Ciberseguridad en el hogar
Routers, Smart TV, robots de cocina o aspiradores, cerraduras inteligentes… son aparatos cada vez más comunes en nuestros hogares. Pero si no son ciberseguros pueden representar un riesgo. OCU y otras organizaciones europeas de consumidores analizan 16 dispositivos y encuentran muchas vulnerabilidades: entérate de cuáles son para evitar riesgos y tener un hogar a prueba de hackers.
Nuestros hogares cada vez están más equipados, y en ellos encontramos todo tipo de dispositivos, a menudo controlables desde el móvil. Estos equipos (desde las teles inteligentes a los robots o los sistemas de alarma) están pensados para facilitar nuestra vida, simplificar tareas. etc. Y lo hacen, pero al mismo tiempo nos exponen a la piratería informática y ya no solo debemos proteger la casa de ladrones, sino también de los ciberdelincuentes: si un hacker accediera a esos dispositivos con afán de controlarlos, veríamos comprometida nuestra seguridad y nuestra intimidad.
Tal vez pienses que no hay nada que haga de ti un objetivo para ciberdelincuentes, pero lo cierto es que tener un dispositivo inseguro en tu casa es un riesgo real: puede ser la puerta de acceso a otros dispositivos en su red, pueden acceder e inutilizar tus aparatos, dejar expuestos algunos datos personales y, en los casos extre, os pueden hacer que tus aparatos se "vuelvan" en tu contra: alterar tu termostato conectado, inundar tu lavadora o bloquear los frenos de tu coche.
Hogar "hackeable" = hogar expuesto
Los consumidores estamos preocupados por la ciberseguridad. En 2018 las organizaciones de consumidores del grupo Euroconsumers, OCU entre ellas, realizaron un estudio de ciberseguridad en el hogar. Ahora se ha repetido, ¿cuáles son los resultados del proyecto “Hogar Hackeable”? Pues no muy positivos: desde OCU advertimos de la posibilidad de hackeo de esos dispositivos inteligentes.
16 dispositivos a prueba
Dos investigadores expertos en ciberseguridad de la Universidad de Lovaina han realizado una exhaustiva auditoría de seguridad y confidencialidad a 16 dispositivos domésticos inteligentes: Smart tv, routers Wi-Fi, monitores para bebés, aspiradoras robot, procesadores de alimentos, timbres, cerraduras y sistemas de alarma, entre otros, así como a sus aplicaciones complementarias. Elegimos estos productos porque son habituales entre los consumidores.
En muchos casos compramos dos muestras del mismo tipo de producto, normalmente uno de una primera marca, y otro dispositivo adquirido en tiendas online a un precio mucho más bajo.
- Se han detectado un total de 54 fallos de seguridad entre estos dispositivos.
- 10 de los 16 objetos probados están afectados por una vulnerabilidad calificada de "muy grave" o "crítica".
- En general, hemos visto pocos progresos en materia de ciberseguidad de estos dispositivos respecto al estudio de 2018.
Los dispositivos baratos, menos seguros
Lo cierto es que muchos fabricantes aún ignoran algunas medidas de seguridad básicas.
Las vulnerabilidades críticas se encuentran principalmente en dispositivos económicos, como los que se encuentran a menudo en plataformas como AliExpress, Amazon, Wish…, fabricados en masa y generalmente a un precio mucho más bajo.
Muchos de los productos que se venden online de “marca blanca” son idénticos, o casi, en términos de hardware y software a los de otras marcas, con lo que son bastantes los dispositivos en el mercado que presentan las mismas vulnerabilidades
En general los dispositivos de primeras marcas suelen ser más ciberseguros: los problemas de sus dispositivos son menos graves… pero no siempre es el caso, y aun así se detectan problemas.
¿Cuáles son los riesgos?
En las pruebas realizadas se han encontrado distintos fallos que comprometen la privacidad o la seguridad de los usuarios. Algunos ejemplos:
- Routers Wi-Fi caros, como el TP-Link Archer AX73, se venden con contraseñas estándar muy fáciles de piratear, lo que pone a los usuarios en riesgo de que los hackers se conecten a sus redes domésticas.
- Smart TV muy populares, como la Samsung QE55Q60T, contienen aplicaciones que envían a terceros datos sensibles del usuario sin cifrar, lo que vulnera el derecho a la intimidad del propietario.
- Raykube es una cerradura de puerta inteligente que se vende en AliExpress y puede ser hackeada y abierta en pocos minutos.
- El vigilabebés Motorola Comfort Connect 85 puede en algunas circunstancias controlarse a distancia (se podría apagar el sensor de movimiento, reiniciar el dispositivo, acceder a la cámara...)
Estas son algunas de las 54 vulnerabilidades detectadas en los productos revisados... en la tabla podrás ver todos los detalles.
Los fabricantes deben mejorar
La Comisión Europea está trabajando en una nueva legislación que imponga requisitos de seguridad más estrictos a los equipos inteligentes, pero faltan años antes de que sean obligatorios. Para OCU, los fabricantes deberían implementar desde ya algunas medidas básicas de ciberseguridad para proteger a los consumidores, sin esperar a las nuevas normas. En concreto pedimos que:
- Realicen actualizaciones de seguridad. Cuando se comercializan, y durante la vida útil prevista, los dispositivos conectados deben protegerse contra cualquier vulnerabilidad conocida.
- Implementen métodos de autenticación seguros en todos los dispositivos y recurran a sistemas de autenticación de alta seguridad (incluida contraseña, verificación en dos pasos, etc.).
- No se usen contraseñas universales predeterminadas y fomenten que los consumidores establezcan contraseñas seguras.
- Las empresas encripten los datos que son transmitidos y almacenados por los productos y servicios que producen.
- Ofrezcan un punto de contacto claro para la divulgación de vulnerabilidades y gestionar los incidentes.
Consejos de ciberseguridad en el hogar
También los consumidores deben adoptar medidas básicas para proteger sus equipos y su hogar:
- Utilizar contraseñas seguras y únicas: no la misma para todo.
- Cambiar el nombre de la red wifi, asegurándote sobre todo de ocultar el nombre del fabricante del router.
- Usar la verificación en dos pasos. Consiste en introducir, además de una contraseña, un código enviado por email o SMS...
- Mantener los dispositivos actualizados, tener el software o el firmware al día significa que siempre contarás con la seguridad más reciente.
- Apagar los dispositivos si no los usas.
- Evita comprar dispositivos conectados baratos, se fabrican en masa y sin preocupación por la seguridad.
Descubre consejos detallados para la ciberseguridad de tu hogar
¿Cuáles son los aparatos peligrosos?
En los 16 dispositivos diferentes (pertenecientes a 10 tipos de producto) que protagonizaron nuestro estudio detectamos 54 vulnerabilidades. A veces, eran fallos que implican un riesgo bajo Pero entre ellas había algunas realmente graves: en la tabla puedes ver en concreto los resultados del estudio de seguridad.
Estos son los riesgos
El estudio "Hogar Hackeable" muestra un panorama muy desalentador: los investigadores identificaron nada menos que 54 puntos débiles, 14 de ellos "críticos".
Esta información está reservada a Amigos de OCU y socios
Para seguir leyendo, por favor, identifícate como Amigo o socio
¿Todavía no estás registrado? Registrarse
Contenido reservado a socios y Amigos de OCU.
Para acceder a este contenido por favor identifícate o regístrate como Amigo .En la tabla puedes ver cuáles son las vulnerabilidades más comunes, y cuáles son "críticas".
10 tipos de dispositivos que pueden ser hackeados
Routers wifi
El router es la puerta de acceso principal a la red de una casa. Si accedes a él puedes acceder a cualquier dispositivo interno y capturar todos los datos enviados a través de él. Los dos routers que hemos analizado dejan las puertas abiertas. El TP-Link viene con una contraseña por defecto insegura fácilmente descifrable en pocos segundos; y el Tenda no tiene contraseña para acceder a la interfaz web y no insta al usuario a poner una. Pero, incluso, aunque se ponga, como la comunicación con el router es sin encriptar, cualquiera dentro de la red podría leer esa contraseña.
Smart TV
¿Qué pasa con las teles? El televisor de Samsung que hemos probado no tiene problemas de seguridad, aunqueplantea algunas preocupaciones de privacidad son las aplicaciones que utiliza, como Amazon Prime Video, que comparte datos personales sin cifrado. Llama la atención que entre todas ellas contactan con 232 servidores distintos.
Vigilabebés
Los monitores para bebés siempre están en el punto de mira por la sensibilidad que genera que puedan espiar a nuestros hijos: los resultados confirman ese temor. En el modelo de Motorola los investigadores notaron muchos puntos débiles, entre los que destaca la posibilidad de controlar cualquier vigilabebés Comfort Connect de forma remota (desconectar la detección de movimiento, reproducir sonidos, etc.). Esto requiere que el hacker haya tenido acceso a cualquier cámara Comfort Connect, algo tan sencillo como comprar una en la tienda y recopilar la información necesaria. El vigilabebés barato que probamos también permite el acceso remoto: El hacker solo necesita saber la dirección de email de esa cuenta.
Robots aspiradores
Los robots aspiradores más novedosos pueden controlarse desde el móvil. Entre sus funcionalidades permiten dibujar en el mapa de la casa por dónde debe o no debe aspirar. Para esto, el modelo Proscenic, comprado en AliExpress, envía al exterior información personal no segura, como su ubicación, un mapa de la casa y la contraseña de la red wifi a la que está conectado. Además, si alguien conoce la dirección de correo electrónico a la que está vinculada esta cuenta, puede tomar el control del aspirador de forma remota. En el AEG no vimos vulnerabilidades.
Robots de cocina
Los robots de cocina que se conectan a Internet permiten descargar recetas online. El robot analizado es una variante económica de la Thermomix. Cada 5 minutos envía su número de serie e identificador único sin cifrar. Contacta con hasta 30 servidores externos distintos, algunos con muy mala reputación respecto a la privacidad, y unos cuantos dominios de Google relacionados con publicidad: esto es innnecesario para su funcionamiento y peligroso.
Cerraduras inteligentes
Son cerraduras que permiten abrir una puerta sin llave física. Se abren a través de una app (vía wifi) o con etiquetas RFID (como las tarjetas de los hoteles). No hemos encontrado fallos en la cerradura de Yale, que tiene una larga trayectoria en la fabricación de cerraduras inteligentes. En cambio, sí fue posible abrir en cuestión de minutos la cerradura más barata (comprada en AliExpress) de la marca desconocida Raykube, que se instala en el exterior (como en los hoteles). Bastó con hacer un agujero a la cerradura y activar el PIN que le da corriente para abrir la puerta. Además, sus etiquetas RFID son fáciles de “clonar”, a otra etiqueta RFID o a una app de móvil.
Sistemas de alarma
Cuentan con una serie de sensores para detectar movimiento dentro de casa, apertura de ventanas o puertas y, en función del modelo, permitir activar una sirena, activar y desactivar la alarma con un panel numérico, el móvil, etc. Probamos dos, y en ambos casos fue posible desconectarlos de la red, sin que avisaran al usuario, con lo que cualquier caco puede aprovechar para colarse. Xiaomi se ha comprometido a resolver este problema. Con Linkind, además, es posible obtener acceso de administrador, agregar software malicioso y luego otorgar acceso a distancia, aunque hace falta tener físicamente el dispositivo central.
Timbres inteligentes
Un videoportero inteligente permite al usuario ver quien está llamando a la puerta de su casa a través del móvil o de un videorreceptor que se instala dentro de casa y con el que se comunica a través de wifi. Es decir, podríamos decidir si abrir o no, en función de quien esté llamando, si esta puerta de la calle cuenta también con una cerradura inteligente. En ambos casos, accediendo físicamente al timbre (recordemos que se encuentra en el exterior) se puede conocer la contraseña wifi de la casa.
Dispositivo de apertura de garaje
Es un aparato que permite abrir y cerrar la puerta del garaje vía wifi, desde la app del teléfono o con Google Home, por ejemplo. También notifica su apertura o cierre. En el momento de nuestro test, los datos de inicio de sesión de la cerradura analizada estaban disponibles públicamente, por lo que cualquiera podía acceder a los servidores de Meross y, posiblemente, a los datos de usuario de las personas que posean un dispositivo Meross. Informamos de este problema y, afortunadamente, la información dejó de estar disponible.
Juguetes sexuales
También hay versiones conectadas de estos aparatos. El Magic Motion Flamingo, que se compra en Amazon, es un vibrador que permite chatear con alguien a la vez que se le da al “control remoto” del aparato a través de una app. Nuestros investigadores han sido capaces de colarse en los chats y de tomar el control del vibrador. Además la app envía el nombre de usuario, el sexo, la altura y fecha de nacimiento y un identificador único sin cifrar a servidores en China. Una exposición peligrosa.