Seguridad para hogares inteligentes: Seguridad y vulnerabilidades

Este es el resumen de un artículo de una serie de cinco partes sobre las tecnologías que permiten el IoT. Se puede ver el artículo completo en wevolver.com.

Vulnerabilidad de los hogares inteligentes

Se espera que la cantidad de hogares inteligentes en todo el mundo aumente a 478.2 millones para el próximo año (1). Uno de los mayores atractivos de la tecnología de hogares inteligentes es el uso de dispositivos conectados a Internet para asegurar viviendas personales de forma remota. A pesar de la facilidad que brindan los dispositivos de seguridad para hogares inteligentes con el fin de protegerlos contra robos, daños o accidentes, también crean el riesgo de reducir la seguridad de los datos personales.

Un proyecto de investigación de 2021 reveló que los típicos hogares inteligentes son vulnerables ante una gran cantidad de ataques de datos. (2) Los casos informados de ataques a hogares inteligentes incluyen piratas informáticos que controlan de forma remota luces y televisores inteligentes (3), desbloquean puertas habilitadas con IoT (Internet de las cosas), y encienden y transmiten videos de forma remota desde cámaras inteligentes. (4) En un caso, los habitantes de una casa de Milwaukee se dieron cuenta de que esta había sido atacada solamente cuando se despertaron después de que su termostato hubiera sido programado a más de 30 grados centígrados (5).

Existen dos fallas importantes en los hogares conectados que los hacen susceptibles a estos ataques: redes locales vulnerables y dispositivos IoT débiles.

Redes locales vulnerables

La red wi-fi puede ser vulnerable ante ataques debido a SSID o contraseñas predeterminadas o débiles y protocolos de encriptación vulnerables. Las credenciales predeterminadas permiten que los intrusos puedan acceder al enrutador sin problemas. Las contraseñas seguras de wi-fi obligan a los piratas informáticos a buscar puertas de enlace más difíciles para infiltrarse en la red.

Los ataques de interceptación y el descifrado de encriptaciones son las formas más comunes con las que los piratas informáticos se meten en la red. Por medio de los ataques de interceptación, los piratas informáticos secuestran cualquier paquete de datos transmitido entre un dispositivo y un enrutador, lo transfieren a su dispositivo y usan ataques de fuerza bruta para descifrarlo. Por lo general, solo les toma unos minutos.

La mayoría de los enrutadores wi-fi utilizan los protocolos de seguridad WEP (Privacidad equivalente por cable), WPA (Acceso protegido de wi-fi) o WPA2. WEP es un cifrado de flujo RC4. La debilidad de WEP es el tamaño pequeño del vector de inicialización (IV de 24 bits), lo que hace que se reutilice. Esta repetición lo hace vulnerable.

Las opciones más seguras son WPA y WPA2, pero los investigadores identificaron una falla grave: KRACK, que significa ataque de reinstalación de clave en el WPA. Un ataque de intermediario puede explotarlo para robar datos confidenciales enviados a través de la conexión wi-fi encriptada por el WPA. El atacante puede espiar el tráfico y obtener contraseñas, credenciales bancarias e información de tarjetas de crédito.

Dispositivos IoT débiles

Los investigadores probaron un total de 16 dispositivos de uso común en hogares inteligentes pertenecientes a varias marcas y encontraron 54 vulnerabilidades que exponían a los usuarios a ataques de piratas informáticos. El potencial de los ataques va desde la desactivación de sistemas de seguridad hasta el robo de datos personales. (6) Se estima que el 80% de los dispositivos IoT son vulnerables ante una amplia variedad de ataques. (7)

Los dispositivos para hogares inteligentes son vulnerables ante los ataques porque son dispositivos con fines especiales. Los proveedores de IoT no brindan las soluciones de seguridad necesarias para fines especiales. Además, los dispositivos para hogares inteligentes a menudo ejecutan sistemas operativos pequeños, tales como INTEGRITY, Contiki, FreeRTOS y VxWorks, cuyas soluciones de seguridad no son tan sólidas como las de los sistemas basados en Windows o Linux. Una vez implementados, los dispositivos más comúnmente disponibles no pueden recibir actualizaciones para mejorar la capacidad de seguridad contra los ataques cibernéticos en evolución.

Ataques comunes a dispositivos domésticos inteligentes

Los ataques a dispositivos para hogares inteligentes se realizan por medio de una variedad de métodos, según el dispositivo y el protocolo de comunicación. Los métodos de ataque comunes incluyen:

• Violación de datos y robo de identidad

• Secuestro de dispositivos y suplantación de identidad

• DDoS (denegación distribuida de servicio)

• Phlashing

Protección de los dispositivos para hogares inteligentes después de la compra

Algunos dispositivos tienen propiedades de seguridad integradas. Sin embargo, para que los dispositivos para hogares inteligentes sean resistentes a los ataques, sus propietarios deben cumplir con algunas medidas básicas de protección.

• Contraseñas seguras

• Redes de invitados

• Autenticación de dos factores

• Actualización del firmware

• Uso de almacenamiento local en vez de almacenaje en la nube

• Cifrado de nivel más alto

• Firewall

Rol de los desarrolladores de dispositivos IoT:

La responsabilidad de la seguridad de los dispositivos IoT recae principalmente en sus desarrolladores. Deben tomar las medidas necesarias para que estos dispositivos sean seguros. Algunas posibles medidas podrían ser:

• Integración de HRoT (raíz de confianza de hardware programable) dentro de los dispositivos IoT: La HRoT es la base para realizar operaciones seguras en los dispositivos electrónicos, especialmente en SoC (sistemas en chip). Contiene las claves utilizadas para las funciones criptográficas y permite un proceso de arranque seguro. La HRoT programable se puede actualizar continuamente para hacer frente a una gama de amenazas cada vez mayor. Ejecuta algoritmos criptográficos completamente nuevos y protege las aplicaciones para hacer frente a los ataques en evolución.

• Incorporación de Edge Computing: Procesa los datos recopilados de los dispositivos en los bordes cercanos a las fuentes de datos. Los datos no viajan a través de las redes débiles a los servidores remotos, por lo que se reduce el riesgo de violación.

• Diseño de capacidades de actualización inalámbrica por aire: Fabricar dispositivos con capacidades eficientes de actualización OTA (inalámbrica por aire). Muchos consumidores tienen sus dispositivos en ubicaciones remotas y, por lo tanto, los actualizan de manera irregular. Los desarrolladores deben incluir una estrategia sólida de actualización OTA que pueda ejecutarse de manera eficiente y regular.

Conclusión

Por su naturaleza, los dispositivos conectados a Internet son vulnerables a los ataques. A medida que los dispositivos para hogares inteligentes aumentan su funcionalidad y se instalan en mayor medida en los hogares, es fundamental comprender los riesgos de seguridad de los datos personales y cómo mitigarlos. Los ingenieros de IoT también deben asumir la responsabilidad de garantizar que los hogares inteligentes del futuro tengan la seguridad incorporada como una característica central y no como un complemento.

Se puede ver la versión completa de este artículo en wevolver.com.

Referencias

1. [En línea]. Disponible en: https://www.statista.com/forecasts/887613/number-of-smart-homes-in-the-smart-home-market-in-the-world.

2. Laughlin A. which.co.uk. [En línea].; 2021. Disponible en: https://www.which.co.uk/news/2021/07/how-the-smart-home-could-be-at-risk-from-hackers/.

3. Whitney L. pcmag.com. [En línea].; 2020. Disponible en: https://www.pcmag.com/how-to/how-to-stop-smart-tvs-from-snooping-on-you.

4. Vigdor N. New York Times. [En línea].; 2019. Disponible en: https://www.nytimes.com/2019/12/15/us/Hacked-ring-home-security-cameras.html.

5. Sears A. FOX6 NEWS. [En línea].; 2019. Disponible en: https://www.fox6now.com/news/felt-so-violated-milwaukee-couple-warns-hackers-are-outsmarting-smart-homes.

6. Broom D. weforum.org. [En línea].; 2021. Disponible en: https://www.weforum.org/agenda/2021/11/how-to-secure-smart-home-devices/.

7. Press R. rambus.com. [En línea].; 2020. Disponible en: https://www.rambus.com/iot/smart-home/.