Surfshark analiza cómo las cámaras con IA recogen y comparten datos biométricos, de ubicación y de uso, a menudo sin plena transparencia para el usuario.
Pese a que el 84 % de los españoles cuenta ya con al menos una medida de seguridad instalada en su hogar, la preocupación por la privacidad sigue muy presente entre los usuarios. Esta cautela se acentúa especialmente en el caso de los dispositivos que incorporan funciones de escucha o análisis permanente, un recelo que se explica, en parte, porque el 30 % de los internautas españoles reconoce sentir inquietud al interactuar con servicios conectados. En este contexto, un nuevo estudio elaborado por Surfshark pone el foco en los riesgos para la privacidad asociados a las funciones de Inteligencia Artificial integradas en las cámaras de seguridad inteligentes, un aspecto que muchos usuarios tienden a pasar por alto.
Más allá de grabar imágenes y enviar alertas, buena parte de las cámaras de seguridad más populares del mercado incorporan hoy capacidades avanzadas como el reconocimiento facial o la detección inteligente de vehículos. Estas funciones, si bien mejoran la eficacia de los sistemas de vigilancia, incrementan de forma significativa la exposición de los datos personales no solo de los propietarios de las viviendas, sino también de vecinos y transeúntes que quedan registrados por estos dispositivos.
Miguel Fornes, experto en ciberseguridad de Surfshark, advierte de que la falta de transparencia en la recogida y el tratamiento de datos por parte de los fabricantes de dispositivos de seguridad puede derivar en problemas graves de privacidad. “Imagina que, de pronto, el aspecto más personal e íntimo de tu vida privada —tu hogar— queda expuesto a ojos de los demás, sin un sistema de control conocido que proteja las grabaciones. El principal riesgo no es la grabación en sí”, explica. Según Fornes, el verdadero problema surge cuando los usuarios no disponen de mecanismos claros para otorgar o retirar su consentimiento, desconocen dónde se almacenan sus datos biométricos o ignoran qué otros datos se recogen y con quién se comparten. “Escanear los rostros o las matrículas de los vecinos —especialmente sin su consentimiento explícito— debe considerarse un problema grave de privacidad, si no una vulneración directa de la normativa de protección de datos”, añade.
Las críticas recientes dirigidas al dispositivo Amazon Ring ilustran bien esta preocupación. Algunos usuarios han cuestionado la función Familiar Faces, que, según la propia marca, permite identificar a las personas captadas por la cámara. Este tipo de funcionalidades despierta inquietud por las implicaciones que tiene en términos de consentimiento informado y gestión de datos biométricos, considerados especialmente sensibles por la legislación europea.
A medida que se generaliza el uso de funciones asistidas por IA —y, en particular, del reconocimiento facial—, los fabricantes se enfrentan a marcos regulatorios cada vez más exigentes y complejos. En Europa y el Reino Unido, el Reglamento General de Protección de Datos impone requisitos muy estrictos en materia de tratamiento de información personal y biométrica. En contraste, en países como Estados Unidos, Canadá o Australia, las normativas son menos exhaustivas y varían considerablemente entre jurisdicciones, lo que da lugar a enfoques dispares en el diseño y despliegue de estas tecnologías.
Fornes subraya que, incluso cuando estas funciones inteligentes cumplen formalmente con la legalidad, muchos usuarios desconocen que, para activarlas, las cámaras con IA deben enviar de manera constante información a los servidores del fabricante. “Y no se trata únicamente de grabaciones o fotografías”, señala. “Con frecuencia, las aplicaciones asociadas a estas cámaras recopilan datos adicionales como la ubicación, los identificadores de los dispositivos, la información de contacto, los patrones de uso e incluso datos biométricos”. Esta acumulación de información configura, en palabras del experto, “un marco de vigilancia paralelo” que puede amplificar los daños en caso de producirse una filtración de datos.
El riesgo no se limita al uso legítimo de la información. “En cuanto una cámara inteligente presenta una vulnerabilidad, los ciberdelincuentes pasan a la acción, convirtiéndola en un dispositivo que espía tu vida y la de tus vecinos en vivo y en directo”, advierte Fornes. Además, recalca que los atacantes no necesitan grandes conocimientos técnicos: existen numerosas plataformas en la web que identifican webcams vulnerables, lo que facilita el acceso no autorizado a estos dispositivos.
El estudio de Surfshark analiza en detalle las prácticas de recopilación de datos de ocho marcas de cámaras de seguridad ampliamente conocidas. De ellas, seis incorporan reconocimiento facial asistido por IA, siete ofrecen detección inteligente de vehículos y todas incluyen detección de personas y alertas avanzadas. Aunque los fabricantes afirman haber reforzado la seguridad de sus productos, la mayoría de los modelos sigue dependiendo de aplicaciones complementarias para su configuración, la gestión de notificaciones y el almacenamiento en la nube. Estas aplicaciones, según el informe, suelen recopilar datos adicionales que no están directamente relacionados con la función principal de vigilancia.
La investigación revela que la aplicación asociada a Amazon Ring es la que más datos recopila, con quince tipos distintos de información sobre el usuario, seguida muy de cerca por Google Nest, con catorce. Arlo, SimpliSafe y Vivint recaban once tipos de datos; Frontpoint, diez, y ADT, nueve.
En el caso concreto de Amazon Ring, el ecosistema del dispositivo va mucho más allá de la recopilación de datos biométricos. Incluye información como la ubicación, identificadores del dispositivo o del usuario, correo electrónico, nombre, número de teléfono, fotos y vídeos, dirección física, interacciones con el producto e incluso el historial de compras. El estudio destaca que la aplicación agrupa hasta diez tipos distintos de datos bajo el ambiguo epígrafe de “Otros fines”, sin detallar con claridad el propósito concreto de dicha recopilación.
Las prácticas de recopilación de datos con fines publicitarios también varían de forma significativa entre las marcas analizadas. Arlo sobresale por recopilar y compartir identificadores de dispositivos específicamente para publicidad de terceros y por recabar más tipos de datos con fines publicitarios propios que sus competidores, un total de cinco. Vivint y Google Nest recopilan cuatro tipos de datos con este mismo objetivo, mientras que SimpliSafe reúne tres y Amazon Ring y ADT se limitan a uno.
Según las conclusiones del estudio, TP-Link se posiciona como la opción que más respeta la privacidad del usuario. No obstante, también permite la conexión con servicios de terceros, una funcionalidad que, aunque está desactivada por defecto, puede comprometer la seguridad del dispositivo y aumentar los riesgos para la protección de datos si se habilita sin pleno conocimiento. En este sentido, los fabricantes recomiendan, por norma general, utilizar el ecosistema nativo de cada cámara y evitar integraciones externas salvo que el usuario sea plenamente consciente de las implicaciones en materia de seguridad y privacidad.
(Surfshark)
