Consumer Reports informa que las televisiones inteligentes Samsung y Roku son vulnerables a la piratería

Las pruebas de seguridad y privacidad en diversas marcas también revelan una recopilación de datos generalizada. Cómo puedes limitar tu exposición.

By Consumer Reports

February 12, 2018

When you shop through retailer links on our site, we may earn affiliate commissions. 100% of the fees we collect are used to support our nonprofit mission. Learn more.

Consumer Reports ha descubierto que los piratas informáticos pueden controlar millones de televisiones inteligentes aprovechando fallas de seguridad fáciles de encontrar.

Los problemas afectan a las televisiones Samsung y a otros modelos fabricados por TCL y otras marcas que utilizan la plataforma para teles inteligentes Roku TV, así como también a dispositivos de transmisión continua [streaming] como Roku Ultra.

Hemos descubierto que un pirata informático relativamente poco sofisticado puede cambiar canales, reproducir contenido ofensivo o subir al máximo el volumen, algo que podría ser bastante molesto para alguien que no comprende qué sucede. Esto puede realizarse por Internet y a miles de millas de distancia. (Estas vulnerabilidades no le permitirían al pirata informático espiar al usuario ni robar información).

Los hallazgos formaron parte de una amplia evaluación de privacidad y seguridad dirigida por Consumer Reports sobre las televisiones inteligentes de las principales marcas, que también incluyeron a LG, Sony y Vizio.

Las pruebas también revelaron que todos estas televisiones generaron inquietudes con respecto a la privacidad al recopilar información bastante detallada de sus usuarios. Los consumidores pueden limitar la recopilación de datos. Pero deben renunciar a muchas de las funciones de las televisiones y deben conocer los botones y ajustes adecuados (ver más adelante).

Recopilación de datos en la sala de tu casa

Esta es la primera vez que Consumer Reports ha realizado una prueba basada en el nuevo Estándar digital, que desarrollaron CR en asociación con organizaciones de privacidad y ciberseguridad para ayudar a establecer expectativas con respecto a cómo los fabricantes deben manejar la privacidad, la seguridad y otros derechos digitales.

El objetivo es educar a los consumidores con respecto a sus opciones de privacidad y seguridad e influenciar a los fabricantes a que consideren estas inquietudes cuando desarrollan sus productos.

“El Estándar digital puede utilizarse para evaluar muchos productos que recopilan datos y se conectan a Internet”, comenta Maria Rerecich, que supervisa las pruebas electrónicas en Consumer Reports. “Las televisiones inteligentes fueron un punto de partida lógico. Su popularidad crece continuamente y pueden transmitir una cantidad notable de información sobre sus usuarios a los fabricantes de televisiones y a sus socios comerciales”.

Las televisiones inteligentes representan la porción más importante del mercado de las teles nuevas. De acuerdo con la firma de investigación de mercado IHS Markit, el 69% de todas las televisiones nuevas enviadas por América del Norte en 2017 tenían conexión a Internet y el porcentaje aumentará en 2018. Ya hay 82 millones de estas televisiones que han llegado a los consumidores.

La conectividad a Internet les brinda un gran atractivo a las televisiones modernas, incluida la capacidad de reproducir contenido a través de aplicaciones populares como Hulu y Netflix y de encontrar contenido rápidamente con comandos de voz.

Pero esa funcionalidad acarrea una gran recopilación de datos. Las teles inteligentes pueden identificar todos los programas que miras con una tecnología denominada Reconocimiento automático de contenido (Automatic content recognition, ACR), del que hablamos por primera vez en 2015. Esa información puede combinarse con otra información del consumidor y utilizarse para publicidades específicas en tu televisión y en teléfonos celulares y computadoras. Por ejemplo, si estás mirando un evento deportivo en particular, podrás ver un anuncio comercial en línea de una marca interesada en contactar a fanáticos de ese deporte.

En 2017, Vizio tuvo problemas con los organismos reguladores federales y estatales por recopilar este tipo de información sin el conocimiento ni consentimiento de los usuarios. La compañía llegó a un acuerdo con la Comisión Federal de Comercio (Federal Trade Commission, FTC) por $1.5 millones y con el estado de New Jersey por $700,000. La FTC ha dejado en claro que las compañías necesitan tu permiso antes de recopilar datos de visualización; no obstante, es posible que los consumidores no entiendan los detalles, comenta Justin Brookman, director de privacidad y tecnología en Consumers Union, la división de políticas y movilización de Consumer Reports.

“Durante años, se ha hecho un seguimiento del comportamiento de los consumidores mientras estaban en línea o utilizaban sus teléfonos inteligentes”, indica Brookman. “Pero no creo que muchos quieran que sus televisiones observen lo que ellos hacen”.

Y los fabricantes están buscando convertir las televisiones inteligentes en el elemento central de los hogares cada vez más conectados de los consumidores. Las compañías como LG y Samsung, recientemente, han exhibido televisiones con asistentes digitales integrados que te permiten controlar otros dispositivos inteligentes en el hogar, desde termostatos y cámaras de seguridad hasta lavadoras y bocinas inteligentes.

En una encuesta reciente de Consumer Reports a 38,000 propietarios de teles inteligentes, el 51% se mostró algo preocupado por las implicaciones de privacidad de las televisiones inteligentes y el 62% se mostró algo preocupado por las prácticas de seguridad de sus equipos.

Lo que analizamos

Adquirimos 5 televisiones inteligentes de las marcas con mayores ventas en los Estados Unidos. Al igual que con todos los productos evaluados en el programa de pruebas de CR, compramos nuestras muestras en tiendas minoristas regulares.

Cada equipo que compramos utilizaba una plataforma de televisión inteligente distinta.

De estas televisiones, 2 tenían plataformas de propiedad exclusiva. La televisión Samsung UN49MU8000 incorpora el sistema Tizen de la compañía y la LG 49UJ7700 utiliza el sistema webOS de LG.

Los otros equipos utilizan plataformas de televisión inteligente que se incorporan en diversas marcas. La TCL 55P605 utiliza la plataforma Roku, que también se encuentra en Hisense, Insignia y otras marcas.

La Sony XBR-49X800E utiliza una versión de Android TV de Google, plataforma que también se encuentra en equipos de LeEco y Sharp. Y la Vizio P55-E1 SmartCast TV que probamos utiliza Chromecast, otra plataforma de Google.

No incorporamos nuestros hallazgos de privacidad y seguridad en las calificaciones de Consumer Reports para estas televisiones, y todos estos equipos, excepto el TCL, son modelos recomendados. Pero Consumer Reports planea incluir los resultados de la prueba de seguridad y privacidad en diversos Puntajes globales de productos en el futuro.

Para nuestra evaluación de seguridad, trabajamos con ingenieros de Disconnect, que crea software que mejora la privacidad para los consumidores y es uno de los socios de CR en el desarrollo del Estándar Digital. Realizamos nuestra investigación de privacidad en colaboración con Disconnect y Ranking Digital Rights, otro socio de nuestro Estándar digital. (Como la mayoría de los sitios web, ConsumerReports.org recopila datos de los usuarios. Puedes obtener detalles sobre nuestra política de privacidad y nuestro enfoque hacia la privacidad, incluidas nuestras posturas normativas, aquí).

Consumer Reports descubrió que las teles inteligentes Samsung y Roku eran vulnerables a la piratería a través de un ataque web.

FOTO: MICHAEL A. SMITH

Lo que encontramos: Seguridad

Nuestra prueba de seguridad se enfocó en si las prácticas de seguridad básicas se tenían en cuenta en el diseño del software de cada televisión. “Buscábamos buenas prácticas de seguridad”, comenta Rerecich. “El cifrado de datos personales o confidenciales, la protección de vulnerabilidades comunes, ese tipo de cosas”.

Descubrimos fallas en los equipos de TCL y Samsung.

Les permitieron a los investigadores aumentar el volumen desde un susurro hasta niveles alarmantes, cambiar rápidamente de canal, abrir contenido perturbador en YouTube o desconectar la televisión de la red de wifi.

Las vulnerabilidades no nos permitieron extraer información de los equipos ni supervisar qué se reproducía. El proceso fue rudimentario, como alguien que utiliza un control remoto con los ojos cerrados. Sin embargo, un televidente que no sabe lo que sucede puede sentirse aterrado, como si un intruso acechara de cerca o lo espiara por la televisión.

La vulnerabilidad de TCL se aplica a dispositivos con la plataforma Roku TV (incluidos los equipos de otras compañías como Hisense, Hitachi, Insignia, Philips, RCA y Sharp) y algunos de los reproductores de medios de Roku, como el Ultra.

El problema que encontramos implicaba la interfaz de programación de aplicaciones (Application programming interface, API), programa que les permite a los desarrolladores hacer que sus propios productos funcionen con la plataforma Roku. “Los dispositivos Roku tienen una API de control remoto totalmente insegura habilitada de forma predeterminada [default]”, indica Eason Goodale, ingeniero principal de Disconnect. “Esto significa que incluso los piratas informáticos menos sofisticados pueden controlar el Roku. En lugar de una puerta cerrada, parece una cortina transparente al lado de un cartel de neón que dice ‘¡Abierto!’”.

Y no fuimos los primeros en enterarnos: la API sin seguridad se ha analizado en foros de programación en línea desde 2015.

Para convertirse en víctima de un ataque en la vida real, el usuario de la televisión podría utilizar un teléfono o una computadora portátil conectada en la misma red wifi que la televisión y, luego, visitar un sitio o descargar una aplicación móvil con un código malicioso. Eso podría suceder, por ejemplo, si lo engañaran para hacer clic en un vínculo en un correo electrónico de suplantación de identidad (phishing) o si visitara un sitio con un anuncio comercial con el código integrado.

TCL nos derivó a Roku por preguntas sobre la recopilación de datos y esta vulnerabilidad. Una vocera de Roku indicó por correo electrónico: “No hay riesgos en la seguridad de las cuentas de nuestros clientes ni la plataforma Roku con el uso de esta API” y señaló que la función de Control externo puede desactivarse en los ajustes. No obstante, esto también deshabilitará el control del dispositivo a través de la aplicación propia de Roku.

La vulnerabilidad de Samsung fue más difícil de detectar y podría explotarse únicamente si el usuario utilizó anteriormente una aplicación de control remoto en un dispositivo móvil que funciona con la tele y luego abrió la página web maliciosa con ese dispositivo. “Las televisiones inteligentes Samsung intentan garantizar que solo las aplicaciones autorizadas puedan controlar el sistema”, comenta Goodale de Disconnect. “Desafortunadamente, el mecanismo que utilizan para garantizar que las aplicaciones se hayan autorizado previamente es defectuoso. Es como si, una vez que abres tu puerta, nunca más pudieras cerrarla”.

En una declaración por correo electrónico, Samsung indicó: “Agradecemos a Consumer Reports por informarnos sobre esta posible inquietud” y que la compañía seguía evaluando el asunto. Además, la compañía comunicó que actualizará la API para abordar otros problemas menos graves relacionados con la seguridad de datos que CR reveló. Esos cambios “se implementarán en una actualización de 2018, [con un plazo] a determinar, pero tan pronto como sea técnicamente posible”, indicó la vocera.

Durante la configuración, muchas televisiones inteligentes, como este modelo de LG, te solicitan que aceptes una amplia variedad de recopilación de datos.

FOTO: MICHAEL A. SMITH

Lo que encontramos: Privacidad

Todas las televisiones inteligentes que evaluamos nos solicitaban permiso para recopilar los datos de visualización y otros tipos de información.

No obstante, descubrimos que no siempre es fácil comprender qué aceptas en el proceso de configuración. Y, si rechazas los permisos, puedes perder una gran cantidad de funciones. De hecho, una televisión requiere que aceptes una amplia política de privacidad durante la configuración antes de que puedas usar las funciones más básicas sin Internet, como mirar televisión con una antena.

Estos son algunos de los hallazgos clave.

Compartir información de más por diseño. Configura tu televisión, acepta todo y una constante transmisión de datos de visualización se recopilará a través del reconocimiento automático de contenido. La tecnología identifica todos los programas que miras en la televisión (incluidas las transmisiones por cable y por aire, los servicios de transmisión continua, incluso los DVD y Blu-ray) y envía los datos al fabricante de la televisión, a uno de sus socios comerciales o a ambos.

El ACR ayuda a la televisión a recomendar otros programas que quizás desees mirar. No obstante, también se utiliza para crear publicidades específicas para ti y tu familia, y para otros fines comerciales. Y, luego, no podrás revisar ni eliminar estos datos fácilmente.

Tus datos o tu Internet. Puedes limitar la recopilación de datos, pero perderás funciones. Específicamente, si prestas atención, puedes desactivar el monitoreo del ACR y aceptar un conjunto de políticas de privacidad básicas. Pero eso podría evitar que recibas recomendaciones (“Te gustó ‘Westworld’. ¿Has visto ‘Godless’?”). Además, incluso las políticas de privacidad básicas pueden solicitarte el derecho para recopilar información sobre tu ubicación, en qué aplicaciones de transmisión continua [streaming] haces clic y aún más.

Si rechazas estas políticas básicas, los equipos se convierten en televisiones antiguas: puedes conectar un receptor por cable o una antena, pero no podrás transmitir nada de Amazon, Netflix ni otros servicios web.

Política de privacidad “todo o nada”. La televisión Sony fue la única que requería que aceptes una política de privacidad y términos de servicios para completar la configuración de la televisión.

El equipo utiliza la plataforma Android TV de Google, y los consumidores deben aceptar los acuerdos de Google, incluso si no planean conectarse a Internet. Podría ser frustrante descubrir eso después de haber comprado la televisión de pantalla gigante en la tienda, haberla llevado a tu casa y, quizás, colocado en una pared. Aunque no puedes omitir la política de privacidad de Google, puedes rechazar los acuerdos de usuario de Sony y Samba TV, un proveedor de tecnología de ACR.

Sony indicó en una declaración por correo electrónico: “Si un cliente tiene inquietudes con respecto a compartir información con Google/Android, no debe conectar su televisión inteligente a Internet ni a servidores de Android para utilizar el dispositivo como televisión, por ejemplo, con un cable o señales de transmisión por aire”.

Lo que pueden hacer los consumidores

Puedes comprar una televisión antigua, sin capacidades de transmisión continua integradas; sin embargo, son cada vez más difíciles de encontrar. De los casi 200 equipos de tamaño mediano y grande en las calificaciones de Consumer Reports, solo 16 no son televisiones inteligentes. Y son modelos de 2017; en 2018, prevemos ver menos televisiones sin Internet.

Si compras una televisión inteligente nueva, deberás decidir si deseas bloquear la recopilación de datos de visualización. De ser así, presta atención durante la configuración. Allí, podrás aceptar la política de privacidad básica y los términos de servicio (lo que desencadena una cantidad importante de recopilación de datos) y rechazar el ACR.

Y, si ya tienes una tele inteligente, pero quieres restringir la recopilación de datos, puedes hacer lo siguiente:

Restablecer los ajustes de fábrica de la televisión. Entonces, mientras avanzas con el proceso de configuración, acepta las políticas de privacidad más básicas y los términos de servicio, pero rechaza la recopilación de datos de visualización.

Desactivar el ACR con los ajustes. Estos ajustes suelen encontrarse escondidos en 3 o 4 menús, pero hemos compilado las instrucciones para ti. Brookman agrega: “si no puedes lograrlo, llama al servicio de atención al cliente y solicita que te guíen en el proceso”. Eso tendrá el beneficio adicional de informarles a las compañías que te preocupas por tu privacidad.

Desactivar la conexión a wifi del televisión. No obstante, si haces esto, dejarás de tener una televisión inteligente. Necesitarás un dispositivo de transmisión continua separado para tener contenido web. Y, como quizás adivinaste, esos dispositivos pueden tener sus propias prácticas integrales de recopilación de datos.

Nota del editor: Una versión anterior de este artículo afirmaba incorrectamente que Vizio había llegado a un acuerdo con la FTC sobre un caso de datos de visualización de los consumidores por $1.5 millones y con el estado de New Jersey por $2.2 millones. El acuerdo con New Jersey fue por $700,000.

Inscríbete para recibir Lo Nuevo Para Ti - nuestro boletín mensual. Recibe contenido nuevo entregado directamente a tu correo electrónico.

Consumer Reports

Since 1936, Consumer Reports has been testing products and working to create a fairer, safer, and healthier marketplace. Click here to learn more about Consumer Reports' mission as a nonprofit organization. To help support our work, please consider making a tax-deductible donation. You can also show support by liking us on Facebook and following us on Twitter.