Una vez más, los dispositivos conectados son noticia por las razones equivocadas. En octubre de 2016 , investigadores de seguridad descubrieron que las aspiradoras robot de la empresa china Ecovacs pueden verse comprometidas a través de una puerta trasera. En un caso, los piratas informáticos obtuvieron el control del dispositivo y gritaron insultos a los propietarios de la casa. Peor aún: la empresa no asume la responsabilidad y les dice a los usuarios que «no necesitan preocuparse excesivamente» por la vulnerabilidad.
Este ataque es otro ejemplo lamentable de cómo las empresas de dispositivos conectados eluden sus responsabilidades en materia de seguridad y privacidad. Sin las medidas de seguridad adecuadas, estos dispositivos inteligentes para el hogar y la oficina pasan de ser herramientas útiles a ser puertas de vigilancia móviles, introduciendo cámaras y micrófonos no autorizados en nuestros entornos más íntimos.
Ya basta: el sector debe tomar más en serio estas amenazas y a sí mismo.
Ojos y oídos digitales en tu hogar
No puedo ser el único que tiene una sensación de déjà vu en materia de seguridad. Ya se trate de vulnerabilidades en timbres con video o ataques a monitores de bebés, cada mes surge una nueva falla en los dispositivos conectados. Y, sin embargo, a pesar de múltiples historias de alto perfil, los productos deficientes con seguridad laxa son preocupantemente comunes, un peligro claro cuando se mezclan cámaras y micrófonos.
Hay algunos riesgos nuevos que se pueden plantear. En primer lugar, los dispositivos sobre ruedas añaden una nueva dimensión a esta amenaza. Una cosa es una cámara fija, pero otra es un dispositivo móvil pirateado en tu santuario interior. Esto plantea varias cuestiones, como los dispositivos que trazan subrepticiamente planos de pisos, rastrean rutinas diarias y patrones de ocupación y crean un inventario de objetos de valor y sus ubicaciones.
Hasta ahora, los atacantes han utilizado principalmente estas puertas traseras para realizar bromas y acoso, pero las implicaciones son mucho más siniestras: estos dispositivos, siempre conectados y equipados con sensores, podrían utilizarse para espiar conversaciones privadas, acechar a objetivos o incluso recopilar información corporativa escaneando hogares en busca de productos y marcas.
El riesgo de contagio también es real. ¿Qué impide que los piratas informáticos lleven la aspiradora infectada hasta Alexa y le digan: «Abre la puerta principal»? Esta vulnerabilidad en cascada convierte un simple ataque a la aspiradora en una posible puerta de entrada para una vulneración total.
Tapar los agujeros de seguridad no es ni costoso ni complicado
El ataque a la aspiradora conectada aprovecha una vulnerabilidad de Bluetooth, lo que permite que cualquier persona con un teléfono se conecte a más de 100 metros de distancia. Al igual que los anteriores, se trata de una puerta trasera que se puede bloquear con algo tan simple como credenciales únicas o autenticación multifactor. Con la privacidad y la seguridad del consumidor en juego, elementos como las vías de conexión abiertas y las contraseñas predeterminadas simplemente no son suficientes.
Existe una verdadera urgencia por hacer las cosas bien después de la pandemia. Los dispositivos están en auge en los hogares y oficinas inteligentes (se duplicarán en los próximos 10 años hasta alcanzar casi 40 mil millones en todo el mundo) y los gobiernos se dan cuenta de que sus ciudadanos y empresas necesitan protección. Como resultado, se están implementando medidas de protección regulatorias con la Ley de Resiliencia Cibernética de Europa y el Cyber Trust Mark de los Estados Unidos . Esto es algo positivo y tal vez la llamada de atención que nuestra industria necesita.
Ya es hora de que los fabricantes de dispositivos refuercen los puntos finales e implementen protocolos seguros, mejores mecanismos de autenticación y un almacenamiento más sólido en el borde. Además, la industria necesita garantizar conexiones seguras mediante el cifrado de todos los datos en tránsito y la entrega de comunicaciones entre pares. ¿La buena noticia? Estas soluciones no son prohibitivamente caras ni técnicamente desafiantes.
El camino hacia la acción y la rendición de cuentas en IoT
No estamos hablando solo de dispositivos pirateados, sino de posibles ventanas que nos permiten ver quiénes somos. El hogar y la oficina inteligentes son, en esencia, nuestra vida personal y profesional, y no me siento cómodo con que las empresas jueguen con los estándares de ciberseguridad.
Se avecina una regulación, pero ninguna empresa seria de dispositivos conectados debería necesitar ese impulso. Las empresas existen para servir a los consumidores y se olvidan de eso por su propia cuenta y riesgo. La privacidad y la seguridad no son algo agradable de tener: son requisitos mínimos.
¿Y para aquellos que se muestran reticentes a adoptar medidas de seguridad? Piensen en lo siguiente: las prácticas de seguridad sólidas serán un factor diferenciador clave en el mercado en los próximos años. Los primeros en adoptarlas y que se adelanten a la legislación pendiente disfrutarán de una ventaja competitiva y de una conciencia tranquila.
Al mismo tiempo, los consumidores deben alzar la voz cuando algo no está bien. Dejen malas críticas, comuníquese con los clientes que se quejan y voten con su billetera. Si una empresa es negligente y permite el acceso de audio y video a sus espacios privados, golpéelos donde más les duele: sus ganancias.
Existe una falta de respeto hacia los consumidores de dispositivos y eso se nota. Y, hablando como alguien con más de dos décadas en este espacio, la idea de que los fabricantes de dispositivos sacrifiquen la privacidad y la seguridad en nombre de la pereza o la reducción de costos es vergonzosa. Nuestro sector y nuestro ingenio son mucho mejores que esto: demostrémoslo.
Fuente y redacción: helpnetsecurity.com