Si eres un seguidor regular de las noticias de seguridad informática de Kaspersky, entonces no debería sorprenderte que muchos de los sistemas de las casas inteligentes fueron concebidos con un pobre nivel de seguridad y, debido a esto, las casas en las cuales estos sistemas están instalados son gravemente vulnerables.
Las casas inteligentes son exactamente eso que piensas. Son viviendas cuyos electrodomésticos, sistemas de calefacción, aire acondicionado, luces, cerraduras y detectores de humo están conectados a una red local y a Internet, junto con las PCs y teléfonos móviles de los habitantes. El sistema de la “smart home” permite que los usuarios manipulen y monitoreen remotamente todos los dispositivos conectados a él.
El problema es que los investigadores han estado encontrando fallas en los sistemas de seguridad, las cerraduras, los detectores de humo y todos los dispositivos conectados a Internet. Recientemente, nuestros amigos de AV-Test.org descubrieron que cuatro de siete kits de seguridad de casas inteligentes puestos a prueba, resultaron inseguros.
Si bien siete no implica un número representativo a nivel general, es importante destacar que los dispositivos vulnerables analizados en el estudio podrían ser explotados por ataques internos y, en algunos casos, ataques externos dirigidos a la red de la casa o a las máquinas conectadas a esta.
Los sistemas analizados por AV-Test fueron: iConnect de eSaver, tapHome de EUROiSTYLE, Gigaset’s Elements, iComfort de REV Ritter, RWE’s Smart Home, QIVICON de Deustsche Telekom y XAVAX MAX de Hama. Entre estos, AV-Test encontró que los sistemas de Gigaset, RWE y QIVICON estaban bien equipados para defenderse contra intentos de hackeo y accesos no autorizados. Los kits de iConnects y tapHome, en tanto, tenían vulnerabilidades capaces de ser explotadas localmente, es decir, que un atacante tendría que estar dentro de la casa para explotar los bugs. Más serios son los casos de los sets de iComfort y XAVAX MAX que podrían ser explotados tanto local como remotamente.
Cada producto ofrece diferentes paquetes de funciones. En general, se trata de sistemas capaces de controlar la electricidad, la calefacción y la seguridad; además de monitorear las trabas de las ventanas, de las puertas y las cerraduras de las habitaciones.
En este sentido, un atacante podría manipular los sistemas conectados con el objetivo de provocar daño (apagar la calefacción y hacer que las cañerías estallen en invierno).
Sin embargo, la mayoría de los criminales buscan dinero. Por lo tanto, los ataques más probables serían aquellos dirigidos a las debilidades del sistema y que permitirían que los criminales accedan a los puntos en los que se almacena información importante. Además, sería posible comprometer dispositivos vulnerables para ejecutar acciones de vigilancia de cara a un posible robo. Asimismo, un hacker experimentado podría desbloquear las cerraduras para hacer más sencillo el ingreso de los ladrones a la casa. Por otra parte, AV-Test advirtió sobre la posibilidad de una propagación de ransomwares que bloqueen los dispositivos conectados al sistema de las casas inteligentes y que serían utilizados para exigir a los usuarios dinero a cambio de desbloquearlos.
Los estudios de AV-Test se enfocaron en comprobar si las comunicaciones entre los dispositivos de las casas inteligentes estaban encriptadas, si los kits de seguridad requerían una autenticación activa predeterminada (contraseñas de acceso físico o web) y que grado de susceptibilidad a ataques remotos poseían los sistemas de seguridad.
Las comunicaciones hacia y desde Gigaset, RWE y QIVICON estaban encriptadas en todo momento y fueron catalogadas como seguras por parte de AV-Test. iConnects también encripta sus comunicaciones, pero AV-Test señala que esta encriptación es sencilla de atravesar. Los productos restantes (iComfort, tapHome y XAVAX MAX) fallaban completamente en el uso de la encriptación.
Esta falla significa que todas las comunicaciones de la casa inteligente podrían ser fácilmente interceptadas. Los atacantes podrían monitorear las comunicaciones hacia y desde los dispositivos, obtener los códigos para manipular los aparatos y conseguir información para deducir cuándo la casa estará inhabitada.
Esta falla significa que todas las comunicaciones de la casa inteligente podrían ser fácilmente interceptadas.
Tweet
El producto de iComfort no requiere ningún tipo de autenticación y un criminal podría lanzar ataques remotamente. Los sistemas de iConnect y XAVAX MAX requieren una autenticación web, pero no local. tapHome requiere de una autenticación interna, pero según el estudio de AV-Test, esta función es insuficiente teniendo en cuenta la ausencia de encriptación en las comunicaciones. En tanto, los sistemas de Gigaset, RWE Smart Home y QIVICON poseen todos una autenticación física y vía web (además de la seguridad en la comunicación)
Aquí estan las buenas noticias: AV-Test considera que si los realizadores de estos productos se toman el tiempo de desarrollar un concepto sólido en seguridad, en lugar de apurarse a lanzar sus productos. Entonces, es muy posible que puedan crear sistemas seguros. Si estás pensando en comprar alguno de estos sistemas, AV-Test te recomienda que busques aquellos que requieran siempre de autenticaciones físicas y vía web y que posean comunicaciones encriptadas.
Traducido por: Guillermo Vidal Quinteiro