Análisis de amenazas

El Internet de las cosas: Cómo las vulnerabilidades de una simple cafetera simbolizan un mundo de riesgos

Martin Hron, 30 septiembre 2019

Hemos hackeado una cafetera de mil maneras. La hemos convertido incluso en una herramienta de ransomware y en una puerta de entrada a la red doméstica

Imagina la peor pesadilla del Internet de las cosas: tus dispositivos inteligentes te atacan. Ahora, imagina algo aún más horrible: tu fiel cafetera “inteligente” deja de prepararle el café matutino.

Como hacker e ingeniero de «sombrero blanco» que soy, me aterra una situación que me haga quedarme sin una taza de mi café favorito por la mañana. Así que, para explorar las vulnerabilidades de los dispositivos inteligentes, inspiré hondo y pirateé una cafetera.

¿Qué es lo peor que podría pasar? ¿Qué a un hacker le queme el café? Pues no: fuimos capaces de configurar la cafetera para convertirla en una máquina de ransomware. E hicimos algo aún más siniestro: pudimos usar la cafetera como portal para espiar todos los dispositivos conectados a la red doméstica.

Y, además, no había café. (Perdón por meterte tanto miedo).

Aprovechamos un problema muy habitual: Como tantos dispositivos inteligentes, la cafetera venía con una configuración predeterminada y una conexión Wi-Fi, de modo que funcionara nada más sacarla de la caja. No hacía falta ninguna contraseña para conectarse al aparato por Wi-Fi, así que fue muy sencillo cargarle código malicioso.

Llevamos el pirateo del dispositivo hasta el extremo: lo convertimos en una máquina de ransomware y lo utilizamos como portal para piratear a su vez toda una red doméstica. No nos detuvimos en la cafetera: queríamos demostrar el potencial del pirateo en un mundo de dispositivos inteligentes.

Investigaciones recientes de Avast y la Universidad de Stanford muestran que el 66 % de los hogares estadounidenses tiene al menos un dispositivo IoT, una cifra que desciende al 40 % si se tiene en cuenta todo el mundo. El número relativamente pequeño de fabricantes (100 empresas crean el 90 % de los dispositivos) sugiere la posibilidad de aprovechar vulnerabilidades similares para realizar ataques a gran escala.

La cafetera que pirateamos seguramente sea como la que tienes en casa o en la oficina. Hace café cuando se aprietan algunos botones en la máquina... o cuando se la opera desde una aplicación en el teléfono móvil o la tableta.

Muchos dispositivos IoT se conectan en un primer momento a tu red doméstica a través tu red Wi-Fi propia, cuya finalidad es únicamente configurar la máquina. Se supone que, después de este paso inicial, el consumidor protege de inmediato esa red Wi-Fi mediante una contraseña. Pero muchos dispositivos se venden sin una contraseña que proteja la red Wi-Fi y muchos clientes no la establecen. Esto supone una grave vulnerabilidad, ya que esa red Wi-Fi es pública: todo el mundo puede verla. Por tanto, los hackers pueden verla y utilizarla para poner en riesgo el dispositivo inteligente, por ejemplo, cargando en él software malicioso. Una vez pirateado el dispositivo, es posible hacerlo también con otros dispositivos del hogar. De hecho, es posible acceder a toda la red a través de un solo dispositivo inteligente. Los malos pueden incluso acceder a los ordenadores y dispositivos móviles conectados a la red.

Nos infiltramos en la cafetera vía Wi-Fi e instalamos actualizaciones maliciosas de software que llevaron al aparato a hacer cosas inesperadas y potencialmente peligrosas. Hicimos que la placa se sobrecalentara, lo que podría provocar un incendio. Hicimos caer agua hirviendo sobre el quemador. Logramos incluso que la cafetera enviara mensajes de ransomware exigiendo pagos.

Aquí tenemos una situación más grave: no llega a saber nada ni de la cafetera pirateada ni de ninguno de los otros dispositivos inteligentes conectados a ella. Recuerda: es posible piratear la cafetera de forma remota para utilizarla como portal al resto de la red. Esto significa que los hackers podrían tener acceso a todo: los correos electrónicos enviados desde la red Wi-Fi, los datos de pago cuando compra en línea, el sistema de seguridad de la casa, el monitor del bebé... Todo.

Ese es el riesgo que se corre cuando se conectan dispositivos IoT sin protegerlos. Y millones de personas hacen precisamente eso, sin comprender lo expuestos que quedan. Por eso decidimos piratear la cafetera: para que todo el mundo despierte y recapacite... mientras bebe un delicioso café caliente.

Soluciones de seguridad para el Internet de las cosas

¿Qué puedes hacer para proteger tu hogar inteligente? A continuación, exponemos alguno consejos de seguridad para el Internet de las cosas.

  • Protege tu red inalámbrica: la seguridad de la red IoT comienza y termina en el router. Viene con una contraseña predeterminada, así que deberás cambiarla inmediatamente por otra más compleja.
  • No olvides la ciberseguridad: próximamente lanzaremos productos de seguridad para el Internet de las cosas, como Avast Smart Home Security.
  • Cambia las contraseñas predeterminadas: esto sirve para cualquier dispositivo que venga con una contraseña predeterminada, no solo el router.
  • Conoce tus dispositivos: puede ser tentador sacarlos corriendo de la caja y darle al botón de encendido, pero es indispensable que pensemos en los dispositivos conectados como si fueran algo más que un gadget.
  • Actualiza siempre lo antes posible: queremos insistir en este aspecto: es importantísimo mantener actualizado el firmware de los dispositivos conectados con las últimas versiones y parches disponibles.
  • Conecta un aparato solo si es necesario: si no es imprescindible que la cafetera o las bombillas sean «inteligentes», sigue usando las tradicionales.

Existen riesgos, pero también hay soluciones. No hay que temer a la horda de dispositivos IoT que se nos avecina. Solo tenemos que mantenernos alerta al incorporarlos y proteger la red: de este modo, podremos aprovechar sus ventajas de forma segura.