Hackeando un…Sanitario

Es tiempo de añadir al toilet a la larga lista de “dispositivos posibles de ser hackeados” que hemos ido recopilando aquí en el blog de Kaspersky. De hecho, uno de

Es tiempo de añadir al toilet a la larga lista de “dispositivos posibles de ser hackeados” que hemos ido recopilando aquí en el blog de Kaspersky.

toilet_title

De hecho, uno de los investigadores del evento de seguridad Black Hat de este año tocó brevemente el tema en una conferencia de prensa en el evento. Aunque me hubiera gustado haber escrito sobre él en ese momento, finalmente decidí centrarme en cosas más impactantes, pero hice una nota mental y me prometí que iba a retomar el tema.

Algunos investigadores de Trustwave, una firma de seguridad, emitió un nuevo aviso en agosto, advirtiendo a los usuarios que la aplicación de Android sobre los inodoros inteligentes SATIS contenía un pin de verificación Bluetooth difícil de modificar. El PIN es “0000”, y hackearlo podría permitir a un atacante manipular algunas de las características del inodoro. Una vez introducido ese pin, un dispositivo Android se puede comunicar a través de Bluetooth con cualquier número de  inodoros inteligentes de alta gama.

En resumen, los propietarios de estos equipos se están exponiendo a riesgos de accidentes que pueden comenzar como bromas.

Si bien no es lo mismo hackear una bomba de insulina o un coche, activar de forma remota el funcionamiento higiénico de mi baño suena bastante horrible para mí.

Específicamente, un atacante, si alguna vez desea hacerlo, puede instalar la aplicación “Mi Satis” , introducir el PIN de Bluetooth, vincular su dispositivo con los inodoros inteligentes Satis y lanzar un puñado de ataques que van que pueden ir desde uno ligeramente preocupante hasta uno simplemente devastador. El atacante podría -en palabras de Trustwave- “hacer que el inodoro tire la cadena varias veces , se utilice mucha agua y por lo tanto, aumenten los costos de servicios públicos a su dueño”.

Más preocupante aún (al menos para mí) es la posibilidad de que un atacante obligue a la tapa del inodoro inteligente a abrir y cerrarse, o incluso activar el bidet o las funcionalidades del aire seco, lo cual representaría -en palabras de Trustwave- “causar malestar o angustia a los usuarios”.

Si bien no es lo mismo hackear una bomba de insulina o un coche, activar de forma remota el funcionamiento higiénico de mi baño suena bastante horrible para mí.

No estoy seguro de lo que puedas hacer para protegerte en este caso. Al parecer, la empresa que desarrolla este tipo de inodoros, LIXIL , aún no ha solucionado este error. Supongo que ya les habrá llegado un aluvión de correos electrónicos que exigen que lo hagan. Estos baños también tienen una cosa que se llama “modo de emparejamiento” al parecer . Los chicos de Trustwave dicen que la aplicación para Android sólo funcionará si los baños tienen esta función habilitada. Dicen que todavía podría causar problemas con un dispositivo Android, aunque el modo esté desactivado, pero esto sólo sería posible “si se observa el tráfico Bluetooth para así conocer la dirección de hardware del baño y se empareje con el inodoro”, y esto suena bastante complicado. Así , por un lado , es probablemente una buena idea desactivar el modo de asociación, pero , por otro, ¿cuál es el objetivo de tener un inodoro inteligente si no puedes enviar comandos desde tu dispositivo móvil? Éste es un mundo complicado…

No puedo decir con certeza, pero hay un montón de gente extraña por ahí, aunque me gustaría pensar que los usuarios de Satis estarán a salvo de estos ataques, dado que no hay demasiados bromistas que se especialicen en esto. No hay mucho incentivo monetario para encender el bidet de alguien mientras lo está usando a decir verdad. Pero la dura realidad es que los usuarios de Satis tienen que convivir con el hecho de que varios dispositivos Android puedan comunicarse con su inodoro, lo que permite que casi cualquier persona dentro de los límites que accidentalmente (o no tan así) puedan iniciar, por ejemplo, la función de aseo a través de una aplicación en su dispositivo Android.

Consejos