Cómo hackear una casa inteligente

18 Jul 2019

La tecnología de las casas inteligentes se diseñó con el fin de hacer la vida más fácil y cómoda. Sin embargo, estas nuevas comodidades también traen nuevos problemas. Los peligros de automatizar absolutamente todo son un tema frecuente en las conversaciones y en las entradas de blog. Para empezar, conectar todos los electrodomésticos a Internet te hace dependiente de la calidad de la conexión y del funcionamiento del servidor. A su vez, los ciberdelincuentes pueden utilizar esos puntos de entrada para hacerse con el control del equipo vulnerable y utilizarlo a su favor.

Como demuestran estudios recientes, siguen existiendo muchos métodos para tomar el control de una casa inteligente. Por ejemplo, uno de dichos problemas identificado puede ser una vulnerabilidad en el servidor de la nube mediante la que el dueño controla la casa en remoto o, incluso, algo en apariencia inofensivo, como un interruptor de luz inteligente.

Fibaro: amenaza en la nube

Tal y como dio a conocer Kaspersky, la casa inteligente de Fibaro permitía que cualquiera cargara y descargara los datos de su copia de seguridad desde y hacia el servidor de la nube. Un centro inteligente es el dispositivo más importante de este tipo de hogares, puesto que controla todo lo demás: los termostatos, las cafeteras, los sistemas de seguridad y demás.

La seguridad del centro contiene información interesante acerca de la casa y de su propietario, incluyendo la ubicación de la vivienda y del smartphone del dueño, el correo electrónico de la cuenta de usuario registrada en el sistema de Fibaro y una lista de las contraseñas y dispositivos conectados él (todas en texto simple, sin cifrado).

También se almacena allí la contraseña del panel de administración para controlar la casa en remoto. A diferencia de otras contraseñas almacenadas en la copia de seguridad, al menos esta está protegida o, para ser exactos, cuenta con un cifrado hash. Sin embargo, si el atacante decidiera descargar todas las copias de seguridad almacenadas en la nube de Fibaro, podría adivinar las contraseñas más simples y frecuentes —como “contraseña1″— y el código hash será el mismo para todos.

Tras conseguir el acceso al panel de administración, un ciberdelicuente puede explotar una de las vulnerabilidades para ejecutar código en remoto y obtener derechos de superusuario en el sistema. Los superusuarios pueden hacer lo que quieran en la casa. Lo curioso es que el propietario de la casa no goza de los derechos de superusuario, ya que el fabricante decidió que así sería más seguro (lo cual es cierto en muchos sentidos).

Fibaro: una actualización maliciosa

Los investigadores de Kaspersky descubrieron otro escenario de ataque que ni siquiera requería descifrar las contraseñas. Como ya hemos mencionado, no solamente se podían descargar las copias de seguridad desde el servidor de Fibaro sin necesidad de autorización, sino que también se podían cargar objetos al mismo. Es más, la nube permitía enviar mensajes de texto o correos electrónicos al propietario de la casa.

Es decir, los atacantes tan solo tenían que crear una copia de seguridad maliciosa, cargarla en el servidor y persuadir a la víctima de instalar la “actualización”. Esto se puede conseguir imitando un mensaje de Fibaro (phishing). Aunque el ciberdelincuente se equivoque con algunos datos, una víctima desprevenida puede descargar la copia de seguridad maliciosa (lo cual otorga al ciberdelincuente derechos de superusuario, como en el primer ejemplo). Después de todo, el mensaje procedía de la dirección ******@fibaro.com, no parece sospechoso, ¿verdad?

Informamos a Fibaro de estas vulnerabilidades y rápidamente las corrigieron, por lo que estos escenarios de ataque ya no funcionan. Esperemos que otros fabricantes de dispositivos inteligentes eviten esta situación y tengan en cuenta estos errores a la hora de desarrollar sus sistemas.

Nest: el interruptor y la cámara inteligente

En otro estudio llevado a cabo por investigadores estadounidenses del College of William & Mary, se analizó la seguridad de dos plataformas de hogar inteligente: Nest (de Nest Labs, propiedad de Google) y Hue (producida por Philips). Ambas plataformas eran vulnerables, cada una a su modo.

Los desarrolladores de Nest Labs prestaron especial atención a la protección de los sistemas de seguridad: los dispositivos y aplicaciones de terceros no pueden cambiar los ajustes de las cámaras de seguridad ni de otros componentes a cargo de la seguridad del hogar, al igual que tampoco pueden encenderlos o apagarlos. Mejor dicho, no pueden hacerlo directamente.

Sin embargo, el sistema utiliza algunos atributos comunes en los dispositivos y sistemas de seguridad cuya protección es todavía menor. Los valores de dichos atributos se almacenan en un solo espacio de almacenamiento accesible a todos los dispositivos que lo necesiten para funcionar. Además, algunos dispositivos de menor importancia, como los interruptores de luz y los termostatos, pueden en muchos casos no solamente leer los valores requeridos, sino también modificarlos.

Por una parte, esto ayuda a automatizar y simplificar las operaciones rutinarias. Por ejemplo, no hay necesidad de enviar comandos a cada dispositivo por separado cuando vas al trabajo por la mañana. La aplicación que controla el interruptor puede utilizar, por ejemplo, la geolocalización para determinar que has salido de casa y transmitir esta información al almacenamiento y asignar el valor de fuera al atributo que especifica si el propietario está o no.

Pero el interruptor no es el único que lee este valor (que, por lo visto, apaga las luces), también pueden hacerlo otros dispositivos. Y cada uno realiza una acción programada: el aire acondicionado disminuye su potencia, el equipo de música se apaga y la cámara de vigilancia comienza a grabar. Sin embargo, si haces creer al sistema que el dueño ha regresado, las cámaras se apagan y la seguridad del hogar se ve comprometida.

Existen diversos dispositivos compatibles con Nest que cuentan con permisos para gestionar las modalidades en casa/fuera. Los investigadores decidieron probar la seguridad del interruptor de Kasa, cuyo fabricante es TP-Link. Además de la capacidad de interpretar y cambiar el ajuste en casa/fuera, la elección de los investigadores se vio influida por la popularidad de la aplicación Kasa Smart (con más de un millón de descargas en Google Play) que sirve para controlar el dispositivo en remoto. Tras una inspección minuciosa, resultó que el programa permite a los atacantes secuestrar la conexión con el servidor y enviarle comandos.

El problema se detectó en el proceso de autorización; en concreto, en la estrategia de seguridad de los desarrolladores de la aplicación. Para evitar que la información de la cuenta del propietario caiga en manos equivocadas, la aplicación y el servidor primero establecen una conexión cifrada. Para ello, la aplicación envía una solicitud al servidor, que le muestra un certificado SSL, lo que confirma que el servidor es de confianza.

La aplicación verifica la autenticidad del certificado y, si es genuino, entrega en secreto un token al servidor (los datos utilizados para identificar al propietario). Pero hubo un error en el proceso y se demostró que la aplicación Kasa confiaba en cualquier certificado.

Los investigadores describieron un posible escenario de hackeo:

  1. El ciberdelincuente rastrea al dueño de la casa que tiene como objetivo y espera a que este se conecte a una señal de wifi pública de, por ejemplo, una cafetería.
  2. La aplicación de Kasa intenta conectarse con el servidor.
  3. Al entrar en la misma red, el atacante intercepta la conexión y muestra su propio certificado SSL a la aplicación.
  4. La aplicación, que confunde al ciberdelincuente con el servidor, envía el token requerido para la autenticación.
  5. El ciberdelincuente, a su vez, muestra este token al servidor real, que piensa que está tratando con la aplicación.
  6. El ciberdelincuente informa al interruptor, directamente desde la cafetería, de que el dueño ha regresado.
  7. El atributo cambia de fuera a en casa.
  8. Así es como se logra el objetivo: la cámara lee el valor y deja de grabar por lo que el cibercriminal o su cómplice puede entrar en la casa sin ser visto.

Lo más preocupante de todo, según los investigadores, es que dicho ataque no requiere habilidades especiales. No obstante, la buena noticia es que los desarrolladores de Kasa, al igual que los creadores del sistema de Fibaro, pusieron solución al error después de que el equipo de investigación les notificara.

Nest: se centra en la mayoría y no en la minoría

En teoría, el análisis integrado para dispositivos y aplicaciones de terceros debería proteger el sistema de Nest de dichos ataques. El sitio web para desarrolladores proporciona una lista exhaustiva de requisitos para los productos que interactúan con la plataforma. Estos requisitos especifican, entre otras cosas, que la aplicación o el dispositivo debe tener un sistema de autorización seguro y en correcto funcionamiento que evite que cualquiera se haga pasar por ti.

Pero en la práctica, esta verificación de aplicaciones y dispositivos de terceros puede eludirse. El sistema de Nest comprueba solamente aquellos con más de 50 usuarios, lo que significa que un programa único creado por ciberdelincuentes para atacar un hogar inteligente en específico puede conectarse a él, evadiendo así los controles de seguridad. Tan solo tendrán que persuadir a la víctima para que descargue una aplicación específica y le conceda los derechos necesarios.

Además, incluso las aplicaciones más populares que no cumplen con los requisitos de Nest tienen la posibilidad de evadir el análisis. Un ejemplo de esto es la ya mencionada Kasa Smart, que permitió a los atacantes conectarse al servidor en su nombre.

Asimismo, resulta que muchas aplicaciones para dispositivos Nest proporcionan información errónea acerca de los derechos de acceso necesarios para operar. Por ejemplo, la descripción de la aplicación para el control del termostato puede indicar que se requiere acceso al atributo en casa/fuera con el único fin de controlar dicho termostato, cuando en realidad este atributo es común para el sistema en su totalidad y otros dispositivos también reaccionarán si se modifica. Es decir, la descripción es engañosa.

Hue: da la bienvenida a las aplicaciones de terceros

El problema de otorgar derechos a aplicaciones de terceros también le compete al sistema de iluminación inteligente de Philips Hue. Se desarrolló con el objetivo de que cada programa solicite permiso al propietario para conectarse al hogar inteligente.

Este permiso puede concederse al presionar un botón físico en la unidad de control a través del cual los dispositivos de Hue interactúan. Para que esto funcione, la aplicación y la unidad de control deben localizarse en la misma red local, lo que significa que los vecinos y los que pasen por ahí no pueden conectarse a tu hogar inteligente con tan solo adivinar el momento preciso en el que tiene que enviar la solicitud. En términos generales, es una gran idea desde un punto de vista de seguridad. Pero resultó una decepción a la hora de implementarse.

Según hallaron los investigadores, no solamente el usuario puede “presionar” ese bendito botón, sino también cualquier programa conectado a Hue. Esto se debe a que el “cerebro” del sistema determina si el botón se ha visto activado según el valor de uno de los ajustes de la unidad de control. Y hay aplicaciones que pueden modificar este valor. Esto significa que un programa malicioso con acceso a la plataforma puede conceder acceso a otros libremente. Y no solo eso: mediante este mismo ajuste, se puede denegar acceso a los dispositivos legítimos que el dueño haya conectado.

Podría parecer que, si la plataforma de Hue se utiliza solamente para controlar la iluminación, este error no es tan peligroso como la vulnerabilidad en la plataforma de Nest. Sin embargo, los dispositivos de Hue pueden conectarse también a Nest, que, como ya sabes, no solo tiene acceso a las cámaras y a las cerraduras de las puertas, sino que en algunos casos permite que las aplicaciones de terceros las deshabiliten.

Cómo proteger tu hogar inteligente

Resulta que las brechas de seguridad se encuentran prácticamente en todos los dispositivos de automatización del hogar. ¿Deberías estar asustado? Una luz parpadeante o un sistema de calefacción fuera de control resulta molesto, pero no es tan peligroso y no es de interés para los ciberdelincuentes. Sin embargo, una cerradura inteligente o una cámara de seguridad hackeada pueden ser mucha más desagradables. Aunque, ten en cuenta que es más probable que la gran mayoría de los ladrones utilicen una palanca y no exploits.

En todo caso, eres tú el que decide si quiere vivir en una casa futurista. Si optas por un hogar inteligente, lo prudente sería minimizar el riesgo de hackeo. Te contamos cómo:

  • Lee reseñas e investiga acerca de la seguridad de los dispositivos antes de adquirirlos. Presta atención al modo en el que reacciona el fabricante cuando se descubren vulnerabilidades. Si resuelve con rapidez los problemas de los que les informan los investigadores, es una buena señal.
  • Si ya has elegido algún dispositivo o aplicación en particular, mantente al tanto de las actualizaciones y de la identificación de vulnerabilidades. Instala de manera oportuna todas las actualizaciones que publiquen los desarrolladores.
  • Protege tus dispositivos y paneles de control con una contraseña única y segura. De esta manera, el atacante no podrá forzar la “contraseña” de tu hogar.
  • Configura correctamente tu red wifi.
  • Descarga los programas solamente desde fuentes oficiales y no les concedas permisos innecesarios.
  • Al conectarte a tu hogar inteligente mediante una señal de wifi pública, recuerda que una tercera parte puede interceptar la información que envíes tú o tus aplicaciones online, incluyendo contraseñas y tokens de autorización. Para evitar esto, utiliza una conexión VPN segura.