Un estudio llevado a cabo por la empresa de seguridad Symantec sobre 50 dispositivos presentes en los hogares inteligentes encontró que muchos de ellos presentan varios problemas de seguridad básica, como autenticación débil y vulnerabilidades comunes de red.
El mercado del Internet de las Cosas (IoT, por sus siglas en inglés) ha empezado a despegar en los últimos tiempos y pronto será común en los hogares. A día de hoy, los consumidores pueden comprar versiones que se conectan a Internet de casi todos los electrodomésticos imaginables. Una tendencia que parece al alza ante la que la consultora Gartner predice que en 2015 habrá 2.900 millones de dispositivos IoT conectados en espacios del hogar inteligente (‘Smart Home’).
Sin embargo, a pesar de la creciente aceptación del público por el hogar inteligente, estudios recientes parecen estar de acuerdo en que ‘seguridad’ no es una palabra que suela asociarse con los dispositivos IoT, lo que deja a los consumidores potencialmente expuestos. Recientemente, Symantec ha analizado 50 dispositivos presentes en el hogar inteligente, los cuales están disponibles hoy en día para comprobar los niveles de seguridad de todos ellos.
De hecho, la investigación encontró que muchos de estos dispositivos y servicios presentan varios problemas de seguridad básica.
El panorama del hogar investigado
Los dispositivos del hogar inteligente pueden utilizar un servicio de nube back-end para monitorear el uso o permitir a los usuarios controlar de manera remota estos sistemas. Los usuarios pueden tener acceso a la información o controlar su dispositivo mediante un portal web o desde una aplicación móvil.
Las conclusiones del estudio desvelaron diversos problemas de seguridad en los dispositivos analizados, especialmente relacionados con una autentificación débil, vulnerabilidades web o potenciales ataques.
1.- Autenticación débil. Según explicaron desde Symantec, “ninguno de los dispositivos utilizaba autenticación mutua o contraseñas fuertes”. “Peor aún, algunos impidieron al usuario para configurar una contraseña fuerte en la interfaz de nube, al restringir la autenticación a un simple código PIN de cuatro dígitos. Si se combina esto con la ausencia de una autenticación de doble factor (2 FA) y ninguna contraseña para mitigar un ataque de fuerza bruta, entonces podrían ser un blanco fácil para los agresores”, indicaron.
2.- Vulnerabilidades web. Además de una autenticación débil, muchas interfaces web del hogar inteligente sufren de vulnerabilidades de aplicaciones web conocidas. Una prueba rápida con 15 interfaces de nube IoT reveló algunas vulnerabilidades graves, “y eso que este análisis solo fue superficial”. “Encontramos y reportamos diez vulnerabilidades relacionadas con path traversal, carga de archivos sin restricciones (ejecución remota de código), inclusión remota de archivos (RFI), e inyección SQL. Y aquí no solo hablamos de focos inteligentes; uno de los dispositivos afectados era una cerradura de puerta inteligente, que podía ser abierta de manera remota por Internet, sin siquiera conocer la contraseña”, explicaron.
3.- Ataques locales. Los atacantes que han accedido a una red doméstica, al irrumpir por ejemplo, en una red Wi-Fi con un cifrado débil, tienen otros vectores de ataque a su disposición: “Vimos dispositivos que transmiten localmente contraseñas en texto simple, o que no utilizan ninguna autenticación en absoluto. El uso de actualización de firmware sin validar, es también un rasgo común entre los dispositivos IoT. Este paso en falso de seguridad, le da a un agresor la capacidad para buscar en la red doméstica, contraseñas de dispositivos IoT. Estas credenciales robadas luego pueden utilizarse para ejecutar otros comandos e incluso, asumir el control del dispositivo al actualizarlo con una actualización de firmware maliciosa”.
