifa mensual de Netflix o Spotify Premium; prefieren hacer un pago único para acceder a la cuenta de otra persona y hacer que ellos paguen la factura. Es solo una de las muchas cuentas en línea impactantes que se venden en la web oscura .

Además, si va en contra de los consejos y utiliza el mismo nombre de usuario y contraseña en varias cuentas, podría verse comprometida algo más que las aplicaciones de entretenimiento.

Recolección de información de identificación personal

Las cosas se ponen un poco más aterradoras cuando te das cuenta de que las bicicletas Peloton también tienen un micrófono y una cámara instalados. Los piratas informáticos pueden usarlos para espiar a quien esté usando la máquina.

Por supuesto, el hacker necesita una conexión activa a la bicicleta para espiar a su usuario en tiempo real. Como tal, tendrán que instalar una puerta trasera que les dé permiso para acceder al hardware de la bicicleta sin que el usuario lo sepa.

No solo eso, McAfee señala que los piratas informáticos pueden incluso descifrar los datos enviados por Peloton a los servidores. Esto significa que el ciberdelincuente puede recopilar toda la información confidencial que recopila la bicicleta para tener una mejor idea de quién la está usando.

Cómo protegerse de los piratas en bicicleta

Todo esto suena muy aterrador, pero recuerde, Peloton parcheó este exploit en junio de 2021. Eso significa que debe recordar si usó una máquina Peloton en un lugar público antes de esa fecha.

Incluso si usó uno después de esa fecha, existe la posibilidad de que su gimnasio local aún no haya descargado el último firmware para la bicicleta, lo que significa que el exploit todavía está presente.

Veamos algunas formas de proteger su privacidad al usar máquinas de ejercicio.

1. Opte por las bicicletas "tontas" en lugar de las "inteligentes"

Si odias la idea de una bicicleta que te espíe y te robe la información de tu cuenta, ¿por qué no optar por una bicicleta que no puede hacer ninguna de las dos cosas? Tan llamativas y mágicas como las empresas hacen que las bicicletas conectadas a Internet sean, conectar un dispositivo a la red mundial siempre conlleva una buena cantidad de amenazas.

Como tal, la mejor manera de proteger su privacidad digital es conseguir o usar una bicicleta estática con poca o ninguna tecnología. Por supuesto, esto significa que andar en bicicleta por tu ciudad es una buena opción. Si desea seguir con una máquina de ejercicio, hay muchas para el usuario, ya sea una simple pantalla digital o ninguna.

Si bien es posible que se pueda acceder a cualquier bicicleta estática con pantalla digital, el objetivo aquí es minimizar la cantidad de información que obtendría un pirata informático si violara la seguridad. Cuanta menos información muestre o use la bicicleta, menos útiles serán los datos para un pirata informático.

Por ejemplo, una bicicleta con cámaras web, micrófonos y aplicaciones representa un gran riesgo de privacidad si se rompe. Por otro lado, una bicicleta que solo te dice estadísticas generales como la distancia recorrida y tu frecuencia cardíaca no le dará nada de valor a un hacker.

Esto también se aplica a otros dispositivos domésticos. Por ejemplo, ¿sabía que los piratas informáticos pueden comprometer las bombillas inteligentes de todas las cosas? Esto demuestra que muy pocos dispositivos inteligentes son "demasiado pequeños para piratear"; si tiene una debilidad, un hacker puede explotarla.

2. Mantenga actualizado el firmware de su bicicleta inteligente

Si realmente no puede soportar separarse de su amada bicicleta inteligente, entonces es hora de asegurarse de que sus defensas estén altas. Actualice siempre el firmware de su bicicleta, ya que estas actualizaciones contendrán parches que corrigen vulnerabilidades y fallas en su seguridad.

Incluso si nadie más usa o puede alcanzar su bicicleta estática, hacerlo protegerá su dispositivo de ataques remotos.

3. No confíe totalmente en la tecnología que se encuentra en el público

¿Recuerda el vector de ataque real en las bicicletas Peloton? El hacker tuvo que visitar la máquina de ejercicios físicamente para que pudiera conectar una memoria USB.

Como tal, si tiene un Peloton en casa, es extremadamente poco probable que un hacker haya logrado usar este exploit en él. Sin embargo, las máquinas de bicicletas que se encuentran en el gimnasio son una historia diferente.

Esté siempre cansado de usar una bicicleta estática inteligente en un lugar público. Trate de evitar darle detalles personales y, si tiene una cámara web o un micrófono, tal vez busque otra máquina.

Este consejo se aplica a casi todas las tecnologías de cara al público que existen. Incluso las redes Wi-Fi públicas pueden ser puntos de acceso para actividades delictivas, aprovechando a los civiles que se conectan a ellas.

Relacionado: Maneras en que los piratas informáticos usan Wi-Fi público para robar su identidad

Mantenerse seguro en el gimnasio

Una vulnerabilidad reciente en las bicicletas Peloton reveló cómo los piratas informáticos podían cargar aplicaciones falsas y rastrear quién las usaba. Asegúrese siempre de que sus dispositivos inteligentes y máquinas de ejercicio estén actualizados. Si las cosas se complican, siempre puede optar por las versiones "tontas".

Si ya tiene una casa inteligente completamente configurada, no se preocupe. Siempre que estudie todos sus riesgos de seguridad y cómo evitarlos, debería estar bien.