Prueban lo fácil que es ‘hackear’ casas inteligentes

Foto: Reuters.

Con la llegada de nuevos aparatos para el hogar que pueden ser conectados a Internet también se abre la puerta a la intrusión digital. Conozcan algunos casos.

 

Por Kashmir Hill

 

“Puedo ver a todos los dispositivos de tu casa y creo que puedo controlarlos”, le dije a Thomas Hatley, un completo desconocido en Oregon a quien había despertado bruscamente con una llamada telefónica muy temprano una mañana.

Él y su esposa estaban todavía en la cama. Expresando sorpresa, él me pidió que intentara encender las luces de su dormitorio principal. Sentado en la sala de mi casa en San Francisco, di la vuelta al interruptor de la luz con un clic, y resistí la tentación poltergeistesca de encender también la televisión.

“Se encendieron y apagaron”, dijo. “Maldita sea”.

El mercado de la automatización de hogares era de unos 1,500 millones de dólares en 2012, según la agencia Reuters. Ha habido una explosión de productos que prometen hacer de nuestro hogar más inteligente. El más conocido es Nest, un termostato que monitorea la actividad de los habitantes, se aprende sus horarios y preferencias de temperatura y calienta o enfría la casa según estima conveniente. Muchos de estos productos tienen aplicaciones para teléfonos inteligentes y portales web que permiten a los usuarios controlar a distancia dispositivos, cámaras y cerraduras. Alcanzar el estilo de vida de los Supersónicos tiene sus desventajas, al conectar las cosas de nuestras casas a Internet nos encontramos con el mismo tipo de problemas de seguridad que tenemos para cualquier dispositivo conectado: podrían ser hackeadas.

Buscar en Google una frase muy simple me llevó a una lista de “casas inteligentes” que habían hecho algo bastante estúpido. Las viviendas cuentan con un sistema de automatización de Insteon que permite el control remoto de luces, tinas de hidromasaje, ventiladores, televisores, bombas de agua, puertas de garaje, cámaras y otros dispositivos, por lo que sus propietarios pueden encender y apagar esas cosas con una aplicación de smartphone aplicación o a través de Internet. ¿La tontería? Sus sistemas se habían hecho rastreables por los motores de búsqueda, es decir aparecen en los resultados de búsqueda, y debido a que Insteon no requiere nombres de usuario y contraseñas por defecto en un producto ahora descontinuado, yo pude hacer clic en los enlaces y tuve a la posibilidad de convertir los hogares de estas personas en casas encantadas, pesadillas de consumo de energía o incluso objetivos de un robo. Abrir de manera remota la puerta de una casa puede hacerla blanco fácil de una intrusión física real.

La casa de Thomas Hatley fue una de las ocho a las que pude acceder. Algunos datos confidenciales fueron revelados, no sólo los aparatos y dispositivos que esas personas tenían, sino su zona horaria (junto con la ciudad más cercana a su domicilio), direcciones IP e incluso el nombre de un niño, al parecer, los padres querían tener la capacidad de desconectar la televisión de manera remota. En al menos tres casos no había suficiente información para vincular a los hogares a través de Internet con su ubicación en el mundo real. Los nombres de la mayoría de los sistemas eran genéricos, pero en uno de esos casos se incluyó una dirección en una calle que pude localizar a una casa en Connecticut.

Cuando llamé, un “Craig” levantó el teléfono. Él reveló que tiene un trabajo extra como consultor que ayuda a instalar dispositivos Insteon en los hogares de la gente y había estado utilizando el mismo sistema durante 10 años. Le dije que podía ver (y probablemente controlar) su red y se puso a la defensiva.

“Pero hay una clave”, dijo irritado. “Quiero que los clientes potenciales puedan ver el sistema para saber cómo funciona. Tú no puedes controlarlos, sólo verlos.”

Le pregunté si podía intentar encender y apagar uno de sus dispositivos. Él me dijo que apagara la luz de la habitación en la que se encontraba. Después de que lo hice, hubo una larga pausa. “¿Pasó algo?”, Le pregunté. Él respondió que no pasaba nada y colgó el teléfono. Yo sospechaba que podría haber mentido. Al día siguiente, el sistema de Craig estaba protegido por un nombre de usuario y contraseña.

La vulnerabilidad de Insteon es una de muchas que se encuentran en los dispositivos SmartHome detectadas por David Bryan y Daniel Crowley, investigadores de seguridad de Trustwave. Bryan adquirió uno de los dispositivos HUB de Insteon en diciembre, instaló la aplicación en su teléfono y comenzó a monitorear cómo funcionaba.

“Lo que vi me preocupó”, dijo. “No hubo ninguna autenticación entre el dispositivo y cualquiera de los comandos de control.”

“Puedes disparar el recibo de energía eléctrica de alguien activando el calentador de la tina de hidromasaje”, dice Bryan. Se puso en contacto con el área de soporte de Insteon a través de correo electrónico y les preguntó cómo habilitar un nombre de usuario y contraseña, y Trustwave envió recientemente a la empresa un asesoramiento completo en cuanto a sus vulnerabilidades. Posteriormente, la empresa solucionó el problema con HUB y retiró los dispositivos a principios de 2013, aunque no informó a los clientes que la vulnerabilidad de la seguridad fue una de las razones de esa retirada.

El director de Información de Insteon, Mike Nunes, dice que los sistemas que estoy viendo en línea son un producto descontinuado el último año. Culpó a un error del usuario la aparición en los resultados de búsqueda y dijo que el producto más antiguo no fue pensado originalmente para el acceso remoto y que configurarlos requiere algunos conocimientos por parte de los usuarios. Los dispositivos habían sido entregados con un manual de instrucciones que indicaba a los usuarios cómo poner los dispositivos en línea y que les recomendaba encarecidamente añadir un nombre de usuario y una contraseña para el sistema. (Pero, en serio, ¿quién lee a detalle los manuales de instrucciones?)

“Para ello sería necesario que el usuario haya elegido publicar un enlace (dirección IP) a través de Internet y que hubiera omitido la creación de un nombre de usuario y contraseña”, dice Nunes. Le dije a Nunes que requerir un nombre de usuario y contraseña por defecto es un buen diseño de seguridad para proteger a las personas de cometer un error así. “No lo tenía por defecto, pero lo recomendaba”, respondió.

En el caso de Thomas Hatley, él creó un sitio web que actuaba como puerta de entrada para una serie de servicios para su hogar. Hay una contraseña en su página web, pero se puede evitar al ir directamente al puerto de Insteon, que no estaba protegido por contraseña. “Yo diría que parte de la responsabilidad sería mía, por la forma en que tengo configurado mi router interno”, dijo Hatley, quien se describe como un entusiasta de la domótica. “Pero viene de ese puerto y no me di cuenta de que el puerto es accesible desde el exterior.”

El producto actual de la compañía asigna automáticamente un nombre de usuario y contraseña, pero no lo hizo durante los primeros meses desde el lanzamiento, que es uno de los productos que Bryan, de Trustwave, ya ha recibido. Si tienes uno de esos primeros productos, realmente deberías mantener eso en mente. Bryan calificó la nueva autenticación como “pobre”, diciendo que descifrarlo “sería una tarea trivial para la mayoría de los profesionales de la seguridad”.

El problema con los productos Insteon es que no cuentan con la protección de contraseña por defecto similar a la encontrada en cámaras IP Trendnet hace unos años, la falta de autenticación significó que cualquier persona que haya descubierto la dirección IP de una cámara podía ver lo que esa cámara capta —algunas veces algo muy privado—. Incluso sin un sitio web público, una vulnerabilidad como esta significa que cualquier persona que busca una manera de identificar las direcciones de los sistemas vulnerables —como ocurrió con las cámaras Trendnet— podría tener acceso y control de los hogares de la gente.

“Estoy emocionado porque estas tecnologías existen, pero me desalienta que haya estos problemas de seguridad”, dice Crowley, de Trustwave.

Él y su colega encontraron fallas de seguridad que permitirían a un intruso digital tomar el control de una serie de dispositivos sensibles más allá de los sistemas Insteon, desde el interruptor Belkin Wemo hasta el WC inteligente de Satis. Sí, encontraron un inodoro hackeable. Sólo necesitas instalar la aplicación para Android para el inodoro de 5,000 en tu teléfono y estar lo suficientemente cerca del inodoro para comunicarte con él.

“Se conecta a través de Bluetooth, sin nombre de usuario o contraseña utilizando el pin ‘0000’”, dijo Crowley. “Así que cualquiera que tenga la aplicación en su teléfono y se conecte a la red puede controlar el inodoro de cualquier otra persona. Podrías convertirlo en un bidet mientras alguien está usándolo”.

Trustwave señala esas vulnerabilidades con la esperanza de convencer a las empresas de la importancia de realizar pruebas de seguridad antes de lanzar sus productos.

Otro problema con algunos de los dispositivos, como el Mi Casa Verde MIOS VeraLite, es que una vez que están conectados a una red Wi-Fi, asumen que cualquier persona que utilice la red es un usuario autorizado.

“Estas compañías están pensando que la red doméstica es una fortaleza”, dijo Crowley. “En la mayoría de los casos, es todo lo contrario.”

  • Pronovatek

    Me encanto que alguien hiciera por fin énfasis en esta sección. Hoy en día muchas empresas piensan que solo se trata de crear productos que interconectan todo en las casas a la gran nube, sin embargo dejan del lado siempre que al conectar el riesgo siempre será latente. Y que el cliente a quien venden el producto se convertirá en la víctima perfecta de cualquier broma o robo.
    Nos encantaría que hicieran esas pruebas con nuestros dispositivos en Pronovatek. No esta de más corroborar, si vamos por el buen camino o no. Les dejamos la invitación y nuestra pagina.

    http://pronovatek.com/uHome/

    Saludos y felicidades por la nota!.