El ataque que pone en riesgo todos tus datos en la nube y amenaza hasta a tu bici estática
Peloton, la tecnológica que triunfa con sus bicis inteligentes, ha sido la última plataforma en sufrir uno de los llamados ciberataques de 'scrapping' que explotan sus bases para hacerse con sus datos
:format(jpg)/f.elconfidencial.com%2Foriginal%2Fa75%2F827%2F9c3%2Fa758279c3a0cd83903d19b77781eda58.jpg)
Que Joe Biden no tiene tanto apego a las redes sociales y en general a internet como Donald Trump no es ninguna novedad. Mientras el expresidente estadounidense no podía pasar un día sin tuitear desde su cuenta personal, Biden apenas aparece por sus perfiles oficiales. Pero el nuevo presidente de Estados Unidos tampoco está libre de los riesgos de la red. En enero varios medios aseguraron que el nuevo inquilino contaba con una bicicleta estática inteligente y quería seguirla usando en la Casa Blanca. Un modelo de la compañía Peloton que podía suponer un problema para los sistemas de seguridad estatales, y se acaba de demostrar que las dudas eran fundadas. La plataforma acaba de ser la última víctima de un ataque de 'scraping' o 'raspado' que ha mostrado las debilidades de sus sistemas y ponen en peligro los datos de Biden, y los tuyos.
Por suerte, según ha publicado el medio especializado Techcrunch, el ataque descubierto ahora fue realizado por un investigador que solo intentaba encontrar un posible fallo para que la empresa lo solucionase, pero no se sabe si alguien pudo aprovechar el mismo agujero para hacerse con millones de datos de sus usuarios sin dejar rastro. En concreto este caso lo ha denunciado Jan Masters, un investigador de seguridad de Pen Test Partner, que también se puso en contacto con el medio que lo ha destapado aprovechando el agujero en el sistema, y entre ambas partes consiguieron que Peloton pusiese el parche necesario para solucionarlo. Pero lo cierto es que no es el único caso similar ni afecta solo a Joe Biden, sino que son ataques que están a la orden del día y han generado verdaderas sangrías en sitios como Facebook, LinkedIn o Clubhouse.
:format(jpg)/f.elconfidencial.com%2Foriginal%2Fed7%2Fdcd%2Fcf3%2Fed7dcdcf3021bb004ffb1d034453b7c7.jpg)
Lo hecho por Masters sirve para explicar lo que suponen estos ataques. Este experto descubrió que podía hacer solicitudes sin verificar a la API de Peloton (un método de comunicación con las bases de datos de la plataforma) para pedir los datos de la cuenta del usuario que quisiera sin que el sistema se asegurase de que él pudiera solicitarlo ni el usuario quisiera dárselo. Es decir, Masters podía acceder a los datos personales que tienen los más de 3 millones de suscriptores de la plataforma aunque estos tuviesen cerrados sus perfiles.
Una información que va desde el nombre y apellidos a la lista de amigos, la edad, el sexo, la ciudad, el cumpleaños o el historial de entrenamiento. Algo que acaba transformado en mina de información que a través del 'scraping', del raspado, se puede recopilar, guardar y usar a tu gusto en poco tiempo y sin demasiado trabajo.
Claro, yendo perfil a perfil es imposible hacerse con toda la información disponible, pero en estos casos se usan programas automatizados para hacer peticiones masivas e ir recopilando la información, explotando el agujero del sistema que permite robar la información a borbotones e incluso hacerlo de forma periódica. En muchos casos estos programas se usan con fuentes de información pública y abierta como una forma de recopilar bases de datos ingentes y poder trabajar con ellas de forma más sencilla y práctica, por lo que no tienen por qué ser una herramienta esencialmente ilegal o ilegítima. Pero la diferencia en el caso de Peloton, y otras redes, es que además de manejar información más que sensible, sus sistemas tienen fallos de privacidad y seguridad que ayudan a explotar una base de datos que debería estar más protegida.
El caso de Peloton ha acabado con la compañía corrigiendo el error más de 3 meses después de ser avisado por el investigador y con un gran medio denunciando sus fallos de seguridad internos, pero otros no han tenido tanta suerte. Facebook vio hace unos días como un ataque similar acabó con los datos de 533 millones de usuarios filtrados en la red, Clubhouse vio como las grabaciones de cerca de un millón y medio de usuarios acababan siendo robadas y la lista no para de crecer. Cada vez damos más datos a las plataformas y compartimos información con todo tipo de 'apps', y hay mucha gente interesada en ellos.
El auge, y peligro, del deporte inteligente
La pandemia solo ha hecho que acrecentar tanto el número de datos que subimos como el riesgo pues esa información va mucho más allá de un nombre o una foto. El caso de Peloton es un ejemplo de cómo han crecido las plataformas deportivas y el uso de cada vez más herramientas inteligentes tanto fuera de nuestra casa como, en este caso, dentro. Esta marca responde a la necesidad de volver a sentir lo que sentimos en un gimnasio ofreciendo una experiencia similar pero sin salir de casa, solo usando internet, y su bicicleta. Solo la bici ya vale unos 2.600 euros, pero su gran éxito es la suscripción a la plataforma, que ya cuenta con millones de usuarios y se ha disparado durante la cuarentena. En ella encuentras clases, todo tipo de opciones de ejercicios y la famosa red en la que colgar tus datos y tu historial. Pero no es la única similar.
Hasta ahí queda en algo anecdótico, rutas anónimas. Pero que pasa si buscamos lugares, digamos interesantes. ¿Una base militar, por ejemplo? Veamos la base militar de Rota. Podemos ver las rutas principales de entrenamiento, patrullas etc de los militares que tienen la app. pic.twitter.com/a2VV6nppnM
— Jaime (@DragonLadyU2) January 27, 2018
Parecidas a Peloton tenemos otras soluciones como los rodillos de Bkool o incluso el mismo estilo de la bici estática la intentó igualar Amazon. Pero si salimos de ese entorno también nos podemos fijar en 'apps' como Strava o Runtastic. Todas ellas ofrecen un servicio al usuario que busca tener más datos sobre su ejercicio o que quiere una experiencia más completa, con retos, segmentos o una red donde ver qué hacen sus amigos. ¿El problema? La cantidad de datos que almacenan y lo sensibles que son. Ya se ha visto el problema de Peloton, pero los otros que hemos mencionado no se han librado de las polémicas.
El más sonado fue el caso de Strava, que a principios de 2018 saltó a las portadas de los periódicos después de que varios investigadores descubrieran que uno de sus mapas abiertos permitía descubrir enclaves secretos de bases militares y las rutas que realizaban, por ejemplo, los soldados alrededor de esas bases. Además, al ser una red social que ponía, por defecto, los perfiles en abierto, permitía a cualquier usuario ver los itinerarios de todo tipo de usuarios y construirse una base de datos de lo más valiosa y peligrosa. No se sabe aun si el fallo de Peloton ha sido utilizado con un fin similar, pero es bueno saber que cada vez que colocamos un dato en una plataforma este está en riesgo.
Que Joe Biden no tiene tanto apego a las redes sociales y en general a internet como Donald Trump no es ninguna novedad. Mientras el expresidente estadounidense no podía pasar un día sin tuitear desde su cuenta personal, Biden apenas aparece por sus perfiles oficiales. Pero el nuevo presidente de Estados Unidos tampoco está libre de los riesgos de la red. En enero varios medios aseguraron que el nuevo inquilino contaba con una bicicleta estática inteligente y quería seguirla usando en la Casa Blanca. Un modelo de la compañía Peloton que podía suponer un problema para los sistemas de seguridad estatales, y se acaba de demostrar que las dudas eran fundadas. La plataforma acaba de ser la última víctima de un ataque de 'scraping' o 'raspado' que ha mostrado las debilidades de sus sistemas y ponen en peligro los datos de Biden, y los tuyos.
:format(jpg)/f.elconfidencial.com%2Foriginal%2Fb5d%2Fcb5%2F7c4%2Fb5dcb57c4c3563e1b6bd6a3f7149ee62.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2Fa96%2Ff0f%2Fad5%2Fa96f0fad5f5ede773abeb7586c8fb31b.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2Fa2e%2F08a%2F9d5%2Fa2e08a9d5f2078ae25e6357c6b199e01.jpg)