hogar inteligente

Un hogar no tan inteligente

Nuestros expertos del Equipo de Análisis e Investigación Global (GReAT) han descubierto una vulnerabilidad peligrosa en una aplicación de control de hogar inteligente que permitía a los atacantes desactivar los sistemas de seguridad físicos

GReAT
28 May 2025

Los hogares inteligentes de hoy no se parecen en nada a la ciencia ficción de las películas de finales de los 90. Son una realidad para casi todas las personas que viven en una ciudad grande. Te resultará difícil encontrar un apartamento moderno sin enchufes, altavoces o televisores inteligentes.

En construcciones nuevas, a veces verás hogares construidos desde el primer momento para que sean inteligentes, lo que da como resultado complejos residenciales inteligentes. Los residentes pueden administrar no solo los dispositivos de su apartamento, sino también sistemas externos como intercomunicadores, cámaras, portones, medidores de servicios públicos y alarmas de incendio, todo a través de una sola aplicación.

Pero, ¿qué sucede si hay una vulnerabilidad de seguridad en una aplicación como esa? Nuestros expertos del equipo GReAT tienen la respuesta. Descubrieron una vulnerabilidad en la aplicación Rubetek Home y analizaron los posibles riesgos de seguridad para los propietarios de hogares inteligentes que, afortunadamente, no se materializaron.

De qué se trataba la vulnerabilidad

Esta vulnerabilidad surgió porque la aplicación envía datos confidenciales durante su proceso de registro. Los desarrolladores utilizaron Bot API de Telegram para recopilar análisis y enviar archivos de información de depuración de los usuarios a un chat privado del equipo de desarrollo a través de un bot de Telegram.

El problema era que estos archivos, además de la información del sistema, contenían datos personales de los usuarios y, lo que es más grave, tokens de actualización necesarios para autorizar el acceso a la cuenta del usuario. Los posibles atacantes podrían haberse reenviado todos estos archivos usando el mismo bot de Telegram. Para lograrlo, podrían obtener su token de Telegram y el ID de chat del código de la aplicación y luego iterar a través de los números consecutivos de mensajes que contienen los archivos.

Recientemente, el registro de eventos a través de Telegram se ha vuelto cada vez más popular. Recibir notificaciones importantes a través del servicio de mensajería instantánea es una opción práctica y eficiente. Sin embargo, este enfoque requiere precaución: recomendamos no reenviar datos confidenciales en los registros de la aplicación y, además, prohibir la copia y el reenvío de contenido del grupo en la configuración de Telegram o usar el parámetro protect_content al enviar un mensaje a través de un bot de Telegram.

Nota importante: Nos pusimos en contacto con Rubetek inmediatamente después de descubrir la vulnerabilidad. En el momento de esta publicación, el problema se había solucionado.

Los posibles atacantes podrían haber obtenido acceso a los datos que todas las aplicaciones del usuario estaban enviando al desarrollador. La lista de estos datos es impresionante:

nombre completo, dirección de correo electrónico o número de teléfono móvil y dirección de la propiedad vinculada a la aplicación;
lista de dispositivos vinculados al sistema de hogar inteligente;
información sobre eventos registrados por dispositivos inteligentes, por ejemplo si el sistema de seguridad del hogar estaba activado o desactivado, o si las cámaras captaron algún sonido sospechoso;
información del sistema sobre dispositivos dentro de la red doméstica local: dirección MAC, dirección IP y tipo de dispositivo;
direcciones IP para conectarse a cámaras mediante el protocolo WebRTC;
instantáneas de cámaras e intercomunicadores inteligentes;
los chats del usuario con forma de asistencia y
tokens que permiten iniciar una nueva sesión con la cuenta del usuario.

Los usuarios de las aplicaciones para Android y iOS estaban en riesgo.

¿Qué sucede si los delincuentes realmente obtienen el control de tu hogar inteligente?

Esta amplia variedad de datos podría haber permitido una vigilancia integral para saber quién vive en qué lugar y qué días no está en el hogar. Los delincuentes podrían haber averiguado los horarios de alguna persona y, durante esas horas de ausencia, entrar al apartamento después de desactivar de forma remota las cámaras y otros sistemas de seguridad a través de la aplicación.

Si bien un robo tan evidente se habría notado sin dudas, hay otras posibilidades más sutiles. Por ejemplo, al aprovechar la vulnerabilidad, los atacantes podrían haber cambiado de forma remota los colores de las bombillas inteligentes y la temperatura del piso, encendiendo y apagando las luces sin cesar, lo cual causaría una pérdida financiera notable a los propietarios.

Lo que es aún más inquietante era la posibilidad de que un atacante apunte no solo a un apartamento o una casa, sino a miles de residentes de todo un complejo. Por supuesto, la desactivación simultánea de los sistemas de control de acceso no hubiera pasado inadvertida para la administración del edificio, pero ¿con qué rapidez se darían cuenta de lo que estaba sucediendo y qué daños podrían sufrir los residentes mientras tanto?

Cómo proteger tu hogar inteligente

Ten en cuenta que el tipo de vulnerabilidades de las que estamos hablando también podrían estar presentes en otras aplicaciones para hogares inteligentes. Al ser uno de los millones de clientes, prácticamente no tienes forma de saber si una aplicación fue vulnerada o no. Por lo tanto, si notas una mínima actividad sospechosa, como personas nuevas en tu lista de invitados o la apertura y el cierre no autorizados de puertas y portones, te recomendamos ponerte en contacto con el administrador y proveedor de la aplicación lo antes posible.

Volvamos a una situación más común, como usar dispositivos inteligentes dentro de tu propio apartamento sin un administrador de red al que recurrir. En esos casos, te recomendamos que sigas estas reglas:

Protege tu rúter Wi-Fi y cambia la contraseña predeterminada a una más segura, desactiva WPS y activa el cifrado WPA2.
Crea una red Wi-Fi específica para tus dispositivos de hogar inteligente y establece una contraseña diferente para ella. Los routers modernos admiten redes de invitados, por lo que si, por ejemplo, se piratea una base inteligente, los delincuentes no obtendrán acceso a tus ordenadores o teléfonos inteligentes.
Utiliza la aplicación Kaspersky Premium para controlar con frecuencia tu red de dispositivos no autorizados. Si todo está bien, el Monitor de casa inteligente solo mostrará información sobre tus dispositivos.
Establece contraseñas seguras para cada dispositivo. No tienes que memorizarlas: Kaspersky Password Manager puede encargarse de eso.
Actualiza regularmente el firmware de todos tus dispositivos inteligentes, incluido tu enrutador.

Consulta estos enlaces para analizar otros posibles riesgos de una casa inteligente pirateada y otras formas de proteger tu propiedad.

Cómo proteger tu hogar inteligente

La seguridad en las cámaras IP: el bueno, el malo y el feo

La mejor estrategia para tu hogar inteligente

¿Te espían tu televisor, tu smartphone y tus altavoces inteligentes?

Un gran agujero en el plato: El comedero inteligente para mascotas tiene una fuga

AirBorne: ataques a dispositivos Apple a través de vulnerabilidades en AirPlay

Las vulnerabilidades recién descubiertas en AirPlay permiten realizar ataques a dispositivos Apple y otros productos compatibles con AirPlay a través de una red Wi-Fi, incluidos los exploits de clic cero.

Privacidad y niños

Un hogar no tan inteligente

De qué se trataba la vulnerabilidad

¿Qué sucede si los delincuentes realmente obtienen el control de tu hogar inteligente?

Cómo proteger tu hogar inteligente

Garantizar la seguridad del hogar

Cómo proteger tu hogar inteligente

AirBorne: ataques a dispositivos Apple a través de vulnerabilidades en AirPlay

Consejos

Lluvia de bitcoins: Falso regalo de Nvidia

Te chantajean porque te han pillado viendo porno

Nueve hábitos online que deberías cambiar

6 consejos para conseguir trabajo en la industria de la ciberseguridad (y tener éxito)

Suscríbete para recibir nuevas publicaciones en tu buzón

Soluciones domésticas

Para pequeñas empresas

Para empresas medianas

Para empresas grandes

Securelist

Eugene Personal Blog

Enciclopedia