Llegas a tu casa tras una larga jornada de trabajo. Enciendes las luces con tu smartphone y ajustas su luminosidad. Seguidamente utilizas el móvil para bajar las persianas y comprobar que todas las puertas de la casa permanecen cerradas. Te acercas a la nevera y retiras una cerveza. La nevera detecta que tiene que hacer un pedido de cervezas al supermercado junto con otros alimentos, autorizas el pedido. Te sientas en el salón y enciendes el televisor. Te conectas a tu servicio de televisión online y disfrutas de tu programa favorito. Mientras, revisas con tu tablet las diferentes cámaras que tienes distribuidas por la casa (garaje, jardín, cuarto de los niños…). Cuando finalizas de echar un vistazo y ves todo en orden, recuerdas que dentro de una hora tienes que salir a correr un poco… revisas en tu smart-watch tus últimos logros, tu actividad y estado físico. Está todo en orden, te sientes cómodo y seguro… sigues viendo la tele disfrutando de tu cerveza.

Quizás no te sientas completamente identificado con el párrafo anterior, pero sabes que forma parte de un futuro no muy lejano y tienes algunos hábitos que si se corresponden con este modelo de vida interconectado. Si piensas que es seguro confiar tu seguridad al llamado “Internet de las cosas», quizás deberías cambiar tus hábitos o tomar precauciones. ¿La razón? Que esta clase de aparatos presentan no pocas vulnerabilidades.

El llamado Internet de las Cosas ha llegado para quedarse. Poco a poco estamos observando como todos nuestros electrodomésticos comienzan a estar virtualmente unidos. Televisiones, relojes, alarmas, coches y hasta los frigoríficos se conectan a la red y sabrán casi todo de ti para hacerte la vida más fácil.

Las ventajas son innumerables y poco a poco esta situación se va haciendo más común en nuestras vidas, pero pese a todas las ventajas que traerán para los usuarios, fabricantes y operadoras, hay otro colectivo que puede beneficiarse de la información que transmitimos: los ciberdelincuentes. Si Internet deja de estar solo en tu ordenador o en tu móvil, y hasta tu nevera sabe qué tienes que comprar o tu marcapasos informa a tu hospital de cómo late tu corazón, a los ciberatacantes se les abre un nuevo mundo de posibilidades.

Esta realidad se ha vuelto a evidenciar con Shodan, un motor de búsquedas capaz de identificar, prácticamente, toda clase de dispositivos “poco confiables”.

El filtro de Shodan… «El Google de los hackers»

De esta manera, Ars Technica ha encontrado que el buscador integra un filtro (port:554 has_screenshot:true) que permite acceder a las imágenes de aquellas cámaras vulnerables que usen el protocolo RTSP (Real Time Streaming Protocol); algo que hace posible que curiosos y malintencionados tengan la opción de observar las casas particulares de la gente, espacios residenciales, garajes, y hasta a los bebés monitorizados con intercomunicadores y similares.

Para poder hacerlo, basta con registrarse en la página web e introducir el citado texto en el recuadro correspondiente. Momento a partir del cual –y sin necesidad de poseer ningún tipo de conocimiento técnico- se mostrará ante nosotros una página repleta de “material” desde tipo, así como su procedencia, localización, fecha y hora de la captura, servidor y demás; algo que, sin duda, pone los pelos de punta.

Shodan es conocida popularmente como el “Google de los hackers” e incluso definida por su creador –John Matherly- como “el buscador más aterrador del mundo”. El motivo es que recaba todas las direcciones HTTP conectadas a Internet y localiza cualquier aparato que sea visible, desde wearables, hasta lavadoras inteligentes y webcams.

Eso quiere decir que, cualquiera con los conocimientos adecuados y peores intenciones, podría tener acceso a estos dispositivos para hacer “lo que le viniese en gana”, especialmente si estos conservan la contraseña predeterminada. Algo similar a lo que hace Censys, entre otras (o sea, no es única en su especie).

Por otra parte y respecto a la vulnerabilidad de las webcams, tampoco es un asunto nuevo. De hecho, recientemente te hablamos de @FFD8FFDB, un bot que podría estar espiándote y que forma parte de un proyecto diseñado por el desarrollador Dereck Arnold, y que pone de manifiesto lo fácil que resulta rebasar nuestra privacidad en la red.

¿En que pueden consistir los ataques?

Cualquiera con los conocimientos adecuados y peores intenciones podría tener acceso a estos dispositivos para hacer “lo que le viniese en gana”

Cuando el asunto incluye menores, la cuestión se torna más peliaguda. Algo que, por desgracia, nos hace recordar casos como el de la muñeca My Friend Cayla y juguetes potencialmente peligrosos como la Hello Barbie; por no hablar de la nueva política de espionaje que pretende implementar el Reino Unido. El pasado septiembre, además, la empresa Rapid7 publicó otro informe en el que demostraba que los monitores de bebe siguen siendo vulnerables a los ataques de los hackers.

Los ataques podrían tener varios objetivos: por un lado, el robar información concreta de un usuario y, por otro, perjudicar a los propios fabricantes de dispositivos. De igual forma, una agencia de inteligencia podría estar interesada en espiar determinada información. Según los expertos, hay varios ataques que se podrían volver comunes:

– La denegación del servicio. La paralización de un servicio se agrava si todos los dispositivos están conectados.
– Los ataques de malware. Mediante un código malicioso, se podrían infectar cientos de ordenadores para controlar una red de dispositivos inteligentes o poner en peligro su software.
– Violaciones de datos. Espiar las comunicaciones y recopilar información sobre estos dispositivos (que además pueden almacenar información en la nube) se convertirá en otro de los ataques más frecuentes, comprometiendo nuestra privacidad. Tanto las agencias de inteligencia como las empresas privadas con fines comerciales podrían tener interés en conseguir toda la información de un usuario concreto.
– Infracciones inadvertidas. Nuestra información confidencial no solo puede sufrir ataques específicos, sino que también puede perderse o verse expuesta accidentalmente si los dispositivos no protegen debidamente la privacidad.
– Los ataques a la seguridad de nuestro propio hogar. La mayoría de fabricantes de estos dispositivos no han tenido en cuenta que la seguridad era necesaria y muchos carecen de mecanismos para proteger la información debidamente. Por ejemplo, un atacante podría espiar la información de nuestro contador inteligente.

Son muchos los beneficios que puede traernos el Internet de las Cosas, ahora solo falta que sea completamente segura para los usuarios.

Soluciones?

Muchos dispositivos inteligentes, como las televisiones, se conectan por WiFi, por lo que lo sus fabricantes tienen que tener en cuenta la adopción de algoritmos de cifrado fuertes. Por otra parte, hay que tener especial cuidado con el software y el firmaware de estos dispositivos: tienen que poder actualizarse y al mismo tiempo cada una de las actualizaciones tiene que dotarse de mecanismos de seguridad.

Los fabricantes tienen deben tener un especial esfuerzo en la importancia de la seguridad de sus dispositivos. Como mínimo estamos hablando hoy en día de estas tres simples premisas:

– implementar la seguridad desde el diseño del dispositivo mediante test de privacidad y un cifrado seguro.
– hacer que el dispositivo almacene solo la información necesaria.
– ser completamente transparentes con los consumidores para que sepan exactamente qué datos se van a utilizar y transmitir.

Atentos a los que nos depara el futuro del Internet de las cosas y su seguridad!!