Si bien esta clase de artefactos están simplificando la vida cotidiana de las personas, su conectividad permanente a la red representa un riesgo para la privacidad de los datos y la continuidad de los sistemas domésticos de sus dueños.
La comodidad y eficiencia que ofrecen los dispositivos inteligentes para el hogar está transformando significativamente la vida cotidiana de millones de personas, mediante la automatización de una gran variedad de tareas domésticas rutinarias. Sin embargo, la interconectividad de estos artefactos con tecnología de punta también han abierto las puertas a los hackers a nuevos métodos de ataque que ponen en jaque la seguridad de todos sus usuarios.
Hace apenas algunas semanas, a inicios de octubre del 2024, las aspiradoras inteligentes Deebot X2 de Ecovacs fueron hackeadas en Estados Unidos. Los atacantes lograron tomar el control de estos dispositivos, utilizando sus altavoces para molestar y lanzar toda clase de comentarios ofensivos e insultos a sus dueños.
Los usuarios reportaron que las aspiradoras no solo emitían un lenguaje inapropiado, sino que en muchos casos se usaron para perseguir a personas o mascotas dentro del hogar, lo que puso en evidencia vulnerabilidades en el sistema de seguridad de las aspiradoras.
Después de realizar una investigación, los investigadores de ciberseguridad de la compañía descubrieron que los atacantes lograron explotar estas fallas mediante una técnica conocida como “credential stuffing”, que implica el uso de contraseñas antiguas o comprometidas en otros sistemas para acceder a los dispositivos.
El caso de Ecovacs ha intensificado la conversación en la industria en torno a la necesidad de mejorar la ciberseguridad en los dispositivos del hogar conectado, especialmente en aquellos con acceso a micrófonos y cámaras, ya que pueden volverse vulnerables a ataques si no están bien protegidos de accesos no autorizados, sobre todo a medida que surgen cada vez más nuevos aparatos de este tipo.
El aumento de los dispositivos IoT en el hogar ha sido un arma de doble filo
El mercado de dispositivos del hogar conectados a IoT ha crecido exponencialmente en la última década. De hecho, se estima que hoy en día, los hogares a nivel global cuentan en promedio con 21 dispositivos conectados a IoT en 2024.
Las asistentes del hogar como Alexa o Google Home, las cámaras de seguridad, altavoces inteligentes, luces, interruptores y electrodomésticos son solo algunos de los dispositivos más comunes que actualmente están interconectados entre sí en millones de casas, en los cuales los hackers han encontrado una puerta de entrada a los hogares y las vidas de las personas.
Desafortunadamente, diversos incidentes han demostrado que esta clase de dispositivos inteligentes carecen de configuraciones de seguridad adecuadas, lo que da pie a que los atacantes accedan a información privada, se apoderen de los dispositivos para realizar ataques de denegación de servicio y en algunos casos incluso molestar a los usuarios, como sucedió con las aspiradoras Deebot X2.
Es importante subrayar que el ataque a Ecovacs no fue un hecho aislado, un informe reciente señala que entre los hackeos a dispositivos del hogar, el 37% se dirigen a televisores inteligentes, mientras que los enchufes inteligentes y los sistemas de seguridad representan el 21% y el 14%, respectivamente.
Casos recientes de ciberataques a dispositivos inteligentes para el hogar
Sin duda vale la pena repasar algunos de los incidentes más sonados en los que hackers lograron vulnerar los sistemas de seguridad de distintos dispositivos inteligentes del hogar.
-
Cámaras Inteligentes Ring
En los últimos años, las cámaras de seguridad de Amazon han sido víctimas de múltiples ataques aislados. No obstante, uno de los incidentes más destacados ocurrió a finales del 2022, cuando miles de usuarios reportaron que personas no autorizadas habían accedido a sus cámaras Ring para espiarlos, además de que los hackers estaban utilizando su sistema de audio bidireccional para acosarlos verbalmente mediante amenazas y comentarios inapropiados.
Como respuesta a los ataques y para mejorar la seguridad, Amazon comenzó a ofrecer autenticación de dos factores y a enviar alertas a los usuarios cuando detectaban inicios de sesión no reconocidos. A pesar de lo anterior, el gigante del ecommerce enfrentó duras críticas por no implementar configuraciones de seguridad predeterminadas más robustas desde el inicio, lo que habría evitado el acceso a los dispositivos.
-
Sistemas de acceso de Nortek Controls
A principios del 2024, la compañía dedicada a la venta y desarrollo de soluciones de automatización y control de acceso como cerraduras inteligentes, sistemas de intercomunicación y más, sufrió una serie de ataques en los que los hackers lograron apoderarse de sus sistemas para controlarlos de forma remota con el fin de afectar tanto a hogares como a entornos comerciales que utilizaban estas herramientas de seguridad.
Los atacantes encontraron puntos débiles en las credenciales administrativas de los sistemas de acceso, permitiéndoles explotar una puerta trasera para acceder sin restricciones a funciones administrativas, lo que les daba el poder de desbloquear puertas de forma remota, modificar configuraciones e incluso deshabilitar totalmente sistemas enteros de seguridad.
Tras los incidentes, Nortek Controls lanzó parches de seguridad y reforzó sus mecanismos de autenticación. Sin embargo, la empresa fue criticada tras admitir que las instalaciones de estas actualizaciones dependían en gran medida de los usuarios o administradores, ya que debían habilitar manualmente dichos parches, por lo que algunos dispositivos continúan siendo vulnerables a ataques.
-
Smart TVs de Samsung y LG
Los televisores inteligentes son propensos a hackeos porque pueden servir como una puerta de entrada para que los hackers espíen a los usuarios, ya que cuentan con componentes como cámaras y micrófonos integrados para funcionalidades como videollamadas o comandos de voz.
Se ha demostrado que los hackers pueden aprovechar vulnerabilidades en el software de la televisión para acceder a estas herramientas sin que el usuario se entere, lo que les permite espiarlos o grabar conversaciones que suceden en su hogar.
En el 2023, investigadores descubrieron que ciertos televisores de marcas populares, como Samsung, LG y Vizio contaban con vulnerabilidades en su software, permitiendo que hackers se apoderaran temporalmente de sus sistemas operativos. A través de esta técnica, los atacantes podían controlar remotamente la televisión, así como extraer datos sobre el comportamiento de visualización del usuario, incluyendo las aplicaciones utilizadas, historial y el contenido consumido.
-
Sistemas de iluminación Phillips Hue
Es increíble, pero hoy en día hasta un sistema de iluminación inteligente puede servir como una puerta de entrada para hackers. Un grupo de investigadores de Check Point Security descubrió una vulnerabilidad en los focos inteligentes de la marca Philips Hue que podía ser aprovechada por ciberatacantes para ingresar al sistema de otros aparatos conectados a la red del hogar, lo que les permitía robar datos personales y potencialmente comprometer la seguridad de los usuarios.
Tras identificar los problemas de ciberseguridad, Signify, la empresa matriz de Philips Hue, trabajó en colaboración con expertos en la materia para lanzar actualizaciones y protocolos con los que lograron reforzar la seguridad de sus luces e interruptores inteligentes.
Además, la compañía incitó a los usuarios a mantener sus dispositivos actualizados y a implementar medidas de seguridad adicionales en sus redes domésticas, como contraseñas fuertes y redes segmentadas para dispositivos de IoT.
-
Cámaras de Xiaomi:
Xiaomi, por su parte, también se ha enfrentado a diversos problemas de privacidad en sus dispositivos de vigilancia de video. En uno de los incidentes, los usuarios reportaron que podían ver transmisiones de otros usuarios por error, lo que la empresa atribuyó a un fallo en la API de Xiaomi.
Posteriormente, investigadores de seguridad descubrieron que las cámaras de Xiaomi que están conectadas a través de redes Wi-Fi, eran susceptibles a ataques de interceptación debido a la falta de cifrado en la transmisión de datos.
Esto permitía que los hackers pudieran interceptar las transmisiones de video o acceder a la red doméstica para realizar espionaje o incluso llegar a desactivar el sistema de seguridad de forma remota.
Xiaomi asegura que ha reforzado sus protocolos de seguridad implementando actualizaciones de firmware para mejorar el cifrado de datos y proteger la privacidad de sus usuarios.
Riesgos y consecuencias de los ataques a dispositivos del hogar
Los ciberataques a dispositivos de IoT pueden llegar a tener un impacto significativo en la vida de los usuarios. Además de los riesgos evidentes de espionaje y violación de la privacidad, los ataques pueden llevar a consecuencias más graves, comenzando por el robo de datos personales.
Lo anterior se debe a que muchos dispositivos inteligentes almacenan un montón de información sensible, desde datos personales, hábitos y horarios de los usuarios, hasta sus videos, audios y conversaciones privadas. Si esta información cae en manos equivocadas, puede ser utilizada para extorsión, robo de identidad o espionaje corporativo.
Por otro lado, los ataques a dispositivos de IoT también pueden afectar emocional y psicológicamente a sus dueños, ya que la invasión de su privacidad, aunado al miedo a ser espiados en su propio hogar genera una sensación de inseguridad constante.
No cabe duda que los beneficios de los dispositivos inteligentes para el hogar son enormes, pero los riesgos pueden llegar a ser igualmente significativos. La seguridad debe ser una prioridad desde el diseño hasta el uso cotidiano de estos aparatos.
Para que los hogares inteligentes realmente puedan ofrecer seguridad y comodidad plenas, es fundamental que sus fabricantes desarrollen dispositivos seguros, ya que los más de 2.5 millones de ataques diarios dirigidos a estos artefactos, nos demuestran que su ciberseguridad no debe ser tomada a la ligera.