A pesar del gran crecimiento que está experimentando todo lo relacionado con el Internet de las cosas (IoT, Internet of Things), parece que la seguridad en estos dispositivos sigue siendo algo muy secundario o inexistente si tomamos como referencia el incesante goteo de noticias que aparecen constantemente y que hablan de problemas de todo tipo.
Bebés espiados por cámaras web
Unos de los dispositivos conectados que más populares se ha hecho en los últimos años han sido las cámaras IP. Suelen ser dispositivos relativamente baratos y que nos permiten vigilar remotamente la zona donde se instalan, permitiendo que nos conectemos a ellas desde nuestro ordenador, tablet o smartphone.
En esta categoría de dispositivos se incluyen aquellas cámaras utilizadas para monitorizar bebés, usadas por muchos padres alrededor del mundo para comprobar que sus hijos se encuentran bien mientras duermen o juegan en su cuarto y ellos están en otro lugar de la casa.
Para ello, este tipo de cámaras suelen conectarse a la señal WiFi del router doméstico y retransmite en directo todo lo que sucede, permitiendo a sus usuarios conectarse a ellas remotamente. Es esta capacidad de conexión remota la más preocupante, puesto que demasiadas veces no es todo lo segura que debería.
Debido a estos fallos de seguridad, no es raro encontrar noticias como la que analizamos hace un par de años, en la que se hablaba de un portal donde un usuario había recopilado miles de cámaras IP expuestas sin seguridad alguna. Aun sin disponer de portales como este, tampoco es especialmente difícil hacer una búsqueda en Google o Shodan y encontrar miles de estos dispositivos conectados y sin ningún tipo de contraseña.
Durante estos días, la inseguridad de este tipo de cámaras se ha vuelto a poner en entredicho debido al caso denunciado por una madre de Austin, Texas, que ha llamado la atención hasta del FBI. Según su declaración, la cámara funcionaba aparentemente bien hasta hace unas semanas, cuando descubrieron que un usuario que no eran los miembros de la familia estaba conectado a la cámara IP que utilizaban para vigilar a su hija.
Además, el atacante controlaba remotamente la cámara e incluso la llegó a mover un par de veces antes de que decidiesen desconectarla definitivamente. Aparentemente, la pareja había tomado las precauciones necesarias, ya que cambiaron la contraseña que venía por defecto por otra nueva.
Varios investigadores se han hecho cargo de este caso y están estudiando este ataque. Por desgracia, aun cambiando la contraseña que viene por defecto, este tipo de cámaras suelen tener muchas vulnerabilidades que no son arregladas por los fabricantes, permitiendo que otras personas además de sus dueños legítimos puedan acceder a ellas.
Pornografía en la nevera
Otro incidente reciente que está relacionado con el Internet de las cosas es el de una fotografía publicada en Twitter por nada menos que John McAfee, uno de los pioneros de la industria antivirus, en la que se aprecia una nevera con conexión a Internet mostrando el contenido de una conocida página web de contenido pornográfico en su pantalla táctil.
Esta fotografía es solo un ejemplo de cómo un añadido a algo tan básico como un electrodoméstico puede ser utilizado con otros fines diferentes a los que estaban planificados inicialmente. En realidad, tampoco podemos decir que se haya vulnerado la seguridad de la nevera, puesto que se está aprovechando una característica (pantalla táctil con conexión a Internet) para acceder a un contenido que no estaba pensado inicialmente.
Sin embargo, las neveras conectadas hace tiempo que empezaron a estar en el punto de mira de los investigadores y de algún ciberdelincuente. Durante la celebración de Defcon 2015 tuvimos la oportunidad de probar en persona uno de estos dispositivos y comprobar cómo se podían llegar a robar las credenciales de Google asociadas a la cuenta usada por el usuario y registrada en la nevera (¿en serio es necesario?) realizando un ataque man-in-the-middle entre este dispositivo y la red WiFi a la que se conecta.
Y esta es solo una de las muchas posibilidades que tendría un atacante, ya que, a casi todos los efectos, se trata de un dispositivo conectado que apenas se diferencia de otros como pueden ser un ordenador o un smartphone. Así pues, noticias como la que vimos en enero de 2014, en la que se descubrió que había neveras entre los dispositivos que estaban enviando grandes cantidades de spam, seguirán surgiendo a no ser que se tomen las medidas oportunas.
Conclusión
La inseguridad en el Internet de las cosas ya ha dado mucho que hablar pero lo seguirá haciendo cada vez más durante los próximos años, debido principalmente a la falta de soluciones a los problemas que ya se conocen. La gran mayoría de fabricantes de estos dispositivos apenas dedican recursos a su seguridad y luego nos encontramos con ejemplos como los que acabamos de ver.
A diferencia de otros dispositivos como los ordenadores, smartphones y tablets, donde el usuario puede implementar medidas de seguridad más o menos eficientes, en la gran mayoría de estos dispositivos del IoT las posibilidades de protegerlos se reducen drásticamente. Este es, sin duda, uno de los aspectos que más se han de mejorar si no queremos tener problemas en un futuro cercano.