Los wearables modernos, desde smartwatches hasta anillos inteligentes, recopilan constantemente datos personales que pueden ser interceptados si no se implementan medidas de seguridad adecuadas.
Los wearables modernos, desde smartwatches hasta anillos inteligentes, recopilan constantemente datos personales que pueden ser interceptados si no se implementan medidas de seguridad adecuadas.
Seguridad

Dispositivos Personales como Blanco: Seguridad en Smart Devices y Wearables

Aunque los dispositivos personales inteligentes prometen comodidad y conectividad, también abren nuevas puertas a ciberataques silenciosos y difíciles de detectar. Este informe explora las vulnerabilidades más comunes en wearables, las técnicas de ataque basadas en proximidad, y las estrategias que las principales plataformas están adoptando para proteger los datos de los usuarios.

Photo of Gustavo Aldegani Gustavo Aldegani Send an email mayo 26, 2025
5 minutos de lectura

El ecosistema de los dispositivos personales inteligentes ha crecido exponencialmente durante la última década. Smartwatches, auriculares inalámbricos, gafas de realidad aumentada y otros wearables se han convertido en herramientas cotidianas para millones de usuarios, facilitando desde el monitoreo de la salud hasta la navegación, la mensajería y los pagos. Todo lo que hemos mencionado representa un riesgo de Ciberseguridad para las personas.

Un wearable es un dispositivo electrónico que se lleva puesto en el cuerpo y que recoge, procesa o transmite datos, normalmente relacionados con la salud, la actividad física o la conectividad.

Publicaciones relacionadas

Algunos ejemplos de wearables son:

  • Relojes inteligentes (smartwatches) como el Apple Watch o el Samsung Galaxy Watch.
  • Pulseras de actividad como Fitbit o Xiaomi Mi Band.
  • Auriculares inteligentes como los AirPods con sensores de movimiento.
  • Gafas inteligentes como las Google Glass.
  • Ropa inteligente con sensores integrados para medir signos vitales o rendimiento deportivo.
  • Anillos inteligentes como Oura Ring para monitorear sueño y salud.

Cada wearable actúa como un nodo de comunicación que recopila, transmite y almacena datos sensibles, usualmente con conectividad constante mediante protocolos inalámbricos como Bluetooth Low Energy (BLE). Al no contar con los mismos controles de seguridad que un smartphone o una computadora, estos dispositivos se transforman en blancos para ciberataques.

Este informe analiza las principales vulnerabilidades de los wearables, las técnicas de ataque comunes basadas en proximidad, y las defensas actuales que están aplicando plataformas como Apple y Android. Las consideraciones técnicas se apoyan en documentos de referencia como el OWASP IoT Top 10 for Wearables (2025) (https://owasp.org/www-project-internet-of-things/) y otras publicaciones de instituciones reconocidas.

Dispositivos como smartwatches y auriculares inteligentes utilizan protocolos como BLE, que pueden ser vulnerables si no se configuran con seguridad.
Dispositivos como smartwatches y auriculares inteligentes utilizan protocolos como BLE, que pueden ser vulnerables si no se configuran con seguridad.

Vulnerabilidades en BLE y protocolos propietarios

Bluetooth Low Energy (BLE) es el protocolo más utilizado para la comunicación entre dispositivos personales debido a su bajo consumo energético. Sin embargo, BLE presenta múltiples vulnerabilidades explotables si no se implementa correctamente.

Uno de los problemas más críticos es el emparejamiento inseguro, especialmente bajo el modo «Just Works», el cual omite la verificación mutua de identidad entre dispositivos. Esto lo convierte en blanco fácil para ataques Man-in-the-Middle (MitM), donde un atacante puede interceptar y manipular los datos transmitidos. Este riesgo fue documentado en análisis técnicos como el publicado por la Bluetooth Special Interest Group (SIG) (https://www.bluetooth.com/blog/bluetooth-security-fundamentals/).

Otra debilidad crítica es el uso de direcciones MAC estáticas (identificador único asignado a la interfaz de red de un dispositivo para su identificación en redes locales, basado en hardware), que permiten rastrear un dispositivo incluso sin acceso a su contenido. Si un smartwatch transmite constantemente su dirección MAC, un atacante puede correlacionar su ubicación en distintas zonas, comprometiendo la privacidad del usuario. El Centro de Investigación de Seguridad de la Universidad de California en Berkeley documentó esta práctica como una violación frecuente del principio de privacidad por diseño (https://www.icir.org/blog/mac-address-randomization-considered-harmful/).

Algo que complica el escenario es que muchos fabricantes optan por implementar protocolos propietarios sobre BLE sin revisar adecuadamente su seguridad. Al no estar sometidos a auditorías públicas ni a estándares abiertos, estos protocolos pueden contener errores de diseño o implementar cifrados débiles. Como señala OWASP en su listado para wearables de 2025, este tipo de malas prácticas es uno de los mayores factores de riesgo en la categoría “Insecure Communication” (https://owasp.org/www-project-internet-of-things/2025/IoT_Top_10#item-4-insecure-communication).

Técnicas de ataque proximity-based y sniffing pasivo

Los ataques basados en proximidad constituyen una categoría de amenaza crítica para wearables, ya que estos dispositivos normalmente no cuentan con pantallas que permitan alertar al usuario sobre comportamientos anómalos.

El sniffing pasivo de señales BLE permite a un atacante capturar datos emitidos entre dispositivos sin necesidad de interactuar directamente con ellos. Esta técnica se ha simplificado con herramientas como Ubertooth One y Nordic Sniffer. A pesar de que BLE utiliza cifrado, su fortaleza depende del modo de emparejamiento usado. Por ejemplo, si se utiliza «Just Works» (método de emparejamiento Bluetooth que permite conectar dispositivos sin autenticación manual ni entrada de códigos por parte del usuario), el canal puede ser fácilmente comprometido. Documentos técnicos como los de Nordic Semiconductor ofrecen guías detalladas sobre cómo se puede llevar a cabo un ataque pasivo en BLE (https://academy.nordicsemi.com/courses/bluetooth-low-energy-fundamentals/lessons/lesson-5-bluetooth-le-security-fundamentals/topic/sniffing-and-passive-attacks/).

Otro enfoque común es el tracking mediante señales publicitarias BLE. Incluso cuando se implementa rotación de direcciones MAC, los patrones de emisión, frecuencias y ciertos identificadores pueden correlacionarse con modelos de dispositivos específicos, permitiendo que un atacante asocie un wearable a una persona. Esta técnica ha sido utilizada tanto por investigadores como por agencias de marketing, y su riesgo ha sido expuesto en investigaciones académicas (https://petsymposium.org/2020/files/papers/issue3/popets-2020-0057.pdf).

Los wearables con conectividad Wi-Fi o GPS también están expuestos a ataques de spoofing de localización, donde un atacante fuerza a un dispositivo a creer que está en otra ubicación geográfica. Esto puede explotarse para interferir con funciones críticas, como la navegación o las alertas de emergencia.

La proliferación de dispositivos personales inteligentes transforma la vida cotidiana, pero también plantea nuevos desafíos en ciberseguridad.
La proliferación de dispositivos personales inteligentes transforma la vida cotidiana, pero también plantea nuevos desafíos en ciberseguridad.

Medidas de mitigación: cifrado punto a punto y sandboxing

Para proteger los datos sensibles que circulan en los wearables, las plataformas más avanzadas han comenzado a implementar medidas de seguridad estructurales, tanto a nivel de red como de sistema operativo.

Una de las más importantes es el uso de cifrado punto a punto (E2EE). Cuando se aplica correctamente, este método garantiza que solo el emisor y el receptor legítimo puedan acceder a los datos transmitidos. Sin embargo, E2EE solo es efectivo si la clave de cifrado no puede ser interceptada durante el emparejamiento. Por esta razón, se promueve el uso de modos autenticados de BLE como “Passkey Entry” o “Numeric Comparison”, tal como recomienda la Bluetooth SIG (https://www.bluetooth.com/specifications/bluetooth-core-specification/).

A nivel de sistema operativo, tanto Android como iOS han implementado el aislamiento de datos a través de sandboxing, una técnica que impide que las aplicaciones accedan a datos fuera de su ámbito permitido. En el contexto de wearables, esto significa que una app de fitness no puede leer datos biométricos capturados por otra aplicación sin el consentimiento explícito del usuario. Android ha mejorado su modelo de permisos para wearables desde la versión 11 en adelante, restringiendo el acceso a sensores y transmisiones BLE en segundo plano (https://source.android.com/docs/security/enhancements).

Ejemplos del mercado: Apple Private Relay y Android AOSP

Apple introdujo una serie de características avanzadas de protección en su ecosistema. Una de las más destacadas es Apple Private Relay, que anonimiza las conexiones del usuario mediante un doble proxy. Aunque esta función no está integrada directamente en el Apple Watch, sí protege la navegación web desde dispositivos personales, evitando el rastreo por parte de redes y servidores. Apple explica el funcionamiento técnico de esta función en su documento de seguridad de iCloud+ (https://support.apple.com/guide/security/icloud-private-relay-security-secad8ce3233/web).

Por su parte, el proyecto Android AOSP incorporó mejoras continuas para proteger los datos del usuario. Entre ellas destacan:

  • La aleatorización de identificadores de sensores para evitar fingerprinting.
  • La limitación del acceso BLE en segundo plano.
  • El uso de entornos de ejecución seguros (TEE) para almacenar claves biométricas y criptográficas.

Estas medidas están descritas en detalle en la sección de mejoras de seguridad de Android 14 y posteriores (https://source.android.com/docs/security/enhancements).

Conclusiones

Es indispensable que los fabricantes adopten buenas prácticas de seguridad desde el diseño (Security by Design), incluyendo protocolos seguros, sandboxing, cifrado fuerte y auditorías continuas. 

Las plataformas como Apple y Android, ya están avanzando en esta dirección, pero todavía existen amplias brechas en la implementación.

Finalmente, es necesario fomentar una cultura de concientización entre usuarios y desarrolladores sobre los riesgos asociados al uso de wearables. Sin una comprensión clara de los vectores de ataque y de las herramientas de defensa disponibles, la ciberseguridad seguirá siendo un punto débil en el crecimiento del ecosistema de dispositivos inteligentes personales.

Leer mas

Autor

  • Gustavo Aldegani

    Experto en Ciberseguridad, con 30 años de experiencia en Implementación de Sistemas Informáticos Seguros en organizaciones militares, de gobierno y privadas de Estados Unidos y América Latina. Profesor de la Universidad de Belgrano, escritor y conferencista.

    Ver todas las entradas

Etiquetas
Photo of Gustavo Aldegani Gustavo Aldegani Send an email mayo 26, 2025
5 minutos de lectura
[mdx-adserve-bstreet region="MED"]
Photo of Gustavo Aldegani

Gustavo Aldegani

Experto en Ciberseguridad, con 30 años de experiencia en Implementación de Sistemas Informáticos Seguros en organizaciones militares, de gobierno y privadas de Estados Unidos y América Latina. Profesor de la Universidad de Belgrano, escritor y conferencista.

Publicaciones relacionadas

Resiliencia de datos y eficiencia para la era Kubernetes.

Veeam potencia la resiliencia de datos en Kubernetes con Kasten v8 y Red Hat

Sophos lanza MSP Elevate para impulsar el crecimiento de los proveedores de servicios gestionados.

Sophos impulsa el crecimiento y rentabilidad de integradores con nuevo programa MSP Elevate

Ciberataques potenciados por inteligencia artificial en expansión global.

Ciberataques con IA generativa: más sofisticados, frecuentes y difíciles de detener

Licencias OnLine y Kaspersky potencian el modelo MSP con una oferta integral de ciberseguridad flexible, rentable y pensada para el crecimiento sostenido de los canales en Latinoamérica.

Ciberseguridad en el modelo MSP: ¿cómo aumentar la rentabilidad?

[mdx-adserve-bstreet region="BOTTOM"]
Botón volver arriba