Cómo hackear un hogar inteligente

17 Jul 2019

La tecnología del hogar inteligente se diseñó con el fin de hacer la vida más fácil y cómoda. Sin embargo, la nueva comodidad significa también nuevos problemas. Los peligros de la automatización de todas las cosas son un tema frecuente de conversación y de las entradas de nuestro blog. Por principio de cuentas, conectar todos los electrodomésticos a internet te hacen dependiente de la calidad de la conexión y del funcionamiento del servidor. Y a la vez, los cibercriminales pueden utilizar esos puntos de entrada para hacerse con el control del equipo vulnerable y utilizarlo a su favor.

Como demuestran estudios recientes, existen aún varios medios a través de los cuales tomar el control de un hogar inteligente. Por ejemplo, uno de dichos problemas identificado puede ser una vulnerabilidad en el servidor de la nube a través de la cual el dueño controla el hogar de modo remoto; o bien, algo en apariencia inofensivo, como un interruptor de luz inteligente.

Fibaro: amenaza en la nube

Según lo dio a conocer Kaspersky, el hogar inteligente de Fibaro le permitía a cualquiera cargar y descargar una copia de seguridad de los datos del smart hub desde el servidor de la nube. El smart hub es el dispositivo más importante en el hogar inteligente, dado que controla a todos los otros: los termostatos, las cafeteras, los sistemas de seguridad y demás

La copia de seguridad de los datos del hub contiene información interesante acerca del hogar y su dueño, incluyendo la ubicación del hogar y la del smartphone del dueño; el correo electrónico de la cuenta de usuario registrada en el sistema de Fibaro y una lista de los dispositivos conectados y sus respectivas contraseñas (todas en texto simple, sin cifrado).

También se almacena allí la contraseña del panel de administración para controlar el hogar de modo remoto. A diferencia de otras contraseñas almacenadas en la copia de seguridad, al menos ésta está protegida, o para ser exactos, cuenta con cifrado hash. Sin embargo, si el atacante descarga todas las copias de seguridad almacenadas en la nube de Fibaro, le sería posible adivinar las contraseñas más simples y frecuentes —como “password1″— y el código hash para todos será el mismo.

Tras ganar acceso al panel de administración, un hacker puede explotar una de las vulnerabilidades para ejecutar código de forma remota y obtener derechos de superusuario en el sistema. Los superusuarios pueden hacer lo que les venga en gana dentro del hogar. Irónicamente, el dueño real del hogar no goza de los derechos de superusuario, pues el fabricante decidió que así sería más seguro (lo cual es cierto en muchos sentidos).

Fibaro: una actualización maliciosa

Los investigadores descubrieron otro escenario de ataque que ni siquiera requería romper el código. Como ya hemos mencionado, no solamente se podían descargar las copias de seguridad desde el servidor de Fibaro sin necesidad de autorización, sino que también se podían cargar al mismo. Es más, la nube permitía enviar mensajes de texto o correos electrónicos al dueño del hogar.

Es decir, todo lo que los atacantes tenían que hacer era crear una copia de seguridad maliciosa, cargarla en el servidor y persuadir a la víctima de instalar la “actualización”. Esto se logra imitando un mensaje de Fibaro (phishing). Incluso si el hacker se equivoca con algunos datos, aún así es posible que la víctima desprevenida descargue la copia de seguridad maliciosa (lo cual le otorga al hacker derechos de superusuario, como en el primer ejemplo). Después de todo, el mensaje vino de la dirección ****** @fibaro.com, lo cual no parece sospechoso.

Informamos a Fibaro de estas vulnerabilidades y rápidamente las corrigieron, por lo que estos escenarios de ataque ya no funcionan. Esperemos que otros fabricantes de dispositivos inteligentes eviten pisar este rastrillo virtual y tomen en cuenta estos errores a la hora de desarrollar sus sistemas.

Nest: el interruptor y la cámara inteligente

En otro estudio emprendido por investigadores del College of William & Mary, en los EE.UU., se revisó la seguridad de dos plataformas de hogar inteligente: Nest (de Nest Labs, propiedad de Google) y Hue (producida por Philips). Ambas plataformas eran vulnerables, cada una a su modo.

Los desarrolladores de Nest Labs prestaron gran atención a la protección de los sistemas de seguridad: Los dispositivos y aplicaciones de terceros no pueden cambiar los ajustes de las cámaras de seguridad y otros componentes a cargo de la seguridad del hogar, ni prenderlas o apagarlas. O más bien, no pueden de modo directo.

Sin embargo, el sistema utiliza algunos atributos comunes en los dispositivos y los sistemas de seguridad cuya protección es todavía menor. Los valores de dichos atributos se almacenan en un solo espacio de almacenamiento accesible a todos los dispositivos que lo necesiten para funcionar. Además, algunos dispositivos de menor importancia, como interruptores de luz y termostatos, pueden en muchos casos no solamente leer los valores requeridos, sino también modificarlos.

Por una parte, esto ayuda a automatizar y simplificar las operaciones de rutina. Por ejemplo, no hay necesidad de enviar comandos a cada dispositivo por separado cuando sales al trabajo por la mañana. La aplicación que controla el interruptor puede usar, por ejemplo, la geolocalización para determinar que has salido del hogar, luego de lo cual transmite esta información al almacenamiento y asignar el valor de fuera al atributo que especifica si el dueño está presente o ausente.

No solamente el interruptor lee este valor (que entonces apaga las luces, según lo previsto), sino también otros dispositivos. Y cada uno realiza una acción programada: El aire acondicionado disminuye su potencia, el equipo estéreo se apaga y la cámara de vigilancia comienza a grabar. Sin embargo, si se hace que el sistema crea que el dueño ha regresado, las cámaras se apagan y la seguridad del hogar se ve comprometida.

Existen diversos dispositivos compatibles con Nest que cuentan con permisos para gestionar las modalidades en casa/fuera. Los investigadores decidieron probar la seguridad del interruptor de Kasa, cuyo fabricante es TP-Link. Además de dicha capacidad de leer y cambiar el ajuste en casa/fuera, la elección de los investigadores se vio influida por la popularidad de la aplicación de Kasa Smart que sirve para controlar el dispositivo de modo remoto (que tiene más de un millón de descargas en Google Play). Tras una inspección más cuidadosa, resultó que el programa permite a los atacantes secuestrar la conexión con el servidor y enviarle comandos.

El problema se detectó en el procedimiento de autorización; en específico, en la estrategia de seguridad de los desarrolladores de la aplicación. Para evitar que la información de cuenta del dueño caiga en manos equivocadas, la aplicación y el servidor primero establecen una conexión cifrada. Para ello, la aplicación envía una solicitud al servidor, que le muestra un certificado SSL, lo que confirma que el servidor es de confianza.

La aplicación verifica la autenticidad del certificado y, si es genuino, entrega secretamente un token al servidor (consiste en datos empleados para identificar al dueño). Pero un error se coló en esta verificación y se demostró que la aplicación de Kasa confiaba en cualquier certificado.

Los investigadores describieron un posible escenario de hackeo:

  1. El cibercriminal rastrea al dueño del hogar objetivo y espera a que éste se conecte a una señal de wifi pública de, por ejemplo, un café.
  2. La aplicación de Kasa intenta conectarse con el servidor.
  3. Al entrar en la misma red, el atacante intercepta la conexión y muestra su propio certificado SSL a la aplicación.
  4. La aplicación, habiendo confundido al cibercriminal con el servidor, envía el token requerido para la autenticación.
  5. El cibercriminal, a su vez, muestra este token al servidor real, el cual piensa que se trata de la aplicación.
  6. El hacker informa al interruptor, directamente desde el café, que el dueño ha regresado.
  7. El atributo se cambia de fuera a en casa.
  8. Así es como se logra el objetivo: la cámara lee el valor y deja de grabar, después de lo cual el cibercriminal o un cómplice puede entrar en la casa sin ser visto.

Lo más preocupante de todo, según los investigadores, es que dicho ataque no requiere de habilidades especiales. No obstante, la buena noticia es que los desarrolladores de Kasa, lo mismo que los creadores del sistema de Fibaro, arreglaron adecuadamente el error después de que el equipo de investigación se los notificara.

Nest: cuando vas por la mayoría y no por la minoría

En teoría, el análisis integrado para los dispositivos y aplicaciones de terceros debería proteger el sistema de Nest de dichos ataques. El sitio web para desarrolladores proporciona una lista exhaustiva de requisitos para productos que interactúan con la plataforma. Estos requisitos especifican, entre otras cosas, que la aplicación o el dispositivo debe tener un sistema de autorización seguro y en correcto funcionamiento que evite que cualquiera se haga pasar por ti.

Pero en la práctica, se puede eludir la verificación de aplicaciones y dispositivos de terceros. El sistema de Nest verifica solamente aquellos con más de 50 usuarios, lo cual significa que un programa único creado por hackers para atacar un hogar inteligente en específico puede conectarse a él, con lo cual evade los controles de seguridad. Todo lo que los cibercriminales tienen que hacer es persuadir a la víctima de que descargue una aplicación específica y le otorgue los derechos necesarios.

Además, incluso las aplicaciones populares que no cumplen con los requisitos de Nest tienen la posibilidad de evadir el análisis. Un ejemplo de esto es la ya mencionada Kasa Smart, que permitió a los atacantes conectarse al servidor en su nombre.

Asimismo, resulta que muchas aplicaciones para dispositivos de Nest proporcionan información inexacta acerca de los derechos de acceso que requieren para operar. Por ejemplo, la descripción de la aplicación de control del termostato puede indicar que se requiere acceso al atributo en casa/fuera con el único fin de controlar dicho termostato, cuando en realidad este atributo es común para el sistema en su totalidad y otros dispositivos también reaccionarán si se le modifica. Es decir, la descripción es engañosa.

Hue: bienvenidas las aplicaciones de terceros

El problema con otorgar derechos a aplicaciones de terceros también le compete al sistema de iluminación inteligente de Philips Hue. Se desarrolló con el fin de que cada programa solicite permiso al dueño para conectarse al hogar inteligente.

Este permiso puede concederse al presionar un botón físico en la unidad de control a través del cual los dispositivos de Hue interactúan. Para que esto funcione, la aplicación y la unidad de control deben localizarse en la misma red local, lo cual significa que los vecinos y los que pasen por ahí no pueden conectarse a tu hogar inteligente tan solo con adivinar el momento preciso para enviar una solicitud. En términos generales, es una gran idea desde un punto de vista de seguridad. Pero resultó una decepción a la hora de implementarse.

Según hallaron los investigadores, no solamente el usuario puede “presionar” el bendito botón, sino cualquier programa conectado a Hue. Esto se debe a que el “cerebro” del sistema determina si el botón se ha visto activado según el valor de uno de los ajustes de la unidad de control. Y hay aplicaciones que pueden modificar este valor. Esto significa que un programa malicioso con acceso a la plataforma puede otorgar acceso a otros libremente. Y no solo eso: mediante el mismo ajuste, se puede denegar acceso a los dispositivos legítimos que el dueño haya conectado.

Podría parecer que si la plataforma de Hue se utiliza solamente para controlar la iluminación, entonces este error no es tan peligroso como la vulnerabilidad en la plataforma de Nest. Sin embargo, los dispositivos de Hue pueden conectarse también con Nest, el cual, como sabes, no sólo tiene acceso a las cámaras y las cerraduras de las puertas, sino que en algunos casos permite que las aplicaciones de terceros las deshabiliten.

Cómo proteger tu hogar inteligente

Resulta que las brechas en la seguridad se encuentran en prácticamente todos los dispositivos de automatización del hogar. ¿Deberías sentir temor? Una luz parpadeante o un sistema de calefacción fuera de control resulta molesto, pero no es tan peligroso y no es de interés para los cibercriminales. En cualquier caso, lo que menos quieres es una cerradura inteligente o una cámara de seguridad hackeada. Ten presente que, pese a que es más probable solucionar estos problemas, la gran mayoría de los ladrones echarán mano de una barreta de uña, no de los exploits.

En todo caso, tú decides si conviertes tu hogar en una vivienda futurista. Si decides que necesita un hogar inteligente, lo prudente sería minimizar el riesgo de hackeo. Esto es lo que tienes que hacer para lograrlo:

  • Lee reseñas e investiga acerca de la seguridad de los dispositivos antes de adquirirlos. Presta atención al modo en que reacciona el fabricante cuando se descubren vulnerabilidades. Es una buena señal si resuelve con rapidez los problemas que los investigadores le refieren.
  • Si ya has elegido algún dispositivo o aplicación en particular, entonces mantente al tanto de las actualizaciones y la identificación de vulnerabilidades. Instala de manera oportuna todas las actualizaciones que los desarrolladores publiquen.
  • Protege tus dispositivos y paneles de control con una contraseña única y segura. De esta manera, el atacante no podrá simplemente forzar la “contraseña” de tu hogar.
  • Configura correctamente la red wifi de tu hogar.
  • Descarga los programas solamente desde fuentes oficiales y no les concedas permisos innecesarios.
  • Al conectarte a tu hogar inteligente mediante una señal de wifi pública, recuerda que existen terceros que pueden interceptar la información que envíes tú o tus aplicaciones online, incluyendo contraseñas y tokens de autorización. Para evitar esto, utiliza una conexión VPN segura.