Los fallos de seguridad en la Internet de las cosas

Los fallos de seguridad en la Internet de las cosas
Facebook Twitter Flipboard E-mail

Cada vez hay más aparatos electrodomésticos conectados a Internet. Desde televisores a neveras, pasando por la calefacción. La domótica y la denominada “Internet de las cosas“ van avanzando, lentamente (como la M-40 en su día), pero avanzan.

Y con los nuevos dispositivos conectados, aumentan también las posibilidades de que estos sean victima de posibles ataques. Maliciosos y no tan maliciosos, como el que sin querer realizó el hermano de un feliz propietario de un televisor ‘inteligente’ Samsung D6000, que terminó con el televisor fuera de servicio.

Luigi Auriemma quería mandar mensajes desde el ordenador de la casa al televisor, conectado a la red, gastándole así una broma a su hermano. Fue probando opciones hasta que consiguió, por error, que el aparato dejara de hacer caso al mando a distancia por un rato, para luego reiniciarse. Y cada vez que se reiniciaba, lo mismo una y otra vez. Desconectar la tele y volverla a enchufar no funcionó.

Al hermano de Auriemma no le gustó nada la bromita y ya tenía en mente cargar la tele en el coche y devolverla a la tienda, pero Luigi estuvo intentando arreglar el desaguisado y para ello se puso en contacto con Samsung, que no le ofreció solución ninguna, ya que desconocían lo que le pasaba al aparato.

Finalmente, y tras tres días, Luigi les pidió que le dieran acceso al modo restringido de mantenimiento, que sólamente pueden usar los técnicos de la casa, y así consiguió reiniciar el televisor y que éste volviera a funcionar correctamente.

Se da la coincidencia que Luigi Auriemma es un investigador que ya ha identificado varios fallos de seguridad en diferentes ocasiones, desde el sistema operativo Windows a video-juegos, pasando por los programas usados para controlar presas o refinerías de gas, por lo que el hombre, a diferencia de los de Samsung, sabía de lo que hablaba cuando se puso en contacto con ellos.

Auriemma hizo su ‘descubrimiento’ una semana después de que otra persona descubriera un fallo de seguridad en otro televisor “inteligente”, en este caso un Sony Bravia, dejándolo fuera de servicio mediante un ataque de denegación de servicio usando hping, una herramienta de seguridad disponible en cualquier sistema operativo. El daño no es demasiado, ya que el televisor se apaga y se debe volver a encender manualmente.

Ni Sony ni Samsung parecen tener conocimiento de estos fallos de diseño que permiten que sus dispositivos funcionen de forma errónea. Y aunque los dos fallos fueron encontrados en una red casera, no se descarta que también se puedan repetir mediante una conexión a Internet, si los dispositivos tuvieran una IP pública sin filtros, firewalls u otros sistemas de protección.

Este tipo de fallos en el diseño del firmware, los sistemas que controlan el funcionamiento de los dispositivos, pueden permitir que atacantes con intenciones no muy honestas puedan aprovecharse de ellos, dejando aparatos fuera de servicio.

Apagar una tele no causa mucha ‘disrupción’ (a menos que te dediques a apagar televisores en medio de la final de la champions, la eurocopa o la copa del mundo), pero imaginen qué podría pasar con neveras o lavadoras conectadas a la red, que recibieran órdenes de descongelarse o de cargar agua sin cesar.

Mientras los halcones de la ciberparanoia seguramente usen éstos ejemplos para justificarse en sus peticiones de recortar más libertades civiles en aras de proteger nuestras neveras ‘inteligentes’, la solución es bien simple: diseñar bien los programas de control de los dispositivos y aceptar el consejo, información y reporte de fallos.

Basar la seguridad de los dispositivos en la simple idea de que nadie descubra sus potenciales fallos es una mala idea, más que nada porque siempre habrá alguien que los descubrirá. Y más vale que sea alguien como Luigi Auriemma a que sea alguien con mala idea.

Vía | Ars Technica
Foto | Adam Thomas
En Nación Red | ¿Ciberataque contra infraestructuras críticas? Mucho más fácil con un mazo ; Manos a la obra en Interior para hacer frente a la “amenaza” del hacktivismo ; Eventos para vender amenazas y “desnudar” a Anonymous

Comentarios cerrados
Inicio