Los peligros latentes del Internet de las Cosas

Internet de las cosas

Recientemente la empresa Check Point® Software Technologies Ltd. el mayor proveedor mundial especializado en seguridad, anunció que sus investigadores de seguridad descubrieron HomeHack, una vulnerabilidad que ha expuesto a millones de usuarios de los dispositivos domésticos inteligentes LG SmartThinQ al riesgo de control remoto no autorizado de sus electrodomésticos SmartThinQ. 

El tema en sí no es nuevo. Pero esta vez se ha visto agravado por un área del mercado a la que la multinacional coreana LG ha convertido en una de sus prioridades: el hogar inteligente. Desde frigoríficos, hornos o lavadoras, hasta purificadores de aire o aspiradores, LG Electronics (LG) h logrado que los principales elementos que conforman un hogar puedan estar conectados a través de la aplicación Google Assistant. Su esfuerzo por llevar el Internet de las Cosas (IoT) a todos los elementos del hogar conectado ha permitido a la marca contar con hasta 87 productos en su porfolio, todos ellos compatibles con dicha APP, de manera que pueden ser manejados desde cualquier smartphone, ya sea Android o iOS.

El problema es que estamos en mundo cada vez más interconectado, por lo que no es de extrañar que los expertos en seguridad lleven tiempo advirtiendo de la aparición de riesgos asociados con los aparatos domésticos inteligentes interconectados. Ya en 2012, en los albores de esta tendencia, el consultor estadounidense Shaun Cooley, que trabajaba para la empresa de seguridad informática Norton, en una entrevista con la BBC predijo: «Avanzamos por tantos campos que pronto habrá malware hasta en la televisión y el frigorífico».

En los últimos años el riesgo de ciberataques variados se ha ido incrementando a medida que ha ido creciendo el número de dispositivos conectados en el hogar, desde termostatos hasta bombillas y cámaras de seguridad. Aunque controlar la calefacción e iluminación de nuestra casa a través de un smartphone  resulta sumamente práctico, el problema estriba en que, si no se conocen los riesgos de seguridad que esto exige, se puede acabar pagando un precio muy alto.

IoT - Internet de las Cosas

Entre las facilidades asociadas a la conectividad de los electrodomésticos destaca la posibilidad de controlar los distintos elementos del hogar mediante comandos de voz, sin la necesidad de tocar ningún botón. Por medio de diversas órdenes, el usuario puede realizar tareas tales como comprobar cuánto tiempo le queda a la lavadora para terminar un programa, ajustar el termostato del aire acondicionado o programar el almacenamiento de hielo en el congelador. Las posibilidades son atractivas, siempre que tengamos en cuenta el tema seguridad, al que se dedican intensivamente los desarrolladores de software, aunque – como en otras áreas de la seguridad – los usuarios no suelen prestar mayor atención. Ejemplos sobran.

Ahora bien, aunque hace dos o tres años esta amenaza ha comenzado a consolidarse en las redes, por el momento el pirateo de dispositivos inteligentes no parece haber llegado a un punto en que los consumidores estén demasiado preocupados. Mientras tanto, a medida que más y más objetos se incorporan al mundo digital, la frágil línea que separa los beneficios de la tecnología inteligente y los posibles problemas de privacidad se vuelve más y más borrosa.

«Los consumidores piensan que si compran un producto o servicio de una marca de alto nivel, está fabricado de manera que sea relativamente seguro», comentó a la BBC Michael Philpott, del equipo de investigación de la consultoría Ovum. «Pero, al mismo tiempo, probablemente no comprenden del todo las consecuencias y riesgos potenciales de introducir aparatos más económicos en sus hogares».

Internet de las Cosas vulnerabilidades y riesgos

Poniendo coto a la ciberdelincuencia

Tras descubrir las vulnerabilidades de las aplicaciones móviles y cloud LG SmartThinQ, el equipo de investigación de Check Point pudo iniciar sesión de forma remota en la APP en la nube, hacerse con la cuenta LG del usuario legítimo y obtener el control de su aspiradora inteligente y su cámara de vídeo integrada.  Una vez hecho esto, comprobaron que cualquier dispositivo LG conectado a la red de la víctima podría ser controlado por el atacante – incluyendo robots aspiradores, refrigeradores, hornos, lavavajillas, lavadoras, secadoras y aire acondicionado.

Comprobaron también que la vulnerabilidad HomeHack daba a los ciberdelincuentes la oportunidad de espiar a los usuarios en sus casas a través de la cámara de vídeo del robot aspirador Hom-Bot, que envía vídeo en vivo a la aplicación LG SmartThinQ como parte de su función de seguridad HomeGuard.  Dependiendo de los electrodomésticos LG en la casa del propietario, los atacantes también podían apagar o encender su lavavajillas o lavadora.

Hay que tener en cuenta que la gama SmartThinQ® de LG de electrodomésticos inteligentes y soluciones de seguridad permite a los usuarios monitorizar y controlar sus hogares desde un smartphone. En este caso las cifras del parque instalado eran preocupantes, ya que las ventas del robot aspirador Hom-Bot superaron las 400.000 unidades en la primera mitad de 2016.  En 2016, 80 millones de dispositivos domésticos inteligentes se enviaron a todo el mundo, un aumento del 64% desde 2015.

“A medida que utilicemos más dispositivos inteligentes en nuestros hogares, los ciberdelincuentes pasarán de atacar los objetos uno por uno a hackear las aplicaciones que los controlan. Esto proporciona a los ciberdelincuentes más oportunidades de explotar los fallos del software, causar interrupciones en los hogares de los usuarios y acceder a sus datos confidenciales”, explica Oded Vanunu, director de investigación de vulnerabilidades de productos de Check Point. “Los usuarios deben ser conscientes de los riesgos de seguridad y privacidad al utilizar sus dispositivos IoT, y es esencial que los fabricantes se centren en la protección de los objetos inteligentes contra ataques implementando una seguridad robusta desde el diseño del software y los aparatos”.

Así entonces, las vulnerabilidades de la aplicación móvil SmartThinQ permitieron a los investigadores de Check Point crear una cuenta LG falsa, y luego utilizarla para controlar la cuenta LG del usuario legítimo, y a su vez obtener control remoto de los dispositivos LG inteligentes del usuario. Check Point reveló la vulnerabilidad a LG el 31 de julio de 2017, siguiendo las directrices de divulgación responsable. LG respondió solucionando los problemas señalados en la aplicación SmartThinQ a finales de septiembre.

 

“Afortunadamente, LG proporcionó una solución de calidad para detener la posible explotación de los problemas en sus dispositivos y aplicaciones SmartThinQ”, declara Vanunu.

“Como parte de la misión de LG Electronics para mejorar las vidas de los consumidores de  todo el mundo, estamos expandiendo nuestra nueva generación de electrodomésticos inteligentes, al tiempo que damos prioridad al desarrollo de programas de software seguros y confiables», comenta Koonseok Lee, Manager del Equipo de Desarrollo Inteligente, Smart Solution BD de LG Electronics“En agosto, LG Electronics se asoció con Check Point Software Technologies para ejecutar un proceso avanzado de rooting diseñado para detectar problemas de seguridad e inmediatamente comenzó a parchear los programas. A partir del 29 de septiembre, el sistema de seguridad ha estado ejecutando la versión 1.9.20 actualizada sin problemas.  LG Electronics planea seguir fortaleciendo sus sistemas de seguridad de software, así como trabajar con proveedores de soluciones de ciberseguridad como Check Point para proporcionar dispositivos más seguros y convenientes».

Para proteger sus dispositivos, los usuarios de la APP y los dispositivos móviles LG SmartThinQ deben asegurarse de actualizarlos a las últimas versiones de software, disponibles en la web de LG.  Check Point también aconseja a los consumidores que tomen las siguientes medidas para proteger sus dispositivos inteligentes y redes Wi-Fi domésticas contra la intrusión y la posibilidad de que los dispositivos remotos se apoderen de ellos:

1.- Actualice la aplicación LG SmartThinQ a la última versión (V1.9.23) a través de Google Play, la App Store de Apple o en las opciones de la propia app.

2.-  Actualice sus dispositivos inteligentes para el hogar a su última versión, haciendo clic en el producto en el panel de control de la aplicación smartThinQ (si hay una actualización disponible, recibirá una alerta emergente).

Dejar respuesta

Please enter your comment!
Please enter your name here

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.