Casas inteligentes ¿y seguras?
Retos de seguridad a los que se enfrenta el Internet de las cosas.
Desde hace unos años venimos oyendo la expresión Internet of Things (IoT) o Internet de las Cosas en español. Al principio fue algo etéreo, prácticamente exótico y tan extraño e irreal para nosotros como los coches voladores o las máquinas del tiempo.
Pero el Internet de las Cosas es algo cada vez más cercano. Un ejemplo son los vehículos inteligentes, conectados a servidores que nos dicen qué ruta seguir, dónde está si nos lo roban, si sus mecanismos están en buen estado o debemos llevarlo a reparar…
Por otro lado, tenemos la domótica, las casas inteligentes. El Internet of Things (IoT) permite controlar desde nuestro smartphone o desde una consola portátil similar a una tablet cualquier aspecto de nuestro hogar: la temperatura, si las persianas están subidas o bajadas, el funcionamiento de la lavadora, el horno o el lavaplatos, el contenido de la nevera, qué luces encendemos, si queremos que nuestro robot de limpieza haga su trabajo…
Las posibilidades son infinitas, y aunque suena a futuro, muchas de estas funciones ya existen en la actualidad, no ya como prototipos si no como productos a la venta.
¿Qué hace inteligentes a los dispositivos domóticos? Precisamente lo que da nombre al Internet de las Cosas: están conectados. En la actualidad, la mayoría de estos dispositivos utilizan la tecnología WiFi, infrarrojos o Bluetooth para comunicarse entre sí o con un control central, situado en el mismo domicilio o en un servidor central del fabricante.
Televisores, termostatos, electrodomésticos, cerraduras inteligentes, bombillas, robots de limpieza… Las casas inteligentes cuentan con decenas de dispositivos conectados a un router para conectarse sin cables entre sí.
Las posibilidades y ventajas son muchas, pero también surgen preguntas: ¿son seguras las casas inteligentes? ¿A qué peligros de seguridad se enfrentan?
Aparatos inteligentes pero vulnerables
Con el apelativo de inteligente o smart en inglés llamamos a cualquier dispositivo o aparato conectado a Internet. Esto implica que, dentro, tiene con una minicomputadora o una placa base con ciertas funciones avanzadas que son las que lo dotan de esa inteligencia.
Pero esa inteligencia no es activa, es decir, depende de cómo la programen su fabricante y su posterior dueño.
Llevamos conviviendo con las computadoras varias décadas y la relación amor-odio permite que muchos seamos conscientes de cómo nos facilitan muchas tareas pero de los peligros que implica tenerlo conectado a Internet constantemente sin medidas de seguridad (como un cortafuegos o antivirus) y sin actualizar el software asiduamente.
Lo mismo ocurre con los dispositivos móviles. Android es la principal víctima del malware móvil y afecta básicamente a smartphones desactualizados. No sólo teléfonos inteligentes, también televisores u otros dispositivos con Android instalado.
Recientemente hemos visto qué sucede cuando la tecnología conectada no está actualizada. El ataque de ransomware WannaCry aprovechó una vulnerabilidad de Windows que se había descubierto el mes anterior.
Los ataques de este tipo no implican el uso de magia. Simplemente aprovechan los agujeros en forma de software obsoleto que tienen los dispositivos conectados.
Y aquí radica el principal problema de seguridad del Internet de las Cosas: dispositivos inteligentes pero con un software obsoleto.
La principal causa es la naturaleza misma de estos dispositivos. Hace poco que convivimos con ellos y, mientras que actualizar un PC o un smartphone es relativamente sencillo, no ocurre lo mismo con un aparato pensado para funcionar y que no requiera mantenimiento a nivel de software por parte del usuario.
¿Significa esto que cualquiera puede acceder a dispositivos conectados de una casa domótica y tomar el control sin pisar el suelo de mi casa? No es tan fácil como parece pero sí es posible.
Un ejemplo: el acceso a muñecos inteligentes o dispositivos de seguimiento para bebés. Estos dispositivos cuentan con conexión inalámbrica, y conociendo las claves por defecto, es relativamente fácil acceder a sus cámaras y micrófonos. A principios de este año, el Gobierno alemán prohibió un juguete conectado (My Friend Cayla) por este mismo motivo.
Otro ejemplo: en Internet encontrarás con relativa facilidad páginas que recopilan imágenes de cámaras web de todo el mundo. Cámaras privadas, algunas de hogares particulares, que como no han cambiado la clave por defecto, comparten sus imágenes con todo el mundo.
Una diana atractiva
Podemos pensar, ¿por qué nadie va a acceder a mi casa inteligente y a trastear con mis dispositivos conectados?
Hay varios motivos. Gary Davis, Chief Consumer Security Evangelist en McAfee, apunta que el cibercrimen ha crecido en los últimos años y que sus objetivos son el robo de datos o el secuestro de los mismos, como hemos visto hace poco.
¿Qué papel juegan los dispositivos domóticos o conectados? En palabras de Davis, de McAfee, básicamente servir de red botnet con la que atacar objetivos más ambiciosos como grandes empresas o instituciones públicas.
Las botnet no son algo nuevo. Pero sí lo es que, en vez de usar computadoras, aprovechen los dispositivos conectados, que en la práctica no dejan de ser una minicomputadora.
Por otro lado, secuestrar el funcionamiento de estos dispositivos puede servir para solicitar un pago a cambio.
Soluciones relativamente sencillas
Nuevas tecnologías, viejas costumbres. Los retos de seguridad de las casas inteligentes tienen solución pero requieren de ciertas acciones por parte de los usuarios y de los fabricantes de estos dispositivos conectados.
En primer lugar, los fabricantes deberían ser más conscientes del peligro de no actualizar el firmware o el software de sus aparatos. El problema radica en centrarse en el diseño y creación de nuevas versiones de sus productos en vez de cuidar productos ya existentes que, con el tiempo, serán vulnerables.
Por nuestra parte, tenemos varias soluciones para proteger nuestras casas inteligentes, presentes o futuras, como cambiar las contraseñas por defecto de los dispositivos, en caso que sea posible, y poner atención en la seguridad de la principal puerta de entrada: el router.
El Internet de las Cosas o Internet of Things funciona conectándose a la red, y el centro de las redes son los routers. De ahí la importancia de mantenerlos actualizados, cambiar la contraseña por defecto por una lo más compleja posible, limitar las conexiones desde fuera, etc.
Por su parte, las firmas de seguridad ya empiezan a tomar consciencia del hecho que cada vez habrá más dispositivos conectados y que es más eficaz protegerlos todos de manera centralizada en vez de instalar herramientas de seguridad uno a uno.
McAfee, por ejemplo, ya no ofrece sus antivirus o herramientas de seguridad para un dispositivo específico, como antaño.
Ahora el objetivo es que un mismo producto permita proteger varias computadoras, tablets o smartphones, centralizando la configuración y mantenimiento mediante cuentas de usuario y de administrador que definen reglas y bloqueos predefinidos. La herramienta, por su parte, vigila las conexiones dentro de una misma red en vez de limitarse a uno dispositivo en sí.
Así pues, centralizar la seguridad y proteger todos los dispositivos conectados a una misma red desde una herramienta multiplataforma es la tendencia a seguir de cara a que las casas inteligentes, la domótica o la Internet of Things sean algo beneficioso y no tengamos que preocuparnos más que de disfrutar de esta tecnología.
Eso y tomar ciertas precauciones como venimos haciendo con nuestras computadoras y smartphones actuales.