Informe de Veracode alerta sobre dispositivos IoT vulnerables a ciberataques


Algunos dispositivos hogareños conectados a Internet presentan distintos tipos de vulnerabilidades en su seguridad que ponen en riesgo los datos sensibles de sus usuarios y los registros sobre su actividad, además de permitir que terceros controlen su funcionamiento para escuchar y grabar sus conversaciones. Así lo revela un estudio hecho publicado esta semana por Veracode que demuestra que no todos los fabricantes de esta clase de productos están priorizando la seguridad y la privacidad de las personas, exponiéndolas a peligros que van de ciberataques a posibles irrupciones físicas en el hogar.

El análisis, que fue difundido bajo el título “The Internet of Things: Security Research Study”, consistió en tomar seis dispositivos basándose en tres criterios: Todos ellos se comercializan a usuarios que no necesitan conocimientos técnicos especiales para usarlos, todos están siempre encendidos y conectados a Internet permanentemente, y todos ellos interactúan significativamente con el entorno físico de una manera u otra a través de sensores o la comunicación con dispositivos domésticos importantes.

wink1

Siguiendo esos criterios, se seleccionaron los siguientes equipos:

  1. Chamberlain MyQ Garage : Control de apertura o cierre de puertas de garage basado en la Web.
  2. Chamberlain MyQ Gateway Internet: Control remoto basado en Internet de puertas de garaje, interruptores y enchufes eléctricos.
  3. SmartThings Hub: Dspositivo de control central para una variedad de sensores domóticos y otras herramientas, como interruptores y cerraduras.
  4. Ubi: Control por voz que actúa como una herramienta para responder a preguntas, tareas y control de dispositivos de automatización del hogar.
  5. Wink Hub: Dispositivo de control central de varios productos automatizados del hogar.
  6. Wink Relay: Combinación de dispositivo concentrador y de control de productos y sensores  automatizados del hogar, cuyas funciones se administran a través de una pantalla táctil. El modelo sometido a prueba fue el PRLAY-WH01.

Cada uno de estos dispositivos fue sometido a una batería uniforme de pruebas que incluyeron controles de autenticación, cifrado y la seguridad de protocolo, y algunos de los problemas detectados fueron interfaces de depuración abiertos que podrían permitir la ejecución remota y arbitraria de código, protocolos débiles que facilitarían a los atacantes acceder a datos sensibles del dispositivo y la falta de aplicación de contraseñas seguras.

Como resultado de la evaluación, se comprobó que sólo uno de los dispositivos estudiados, SmartThings Hub, cumplía con la mayoría de los parámetros de seguridad, mientras que en el otro extremo de la tabla se ubicaron MyQ Garage, Ubi y Wink Relay como los sistemas que presentan vulnerabilidades más graves.

  • En el caso de MyQ Garage, se verificó que no hace cumplir contraseñas fuertes, tiene un entorno de depuración sin protección, no protege los datos sensibles enviados entre el dispositivo y las aplicaciones móviles, y es potencialmente abierto a ataques man-in-the-middle ( MiTM). Según los investigadores, los delincuentes podrían robar datos sobre cuándo se abre o cierra la puerta, permitiéndoles planificar el mejor momento para los robos, o incluso obtener la capacidad de abrir la puerta de forma remota para acceder cuando el propietario se encuentre fuera de casa. MyQ Garage
  • Respecto de Ubi, este dispositivo no protege contra ataques MiTM, tiene debilidades en el cifrado en reposo y en movimiento, y es vulnerable a ataques de reproducción (replay attacks). Los especialistas de Veracode sostienen que la irrupción en una cuenta Ubi daría a los hackers la capacidad de robar información de la lista de contactos que tiene el usuario o espiar a su calendario de Google para el acoso o el espionaje corporativo. Asimismo, daría una información histórica del domicilio del usuario sobre temperatura, humedad, presión de aire, la luz ambiental, y los niveles de sonido que pueden usarse para desarrollar un perfil para futuros robos.
  • Wink Relay, por su parte, tiene una serie de defectos, algunos de los cuales permiten que los atacantes potenciales no sólo puedan recopilar información acerca de la actividad del usuario, sino también controlar el dispositivo de forma remota. Por ejemplo, un atacante podría activar el micrófono de Wink Relay para escuchar y grabar conversaciones privadas, dándoles la capacidad de chantajear a los usuarios o recopilar información para el espionaje empresarial.

Seguridad: Una preocupación importante para la industria de la IoT

La seguridad es vista por actores de la industria como uno de los principales obstáculos para el desarrollo de la Internet de las Cosas (IoT), dado que este ecosistema de dispositivos interconectados entre ellos y con Internet está generando una base de datos sobre personas y organizaciones de un volumen nunca antes alcanzado, convirtiéndose en un campo de caza demasiado tentador para hackers, delincuentes informáticos o ciberespías.

De allí que existe una preocupación por obligar a fabricantes de dispositivos y desarrolladores de aplicaciones a generar soluciones con perfiles de seguridad más fuertes que puedan responder a las demandas de protección y privacidad de los usuarios.




Ruben

Rubén es editor del sitio desde el año 2010. Colabora regularmente escribiendo noticias sobre tecnología, software, negocios, gadgets y ciencia. Sus intereses son Tecnología y Relaciones internacionales, tópico con el que también colabora en otros medios de publicación web.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *