El internet de las cosas (IoT, por sus siglas en inglés) es un sistema de dispositivos de uso cotidiano normalmente, que se encuentran interconectados: relojes y electrodomésticos digitales, juguetes, luces inteligentes, asistentes de voz, etc. Todos ellos tienen identificadores únicos y la capacidad de transferir datos a través de internet sin requerir la acción humana.
Por tanto, este sistema permite a objetos, que antiguamente se conectaban mediante circuito cerrado o no tenían conexión, comunicarse global y constantemente a través de internet.
En la mayoría de los casos, estos dispositivos han descuidado la faceta de la seguridad digital o directamente no se han ocupado de ella, con las evidentes brechas que ello supone. Así, los problemas asociados a la ciberseguridad de este tipo de dispositivos suelen ser: contraseñas débiles, predecibles o dentro del código, servicios de red inseguros, ecosistema de interfaces inseguros, falta de mecanismos de actualización seguros, uso de componentes poco seguros o anticuados, insuficiente protección a la privacidad, transferencia y almacenamiento de datos de manera poco seguro o configuración poco segura por defecto.
Cloud Pet
Valga como ejemplo el siguiente caso. En el año 2017 se podía leer en algunos titulares de prensa algo así: Un oso de peluche expone en Internet dos millones de conversaciones entre padres e hijos (1).
La marca de juguetes Cloud Pet fabrica animales de peluche que dan la posibilidad, mediante una aplicación móvil, de grabar las voces de madres, padres y niños para que el muñeco las reproduzca, dando al niño la sensación de que esta habla.
Este sencillo sistema de ocio, permitió que unos dos millones de conversaciones entre niños y padres, acompañadas de casi un millón de credenciales de acceso a la aplicación, desde teléfonos inteligentes o smartphone, conteniendo datos personales, circulasen libremente por internet.
Las claves de acceso a la aplicación que permitía interactuar con el peluche se almacenaban en una base de datos convenientemente protegida con un sistema de cifrado. Lo que sucedía es que las contraseñas eran tan frágiles que descifrarlas resultaba sencillo. A pesar de estar cifrada una clave, si esta se limita a 123, resultará ser muy insegura. Aparte de lo anterior, la base de datos estaba indebidamente configurada y protegida, no existiendo un canal seguro en la conexión de las aplicaciones móviles con los servidores de la empresa.
Este caso no es único, existen antecedentes similares, por ejemplo, en el año 2015 los datos e imágenes de unos 200.000 niños y millones de padres se vieron seriamente comprometidos ya que un hacker accedió a uno de los servidores de la compañía de juguetes VTech, que fabrica productos para niños con posibilidad de conexión a internet y de almacenamiento de información en servidores. Afortunadamente, en este caso, el intruso informó a la revista Motherboard de la vulnerabilidad y esta hizo lo propio con la marca de juguetes, evitando así una exposición masiva de información privada.
Un hacker roba en un casino colándose a través de una pecera
Otro caso llamativo tuvo lugar en el mes de julio de 2017. Los atacantes usaron la pecera para introducirse en la red de un casino, encontraron la base de datos y la extrajeron de la red por el termostato para luego subirla a la nube.
Todo eso se debe al sistema automático que regula la temperatura de las peceras en el casino. Todas están conectadas y se ajustan según la temperatura externa o la hora o el estado de los peces. Pero por cómodo que esto sea, entraña estos problemas de seguridad (2). Por tanto, los hackers aprovecharon una vulnerabilidad del termostato inteligente situado en el acuario para irrumpir en la red del casino, acceder a su base de datos y robar información. Aunque el ataque fue detectado y detenido, los criminales tuvieron tiempo de enviar 10 GB de datos privados.
Los datos robados incluían información sobre algunos de los clientes más importantes del casino, así como información privada de todo tipo. Los hackers no habrían podido conseguirla a través de una pecera o un termostato convencionales que no estuvieran conectados a Internet.
La proliferación de dispositivos conectados en los hogares y las grandes empresas traen de la mano estos riesgos. De no tener una infraestructura de seguridad sólida, es posible que un timbre, un televisor, una cámara o un termostato puedan servir como puerta de acceso para intrusos. La mayoría de ellos cuentan con protocolos de conexión muy básicos y no incluyen más defensas que la clave de seguridad de turno y que puede no ser muy fuerte.
(1) Sarabia, d (2017). Un oso de peluche expone en internet dos millones de conversaciones entre padres e hijos. < https://www.eldiario.es/tecnologia/peluche-Internet-millones-conversaciones-padres_0_617338646.html> [Consulta: 12 de mayo de 2018]
(2) Un hacker roba en un casino colándose a través de una pecera. Diario El Mundo. Recuperado de https://www.elmundo.es/tecnologia/2018/04/17/5ad4a14c46163f1f658b4630.html. 30/08/2019
Gustavo Romero Sánchez
Gestor de Redes y Recursos Informáticos en el sector de la Seguridad.
Criminólogo y Antropólogo Forense
Tutor Tecnológico en Curso Superior de Ciberseguridad