Una casa moderna est\u00e1ndar puede tener alrededor de 5 dispositivos conectados, que no son ordenadores, tablets o tel\u00e9fonos m\u00f3viles. La mayor\u00eda de ellos son susceptibles de ser hackeados.<\/p>Tweet<\/a><\/blockquote>\n Decid\u00ed empezar un proyecto de investigaci\u00f3n para tratar de identificar lo f\u00e1cil que ser\u00eda hackear mi propia casa. \u00bfSon vulnerables los dispositivos conectados a mi red dom\u00e9stica? \u00bfQu\u00e9 podr\u00eda hacer un atacante si estos dispositivos fueran comprometidos? \u00bfSe puede hackear mi casa? Antes de empezar con mi investigaci\u00f3n, estaba bastante convencido de que mi casa era segura. Me refiero, a que trabajo en la industria de la seguridad inform\u00e1tica desde hace m\u00e1s de 15 a\u00f1os y soy bastante paranoico cuando se trata de instalar parches de seguridad etc. Seg\u00fan mis c\u00e1lculos, existenotras casas m\u00e1s \u201chackeables\u201d que la m\u00eda, porque en realidad no tengo demasiados dispositivos de alta tecnolog\u00eda.<\/p>\n Durante mi investigaci\u00f3n no me centr\u00e9 en los ordenadores, tablets o smartphones, sino en los otros dispositivos conectados a mi red dom\u00e9stica. Fue una sorpresa darme cuenta de que en realidad ten\u00eda bastantes dispositivos conectados a mi red, la mayor\u00eda de ellos de entretenimiento: una smart TV, un receptor sat\u00e9lite, un reproductor DVD\/Blue-ray, dispositivos de almacenamiento de red y consolas. Adem\u00e1s, estoy mud\u00e1ndome a una nueva casa y he estado hablando con mi compa\u00f1\u00eda de seguros. Me sugirieron que comprara el \u00faltimo modelo de sistema de alarmas, que se conecta a la red y se puede controlar desde un dispositivo m\u00f3vil\u2026 Tras mi investigaci\u00f3n, no estoy seguro de que esto sea muy buena idea.<\/p>\n Algunos de los dispositivos conectados a mi red:<\/p>\n Entre los dispositivos conectados a mi red son los siguientes:<\/p>\n Para que un hackeo sea considerado un \u00e9xito, deber\u00eda lograrse al menos una de las siguientes cosas:<\/p>\n Antes de llevar a cabo la investigaci\u00f3n, actualic\u00e9 todos mis dispositivos con la \u00faltima versi\u00f3n de firmware. Durante el proceso, tambi\u00e9n me di cuenta de que no todos los dispositivos disponen de sistemas de actualizaci\u00f3n autom\u00e1ticos, lo que hac\u00eda del proceso algo bastante tedioso. Otra observaci\u00f3n interesante fue que la mayor\u00eda de los productos estaban descatalogados desde hac\u00eda m\u00e1s de un a\u00f1o, o simplemente no dispon\u00edan de actualizaciones disponibles.<\/p>\n El Hackeo<\/strong><\/p>\n Tras analizar los dispositivos de almacenamiento de red, encontr\u00e9 14 vulnerabilidades \u00a0que podr\u00edan permitirle a un hacker ejecutar comandos del sistema de forma remota, con privilegios de administrador. Los dos\u00a0dispositivos no s\u00f3lo ten\u00edan una interfaz web vulnerable, sino que la seguridad local de los dispositivos tambi\u00e9n era escasa. Los dispositivos ten\u00edan unas contrase\u00f1as muy d\u00e9biles, permisos incorrectos en los archivos de configuraci\u00f3n y claves en texto plano. Para conocer m\u00e1s detalles sobre el hacheo de estos dispositivos, puedes leer un art\u00edculo m\u00e1s extenso en Viruslist <\/a><\/p>\n Durante el proyecto de investigaci\u00f3n, me encontr\u00e9 con otros dispositivos que ten\u00edan funciones \u2018ocultas\u2019. Uno de \u00e9stos dispositivos era mi router ADSL,de mi proveedor de acceso a Internet (ISP). Descubr\u00ed que hab\u00eda much\u00edsimas funciones a las que yo no ten\u00eda acceso. Entonces supuse que mi proveedor de acceso a Internet o el fabricante, eran quienes ten\u00edan el CONTROL TOTAL del dispositivo, y pod\u00edan hacer lo que quisieran con \u00e9l y acceder a todas las funciones a las cuales yo no ten\u00eda permiso. Con s\u00f3lo mirar los nombres de las funciones \u2018ocultas\u2019, todo parec\u00eda indicar que el proveedor de servicios de Internet pod\u00eda, por ejemplo, crear accesos para conectarse a cualquier dispositivo de mi red. \u00bfQu\u00e9 pasar\u00eda si estas funciones cayeran en las manos equivocadas? Entiendo que supuestamente estas funciones est\u00e1n para ayudar al proveedor de servicios de Internet para realizar soporte t\u00e9cnico, pero cuando accedo utilizando mi cuenta de administrador, no tengo el control total de mi propio dispositivo, lo que es aterrador, especialmente cuando algunas de estas funcionen tienen nombres como \u2018C\u00e1mara Web\u2019, \u2018Configuraci\u00f3n experta de telefon\u00eda\u2019, \u2018Control de Acceso\u2019, \u2018WAN-Sensing\u2019 y \u2018Actualizaciones\u2019.<\/p>\n Actualmente, sigo trabajando en esta investigaci\u00f3n para ver qu\u00e9 es lo que hacen estas funciones realmente. Si encuentro algo interesante, estoy seguro de que publicaremos otro art\u00edculo<\/p>\n Para hackear la Smart TV y el reproductor DVD, tuve que esforzarme m\u00e1s. Jugu\u00e9 con la idea de que yo era un hacker que ya hab\u00eda comprometido los dos dispositivos de almacenamiento de red \u00bfQu\u00e9 pod\u00eda hacer ahora? Los reproductores multimedia (Smart TV y DVD) tienen m\u00e1s facilidad para leer la informaci\u00f3n de los dispositivos de almacenamiento (que ya hab\u00eda comprometido previamente). Una vez llegados a ese punto, me puse a buscar potenciales vulnerabilidades de ejecuci\u00f3n de c\u00f3digos en mi Smart TV y mi reproductor de DVD, pero como me costaron mucho dinero, decid\u00ed no seguir adelante con la investigaci\u00f3n. No se trataba s\u00f3lo del dinero que perder\u00eda si estropeaba mi reci\u00e9n estrenada LED Smart TV, tampoco sab\u00eda c\u00f3mo explicarle a mis hijos que hab\u00eda destrozado la TV y que se quedar\u00edan sin ver Scooby Doo. Sin embargo, logr\u00e9 identificar un curioso problema de seguridad en la Smart TV. Cuando el usuario accede al men\u00fa principal de configuraci\u00f3n del dispositivo, todas las im\u00e1genes en miniatura y widgets se descargan desde los servidores del fabricante si el dispositivo est\u00e1 conectado a la red.La TV no usa ning\u00fan tipo de autentificaci\u00f3n o codificaci\u00f3n para descargar esos contenidos, lo que significa que un hacker podr\u00eda lanzar un ataque man-in-the-middle<\/a> contra la TV y modificar las im\u00e1genes en la interfaz de administraci\u00f3n o hacer que la TV cargue un archivo JavaScript, lo cual no es nada bueno. Un vector de ataque potencial sirve para utilizar JavaScript para leer los archivos locales del dispositivo y utilizar los contenidos de los archivos para encontrar m\u00e1s vulnerabilidades. Pero estoy trabajando en ello, junto al fabricante, para ver si es posible o no. Como prueba de mi ataque he sustituido la imagen de un widget por una foto de Borat. Yakshemash!<\/p>\n\n
\n
![\"House2\"](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/88\/2014\/08\/05224056\/House2.png\")
<\/a><\/p>\n
![\"House3\"](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/88\/2014\/08\/05224055\/House3.png\")
<\/a><\/p>\n