Inseguridad en el Internet de las Cosas

Hace unos días, publicábamos una entrada en la que se planteaban, entre muchas otras cosas, problemas, responsabilidades y consejos de buenas prácticas para fabricantes respecto a la seguridad, destacándola como la asignatura pendiente en el IoT. A modo de continuidad, subiremos de nivel, porque estamos hablando de la seguridad de los diferentes componentes de una casa o una empresa,  interconectados y que ofrecen a los ciberdelicuentes no ya una ventana, sino directamente un mirador panorámico a nuestra cotidianeidad y el mundo de cada uno. De modo que vamos a pasar de hablar de “asignatura pendiente”, a directamente tildar de “inseguridad” de el IoT.

Para apoyar mis palabras, comparto el informe sobre la inseguridad en el IoT publicado por Telefónica a finales del 2015 [PDF]. En él se mencionan los principales factores que contribuyen a la inseguridad del IoT,  y el que encabeza la lista es el denominado “Human Firewall”. Para los no iniciados, este concepto representa la tendencia más o menos acentuada a caer en las trampas (algunas veces evidentes y otras no tanto) de los ciberdelincuentes. En un extremo tenemos a esa madre (por poner una figura desde el cariño nacido del fondo del alma) que pincha en ese anuncio que dice: “¡Enhorabuena, eres nuestro usuario número 1’000’000! ¡Haz clic aquí para recibir tu Tablet gratuita!”, dejando la puerta cibernética abierta a troyanos, griegos, romanos, egipcios y elfos cabalgando unicornios rosas seguidos de una legión de orcos de Mordor. En el otro extremo está esa persona cauta que no le da clic a ningún enlace que considere extraño ni aunque de verdad estuviera ahí el acceso a la receta secreta de la Coca-Cola.

Pero no sólo apoya mis palabras el informe de Telefónica, sino también los estudios, reportajes y experimentos que abundan en ese gran océano de información que es Internet y que son un impagable respaldo (hablo de los que son serios, por supuesto) a la acusación sobre la falta de seguridad de los componentes de nuestras casas (no tan) inteligentes. Por ejemplo, sorprende que una investigación emprendida por HP concluyese que el 100% (¡ni más, ni menos!) de los dispositivos IoT estudiados en el campo de la seguridad del hogar contienen vulnerabilidades, incluidas la autenticación y el cifrado de contraseñas.

Pongamos por ejemplo un componente muy de moda actualmente: los Smart-TV (que en la lengua de Cervantes viene a ser “televisores inteligentes”). A todos nos encanta que ese futuro que veíamos de pequeños en las películas de ciencia ficción, en el que se hacían videollamadas con las televisiones, ya está aquí… Sin embargo, ese futuro no viene solo, sino que viene acompañado de vulnerabilidades que pueden tener como consecuencia el acceso del ciberdelincuente al salón de nuestro hogar a través de la cámara, las conversaciones que mantenemos, la información de los canales que vemos, e incluso la posibilidad de acceder en los dispositivos USB que le hayamos conectado a la Smart-TV. Tendría acceso al control total de nuestro dispositivo, pudiendo cambiarnos el canal en un momento tan crítico como el desenlace en el final de temporada de The Walking Dead… ¡Imperdonable!

Otros ejemplos son los sensores de movimiento de ultrasonido, por hablar de un componente de lo más mundano para los que viven en ciudades medianamente modernizadas. Pues bien, resulta que estos simpáticos componentes están ojo avizor para las personas, pero cuando alguien pasa con un cartón enorme, un corcho o incluso una sábana blanca vieja tapando al humano, el sensor no detecta movimiento alguno… Estoy segura que muchos gamers de “Metal Gear Solid” que estén leyendo esto me dirán que a ellos no les pilla de sopetón.

Ahora, pasemos a otro componente esencial de la casa: el termostato. Todos sabemos lo importante que es tener la casa aclimatada (eco-consejo del día: el aire acondicionado a no menos de 24ºC y la calefacción a no más de 21ºC). Pues bien, los termostatos componentes del IoT permiten que podamos regular la temperatura y la humedad de nuestros hogares con nuestros móviles, disponiendo de la información en cualquier momento y lugar. Imaginad un momento el panorama: nos vamos una semana de vacaciones al pueblo, que queda a 400km de distancia. Dejamos todo a punto en nuestra casa inteligente, y suficiente comida para nuestro gato para que aguante holgadamente hasta que volvamos, y nos vamos con la tranquilidad de tener la temperatura controlada. Ahora imaginad que un ciberdelincuente de la peor calaña accede al termostato y activa la calefacción a marchas forzadas en pleno agosto. Las consecuencias las podéis imaginar. Por desgracia, los termostatos también entran dentro de la lista de los componentes IoT con vulnerabilidades.

Para terminar, hablemos de ese maravilloso mundo que son los washlets: los inodoros inteligentes (los amantes de Japón y la cultura japonesa dirán que para qué me paro en obviedades, pero hay que explicarlo, puesto que es un fenómeno muy reciente en Occidente) que tienen un sensor de movimiento para abrir y bajar la tapa del inodoro al detectar presencia, cuentan con un sistema de calentamiento de la taza ideal para los días más rigurosos del invierno, y los más modernos tienen un sistema de limpieza con agua y posterior secado cuya intensidad se puede programar a voluntad. Como habéis adivinado, estas maravillas de la ingeniería también tienen sus vulnerabilidades, que prefiero dejar a la malicia imaginativa y la picaresca de cada uno de vosotros.

Aunque los ejemplos que hemos puesto para reflejar la inseguridad de la IoT son anecdóticos, la amenaza es muy real. Lo peor es que con toda seguridad, a medida que la conectividad se vaya incorporando como un elemento “de serie” más a los electrodomésticos y cualquier elemento susceptible de ser conectado a Internet (con o sin necesidad), los vectores de ataque se incrementarán.

Para no explayarnos más, ahí va una lista con algunos de los dispositivos IoT más vulnerables:

  • Cámaras.
  • Routers domésticos.
  • Receptores de satélite.
  • Reproductores Media Center.
  • Teléfonos fijos y móviles.
  • Robots aspiradores.
  • Impresoras.
  • Sensores magnéticos de puertas y ventanas.

Por último, y no menos importante, cerramos este post citando los consejos al consumidor que nos da el informe de Telefónica, para que toméis nota y os convirtáis en un Human Firewall positivo que hace de nuestro mundo moderno un lugar más seguro:

  • Cuando se configuran las redes, cambia las contraseñas predeterminadas de routers domésticos y de los dispositivos IoT, usando un cifrado lo más fuerte posible.
  • Usa los dispositivos en diferentes redes domésticas, cuando sea posible.
  • Utiliza contraseñas seguras y robustas para las cuentas de los dispositivos.
  • Deshabilita o protege el acceso remoto a los dispositivos cuando no se necesite.
  • Investiga las medidas de seguridad adoptadas por el fabricante de los dispositivos.
  • Modifica la configuración de privacidad y de seguridad de los dispositivos acorde a nuestras necesidades.
  • Deshabilita las funciones del dispositivo que no estén siendo/vayan a ser utilizadas.
  • Instala las actualizaciones cuando estén disponibles.