- Algunos servicios de automatización del hogar están tan mal protegidos que se puedan controlar desde una web, con la dirección IP
- Otros son accesibles al entrar en la red WiFi, que mucha gente no protege
- La mayoría usan contraseña, pero a veces se puede saltar si conoces el puerto del dispositivo
Este mes se están celebrando en Estados Unidos varias convenciones de hackers, como las populares DefCon y Black Hat. Esa es la razón de que cada pocos días publicamos alguna noticia relacionada con los fallos de seguridad de distintos dispositivos,
a medida que sus descubridores los hacen públicos antes de presentarlos
en las mencionadas convenciones. Ya te hemos contado, en detalle, cómo
se hackea el sistema informático de un coche, para controlar sus frenos, las luces, o los indicadores de velocidad y gasolina. Incluso te mostramos cómo crackear el GPS de un barco.
Todos estos hackeos requieren un equipo especializado y hackers expertos en la matería. Sin embargo, la revista Forbes ha descubierto que resulta muy sencillo penetrar en los mecanismos de automatización de las casas.
Ni siquiera es necesario romper ninguna protección. En algunos casos,
basta con realizar una búsqueda en Google o rastrear la dirección IP
para controlar las luces, la calefacción o la puerta del garaje de una
vivienda. Inquietante, ¿verdad?
La automatización de los hogares, según Reuters, movió 1500 millones de dólares en 2012.
Se han vuelto muy populares los dispositivos que te permiten controlar
las luces, la calefacción, la puerta de entrada o del garaje, la
televisión y otros electrodomésticos desde una página web, o una app
para el smartphone o la tablet. El problema de estos aparatos es que, en
el momento en que se conectan a Internet para usar la app, están
expuestos a los ataques externos. Y el peligro es mayor si no se
protegen bien.
Utilizando una simple búsqueda en Google, un
periodista de Forbes consiguió localizar ocho casas que tenían instalado
un sistema de automatización de Insteon que se puede controlar desde una página web. Como el software de Insteon
(que ahora se ha actualizado) no obligaba a asignar una contraseña al
dispositivo configurado, bastaba con entrar en la web para controlar la
casa. Desde la página se podía apagar y encender las luces, y la
televisión. Además revelaba datos como los nombres de los inquilinos o
su dirección real.
David Bryan y Daniel Crowley, investigadores de seguridad de la empresa Trustwave, han estudiado los sistema de protección de la automatización de los hogares. Y en muchos casos, han descubierto que no tienen ninguno... En el mencionado ejemplo de Insteon,
se permitía crear una web para acceder a los controles de la casa, y
aunque su dueño instaló una contraseña, bastaba con acceder al puerto en
el que hardware se conecta a Internet, para controlarlo. Desde
entonces, Insteon ha actualizado sus mecanismos de control para evitar esto.
En el caso de Mi Casa Verde MIOS VeraLite,
otro sistema simular, estos dos expertos descubrieron que cualquiera
que esté en la misma red WiFi que el dispositivo, puede controlarlo. Es
fácil de usar por todos los miembros de la familia, pero si la red WiFi
no está bien protegida, cualquier extraño que entre podrá controlar los
automatismos de la casa.
También han encontrado vulnerabilidades en otros dispositivos asociados al hogar, desde el Belin WeMo Switch, un sistema que se conecta a un enchufe, al retrete inteligente Satis, que ofrece música, luces interiores para "acertar" en la oscuridad, y otras funciones de alta tecnología.
Se comunica con una app mediante Bluetooth sin contraseña y con el PIN 0000,
así que cualquiera con un smartphone y la app instalada, puede
controlar el retrete desde fuera del baño, hasta donde alcance el
bluetooth, por ejemplo activando los chorros de agua mientras alguien lo
está utilizando...
Puede parecer gracioso, pero hablamos de
automatismos que controlan electrodomésticos o incluso la puerta del
garaje, y la posibilidad de que alguien encienda el jacuzzi sin que te
enteres y se dispare la factura de la luz, o abra la puerta del garaje
para acceder a él, requiere que los fabricantes se tomen más en serio la
seguridad de este Tipo de Dispositivos.
0 comentarios:
Publicar un comentario