¿Estamos protegidos en casa de los ciberataques? ¿Podríamos estar siendo espiados mientras nos comemos un sándwich frente al televisor o pasamos la aspiradora? La respuesta es rotundamente sí. Y si dijéramos lo contrario no se entendería por qué muchas personas suelen tener la cámara de su portátil tapada con un trozo de papel o por qué a veces desenchufamos nuestro altavoz inteligente por si acaso alguien nos está escuchando.
Todos tenemos cierto temor a los dispositivos electrónicos inteligentes que llenan nuestra casa: Smart TV, altavoz, bombilla, termostato, videoportero, enchufe, interruptor, vigilabebés, aspiradora, alarma… Estos forman parte de lo que conocemos como el Internet de las cosas (IoT, por sus siglas en inglés). Pero ¿qué es realmente el Internet de las Cosas (IoT)? Pues son, explicado de manera sencilla, aparatos que tienen la capacidad de conectarse a la red y ejecutar órdenes, pero sin ser considerados un ordenador. Pueden ser electrodomésticos, juguetes, sensores aunque, por supuesto, también ordenadores.
Según uno de los últimos informes de Strategy Analytics, el número de dispositivos conectados a Internet en todo el mundo alcanzó los 22.000 millones en 2018. La cifra es lo suficientemente alta como para tenerla en cuenta y pensar que son muchas las “ventanas” que tenemos abiertas en los hogares. Por cada una de ellas podría salir información privada sobre nuestra vida y nuestros comportamientos.
Una puerta a nuestra intimidad que se abre sola
Hace tan solo unos días, varios medios de comunicación internacionales desvelaron el grave alcance del software espía Pegasus, producido por la compañía israelí NSO Group. Se trata de un programa de espionaje muy potente y muy difícil de combatir, ya que se instala de forma secreta en teléfonos móviles para poder acceder a toda la información guardada. Permite acceder a los mensajes de texto, las llamadas, activar la cámara o el micrófono y saber la localización de la persona que lleva el móvil. Se ha utilizado para vigilar a periodistas, activistas y defensores de los derechos humanos y algunos ya lo han denunciado.
No hablamos de nada especialmente sofisticado ni de algo que pueda combatirse con un antivirus. Hace poco más de un año salió a la luz que una marca de aspiradoras inteligentes estaba recabando información sobre el diseño de cada hogar. Colin Angle, director ejecutivo de iRobot, la marca del modelo en cuestión, dejó clara su intención de compartir esos datos con las grandes empresas del mundo de la domótica para el desarrollo de casas inteligentes.
Hace ya tiempo que los patrones de movimiento que utiliza la marca Roomba se usan para adaptar mejor las rutinas de limpieza de cada casa donde se utiliza y saber su distribución. Los modelos con wifi permiten programar el robot en remoto a través de un smartphone y programar las rutinas de limpieza durante varios días seguidos.
Pero hay más espías en casa. Con la ayuda del Instituto Check Point para la Seguridad de la Información (CPIIS) de la Universidad de Tel Aviv, varios investigadores pudieron tomar el control de una bombilla inteligente e instalarle un software malicioso. Los hackers controlaban el brillo y el color para hacer pensar a los usuarios que tenía un fallo. Estos últimos intentaban reiniciar desde la app. Al hacerlo, el usuario conectaba de nuevo la bombilla, que ya introduce un malware en el sistema. Philips, propietaria de la bombilla, confirmó el fallo.
Las cámaras de vigilancia de los bebés también son vulnerables. En 2019 Amazon retiró la iBaby Monitor M6s, que se vendía por 129,95 euros. Un fallo permitía a un atacante tener acceso a las imágenes y vídeos grabados por estos sistemas de seguridad, incluso a los códigos y contraseñas de acceso.
¿Qué información envían nuestros electrodomésticos?
Pero la ciencia siempre es capaz de llegar más lejos de lo que imaginamos y un grupo de investigadores y científicos informáticos, en colaboración con la universidad estadounidense de Princeton, ha desarrollado una herramienta con la que podemos saber qué información están enviando a sus servidores los aparatos conectados de nuestras casas. El IoT Inspector es una herramienta open source para ordenadores de sobremesa que se puede descargar de forma directa y gratuita desde su propia web.
En cualquier caso, las soluciones empiezan por uno mismo y por seguir una serie de recomendaciones básicas como cambiar periódicamente las contraseñas de los productos conectados, estar muy pendientes de las actualizaciones de los equipos o asegurarse de que el fabricante cumple con las normas de seguridad adecuadas.
Un informe del Incibe (Instituto Nacional de Ciberseguridad) titulado Seguridad en la instalación y uso de dispositivos IoT da una serie de recomendaciones para empresas sobre el uso de los dispositivos IoT que resulta extremadamente útil también para cualquier ciudadano que quiera aplicarlo en su casa:
- Minimizar el uso de dispositivos IoT en la empresa utilizando únicamente los que sean estrictamente necesarios.
- No usar, en la medida de lo posible, dispositivos IoT que transmitan información o cuya gestión se realice desde servidores externos en la Nube aunque sea del fabricante.
- Comprobar las configuraciones por defecto del dispositivo, especialmente antes de permitir su acceso desde Internet y, de ser posible, elegir aquellos dispositivos que permitan un elevado nivel de seguridad.
- Si no es posible establecer configuraciones de seguridad robustas no se permitirá el acceso al dispositivo desde Internet y preferiblemente tampoco desde la red local.
- Establecer siempre contraseñas de acceso y administración robustas. Siempre que sea posible se forzará su uso.
- Mantener actualizado el dispositivo a la última versión.
- Mantener abiertos a Internet únicamente aquellos servicios que sean necesarios para su administración remota y los que no lo sean se deben deshabilitar. También hay que cambiar los puertos de los servicios cuando sea posible.
- Utilizar dispositivos de seguridad perimetral como cortafuegos para proteger la seguridad del dispositivo IoT.
- Emplear mecanismos que permitan asegurar la autenticidad, integridad y confidencialidad de las comunicaciones, especialmente si estas se realizan vía wifi.
- Auditar periódicamente los dispositivos IoT.
- Concienciar a los empleados sobre la importancia de la ciberseguridad en el día a día de su trabajo y en la administración y uso de este tipo de dispositivos.
- Comprobar la seguridad física del dispositivo y aplicar las medidas necesarias que eviten manipulaciones de terceros
El peligro radica en que al recopilar datos de una variedad de dispositivos a lo largo del tiempo se pueden identificar patrones, contraseñas predeterminadas, bibliotecas vulnerables, falta de autenticación… Esos factores por sí solos no pueden garantizar que un dispositivo se vea atacado, pero con suficientes datos obtenidos a lo largo del tiempo la probabilidad sería real.