Actualizado el miércoles, 24 mayo, 2023
Hace unos días hemos estado en la hc0n 2019, una conferencia organizada por Hackplayers y Core Dumped, y creada para que los asistentes nos adentremos un poco más en el mundo del hacking y la ciberseguridad.
El IoT (Internet of Things) fue uno de los temas abordados en el hcOn, donde nos explicaron las peculiaridades de algunos de estos dispositivos.
Seguramente te hayas comprado alguna vez un termostato inteligente, una Smart TV, una cámara IP, una alarma… Pues no te fíes de lo bonitos que son y de lo cómodo que es poder controlarlo todo desde el teléfono…
Índice de contenidos
La cámara IP
Estas cámaras permiten ver lo que ocurre en casa desde un smartphone o cualquier ordenador. En la prueba que nos presentaron han tenido que introducir en la web del fabricante el ID de la cámara y la contraseña. El ID es un número aleatorio de 6 dígitos y la clave que trae por defecto es 123. Esto no solo nos preocupa porque sea simple, sino porque se repite para las miles de cámaras de ese modelo que se han puesto en el mercado.
¿Con estos datos que te doy se te ha encendido la bombilla? ¿Todavía no? Te ayudo: ¿que pasaría si entras en la web del fabricante (desde la que se accede a la cámara), pones un número de 6 cifras (aleatorio, el primero que se te ocurra) y luego la clave 123? Nos podemos encontrar con dos escenarios:
- Un usuario consciente de la importancia de la seguridad que haya cambiado la clave
- Puede que empecemos a ver la casa donde está la cámara
Lo primero que tienes que hacer es establecer una contraseña más robusta que la que trae por defecto. Aunque tu modelo de cámara tenga una contraseña más difícil, es posible que sea para todas las cámaras la misma.
La alarma inteligente
Están muy bien estas alarmas, ya que por unos 50 o 100€ podemos tener un sistema de seguridad en casa y sin pagar un mantenimiento mensual a una empresa de seguridad.
Tienen una centralita que controla los distintos sensores, enciende/apaga la alarma… Incluso algunas tienen un botón de pánico para hacer saltar la alarma en caso de peligro. Muchas de estas alarmas funcionan en la frecuencia de los 433 MHz (la misma que utilizan algunos mandos de coches y portales de garaje).
Lo más habitual es que solo el emisor y receptor conozcan el contenido del mensaje, pero como es una onda de radio y se extiende por el espacio, cualquiera puede capturar esa señal para un posterior procesamiento.
Entonces, ¿qué ocurriría si alguien con malas intenciones (y mucho tiempo libre) captura todos los mensajes que se emiten en esa frecuencia? Podría encender y apagar la alarma, desactivar un sensor, encender una lámpara… abrir la puerta del garaje.
Comentarte que esta no es más que una prueba de concepto. Aunque el rango de funcionamiento de estos emisores/receptores se puede extender, por defecto no alcanza más que unos pocos metros, algo que juega a nuestro favor si no deseamos que nos capturen estas señales.
Buenas prácticas en IoT
Puede que seamos conservadores con la tecnología y rechacemos utilizar dispositivos de IoT, pero viendo los datos que se manejan acerca de la expasión de estos dispositivos, no tardaremos mucho en caer en la tentación.
Una práctica muy habitual en algunos fabricantes es lo que se llama Seguridad por oscuridad, por la que se intenta ocultar el secreto de diseño, de implementación, etc. para asegurar la seguridad del desarrollo. Pero esta no es del todo una buena práctica, puesto que cualquier persona con conocimientos de programación o entusiasta de esta tecnología podría encontrar agujeros de seguridad.
Entonces, ¿como consumidores que podemos hacer? Lo mejor es comprar productos testados y garantizados, que tengan una buena empresa respaldándolos. Y sobre todo, recordar que cuando son muy baratos posiblemente sea porque hayan ahorrado costes en el desarrollo y producción de sus componentes.
Deja una respuesta