Su hogar inteligente está listo para ser pirateado, pero no es (totalmente) su culpa

Hace un par de años, dos investigadores de seguridad llamados Andrew Tierney y Ken Munro se presentaron en la conferencia de piratería Def Con con un proyecto nuevo y divertido. Pudieron tomar el control de un termostato inteligente y exigir dinero, en este caso Bitcoin, al ‘usuario’ para desbloquearlo, o de lo contrario seguirían aumentando la temperatura, a la hora, cada hora. Infierno fresco de hecho.

Este tipo de ataque se conoce como ransomware, por razones obvias, pero era la primera vez que se veía en un dispositivo doméstico inteligente. Y aunque el ransomware tiende a usarse contra grandes corporaciones y «individuos de alto valor neto» que pueden pagar grandes sumas de dinero, es decir, no usted y yo, la prueba de conceptos como el termostato de Tierney y Munro aún mantiene a los expertos en seguridad y ejecutivos activos. por la noche.

Lea a continuación: Seguridad del hogar inteligente: la batalla por su hogar inteligente ha comenzado

El científico jefe de McAfee, Raj Samani, dice que los ataques a los dispositivos de Internet de las cosas (IOT) son una de las cuatro «amenazas de próxima generación» que su equipo de la compañía antivirus ha identificado. Parte de su trabajo consiste en piratear máquinas de café conectadas o interruptores inteligentes Belkin WeMo y Rickroll en el automóvil conectado de su vecino para ver lo fácil que es. El equipo accedió a un DVR en 54 segundos, así que… bastante fácil.

Lo que nos deja con la pregunta: ¿Cómo llegamos aquí?

Interfaces tecnológicas brillantes

Hay algo más en la seguridad que los propietarios de casas inteligentes que son muy perezosos con las contraseñas, pero volveremos a eso. El futurista Tom Cheesewright argumenta que en las últimas décadas, nuestra tecnología cotidiana se ha vuelto cada vez más fluida y requiere cada vez menos aportes de nuestra parte. Hemos pasado de trabajar con registros manuales a escribir en PC, pasar el dedo por las pantallas táctiles y, en 2018, chatear con voz e inteligencia artificial contextual. En general, eso es algo bueno, pero hay una trampa.

«Cuanto más disminuimos la fricción en estas interfaces, menos conscientes nos volvemos de la cantidad que hemos subcontratado, más nos estamos poniendo a nosotros mismos y a nuestro perímetro extendido en riesgo», dice. «Y eso es cierto para nuestra persona física, es cierto para nuestra propiedad y todos esos dispositivos conectados y también es cierto para el lugar en el que trabajamos».

Entonces, los mismos argumentos que Amazon y Google esgrimen para vendernos estos productos (que automatizarán y administrarán toda nuestra vida en la medida en que no tengamos que pensar en ello) son las mismas razones por las que pensamos menos en administrar los propios dispositivos y plataformas, dejándolos abiertos y vulnerables. Porque nadie necesita administrar al gerente, ¿verdad?

El auge del cibercrimen

Aquí hay algunas estadísticas para que quieras esconderte debajo de las sábanas, luego saltar de la cama y desconectar todos los dispositivos conectados a Internet en la casa. ¡Para 2023, podría haber 25,1 mil millones de dispositivos conectados en el mundo! Son 4.800 dispositivos nuevos que se conectan en línea cada minuto de cada día. Pero ¿qué hay de ese crimen?

El 53% de los delitos en el Reino Unido están relacionados con la cibernética. El mes pasado hubo 285.000 puestos de trabajo de seguridad cibernética vacantes que podrían crecer a 3,5 millones en tres años. Y el 84 % de las empresas dicen que no están preparadas para lidiar con la seguridad del Internet de las cosas. Impresionante.

Lo cual es todo para decir que algunas personas muy inteligentes describen la lucha contra las nuevas formas de ataques IOT como «aterradora» y «extremadamente desalentadora». El más famoso hasta ahora es Reaper, una red de bots (un grupo de computadoras y dispositivos pirateados) que, según la compañía de seguridad cibernética Bullguard, podría afectar hasta 378 millones de dispositivos. A diferencia del gran éxito del año pasado, llamado Mirai, no solo busca dispositivos con contraseñas predeterminadas, sino también enrutadores y fallas específicas en el hogar inteligente y la tecnología IOT.

Entonces, ¿quién está detrás de los ataques y qué quieren? Samani dice que cada vez más no son redes de crimen organizado, sino una combinación de ataques patrocinados por el estado por un lado y por el otro, personas que intentan comprar una casa, pagar deudas estudiantiles o que viven en países en desarrollo.

Cheesewright está de acuerdo y dice que la facilidad con la que cualquier persona puede comprar un kit o involucrarse con malware en línea significa que «el delincuente promedio se está volviendo más avanzado tecnológicamente». Los investigadores también descubrieron que las personas con las habilidades adecuadas se están alejando del hacktivismo (piense en Anonymous y similares) y se están acercando a actividades delictivas con un aumento en los ataques a dispositivos móviles y domésticos inteligentes.

Dispositivos brillantes e inseguros

La buena noticia para los fanáticos de las casas inteligentes es que tenemos algo de tiempo para poner nuestra casa en orden. «Para ser muy franco, el verdadero desafío es: ¿cómo van a ganar dinero los malos con esto?». dice Antonio Gaetani, director de soluciones de socios para la nueva plataforma Secure Home de McAfee, que viene con algunos enrutadores D-Link y Arris en lugar de un dispositivo dedicado como Bitdefender.

«Hay dos o tres cosas que puedes hacer [to make money]», continúa. «Hubo una investigación muy famosa en la que pirateando el timbre de su puerta, pudo tomar el control de toda la casa. Entonces, el primer dispositivo IOT es el caballo de Troya para que lo lleve a su hogar. La otra cosa es que algunos dispositivos IoT realmente tienen un valor porque capturan imágenes de nuestro hogar, cámaras, por ejemplo».

Sin embargo, un gran problema es que las empresas de tecnología que fabrican estas cámaras, termostatos, parlantes y artefactos conectados están priorizando mantenerse al día con los Bezos por encima de la seguridad. Es algo que escuchamos cada vez que hablamos con los nerds de seguridad sobre el hogar inteligente. No queremos saber que los dispositivos no están encriptados correctamente o que se conectan a través de http y no de https, lo que hace que ciertos tipos de ataques sean más probables. Solo nos gustaría saber fácilmente si la cámara de seguridad rando que hemos visto en línea es demasiado riesgosa. El problema es, por supuesto, que según la mayoría de los estudios, los grandes nombres actualmente no son mucho mejores.

Es por eso que nos gustaría incluir el nombre de The Ambient en los planes, en las primeras etapas, para crear un sistema de calificación para la tecnología del hogar inteligente que le permita ver los estándares de seguridad de un vistazo antes de comprar. Porque, como dijimos, no es algo en lo que queramos pasar mucho tiempo pensando…

Y si… tu no cambias tu contraseña

Se supone que la tecnología inteligente para el hogar hace que su vida sea más conveniente, con menos tareas diarias o semanales, no nuevas, como verificar qué tan seguras son sus bombillas inteligentes.

Uno de los mayores consejos para proteger su hogar inteligente es simplemente cambiar las contraseñas predeterminadas en su kit. Fácil, ¿verdad? Bueno, resulta que la gran tecnología también puede tener la culpa aquí, porque hay muchos dispositivos que no te piden que hagas esto o que hacen que sea casi imposible incluso llegar a una pantalla que te permita hacerlo. También lleva a preguntas razonables como: ¿la contraseña de mis dispositivos Nest es la misma que la de mi cuenta Nest? (Sí).

La tecnología de seguridad inteligente para el hogar, como la plataforma compatible con Amazon Alexa de McAfee y el kit de nuevas empresas como Fingbox, está diseñado para proporcionar un nivel básico de seguridad para todos sus dispositivos y lo alertará sobre contraseñas débiles o (mucho peor) predeterminadas. Pero sería mejor para todos los involucrados si esto fuera forzado cuando lo estábamos configurando.

Entonces, incluso cuando es tu culpa, no es tu culpa. Pero intente cambiar sus contraseñas, o tendrá que responder a su termostato deshonesto.