El mundo de la Internet de las Cosas (IoT, sus siglas en inglés) creció en la última década y cada vez más dispositivos de uso cotidiano están interconectados entre sí, formando este universo. ESET, compañía líder en detección proactiva de amenazas, repasa los casos más emblemáticos de ataques a dispositivos hogareños y comparte claves para evitar ser víctima.
“Todo lo que se conecta a internet se puede hackear, esta máxima no perderá vigencia ni validez y, en los últimos años, hubo casos que le dan crédito. Se identificaron ataques que apuntaron a dispositivos que están muy presentes en los hogares y quizás la mayoría no sabe que se pueden hackear”, comenta Fabiana Ramírez Cuenca, Investigadora de Seguridad Informática de ESET Latinoamérica.
Los dispositivos hogareños han abierto nuevas puertas para el cibercrimen. Uno de los factores que los facilita es el uso bastante extendido de contraseñas débiles o predeterminadas que se pueden adivinar fácilmente.
ESET repasa 5 historias en las que el cibercrimen encontró en los dispositivos del hogar una nueva manera de perpetrar ataques, con consecuencias importantes:
El espía entrañable: En el año 2017, un inofensivo oso de peluche se convirtió en el factor clave de filtraciones de conversaciones privadas, y hasta datos sensibles de menores de edad.
La empresa Fisher-Price de los Estados Unidos lanzó al mercado un peluche revolucionario que se conectaba a internet para enviar y recibir mensajes de voz. Con el objetivo de potenciar la comunicación entre padres e hijos, y hacer crecer su vínculo aún a la distancia. El problema fue que todos esos mensajes (familiares y privados) se almacenaban en los servidores de la compañía que nunca previó un ataque informático, y por eso fue muy fácil para los ciberatacantes obtener más de dos millones de grabaciones de voz, y también datos sensibles sobre los menores que se encontraban registrados en la plataforma.
Saltó la banca: Este ataque refiere al hackeo de un casino de Las Vegas, a través de un termostato de una pecera que se ubicaba en uno de sus salones.
Esta pecera contaba con sensores conectados a una computadora con el fin de regular temperatura, cantidad de comida y hasta la limpieza del tanque. Los actores maliciosos lograron infiltrarse a la red gracias a una vulnerabilidad en el termómetro inteligente de este acuario ubicado en el lobby, y así, acceder a la base de datos del casino. En 2017 hicieron saltar la banca, obteniendo información sensible, como nombres de grandes apostadores del casino.
Cámara indiscreta: En diciembre de 2019, las cámaras de seguridad Ring tuvieron un auge de ventas, sin saber que esto pondría en riesgo la privacidad de sus usuarios. Según reportaron sitios de noticias, una familia sufrió el hackeo de este dispositivo que tenía configurado una contraseña débil. Gracias a un software especial, explica el sitio Vice, los atacantes pudieron procesar usuario, direcciones de correo y contraseñas para así iniciar sesión en las cuentas de las víctimas.
Los actores maliciosos pudieron acceder al control de la cámara, y así lo que debía ser una herramienta para monitorear desde una app móvil la habitación de su pequeña hija, terminó siendo una ventana hacia terceros malintencionados. Si bien hay varios casos, se repasa el de una mujer en Texas, que fue contactada por una voz que salía de la cámara, que decía ser del equipo de soporte de Ring, para reportar un problema con su cámara. Para solucionarlo, debía pagar 50 Bitcoins. El tema escaló y la mujer luego recibió amenazas, donde el atacante aseguraba estar muy cerca de su casa. La solución por parte de la víctima fue apagar la cámara y hasta quitarle la batería.
Un peligroso ejército casero: Mirai fue una botnet que se descubrió en 2016, y que al poco tiempo se hizo conocida por realizar un ataque DDoS casi sin precedentes. Ese día, el proveedor de servicios del Sistema de Nombres de Dominio Dyn fue víctima de un ataque DDoS sostenido, que tuvo consecuencias muy importantes, como cortes en sitios y servicios como Twitter, Airbnb, Reddit, Amazon, SoundCloud, Spotify, Netflix y Paypal, entre tantos otros.
Una botnet, combinación de las palabras "robot" y "network", refiere a un grupo de equipos infectados por códigos maliciosos que se comunican entre sí y son controlados por un atacante, disponiendo de sus recursos para que trabajen de forma conjunta y distribuida. El distintivo de la botnet Mirai fue que su “ejército” de más de 600.000 dispositivos estaba compuesto por routers domésticos, grabadoras de video, cámaras de vigilancia y cualquier otro tipo de dispositivos inteligentes, que no contaban con la protección adecuada, estaban mal configurados o tenían contraseñas débiles.
No todo marcha sobre ruedas: Si bien en este caso se destaca que no hubo intenciones maliciosas, sino que detrás estaban dos hackers éticos que buscaban demostrar cómo una vulnerabilidad podía ser la llave de entrada para tomar el control de un auto de manera remota.
En 2015 cuando Charlie Miller y Chris Valasek pusieron en práctica una técnica de hackeo, que podía entregarles el control inalámbrico del vehículo. Como resultado las rejillas de ventilación comenzaron a enviar aire frío al máximo, se evidenciaron cambios en el dial de la radio, y hasta se activaron los limpiaparabrisas, empañando el cristal. Debido a esta prueba, desde la automotriz llamaron a revisión a unos 1,4 millones de vehículos vendidos en Estados Unidos.
Desde ESET, comentan que una de las claves para reducir el riesgo de este tipo de hackeo es mantener los dispositivos al día con sus respectivas actualizaciones, ya que la mayoría de las vulnerabilidades suelen ser corregidas en muy poco tiempo. También, recomiendan gestionar el cambio de aquellas contraseñas que vienen de fábrica por una más robusta. Es decir, que incluya mayúsculas, números y caracteres especiales; y obviamente que no esté siendo utilizada en otra cuenta o dispositivo.
