TECNOSeguro

El Portal Especializado en Seguridad Electrónica

Viernes, 19 Octubre 2018

El lado oscuro del Internet de las Cosas (IoT)

Escrito por 

Hace apenas unos 5 años escuchábamos hablar de Internet of Things como un futuro prometedor de objetos conectados con objetos a través de redes inalámbricas para hacer más confortable la vida de los humanos, especialmente dentro de sus hogares.

El lado oscuro del Internet de las Cosas (IoT)

Hoy la domótica, una tecnología que irrumpe con toda la fuerza de los adelantos que tienen potencial para ser masivos, es una realidad en rápido aumento.

De acuerdo con un reporte de McKinsey, durante 2017 en Estados Unidos 29 millones de hogares tenían instalados dispositivos inteligentes de distinta clase en sus casas: para controlar la calefacción, las luces, la iluminación, regular el volumen del sistema de sonido, subir y bajar las persianas, interactuar remotamente con el timbre de la entrada a través de cámaras y alarmas, etc. En el mismo informe se plantea que el crecimiento de la tendencia es del 31% al año.

Adicionalmente, las grandes compañías, tanto del área de seguridad electrónica como de retail (Amazon, por ejemplo) conscientes del enorme potencial de este segmento del mercado, invierten grandes cantidades de recursos en I+D y en cuantiosas compras de empresas dedicadas a hacer desarrollos para domótica.

Buenos ejemplos de ello son el Echo Speaker y el Alexa Smart Assistant de Amazon, así como Ring, la startup que fue comprada por la compañía para ser integrada a su poderoso sistema de despachos.

Es también notable el auge de los sistemas de intrusión para los hogares que los usuarios pueden controlar desde sus móviles.

Un asunto del que no nos hablan mucho las grandes compañías, pero que reputados medios informativos han empezado a exponer, es el lado oscuro de esta tendencia: las puertas traseras que permiten la entrada de hackers, el desconocimiento que tienen los usuarios finales acerca de los procedimientos de instalación y de funcionamiento de sus dispositivos, así como de los protocolos de seguridad que usan.

En suma, se trata de la caja negra que hay entre la tecnología y sus usuarios.

Estos problemas han resultado el caldo de cultivo perfecto para una nueva tendencia criminal puesta en marcha a través de estos sistemas: generar pánico, desplegar acciones de poder y control sobre las  víctimas y espiarlas. Más alarmante aún es saber que la mayor cantidad de víctimas de estos delitos son mujeres.

Algunos de los abusos cometidos, reportados por un extenso artículo publicado en New York Times, titulado Thermostats, Locks and Lights: Digital Tools of Domestic Abuse son:

  • Hackear los termostatos inteligentes para subir la temperatura hasta los 100ºF (37.7 ºC).
  • Subir a todo volumen la música de parlantes inteligentes.
  • Apagar o encender las luces de forma remota a horas inusuales.
  • Vulnerar cámaras de sistemas de intrusión o de domótica para espiar a sus víctimas.

La ciberseguridad, un problema crítico

Uno de los aspectos más paradójicos actualmente en el área de ciberseguridad es que muchos sistemas de intrusión, que por su misma naturaleza usan cámaras, y que han sido desarrollados para (en teoría) mejorar las condiciones de seguridad de hogares, oficinas y comercios, pueden ser fácilmente vulnerados, favoreciendo la aparición de nuevas modalidades criminales y creando un nuevo problema, tanto para los usuarios finales como para los fabricantes que pueden verse afectados por bloqueos comerciales debidos a protocolos de seguridad inoperantes.

De acuerdo con algunos expertos de la industria, la cruda realidad es que es relativamente fácil romper la seguridad de cámaras conectadas a Internet y que existen una gran variedad de formas para lograrlo. Además, las amenazas pueden ser muy similares tanto para los grandes fabricantes como para los más pequeños.

En algunos casos los hackers escanean protocolos y puertos conocidos de cámaras para acceder a las páginas de administración. Si no tienen éxito, pueden usar escaneos más sofisticados que imitarán el comportamiento de un usuario autorizado.

Cuando se trata de pequeños fabricantes, especialmente aquellos que se dirigen a los consumidores finales directamente, los problemas son muy básicos, como por ejemplo no aplicar un cambio de contraseña predeterminada, no proteger el proceso de arranque o no cifrar la comunicación.

Muchas veces los atacantes ni siquiera tienen que usar vulnerabilidades de software para atacar cámaras de vigilancia, sino que muchos defectos de diseño les permiten tener acceso a los dispositivos. Algunos ataques se aprovechan de la ausencia de alguna aplicación de cambios de contraseña o del hecho de que la comunicación segura del dispositivo no se implementa correctamente.

Cuando se trata de fabricantes más grandes el problema radica más en la implementación que en el uso de elementos esenciales. En este nivel, los componentes críticos del sistema están disponibles, pero se implementan mal o a medias.

En casos más sofisticados, el malware usa vulnerabilidades en el código incorrecto de la cámara para cargar software y atacar otros objetivos en Internet.

¿Cuándo entrará la ciberseguridad en la agenda de las grandes compañías de seguridad electrónica? Sin duda falta mucho camino por recorrer en este importante tema dentro de la industria, la adopción de la ciberseguridad ha sido un proceso lento, pero cada vez se unen más compañías a este movimiento, algunas ya tienen clara la relevancia de este tema y sugieren algunos consejos para la implementación de la ciberseguridad.

Sesión