En el marco de su experimento, Jacoby encontró en total 14 vulnerabilidades en los sistemas de almacenamiento, una vulnerabilidad en la Smart TV y varias funciones ocultas con control remoto en el router. Las primeras conclusiones indican que, los dispositivos más comunes de los hogares suponen una amenaza real de ciberseguridad ya que no sólo existen vulnerabilidades en el software, sino que también los dispositivos muestran importantes carencias de medidas de seguridad básicas (contraseñas fuertes, cifrado de la conexión…). Evidentemente las repercusiones para quienes hayan montado su oficina en casa pueden llegar a ser catastróficas.

Por el momento y siguiendo la política de responsabilidad de la compañía, Kaspersky Lab no hará públicos los nombres de los fabricantes de los productos que han sido analizados hasta que exista un parche de seguridad que elimine esas vulnerabilidades. A estos efectos, todos los fabricantes han sido informados sobre la existencia de dichas vulnerabilidades y los expertos de Kaspersky Lab trabajan codo con codo con ellos para poder eliminar todas las que sean detectadas.

Por el momento Kaspersky advierte:

Ejecución de código remoto y contraseñas débiles. Las vulnerabilidades más graves fueron detectadas en los sistemas de almacenamiento, ya que algunos permiten a los hackers ejecutar de forma remota comandos del sistema con amplios privilegios de administrador. Los aparatos analizados también contaban con contraseñas débiles, muchos de los documentos de configuración tenían los permisos erróneos y contraseñas muy sencillas. En concreto, la contraseña de administrador de uno de los dispositivos sólo tenía un dígito. Otro de los dispositivos analizados compartía el archivo de configuración completa con las contraseñas cifradas con cualquier persona conectada a la red.

Aprovechando una vulnerabilidad aislada, el experto de Kaspersky Lab pudo subir un archivo a una zona de almacenamiento inaccesible para un usuario a nivel doméstico. Si este archivo hubiese sido malicioso, se habría convertido en una fuente de infección para el resto de dispositivos conectados a ese NAS- un PC, por ejemplo- e incluso podría servir como una bot DDoS en una botnet. La vulnerabilidad permitía subir archivos a una zona especial del sistema de almacenamiento del dispositivo y la única forma de borrarlo era utilizando esa misma vulnerabilidad.

Man-in-the-Middle a través de Smart TV. Mientras investigaba el nivel de seguridad de la Smart TV, se descubrió que no existe cifrado en las comunicaciones entre la televisión y los servidores de los fabricantes. Este hecho abre las puertas a posibles ataques Man-in-the-Middle que podrían derivar en el robo de transferencias de dinero que el usuario suele hacer al comprar contenidos a través de su televisor. Como prueba, Jacoby pudo reemplazar un icono de la interfaz de la Smart TV con una foto. Normalmente los widgets y los thumbnails se descargan del servidor del fabricante y puesto que no existe cifrado alguno, un tercero podría modificarlos. El analista también pudo ver que la Smart TV ejecuta códigos Java que, combinados con la posibilidad de interceptor el tráfico entre la TV e Internet, podría llevar a ataques maliciosos dirigidos por un exploit.

Funciones de espionaje ocultas en un router. El router DSL que ofrece conexión inalámbrica a Internet para todos los dispositivos de la casa contenía funcionalidades peligrosas y ocultas. Según Jacoby, algunas de éstas podían facilitar el acceso remoto a cualquier dispositivo de la red privada del usuario a través de la ISP (Internet Service Provider). Es más, los resultados de la investigación arrojan datos como que las secciones de la interfaz web del router “cámaras web”, “control de acceso”, “sensor WAN” y “actualización” son invisibles y el dueño del dispositivo no puede configurarlos. Sólo sería posible acceder a ellos a través del exploit de una vulnerabilidad genérica que haría posible navegar por las secciones de la interfaz (básicamente páginas web, cada una con su dirección alfanumérica) forzando las cifras que aparecen al final de la dirección web.

Estas funciones se implementaron originalmente para la comodidad del usuario del dispositivo ya que la opción de acceso remoto facilita y agiliza la ISP en la resolución de problemas técnicos, pero esta ventaja podría convertirse en riesgo si ese control cae en las manos equivocadas.

“Tanto los usuarios como las empresas tienen que concienciarse de los riesgos que tienen los dispositivos conectados. Es importante tener presente que nuestra información no está segura simplemente porque contemos con una contraseña fuerte, hay muchas cosas que escapan a nuestro control. Empleé menos de 20 minutos en encontrar y verificar vulnerabilidades muy serias en un dispositivo aparentemente seguro, que incluso alude a la seguridad en su nombre. ¿Cuáles serían las conclusiones de esta investigación si se aplicara a gran escala? Esta es sólo una de las preguntas que deben hacerse fabricantes, el sector de la seguridad y los usuarios para poder trabajar conjuntamente en un futuro próximo”, explica David Jacoby, autor de la investigación.

La hora de las recomendaciones o cómo estar seguro en el mundo de los dispositivos conectados

• Complíquele la vida al hacker: para minimizar los riesgos y evitar que aprovechen vulnerabilidades conocidas, actualizando para ello todos sus dispositivos con la última versión de seguridad disponible.

• Asegúrese de cambiar el nombre de usuario y la contraseña que vienen por defecto, es lo primero que un cibercriminal intentará al atacar su dispositivo.

• La mayoría de los routers domésticos tienen la opción de configurar una red propia para cada dispositivo y restringir el acceso a éste (con la ayuda de diferentes DMZs/VLANs). Por ejemplo, si tiene una televisión conectada, quizá quiera limitar el acceso a un único dispositivo adicional conectado de su red…¡No hay motivo para que su TV esté conectada a tu impresora!