IoT, riesgo para la información personal
Un simple foco o bombilla inteligente es capaz de evidenciar la vulnerabilidad que poseen los hogares donde se usan enseres basados en IoT, asegura S21sec. A través de la simulación de una casa que cuenta con este tipo de dispositivos tan de moda en la actualidad, Raúl Valencia, Audit Consultant de la firma, no solo pudo “hackear” y manipular las funciones del smart bulb, sino que además logró bloquearlo para que ya no pudiera ser controlado desde la aplicación que su usuario original tiene descargada en su smartphone.
Y para ello tan solo requirió una computadora personal, un pequeño dispositivo receptor de Bluetooth (como los que se usan para conectar un mouse o teclado inalámbrico a una laptop) y una conexión a Internet para acceder a Google.
“La mayoría de las personas adquieren este tipo de bombillas para encender las luces de sus hogares a distancia y aparentar que se encuentran en casa como una medida de protección”, comenta Raúl Valencia, “pero lo cierto es que puede resultar contraproducente y abrir una brecha de seguridad informática que los cibercriminales son capaces de aprovechar”.
Tras escanear brevemente con su computadora personal la comunicación Bluetooth Low Energy o BLE emitida por el foco, en menos de cinco minutos Valencia encontró el código de la bombilla y sus funciones (como encendido/apagado, mostrar diferentes tonalidades o cambiar de color de acuerdo con el ritmo de la música), pudo traducirlos a lenguaje “humano” través de una simple convertidor de códigos hexadecimales a ASCII que encontró en línea a través de Google, e incluso obtuvo el nombre del fabricante.
BLE es una tecnología abierta de comunicación inalámbrica muy similar al Bluetooth original, la cual es usada por la mayoría de dispositivos IoT para permanecer siempre encendidos, debido a que está diseñada para funcionar con poca energía.
Simulando ser un hacker malicioso, Raúl Valencia fue capaz de modficar los valores hexadecimales del foco para controlar sus funciones sin la necesidad de usar la app oficial. Incluso logró cambiar el nombre del fabricante, generando con ello una denegación de servicio y dejándolo inservible de momento.
“Hacer que un foco deje de funcionar puede parecer una simple broma”, asevera Valencia, “pero la tendencia es que cada vez más y más dispositivos están conectados a través de IoT, no solo aparatos domésticos, sino herramientas médicas: tenemos conocimiento de que hace seis meses un malware infectó una máquina de resonancia magnética para simular que los pacientes tenían cáncer. Sin importar el nivel, se trata de una situación que afecta directamente a las personas”.
Lo alarmante de este simple ejercicio es que, si se puede hacer con una simple bombilla, también es posible que ocurra con prácticamente cualquier dispositivo conectado a IoT que utilice protocolos de comunicación inalámbrica BLE o Zigbee, como televisiones, asistentes de voz, refrigeradores, automóviles… e incluso cerraduras inteligentes (smart door locks).
Para este consultor de S21sec, uno de los principales problemas radica en la velocidad con la que estos aparatos salen al mercado, pues los fabricantes, con el fin de no perder competitividad, suelen poner sus ofertas a disposición del público sin darle demasiada importancia al aspecto de la seguridad de la información.
“En estos casos, el flujo de transferencia de datos más seguro es el Out-of-band, basado en tecnología NFC (Near Field Communication) que funciona por la cercanía de los dispositivos, como ocurre con ciertos audífonos modernos”, comenta Valencia. “Sin embargo, muchos fabricantes no suelen usarlo debido a que requiere la implementación de chips de radiofrecuencia y su costo es muy elevado”, puntualiza.
No hay que olvidar el nivel de invasión a nuestra privacidad que puede darse a través de IoT: “Algunas televisiones inteligentes cuentan con cámara, y mediante este proceso personas ajenas pueden sortear los niveles de seguridad del aparato y ver lo que ocurre en nuestros propios hogares”, expone, “sin olvidar que algunas marcas de smart bulbs poseen un micrófono integrado para hacer juegos de luces de acuerdo con la música que se escucha en una habitación, y ese micrófono puede ser utilizado para escuchar nuestras conversaciones más íntimas”.
Recomendaciones de S21sec para evitar el hackeo a través de IoT
- Optar por la compra de dispositivos IoT basados en tecnología Out-of-band/NFC
- Dividir las redes domésticas: un módem “hackeado” es un IoT vulnerable; si tu hogar cuenta con muchos dispositivos IoT, se recomienda añadir un módem específico para ellos y protegerlo con un firewall.
- Elegir, en la medida de lo posible, artículos IoT que ofrezcan listas de control de acceso para que solo reconozcan la señal de dispositivos familiares.
- Desconectar los aparatos IoT cuando no se usen (aunque eso reduzca su principal ventaja: la de ser utilizados a distancia en cualquier momento).
- Cambiar las contraseñas de fábrica que se incluyen en los aparatos IoT recién adquiridos y protegerlos con passwords complicados, alternando números y letras.
- En el caso de las cerraduras inteligentes, elegir las que funcionan con tarjetas de proximidad y resguardarlas en carteras anticlonación, mejor conocidas como NFC SHIELD.