Los analistas de Kaspersky Lab han investigado las vulnerabilidades en un smart hub utilizado para gestionar todos los módulos y sensores conectados instalados en las smart homes. Las conclusiones revelan que es posible que un ciberdelincuente pueda acceder en remoto al servidor del producto y descargarse un archivo con los datos personales de los usuarios necesarios para acceder a sus cuentas y, como resultado, llegar a tomar el control de sus sistemas domésticos.
La popularidad de estos dispositivos conectados no deja de crecer y los fabricantes de los smart homes hubs cada vez tienen más demanda. Sirven para simplificar la administración del hogar, combinando todas las configuraciones de los dispositivos en un mismo lugar y permitiendo a los usuarios controlar las acciones a través de interfaces web o de aplicaciones móviles. Algunos llegan a servir como sistemas de seguridad. Al mismo tiempo, esta función “unificadora” hace que el dispositivo sea especialmente interesante para los cibercriminales, ya que puede utilizarse como punto de entrada para llevar a cabo ataques en remoto.
La popularidad de estos dispositivos conectados no deja de crecer y los fabricantes de los smart homes hubs cada vez tienen más demanda
A principios del año pasado, Kaspersky Lab analizó otro dispositivo Smart Home que se había convertido en una puerta abierta para un ataque de terceros mediante algoritmos de generación de contraseñas débiles y de puertos abiertos. Durante la nueva investigación, los analistas descubrieron que un diseño inseguro y varias vulnerabilidades en la arquitectura del dispositivo inteligente podrían proporcionar el acceso de los criminales a las casas de los usuarios.
Lo primero que observaron los analistas es que, al conectarse con un servidor, envía información, incluidas las credenciales necesarias para iniciar la sesión en la interfaz web del smart hub, la identificación del usuario y la contraseña. Además, otros datos personales como el número de teléfono del usuario utilizado para las alertas pueden estar incluidos también. Los ciberdelincuentes pueden entonces descargarse el archivo con la información, simplemente enviando una solicitud legítima al servidor incluyendo el número de serie del dispositivo. El análisis muestra que el número de serie puede descubrirse ya que se ha generado de una forma muy básica.
Según los expertos, los números de serie pueden llegar descubrirse mediante el análisis lógico, confirmándose posteriormente mediante una solicitud al servidor. Si un dispositivo con ese número de serie se registra en un sistema en la nube, los cibercriminales recibirán una información afirmativa. Como resultado, pueden entrar en la cuenta web del usuario y administrar la configuración de los sensores y controladores conectados al hub de Smart home.
Ya se ha notificado al fabricante toda la información sobre las vulnerabilidades descubiertas y está procediendo a su reparación.
“Aunque en los dispositivos IoT han centrado la atención de los investigadores de ciberseguridad en los últimos años, todavía están demostrando que no son del todo seguros. Aleatoriamente seleccionamos el dispositivo smart home y hemos encontrado que su vulnerabilidad no es una excepción si no una confirmación más de los problemas de seguridad en el mundo del IoT. Parece que todos estos dispositivos, incluso los más sencillos, contienen al menos un problema de seguridad. Por ejemplo, recientemente analizamos una bombilla inteligente. ¿Podríamos llegar a preguntarnos que podría salir mar con una bombilla que sólo nos permite cambiar el color de la luz y otros parámetros de iluminación a través del smartphone? Pues bien, encontramos que todas las credenciales de las redes Wi-Fi, es decir, nombres y contraseñas, a las que se había conectado la bombilla anteriormente, se habían almacenado sin cifrar en su memoria. En otras palabras, la situación actual en la esfera de seguridad IoT es que incluso una bombilla puede comprometernos”, afirma Vladimir Dashchenko, responsable del grupo de investigación de vulnerabilidades en Kaspersky Lab ICS CERT.
“Es importantísimo que los fabricantes garanticen la adecuada protección de los usuarios, y prestar mucha atención a los requisitos de seguridad al desarrollar y lanzar sus productos, porque incluso unos pequeños detalles inseguros de diseño pueden tener consecuencias nefastas”, concluyó.
Para mantenerse protegido, Kaspersky Lab recomienda a los usuarios que tomen las siguientes medidas:
- Utilizar siempre contraseñas complejas y cambiarlas regularmente.
- Interesarse por los problemas de ciberseguridad consultando la información más reciente sobre las vulnerabilidades descubiertas y parcheadas de los dispositivos inteligentes.
Para garantizar la seguridad de las smart homes y de IoT, Kaspersky Lab ofrece una aplicación gratuita para la plataforma Android: Kaspersky IoT Scanner. La solución escanea la red Wi-Fi doméstica e informa al usuario sobre los dispositivos conectados y su nivel de seguridad.
Para mitigar los riesgos de ciberseguridad de las smart homes, Kaspersky Lab aconseja a los fabricantes y desarrolladores que realicen siempre pruebas de seguridad antes de lanzar los productos y que cumplan con los estándares de ciberseguridad IoT. Recientemente Kaspersky Lab contribuyó a la norma ITU-T Y.4806 (Unión Internacional de Telecomunicaciones – sector de telecomunicaciones), creada para ayudar a mantener una protección adecuada de los sistemas de IoT, incluidos ciudades inteligentes, dispositivos médicos portátiles e independientes y muchos otros más
