El Internet de las Cosas (IoT, sus siglas en inglés) creció considerablemente en los últimos 10 años y cada vez más dispositivos de uso diario están interconectados entre sí. ESET, compañía especialista en detección proactiva de amenazas, presenta emblemáticos casos de ataques a dispositivos de hogares y entrega consejos para no convertirse en una víctima.
Como señala Fabiana Ramírez Cuenca, Investigadora de Seguridad Informática de ESET Latinoamérica, “todo lo que se conecta a internet se puede hackear, esta máxima no perderá vigencia ni validez y, en los últimos años, hubo casos que le dan crédito. Se identificaron ataques que apuntaron a dispositivos que están muy presentes en los hogares y quizás la mayoría no sabe que se pueden hackear”.
Los aparatos en el hogar conectados al Internet de las Cosas han creado nuevas oportunidades para la delincuencia cibernética. Una de las razones que contribuye a esto es la frecuente utilización de contraseñas vulnerables o básicas que son fáciles de descifrar.
ESET destaca cinco historias donde el cibercrimen descubrió en los dispositivos domésticos vinculados al Internet de las Cosas una forma innovadora de llevar a cabo ataques, resultando en consecuencias significativas:
El espía entrañable: En 2017, un inofensivo oso de peluche se transformó en el elemento central de la divulgación de charlas privadas y hasta información confidencial de niños. La empresa estadounidense Fisher-Price lanzó al mercado un peluche que se conectaba a internet para enviar y recibir mensajes de voz, con el propósito de fortalecer la comunicación entre padres e hijos, y estrechar su vínculo incluso a distancia. El inconveniente radicó en que todos esos mensajes (tanto familiares como privados) se almacenaban en los servidores de la empresa, que nunca anticipó un ciberataque, lo que facilitó a los atacantes digitales acceder a más de dos millones de grabaciones de voz, además de información delicada sobre los menores que estaban inscritos en la plataforma.
Saltó la banca: Un casino de Las Vegas fue hackeado usando el termostato de una pecera ubicada en uno de sus salones. Esta pecera tenía dispositivos de detección enlazados a un sistema informático para manejar la temperatura, la dosis de alimentación e incluso el aseo del estanque. Los atacantes maliciosos consiguieron adentrarse en la red aprovechando una debilidad en el termómetro inteligente de este acuario, logrando así obtener acceso a la base de datos del casino. En el año 2017 realizaron un golpe exitoso, robando información confidencial, incluyendo los nombres de importantes apostadores.
Cámara indiscreta: En diciembre del año 2019, las ventas de cámaras de seguridad Ring experimentaron un incremento significativo, sin que las personas se dieran cuenta del riesgo que esto traería a su privacidad. De acuerdo con lo que informaron varios medios de comunicación, una familia sufrió un ciberataque en este dispositivo debido a una contraseña poco segura. Un artículo de Vice detalla que, mediante el uso de un software específico, los hackers lograron obtener información de usuario, correos electrónicos y contraseñas, lo que les permitió acceder a las cuentas de las víctimas.
Los atacantes pudieron tomar control de la cámara, transformando lo que originalmente debía ser una herramienta para vigilar desde una aplicación móvil la habitación de su pequeña hija, en un acceso para individuos con malas intenciones. Aunque existen múltiples casos, se analiza el de una mujer en Texas, quien fue contactada por una voz proveniente de la cámara, que se presentó como parte del servicio de atención al cliente de Ring, para informar sobre un problema con su dispositivo. Para resolverlo, solicitaban el pago de 50 Bitcoins. La situación se intensificó y la mujer recibió amenazas, donde el agresor afirmaba estar muy cerca de su hogar. La respuesta de la afectada fue apagar la cámara e, incluso, retirar la batería.
Un peligroso ejército casero: Mirai se identificó como una botnet en el año 2016, y rápidamente adquirió notoriedad por llevar a cabo un ataque DDoS casi sin precedentes. En esa ocasión, el proveedor de servicios de nombres de dominio Dyn sufrió un ataque DDoS prolongado, resultando en repercusiones significativas, que incluyeron interrupciones en plataformas y servicios como Twitter, Airbnb, Reddit, Amazon, SoundCloud, Spotify, Netflix y Paypal, entre muchos más.
La botnet Mirai se distinguió porque su “ejército” de más de 600.000 dispositivos estaba formado por enrutadores residenciales, grabadores de video, cámaras de seguridad y otros tipos de dispositivos inteligentes, que carecían de la protección necesaria, estaban incorrectamente configurados o poseían contraseñas poco seguras.
No todo marcha sobre ruedas: En este caso no existieron propósitos maliciosos, sino que detrás se encontraban dos hackers éticos interesados en demostrar cómo una debilidad podía servir como el acceso para apoderarse de un vehículo de forma remota.
En el año 2015, Charlie Miller y Chris Valasek implementaron un método de hackeo que les permitía obtener el control remoto del automóvil. Como consecuencia, comenzaron a salir corrientes de aire frío a toda potencia por las rejillas de ventilación, se observaron alteraciones en el sintonizador de la radio, e incluso se encendieron los limpiaparabrisas, causando que el parabrisas se empañara. A raíz de esta prueba, la compañía automotriz decidió llamar a revisión alrededor de 1,4 millones de vehículos comercializados en Estados Unidos.
Desde ESET mencionan que una de las estrategias fundamentales para disminuir la probabilidad de este tipo de robo de información es asegurarse de que los dispositivos conectados al Internet de las Cosas estén actualizados con las últimas versiones, dado que muchas vulnerabilidades suelen ser resueltas rápidamente. También sugieren reemplazar las contraseñas predeterminadas por otras más seguras. Esto implica que deben contener letras mayúsculas, cifras y símbolos especiales; y, por supuesto, que no se empleen en ninguna otra cuenta o equipo.
“Además, es clave configurar los dispositivos de manera correcta y segura. Esto incluye deshabilitar aquellos puertos y servicios que no estén siendo utilizados, y evitar las configuraciones por defecto. Como siempre mencionamos, es fundamental tener habilitado el segundo factor de autenticación en todos los dispositivos que se pueda”, finaliza Ramírez Cuenca de ESET Latinoamérica.
