En el Security Analyst Summit 2016, Vasilios Hioureas de Kaspersky Lab, y Thomas Kinsey de Exigent Systems revelaron cómo cualquier persona, con tan solo 50 dólares, puede hackear el aire acondicionado de su vecino. Un vándalo podría provocar el apagón de todo el vecindario eligiendo el momento y el lugar indicado.
¿Cómo es posible?
Mucha gente se toma muy en serio el consumo de energía e intenta hacer un uso responsable de esta. Esta es una actitud que también fomentan algunos estados. Ciertas empresas de servicios públicos de los Estados Unidos ofrecen a sus clientes la oportunidad de ahorrar hasta 200 dólares al año permitiendo a la compañía que apague el aire acondicionado de sus casas durante periodos de picos de electricidad. Por supuesto, este proceso se lleva a cabo de forma remota.
Para ello, estas empresas conectan los sistemas de aire acondicionado a un dispositivo especial que recibe la orden de apagar o encender el aire. En verano hace mucho calor, pero es preferible pasar unas horas sin aire acondicionado que no tener corriente eléctrica, por lo que esta política es bastante razonable.
IoT: How I hacked my home http://t.co/CCx9eQEbL2 via @Securelist by researcher @JacobyDavid #InternetofThings
— Kaspersky (@kaspersky) August 21, 2014
Los operadores de los centros regionales envían la orden de desactivar los sistemas de aire acondicionado a través de una frecuencia de radio específica. Las estaciones repetidoras instaladas por toda la ciudad amplifican la señal hasta que llegue a su destino. El caso es que, ninguno de los receptores examinados por nuestros investigadores, contaba con una solución de cifrado o autenticación. Así que, cualquier persona que pueda emitir una señal más fuerte, podía deshabilitar los controles de la empresa de servicios públicos y obtener el control de todos estos dispositivos.
El equipo necesario se puede comprar fácilmente en casi todo el mundo, es barato y no es difícil encontrarlo. Con tan solo 50 dólares, puedes comprar un dispositivo que te permita encender y apagar varios sistemas de aire acondicionado cercanos. Y con 150 dólares, podrás controlar sistemas que se encuentren incluso a un par de manzanas de tu vecindario. En el caso de ser un criminal con mucho dinero, esto se puede llevar a una escala mayor y podría obtener el control de los sistemas de toda la ciudad.
More connected, less secure: how we probed #IoT for vulnerabilities https://t.co/f4Y6iXLG8U #internetofthings pic.twitter.com/ZwFbvGGW6G
— Kaspersky (@kaspersky) November 5, 2015
Aunque esta situación parece muy desfavorable, no se trata de un problema crítico. La desactivación del aire acondicionado en verano o la activación de este en invierno de forma remota tan solo tendría un serio impacto en ciertos sectores de la población (ancianos, enfermos terminales, etc.). Sin embargo, este sector no suele corresponder al de los participantes de este programa. No obstante, acciones como esta, pueden llegar a romper los sistemas de aire acondicionado.
El mayor problema se encuentra durante los periodos de picos de electricidad y en el momento en que un criminal encienda todos los sistemas de aire acondicionado a la vez; esto puede causar un apagón repentino en toda la colonia.
¿Qué propósito puede tener esto?
Un motivo podría ser que los criminales quieran acceder a la oficina de sus competidores comerciales sin corriente eléctrica… Cabe destacar que dichas manipulaciones no requieren ninguna habilidad especial. Lo único que debe hacer un criminal es encontrar la frecuencia de radio utilizada por la empresa de servicios públicos y escribir las órdenes que enviarán los operadores.
How to hack the power grid through home air conditioners https://t.co/XSEY4Hgw8G
— WIRED (@WIRED) February 10, 2016
Otra forma de explotar esta vulnerabilidad es sobrecargando el tráfico de radiofrecuencia con el ruido, y disfrutar tanto de los descuentos de las empresas de servicios públicos como de los sistemas de aire acondicionado durante los periodos de picos de electricidad.
Los investigadores no han dado a conocer los nombres de los dispositivos vulnerables, ya que todavía están discutiendo este problema con los proveedores. Sin embargo, esta situación es otro ejemplo de la inseguridad de nuestro mundo interconectado. Realmente no importa cómo está conectado, a través de radiofrecuencias o con conexión a Internet, ambas son hackeables, ya que la gente no se preocupa por la seguridad tanto como debería.
Recapping #TheSAS2016: IoT hacks, #Metel, #Poseidon, and more https://t.co/IqPXRtMs8r pic.twitter.com/2Pu461dOkl
— Eugene Kaspersky (@e_kaspersky) February 17, 2016
Las tecnologías están en constante desarrollo, y los dispositivos que ya tienen cinco años están totalmente obsoletos. Sin embargo, Hioureas y Kinsey descubrieron que el chip que se utiliza en algunos de los dispositivos examinados en este caso se desarrollaron en 1995. Por lo tanto, incluso si el proveedor quisiera añadir un sistema de autenticación a un dispositivo de este tipo, sería imposible, ya que estos equipos no pueden llevar a cabo esta tarea.