El último post sobre HomeKit parece que os ha gustado mucho, mis seguidores han subido de 7 a la friolera de 11… pero ¿de verdad creéis que es realmente necesario tener tantos dispositivos conectados a Internet? Las automatizaciones que os conté en la entrada anterior para el control de las luces, la caldera y los calefactores en casa es bastante útil… La idea de que la nevera nos avise de que nos hemos quedado sin leche no está mal (sino fuera porque la leche se la ha bebido alguien… ese alguien YA SABÍA que se había acabado la leche), pero parece que se nos ha ido de las manos eso de conectar cosas a Internet para enviarnos estados y notificaciones y poca gente se ha parado a pensar en los peligros del IoT.
¿Qué es eso del IoT?
Todos estos dispositivos conectados a Internet con uno u otro propósito es lo que se conoce como el IoT por sus siglas en inglés, el Internet of Things o Internet de las cosas. Y ha llegado para hacernos la vida más fácil: hay lavadoras inteligentes que nos avisan al smartphone cuando ha terminado la colada (útil siempre que estés cerca, porque si me dice que ha acabado cuando estoy en la oficina… poco puedo hacer), los primeros coches eléctricos conectados nos dicen el estado de carga de la batería, la autonomía y si hace demasiado frío podemos incluso encender la calefacción para que cuando bajemos al coche esté calentito,… pero lo que está haciendo el IoT es llenarnos la casa de vulnerabilidades.
Si al usuario normal ya le cuesta instalar las actualizaciones que le recomienda el sistema operativo del ordenador, tiene el móvil con nuevas versiones de iOS o Android pendientes de instalar y chorropotocientas aplicaciones sin actualizar… ¿pensáis de verdad que van a revisar periódicamente si sus dispositivos conectados tienen la última versión de firmware? Por supuesto que no, y eso va a derivar en dispositivos no-actualizados conectados a nuestra red, con el consiguiente peligro de fugas de información, accesos indeseados y ataques.
No estoy hablando sólo de ataques ligados a las vulnerabilidades, también estamos hablando de privacidad como en el ejemplo de mi robot aspirador, que va generando (guardando y enviando Dios sabe a quién) el mapa de la casa para poder ver sus progresos a través de una App pero que si alguien tuviera acceso a esa información no sólo vería el mapa completo de la casa, sino que podría llegar a saber cuando hay alguien en casa por la detección de objetos que se ven reflejados en el mapa, incluyendo puertas cerradas y personas que pasan por delante del láser que utiliza el robot aspirador para detectar paredes y objetos.
Es más, algunos de estos dispositivos que se conectan a nuestra red utilizando protocolos ‘seguros’ como WPA2 nunca serán actualizados y arrastrarán vulnerabilidades como la que ya vimos hace unos meses en la que un posible intruso podría capturar tráfico de nuestra red y analizarlo tranquilamente… es cierto que no puede conectarse directamente a nuestra wifi, pero sí capturar todo el tráfico de esta y con eso tener acceso a nombres de usuario y contraseñas, servicios que utilizamos, conversaciones en apps de mensajería no cifradas, etc.
Grave vulnerabilidad en el patinete de Xiaomi
Por poneros un ejemplo, estos días se está hablando de una vulnerabilidad en los patinetes de Xiaomi (sí, el que todos conocemos porque se ven decenas por las calles) mediante la cual un posible atacante podría mandarle órdenes de acelerar o frenar bruscamente si se encuentra en el radio de alcance del bluetooth del patín (unos 20 metros). Por supuesto también puede llevárselo si no se encuentra atado a ningún sitio, tenéis toda la información y algo más de detalle en la noticia de Xataka.
La solución en este caso es sencilla, basta con añadir una contraseña a la Mi Home que se utiliza para la gestión del patín y así el atacante no pueda conectarse fácilmente al cacharro… y por supuesto actualizar en cuanto Xiaomi publique la actualización del firmware, el sistema operativo que controla el patín. Pero ya veréis como dentro de unos meses sigue habiendo un montón de patines que aun son vulnerables porque su propietario no lo ha actualizado.
Hay vulnerabilidades más curiosas que esta y con un impacto mucho más alarmante: hace unos meses robaron la base de datos de usuarios de un casino en Las Vegas que no ha querido dar su nombre porque accedieron a la red gracias a una vulnerabilidad en el termómetro de un acuario que estaba conectado a Internet. ¡¡¡Un termómetro de acuario conectado a Internet!!!!. Sí, seguramente será muy útil saber desde lejos el PH del agua y la temperatura, pero era necesario disponer de un acceso remoto a este termómetro?! ¿No hubiera sido suficiente con que nos enviara una notificación SIEMPRE QUE ESTUVIÉRAMOS EN LA MISMA RED LOCAL? De poco nos sirve saber que el agua está demasiado fría para nuestros peces tropicales si estamos a kilómetros de distancia, ¿no?.
La solución: Updates, updates y updates
Pero esto no significa que no debamos conectar dispositivos para interactuar entre sí. A mi me gustaría poder decirle a mi robot aspirador que se pase cuando no haya nadie en casa o si mi móvil y el de mi mujer están a más de X kilómetros de casa, en lugar de crear una rutina básica de ‘pásate todos los días a las 9:30’. Lo que debemos tener en cuenta es que todos estos dispositivos sufrirán vulnerabilidades como nuestros móviles o los ordenadores de toda la vida y que por tanto deberán ser actualizados. Y la responsabilidad de actualizarlos es nuestra, no del fabricante… el fabricante nos podrá recomendar hacerlo y pondrá a nuestra disposición los medios necesarios para ello, pero no va a lanzar una actualización automática en todos estos dispositivos, así que volvemos a ser nosotros los que tendremos que hacerlo periódicamente igual que cambiamos todas las contraseñas por lo menos una vez al año, ¿verdad? Sobre todo las contraseñas de los objetos/dispositivos/redes que compartimos con alguien.
Uy, ahora que me acuerdo, este año también se me ha pasado el Security Day….
Jajajaja, estamos a 14 de febrero, aun llegas a tiempo!
Ostras, yo tengo un patinete,