Los peligros de una casa inteligente sin seguridad ante futuros ciberataques

04/07/2019 / Autor: Raquel Lop

Los investigadores de Kaspersky han identificado varias vulnerabilidades críticas en un dispositivo de control para el ecosistema de casas inteligentes. Estas incluyen errores en la infraestructura de la nube y la posible ejecución a distancia de código que permitiría a terceros obtener acceso de ‘superusuario’ al controlador, así como manipular el lugar de la forma que prefieran.

Han transcurrido varios años desde que se investigó por primera vez la seguridad del Internet de las cosas (IoT) y, a medida que su uso continúa expandiéndose y evolucionando, la importancia de dicha investigación permanece: con nuevos productos y soluciones surgen nuevos vectores de amenazas que ponen en peligro la seguridad de los usuarios.

Un empleado de Kaspersky, empresa de ciberseguridad, desafió a los investigadores de la compañía a examinar el sistema inteligente de su hogar, concediéndoles acceso al controlador de su casa inteligente. Se escogió el controlador porque conecta y supervisa las operaciones generales del lugar conectado y al comprometerlo permitiría al ciberatacante penetrar en todo el ecosistema de la casa para realizar cualquier cosa. Desde espionaje y robo, hasta sabotaje físico.

La etapa inicial de la investigación, que consistió en recopilar inteligencia, llevó a los expertos a identificar varios posibles vectores de ataque: a través del protocolo de comunicaciones inalámbricas Z-Wave, ampliamente utilizado para la automatización del hogar; por medio de la interfaz web del panel de administración y por la infraestructura de la nube. Este último resultó el más eficaz: un examen de los métodos utilizados para procesar las solicitudes del dispositivo reveló una vulnerabilidad en el proceso de autorización y la posibilidad de ejecución del código a distancia.

Combinados, permitirían que terceros obtengan acceso a todas las copias de seguridad que se han subido a la nube desde todos los dispositivos de control o home centers de Fibaro, y subir copias de seguridad infectadas a la nube y luego bajarlas a un controlador en particular, a pesar de no tener derechos en el sistema.

Experimento con ataque de prueba

Para completar el experimento, los expertos de Kaspersky implementaron un ataque de prueba en el controlador.

Para ello, prepararon una copia de seguridad específica con una secuencia de órdenes desarrollada por separado, protegida con una contraseña. Luego enviaron un correo electrónico y un SMS al propietario del dispositivo a través de la nube, en los que le instaban a actualizar el firmware del controlador. Como le fue solicitado, la ‘víctima’ aceptó y bajó la copia de seguridad infectada. Esto permitió a los investigadores obtener derechos de superusuario en el controlador de la casa inteligente, y así manipular el ecosistema conectado.

Para demostrar el éxito de su intrusión en el sistema, los investigadores cambiaron la melodía en el reloj despertador; al día siguiente, el empleado de Kaspersky se despertó con música con bajo y batería a volumen alto.

«A diferencia de nosotros, es poco probable que un verdadero atacante con acceso al dispositivo de control se limite a una broma con el reloj despertador. Una de las tareas principales del dispositivo que estudiamos es la integración de todas las ‘cosas inteligentes’ de manera que el propietario de la casa pueda gestionarlas desde un solo home center”, comentó Pavel Cheremushkin, investigador de seguridad de Kaspersky ICS CERT.

Además, añadió que: “Un detalle importante es que nuestra evaluación se enfocó en un sistema de implementación activa; anteriormente, la mayor parte de la investigación se llevó a cabo en condiciones de laboratorio. La investigación ha demostrado que, a pesar de un creciente interés por la seguridad del IoT, todavía hay problemas por resolver. Aún más importante, los dispositivos que estudiamos se producen en masa y se implementan en redes activas de casas inteligentes”.

Consejos para la seguridad en los dispositivos

La casa inteligente trae muchos beneficios a la vida de las personas gracias a la tecnología, pero también conlleva un riesgo mayor de intrusismo por parte de ciberatacantes. Para mantener los dispositivos seguros, Kaspersky da una serie de consejos a los usuarios.

El primero de todo es la consideración de los riesgos de seguridad al comenzar a utilizar esta inteligencia artificial. Para saber sobre los riesgos, es importante que antes de comprar un dispositivo IoT, se busquen noticias sobre las posibles vulnerabilidades del dispositivo elegido y si es la mejor opción en cuanto a seguridad.

Además de los errores normales incluidos en los productos nuevos, los productos de reciente lanzamiento pueden tener problemas de seguridad que sus investigadores aún no descubiertos. Teniendo esto en cuenta, la mejor opción es comprar productos que ya hayan experimentado varias actualizaciones de software, en lugar de objetos más recientes.


Imagen principal cortesía de Ihor Saveliev on Unsplash

TAGS: casa inteligente / ciberataque / dispositivo / Internet de las cosas / Internet of Things / IoT

04/07/2019 / Autor: Raquel Lop

OCULTAR COMENTARIOS