Cómo el Internet de las cosas puede comprometer la seguridad de su hogar
Los dispositivos de Internet de las cosas (IoT), como las cámaras de timbre, son una forma popular para que las personas brinden seguridad física adicional a sus hogares. Sin embargo, como con cualquier tecnología nueva, existen ventajas y desventajas. En este caso, todos los dispositivos IoT útiles en su hogar crean nuevos vectores de amenazas para los ataques cibernéticos.
Según el director ejecutivo de RIoT, Tom Snyder, los ciberdelincuentes están utilizando dispositivos IoT para obtener acceso a redes domésticas a través de aplicaciones telefónicas e interfaces web mal diseñadas. Una vez dentro, pueden realizar ataques laterales en las redes domésticas y buscar información confidencial, como contraseñas de cuentas bancarias y otros datos personales en computadoras portátiles y teléfonos.
Si bien esto puede parecer un oxímoron, proteger su hogar no necesariamente lo hace más seguro.
«Los dispositivos IoT como cámaras de seguridad, enrutadores Wi-Fi, electrodomésticos de cocina inteligentes y asistentes de voz son objetivos fáciles para los ciberdelincuentes que buscan formas de acceder a los datos que recopilan y almacenan», dijo Martin Zizi, fundador y director ejecutivo. Erendil. «Debido a que estos dispositivos conectados tienen una seguridad incorporada muy limitada, es muy fácil para los ciberdelincuentes comprometer estos dispositivos… incluso se puede acceder de forma remota a los refrigeradores inteligentes y utilizarlos para llevar a cabo ataques de denegación de servicio distribuido (DDoS)».
Los datos confidenciales, como contraseñas, registros de salud y números de identificación personal, pueden manipularse una vez que los ciberdelincuentes encuentran una forma de ingresar, dijo Zizi. (Lea ¿Están protegidas las impresoras de su empresa contra los ciberdelincuentes?)
¿Por qué la seguridad de IoT es tan débil que los dispositivos inteligentes pueden ser puntos de entrada para los piratas informáticos?
“En primer lugar, todavía no existe una forma real de estandarización”, dice John Baekelmans, vicepresidente de IoT y Connected Health Solutions Group de imec y director gerente de imec en los Países Bajos. «Los dispositivos inteligentes hablan su propio ‘idioma’, lo que dificulta que las redes sepan en qué dispositivos confiar realmente».
«En segundo lugar, está el aspecto comercial: el costo de incorporar seguridad adicional en estos dispositivos básicos suele ser demasiado alto para fines comerciales», dijo Baekelman.
Snyder estuvo de acuerdo y dijo que la seguridad en los mercados emergentes siempre se queda atrás porque es un costo adicional que, inicialmente, el mercado no valía lo suficiente para cubrir. Como resultado, hoy en día se utilizan muchos sistemas mal diseñados.
«Los primeros autos no tenían cinturones de seguridad, bolsas de aire o frenos antibloqueo. Una vez que el mercado fue lo suficientemente grande como para que la gente quisiera seguridad adicional, se agregaron características de seguridad adicionales», explicó Synder.
Hasta que el mercado esté dispuesto a incurrir en el costo de la seguridad de los dispositivos IoT en el borde de la red, tener estos dispositivos en nuestros hogares es un arma de doble filo.
Mike Hibbett, Arquitecto de seguridad, Taoglas IoT Solutions, advierte: “Cualquier tecnología que traigamos a nuestra propiedad, especialmente la tecnología que conectamos a nuestra red WiFi doméstica, puede convertirse en un caballo de Troya altamente efectivo”.
Él lo compara con traer extraños a tu casa, cerrar la puerta con llave y luego pensar que estás a salvo.
«Los piratas informáticos pueden saber cuándo no estás en casa. Pueden apagar la alarma, abrir la puerta y entrar», dijo Marco Perry, fundador y director de Pensa.
No solo eso: pueden usar su termostato inteligente para apagar la calefacción y congelar sus tuberías, o encender su monitor de bebé e invadir su privacidad.
“Cuanto más te conectas a la red, más vulnerable eres”, dijo.
¿Todo esto suena como una profunda paranoia? Nos comunicamos con Ken Munro, investigador de seguridad y socio de la firma de piratería ética Pen Test Partners, para obtener más información. Aconseja pensar mucho antes de comprometerse a hacer que su hogar sea inteligente y nos da algunos ejemplos bastante aterradores.
Esto es lo que Munro tiene que decir sobre los sistemas de control inteligente del hogar, las cámaras, las cerraduras inteligentes, los timbres y los sistemas de alarma de seguridad:
Sistema de control central de casa inteligente
«Los sistemas de administración de hogares inteligentes que agregan productos inteligentes despertaron mi interés durante una evaluación de seguridad de un hogar inteligente de prueba de concepto en el Reino Unido. Notamos una referencia de objeto directo insegura en el parámetro de referencia de cuenta y, al modificarlo, pudimos acceder cuenta de usuario
Dado que reúne a casi todos los dispositivos inteligentes del hogar, podemos ceder en todo. Incluso los dispositivos que sabemos son seguros. Tenemos la capacidad de desbloquear cerraduras de puertas inteligentes, deshabilitar alarmas domésticas inteligentes, monitorear CCTV, escuchar micrófonos y más. «
cámara
«Las cámaras IP CCTV, las cámaras web y los DVR son extremadamente fáciles de tomar, gracias al hecho de que muchos dispositivos usan credenciales predeterminadas y tienen interfaces web expuestas a Internet, lo que permite la toma remota de estos dispositivos sin que los atacantes lo encuentren.
La transmisión en vivo de su cámara web o cámara de CCTV se puede transmitir al servidor del atacante, lo que le brinda una ventana a la vida cotidiana del usuario. Encontramos algunos que incluso estaban conectados a alarmas antirrobo; información que podría usarse para planear un robo.
Con estas cámaras, la pregunta será cada vez más quién está mirando a quién.
En un momento, mostramos cómo transferir la transmisión de la cámara web de un colega a un servidor en China. Por otro lado, comprometimos las cámaras de seguridad de las marcas Swann y FLIR-FX/Lorex debido a la forma en que el proveedor de la nube OzVision autenticó el acceso.
El equipo pudo cambiar las transmisiones de video de una cámara a otra a través de un servicio en la nube, lo que podría proporcionar acceso a la cámara de cualquier persona. Cada cámara se comunica con un servicio en la nube proporcionado por OzVision mediante un número de serie codificado.
Reemplazarlo permitiría a los investigadores ver las cámaras de los demás y enumerar los números de serie de cada cámara Swann en tres días. Si bien Swann resolvió este problema, otras cámaras siguen siendo vulnerables. OzVision, que admite 3 millones de cámaras, fue muy criticado porque sabía del problema hace nueve meses. «
cerradura inteligente
«Tapplock afirma ser irrompible. No lo es. Pudimos capturar su flujo de datos sin cifrar a través de Bluetooth Low Energy (BLE), identificar la dirección MAC de BLE y usarla para desbloquearla. Esto significa que un atacante puede buscar Tapplocks en Internet , Caminar hacia ellos y desbloquearlos en dos segundos usando solo su teléfono lo hace menos seguro que un candado estándar».
timbre de la puerta
«Expusimos un problema con el timbre Ring de primera generación y demostramos que era posible conectarse al dispositivo para mostrar la clave WiFi en texto claro. Esto permitiría a los piratas informáticos obtener acceso a la red del usuario. Resolvió este problema».
Sistema de alarma inteligente
«Los sistemas de alarma inteligentes pueden usar señales continuas para bloquear la alarma, haciéndola inútil. Otro vector de ataque es capturar y reproducir las señales enviadas hacia y desde la alarma mientras se comunica con otros sistemas en la red.
Por ejemplo, la señal de desactivación del llavero del usuario puede capturarse y grabarse, lo que permite que un atacante regrese a la escena y desactive su alarma a su conveniencia. Alternativamente, un atacante podría optar por reproducir una versión corrupta de la señal, lo que podría provocar que la alerta se bloquee por completo.
Todo lo que necesitan es una radio definida por software (SDR) de aproximadamente $ 300 y una computadora portátil, un precio que vale la pena pagar por la mayoría de los ladrones, en relación con el valor de varias casas. Ambos ataques requieren proximidad local, pero también es posible comprometer de forma remota las alarmas habilitadas para IP. «
La empresa de Munro se puso en contacto con un proveedor y le informó sobre un problema de falsificación entre sitios. La respuesta del proveedor fue que el dispositivo ya no es compatible, por lo que no lo arreglarán.
Entonces, ¿qué pueden hacer los consumidores para mantener seguros sus sistemas y dispositivos IoT? Hibbett recomienda comprar equipos solo de fabricantes de renombre y desechar los equipos cuando la empresa deja de respaldarlos.
Además, Zizi recomienda utilizar la autenticación biométrica en el dispositivo. «A diferencia de su contraseña predeterminada, los sistemas de autenticación biométrica en el dispositivo ofrecen la solución de privacidad más segura para los dispositivos IoT porque son casi imposibles de descifrar o falsificar», dijo.
En última instancia, esto requerirá que todos trabajen juntos. «Los fabricantes de dispositivos, los proveedores de IoT y los consumidores deben asegurarse de que toda esta tecnología increíble no amenace la seguridad del usuario», dijo Chris Romeika, director de operaciones de Pangea.
“Se deben aplicar estándares como el Estándar de cifrado de datos (DES), el Estándar de cifrado avanzado (AES) y el cifrado RSA (Rivest-Shamir-Adleman); el software debe mantenerse actualizado”, dijo. (Lea también: Cómo IoT puede hacer que su hogar sea más seguro).