Imagina una escena en la que entras a casa y el sistema domótico está fuera de control. La temperatura baja hasta el punto en el que tienes que ponerte un abrigo en tu propio salón, y la alarma comienza a sonar a todo volumen hasta que la única solución es salir de tu casa y llamar a la policía. Esta es una escena de ciencia ficción, sí, de hecho forma parte de la serie de televisión Mister Robot. Sin embargo, de ficción ya tiene más bien poco, porque los avances en domótica e Internet de las Cosas (IoT)  están tan poco ligados a sus progresos en ciberseguridad, que convierten a los dispositivos inteligentes en bombas de relojería. No solo para nuestros datos, sino también incluso para nuestra integridad física.

“El Internet de las Cosas se ha introducido en nuestra casa poco a poco y ya no podemos vivir sin él”. Así lo explica  Josep Albors, responsable de investigación y concienciación de ESET en España, quien también apunta en realidad que no es algo nuevo realmente, ya que en los años 70 ya había dispositivos que permitían usar ciertos aspectos domóticos como el control de las luces.

Para el experto, uno de los problemas de seguridad radica en que los usuarios no saben que en sus casas hay dispositivos IoT, ni cuántos tienen. Por ejemplo, el router. “El 40,5% de los usuarios no sabe que su router es un dispositivo IoT”, se lamenta Albors, recalcando que se trata de un equipo vital, ya que es la conexión al exterior. “No se le presta la atención que se merece: es la puerta de salida y de entrada a internet de un hogar. Y la mayoría de las veces no está lo debidamente protegido”, advierte el experto.

Este hecho quedó patente hace unas semanas, con el caso VPNFilter, que por cierto no ha terminado, más bien no ha hecho más que empezar, con 700.000 dispositivos infectados encontrados, y subiendo.

“Los especialistas estamos cansados de decir cómo configurar el router de manera adecuada, y después pasan cosas que se podrían haber evitado”. Albors pone como ejemplo la botnet Mirai compuesta por dispositivos IoT infectados que en 2016 impidió el acceso a servicios de internet a millones de usuarios.

“No se aplican las medidas adecuadas por desconocimiento o porque no se puede”

Los routers son la puerta de entrada al hogar, pero los dispositivos domóticos conectados y de IoT se empezarán a contar por decenas en cualquier casa en tan solo unos años. “Este tipo de ataques se están incrementando porque también aumenta el número de dispositivos de Internet de las Cosas. Los ciberdelincuentes no dejan de buscar este tipo de equipos vulnerables en internet”, afirma Albors. Y el caso es que encontrarlos no resulta nada difícil. Pero, ¿por qué el usuario no está aplicando medidas? “Hay dos motivos: porque el usuario no sabe o porque el propio fabricante no se lo permite”.

Josep Albors, responsable de investigación y concienciación de ESET España

Los peligros de los diferentes objetos conectados a internet

  • Cafeteras conectadas

Tener nuestro café preferido listo a la hora que programemos es uno de los beneficios de estos electrodomésticos que ya están presentes en muchas cocinas. Los usuarios pueden llegar a ver este tipo de dispositivos como inocentes o inofensivos. ¿Para qué va a querer atacar alguien mi cafetera? Aquí está precisamente el peligro. “Hace 10 años ya me sorprendió una noticia en la que una cafetera conectada comprometió una red empresarial”, explica el responsable de concienciación de ESET.

Y es que esas cafeteras están conectadas a nuestra red interna y a nuestro móvil, teniendo acceso para poder controlar o acceder a la red wifi sin conocer la contraseña.

  • Neveras inteligentes

Las neveras conectadas a internet pueden llegar a analizar los productos que se están acabando para hacer una lista automática de la compra que llegará sin que tengamos que hacer nada. Este tipo de dispositivos están tardando en llegar a España, pero en otros países comienza a ser habitual. Pero como todo objeto conectado, puede ser vulnerable. “Si esas conexiones se hacen con un usuario y contraseña que es nuestra dirección de correo electrónico privada, podemos tener un problema”, explica Albors, recordando un caso mostrado en el congreso DEFCON, en el que investigadores de seguridad demostraron que se podía acceder a una cuenta de e-mail que estaba conectada con la nevera.

  • Smart TV

Si giras uno de estos televisores en formato vertical, se parecen más a un smartphone que a un televisor”, señala Albors. Y es que realmente son ordenadores, con su propio sistema operativo y programas instalados, con el riesgo adicional de que puede estar escuchando constantemente. Ya se han dado casos de Smart TV que mantienen abierto el micrófono para escuchar las indicaciones de sus usuarios para, por ejemplo, cambiar de canal con su sistema de indicaciones por voz. Sin embargo, están escuchando de forma permanente, también las conversaciones privadas que se tengan frente a ella.

También se han dado situaciones de Smart TV afectados por el caso del falso soporte técnico, similar al ransomware, en el que un ciberdelincuente que ha conseguido acceder al sistema del televisor solicita dinero para devolver el servicio del aparato.

Pero no son los únicos ejemplos. “La minería de criptomonedas está aumentando en todos los dispositivos, el problema es que incluso cuando están apagados, funcionan a pleno rendimiento para seguir minando”, advierte el experto. El resultado es que en pocas semanas tu televisor tendría que ir al servicio técnico (el de verdad) o directamente al contenedor. “El problema de seguridad deja de ser solamente una molestia para convertirse en un problema físico”.

El denominado “Smart Home”, está compuesto por elementos domóticos y de IoT
  • Cámaras IP

No son dispositivos nuevos. Cámaras que permiten vigilar domicilios o negocios y a las que podemos acceder de forma remota y ver en directo su emisión. El riesgo es que los fabricantes van a lo barato, porque saben que muchos de sus usuarios irán a los aparatos más económicos, aunque estos no proporcionen seguridad para su dueño.

Los usuarios eligen los dispositivos primando las funcionalidades y los precios”, lamenta Albors, quien advierte de los riesgos de que esa señal sea interceptada por una carente ciberseguridad de los sistemas de videovigilancia, a los que se podría acceder desde cualquier parte del mundo, ya que están conectados a internet.

  • Juguetes conectados

“Si un juguete tiene un sistema operativo dentro, hay que plantearse por qué y para qué”, se pregunta el experto, que recuerda el caso de una popular muñeca que incluía un sistema de asistente virtual con el que el niño podía mantener conversaciones. También podía conectarse a la wifi y no contaba con seguridad, con el peligro de que un ciberdelincuente podría acceder y controlar ese sistema de forma remota y lograr hablar con el niño que está jugando.

  • Cerraduras IoT

Estos cerrojos conectados a nuestro smartphone permiten abrir o cerrar la puerta de nuestra casa de forma remota. “Están bien pensadas: pero está mal diseñadas”, advierte Albors, explicando que un atacante podría conectarse a través de Bluetooth y darse permisos de superusuario para abrirlo desde el móvil o desde el smartwatch

Si inviertan lo mismo en ofrecer características de seguridad tanto como funcionalidad, nos beneficiaríamos todos”, apunta el experto.

  • Vehículos conectados

En unos años, no podremos comprar un coche nuevo que no esté conectado. Pero la mayoría de los coches inteligentes, no han sido diseñados pensando en la seguridad. Ya se han realizado pruebas que han sido mostradas en congresos de hacking en los que los sistemas de estos vehículos no salen bien parados. “La batalla entre hackers y coches conectados… las ganan los hackers”, afirma Albors.

Pero esto no es una novedad, es un hecho que ya se conoce, y cuyos riesgos pueden ser enormes. Un caso de ransomware en el sistema operativo del coche que mantenga cautivos a los pasajeros o el control remoto de los controles del vehículo son solo dos ejemplos de lo que se podría llegar a hacer. “Hay que replantearse si es necesario hacer leyes para que esto sea seguro.  Porque si hasta que no pasen casos realmente importantes no nos ponemos en acción, tendremos que lamentar, y será mucho más difícil ponerle solución cuando ya estèn todos esos coches en el mercado”.

  • Smart Health

Los dispositivos médicos que se conectan a la red para ofrecer actualizaciones en tiempo real o calibrar la dosis de medicamento precisa son extremadamente beneficiosos para los pacientes que disfrutan de esta tecnología. Y no es por ponernos redundantes, pero el problema es que, de nuevo, no se han diseñado pensando en su seguridad. En este caso, pueden estar en peligro las vidas de las personas directamente.

“Estos dispositivos funcionan de forma autónoma para mejorar nuestra salud, como marcapasos o bombas de insulina. Pero si alguien accede o interfiere la comunicación de ese objeto y modifica esos parámetros… ya estaríamos hablando de atentados contra la salud”.

  • Otros dispositivos

Dispositivos de Amazon para pedir productos con solo tocarlos, bombillas inteligentes, drones, e incluso armamento conectado a internet. Los objetos IoT tienen como límite la imaginación, porque cualquier cosa puede ser conectada a internet.

El denominador común de todos ellos es una placa con un firmware y un sistema operativo. En definitiva: que pueden ser explotados por los ciberdelincuentes.

Que alguien lo pase bien cambiando la iluminación de nuestra casa no parece extremadamente dañino, pero en el caso, por ejemplo, de rifles con wifi (sí, existen), pueden llegar a interceptar la conexión para cambiar el objetivo del tiro. De hecho, ya se ha demostrado que es posible.

¿Hay solución?

En el caso de los aparatos que ya están en el mercado y no cuentan con medidas de seguridad (ni posibilidad de poder añadirlas), poco o nada se puede hacer. Simplemente, valorar si su uso compensa el posible riesgo de privacidad o ciberseguridad que puede llegar a conllevar.

Hay dos soluciones: las inviables y las viables. Las inviables son volver a usar tecnología del pasado y hacer como que aquí no pasa nada”, apunta Albors. La viables, señala, son actualizarnos (tanto a nosotros mismos como a los dispositivos), reclamar a los fabricantes que añadan las funcionalidades de seguridad, y promover una legislación más dura.

“En Europa se está empezando a implementar, pero queda mucho por hacer. Para que exista la seguridad desde la base y que se piense en la seguridad, que haya unos mínimos. Hay que entender que lo importante no es pensar en vender el mayor número de unidades”, apunta el experto, ya que está en juego la integridad de las personas que los usan.

Deja un comentario