Cada vez es más habitual contar en casa con dispositivos complejos conectados a la red que vienen a integrar el hogar conectado. Un crecimiento que se pone de manifiesto con la renovación casi cada año de muchos de estos aparatos, lo que genera un mercado de segundo mano cada vez más potente y donde estos dispositivos pueden dejar al descubierto información sensible y es que restablecer el dispositivo, no parece ser suficiente para borrar toda la información que almacenan.
No es algo que estemos inventando, sino que se trata de una conclusión a la que han llegado investigadores tras hacerse en el mercado de segunda mano con altavoces conectados, en este caso de la familia Echo de Amazon. Altavoces que, pese a ser restablecidos, aún contaban con información sensible.
Información que no desaparece
Es habitual, o eso es de esperar, que antes de vender un dispositivo electrónico realicemos un restablecimiento de los valores de fábrica. Ya sean teléfonos, televisores, tabletas... y por si esto no fuese poco, ahora hasta tenemos que restablecer bombillas, regletas, altavoces...
Todos estos dispositivos se conectan al Wi-Fi de casa y en este proceso almacenan datos como los nombres de las redes Wi-Fi, claves de acceso, contraseñas, cuentas de correo electrónico... La teoría, y esos son los pasos que recomiendan en Amazon y otros fabricantes, es que antes de venderlo, se restablezca el dispositivo al estado de fábrica para borrar cualquier información personal almacenada.
El problema radica en que según investigadores de la Northeastern University, restablecer el dispositivo a sus orígenes no eliminará realmente esos datos, de forma que un comprador con los conocimientos suficientes, podría acceder a los mismos y recuperarlo. De hecho, para llegar a esta conclusión se basan en un estudio de ingeniería inversa llevado a cabo durante 16 meses en los que desmontaron y analizaron cientos de dispositivos.
La primera nota llamativa es que pese a que resulta el paso lógico, no todos los propietarios habían restablecido su equipo antes de venderlo. Y en los casos en los que sí que se había procedido de forma teóricamente adecuada, habían podido acceder fácilmente datos personales relativos a la información Wi-Fi, datos de la cuenta de Amazon o las direcciones MAC del router.
Llama la atención que pese a restablecer el altavoz, estos datos no desaparecen, siguen ahí. Según el estudio, esto se debe a la forma en la que que estos dispositivos almacenan esa información haciendo uso de la memoria flash NAND.
Se trata de un tipo de memoria no volátil, lo que se traduce en que no precisa de energía para guardar información, lo que provoca que estos datos permanezcan ahí pese a que por ejemplo, hayamos apagado el dispositivo y desconectado de la corriente.
"Demostramos que la información privada, incluidas todas las contraseñas y tokens anteriores, permanece en la memoria flash, incluso después de un restablecimiento de fábrica. Esto se debe a los algoritmos de nivelación del desgaste de la memoria flash y la falta de cifrado".
De esta forma, una persona con acceso físico al dispositivo y con los conocimientos adecuados, puede recuperar información confidencial como la antes mencionada. No se trata de un proceso accesible a cualquier persona, pues implica desmontar todo el dispositivo y luego desoldar la memoria flash para luego usarla en otro dispositivo. No es sencillo, pero tampoco imposible. De hecho, se pusieron en contacto con Amazon para conocer su opinión y esta fue su respuesta:
"La seguridad de nuestros dispositivos es una prioridad absoluta. Apreciamos el trabajo de los investigadores independientes que nos ayudan a llamar nuestra atención sobre posibles problemas y estamos trabajando en mitigaciones adicionales para asegurar aún más nuestros dispositivos. Recomendamos a los clientes que cancelen el registro y restablezcan los valores de fábrica de sus dispositivos antes de revenderlos, reciclarlos o desecharlos. No es posible recuperar las contraseñas de las cuentas de Amazon o la información de la tarjeta de pago de la memoria, porque esos datos no se almacenan en el dispositivo".
Lo cierto es que, aunque no es un proceso sencillo, nuestra información no está tan a salvo como nosotros creemos y dado que cada vez son más aparatos los que cuentan con acceso a información personal, se trata de un factor a tener en cuenta si nos decididos a deshacernos de uno de estos productos.
Vía | Gizmodo
Más información | Northeastern University