Si estás al tanto de las noticias de Internet y seguridad informática, entonces no debería ser una sorpresa para ti que muchos sistemas de casas inteligentes están mal concebidos o configurados y dejan a los hogares en los que está instalados expuesto a una gran cantidad de vulnerabilidades de seguridad graves.
Tomando el riesgo de insultar tu inteligencia, las casas inteligentes o “smart homes” son exactamente lo que piensas que son (piensa en smartphones, Smart TVs, coches inteligentes, etc.): casas en las cuales los electrodomésticos, los sistemas de calefacción y aire acondicionado, la iluminación, los detectores de humo, y/o las cerraduras están todos conectados a la red doméstica y últimamente a Internet junto con los ordenadores, los teléfonos y las tablets, y todos los otros dispositivos comparativamente tradicionales capaces de conectarse a Internet. Estos sistemas permiten a los usuarios monitorizar y manipular los sistemas en sus hogares de forma remota.
Los investigadores han estado criticando los sistemas de seguridad inteligentes y las cerraduras y los detectores de humo conectados a Internet (y todo lo demás que tiene una conexión a Internet) por todo el tiempo que he estado prestando atención. Más recientemente, nuestros amigos de AV-Test.org estudiaron la situación de seguridad de siete equipos de casas inteligentes separados, encontrando que cuatro de esos sistemas no eran seguros.
Por supuesto, siete son bastante pocos y quizás no es una cantidad de ejemplos estadísticamente significante o representativa. A pesar de esto, los dispositivos que resultaron ser vulnerables en este estudio podían ser explotados por ataques internos y en algunos casos externos, que tenían como objetivo o la red doméstica y las máquinas conectadas a ésta, o la casa misma, y las cosas que había dentro de esta.
AV-Test analizó iConnect de eSaver, tapHome de EUROiSTYLE, Gigaset’s Elements, iComfort de REV Ritter, RWE’s Smart Home, QIVICON de Deutsche Telekom, and XAVAX MAX! de Hama. Entre estos, AV-Test encontró que solo los conjuntos de Gigaset, RWE y QIVICON estaban bien protegidos contra ataques de cibercriminales y accesos no autorizados. Los equipos de iComfort y tapHome contenían vulnerabilidades que se podían explotar localmente, lo que significa que un atacante tendría que estar en la casa para aprovecharse de los bugs. Más serio es que los sistemas de iComfort y XAVAX MAX! podían ser explotados remotamente (además de localmente).
Cada producto ofrece un conjunto diferente de funciones. En general, hay sistemas de control para electricidad, calefacción y seguridad; sistemas de monitorización para ventanas, puertas y habitaciones; sistemas de control para enchufes con interruptores, y sistemas de interrupción para luces, calefacción y electricidad.
En términos generales, un atacante podría manipular los sistemas conectados con el fin de causar daño a ellos (apagando la calefacción y causando que las tuberías estallen en invierno, por ejemplo).
Sin embargo, la mayoría de los hackers criminales quieren obtener dinero. Por lo tanto, los ataques más comunes serían aquellos que usan las debilidades de los sistemas como puntos de acceso para eventualmente obtener datos valiosos guardados en la red del hogar. También es posible que los dispositivos que no son seguros pudieran ser comprometidos con el fin de vigilar un objetivo físico de robo potencial. Un hacker eficiente incluso podría desbloquear las puertas, haciendo del robo un acto bastante fácil. AV-Test indica que el potencial para difundir ransomware por los varios dispositivos conectados también puede ser tentador para los atacantes. Sería difícil no pagar el dinero de rescate si toda tu casa simplemente deja de funcionar.
AV-Test enfocó su prueba en si la comunicación entre los dispositivos estaba cifrada, en si los equipos exigían o no una autenticación activa predeterminada (contraseñas para el acceso físico o de la web), y su susceptibilidad para ataques remotos.
La comunicación hacia y desde los productos de Gigaset, RWE y QIVICON siempre está cifrada y considerada segura por AV-Test. iConnects también encripta sus comunicaciones, pero AV-Test dice que su cifrado puede ser sobrepasado con facilidad. Los otros productos observados en la prueba – iComfort, tapHome y XAVAX MAX! – ni siquiera usaban cifrado.
Esta falta de cifrado significa que cualquier comunicación de la casa inteligente puede ser interceptada con facilidad. Un hacker podría, por tanto, monitorizar toda la comunicación hacia y desde estos dispositivos, implantar códigos spoofing para manipular los dispositivos o incluso solos monitorizarlos para hacer deducciones para saber si los residentes están en casa o no.
La falta de cifrado significa que cualquier comunicación de la casa inteligente puede ser interceptada con facilidad
Tweet
El producto iComfort no requiere ninguna autenticación, lo que significa que cualquier hacker remoto podría lanzar ataques basados en la web contra el sistema. Los sistemas de iConnect y XAVAX MAX! requieren autenticación para el acceso desde la web, pero no para acceso físico y local. tapHome requiere una autenticación interna, pero, como observa el informe, esta medida es básicamente irrelevante considerando la falta de cifrado del producto. Gigaset Elements, RWE Smart Home y QIVICON requieren tanto autenticación para acceso de la web como para acceso físico (además de tener una comunicación segura).
Aquí están las noticias buenas: AV-Test cree que si los creadores de estos productos toman el tiempo para desarrollar un concepto sólido de seguridad en vez de apresurarse a sacar sus productos al mercado, entonces es muy posible crear sistemas de casas inteligentes seguros. Y aquí la otra noticia buena, si estás pensando en comprar uno de estos sistemas, AV-Test te dice lo que tienes que buscar: sistemas que siempre requieren autenticación y usan cifrado en sus comunicaciones.