{"id":26227,"date":"2023-05-05T08:46:42","date_gmt":"2023-05-05T14:46:42","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=26227"},"modified":"2023-05-05T08:46:42","modified_gmt":"2023-05-05T14:46:42","slug":"3-reasons-not-to-use-smart-locks","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/3-reasons-not-to-use-smart-locks\/26227\/","title":{"rendered":"Tres razones para no usar cerraduras inteligentes"},"content":{"rendered":"

Las cerraduras inteligentes pueden ser muy \u00fatiles. Hay muchas de ellas en el mercado y diferentes tipos para elegir. Algunas pueden detectar cuando el propietario (o mejor dicho, su tel\u00e9fono inteligente) se acerca y abren sin necesidad de una llave. Otras se controlan de forma remota, lo que permite abrirles la puerta a familiares o amigos sin necesidad de estar en casa. Otras incluso proporcionan videovigilancia: cuando alguien toca el timbre, puedes ver de inmediato en tu tel\u00e9fono inteligente qui\u00e9n es.<\/p>\n

Sin embargo, los dispositivos inteligentes tienen riesgos que los usuarios de cerraduras tradicionales no tienen que preocuparse nunca. Un estudio minucioso de estos riesgos revela las tres razones por las cuales el m\u00e9todo antiguo es m\u00e1s conveniente. Veamos\u2026<\/p>\n

Primera raz\u00f3n: las cerraduras inteligentes son f\u00edsicamente m\u00e1s vulnerables que las cerraduras tradicionales<\/h2>\n

El problema aqu\u00ed es que las cerraduras inteligentes combinan dos conceptos diferentes. En teor\u00eda, estas cerraduras deber\u00edan tener un componente inteligente confiable y, al mismo tiempo, proporcionar una protecci\u00f3n s\u00f3lida contra la manipulaci\u00f3n f\u00edsica para que no sea posible abrirlas, por ejemplo, con un destornillador o una navaja. La combinaci\u00f3n de estos dos conceptos no siempre funciona: el resultado suele ser una cerradura inteligente endeble o una cerradura de hierro de alta resistencia con software vulnerable.<\/p>\n

Ya hemos hablado en otra publicaci\u00f3n<\/a> de algunos ejemplos particularmente atroces de cerraduras que no cumplen su funci\u00f3n. Entre ellos, podemos mencionar un candado genial con un esc\u00e1ner de huellas digitales, debajo del cual hay un mecanismo de apertura potencialmente accesible para cualquier persona (una palanca). Tambi\u00e9n hay una cerradura inteligente para bicicletas que se puede desmontar con un destornillador.<\/p>\n

\"Ejemplo<\/a>

El panel superior con el esc\u00e1ner de huellas digitales se puede quitar f\u00e1cilmente con un cuchillo, y se puede acceder al mecanismo de apertura debajo del panel. Fuente<\/a>.<\/p><\/div>\n

Segunda raz\u00f3n: problemas con el componente \u201cinteligente\u201d<\/h2>\n

Lograr que el componente \u201cinteligente\u201d sea lo suficientemente seguro tampoco es f\u00e1cil. Es importante recordar que los desarrolladores de este tipo de dispositivos a menudo priorizan la funcionalidad sobre la protecci\u00f3n. El ejemplo m\u00e1s reciente es Akuvox E11, un dispositivo dise\u00f1ado no para uso dom\u00e9stico, sino para oficinas. Akuvox E11 es un intercomunicador inteligente con un terminal para recibir una transmisi\u00f3n de v\u00eddeo de la c\u00e1mara integrada y un bot\u00f3n para abrir la puerta. Al tratarse de un dispositivo inteligente, es posible controlarlo a trav\u00e9s de la aplicaci\u00f3n para tel\u00e9fonos inteligentes.<\/p>\n

\"Intercomunicador<\/a>

La cerradura Akuvox E11 tiene m\u00faltiples vulnerabilidades, lo que permite el acceso no autorizado a las instalaciones sin ning\u00fan problema. Fuente<\/a>.<\/p><\/div>\n

El software se ha implementado<\/a> de tal manera que cualquier persona puede acceder tanto al v\u00eddeo como al sonido de la c\u00e1mara en cualquier momento. Y si no has pensado en aislar la interfaz web de Internet, cualquiera podr\u00e1 controlar la cerradura y abrir la puerta. Este es un ejemplo cl\u00e1sico de desarrollo de software inseguro: las solicitudes de v\u00eddeo no cumplen con las comprobaciones de autorizaci\u00f3n; es posible acceder sin contrase\u00f1a a parte de la interfaz web; y la contrase\u00f1a en s\u00ed es f\u00e1cil de descifrar debido al cifrado con una misma clave fija para todos los dispositivos.<\/p>\n

\u00bfQuieres m\u00e1s ejemplos? Aqu\u00ed van: Este art\u00edculo<\/a> habla sobre una cerradura que permite a los intrusos cercanos obtener la contrase\u00f1a de su red Wi-Fi. Aqu\u00ed<\/a>, una cerradura inteligente protege la transferencia de datos de manera deficiente: un atacante puede interceptar el canal de radio y tomar el control. Y aqu\u00ed<\/a> hay otro ejemplo de una interfaz web con mala protecci\u00f3n.<\/p>\n

Tercera raz\u00f3n: el software debe actualizarse con regularidad<\/h2>\n

Un tel\u00e9fono inteligente t\u00edpico recibe actualizaciones durante dos o tres a\u00f1os despu\u00e9s de su lanzamiento. En el caso de los dispositivos de IoT de bajo presupuesto, el soporte puede interrumpirse incluso antes. Actualizar un dispositivo inteligente a trav\u00e9s de Internet es bastante sencillo. Sin embargo, mantener la compatibilidad con los dispositivos implica una inversi\u00f3n de recursos y dinero por parte del proveedor.<\/p>\n

Esto en s\u00ed mismo puede ser un problema, por ejemplo, cuando el proveedor desactiva la infraestructura de la nube<\/a> y el dispositivo deja de funcionar. Pero aunque la cerradura inteligente conserve su funcionalidad, podr\u00edan aparecer vulnerabilidades que el proveedor desconoc\u00eda en el momento del lanzamiento.<\/p>\n

Por ejemplo, en 2022, los investigadores descubrieron<\/a> una vulnerabilidad en el protocolo Bluetooth Low Energy, que muchas empresas han adoptado como est\u00e1ndar para la autenticaci\u00f3n sin contacto para el desbloqueo de distintos dispositivos (incluidas las cerraduras inteligentes). Esta vulnerabilidad abre la puerta (por as\u00ed decirlo) a los llamados ataques de retransmisi\u00f3n, que requieren que el atacante est\u00e9 cerca del propietario de la cerradura inteligente y utilice un equipo especial (pero relativamente econ\u00f3mico). Armado con este hardware, el atacante puede transmitir se\u00f1ales entre el tel\u00e9fono inteligente de la v\u00edctima y la cerradura inteligente. Esto enga\u00f1a a la cerradura inteligente y la hace creer que el tel\u00e9fono inteligente del propietario est\u00e1 cerca (y no en un centro comercial a cinco kil\u00f3metros de distancia), por lo que abre la puerta.<\/p>\n

\"Ejemplo<\/a>

Una cerradura Kwikset vulnerable a un ataque de retransmisi\u00f3n mediante un error en el protocolo Bluetooth Low Energy. Fuente<\/a>.<\/p><\/div>\n

Dado que el software de las cerraduras inteligentes es muy complejo, la probabilidad de que contenga vulnerabilidades graves nunca es cero. Si se descubre una, el proveedor debe publicar una actualizaci\u00f3n de inmediato y enviarla a todos los dispositivos vendidos. Pero \u00bfqu\u00e9 pasa si el modelo se discontinu\u00f3 o ya no es compatible?<\/p>\n

Con los tel\u00e9fonos inteligentes, resolvemos este problema comprando un dispositivo nuevo cada dos o tres a\u00f1os. \u00bfCon qu\u00e9 frecuencia planeas reemplazar la cerradura de una puerta conectada a Internet? En general, esperamos que este tipo de dispositivos duren d\u00e9cadas, no un par de a\u00f1os (hasta que el proveedor interrumpa el soporte o quiebre).<\/p>\n

Entonces, \u00bfqu\u00e9 se debe hacer?<\/h2>\n

Es necesario entender que todas las cerraduras (no solo las inteligentes) pueden vulnerarse. Sin embargo, si decides instalar un dispositivo inteligente en lugar de una cerradura est\u00e1ndar, piensa bien: \u00bfrealmente necesitas poder abrir la puerta desde tu tel\u00e9fono inteligente? Si tu respuesta a esta pregunta es afirmativa, al menos ten en cuenta los siguientes puntos:<\/p>\n