Sobrevivir en el mundo del Internet de las cosas

Las historias de terror sobre el Internet de las cosas (IoT) nos hacen pensar en villanos encapuchados que dedican su vida a atacar sistemas ajenos y arruinar la vida de los demás, inventando millones de métodos para infiltrarse en tu vida cotidiana mediante tus dispositivos. ¿Pero es esta imagen una razón suficiente para que dejemos de usar dispositivos inteligentes? Creemos que no; pensamos que los clientes deben estar conscientes de los posibles riesgos y de las formas de mitigarlos antes de integrarse al mundo del Internet de las Cosas.

Hace más de un año, nuestro colega del Equipo Mundial de Investigación y Análisis (GReAT), David Jacoby, echó un vistazo a la sala de estar de su casa para investigar el grado de susceptibilidad ante ciberataques que tenían sus dispositivos. Descubrió que casi todos eran vulnerables. Por eso, nos preguntamos: ¿habrá sido una coincidencia o es que los productos inteligentes del ‘Internet de las cosas’ de verdad están tan expuestos a ataques como parece? Para definirlo, hace algunos meses seleccionamos algunos dispositivos electrónicos domésticos al azar y analizamos su funcionamiento.

Los dispositivos que escogimos son los siguientes:

• un dispositivo USB de transmisión de contenido multimedia (Google Chromecast);
• una cámara IP controlada mediante smartphones;
• una cafetera controlada mediante smartphones;
• un sistema de seguridad doméstico, también controlado mediante smartphones.

Nuestra tarea era simple: descubrir si alguno de esos productos representaba una amenaza de seguridad para sus dueños. Los resultados de nuestra investigación dan mucho que pensar.

Google Chromecast. Intrusiones para principiantes

Riesgo: la pantalla de la víctima muestra contenido publicado por el atacante

Chromecast, que hace poco se ha actualizado con una versión más avanzada, es un aparato interesante. Es un dispositivo USB que te permite transmitir contenido multimedia desde tu Smartphone o tablet hacia tu televisor u otras pantallas. Funciona de la siguiente manera: el usuario lo conecta al HDMI de un televisor para encenderlo. A continuación, Chromecast ejecuta su propia red Wi-Fi para la configuración inicial. Cuando ha establecido una conexión con un smartphone o tablet, apaga su red Wi-Fi y se conecta a la red de Internet doméstica del usuario. Es un producto muy práctico y fácil de usar.

Pero un hacker podría convertirlo en un tormento para los usuarios. La famosa vulnerabilidad “rickrolling“, descubierta por el asesor de seguridad Dan Petro, es prueba de ello. Permite que la transmisión que recibe la pantalla de la víctima se origine desde una fuente controlada por el atacante. Así es como funciona: el atacante inunda Chromecast con solicitudes especiales de ‘desconectar’ que provienen de un dispositivo basado en Raspberry Pi falso. Cuando Chromecast enciende su propio módulo Wi-Fi como respuesta, se reconecta al dispositivo del atacante, dándole el poder de reproducir el contenido que le plazca.

La única forma de detener la transmisión es apagar el televisor, desconectar el dispositivo del rango del Wi-Fi y esperar a que el atacante se aburra y se vaya.

La única limitación de este ataque es que el intruso debe estar en el rango de la red Wi-Fi del Chromecast de la víctima. Sin embargo, nuestro experimento reveló que esta restricción desaparece con una antena Wi-Fi direccional barata y programas Kali Linux. Cuando usamos esos accesorios, descubrimos que puede explotarse la vulnerabilidad “rickroll” de Chromecast a una distancia mucho mayor que la alcanzada por la señal normal de las redes Wi-Fi. Esto significa que el riesgo de la amenaza original de Dan Petro de que de el dueño pueda ver al hacker desaparece si se usa una antena direccional.

No consideramos este “descubrimiento” como algo novedoso en el mundo de la seguridad; sólo profundiza sobre un problema conocido que no ha sido parchado. Es un ejercicio para principiantes en hacking del IoT, aunque podría usarse de formas muy dañinas – pero hablaremos de eso después. Primero, exploraremos los otros casos de nuestra pequeña investigación.

Mitigación: utiliza Chromecast en partes alejadas de tu casa para reducir el riesgo de ataques con una antena direccional

Estado: sin parches

Cámara IP

Primera vulnerabilidad

Riesgo: los atacantes obtienen acceso a las direcciones de correo electrónico de todos los usuarios de cámaras que han sufrido problemas técnicos

La cámara IP que investigamos se comercializaba como un monitor de bebés. La cámara se ubica en la cuna del bebé, descargas una app en tu smartphone, conectas la cámara a la app y el Wi-Fi y listo: puedes ver a tu pequeño cuando quieras, desde donde quieras.

Uno se pregunta, ¿por qué le interesaría a alguien tomar el control de un monitor de bebés? Lo cierto es que se han visto varios casos de intrusiones a monitores de bebés, que datan desde 2013: http://www.cbsnews.com/news/baby-monitor-hacked-spies-on-texas-child/ un caso similar se descubrió en 2015: http://www.kwch.com/news/local-news/whitewater-woman-says-her-baby-monitor-was-hacked/32427912. Pues sí, existe gente que quiere irrumpir en monitores de bebés.

Cuando investigamos nuestra cámara (a principios de 2015) había dos aplicaciones para que los clientes se comuniquen con la cámara. Ambas tenían problemas de seguridad. Después nos enteramos por el vendedor de que una de estas aplicaciones era antigua, pero aun así muchos dueños de cámaras todavía la seguían utilizando. Descubrimos que esta antigua aplicación tenía las credenciales de una cuenta de Gmail especificadas en su código.

public static final String EMAIL_FROM = “*****@gmail.com”;
public static final String EMAIL_PASSWORD = “*****”;
public static final String EMAIL_PORT = “465”;
public static final String EMAIL_SMTP_HOST = “smtp.gmail.com”;
public static final String EMAIL_TO;
public static final String EMAIL_TO_MAXIM = “maximidc@gmail.com”;
public static final String EMAIL_TO_PHILIPS = “*****@philips.com”;
public static final String EMAIL_USERNAME = “*****@gmail.com”;

El vendedor nos explicó que la cuenta se usaba para recolectar informes sobre problemas técnicos de los usuarios de la cámara.

El problema es que los informes se enviaban a esta cuenta pre-instalada desde las cuentas de correo de los usuarios. Es por eso que un atacante no necesitaría ni comprar una cámara; todo lo que debía hacer era descargar y aplicar ingeniería inversa a una de las aplicaciones para acceder a la cuenta de correos técnica y recolectar las direcciones de correo de todos los usuarios de cámaras que habían tenido problemas técnicos. ¿Puede considerarse un problema serio que una vulnerabilidad exponga los correos electrónicos personales ante un agente externo? Es posible. Sin embargo, siendo realistas, esta vulnerabilidad no parece ser un blanco tentador para la recolección masiva de información personal, en particular debido a su pequeña base de víctimas. Los problemas técnicos son raros y la aplicación era vieja y no muy popular cuando realizamos la investigación. Además, los monitores de bebé son un producto de uso muy específico, así que no se almacenan muchas direcciones de correo.

Por otra parte, si eres dueño de un monitor de bebé, lo más probable es que seas una madre o padre de familia y eso te convierte a ti y a tu correo electrónico en un blanco muy llamativo si un atacante quiere realizar una operación de fraude selectiva.

En otras palabras, no es una vulnerabilidad de seguridad crítica, pero aun así los atacantes podrían explotarla. Pero esta no fue la única vulnerabilidad que encontramos al investigar la cámara y la aplicación.

Estado: solucionado

Segunda vulnerabilidad

Riesgo: el atacante consigue el control absoluto de la cámara

Después de analizar la aplicación antigua pasamos a la versión más reciente y de inmediato descubrimos otro problema interesante.

La aplicación se comunica con la cámara mediante un servicio en la nube y la comunicación entre la aplicación y el servicio en la nube está cifrado en https. La aplicación emplea un identificador de sesión (Session ID) para realizar la autentificación, que se cambia de forma automática cada vez que el usuario inicia una nueva sesión. Parece seguro, pero es posible interceptar el identificador de sesión para controlar la cámara mediante la nube o para conseguir la contraseña que otorga acceso local a la cámara.

Antes de que la aplicación comience a enviar datos de la cámara, envía una solicitud http al servicio en la nube:

type=android&id=APA91bEjfHJc7p6vw3izKmMNFYt7wJQr995171iGq2kk_rD4XaMEHhTXqTmFaAALjWD15bnaVcyMuV2a7zvEFdtV13QXildHQn0PCvQbPikag2CPJwPwOWWsXtP7B0S-Jd3W-7n0JUo-nMFg3-Kv02yb1AldWBPfE3UghvwECCMANYU3tKZCb2A&sessionId=100-U3a9cd38a-45ab-4aca-98fe-29b27b2ce280

Esta solicitud contiene el identificador de sesión y puede interceptarse, pues no está cifrada. El identificador de sesión se usa para obtener la contraseña actual. Descubrimos que esto también podía lograrse creando un enlace especial con el identificador de sesión al final.

https://*****/*****/*****sessionId=100-U3a9cd38a-45ab-4aca-98fe-29b27b2ce280

El servicio en la nube envía la contraseña de la sesión a cambio de este enlace.

https://*****/*****/*****sessionId=100-U3a9cd38a-45ab-4aca-98fe-29b27b2ce280

… “local_view”:{“password”:”N2VmYmVlOGY4NGVj”,”port”:9090} …

Con la contraseña se puede tener control completo de la cámara, lo que implica ver los videos, escuchar el audio y reproducir sonidos en la cámara.

Es importante recalcar que este no es un ataque remoto – el intruso debe estar en la misma red que el usuario de la aplicación para interceptar la solicitud inicial, por lo que la explotación es menos probable. Sin embargo, los usuarios de la aplicación deben proceder con cautela, en especial si están usando grandes redes a las que muchas personas tienen acceso. Por ejemplo, si el usuario de la aplicación se conecta a su cámara desde una red Wi-Fi pública, corre más riesgo de ser blanco de un atacante en la misma red. Bajo estas condiciones, no sería difícil imaginar un caso en el que un usuario externo use la aplicación en tiempo real.

Estado: arreglado

Tercera vulnerabilidad

Riesgo: modo dios – el atacante puede hacer cualquier cosa con el firmware de la cámara

La tercera vulnerabilidad que descubrimos al investigar nuestra cámara controlada por un smartphone no estaba en la aplicación, sino en la misma cámara. El problema es simple: una contraseña de raíz predeterminada de fábrica para SSH en el firmware. Es simple porque la cámara opera en Linux y la contraseña de raíz permite entrar en modo dios a cualquiera que tenga acceso al dispositivo y conozca la contraseña. Se puede hacer cualquier cosa con el firmware de una cámara: modificar su contenido, eliminarlo…, cualquier cosa. Todo lo que el atacante necesita para extraer la contraseña es descargar y extraer el firmware del sitio web del vendedor (aunque el atacante debe estar en la misma red que el dispositivo para conseguir la URL desde la que se descarga el firmware), extraerlo y seguir esta ruta: \ubifs\home/.config. Aquí la está: en texto simple.

CONFIG_*****_ROOT_PASSWORD=”sVGhNBRNyE57″

CONFIG_*****_ROOT_PASSWORD=”GFg7n0MfELfL”

Lo más preocupante es que, si no es un experto en Linux, no hay forma de que un usuario sin experiencia elimine o cambie esta contraseña por sí mismo.

La razón por la que la contraseña SSH estaba allí es un misterio, pero tenemos algunas teorías. El acceso raíz es útil para los desarrolladores y los especialistas de asistencia técnica cuando un usuario se encuentra ante un problema técnico inesperado que no puede solucionarse por teléfono. En este caso, un especialista puede conectarse a la cámara de forma remota, usar la contraseña SSH para obtener acceso raíz y solucionar el problema. Parece que esta es una práctica común para los nuevos modelos de estos dispositivos, que pueden tener fallas que no se han descubierto ni solucionado en la etapa previa a su lanzamiento. Echamos un vistazo al firmware de las cámaras de otro fabricante y también descubrimos contraseñas SSH en ellas. Por eso, tenemos la siguiente teoría: los desarrolladores dejan la contraseña SSH en el firmware para poder arreglar fallas inesperadas y, cuando se lanza una versión estable del firmware, olvidan eliminar o cifrar la contraseña.

Nuestra segunda teoría es que olvidaron que estaba allí. Como descubrimos en nuestra investigación, una empresa externa suele proveer la parte del dispositivo que contenía las contraseñas SSH – el chipset. La empresa externa deja la contraseña SSH en la cámara por comodidad, para asegurarse de que el distribuidor del producto final (el monitor de bebés) pueda configurar el chipset y conectarlo a otros dispositivos y programas. Entonces, el vendedor lo hace y olvida borrar la contraseña. Tan simple como suena.

Estado: solucionado

Intercambio con el vendedor

No fue difícil descubrir estas vulnerabilidades y debemos admitir que tampoco nos costó informar al proveedor sobre el problema y ayudarle a parcharlo. La cámara que investigamos era de marca Philips, pero estaba producida y mantenida por Gibson Innovations. Los representantes de la compañía respondieron con mucha prisa a nuestro informe. Por lo tanto, todas las vulnerabilidades han sido parchadas, tanto en la cámara como en las aplicaciones (Android: https://play.google.com/store/apps/details?id=com.ivideon.insighthd e iOS).

A mitad de año, Rapid7 lanzó un informe muy interesante sobre vulnerabilidades en monitores de bebés, y un producto Philips (una versión un poco diferente a la de la cámara que investigamos) estaba en la lista de dispositivos vulnerables. Habían descubierto varias vulnerabilidades, algunas muy parecidas a las que descubrimos en nuestra investigación. Pero a juzgar por el lapso transcurrido entre el descubrimiento y el lanzamiento del parche, Gibson Innovations es uno de los pocos vendedores de IoT que toman en serio las vulnerabilidades de seguridad en sus productos. Los felicitamos por tener una postura tan responsable.

Pero volvamos a nuestra investigación.

Podría parecer que las vulnerabilidades de seguridad que hemos descubierto en la cámara IP requieren que el intruso tenga acceso a la misma red que el usuario de la cámara o la cámara misma, y es cierto. Pero, por otra parte, eso no es un obstáculo mayor, en especial si el usuario tiene otro dispositivo conectado en su red.

Una cafetera controlada mediante smartphones

¿Qué podría salir mal?

Riesgo: el filtrado de la contraseña a la red inalámbrica doméstica

La cafetera que escogimos al azar puede preparar una taza de café cuando lo desees. Sólo programas la hora y la aplicación te manda una notificación cuando esté listo. También puedes vigilar el estado del aparato mediante una aplicación. Por ejemplo, puedes fijarte si se está preparando, si está listo para comenzar o si hace falta rellenar el contenedor de agua. En otras palabras, es un dispositivo muy práctico pero que, por desgracia, ofrece a los atacantes varias formas de secuestrar la contraseña de tu red Wi-Fi local.

Antes de usar la cafetera, hay que configurarla. Este es el proceso para hacerlo: cuando se lo enchufa, el dispositivo crea un punto de acceso Wi-Fi sin cifrado y detecta el tráfico UPNP. Un smartphone que ejecuta la aplicación se conecta a su punto de acceso a Internet y envía una solicitud de transmisión UDP preguntando si hay algún dispositivo UPNP en la red. Como nuestra cafetera es este dispositivo, responde a la solicitud. Después de eso, el smartphone envía el SSID y la contraseña de la red inalámbrica doméstica al dispositivo en una comunicación breve.

Aquí es donde detectamos un problema. Aunque la contraseña se envía cifrada, los componentes de la llave de cifrado se envían mediante un canal abierto y desprotegido. Estos componentes son la dirección Ethernet de la cafetera y algunas otras credenciales únicas. Con estos componentes se genera la llave de cifrado en el smartphone. La contraseña de la red doméstica está cifrada con esta llave usando una clave AES de 128 bits y se envía como base64 a la cafetera. En la cafetera también se genera la llave usando estos componentes y la contraseña puede descifrarse. Después, la cafetera se conecta a la red inalámbrica doméstica y deja de ser un punto de acceso a Internet hasta que se reinicie. De aquí en adelante, sólo se puede acceder a la cafetera mediante la red inalámbrica doméstica. Pero eso es lo de menos, porque la contraseña ya está comprometida.

Estado: la vulnerabilidad sigue presente

Diálogo con el vendedor

Informamos al vendedor de la cafetera nuestro descubrimiento y él confirmó el problema y nos respondió con la siguiente declaración:

“Tanto la comodidad del usuario como su seguridad son de extrema importancia para nosotros y seguiremos tratando de encontrar el debido balance entre ambos. Los riesgos reales de las vulnerabilidades que mencionan durante la configuración son muy bajos. Para conseguir el acceso al dispositivo, el hacker debe tener acceso físico al radio de la red doméstica en el momento exacto de la configuración, que es un margen de unos pocos minutos. En otras palabras, el hacker tendría que tener como blanco a un usuario específico de la cafetera y estar cerca en el momento exacto de la configuración, lo cual es muy improbable. Por ende, no creemos que las posibles vulnerabilidades justifiquen la magnitud de los impactos negativos que los cambios sugeridos tendrían en la comodidad del usuario. Aunque no estamos trabajando en ningún plan definitivo para cambiar nuestro procedimiento de configuración, evaluamos nuestros productos con frecuencia y no dudaremos en hacer los cambios necesarios si los riesgos se vuelven más significativos. Les informaremos si hacemos algún cambio en el futuro”.

No estamos en total desacuerdo con esta declaración y admitimos que el margen de maniobra del ataque es muy breve. La vulnerabilidad podría parcharse de muchas maneras, nuestros análisis indican que la mayoría implicaría cambios físicos en el dispositivo (agregar un puerto Ethernet a la cafetera o un teclado para la contraseña) o que se otorgue un código pin único a cada cafetera, incluyendo las que ya se han vendido, lo que no es muy fácil desde un punto de vista logístico. Estos cambios impactarían de forma considerable en la experiencia del usuario y el proceso de configuración se volvería menos directo.

La única solución que podemos proponer para el programa es la implementación de cifrado asimétrico. Esto significa que la cafetera tendría que enviar la llave de cifrado pública al smartphone del usuario y el intercambio de datos comenzaría sólo después de eso. Pero todavía existiría la posibilidad de que cualquier usuario de una red Wi-Fi, incluyendo el atacante, podría tomar el control de la cafetera. La llave pública también estaría disponible para todos, y el primer usuario en recibirla y establecer la conexión con la cafetera sería el que la controle. De todos modos, el usuario legítimo de la cafetera al menos se enteraría de que algo anda mal cuando no pueda comunicarse con el dispositivo durante y después del ataque. Esto no pasa con el programa actual de la cafetera.

Así que podemos decir que de cierto modo comprendemos la lógica del vendedor: el grado de riesgo de esta vulnerabilidad no está al nivel del grado de complejidad de implementar las medidas para eliminarla. Además, no podemos decir que el vendedor no pensó en la seguridad de su producto: como dijimos antes, la contraseña se transmite de forma protegida y el usuario debe sostener la antena de un modo especial.

Pero la vulnerabilidad existe, y un criminal inteligente no tendría problemas explotándola para conseguir tu contraseña Wi-Fi. La situación es interesante: si eres el dueño de esta cafetera, cada vez que quieras cambiar la contraseña de tu red Wi-Fi doméstica por precaución, en realidad la estarías exponiendo porque tendrías que re-configurar la cafetera. Y no te percatarías si alguien consigue tu contraseña. Para algunos, esto no es ningún problema, pero para otros es sin duda un problema de seguridad.

Por esta razón, no vamos a revelar el distribuidor o modelo para no atraer la atención de usuarios maliciosos hacia el producto vulnerable. Pero, si eres el dueño de una cafetera controlada mediante smartphones y te preocupa esta vulnerabilidad, no dudes en ponerte en contacto con el vendedor y preguntarle si nuestros estudios tienen algo que ver con el producto que posees o te interesa.

Y ahora pasamos al capítulo final de este recorrido por el inseguro mundo del Internet de las cosas.

Los sistemas de seguridad doméstica contra las leyes físicas

Riesgo: burlar los sensores de seguridad para que no activen sus alarmas

Los sistemas de seguridad doméstica controlados por aplicaciones son muy populares en la actualidad. El mercado está repleto de productos diseñados para proteger tu hogar de intrusiones físicas. Estos sistemas por lo general incluyen un dispositivo central conectado a tu red doméstica y a tu smartphone, y varios sensores de pilas que tienen comunicación inalámbrica con él. Los sensores suelen colocarse en paredes y ventanas para alertar al dueño sobre cualquier intrusión; estos incluyen sensores de movimiento y cámaras.

Estábamos emocionamos cuando conseguimos un sistema de seguridad doméstico por primera vez. Habíamos visto muchas noticias sobre investigadores que encontraban graves vulnerabilidades en estos productos, como el estudio de HP o el que se presentó este año en Black Hat sobre la inseguridad del protocolo ZigBee, muy usado en estos productos. Nos preparamos para la fácil tarea de encontrar varias vulnerabilidades de seguridad.

Pero no fue así. Mientras más indagábamos en el sistema, mejor comprendimos que, desde una perspectiva de seguridad cibernética, es un aparato muy bien diseñado. Para configurarlo, debes conectar el dispositivo central directo a tu router Wi-Fi y, para que la aplicación se comunique con él, tienes que crear una cuenta en el sitio web del distribuidor, entregar tu número de teléfono y un código pin secreto que te envían por SMS. Todas las comunicaciones entre la aplicación y el sistema se dirigen a través del servicio en la nube del vendedor y se realizan mediante https.

Cuando nos fijamos en la forma en que el dispositivo central descarga nuevas versiones del firmware, descubrimos que no tiene una firma digital, lo que es un problema porque permite que se descargue cualquier firmware en el dispositivo. Sin embargo, para hacerlo, hay que conocer la contraseña y los datos de inicio de sesión de la cuenta del usuario. Además, se pueden enviar comandos al dispositivo central cuando se está dentro de la misma red, pero para comprender el tipo de comandos que se le pueden enviar se debe realizar un proceso de ingeniería inversa de su firmware, lo que no es una investigación de seguridad, sino una maniobra agresiva de ataque. Y nosotros no somos ciberatacantes agresivos.

Por eso, desde nuestro punto de vista, el sistema de seguridad doméstica que investigamos es seguro a no ser que tengas la intención de irrumpir en él a toda costa.

Pero después analizamos los sensores.

Derrotando los sensores de contacto con sus propias armas

Los sensores de intrusión o contacto, incluidos en el paquete, están compuestos por tres partes: el imán (la parte que se pone en la puerta o ventana), el transmisor de radio y el sensor de campos magnéticos. Funciona de la siguiente manera: el imán emite un campo magnético y el sensor de campos magnéticos lo registra. Si se abre la puerta o ventana, el sensor deja de registrar el campo magnético y envía una notificación al dispositivo central indicando que la puerta o ventana está abierta. Pero si el campo magnético sigue allí, no se activa ninguna alarma, lo que significa que lo único que se necesita para burlar el sensor es un imán con suficiente fuerza como para reemplazar el campo magnético. En el laboratorio, pusimos un imán cerca del sensor y abrimos la ventana, entramos, cerramos la ventana y quitamos el imán. No hubo alarmas ni sorpresas.

Podría decirse que esto sólo funciona en las ventanas, donde es más fácil ubicar el lugar exacto en el que se encuentra el sensor. Pero los campos magnéticos son traicioneros: atraviesan paredes y una simple aplicación para smartphones que detecta campos magnéticos basta para ubicar un sensor con precisión, aunque no puedas verlo. Así que las puertas (si no son de metal) también son vulnerables. ¡Una victoria para la física!

Sensor de movimiento

Entusiasmados por nuestra fácil victoria sobre los sensores de contacto, pasamos a los sensores de movimiento. Al desarmarlos descubrimos que eran un simple sensor infrarrojo que detectaba el movimiento de un objeto cálido. Esto significa que el sensor ignora los objetos que no emanan calor. Nuestro experimento reveló que uno sólo necesita ponerse un abrigo, anteojos, sombrero y una máscara para volverse invisible ante el sensor. ¡Otra victoria para la física!

Estrategias de protección

Las malas noticias son que el sistema de seguridad que investigamos no es el único que utiliza estos sensores de campos magnéticos y sensores de movimiento infrarrojos de baja calidad. Son sensores bastante populares que se pueden encontrar en muchos otros productos similares. Sólo busca en las tiendas electrónicas y compruébalo tú mismo. Pero aún hay más: es imposible solucionar el problema con una actualización del firmware. El problema radica en la tecnología en sí.

Las buenas noticias son que te protegen de los ladrones que no aprobaron física en la escuela. Las reglas básicas de protección son las siguientes:

1. No deposites toda tu confianza en los sensores de contacto cuando protejas tu hogar, en especial si son los que describimos en nuestra investigación. Los sistemas de seguridad doméstica inteligentes suelen ofrecer dispositivos adicionales, como cámaras con sensores de movimiento y audio, que son imposibles de burlar con imanes. Valdría la pena complementar los sensores de contacto con algunas cámaras inteligentes aunque sea un poco más caro. Los sensores de contacto por sí solos convertirán tu sistema de seguridad en un sistema de seguridad de juguete.
2. Si utilizas los sensores de movimiento infrarrojos, trata de colocarlos frente un radiador en habitaciones por las que el ladrón tendrá que pasar si irrumpen en tu casa. Así, el intruso cortará el calor del radiador sin importar la ropa que vista y el sensor detectará el cambio.

Conclusiones

Lo que descubrimos en nuestro pequeño experimento es que los fabricantes están haciendo lo posible para no dejar de lado la seguridad informática de sus productos, lo cual es bueno. Sin embargo, es casi seguro que cualquier dispositivo conectado y controlado por medio de una aplicación tendrá al menos una vulnerabilidad de seguridad. Pero la posibilidad de que sea crítica no es muy alta.

Asimismo, el bajo grado de peligro de estos problemas de seguridad no garantiza que no se vayan a usar en un ataque. Al principio del artículo prometimos describir cómo podría usarse la divertida y segura vulnerabilidad “rickrolling” en un ataque peligroso. Aquí está.

Imagina que un televisor que tiene conectado un dispositivo Chromecast, ambos de un usuario sin experiencia, comienza a mostrar mensajes de error que informan que, para solucionar el problema, el usuario debe restaurar su router Wi-Fi a la configuración de fábrica. Eso significa que el usuario debe reconectar todos sus dispositivos, incluyendo su cafetera Wi-Fi. El usuario restaura el router y reconecta todos los dispositivos. Después de eso, Chromecast funciona con normalidad igual que todos los demás dispositivos de la red. Lo que el usuario ignora es que alguien más se ha conectado al router y de allí pasó a la cámara del monitor de bebé y otros dispositivos conectados, que no tienen vulnerabilidades críticas, sino varias leves.

Desde una perspectiva económica, sigue sin estar claro por qué los cibercriminales atacarían los dispositivos domésticos conectados a Internet. Pero mientras que el mercado del Internet de las cosas se siga fortaleciendo y sus tecnologías sigan popularizándose y estandarizándose, es sólo cuestión de tiempo para que los cibercriminales encuentren la forma de sacar beneficios económicos a los ataques a dispositivos conectados a Internet. Los programas chantajistas son una posibilidad, pero no la única.

Además, los cibercriminales no son los únicos que podrían interesarse en el Internet de las cosas. Por ejemplo, este verano, el Ministerio de Asuntos Internos de Rusia ordenó que investigaran las posibles formas de recolectar datos forenses de dispositivos fabricados con tecnologías inteligentes. Asimismo, los militares canadienses hace poco publicaron una solicitud para que les asignen a un contratista que pueda “descubrir vulnerabilidades y medidas de seguridad” para coches y “desarrollar exploits y ponerlos a prueba”.

Esto no significa que la gente deba evitar usar los productos del Internet de las cosas por sus riesgos. Lo más seguro es elegir con cuidado: piensa en el dispositivo o sistema que te interesa, para qué lo vas a usar y dónde.

Estas son algunas sugerencias de Kaspersky Lab:

1. Antes de comprar un dispositivo IoT, busca en Internet noticias sobre sus posibles vulnerabilidades. El Internet de las cosas es un tema muy candente en la actualidad y muchos investigadores están haciendo un gran trabajo descubriendo problemas de seguridad en productos de este tipo: desde monitores de bebé hasta rifles controlados mediante aplicaciones. Es posible que el dispositivo que estás a punto de comprar ya haya sido analizado por investigadores de seguridad y se sepa si las vulnerabilidades descubiertas están parchadas.
2. Comprar los últimos productos del mercado no siempre es la mejor idea. Los productos nuevos pueden tener vulnerabilidades de seguridad que todavía no se han descubierto además de los problemas estándar. Lo mejor es comprar productos que ya tengan varias actualizaciones de seguridad.
3. Considera los riesgos cuando elijas la parte de tu vida que vas a conectar a Internet. Si guardas cosas de valor material en tu casa, sería una buena idea elegir un sistema de alarma profesional que reemplace o complemente tu sistema de seguridad controlado mediante una aplicación; o configurar tu sistema de tal modo que las posibles vulnerabilidades no afecten su funcionamiento. Además, cuando elijas el dispositivo que recolectará información sobre tu vida personal y la de tu familia, como un monitor de bebés, tal vez sea apropiado elegir el modelo más simple, que sólo pueda transmitir una señal de audio y no tenga acceso a Internet. Si no se puede, entonces sigue nuestro primer consejo: ¡elige con cuidado!

Y a los fabricantes de dispositivos del Internet de las cosas les hacemos una sola sugerencia, pero de gran importancia: que colaboren con la comunidad de seguridad cuando desarrollen nuevos productos y mejoren los viejos. Existen iniciativas como Builditsecure.ly y OWASP Internet of Things project que ayudan a fabricar dispositivos conectados a Internet que no tengan vulnerabilidades de seguridad serias. En Kaspersky Lab seguiremos trabajando para conseguir más información sobre los dispositivos conectados a la red y así descubrir cómo proteger a la gente de las amenazas que representan estos aparatos.