Los productos IoT hacen la vida más fácil, pero crean perversos problemas de seguridad

Ojo con esto: unos investigadores de seguridad y datos de la Universidad de Indiana, poniendo a prueba las vulnerabilidades frente al hacking de una olla de cocción lenta conectada a internet, han conseguido controlar fácilmente el aparato y otros conectados al mismo router de Wi-Fi. Eso sí: no ven riesgo de que un agresor vaya a prenderle fuego a distancia. Esa es la buena noticia.

Ahora viene la mala noticia: la conectividad a internet está incorporada al diseño de muchos más aparatos de los que el consumidor cree, incluidos utensilios de cocina en suspensión, sistemas de entretenimiento en casa y juguetes. Los consumidores han adoptado un enjambre de robots que les permiten optimizar el consumo de energía y simplificar aspectos de su vida mediante la generación, recolección e intercambio de datos por el Internet de las cosas (o IoT, por sus siglas en inglés).

Estamos llegando a un punto en el que los compradores ni siquiera saben que están generando datos, por no hablar de quién tiene acceso a ellos ni lo que ello supone para su privacidad, seguridad e integridad física. Y cada vez es más difícil no ser parte de ese sistema.

Un grupo de investigadores del centro de Seguridad y Privacidad en Informática, Ordenadores e Ingeniería (SPICE, por sus siglas en inglés) de la Universidad de Indiana y su Centro de Investigación del IoT en Bloomington (EE. UU.) han hecho saltar las alarmas.

El Centro de Investigación del IoT ha puesto en marcha un laboratorio “vivo” llamado IoT House (o “casa IoT”), que financia una ayuda de cinco años de la Fundación Nacional de Ciencias. Es ni más ni menos que una casa, repleta de alarmas de humo, termostatos, sistemas de iluminación, juguetes, electrodomésticos y otros aparatos, todos ellos conectados al internet de las cosas.

“Le pedimos a la universidad una red en la que muchos de los sistemas de seguridad estuvieran limitados, imitando los de una casa común y corriente”, explica Joshua Streiff, director de proyecto en la IoT House. El entorno de la casa está cuidadosamente aislado de la red de la universidad para evitar exponer a los usuarios académicos de las inmediaciones al tráfico en la red abierta de par en par que suele darse en un hogar cualquiera. Los investigadores envían sus hallazgos a la industria y la academia a medida que descubren brechas en la seguridad de los productos.

Streiff coge un colorido unicornio de peluche, un juguete llamado CloudPet. Con él, el niño puede enviar y recibir mensajes de voz a través de un módulo Bluetooth de bajo consumo (o BLE) instalado en el interior de su cuerpo afelpado y conectado a una app móvil, que sube los datos a un servidor en la nube. Adorable… y espeluznante.

“Los investigadores pasaron años advirtiendo de los peligros del unicornio CloudPet. Básicamente, su diseño no cuenta con ningún tipo de seguridad”. —Joshua Streiff, director de proyecto, IoT House

“Los investigadores pasaron años advirtiendo de los peligros del unicornio CloudPet —narra Streiff—. Básicamente, su diseño no cuenta con ningún tipo de seguridad. Finalmente Mozilla convenció a Amazon e eBay que lo retiraran del mercado, así que la marca dejó de fabricar, pero los juguetes siguen por ahí. A veces los fabricantes dejan de vender aparatos de IoT como ese, pero casi nunca los reclaman”.

El problema es que un hacker podría usar el juguete para rastrear la ubicación de un niño y mandarle mensajes falsos a través de él. “Si tuviera mala intención, podría pasearme en coche por un barrio y localizar las casas en las que viven niños —explica Streiff—. Podría encontrar el módulo BLE del unicornio y enviarle mensajes de voz para convencer al niño de que soy su padre y persuadirlo para que saliera a la calle”.

El pasado diciembre, el Washington Post se hizo eco de la noticia de unos padres que descubrieron a un hacker gritando obscenidades y amenazas a través de su Nest Cam, que utilizaban de intercomunicador de bebé. “No habían hackeado la Nest —dice Behnood Momenzadeh, un doctorando que trabaja en la IoT House—. Lo que hackearon fueron las cuentas de correo electrónico de la gente; de ahí los hackers pudieron acceder a sus cuentas de Nest y cambiar los permisos. Así que una combinación de tecnologías es lo que puso a esa familia en peligro”.

El osito de peluche inteligente de Fisher-Price nos da otra lección práctica. El juguete está diseñado para “hablar, escuchar y aprender”, y tiene una cámara de vídeo instalada en la nariz. No graba, pero siempre está conectada. “El osito supone un peligro, pues los diseñadores dieron por hecho que nadie abriría el aparato y miraría en el interior”, dice Streiff.

Básicamente, el oso contiene una tableta Android completa. “Puede hacer todo lo que hace una tableta, incluido grabar vídeo y mandar correos— cuenta Streiff—. Tiene un puerto de datos. Te puedes comunicar con él usando un teclado remoto. Para hackear el aparato hay que abrir el oso, pero en tres minutos puedes adueñarte de él desde cualquier parte del mundo”.

Las intrusiones por la puerta trasera también se dan en webs supuestamente seguras. El año pasado, agentes de seguridad descubrieron un robo de datos en el que unos cibercriminales habían robado la lista de grandes apostadores de un casino, accediendo a través de una brecha en la seguridad del termostato conectado al IoT del acuario del vestíbulo. No existe prácticamente ningún hogar que cuente con el tipo de seguridad de datos profesional que tiene un casino.

Volvamos a la olla de cocción lenta: el fabricante es Belkin e incorpora Wemo, la tecnología de la marca para conectividad inalámbrica al IoT. El problema, según Streiff, es que el diseño del sistema da por hecho que quien instala la olla también ha de ser dueño de todo lo demás que esté conectado a esa red. El software está diseñado para buscar otros aparatos inalámbricos compatibles a los que conectarse, y darle a quien lo haya instalado el control y acceso total a esos aparatos también. Por si fuera poco, ese control se puede establecer para tener acceso remoto desde cualquier ubicación del mundo.

“Puede que sea genial poder controlar mi olla desde el móvil, pero esto supone que también puedo controlar todo lo demás que no cuente con su propia contraseña individual; y, así como puedo yo, también puede cualquiera que acceda a la olla —expone Streiff—. Si el termostato y el frigorífico pueden comunicarse, el consumo total de la electricidad en la casa puede mejorar enormemente. El problema viene cuando un hacker puede subirme a propósito (y mucho) la factura de la luz mediante un aparato como la olla sin necesidad de poner un pie en mi casa”.

Los diseñadores están acostumbrados a hacer sacrificios. Los ingenieros buscan la seguridad y la protección de la privacidad del cliente; los vendedores lo único que quieren es que a la gente le guste usar el aparato. Buscan el término medio entre la seguridad y la facilidad de uso. Quieren que los aparatos de todos los fabricantes se puedan conectar a los del resto, por la misma razón por la que un mando a distancia universal es mejor que tres. “El usuario quiere una app para gobernarlos a todos”, dice Streiff.

A los investigadores les preocupan especialmente los aparatos con cámaras, pero existe una inquietud similar con los que graban sonidos, especialmente los altavoces interactivos regulados por voz, cada vez más populares, como el Echo de Amazon y sus competidores. Los medios han alertado de “altavoces inteligentes” que han grabado conversaciones privadas y se las han enviado a otras personas. (Las “historias siniestras de altavoces inteligentes” son ya un clásico en foros de comentarios como Reddit.)

¿Pueden los nuevos diseños librarse de vulnerabilidades como estas en los aparatos IoT del hogar? Y, mientras tanto, ¿qué pueden hacer los consumidores para evitarse problemas?

El equipo de investigación de SPICE ofrece unas cuantas sugerencias: la primera es cambiar las contraseñas por defecto. Muchos ataques empiezan con software de bots, como el maquiavélico Mirai, que husmea por internet buscando aparatos concretos y luego hace un sondeo para comprobar si los dueños han cambiado las contraseñas que vienen de fábrica y el dueño del bot ya conoce. Si no las han cambiado, el hacker puede hacerse con el control de ese aparato en un instante.

El equipo de IoT House está desarrollando y sometiendo a pruebas un sistema más avanzado que usa MUDS (del inglés Manufacturer Usage Description Specification) para perfilar modos más adecuados de comunicarse para aparatos IoT. Si uno de dichos aparatos empieza a comunicarse más allá del radio esperable, el sistema bloquea la comunicación y avisa al usuario. De esa forma, si un osito de peluche que debería estar comunicándose con un servidor de la nube conocido empieza a hacerlo con un servidor desconocido en Europa del Este, el sistema protegerá a la casa y sus ocupantes. Este sistema carga la responsabilidad de cumplir con ciertas expectativas al fabricante.

Mientras la industria desarrolla nuevos estándares de reducción del riesgo, los usuarios deberían autoeducarse: han de investigar los detalles del aparato IoT antes de comprarlo o instalarlo. De una rápida búsqueda en Google probablemente salgan problemas habituales con el aparato. Si dicho producto no tiene problemas que se conozcan, pero la empresa tiene un historial de fallos de seguridad, también debería verse rápidamente. Un ejemplo sería una empresa que usa comunicaciones seguras y encriptadas frente a una que no lo hace.

En cualquier caso, los usuarios deberían pensar detenidamente en moderar el uso de ciertos aparatos. ¿Debería una familia reducir el uso de un juguete con cámara a ciertas habitaciones? ¿Deberían cubrir la cámara con cinta opaca cuando no se utilice, o tener el juguete apagado la mayor parte del tiempo?

A la larga, es improbable que se dé un cambio real por parte de los fabricantes hasta que los consumidores muestren un grado más alto de preocupación por los aparatos que incorporan a sus vidas. A la mayoría le cuesta imaginarse como víctimas de ataques cibernéticos: el sesgo mental del “por qué iban a atacarme a mí” limita el pensamiento crítico. La pregunta es: ¿quién está dispuesto a pagar por saber más de ti? “Mucha gente —responde Streiff—. Las empresas están acumulando una barbaridad de información sobre las personas sin ni siquiera saber aún cómo puede utilizarse ni cómo se utilizará”.