Al hacer una selección al azar de los productos IoT más recientes, los investigadores de Kaspersky Lab descubrieron serias amenazas. Entre los productos analizados se encuentran: una cafetera que expone la contraseña para Wi-Fi del dueño de la casa; un monitor de vídeo para bebé que lo puede controlar una persona ajena; y un sistema de seguridad doméstico controlado por un teléfono inteligente que se puede engañar con un imán. En la nota, todos los detalles.
En 2014, el experto en seguridad de Kaspersky Lab, David Jacoby observó lo que había en la sala de su casa y decidió investigar qué tan susceptibles podrían ser los dispositivos que tenía a un ataque cibernético. Descubrió que casi todos eran vulnerables. Después de esto, en 2015, un equipo de expertos antimalware de Kaspersky Lab repitió el experimento con una pequeña diferencia: la investigación de David se concentró principalmente en servidores conectados a la red, routers y televisiones inteligentes; esta última investigación se enfocó en los distintos dispositivos conectados actualmente disponibles en el mercado para el hogar inteligente.
Los dispositivos elegidos para el experimento fueron los siguientes: un dispositivo USB para video de flujo continuo, una cámara IP controlada por teléfono inteligente, una cafetera controlada por teléfono inteligente, y un sistema de seguridad doméstico controlado por teléfono inteligente. La investigación descubrió que casi todos estos dispositivos tenían vulnerabilidades.
Durante el experimento, un monitor de video para bebé le permitió a un hacker, al usar la misma red que el propietario de la cámara, conectarse a la cámara, ver el video desde el dispositivo e iniciar el audio en la cámara misma. Otras cámaras del mismo fabricante le permitieron a hackers obtener las contraseñas de los propietarios y el experimento mostró que también era posible que un hacker estando conectado a la misma red pudiera obtener la contraseña raíz de la cámara y maliciosamente modificar el firmware de la cámara.
En el caso de las cafeteras controladas por aplicaciones, no es incluso necesario que un atacante se encuentre en la misma red de la víctima. La cafetera examinada durante el experimento enviaba suficiente información no cifrada para que un atacante pudiera descubrir la contraseña de toda la red de Wi-Fi del propietario de la cafetera.
Con respecto al sistema de seguridad doméstico controlado por teléfono inteligente, los investigadores de Kaspersky Lab encontraron que el software del sistema sólo tenía algunos problemas pequeños y que era suficientemente seguro para resistir un ataque cibernético. En cambio, se encontró una vulnerabilidad en uno de los sensores que utiliza el sistema.
El sensor de contacto, el cual está diseñado para encender la alarma cuando se abre una puerta o ventana, funciona al detectar un campo magnético emitido por un imán instalado en la puerta o en la ventana. Cuando se abre una puerta o ventana, el campo magnético desaparece, provocando que el sensor envíe un mensaje de alarma al sistema. Sin embargo, si el campo magnético permanece inalterable, no habrá ninguna señal de alarma.
Durante el experimento de este sistema de seguridad doméstico, los expertos de Kaspersky Lab pudieron utilizar un simple imán para reemplazar el campo magnético del imán en la ventana. Esto significó que pudieron abrir y cerrar una ventana sin provocar la alarma. El gran problema con esta vulnerabilidad es que es imposible resolverla con una actualización de software; el problema reside en el diseño del sistema de seguridad doméstico en sí. Lo más preocupante es que los dispositivos que dependen de un sensor de campo magnético son un tipo común de sensores, los cuales se utilizan por muchos sistemas de seguridad domésticos disponibles en el mercado.
“Nuestro experimento, de manera alentadora, ha mostrado que los fabricantes están considerando la seguridad cibernética a medida que desarrollan sus dispositivos IoT. Sin embargo, es casi seguro que cualquier dispositivo conectado y controlado por una aplicación tiene por lo menos un problema de seguridad. Los delincuentes podrían aprovechar muchos de estos problemas en algún momento, por lo cual es muy importante que los fabricantes corrijan todos los problemas – incluso aquellos que no son críticos. Estas vulnerabilidades se deben corregir antes de que el producto salga al mercado, ya que sería mucho más difícil resolver un problema cuando el producto ya se vendió a miles de clientes”, dijo Victor Alyushin, Investigador de Seguridad de Kaspersky Lab.
CONSEJOS PARA PROTEGERSE
Para ayudar a los usuarios a proteger sus vidas y la de sus seres queridos contra los riesgos de los dispositivos IoT domésticos vulnerables, los expertos de Kaspersky Lab aconsejan seguir algunas simples reglas:
1. Antes de comprar algún dispositivo IoT, busque en Internet información acerca de las vulnerabilidades de ese dispositivo. IoT es un tema candente y muchos investigadores
están haciendo un gran trabajo encontrando problemas de seguridad en productos de este tipo: desde monitores para bebés hasta rifles controlados por una aplicación. Es muy posible que el dispositivo que quiere comprar ya haya sido examinado por investigadores de seguridad y es posible averiguar si tales problemas se han corregido.
2. No siempre es una excelente idea comprar los productos más recientes que salen al mercado. Junto con los errores estándar de los productos nuevos, los dispositivos puestos a la venta recientemente podrían tener problemas de seguridad que todavía no han descubierto los investigadores de seguridad. Aquí el mejor consejo es comprar productos que hayan tenido varias actualizaciones de software.
3. Al elegir el aspecto de su vida en donde utilizará dispositivos inteligentes, considere los riesgos de seguridad. Si en su hogar guarda muchos artículos de valor, probablemente sea buena idea escoger un sistema de alarma profesional, que pueda reemplazar o complementar el sistema existente de alarma doméstica que controla en su Smartphone por medio de una aplicación; o configurar dicho sistema inteligente de tal manera que cualquier vulnerabilidad potencial no afecte su operación. Al elegir un dispositivo que almacene información acerca de su vida personal y de las vidas de su familia, como un monitor para bebé, sería buena idea escoger el modelo RF más sencillo que exista en el mercado; el que sólo sea capaz de transmitir una señal de audio y que no se conecte a Internet. Si esto no es una opción, entonces siga nuestro primer consejo – elija sabiamente.
