Un simple foco o bombilla inteligente (smart bulb) es capaz de evidenciar la vulnerabilidad que poseen los hogares donde se usan enseres basados en IoT (Internet de las cosas). Así lo demostró S21sec, la empresa líder en soluciones integrales de protección y ciberseguridad, durante el evento Infosecurity México, llevado a cabo el 22 y 23 de mayo en la Ciudad de México.

A través de la simulación de una casa que cuenta con este tipo de dispositivos tan de moda en la actualidad, Raúl Valencia, Audit Consultant para Latinoamérica de S21sec, no solo pudo “hackear” y manipular las funciones del smart bulb, sino que además logró bloquearlo para que ya no pudiera ser controlado desde la aplicación que su usuario original tiene descargada en su smartphone. Y para ello tan solo requirió una computadora personal, un pequeño dispositivo receptor de Bluetooth (como los que se usan para conectar un mouse o teclado inalámbrico a una laptop) y una conexión a Internet para acceder a Google.

“Hacer que un foco deje de funcionar puede parecer una simple broma”, asevera Valencia, “pero la tendencia es que cada vez más y más dispositivos están conectados a través de IoT, no solo aparatos domésticos, sino herramientas médicas: tenemos conocimiento de que hace seis meses un malware infectó una máquina de resonancia magnética para simular que los pacientes tenían cáncer. Sin importar el nivel, se trata de una situación que afecta directamente a las personas”.

Lo alarmante de este simple ejercicio es que, si se puede hacer con una simple bombilla, también es posible que ocurra con prácticamente cualquier dispositivo conectado a IoT que utilice protocolos de comunicación inalámbrica BLE o Zigbee, como televisiones, asistentes de voz, refrigeradores, automóviles… e incluso cerraduras inteligentes (smart door locks).

Para este consultor de S21sec, uno de los principales problemas radica en la velocidad con la que estos aparatos salen al mercado, pues los fabricantes, con el fin de no perder competitividad, suelen poner sus ofertas a disposición del público sin darle demasiada importancia al aspecto de la seguridad de la información.

No hay que olvidar el nivel de invasión a nuestra privacidad que puede darse a través de IoT: “Algunas televisiones inteligentes cuentan con cámara, y mediante este proceso personas ajenas pueden sortear los niveles de seguridad del aparato y ver lo que ocurre en nuestros propios hogares”, expone Valencia, “sin olvidar que algunas marcas de smart bulbs poseen un micrófono integrado para hacer juegos de luces de acuerdo con la música que se escucha en una habitación, y ese micrófono puede ser utilizado para escuchar nuestras conversaciones más íntimas”.

Recomendaciones de S21sec para evitar el hackeo a través de IoT

  1. Optar por la compra de dispositivos IoT basados en tecnología Out-of-band/NFC
  2. Dividir las redes domésticas: un módem “hackeado” es un IoT vulnerable; si tu hogar cuenta con muchos dispositivos IoT, se recomienda añadir un módem específico para ellos y protegerlo con un firewall.
  3. Elegir, en la medida de lo posible, artículos IoT que ofrezcan listas de control de acceso para que solo reconozcan la señal de dispositivos familiares.
  4. Desconectar los aparatos IoT cuando no se usen (aunque eso reduzca su principal ventaja: la de ser utilizados a distancia en cualquier momento).
  5. Cambiar las contraseñas de fábrica que se incluyen en los aparatos IoT recién adquiridos y protegerlos con passwords complicados, alternando números y letras.
  6. En el caso de las cerraduras inteligentes, elegir las que funcionan con tarjetas de proximidad y resguardarlas en carteras anticlonación, mejor conocidas como NFC SHIELD.

Julio-agosto 2019