Los riesgos del Internet de las Cosas y cómo protegerse de ellos
Comunicaciones Hoy15/11/2016
El equipo de analistas de Kaspersky Lab ha llevado a cabo una investigación sobre los diferentes dispositivos conectados a la red disponibles en el mercado doméstico inteligente, con el fin de detectar posibles amenazas existentes en Internet de las Cosas. Los dispositivos elegidos por Kaspersky Lab son los siguientes:
La investigación descubrió que casi todos estos dispositivos eran vulnerables. La cámara que monitoriza al bebé permitía que un hacker, que usara la misma red que la cámara, se conectase, pudiese ver vídeos y lanzase audios en la propia cámara. Otras cámaras del mismo fabricante permitían a los hackers obtener contraseñas del usuario. El experimento mostró que también era posible que un hacker robase la contraseña de la cámara y modificase maliciosamente el firmware desde esa misma red.
Cuando se trata de cafeteras controladas por smartphones, ni siquiera es necesario que un ciberatacante esté en la misma red que la víctima. La cafetera analizada enviaba información sin cifrar permitiendo descubrir la contraseña de toda la red Wi-fi del dueño de la cafetera.
Al examinar el sistema de seguridad doméstico controlado a través de un smartphone, los analistas descubrieron que los problemas del software del sistema eran mínimos, por lo que el sistema era lo suficientemente seguro para resistir un ciberataque. En su lugar, la vulnerabilidad se encuentra en uno de los sensores utilizados por el sistema.
El sensor de contacto, diseñado para activar la alarma cuando se abre una puerta o una ventana, funciona mediante la detección de un campo magnético emitido por un imán montado en la puerta o ventana. Cuando se abre la puerta o ventana el campo magnético desaparece, haciendo que el sensor envíe mensajes de alarma al sistema. Sin embargo, si el campo magnético permanece en su lugar, no se enviará ninguna alarma.
Durante el análisis, los expertos de Kaspersky Lab utilizaron un imán sencillo para reemplazar el campo magnético del imán en la ventana. De este modo, podían abrir y cerrar una ventana sin activar la alarma. El gran problema de esta vulnerabilidad es que es imposible de solucionar con una actualización de software; el fallo está en el propio diseño del sistema de seguridad. Lo más preocupante es que los dispositivos basados en sensores de campo magnético son muy utilizados por múltiples sistemas de seguridad en el mercado.
“El análisis demuestra que los fabricantes de dispositivos tienen en cuenta, cada vez más, la ciberseguridad a medida que desarrollan sus dispositivos inteligentes. Sin embargo, cualquier dispositivo conectado, controlado por una app, cuenta casi seguro con al menos un problema de seguridad. Los ciberdelincuentes podrían explotar varias de estas vulnerabilidades a la vez. Por ello es tan importante que los proveedores solucionen todos los problemas - incluso aquellos que no son críticos. Estas vulnerabilidades deben solucionarse antes de que el producto salga al mercado, ya que puede ser mucho más difícil de solucionar un problema cuando un dispositivo ya se ha vendido a miles de propietarios de viviendas”, ha explicado Victor Alyushin, analista de seguridad de Kaspersky Lab.
Con el fin de ayudar a los usuarios a proteger sus vidas de los riesgos de los dispositivos conectados del hogar inteligente, los expertos de Kaspersky aconsejan seguir estas simples reglas:
- un dispositivo USB de transmisión de contenido multimedia (Google Chromecast);
- una cámara IP controlada mediante smartphones;
- una cafetera controlada mediante smartphones;
- un sistema de seguridad doméstico, también controlado mediante smartphones.
La investigación descubrió que casi todos estos dispositivos eran vulnerables. La cámara que monitoriza al bebé permitía que un hacker, que usara la misma red que la cámara, se conectase, pudiese ver vídeos y lanzase audios en la propia cámara. Otras cámaras del mismo fabricante permitían a los hackers obtener contraseñas del usuario. El experimento mostró que también era posible que un hacker robase la contraseña de la cámara y modificase maliciosamente el firmware desde esa misma red.
Cuando se trata de cafeteras controladas por smartphones, ni siquiera es necesario que un ciberatacante esté en la misma red que la víctima. La cafetera analizada enviaba información sin cifrar permitiendo descubrir la contraseña de toda la red Wi-fi del dueño de la cafetera.
Al examinar el sistema de seguridad doméstico controlado a través de un smartphone, los analistas descubrieron que los problemas del software del sistema eran mínimos, por lo que el sistema era lo suficientemente seguro para resistir un ciberataque. En su lugar, la vulnerabilidad se encuentra en uno de los sensores utilizados por el sistema.
El sensor de contacto, diseñado para activar la alarma cuando se abre una puerta o una ventana, funciona mediante la detección de un campo magnético emitido por un imán montado en la puerta o ventana. Cuando se abre la puerta o ventana el campo magnético desaparece, haciendo que el sensor envíe mensajes de alarma al sistema. Sin embargo, si el campo magnético permanece en su lugar, no se enviará ninguna alarma.
Durante el análisis, los expertos de Kaspersky Lab utilizaron un imán sencillo para reemplazar el campo magnético del imán en la ventana. De este modo, podían abrir y cerrar una ventana sin activar la alarma. El gran problema de esta vulnerabilidad es que es imposible de solucionar con una actualización de software; el fallo está en el propio diseño del sistema de seguridad. Lo más preocupante es que los dispositivos basados en sensores de campo magnético son muy utilizados por múltiples sistemas de seguridad en el mercado.
“El análisis demuestra que los fabricantes de dispositivos tienen en cuenta, cada vez más, la ciberseguridad a medida que desarrollan sus dispositivos inteligentes. Sin embargo, cualquier dispositivo conectado, controlado por una app, cuenta casi seguro con al menos un problema de seguridad. Los ciberdelincuentes podrían explotar varias de estas vulnerabilidades a la vez. Por ello es tan importante que los proveedores solucionen todos los problemas - incluso aquellos que no son críticos. Estas vulnerabilidades deben solucionarse antes de que el producto salga al mercado, ya que puede ser mucho más difícil de solucionar un problema cuando un dispositivo ya se ha vendido a miles de propietarios de viviendas”, ha explicado Victor Alyushin, analista de seguridad de Kaspersky Lab.
Con el fin de ayudar a los usuarios a proteger sus vidas de los riesgos de los dispositivos conectados del hogar inteligente, los expertos de Kaspersky aconsejan seguir estas simples reglas:
- Antes de comprar cualquier dispositivo inteligente, busca en Internet noticias sobre vulnerabilidades de ese dispositivo. El Internet de las Cosas es un tema muy candente y un montón de investigadores están haciendo un gran trabajo encontrando problemas de seguridad en los productos de este tipo: desde monitores de bebés a frigoríficos controlados por apps. Es muy posible que el dispositivo que vayas a comprar haya sido examinado por analistas de seguridad y saber si los problemas encontrados en el dispositivo se han parcheado.
- No siempre es una buena idea comprar los productos más recientes lanzados al mercado. Junto con los errores estándar que se dan en nuevos productos, estos dispositivos podrían tener problemas de seguridad que aún no han sido descubiertos por los analistas de seguridad. El mejor consejo es comprar productos que ya han tenido varias actualizaciones de software.
- Al elegir qué parte de tu vida vas a hacer un poco más inteligente, ten en cuenta los riesgos para la seguridad. Si tu casa es un lugar donde se guardan muchos objetos de valor material, probablemente sea buena idea elegir un sistema de alarma profesional, que puede reemplazar o complementar el sistema de alarma doméstico controlado por una aplicación ya existente; o configurar el sistema existente de tal manera que cualquier vulnerabilidad potencial no afecte a su funcionamiento. Al elegir un dispositivo que recopilará información acerca de tu vida personal y la vida de tu familia, como un monitor de bebé, puede ser conveniente elegir el modelo RF más simple del mercado, uno que sólo sea capaz de transmitir una señal de audio, sin conexión a Internet. Si eso no es una opción, sigue nuestro primer consejo: elige con conocimiento.
