[1]
Internet de las Cosas (IoT, por su sigla en inglés), concepto que refiere a la interconexión digital de objetos cotidianos con internet [2], tiene algunos costados oscuros y salpicados de dudas. Uno de ellos es el referido al tema de la seguridad. El botón de muestra lo enseñó esta semana un estudiante de Ciencias de la Computación, alumno de Florida Tech (EE.UU.) [3] al descubrir fallas de privacidad en varias cámaras de seguridad y de video timbres.
Varios fabricantes de estos artilugios conectados a internet, entre ellos Ring, Nest, SimpliSafe y otros ocho de ellos, han sido alertados por fallas de diseño descubiertas por Blake Janes, estudiante de la mencionada universidad. Según se informa, estas fallas permitirían que una cuenta compartida aparentemente eliminada permanezca en su lugar con acceso continuo a la fuente de video. Esto podría facilitar el acceso por parte de extraños indefinidamente, invadiendo la privacidad y grabando audio y video de manera encubierta.
Este descubrimiento fue presentado en el documento (en inglés) «La historia interminable: fallas de diseño de autenticación y control de acceso en dispositivos IoT compartidos» [4], escrito por Janes y dos miembros de Florida Tech, el investigador de ciberseguridad Terrence O ‘Connor y la profesora de ingeniería informática Heather Crawford. En el trabajo se ofrece además estrategias para solucionar el problema.
Los investigadores descubrieron que el inconveniente se produce porque las decisiones sobre si otorgar acceso se realizan en la nube y no localmente (en la cámara o en los teléfonos inteligentes involucrados). La mayor preocupación radica en el hecho de que el potencial invasor no necesita herramientas avanzadas de piratería para lograr la intromisión, ya que el ataque se puede lograr desde las aplicaciones accesorias existentes de los dispositivos.
Pero lo más preocupantes es, a nuestro entender, la conclusión a la que llegan los investigadores en el documento: «nuestro estudio sugiere que hay un largo camino por delante para que los proveedores implementen la seguridad y privacidad del contenido producido por IoT». ¿Y que sucederá en el mientras tanto?
El siguiente es el listado de dispositivos analizados durante la investigación y que están afectados con este problema:
- Blink Camera,
- Canary Camera,
- D-Link Camera,
- Geeni Mini Camera,
- Doorbell and Pan/Tilt Camera,
- Merkury Camera,
- Momentum Axel Camera,
- Nest Camera Current and Doorbell Current,
- NightOwl Doorbell,
- Ring Pro Doorbell Current
- Ring Standard Doorbell Current,
- SimpliSafe Camera and Doorbell,
- TP-Link Kasa Camera.
Los especialistas recomiendan que, aunque las correcciones serán efectuadas por los fabricantes, es importante que el usuario de estos productos actualice el firmware [5]. Y por supuesto, después de eliminar usuarios debe cambiar sus contraseñas, y apagar y reencender sus cámaras.