Ya son más de 200 millones de hogares los que cuentan con al menos un dispositivo doméstico “inteligente”. Por lo mismo, pensar que comprar un artefacto IoT (internet de las cosas) seguro es fácil, pero por desgracia no lo es.
La oleada de dispositivos conectados al internet que está entrando a nuestros espacios más íntimos, se está produciendo sin la suficiente la seguridad o preocupación por la privacidad del usuario. Los fabricantes a menudo crean productos que no cuentan con las protecciones más básicas, mientras que los hackers están tomando nota.
La red de honeypot – también conocidos como servidores señuelo – de F-Secure que monitoriza los ciberataques en todo el mundo, está detectando más malware tipo Mirai. Éste tiene como blanco dispositivos IoT inseguros como cámaras web y routers, más que cualquier otra cosa dirigida a PCs o smartphones.
Los hackers saben ahora además que pueden atacar a los hogares a través de dispositivos de IoT poco fíables. Los usuarios por su parte, muchas veces no tienen ni idea sobre si el equipo que están instalando es seguro o no.
Los problemas de privacidad que surgen al llenar nuestras vidas privadas con dispositivos electrónicos conectados son complejos y requieren de una enorme confianza en los proveedores de ellos.
La revolución IoT apenas está comenzando y su desarrollo será aún más rápido en un futuro cercano. Tenga ésto en cuenta si quiere comprar un aparato doméstico conectado al internet.
Los usuarios finalmente están recibiendo ayuda
Ya han pasado años desde que tanto el FBI como la Interpol advirtieron a los usuarios sobre posibles riesgos referentes a los dispositivos smart. Si bien la legislación que planea solicitar a los fabricantes mejorar la seguridad ha sido debatida en los Estados Unidos y propuesta en el Reino Unido, nunca se ha exigido a los pruductores ningún estándar legal. Eso está por cambiar.
El 1 de enero de 2020 entró en vigor la SB-327 de California, la primera ley que pretende regular el IoT y que tiene como objetivo mejorar la seguridad de los dispositivos inteligentes. Si bien se trata de algo histórico, los usuarios no pueden esperar que elimine por completo el reto de proteger una smart home.
Timo Laaksonen de F-Secure señala que la SB-327 sólo exige que los fabricantes “implementen medidas de seguridad razonables y acordes al servicio que están prestando”. Así que es muy vaga”. No obstante, eso no significa que la SB-327 sea inútil.
Claves sólidas mejoran el IoT
“Una mejora considerable es que ya no se aceptan las claves de acceso automáticas”, explica Timo. “Si miramos las filtraciones de datos, vemos que el 75% son causadas por claves débiles o recicladas”.
El malware de Mirai aprovecha las claves de acceso débiles o fácilmente adivinables. Estos “pecados” de seguridad son los número uno en la lista Top 10 del Open Web Application Security Project IoT, “que da a conocer las diez cosas más importantes para evitar al desarrollar, desplegar o gestionar sistemas de IoT”.
El SB-327 espera acabar con el gran vacío de seguridad del IoT al pedir “una clave preprogramada y única para cada dispositivo ” o “un aspecto de seguridad que requiere que el usuario genere un nuevo medio de autenticación antes de conceder acceso al dispositivo por primera vez”.
La ley indica las cosas más importantes que puede hacer al buscar un nuevo dispositivo de este tipo. Averigüe si tiene una clave única preprogramada. Si no la tiene, ¿le permite generar una nueva inmediatamente?
¿Cómo puede averiguar si un equipo IoT permite crear claves fuertes y únicas? Sólo tiene que buscarlo en Google.
Lo que recomienda el FBI a la hora de adquirir un televisor “inteligente”
Parece irrisorio decirle a alguien que “busque en Google” como consejo de ciberseguridad, pero la seguridad IoT no es muy avanzada. Vemos frecuentemente que la mayoría de la gente ni siquiera se preocupa de lo básico.
Con ocasión del Black Friday 2019, la Portland Field Office del FBI emitió una lista de consejos para los consumidores que buscaban smartvs antes de navidad. “Google it” es una forma de resumir la mayoría de ellos.
Estos son los consejos del FBI:
- Sepa exactamente qué funciones tiene su televisor y cómo controlarlas. Haga una búsqueda simple en internet con el número del modelo y las palabras “micrófono”, “cámara” y “privacidad”.
- No se fíe de la configuración de seguridad predeterminada. Cambie las claves de acceso y sepa como apagar los micrófonos, las cámaras y la recopilación de datos personales si es posible. Si no puede desactivarlos, considere si quiere correr el riesgo de comprar ese modelo o no.
- Si no es posible apagar la cámara pero quiere hacerlo, coloque un trozo de cinta negra sobre el ojo de la cámara.
- Compruebe la capacidad del fabricante para actualizar los parámetros de seguridad de su equipo. ¿Puede hacerlo? ¿Lo ha hecho anteriormente?
- Revise la política de privacidad del fabricante de la televisión smart y los servicios de transmisión que utiliza. Corrobore qué datos recopilan, cómo los guardan y qué hacen con ellos.
Estos consejos son aplicables a cualquier dispositivo doméstico inteligente que esté considerando comprar.
Las grandes marcas pueden tener sus propios problemas
En el Informe sobre el panorama de peligros IoT de F-Secure publicado a principios de 2019, Mark Barnes, la primera persona en hackear una Amazon Alexa, señaló que muchos de los fabricantes más grandes, como Amazon y Google, “han hecho un buen trabajo para asegurar sus productos de mercado masivo”.
Sin embargo, toda la seguridad del mundo no sirve de mucho si los propietarios de los datos recolectados no los mantienen privados.
En noviembre, una carta de cinco senadores estadounidenses solicitaba al director general de Amazon, Jeff Bezos, que se encargara de las quejas sobre la privacidad y la seguridad de Ring, la empresa recientemente adquirida por 800 millones de dólares.
“Los timbres de Ring son un ejemplo de un producto IoT útil y que se vende en todo el mundo”, afirmó Mark. “Sin embargo, los informes sobre las prácticas de seguridad negligentes y la falta de respeto a la privacidad dentro de Ring son preocupantes, dado que les estamos confiando información privada”.
Las beneficios que ofrece el IoT traen aparejados riesgos: “podríamos asumir ingenuamente que estos terceros protegerán nuestros datos y los utilizarán criteriosamente, pero la realidad demuestra que no siempre es así. Frecuentemente, a cambio de tener dispositivos inteligentes baratos, solemos pagar – y esta es una gran parte del modelo de negocio de los vendedores – con la comercialización de nuestros datos privados”.
Los usuarios necesitan una solución sencilla
Incluso si todos los fabricantes empiezan a tomar en serio el tema seguridad IoT y los consumidores empiezan a investigar las claves de acceso y las políticas de privacidad de cada objeto que compran, millones de dispositivos inseguros seguirán funcionando a futuro y seguirán siendo vulnerables a los hackeos. Este “asbesto IoT“, como lo llama Mikko Hypponen de F-Secure, se mantendrá probablemente décadas, si no más.
La seguridad de una smart home comienza con un router seguro que evite ataques. Desafortunadamente, la mayoría de ellos tienen puntos vulnerables ya conocidos.
Los clientes han gozado los beneficios de la ola de dispositivos inteligentes baratos, pero han pagado con su seguridad y privacidad. La única manera de solucionar este problema masivo es empezar a actuar ahora. Comenzar con adquirir un router que asegure todos los dispositivos inteligentes de nuestro hogar contra los ciberataques es la forma más simple e inteligente de hacerlo.
Categorías