{"id":3729,"date":"2014-08-21T15:32:08","date_gmt":"2014-08-21T15:32:08","guid":{"rendered":"http:\/\/kasperskydaily.com\/mexico\/?p=3729"},"modified":"2019-11-22T03:09:58","modified_gmt":"2019-11-22T09:09:58","slug":"el-dia-que-hackee-mi-propia-casa","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/el-dia-que-hackee-mi-propia-casa\/3729\/","title":{"rendered":"El D\u00eda Que Hacke\u00e9 Mi Propia Casa"},"content":{"rendered":"<p>La seguridad de los dispositivos inteligentes es un tema central hoy en d\u00eda. Podemos encontrar infinidad de art\u00edculos en los que se habla de que tanto los hackers como los investigadores encuentran constantemente vulnerabilidades en autom\u00f3viles, refrigeradores, hoteles y sistemas de alarmas hogare\u00f1as. Todos los dispositivos conectados se enmarcan dentro de la categor\u00eda de \u201cInternet de las Cosas\u201d (Internet of things) que es uno de los t\u00f3picos m\u00e1s debatidos de la industria de la tecnolog\u00eda y la seguridad en la actualidad. El problema es que pocas investigaciones hacen hincapi\u00e9 en el aspecto m\u00e1s importante de la cuesti\u00f3n: si hoy nos cuesta protegernos de las amenazas actuales, \u00bfc\u00f3mo haremos para identificar y contrarrestar las amenazas futuras? En una casa moderna\u00a0est\u00e1ndar puedes f\u00e1cilmente encontrar cinco dispositivos conectados a la red local que no son computadoras, tablets o smartphones. Me refiero a dispositivos como Smart TVs, impresoras, consolas de videojuegos, dispositivos de almacenamiento y reproductores multimedia.<\/p>\n<p>\u00a0<\/p>\n<blockquote class=\"twitter-pullquote\"><p>En una t\u00edpica casa\u00a0moderna puedes f\u00e1cilmente encontrar cinco dispositivos conectados a la red local que no son computadoras. La mayor\u00eda pueden ser hackeados<\/p><a href=\"https:\/\/twitter.com\/share?url=https%3A%2F%2Fkas.pr%2F4ssr&amp;text=En+una+t%C3%ADpica+casa%C2%A0moderna+puedes+f%C3%A1cilmente+encontrar+cinco+dispositivos+conectados+a+la+red+local+que+no+son+computadoras.+La+mayor%C3%ADa+pueden+ser+hackeados\" class=\"btn btn-twhite\" data-lang=\"en\" data-count=\"0\" target=\"_blank\" rel=\"noopener nofollow\">Tweet<\/a><\/blockquote>\n<p>A ra\u00edz de todo esto, decid\u00ed comenzar un proyecto de investigaci\u00f3n para determinar qu\u00e9 tan f\u00e1cil podr\u00eda ser hackear mi propia casa. \u00bfSon vulnerables los dispositivos conectados a mi red dom\u00e9stica? \u00bfQu\u00e9 podr\u00eda hacer un atacante si estos dispositivos se infectaran? \u00bfEs mi casa un blanco posible? Antes de comenzar mi investigaci\u00f3n, estaba bastante seguro de que mi casa era segura. Trabajo en la industria de la seguridad inform\u00e1tica desde hace m\u00e1s de 15 a\u00f1os y soy bastante paranoico cuando se trata de aplicar parches de seguridad y cosas por el estilo. Esto me hizo pensar que debe de haber otras casas m\u00e1s hackeables que la m\u00eda, porque en realidad no poseo muchos aparatos de alta tecnolog\u00eda.<\/p>\n<p>Durante mi investigaci\u00f3n no me enfoqu\u00e9 en las computadoras, tablets o smartphones, sino en los otros dispositivos conectados a mi red dom\u00e9stica. Me sorprend\u00ed al darme cuenta de que, en realidad, ten\u00eda bastantes artefactos conectados a mi red: un smart TV, un receptor satelital, un reproductor DVD\/Blue-ray, dispositivos de almacenamiento en red y consolas de juegos. Adem\u00e1s, estoy en el proceso de mudanza a una nueva casa, y he estado conversando con mi compa\u00f1\u00eda de seguridad local. Ellos me sugirieron que compre el \u00faltimo sistema de alarmas, que se conecta a la red y se puede controlar desde un dispositivo m\u00f3vil\u2026 Tras concluir la investigaci\u00f3n, me convenc\u00ed de que esa no ser\u00eda una muy buena idea.<\/p>\n<p>Algunos de los dispositivos conectados a mi red:<\/p>\n<ul>\n<li>Dispositivo de almacenamiento en red (NAS), de una marca famosa #1.<\/li>\n<li>NAs de una marca famosa #2.<\/li>\n<li>Smart TV.<\/li>\n<li>Receptor de sat\u00e9lite.<\/li>\n<li>Router desde mi ISP.<\/li>\n<li>Impresora.<\/li>\n<\/ul>\n<p>Me propuse que para considerar el hackeo \u201cexitoso\u201d, deb\u00eda de ocurrir algo de lo siguiente:<\/p>\n<ul>\n<li>Lograr acceder al dispositivo; por ejemplo, acceder a los archivos en los dispositivos de almacenamiento en red.<\/li>\n<li>Lograr acceso administrativo al dispositivo, no s\u00f3lo en la interfaz administrativa, sino tambi\u00e9n a nivel del sistema operativo.<\/li>\n<li>Poder transformar\/modificar el dispositivo para mis intereses personales (puerta trasera, trampol\u00edn, etc.).<\/li>\n<\/ul>\n<p>Antes de realizar la investigaci\u00f3n, me asegur\u00e9 de que todos mis dispositivos estaban actualizados con la \u00faltima versi\u00f3n de firmware. Durante el proceso tambi\u00e9n not\u00e9 que no todos los dispositivos contaban con verificaciones autom\u00e1ticas de actualizaciones, lo que hac\u00eda que el proceso fuera bastante tedioso. Como cualquier consumidor, tuve que descargar manualmente e instalar el nuevo firmware en cada uno de mis dispositivos, lo que no result\u00f3 una tarea sencilla, ya que no fue f\u00e1cil encontrar los nuevos archivos de firmware y porque todo el proceso de actualizaci\u00f3n no era el adecuado para un usuario promedio. Otra observaci\u00f3n interesante fue que la mayor\u00eda de los productos se hab\u00edan descontinuado hac\u00eda m\u00e1s de un a\u00f1o y que, simplemente, ya no exist\u00edan las actualizaciones.<\/p>\n<p><strong>El Hack<\/strong><\/p>\n<p>Luego de un primer an\u00e1lisis de los dispositivos de almacenamiento en la red, encontr\u00e9 14 vulnerabilidades \u00a0que podr\u00edan permitirle a un atacante ejecutar remotamente comandos del sistema con privilegios de administrador. Mis dos\u00a0dispositivos no s\u00f3lo ten\u00edan una interfaz web vulnerable, su seguridad local era realmente\u00a0lamentable. Contrase\u00f1as d\u00e9biles, permisos incorrectos en los archivos de configuraci\u00f3n, claves en texto plano y la lista sigue. Si quieres m\u00e1s detalles sobre el hacking a estos aparatos, <a href=\"http:\/\/www.viruslist.com\/sp\/analysis?pubid=207271264\" target=\"_blank\" rel=\"noopener nofollow\">lee este art\u00edculo en securelist.<\/a><\/p>\n<p>Durante este estudio, me encontr\u00e9 con otros dispositivos que ten\u00edan funciones \u2018ocultas\u2019. Uno de \u00e9stos era mi router DSL provisto por mi proveedor de servicios de Internet. En \u00e9l descubr\u00ed que hab\u00eda much\u00edsimas funciones a las que yo no ten\u00eda acceso. Asum\u00ed que mi proveedor de servicios de Internet o el fabricante eran quienes ten\u00edan el CONTROL TOTAL del dispositivo, y pod\u00edan hacer lo que quisieran con \u00e9l. Por ejemplo, acceder a todas estas funciones a las cuales yo no ten\u00eda permiso.<\/p>\n<p>Con s\u00f3lo mirar los nombres de las funciones \u2018ocultas\u2019, todo parec\u00eda indicar que el proveedor de servicios de Internet pod\u00eda, por ejemplo, crear t\u00faneles para conectarse a cualquier dispositivo de mi red. \u00bfQu\u00e9 pasar\u00eda si estas funciones cayeran en las manos equivocadas? Entiendo que, supuestamente, estas funciones est\u00e1n para ayudar al proveedor de servicios de Internet a realizar el soporte t\u00e9cnico, pero cuando ingreso utilizando mi cuenta de administrador, no tengo el control total de mi propio dispositivo, lo que es aterrador, especialmente cuando algunas de estas funcionen tienen nombres como \u2018C\u00e1mera Web\u2019, \u2018Configuraci\u00f3n experta de telefon\u00eda\u2019, \u2018Control de Acceso\u2019, \u2018WAN-Sensing\u2019 y \u2018Actualizaciones\u2019.<\/p>\n<p><a href=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/87\/2014\/08\/05211305\/dsl.png\"><img decoding=\"async\" class=\"aligncenter size-full wp-image-3731\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/87\/2014\/08\/05211305\/dsl.png\" alt=\"dsl\" width=\"1075\" height=\"826\"><\/a><\/p>\n<p>Actualmente, estoy trabajando en estas funciones para ver qu\u00e9 es lo que se puede hacer con ellas. Si encuentro algo interesante, estoy seguro de que habr\u00e1 otro art\u00edculo en este blog.<\/p>\n<p>Para hackear mi Smart TV y mi reproductor de dvd, tuve que ponerme m\u00e1s creativo. Me propuse jugar con la idea de que yo era el atacante y que ya hab\u00eda comprometido los dos dispositivos de almacenamiento en red. \u00bfQu\u00e9 ven\u00eda despu\u00e9s? Mi primer pensamiento fue ver si pod\u00eda hacer algo con los reproductores multimedia (smart TV y DVD) porque es muy probable que lean la informaci\u00f3n de los dispositivos de almacenamiento (que ya hab\u00eda comprometido). En ese punto, me puse a buscar vulnerabilidades potenciales de ejecuci\u00f3n de c\u00f3digos en mi smart TV y mi reproductor de DVD, pero como me costaron mucho dinero, decid\u00ed no continuar con la investigaci\u00f3n. No se trataba s\u00f3lo del dinero que perder\u00eda si estropeaba mi flamante LED Smart TV, sino tambi\u00e9n c\u00f3mo les explicar\u00eda a mis ni\u00f1os que les hab\u00eda da\u00f1ado la TV y que se quedar\u00edan sin ver Scooby Doo.<\/p>\n<p>Sin embargo, logr\u00e9 identificar un curioso problema de seguridad en el Smart TV. Cuando el usuario accede al men\u00fa principal de configuraci\u00f3n del aparato, si el dispositivo est\u00e1 conectado a la red, todas las im\u00e1genes miniatura y widgets se descargan desde los servidores del fabricante. En este punto, la TV no cuenta con ning\u00fan tipo de autenticaci\u00f3n o cifrado para descargar esos contenidos, lo que significa que un atacante podr\u00eda lanzar un ataque man-in-the-middle contra la TV y modificar las im\u00e1genes en la interfaz de administraci\u00f3n o hacer que la TV cargue un archivo JavaScript, lo cual\u00a0ser\u00eda muy malo. Un vector potencial de ataque consiste en utilizar JavaScript para leer los archivos locales del dispositivo y utilizar los contenidos de los archivos para encontrar m\u00e1s vulnerabilidades. Pero estoy trabajando en ello, junto al fabricante, para ver si es posible o no. Como una prueba de concepto para mi ataque, cambi\u00e9 la imagen miniatura de un widget por la imagen de un favorito de todos los rusos: Borat. \u00a1Yakshemash!<\/p>\n<p><a href=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/87\/2014\/08\/05211302\/borat.png\"><img decoding=\"async\" class=\"aligncenter size-full wp-image-3732\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/87\/2014\/08\/05211302\/borat.png\" alt=\"borat\" width=\"639\" height=\"424\"><\/a><\/p>\n<p><strong>La Conclusi\u00f3n<\/strong><\/p>\n<p>Durante este art\u00edculo\u00a0no nombr\u00e9 ninguna marca de TV, NAS o router DSL a prop\u00f3sito. El objetivo de mi investigaci\u00f3n no es alardear sobre las vulnerabilidades que encontr\u00e9, o resaltar las fallas de seguridad de cierta l\u00ednea de productos de una determinada marca. Siempre habr\u00e1 vulnerabilidades y necesitamos entender eso. No obstante, por \u201centender\u201d no me refiero a \u201caceptar\u201d. Me refiero a que necesitamos hacer algo al respecto. Debemos tomar conciencia de las consecuencias de estas fallas y asumir que nuestros propios dispositivos podr\u00edan ser (si no lo est\u00e1n ya) comprometidos por los criminales.<\/p>\n<p>Quiero concluir mi investigaci\u00f3n diciendo que nosotros, a nivel individual y corporativo, necesitamos comprender los riesgos que rodean a todos los dispositivos en red. Tambi\u00e9n necesitamos entender\u00a0que nuestra informaci\u00f3n no est\u00e1 segura s\u00f3lo porque tenemos una s\u00f3lida contrase\u00f1a o porque contamos con\u00a0soluciones antivirus eficientes. Asimismo, necesitamos entender que hay muchas cosas sobre las que no tenemos ning\u00fan control, y que, en gran medida, nos encontramos en las manos de los fabricantes de software y hardware. Tard\u00e9 menos de 20 minutos en descubrir y verificar vulnerabilidades extremadamente graves en un dispositivo que supuestamente era seguro. Un dispositivo en el que ing\u00e9nuamente confiamos y en el que guardamos nuestra informaci\u00f3n para que no se la roben.<\/p>\n<p>Tenemos que encontrar soluciones alternativas que ayuden a los individuos y a las compa\u00f1\u00edas a mejorar su seguridad. No se trata de un problema que se solucione con s\u00f3lo instalar un parche o un producto de seguridad. Por esto, quiero cerrar este art\u00edculo diciendo que aunque la industria del entretenimiento familiar no est\u00e9 preocupada por la seguridad, nosotros en Kaspersky Lab s\u00ed lo estamos, y creemos que bastan algunos consejos para mejorar la seguridad de los usuarios. Espero que algunos fabricantes lean este art\u00edculo y mejoren sus medidas de seguridad, pero hasta que eso ocurra, te dejo unos cuantos consejos para que mejores tu protecci\u00f3n:<\/p>\n<ul>\n<li>Aseg\u00farate de que todos tus dispositivos cuenten con las \u00faltimas actualizaciones de seguridad y firmware. Este es un problema para muchas oficinas dom\u00e9sticas y dispositivos de entretenimiento, pero por ahora es lo mejor que puedes hacer para protegerte contra las vulnerabilidades conocidas. Tambi\u00e9n te permite saber si hay actualizaciones disponibles para tus dispositivos o si \u00e9stos ya est\u00e1n considerados como productos \u2018muertos\u2019.<\/li>\n<li>Aseg\u00farate de cambiar el usuario y contrase\u00f1a predeterminados; esto es lo primero que un atacante intentar\u00e1 vulnerar para comprometer tu dispositivo. Recuerda que aunque sea un producto \u2018est\u00fapido\u2019, como un receptor de sat\u00e9lite o un disco duro en red, sus interfaces de administraci\u00f3n suelen tener serias vulnerabilidades.<\/li>\n<li>Cifra tus archivos, incluso aquellos que guardas en tu dispositivo de almacenamiento en red. Si no tienes acceso a una herramienta de cifrado, puedes colocar tus archivos en un archivo ZIP protegido por contrase\u00f1a; esto es preferible a no hacer nada.<\/li>\n<li>En la mayor\u00eda de los routers y switches dom\u00e9sticos se puede configurar diferentes DMZ\/VLAN. Esto significa que puedes configurar tu propia red \u2018privada\u2019 para tus dispositivos en red, para restringir el acceso a la red desde y hacia este dispositivo.<\/li>\n<li>Usa tu sentido com\u00fan y acepta que todo se puede hackear, incluso tus aparatos dom\u00e9sticos.<\/li>\n<li>Si eres medio paranoico por la seguridad, puedes monitorear el tr\u00e1fico de salida de red desde estos aparatos para ver si hay algo extra\u00f1o, pero para ello se necesitan ciertos conocimientos t\u00e9cnicos. Otra buena idea es evitar que los dispositivos en red accedan a sitios web inadecuados, y s\u00f3lo permitirles conectarse a Internet para actualizarse.<\/li>\n<\/ul>\n<p>\u00a0<\/p>\n<p style=\"text-align: right\">Traducido por: Guillermo Vidal Quinteiro<\/p>\n","protected":false},"excerpt":{"rendered":"<p>La seguridad de los dispositivos inteligentes es un tema central hoy en d\u00eda. Podemos encontrar infinidad de art\u00edculos en los que se habla de que tanto los hackers como los<\/p>\n","protected":false},"author":336,"featured_media":3730,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2737],"tags":[1395,1261,90,1147,1396,1394,410],"class_list":{"0":"post-3729","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-privacy","8":"tag-casa-inteligente","9":"tag-great","10":"tag-hackers","11":"tag-internet-de-las-cosas","12":"tag-iot","13":"tag-smart-home","14":"tag-vulnerabilidad"},"hreflang":[{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/el-dia-que-hackee-mi-propia-casa\/3729\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/latam.kaspersky.com\/blog\/tag\/casa-inteligente\/","name":"casa inteligente"},"_links":{"self":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/3729","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/users\/336"}],"replies":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/comments?post=3729"}],"version-history":[{"count":2,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/3729\/revisions"}],"predecessor-version":[{"id":16365,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/3729\/revisions\/16365"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media\/3730"}],"wp:attachment":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media?parent=3729"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/categories?post=3729"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/tags?post=3729"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}