• Mié. Nov 25th, 2020

El IoT en casa: amenazas desde dispositivos domésticos

PorEfren Ruiz

Ene 26, 2016

Un equipo de investigación de Kaspersky Lab realizó una selección al azar de electrodomésticos recientemente conectados al Internet de las cosas, que evidenció amenazas serias para todos los hogares que se encuentren conectados. Entre los productos analizados se encuentran una cafetera que expone la contraseña de Wi-Fi del dueño de la casa, un monitor de vídeo para bebé que puede ser controlado por una persona ajena y un sistema de seguridad doméstico controlado por un teléfono inteligente que se puede engañar con solo utilizar un imán.

La idea de realizar este análisis surgió en 2014 cuando David Jacoby, experto en seguridad de Kaspersky Lab, observó los aparatos que había en la sala de su casa y decidió investigar qué tan susceptibles podrían ser ante un ataque cibernético. La investigación reveló que la mayoría eran vulnerables. En 2015, un equipo de expertos antimalware de Kaspersky Lab repitió el experimento con una diferencia: la investigación de David se había concentrado en servidores conectados a la red, routers y televisores inteligentes; la última investigación se enfocó en los distintos dispositivos disponibles y que sirven para crear un hogar inteligente.

Los aparatos elegidos para el experimento fueron: un dispositivo USB para video de flujo continuo, una cámara IP, una cafetera y un sistema de seguridad doméstico controlado por un teléfono inteligente. La investigación pudo evidenciar que la mayoría de estos dispositivos tienen vulnerabilidades.

El monitor de video para bebé le permitió a un hacker, al usar la misma red que el propietario de la cámara, conectarse, ver el video desde el dispositivo e iniciar el audio. Otras cámaras del mismo fabricante permitieron a los hackers obtener las contraseñas de los propietarios y resultó que también es posible que un hacker, estando conectado a la misma red, pudiera obtener la contraseña base de la cámara y así poder modificar su firmware.

En el caso de las cafeteras controladas por aplicaciones, no es necesario que un atacante se encuentre en la misma red de la víctima. La cafetera examinada enviaba suficiente información no cifrada para que un atacante pudiera descubrir la contraseña de toda la red de Wi-Fi del propietario de la cafetera.

Con relación al sistema de seguridad doméstico controlado por un smartphone, los investigadores encontraron que el software del sistema solo tenía algunos problemas pequeños y que era suficientemente seguro para resistir un ataque cibernético; sin embargo, sí se encontró una vulnerabilidad en uno de los sensores que utiliza el sistema.

El sensor de contacto, el cual está diseñado para encender la alarma cuando se abre una puerta o ventana, funciona al detectar un campo magnético emitido por un imán instalado en los marcos, asi que cuando se abre una puerta o ventana el campo magnético desaparece, provocando que el sensor envíe un mensaje de alarma al sistema. Pero si el campo magnético permanece inalterable, no habrá ninguna señal de alarma.

Durante el experimento, utilizando un simple imán para reemplazar el campo magnético del contacto en la ventana, se puede abrir y cerrar una ventana sin activar la alarma. El gran problema con esta vulnerabilidad es que es imposible resolverla con una actualización de software; el problema es el diseño del sistema de seguridad doméstico en sí. Lo que más preocupa es que los dispositivos que dependen de un sensor de campo magnético son un tipo común de sensores, los cuales son usados por muchos sistemas de seguridad domésticos disponibles en el mercado.

“Nuestro experimento, de manera alentadora, ha mostrado que los fabricantes están considerando la seguridad cibernética a medida que desarrollan sus dispositivos de Internet de las Cosas (IoT). Sin embargo, es casi seguro que cualquier dispositivo conectado y controlado por una aplicación tenga por lo menos un problema de seguridad. Los delincuentes podrían aprovechar muchos de estos problemas en algún momento, por lo cual es muy importante que los fabricantes los corrijan, incluso aquellos que no son críticos. Estas vulnerabilidades se deben corregir antes de que el producto salga al mercado, ya que sería mucho más difícil resolver un problema cuando el producto ya se vendió a miles de clientes”, dijo Victor Alyushin, Investigador de Seguridad de Kaspersky Lab.

Para ayudar a los usuarios a proteger sus vidas y la de sus familias contra los riesgos de seguridad que abren los dispositivos IoT domésticos, los expertos de Kaspersky Lab aconsejan seguir algunas recomendaciones:

1. Antes de comprar algún dispositivo IoT, buscar en Internet información acerca de las vulnerabilidades de ese dispositivo. El IoT es uno de los temas del momento y muchos investigadores están haciendo un gran trabajo por encontrar problemas de seguridad en productos de este tipo. Es posible que el dispositivo que se quiera comprar ya haya sido examinado por investigadores de seguridad, de modo que será posible saber si los problemas se han corregido.
2. Comprar los productos más recientes no es la mejor idea. Junto con los errores estándar de los productos nuevos, los dispositivos recientes podrían tener problemas de seguridad que todavía no se han descubierto. Lo mejor es comprar productos que hayan tenido varias actualizaciones de software.
3. Al elegir el uso que se dará a los dispositivos inteligentes se debe considerar los riesgos de seguridad. Si se guardan artículos de valor en el hogar probablemente sea buena idea escoger un sistema de alarma profesional, que pueda reemplazar o complementar el sistema existente controlado desde el smartphone por medio de una aplicación. Al elegir un dispositivo que almacene información acerca de la vida personal y familiar, como un monitor para bebé, sería buena idea escoger el modelo RF más sencillo que exista en el mercado; el que sólo sea capaz de transmitir una señal de audio y que no se conecte a Internet.

surviving iot

fuente:  Corporación Colombia Digital

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *