Enviada especial a San Pablo, Brasil
Se estima que la cantidad de asistentes inteligentes para el hogar que se venderán este año sobrepasará los 50 millones de unidades en todo el mundo, según cálculos de Canalys.
En gran medida, este boom se debe a que existen cada vez más dispositivos como Google Home y Amazon Echo, con diferentes funciones y precios. Incluso, hay algunos muy económicos.
De este modo, los fabricantes se están esforzando en lanzar alternativas con sus marcas para aprovechar la creciente popularidad de estos aparatos, los más exitosos dentro de la gama de la Internet de las Cosas (IoT).
"Al comprar estos productos e instalarlos en nuestros hogares, les damos a sus fabricantes y a los ciberdelincuentes la posibilidad de acceder a todos nuestros datos a través de estos dispositivos que, a su vez, se interconectan con otros como televisores autos, cafeteras y aire acondicionados inteligentes", explicó Denise Giusto Bilic, especialista en Seguridad Informática.
"Si todo el tráfico está concentrándose en un único equipo, éste se vuelve más atractivo para los ciberdelincuentes, ya que desde el asistente de hogar puede acceder a los otros, por eso serán foco de ataques próximamente", agregó la experta, en el marco del Foro de Seguridad que se realizó en Brasil, organizado por la firma ESET, del cual participó IproUP.
La ecuación es sencilla: a mayor número de dispositivos conectados, mayor es la cantidad de accesos susceptibles de ser vulnerados.
"Ya estamos viendo algunos casos de vulneraciones. No en vano, Google lanza parches de seguridad para solucionar fallas del dispositivo ChromeCast que revela la ubicación del usuario. Y también trascendió que el Echo grabó conversaciones de una pareja y las envió a su lista de contactos", detalló la especialista.
"El 70% de las personas dicen que los dispositivos IoT no son seguros, pero el 62% los compraría igual", afirmó Cecilia Pastorino, especialista en Seguridad Informática de ESET.
En 2017, las empresas gastaron u$s964.000 millones en estos equipos a nivel global, mientras que, por el lado de los usuarios finales, el monto fue de u$s725 mil millones.
Se calcula que, en promedio, hay seis dispositivos inteligentes por hogar. De aquí al 2020, se despacharán 20.000 millones de unidades de acuerdo con pronósticos de la consultora Gartner. Esto incluye luces, videocámaras, termostatos, dispositivos para vestir (wearables) y juguetes inteligentes, entre otros.
Cada uno de estos equipos con un firmware (software que controla al aparato) diferente, lo que complica el desarrollo de una aplicación antivirus común a todos.
"Lo que observamos es que el malware tradicional ahora está virando para atacar los dispositivos inteligentes, como MiraiBotne y Reaper, que hacen minería y Ransomware of things", dice Pastorino.
En esta última modalidad, un ciberdelincuente podría"secuestrar" algún aparato inteligente (como la calefacción del hogar) y controlarlo a distancia, hasta que la víctima pague un rescate, generalmente en bitcoins u otra criptomoneda.
Según el análisis del experto, "estos ataques suelen ser utilizados como una puerta de entrada para luego perpetuar otros".
"Por ejemplo, un hogar está bien protegido pero un día instalan una videocámara y los ciberdelincuentes ingresan por ahí para luego avanzar hacia el resto de la red. Recientemente hubo un robo de datos en un casino que se llevó a cabo tras ingresar a través de un termómetro que estaba en un acuario", ejemplificó.
Más allá de cuál sea el dispositivo, todos se conectan a la red a través del router WiFi o protocolos propios, que muchas veces incluyen vulnerabilidades de fabricación porque no han sido bien testeados antes de la salida al mercado.
Por otro lado, el equipo puede conectarse mediante Bluetooth, que también es una tecnología muy fácil de violar. Otra opción es ingresar a través del servidor del proveedor que brinda conexión a Internet.
"Los atacantes primero escanean la red del hogar para ver qué dispositivos hay en la casa y cómo acceder a uno de ellos. Para eso, el malhechor ya ingresó a la red WiFi doméstica, algo que no es difícil de hacer", cuenta Pastorino.
Mediante este procedimiento detectan varios dispositivos, algunos de los cuales tienen información a la vista como API públicas, protocolos no cifrados, archivos públicos y metadatos, entre otros.
Además, hay buscadores como Shodan que indexan puertos y servicios que son públicos, muchos de los cuales son dispositivos inteligentes.
Una vez que el ciberdelincuente analiza los equipos del hogar, puede detectar si hay algún puerto abierto y de fácil acceso. A partir de ahí, el atacante puede hacer peticiones al dispositivo para que le envíe la información que contiene.
De esta manera, estará en condiciones de saber, por ejemplo, qué firmware tiene y qué funciones ofrece. Y en pocos segundos puede conocer qué tipo de dispositivo inteligente está en el hogar para ser vulnerado.
Los dispositivos de Google se actualizan automáticamente, pero igualmente hay información que los atacantes pueden conseguir. Por ejemplo, las alarmas programadas para saber a qué hora se despiertan los propietarios del hogar y así conocer sus rutinas cotidianas.
También puede obtenerse información sobre los detalles técnicos del equipo, notificaciones y actividades programadas por sus propietarios y redes WiFi, entre otras. En conclusión, es posible saber, bajo este análisis, cómo es la rutina del dueño de la casa.
El ciberdelincuente también puede analizar el código fuente de los equipos. Esto es sencillo, pues no se necesita el aparato, ya que se puede emular. De esta manera, puede explotar vulnerabilidades, acceder a información de paquetes y tráfico, y obtener los links de firmware y conexión a servidores, así como el correo electrónico y la ubicación exacta del usuario.
"Una vez que el hacker conoce estos datos puede interactuar con el dispositivo, por ejemplo, encender y apagar luces desde su celular, y también modificar alarmas, encontrar información sensible y ejecutar otras funciones que incorpore el equipo inteligente", detalla Pastorino.
Como estos equipos vienen con puertos abiertos por defecto, depuración habilitada, usuarios y contraseñas conocidas, servicios predeterminados que no se utilizan y protocolos inseguros, las expertas de ESET recomendaron, en primer lugar, tomarse el tiempo para investigar qué dispositivos se compran.
"Muchas veces elegimos el más económico, pero hay que analizar qué modelos hay y cuáles son los de marcas conocidas, porque su software seguramente es más fuerte comparado con aquellos desconocidos".
En segundo lugar, configurar los equipos antes de instalarlos. Esto es, leer el manual de instrucciones y deshabilitar las funciones que se van a utilizar, por ejemplo, la cámara.
También hay que cambiar el nombre de usuario y contraseña que viene por defecto. Por último, hay que asegurar el perímetro de la red WiFi. Esto demanda claves largas y router con firmware actualizado.
Otro detalle: Se recomienda tapar las cámaras de los dispositivos con una cinta adhesiva o similar.
Si bien no hay una solución de seguridad para dispositivos inteligentes, la última versión de ESET Smart Premium tiene una función que mapea los dispositivos de la red y los analiza para saber si en el tráfico de la red hay amenazas.