Header Ads Widget

Ticker

6/recent/ticker-posts

La falla de seguridad de la iluminación inteligente ilumina el riesgo de IoT

La última pesadilla de seguridad inteligente para el hogar arroja luz sobre el riesgo que corre cada vez que agrega otro sistema conectado a su red.


La última pesadilla de seguridad inteligente para el hogar destaca el riesgo que corre cada vez que agrega otro elemento conectado a su hogar, oficina o red industrial. E incluso las marcas líderes del mercado cometen errores.

La historia de Hue
Los sistemas de iluminación inteligente de Philips Hue se encuentran probablemente entre las soluciones para el hogar inteligente más instaladas en el mundo, por lo que mucha gente necesita conocer las últimas investigaciones de Check Point , que advierten sobre una falla de seguridad importante en ellos.

Aparentemente, es posible infiltrarse en redes domésticas / de oficina utilizando un exploit remoto en el protocolo inalámbrico de baja potencia ZigBee y las bombillas inteligentes y el puente Philips Hue como punto de acceso.

El informe afirma que fue posible subvertir la seguridad del hogar inteligente en la medida en que los piratas informáticos tomaron el control de la bombilla y luego engañaron a los usuarios en una serie de acciones que permitieron a los piratas informáticos infiltrarse en la red.


Check Point alertó a Philips sobre el problema y el fabricante lanzó rápidamente un parche de software para protegerse contra él. (Puede obtener ese parche aquí  , y si tiene un sistema Hue instalado en algún lugar, debe instalarlo tan pronto como pueda).

Nota: La  investigación de Kaspersky  que nos dice que los ataques contra dispositivos domésticos inteligentes aumentaron alrededor de un 700% en los últimos 12 meses.

¿Por qué sigue sucediendo esto?
Esto me recuerda mucho el muy publicitado ataque de 2014  cuando los delincuentes utilizaron una vulnerabilidad en un sistema HVAC conectado para exfiltrar los detalles de millones de tarjetas de crédito y débito de Target.

Esto es lo que puede suceder cuando los atacantes logran penetrar en las redes: un poco de rastreo de paquetes y sus datos bancarios podrían ser robados, como también podrían ser los códigos de acceso para la planta de energía en la que trabaja.

Lo notable de esto es que han pasado seis años desde el hack de Target y, sin embargo, todavía es posible aislar elementos conectados para subvertirlos.

Este es un problema que Apple ha estado tratando de resolver desde que creó su sistema Made for HomeKit.

Los fabricantes tienen una responsabilidad
No voy a centrar mi ira en Philips en esto: la compañía tomó medidas para remediar la situación una vez que se enteró. Tampoco es exactamente Zigbee quien tiene la culpa: la verdad es que cada sistema operativo tiene su propio conjunto de vulnerabilidades e identificarlas es un gran negocio.

Pero enfocaré algo de enojo con aquellos fabricantes en el espacio del hogar inteligente que no ven la seguridad y la privacidad como algo importante en una era cada vez más conectada. Porque el riesgo para el hogar y la empresa que representan los dispositivos mal protegidos en sus redes conectadas depende de los dispositivos más débiles instalados mucho más que de los mejores.

Puede tener 10,000 dispositivos inteligentes bien asegurados, pero ese antiguo termostato conectado en el almacén puede ser toda la vulnerabilidad que un pirata informático necesita para penetrar en toda su red.

Es también por eso que debe verificar con diligencia qué tan comprometidos están los fabricantes con el software regular y las actualizaciones de seguridad para los dispositivos que desean vender. No importa si esos sistemas están dirigidos a usuarios comerciales o consumidores, si no se comprometen con la protección de seguridad regular, no debe comprarlos. 

¿Qué puedes hacer?
Recomiendo que los usuarios de empresas y consumidores hagan un inventario de sus implementaciones de dispositivos conectados existentes.

Luego haga las siguientes preguntas:

¿Este dispositivo ha mostrado alguna inestabilidad inesperada recientemente?
¿Es posible actualizar el firmware?
¿Está instalado el último parche de software?
¿Con qué frecuencia se envían los parches de software?
¿Es posible cambiar alguna contraseña / código predeterminado en el dispositivo y se ha cambiado?
¿Es posible utilizar un código alfanumérico?
¿El sistema es compatible con la última edición de su sistema operativo?
¿Cuál es el protocolo de red del dispositivo? ¿Sigue vigente?
¿Es posible identificar el dispositivo desde más allá de la red utilizando herramientas de monitoreo de red estándar?

Si no puede actualizar el dispositivo o cambiar su contraseña, o si usa un protocolo de red antiguo, deje de usarlo.
Si el dispositivo es visible para personas ajenas a su red, asegúrelo o apáguelo y envíelo a reciclar.
En algunos casos, he oído hablar de implementaciones en las que los dispositivos conectados se colocan en una red inalámbrica separada de cualquier computadora o sistema de almacenamiento de datos.

Apple tiene su propia solución que puede contribuir de alguna manera a proteger los smarthomes basados ​​en HomeKit y los enrutadores habilitados para Homekit . Estos le permiten proteger dispositivos inteligentes en su oficina u hogar, pero solo algunos enrutadores compatibles con esto están disponibles en este momento.

Personalmente, creo que todos los enrutadores deberían tener una protección de dispositivo inteligente incorporada. Quizás esto es lo que Apple, Google, Amazon, Zigbee Alliance y otros esperan lograr con el proyecto Connected Homes over IP .

Pero las vulnerabilidades de seguridad iluminadas por este último problema de Hue deberían ser una prueba positiva de que una mejor seguridad es obligatoria, para el hogar, la oficina, la fábrica o cualquier otro sistema conectado.



Publicar un comentario

0 Comentarios