4 riesgos actuales en dispositivos IoT
Internet de las Cosas o Internet of Things (IoT) ya está en todas partes. Aún puede parecer un concepto futurista o lejano pero, lo cierto, es que los objetos cotidianos con conexión a internet son hoy parte de nuestra vida.
Incluso aquellos que se rehúsan a utilizarlos, a vivir en un departamento inteligente o a usar una cafetera IoT, se encuentran con este tipo de dispositivos en sus casas, en sus oficinas, en la calle o hasta en los hospitales, de acuerdo con Dmitry Bestuzhev, director global de Investigación y Análisis en Latinoamérica de Kaspersky Lab.
Cámaras IP
Este tipo de cámaras emiten imágenes directamente a internet sin necesidad de un ordenador, por lo que el usuario puede ver en tiempo real lo que dispositivo está capturando en ese mismo momento sin importar en donde se encuentre.
El acceso a este está restringido, lo que quiere decir que sólo las personas autorizadas para ver el video deberían poder hacerlo. “Sin embargo, no es muy difícil que otros puedan lograrlo”, dijo Bestuzhev.
“Utilizando sólo una secuencia, un hacker puede ver cuántas cámaras IP hay y en donde”, detalló al tiempo que mostró al público un mapa que confirmó su declaración. “Aquí vemos que hay dispositivos conectados en México, y podríamos acceder a la imagen si así lo quisiéramos”.
Con esta información, personas malintencionadas podrían extorsionar al dueño de la cámara, por ejemplo.
Los hackers también pueden conocer qué sistema operativo utiliza el aparato y hasta llegar a controlarlo. Es por ello que se han registrado casos como el de una pareja neoyorquina que no lograba entender por qué su hijo le temía a dormir sólo en su habitación.
“Resultó que alguien logró acceder a su monitor de manera remota y lo asustaba por las noches”, recordó el experto.
Sistemas de bicicletas compartidas
Moscú cuenta con un sistema biciletas compartidas en el que, según relató Dmitry Bestuzhev, Kaspersky logró identificar una importante vulnerabilidad.
“Nos acercamos a una de sus estaciones, en las cuales el usuario puede alquilar una bicicleta. En ese caso, se congelan fondos en su tarjeta de crédito que se liberan cuando regresa la bici”, explicó. “Entonces nos preguntamos, ¿se podria hackear esta terminal? Fue así que nos pusimos a hacer lo que llamamos informalmente ‘finger fuzzing’”.
El fuzzing es una técnica de pruebas de software que implica proporcionar datos inválidos, inesperados o aleatorios a las entradas de un programa de computadora. “Ésta nos permite encontrar vulnerabilidades a nivel de datos. Lo que nosotros hicimos fue básicamente tocar todo lo que había en la pantalla con el mismo fin”, dijo el especialista.
Tras oprimir todas las opciones, el equipo de Kaspersky encontró que al tocar la información de Copyright que aparece en letras pequeñas en la parte más baja de la pantalla, ésta abría una nueva ventana. “Resultó ser un hipervínculo que nos permitió llegar a un navegador. De ahí pudimos acceder a un panel de control que nos reconoció como administradores”.
Inmediatamente, la firma reportó la vulnerabilidad a la compañía encargada del sistema de bicicletas compartidas, ya que un hacker podría hacer lo mismo con el objetivo de realizar cargos en las tarjetas de los usuarios a su favor. “Algo muy parecido nos sucedió en Suiza con un kiosco informativo”, agregó.
Radares de velocidad
Las principales ciudades y carreteras del país están llenas de ellos. Se trata de los radares de velocidad, aparatos que se encargan de detectar qué tan rápido avanza un vehículo con el propósito de regular el tránsito.
Puede parecer que estos dispositivos no son inteligentes, sin embargo, la mayoría de ellos cuenta con una conección Wi-Fi o Bluetooth para permitir su mantenimiento, dijo el director global de Investigación y Análisis en Latinoamérica de Kaspersky. ¿Qué peligro representan estos radares?
“Una persona malintencionada puede acercarse a ellos y conectarse”, dijo Bestuzhev. “Entonces, si sabe como hacerlo, no le será difícil lograr que el aparato lo reconozca como administrador. Así, puede ‘parchar’ el sistema a su conveniencia, indicando que tal o cuál placa no debe ser detectada sin importar a la velocidad que avance”.
“Imaginen que algunos automóviles pueden ir a 150 kilómetros por hora en pleno Periférico sin multas. El riesgo de accidentes sería altísimo”, advirtió.
Aviones
Algunos aviones de modelos pasados cuentan con puertos USB y RJ45 —comúnmente utilizados para conectar redes de computadoras con cableado estructurado—.
“De lo que nos hemos dado cuenta es que estas salidas USB no sólo puertos con electricidad. Si yo conecto mi iPhone a uno de ellos, aparecerá el letrero ‘¿Confiar en este ordenador?’, lo que quiere decir que está conectado a una computadora”, afirmó el experto. “Y es peor el caso del puerto RJ45. Es básicamente una invitación a que interactúe”.
¿Cuál es el riesgo aquí? Que un hacker puede conectar su laptop o su smartphone a estas salidas y acceder desde estos dispositivos a la red interna de los controles del avión. Así, podría causar una catástrofe aérea. Y los aviones más modernos tampoco están a salvo.
Las pequeñas pantallas que son colocadas frente a los asientos con el fin de ofrecer entretenimiento a los pasajeros durante el vuelo presentan una vulnerabilidad similar a la de las cicloestaciones. “Estas cuentan con botones que no sólo sirven para elegir qué película quieres ver. Tienen funciones ocultas”, aseguró Dmitry Bestuzhev.
Kaspersky ha realizado pruebas a estos aparatos probando diferentes combinaciones con estos botones hasta hallar aquella que causa un crash, es decir, que el sistema operativo dejen de funcionar.
“El dispositivo se reinicia y permite el acceso al sistema. Ciertas personas podrían hacer mucha maldad desde su asiento aprovechando esta vulnerabilidad”, explicó el especialista.
Esto no es un problema menor. De acuerdo con proyecciones de Cisco, los objetos conectados pasarán de 5,800 millones de unidades en el 2016 a 13,700 millones en el 2021. Para México, la misma compañía pronostica la existencia de 384.9 millones de aparatos IoT en el 2021, desde los 249.4 millones que se registraron en 2016.
De acuerdo con Dmitry Bestuzhev, la clave para evitar estos peligros es utilizar sistemas operativos seguros. “¿A qué me refiero con seguros? A que los procesos que realiza no interactúen con el resto. Así, si una persona accede a uno de ellos, los demás no se verán comprometidos y el atacante quedará en una especie de jaula”, concluyó.