En 2014 el experto en seguridad de Kaspersky Lab, David Jacoby, observó lo que había en la sala de su casa y decidió investigar qué tan susceptibles podrían ser a un ataque cibernético los dispositivos que tenía; descubrió que casi todos eran vulnerables. Después de esto, en 2015, un equipo de expertos antimalware de Kaspersky Lab repitió el experimento con una pequeña diferencia; la investigación de David se concentró principalmente en servidores conectados a la red, routers y televisiones inteligentes, esta última investigación se enfocó en los distintos dispositivos conectados actualmente disponibles en el mercado para el hogar inteligente.
Los dispositivos elegidos para el experimento fueron los siguientes: un dispositivo USB para video de flujo continuo, una cámara IP controlada por teléfono inteligente, una cafetera controlada por teléfono inteligente y un sistema de seguridad doméstico controlado por teléfono inteligente. La investigación descubrió que casi todos estos dispositivos tenían vulnerabilidades.
Durante el experimento, un monitor de video para bebé le permitió a un hacker, al usar la misma red que el propietario de la cámara, conectarse a ella, ver el video desde el dispositivo e iniciar el audio en la misma cámara. Otras cámaras del mismo fabricante le permitieron a hackers obtener las contraseñas de los propietarios y el experimento mostró que también era posible que un hacker estando conectado a la misma red pudiera obtener la contraseña principal de la cámara y maliciosamente modificar el firmware de ésta.
En el caso de las cafeteras controladas por aplicaciones, no es necesario que un atacante se encuentre en la misma red de la víctima. La cafetera examinada durante el experimento enviaba suficiente información no cifrada para que un atacante pudiera descubrir la contraseña de toda la red de Wi-Fi del propietario de la cafetera.
Con respecto al sistema de seguridad doméstico controlado por teléfono inteligente, los investigadores de Kaspersky Lab encontraron que el software del sistema sólo tenía algunos problemas pequeños y que era suficientemente seguro para resistir un ataque cibernético. En cambio, se encontró una vulnerabilidad en uno de los sensores que utiliza el sistema.
El sensor de contacto, el cual está diseñado para encender la alarma cuando se abre una puerta o ventana, funciona al detectar un campo magnético emitido por un imán instalado en la puerta o en la ventana. Cuando se abre una puerta o ventana, el campo magnético desaparece, provocando que el sensor envíe un mensaje de alarma al sistema. Sin embargo, si el campo magnético permanece inalterable, no habrá ninguna señal de alarma.
Durante el experimento en este sistema de seguridad doméstico, los expertos de Kaspersky Lab pudieron utilizar un simple imán para reemplazar el campo magnético del imán en la ventana. Esto significó que pudieron abrir y cerrar una ventana sin encender la alarma. El gran problema con esta vulnerabilidad es que es imposible resolverla con una actualización de software; el problema reside en el diseño del sistema de seguridad doméstico en sí. Lo más preocupante es que los dispositivos que dependen de un sensor de campo magnético son un tipo común de sensores, los cuales se utilizan por muchos sistemas de seguridad domésticos disponibles en el mercado.
“Nuestro experimento, de manera alentadora, ha mostrado que los fabricantes están considerando la seguridad cibernética a medida que desarrollan sus dispositivos IoT. Sin embargo, es casi seguro que cualquier dispositivo conectado y controlado por una aplicación tiene por lo menos un problema de seguridad. Los delincuentes podrían aprovechar muchos de estos problemas en algún momento, por lo cual es muy importante que los fabricantes corrijan todos los problemas, incluso aquellos que no son críticos. Estas vulnerabilidades se deben corregir antes de que el producto salga al mercado, ya que sería mucho más difícil resolver un problema cuando el producto ya se vendió a miles de clientes”, dijo Victor Alyushin, Investigador de Seguridad de Kaspersky Lab.
Para ayudar a los usuarios a proteger sus vidas y la de sus seres queridos contra los riesgos de los dispositivos IoT domésticos vulnerables, los expertos de Kaspersky Lab aconsejan seguir algunas reglas muy simples:
- 1. Antes de comprar algún dispositivo IoT, busca en Internet información acerca de las vulnerabilidades de ese dispositivo. IoT es un tema candente y muchos investigadores están haciendo un gran trabajo detectando problemas de seguridad en productos de este tipo, desde monitores para bebés hasta rifles controlados por una aplicación. Es muy posible que el dispositivo que quieres comprar ya haya sido examinado por investigadores de seguridad y es posible averiguar si tales problemas se han corregido.
- 2. No siempre es una excelente idea comprar los productos más recientes que salen al mercado. Junto con los errores estándar de los productos nuevos, los dispositivos puestos a la venta recientemente podrían tener problemas de seguridad que todavía no han descubierto los investigadores de seguridad. Aquí el mejor consejo es comprar productos que hayan tenido varias actualizaciones de software.
- 3. Al elegir el aspecto de tu vida en donde utilizarás dispositivos inteligentes, considera los riesgos de seguridad. Si en tu hogar guardas muchos artículos de valor, probablemente sea buena idea escoger un sistema de alarma profesional, que pueda reemplazar o complementar el sistema existente de alarma doméstica que controlas en tu smartphone por medio de una aplicación, o configurar dicho sistema inteligente de tal manera que cualquier vulnerabilidad potencial no afecte su operación. Al elegir un dispositivo que almacene información acerca de tu vida personal y de tu familia, como un monitor para bebé, sería buena idea escoger el modelo RF más sencillo que exista en el mercado, aquel que sólo sea capaz de transmitir una señal de audio y que no se conecte a Internet. Si esto no es una opción, entonces sigue nuestro primer consejo: escoger sabiamente.