Noticia

Hogar inteligente... y vulnerable

Electrodomésticos que se controlan a distancia, cámaras de videovigilancia, routers... en nuestros hogares nos rodeamos de cada vez más dispositivos inteligentes que nos facilitan la vida, pero que si no son ciberseguros pueden dejar expuesta nuestra seguridad y privacidad: lo hemos comprobado en la práctica, detectando más de 60 fallos.

27 octubre 2023
vulnerabilidades

La seguridad es una prioridad para OCU. También, claro está, la lucha contra el phishing y la ciberseguridad de los usuarios: llevemos años analizando productos domésticos conectados a internet para comprobar su seguridad y privacidad: juguetes conectados, dispositivos varios conectados via wifi, sistemas de domótica... han sido sometidos en los últimos años a distintas pruebas para ver si `resentaban vulnerabilidades y, lamentablemente, era algo habitual.

¿Qué pasa en 2023? ¿Ha mejorado algo la situación? ¿Se aprecia un mayor compromiso de los fabricantes? Realizamos una nueva prueba.

Nuestra prueba: así se hackea un dispositivo

  • Seleccionamos 17 productos entre los que hemos incluido 10 aparatos de marcas desconocidas, comprados tanto en Amazon como en AliExpress, y otros 7 productos de marcas conocidas que salieron al mercado hace tiempo y ya no tienen soporte del fabricante, pero que por su durabilidad siguen presentes en muchos hogares.
  • Dos expertos en ciberseguridad trabajaron en detectar, como hackers, los puntos débiles de seguridad de los 17 dispositivos.
  • En primer lugar investigaron qué información había ya disponible sobre las vulnerabilidades de todos los productos.
  • Hackearon las conexiones: Un vector de ataque de todos los aparatos conectados es precisamente la propia conexión a internet. Utilizaron varios tipos de programas para monitorizar y analizar el tráfico de la red, romper la seguridad de una wifi, descubrir contraseñas, interceptar las comunicaciones con ataques man-in-the-middle, etc.
  • Reprogramaron los dispositivos: Utilizaron un microscopio digital para identificar los microchips y luego un analizador de vulnerabilidades de circuitos lógicos. Si encuentran uno que es posible extraer y reprogramar, lo conectan al ordenador con adaptadores de serie y le introducen nuevas instrucciones malintencionadas (o código malware) para comprometer su seguridad.

Encontramos muchas vulnerabilidades

Los expertos en ciberseguridad identificaron un total de 61 vulnerabilidades, 12 de ellas críticas (graves o muy graves) porque suponen un riesgo alto para la seguridad o privacidad de los usuarios.

Las brechas de seguridad más graves se encontraron en cámaras de vídeovigilancia, cerraduras electrónicas y dispositivos portátiles (smartphones, smarwatches y tablets infantiles). No todas las vulnerabilidades tienen la misma gravedad, ya que también depende del tipo de dispositivo en el que aparzca. Así, por ejemplo, que un hacker tenga acceso a una impresora o un robot aspirador, no tendrá graves consecuencias, pero es más rpreocupante que pueda acceder a una cámara de videovigilancia.

Entre los fallos de seguridad más comunes en los dispositivos de nuestro estudio encontramos;

  • Que muchos fabricantes aún aceptan contraseñas débiles como “123456”. La lista es larga y variada: 9 de los dispositivos 17 analizados .
  • Otra vulnerabilidad habitual es el cifrado débil (o inexistente) de las comunicaciones entre dispositivos y aplicaciones con los servidores. Lo mismo ocurre con el almacenamiento de datos en tarjetas de memoria. Todo esto permite a quienes tienen acceso a la red capturar datos como la contraseña, nombre de usuario y grabaciones de vídeo.
  • Otro fallo alarmante es que se puedan interceptar las comunicaciones entre dos partes y alterarlas (el llamado “ataque man-in-the-middle”), como ocurre en cuatro productos analizados.
  • Cuando el software no está actualizado también surgen problemas. Por ejemplo, los dispositivos Android anteriores a Android 11 sufren la vulnerabilidad llamada Strandhogg 2.0.  (ya resuelta en versiones posteriores).
  • Por último, comprobamos que, con algunos conocimientos técnicos, varios dispositivos del estudio pueden desmontarse y manipularse, ya que, para facilitar las reparaciones, las conexiones físicas se mantienen accesibles. Un hacker puede alterar el software o instalar programas maliciosos y poner en riesgo su seguridad.

Estos fallos son más comunes en los productos de marcas poco conocidas, aunque las marcas conocidas tampoco están exentas de ellos, también pueden representar un riesgo de seguridad, especialmente si ya no reciben actualizaciones de software. 

Intentamos ponernos en contacto con los fabricantes para que pudieran subsanar los problemas detectados cuanto antes en aras de la seguridad, pero lamentablemente, o no lo conseguimos, o su respuesta no ha sido muy receptiva.

La ciberseguridad, tarea de todos

La ley europea de ciberresiliencia, que refuerza las normas de ciberseguridad para garantizar unos productos de hardware y software más seguros, se aprobará a finales de año, pero no será de obligado cumplimiento hasta principio de 2027. Entre tanto, mejorar las cosas es tarea de todos:

Los fabricantes deben tomar medidas

Deben producir dispositivos más seguros, con evaluaciones de riesgos en cada etapa del diseño y con un seguimiento una vez que estén en el mercado.

Es esencial que proporcionen actualizaciones de software continuas el mayor tiempo posible y que comuniquen claramente a los consumidores durante cuánto tiempo lo harán: los dispositivos inteligentes o conectados solo podrán desempeñar correctamente (y de forma segura) su función mientras el software esté actualizado, pero esto no es siempre así.

Las tiendas online y los marketplaces

Los principales problemas los detectamos a menudo en productos de marcas poco conocidas vendidos en tiendas online, y a veces vemos dispositivos con las mismas especificaciones, pero vendidos con un nombre diferente. Los establecimientos también deben de responsabilizarse de los problemas de seguridad de los productos que venden

La administración

Es importante tener quién debe ser la administración competente de controlar la ciberseguridad de los productos conectados en España: desde OCU instamos a las autoridades a que se aumenten los controles de ciberseguridad y se impongan sanciones ejemplares a los fabricantes que no cumplan.

Los usuarios

Deben asegurar su hogar. Aunque son los fabricantes los responsables de subsanar las vulnerabilidades o, al menos, reducir sus consecuencias (por ejemplo, mandar una notificación al usuario si se ha caído la red o se ha apagado un dispositivo). No obstante, siempre hay medidas que el usuario puede llevar a cabo para limitar las vulnerabilidades de sus dispositivos y su hogar:

  • Comprar en tiendas online con sede en Europa.
  • Optar por dispositivos con la última versión del sistema operativo y comprobar si el fabricante se compromete a hacer actualizaciones.
  • Dedicar un tiempo a acabar bien la configuración de sus nuevos dispositivos y cambiar las contraseñas iniciales por otras seguras.
  • Revisar los dispositivos que tienes en casa para asegurarse de que están actualizados con la última versión disponible.
Contenidos relacionados

Guía de compra

Informes

Consejos