El internet de las cosas (IdC o IoT, por sus siglas en inglés) sin duda facilita las tareas cotidianas, pero al mismo tiempo supone nuevas vulnerabilidades que pueden ser aprovechadas por los ciberdelincuentes, según lo demuestra un experimento llevado a cabo por el especialista Martin Hron de la firma de seguridad informática Avast. Una cafetera inteligente fue 'hackeada' con relativa facilidad, llegando a arrojar agua hirviendo sin control y sin responder a otros comandos mientras exigía un rescate.
Hron quería demostrar que los dispositivos inteligentes no solo pueden usarse para espiar o recopilar datos de los usuarios, sino que sus debilidades también pueden ser aprovechadas para ataques más serios como tomar el control de los electrodomésticos con conexión a Internet.
El especialista llevó a cabo un proceso de ingeniería inversa para estudiar el funcionamiento de una cafetera de la marca Smarter iKettle. Tras introducir un código malicioso, el electrodoméstico empezó a botar agua hirviendo sin parar, activar aleatoriamente otras funciones y a hacer sonidos mientras mostraba en la pantalla el mensaje: "¿Quieres recuperar tu cafetera?". La única manera de pararla sería desenchufándola.
En un inicio el plan era 'hackear' la cafetera para convertirla en una máquina de minar criptomonedas, pero debido a su procesador poco potente no merecía la pena usarla para ese propósito y fue mejor pedir un rescate.
Si bien un ataque de este tipo no es algo fácil de conseguir, la tarea se vio facilitada gracias a que el fabricante construyó el dispositivo basándose en controladores populares y la conexión inalámbrica no estaba encriptada. Este modelo permitía recibir actualizaciones de 'firmware' sin ningún tipo de cifrado ni autenticación.
Más allá de un experimento divertido, Hron sostiene que el mayor problema es que un dispositivo de IdC podría ser usado para llevar ataques a otros dispositivos conectados a la misma red Wi-Fi, comprometiendo la seguridad de los usuarios en sus hogares e incluso empresas.
Al juntar la cantidad de dispositivos conectados a Internet y la poca atención de los fabricantes en soporte y actualizaciones, se está creando un "ejército de máquinas abandonadas y vulnerables que pueden ser usadas para todo tipo de fechorías" como el acceso a redes protegidas, robo de datos, el 'ransomware' y ataques DDoS, concluye Hron.