Las vulnerabilidades en el hogar de IoT

Según datos de la industria, cerca de 37.000 millones de dispositivos estarán conectados para 2020. Sin embargo, el diseño de los mismos tiene más en cuenta cómo funcionan que la seguridad de la información que transmiten.

Roberto Martínez, analista de seguridad para el Equipo de Investigación y Análisis de Kaspersky Lab América Latina, disertó en la Quinta Cumbre Latinoamericana de Analistas de Seguridad que se realizó recientemente en Santiago, Chile.

Durante su exposición, Martínez realizó una demostración de una cerradura convencional de casa que se comunica con el celular del usuario por medio de Bluetooth facilitándole ingreso a su hogar sin la necesidad de una llave física. La cerradura, disponible por Internet en una cadena internacional de mejoras para el hogar por US$ 199, trabaja por medio de llaves digitales que el usuario programa en su celular y en los dispositivos de otras personas. Los asistentes a la cumbre pudieron presenciar que solo basta con que el usuario toque la cerradura con sus dedos mientras lleve el celular habilitado con la llave digital en su bolsillo o bolso para que esta se abra.

La tecnología Bluetooth Smart está potenciando al Internet de las Cosas (IoT). Es una tecnología de corto alcance pero robusta que ha sido mundialmente adoptada por su bajo costo y bajo consumo de energía. Sin embargo, no es libre de vulnerabilidades de acuerdo con Martínez.

El experto demostró cómo un atacante puede interceptar la comunicación entre el dispositivo del usuario y la cerradura digital por medio de un adaptador Bluetooth USB que está disponible públicamente en algunos mercados en Internet. Este aparato permite interceptar los paquetes de datos de la red Bluetooth, lo que a su vez potencialmente pudiera permitirle al criminal tener acceso a la llave digital de la sesión y acceder al hogar del usuario sin forcejar la cerradura.

Además, Martínez explicó que Shodan, el navegador de búsquedas de dispositivos conectados a Internet a nivel mundial, está abierto al público y ofrece acceso a todas las direcciones IP, tipo de dispositivo, función y ubicación de estos, lo que también puede servir como un vector de ataque.

El analista de seguridad explicó que se han detectado dispositivos que permiten la conexión de los usuarios a Internet (módems/routers) con la consola de configuración web del dispositivo habilitada para que esta pueda ser accedida desde la web. Esto puede incrementar el riesgo de que alguien externo pueda comprometer la seguridad del propio modem así como de los dispositivos de la red interna de los usuarios ubicados en países identificados con el mayor número de dispositivos que mantienen esta configuración.

Según las cifras de este navegador de búsquedas, México ocupa el primer lugar a nivel mundial ya que se detectaron casi un millón de módems con estas características. Le sigue Colombia con un poco más de 226.000, Indonesia (217.000), India (193.000) e Irán (168.000).

El experto recomendó realizar una seguridad proactiva y ofreció los siguientes consejos:

  • Cambiar las contraseñas predeterminadas en el dispositivo.
  • Actualizar el firmware a su última versión.
  • Desactivar la conectividad de red del dispositivo si no se utiliza.
  • Aplicar una segmentación de red para los dispositivos conectados.
  • Desconectar las funciones innecesarias.

Martínez explicó que en la era de IoT, un refrigerador, un televisor, una cerradura y hasta un auto conectado recopilan información sobre las tendencias y preferencias de los usuarios para facilitar su día a día, pero esta información también puede ser utilizada para agredir la privacidad y hasta la seguridad física.

Tags: