No es frecuente, ni probable, pero es posible que alguien, en alguna parte del mundo, decida ‘hackearnos’ el frigorífico, el robot aspirador o las luces de casa. No necesariamente para obtener dinero a cambio, sino como entrenamiento o diversión. Quizá lo haga simplemente para usar estos dispositivos como un ‘ejército zombi’ o BotNet para un ataque DDoS masivo. ¿Qué hacemos si notamos un comportamiento extraño de nuestros objetos?
¿Cómo de frecuente es que un objeto del IoT sea hackeado?
Rafa Rosell, director comercial de S2 Grupo, una de las principales compañías a nivel nacional especializadas en ciberseguridad, nos comenta por email que “los dispositivos IoT cuentan con pocos o ningún mecanismo de ciberseguridad” y “pocas o ninguna actualización del firmware”.
No solo son vulnerables en general, sino que su presencia en nuestros hogares también los hace sensibles al tener ojos y oídos a modo de cámaras y micrófonos. Coincide con esta evaluación Hervé Lambert, Global Consumer Operations Manager de Panda Security, la conocida marca de software de seguridad, que eleva la cifra de objetos ‘hackeados’ a “muchísimos millones de ellos”.
Hervé Lambert nos refiere al ataque DDoS a escala mundial mediante IoT que hubo en 2017. “La industria del hardware no se había preocupado especialmente por la ciberseguridad” y “gran parte de los dispositivos conectados al internet de las cosas que fueron fabricados antes de ese año ni siquiera tenían prevista la instalación de software de seguridad”. Esto es un problema porque, de hecho, aún hay fabricantes que no le dan importancia a estos temas.
Es importante destacar que “el grado de vulnerabilidad de estos gadgets difiere mucho, así como el grado de amenaza que puedan resultar para el usuario”, en palabras de Igor Beistegi, Project Manager R&D en SPC. Es decir, no es lo mismo colocar una cámara sin contraseña a través de la que cualquiera podría observar que un aspirador robótico blindado con una contraseña segura. Y no todos los fabricantes son iguales.
“Las primeras generaciones de dispositivos del internet de las cosas nacieron con el grave inconveniente de no disponer de este tipo de mecanismos de defensa”, sigue Beistegi, aunque ya hay muchos fabricantes que sí incorporan niveles avanzados de seguridad.
¿Cómo es posible que un objeto conectado sea pirateado?
“Hay fabricantes que utilizan los mismos datos de inicio de sesión estándar para todos sus dispositivos, en lugar de definir una contraseña diferente para cada uno u obligar a sus usuarios a elegir una contraseña única”, nos explica Beistegi, por lo que la forma más fácil de piratear un objeto del IoT sigue siendo el robo de contraseña que viene por defecto.
De ahí que, en el caso de los productos de SPC, el usuario se vea obligado a escribir una nueva contraseña segura antes de poder usar los objetos. A esto le suman varios sistemas de encriptación de información y la posibilidad de actualización remota del objeto, algo indispensable en cualquier dispositivo conectado a la red. Pero estos sistemas de seguridad no están tan extendidos en el mundo del IoT.
En muchos casos los delincuentes ni siquiera tienen que robar nada porque no hay contraseña. En palabras de Rosell: “No han sido diseñados como elementos que tengan que ser seguros”, y por ello no lo van a ser. De ahí que sea clave que los usuarios sepamos qué nivel de seguridad tienen nuestros dispositivos.
¿Qué hacemos si notamos un comportamiento extraño en nuestros objetos?
Una bombilla que parpadea, un frigorífico que pide comida, un robot aspirador que se enciende en mitad de la noche, una cámara que enciende su piloto sin que se lo hayamos ordenado, un termostato que cambia el clima de la casa de forma aleatoria. Podría tratarse de fallos de software y hardware, pero son casos reales de objetos del IoT hackeados. ¿Qué podemos hacer como usuarios?
Adquirir solo objetos con seguridad y actualizables
El primer paso para mejorar la seguridad de nuestros dispositivos es contar con aquellos que sean seguros por defecto. “Cada vez que compremos cualquier aparato con conexión a internet debemos comprobar si cuenta con la posibilidad de instalar parches de seguridad y actualizaciones”, nos recomienda Lambert.
Hay unanimidad. Los tres expertos consultados insisten en que, como compradores, hemos de demandar únicamente tecnología segura. Y si esta no lo es o no es capaz de transmitir qué tipo de seguridad utiliza, es aconsejable acudir a otra marca.
Configurar nuestra contraseña segura
Establecer una contraseña segura en los dispositivos del IoT, según Rosell, “llevará un poco más de dos minutos pero ahorrará muchos problemas en el futuro”. De hecho, los sistemas de SPC de los que Beistegi nos habla solo pueden ser usados tras haber configurado esa contraseña segura. Sin ella, los dispositivos serán más vulnerables.
Cambiar la contraseña del router
Todos los dispositivos del hogar se conectan eventualmente al router. Ya sea de forma directa o a través del móvil u otro objeto. Por ello, deberíamos cambiar las contraseñas del router cada cierto tiempo, especialmente si sospechamos de una vulnerabilidad.
Si además tenemos cierta soltura en el manejo de tecnología, Rosell aconseja “configurar el router para que solo ciertas direcciones MAC puedan acceder a él”. De esta forma, impedimos que otros dispositivos puedan conectarse a nuestra red doméstica.
Contratar servicios de protección IoT
Desde S2 Grupo, Rosell apunta a la herramienta Soffie, una inteligencia artificial que blinda el hogar a través de una capa de tecnología capaz de detectar ciertos patrones. En SPC también destacan su servicio técnico y la tecnología de Tuya sobre la que trabajan.
La protección de los objetos inteligentes es un mercado muy competitivo, y esto es una buena noticia para el usuario. Cuanto mayor sea el interés de estos servicios por el uso de tecnología segura, más protegidos estaremos.
Imágenes | iStock/MachineHeadz, iStock/RossHelen, BENCE BOROS
Por M. Martínez Euklidiadas
