Entre los dispositivos más hackeables están los juguetes como el BB-8 de Star Wars y los relojes inteligentes. Fotos: Computerworld / IDG y Pixabay
Muchos de los dispositivos que utilizamos día a día son más vulnerables de lo que crees.
Según la consultora Gartner, especializada en tecnologías de la información y comunicación, hoy en día hay más de tres billones de dispositivos conectados en uso por los consumidores y este número alcanzará los 4 billones para el próximo año.
Gran parte de ese incremento vendrá como resultado de las épocas festivas, cuando el 65% de los estadounidenses han dicho que planean comprar regalos electrónicos. Así lo indicó un reporte de la Asociación de Consumidores de Dispositivos Electrónicos en octubre. El gasto en tecnología alcanzará los USD 34,2 mil millones haciendo de estas fechas las más rentables para los vendedores de estos productos, indicó Shawn DuBravac, jefe de economía y ex director de investigación de la organización.
Muchos de estos regalos serán dispositivos conectados como Smart TVs, tabletas, teléfonos inteligentes, laptops, y consolas de videojuegos. Adicionalmente, un tercio de todos los consumidores (33%) planean comprar productos con tecnologías emergentes como dispositivos para hogar, wearables, smartwatches y drones.
Desafortunadamente, muchos de estos dispositivos aumentarán la vulnerabilidad de los hogares a los hackers.
Tabletas
Al igual que con un ‘smartphone’, la seguridad de una tableta depende en gran medida del sistema operativo que utiliza. A pesar de los dispositivos iOS se han visto comprometidos varias veces, el 97% de todo el malware afecta a Android, según un reporte de seguridad móvil de Pulse Secure.
El ecosistema iOS ofrece algunas ventajas en temas de seguridad sobre su competencia, Android, incluyendo un control más estricto de las aplicaciones permitidas en el App Store y la habilidad de proveer actualizaciones que mejoren la seguridad de sus dispositivos para todos los usuarios. Las actualizaciones de seguridad de Android, por otro lado, típicamente tienen que ir a través de proveedores individuales, lo cual involucra retrasos de varios días.
Pero las tabletas también tienen otros riesgos. “Las tabletas son usadas en gran medida como son usadas las laptops y contienen documentación con información sensible relacionada al trabajo”, dijo Bruce Snell, director de seguridad y privacidad de Intel Security. “Pero a diferencia de las laptops, las tabletas no son tratadas con el mismo nivel de seguridad, especialmente en espacios con políticas de llevar su propio dispositivo” (mejor conocidas como BYOD, por ‘bring your on device’).
Teléfonos inteligentes
De acuerdo al Pew Research Center, el 68% de los adultos estadounidenses hoy tienen un teléfono inteligente y las compras a través del móvil se prevé que sume el 30% de todas las ventas en línea durante este año, de acuerdo a Internet Retailer.
Más de la mitad de los dueños de ‘smartphones’ hace transacciones bancarias a través del móvil y 1,4 billones de personas se conectan a Facebook cada mes usando sus teléfonos.
“Con nuevos modelos de teléfonos inteligentes y tabletas produciéndose a lo largo del año, estos dispositivos son obsequios ideales para amigos y familia que buscan el último teléfono en el mercado”, opinó Snell. Pero varios usuarios no se dan cuenta que estos dispositivos pueden ser un tesoro valioso para criminales potenciales.
No son solo las cuentas en redes sociales, el comercio en línea y el acceso a las cuentas bancarias que exponen a los hackers que pueden robar o irrumpir en la información del teléfono. También hay correos electrónicos, fotos y videos privados, contactos personales y de trabajo, credenciales de acceso para redes domésticas y empresariales e información de ubicación.
Además, los atacantes pueden activar el micrófono del ‘smartphone’ de forma remota para escuchar conferencias y reuniones corporativas, o seguir la ubicación del dueño del dispositivo.
De acuerdo a Snell, un factor importante en la seguridad de los teléfonos es, al igual que con las tabletas, el sistema operativo que utilizan. “La principal diferencia está entre iOS y Android”, aseguró.
El comportamiento de los usuarios también es significativo, muestran algunos estudios. Según una investigación publicada este año por Kaspersky Lab y B2b International, el 30% de usuarios de Android no protegen sus teléfonos con contraseñas, y el 44% de usuarios de Android no tienen software anti-malware instalado en sus dispositivos.
El aumento en el uso de accesorios con Bluetooth hace de los ‘smartphones’ incluso más vulnerables, indicó Snell. “Algunos dispositivos usan las contraseñas predeterminadas de emparejamiento con otros dispositivos como 0000 o 1234, permitiendo así que los cibercriminales puedan acceder a un dispositivo”, aseguró.
Y no es todo, continuó. “El mayor problema con la conectividad Bluetooth es que solo requiere la autenticación una vez”, dijo. “Después de emparejar una vez, el dispositivo se considera de confianza. Esto deja la puerta abierta a más ataques a través del accesorio conectado”.
Drones
El mercado para drones sigue en pañales, pero a medida que estos dispositivos se hacen más populares, se convertirán en objetivos más frecuentes de los ataques de los hackers, dijo Snell. Los atacantes pueden usar las vulnerabilidades del dispositivo para robarlo o, si es usado para entregas, robar su carga. “La posibilidad de hackear un dron conectado a wifi es real”, alertó el experto.
Por ejemplo, este verano, en la conferencia de seguridad Def Con, un investigador de la firma de seguridad Planet Zuda, demostró cómo hackear un dron Parrot.
Dispositivos con cámaras
Este año se ha visto un creciente número de reportes de hackeo de monitores de bebés, cámaras de cuidado infantil y otros similares. Todos los dispositivos que dispongan de una cámara y que estén conectados son potencialmente vulnerables, aseguró el director de seguridad y privacidad de Intel. “Hay numerosos sitios web catalogando cámaras sin protección que pueden mostrar videos privados”, añadió.
A principios de otoño, por ejemplo, la empresa de seguridad Rapid7 hizo una revisión de los monitores de bebés más populares de seis fabricantes y encontró que todos tenían problemas de seguridad importantes como falta de encriptación para comunicación y almacenamiento de datos y advirtieron que este podría ser solo la punta del iceberg.
Los delincuentes pueden usar estos dispositivos para invadir la privacidad, robar videos grabados, hacer seguimientos de cuándo las personas están en casa o usar estos dispositivos para acceder a la red local. “Es importante acentuar que la mayoría de vulnerabilidades discutidas en este artículo son muy fáciles de explotar para los atacantes”, aseguran.
El reporte obtuvo una atención mediática significativa y la mayoría de fabricantes se apresuraron a buscar soluciones al problema. La falla detectada en los modelos de Summer Infant fueron resueltos en 48 horas”, aseguró un vocero de la compañía.
TRENDnet encontró que todos los atacantes no solo necesitaría un acceso físico a la cámara, sino que debería reorganizar el circuito para poder sacar provecho de esta vulnerabilidad. Pero la actualización de firmware ya está disponible y todos los usuarios recibirán una notificación vía correo electrónico para descargarla.
El modelo de Philips que fue analizado, el In.Sight Wireless HD Baby Monitor, es un producto descontinuado que estaba siendo producido por otra compañía, Gibson Innovations, a través de la firma Philips. Ambas compañías trabajaron juntas y arreglaron el problema en septiembre, poco después de que el reporte de Rapid7 se publicara. Las empresas actualizaron los servicios en la nube que estaban comprometidos, el firmware y actualizaron las aplicaciones de iOS y Android.
Elnaz Sarraf, vicepresidente de iBaby Labs, notificó que su compañía ha tomado una serie de acciones para resolver el problema de seguridad, incluyendo la protección de las comunicaciones entre el monitor, las aplicaciones y el servicio asociado en la nube.
Según un portavoz de Gynoii, la compañía ya ha actualizado el producto con el nuevo firmware, y los clientes existentes lo podrán descargar en los próximos días. Laboratorios Lens no ha respondido a nuestra solicitud de comentarios.
Aparatos para niños
Según Snell, dispositivos que conectan los niños con la Internet pueden permitir a los delincuentes dirigir sus ataques al niño y la familia. Por ejemplo, muchos niños utilizan direcciones de correo electrónico y dispositivos de sus padres para acceder a las aplicaciones que controlan sus gadgets.
“Si la aplicación móvil del niño está infectada, le da un hacker el acceso directo a los datos de los padres”, dijo Snell. “Esto puede resultar en que el malware se instala y los atacantes pueden acceder a información personal”.
Uno de estos juguetes es BB-8 Droid de Star Wars, que puede ser controlado a distancia con una aplicación de teléfono inteligente.
“El eslabón débil no es sólo en el protocolo de comunicación entre el teléfono y BB-8, también hay un riesgo de modificación de firmware del juguete”, explicó Chris Rouland, fundador y director de tecnología de la empresa de seguridad Bastille Networks.
Otro juguete popular en esta temporada es la muñeca Hello Barbie de Mattel, dijo. “De acuerdo al sitio de preguntas frecuentes de la muñeca, una conexión a Internet permite la conexión a la nube de ToyTalk donde se almacenan miles y miles de líneas de diálogo”, indicó. “Por supuesto, la política del proveedor manifiesta que tiene mucho cuidado con las conversaciones grabadas”.
Relojes inteligentes
A principios de este año, HP probó 10 de los ‘smartwatches’ más populares y encontró problemas de seguridad significativos con todos ellos. La mitad, por ejemplo, no tenía un código de acceso u otro mecanismo de bloqueo, por lo que cualquier persona que recogiera el reloj podría entrar en él.
Muchos tuvieron problemas con la distribución de las actualizaciones de seguridad, con autenticación o con cifrado. Las aplicaciones asociadas a los dispositivos también tenían problemas de seguridad, lo que plantea riesgos a la privacidad personal. Y, si los hackers pueden acceder a un ‘smartwatch’, podrían también acceder al dispositivo móvil o la red a la que está conectado.
Además, de acuerdo con Daniel Miessler, jefe de investigación de seguridad de HP, el mercado es tan nuevo que es difícil para los consumidores a aprender acerca de los problemas de seguridad con dispositivos específicos. HP, por ejemplo, no dio a conocer las marcas de los relojes probados.
Fitness Trackers
Según Snell, de Intel Security, un hacker que irrumpió en un dispositivo de seguimiento de aptitud o su página web asociada potencialmente podrían acceder a información privada. Pero, más que eso, los hackers podrían utilizar el dispositivo para entrar en el ‘smartphone’, tableta, computadora o red doméstica asociados al fitness tracker, dijo Snell de Intel de Seguridad. “Es un dispositivo de puerta de enlace”.
Y, de hecho, en octubre, un investigador de seguridad de la empresa Fortinet demostró que los populares trackers de Fitbit podrían ser atacados a través de sus conexiones Bluetooth. Pero Sash Biskup, director de seguridad de Fitbit, aseguró que mientras que un atacante pueda enviar datos a un Fitbit y ver que los datos hacen eco de vuelta, no había problema de seguridad, y que era imposible enviar esta información a un ordenador conectado o utilizar el error de software para distribuir malware.
“No hay una vulnerabilidad con este error de software”, explicó. “No es posible hacer a nuestros clientes hacer nada con estos datos. Pasamos mucho tiempo mirando esto”.
Fortinet, sin embargo, no se echa para atrás de su afirmación de que Fitbit tiene una vulnerabilidad que permite a un atacante “inocular un dispositivo Fitbit con un código arbitrario que podría ser enviado a los equipos a los que el dispositivo se conecta a través de Bluetooth”.
“Nos mantenemos en la declaración”, dijo Sandra Wheatley Smerdon, vicepresidenta de la compañía para las comunicaciones corporativas globales. “No estoy al tanto si Fitbit ha arreglado la falla y no hemos actualizado nuestra investigación“.
Participa en nuestra encuesta:
#contenedor{margin: 0;padding:0;position:relative;height:33px;margin:0pxauto;}#logo{position:relative;padding:0px10px0px0px;float:right;height:auto;}