Demuestran que pueden «hackearse» redes corporativas o domésticas desde simples bombillas inteligentes
Desde hace varios años, el gran desafío de la industria de la tecnología: llenar nuestras viviendas de todo tipo de aparatos electrónico cuya única gran novedad es que se conectan a internet. Un planteamiento que viene asociado a un concepto tan manido como la «casa inteligente», aunque repetido bajo su denominación anglosajona, « smart home», que desprende un aire de modernidad. La realidad es que, según diversos informes, para 2025 habrá más de cien mil millones de dispositivos conectados a internet. El sueño húmedo de los ciberdelincuentes.
Aunque los fabricantes se esmeran en repetir que la seguridad informática de sus productos cumplen las grandes exigencias, lo cierto es que cada dos por tres se conoce algún caso en el que alguien ha conseguido burlar las paredes virtuales y tomar el control de alguno de estos aparatos. En el pasado han trascendido episodios preocupantes como el robo de datos de cámaras inteligentes preparadas para vigilar a bebés en sus habitaciones. Una intromisión a la privacidad que, sin embargo, se pasa por alto por la mayoría de consumidores al ritmo de «si yo no soy nadie».
Casos en los que los asistentes digitales incorporados en esos mal llamados altavoces inteligentes tienen a equipos de personas «escuchando», literalmente, las conversaciones de sus propietarios. Medidas enfocadas para «mejorar los productos», el imperante eufemismo de la industria de la tecnología. También, según acaba de demostrar un grupo de investigadores de la firma de seguridad Check Point, se puede explotar el protocolo de ZigBee para infectar con «malware» -código malicioso- una red corporativa o doméstica con simplemente tomar el control de las bombillas inteligentes. Unas luces que se conectan a internet y que permiten gestionar desde su brillo, color o planificar en remoto el tiempo de apagado.
Unas bombillas que empiezan a ser comunes en los domicilios y que, de nuevo, se engloban dentro de esta creciente tendencia de dispositivos domésticos que se conectan a internet para «hablar» entre ellos. Hablar y hacerle la vida más fácil, en teoría, a los consumidores, puesto que se ha inundado el mercado con infinidad de productos de este tipo: neveras inteligentes, tazas inteligentes, espejos inteligentes, televisores inteligentes, altavoces inteligentes, termostatos inteligentes, luces inteligentes. La era del todo «smart». ¡Porque tú lo vales!
La investigación ha demostrado que estas bombillas pueden servir de vector de ataques que, bien aprovechadas por grupos malintencionados, pueden derivar en un gran caos. Para los neófitos, ZigBee es un conjunto de protocolos de comunicación inalámbrica de baja potencia utilizado en dispositivos domésticos inteligentes, como los termostatos o la luces inteligentes. La informe, realizado por Check Point y la Universidad de Tel Aviv (Israel), se centra en demostrar que se pueden piratear las redes corporativas o personales desde una simple bombilla inteligente.
Aunque no han especificado todo el proceso técnico, los investigadores aseguran que un cibercriminal tan solo necesita de una antena, un ordenador portátil y estar a menos de cien metros de su objetivo para acceder a estas bombillas. Lo consiguen aprovechando unos agujeros de seguridad identificados en los protocolos específicos para dispositivos domésticos. Tras conocerse el problema, una de las empresas desarrolladoras de estos dispositivos, Philips, que comercializa la serie Hue, ha parcheado sus productos para evitar la intromisión ilegítima. Los expertos, en cambio, creen que el ciberdelincuente puede aprovechar los fallos del sistema de control e instalar «malware» debido a la «gran cantidad de datos que reciben».
Uno de los principales problemas de estos dispositivos domésticos es la dificultad de actualizar su «firmware» -software- disponible. ¿Estamos construyendo la casa del futuro sobre cimientos vulnerables? Es uno de los temores. Para Lorenzo Martínez, experto en seguridad informática de Securízame, la capacidad de explotar esta vulnerabilidad «no está al alcance de cualquiera». «Queremos una ciudad y una casa conectada, con acceso global a todo, y todo esto presenta unos riesgos», apunta en declaraciones telefónicas a este diario. «Como profesional, yo de momento me sigo comprando bombillas normales», comenta en broma.
En la misma línea se sitúa Luis Corrons, evangelista de seguridad de la firma Avast, aunque se muestra aún más tajante: «un poco vulnerables no, son muy vulnerables». A su juicio, sin embargo, considera «injusto englobar a todos los desarrolladores», pero se aferra al casos anteriores: «lo hemos visto con anterioridad». «“Hace varios años estábamos viendo que cientos de miles de cámaras de seguridad han sido infectadas y siendo utilizadas como una enorme red de bots para lanzar ataques a nivel mundial», recuerda.
«En estos dispositivos no se han tenido en cuenta para nada la seguridad. Los grandes fabricantes son más conscientes del problema, pero hablamos de una serie de cantidades enormes que están conectados a internet, y cada vez vamos a a ir a más», apunta. De hecho, según el estudio «Avast Smart Home», dos de cada cinco (40,3%) hogares en todo el mundo cuentan con cinco o más dispositivos conectados a internet. Del total de ellos, el 40,8% tiene al menos un dispositivo vulnerable conectado que pone en riesgo la seguridad del hogar.
Entre las razones que esgrimen los expertos para que estos dispositivos sean vulnerables se encuentran, principalmente, que la mayoría no se suelen actualizar automáticamente y muchos de ellos vienen con usuario y contraseñas débiles igual para todos los productos, «lo que puede comprometer su seguridad». De hecho, el 31,8% de estos dispositivos vulnerables están en riesgo debido a software no parcheado. El hecho de que sean muchos los aparatos que se conectan a la red doméstica también es otro de los eslabones débiles: «puedes tener todo bien y con tus móviles, tus ordenadores, tus antivirus pero conectar cualquier aparato que se compromete y poner en riesgo toda la red doméstica», lamenta Corrons.