Inicio » Ciberseguridad » 5 cosas conectadas a Internet con deficiencias en seguridad

5 cosas conectadas a Internet con deficiencias en seguridad

El Internet de las Cosas es una de las últimas y más importantes tendencias del entorno digital.

La conectividad de los objetos del hogar nos promete una vida más cómoda: podemos programar la tostadora para calentar el pan a la hora deseada, la nevera nos avisará cuando se agoten los suministros y, incluso, podría hacer pedidos automáticos al supermercado para que nos envíen más productos a casa.

Mientras tanto, nuestro reloj inteligente monitorizará nuestra actividad física y nuestras horas de sueño.

El Internet de las Cosas

Efectivamente el Internet de las Cosas existe para hacernos la vida más sencilla.

No obstante, los graves fallos de ciberseguridad que se han encontrado en algunos de estos objetos deberían servir para concienciar de la necesidad de fortalecer su seguridad antes de lanzarlos a la venta.

Además, antes de comenzar a usarlos hay que ser consciente del tipo y cantidad de datos personales que recogen y qué uso se hace de esa información.

Cosas conectadas a Internet con deficiencias en seguridad

A continuación se recogen ejemplos del Cosas conectadas a Internet que presentan deficiencias de seguridad (con mayor o menor grado de importancia) o cuyo respeto por la privacidad queda en entredicho.

Juguetes

Si estás pensando en regalar un juguete conectado Internet, primero deberías ver el vídeo del Consejo Noruego de Consumidores (equivalente a la OCU española) en el que demuestran que la falta de seguridad en la muñeca Mi Amiga Cayla hace posible que una persona, de forma remota y a través de su Smartphone, pueda hablar a través de la muñeca y escuchar lo que se está diciendo en el entorno de la misma.

LEE  Diferencias entre la seguridad activa y pasiva en informática

Además, alertan de que «la conversación» entre el juguete y el niño no queda ahí, sino que se envía a una empresa ubicada en Massachusetts que, según los términos y condiciones que el usuario acepta cuando comienza a usar el objeto, puede utilizar la grabación para ofrecer publicidad segmentada y compartirla con otras empresas.

Coches

En el apartado de coches conectados destaca el Nissan Leaf, un automóvil eléctrico cuyos usuarios disponen de una aplicación móvil desde la que se pueden, entre otras cosas, accionar el sistema de calefacción antes de llegar al coche.

Pues bien, el investigador de seguridad Troy Hunt se dio cuenta de que si utilizaba un proxy entre Internet y dicha aplicación, vería las peticiones que realiza la aplicación a los servidores de Nissan.

Hunt descubrió entonces que lo único que identificaba al vehículo es el VIN o número de bastidor, una secuencia de dígitos que, por ley, debe ser visible en cualquier coche.

Se trata, evidentemente, de una vulnerabilidad que no pone en peligro la seguridad de los pasajeros pero que permitiría a un usuario malintencionado que tenga los conocimientos necesarios gastar una broma de mal gusto a su vecino el del Nissan Leaf.

El proceso que siguió el investigador, los resultados y las conclusiones de este experimento se exponen en este artículo publicado en febrero de 2016.

No obstante, al prestigioso Tesla S, también se le encontraron deficiencias de seguridad. Y es que un grupo de investigadores chinos de seguridad lograron accionar el freno y otros elementos del coche (techo solar, intermitentes, asientos, puertas, limpiaparabrisas y maletero) de forma remota, sin tomar contacto físico con el vehículo.

Los investigadores, pertenecientes al Keen Security Lab of Tencent, informaron del estudio a través de su blog en septiembre de 2016.

No obstante, los detalles técnicos de las vulnerabilidades descubiertas fueron reportados a Tesla, que confirmó las deficiencias y enseguida tomó medidas para repararlas.

LEE  Perfiles más demandados en Ciberseguridad

Armas

El Internet de las Cosas también ha llegado a la industria armamentística. Por ejemplo, la marca Tracking Point fabrica armas que permiten al usuario grabar sus disparos y que disponen de conectividad wifi.

No obstante, dos investigadores que analizaron la seguridad de un rifle de esta marca encontraron, entre otras cosas, que el modo de bloqueo avanzado es un pin de cuatro dígitos que se puede averiguar por el método de la fuerza bruta, que los ajuste de la API se pueden modificar a pesar del modo de bloqueo avanzado y que la API de administración no está autenticada.

No obstante, también comprobaron que la SSID contiene el número de serie y no se puede cambiar así como tampoco se puede modificar la clave WPA2.

Los autores de esta investigación, Runa A. Sandwick y Michael Auger, hicieron públicos expusieron los resultados en este documento al que titularon When IoT Attacks: Hacking a Linux-Powered Rifle.

Dispositivos médicos: los marcapasos

La posibilidad de que un marcapasos pueda transmitir información al médico correspondiente tiene grandes ventajas para el paciente, ya que reduce el número de veces que tiene que acudir a revisión y de esta manera se obtiene una información detallada de su evolución.

No obstante, el riesgo de que un usuario no autorizado pueda acceder al sistema que gestiona el aparato, hace que el estudio de la seguridad en estos dispositivos venga de lejos.

A principios de 2017, la US Food & Drug Administration (FDA) emitió un comunicado alertando de que los transmisores Merlin@home Transmitters (un dispositivo que se conecta con el marcapasos para recibir y transmitir información) podrían ser hackeados.

Según la FDA, la compañía fabricante de estos aparatos, St. Jude Medical, desarrolló un parche para reducir el riesgo. No obstante, no hay constancia de que ningún paciente cardiaco se haya visto afectado.

LEE  En ciberseguridad lo que hoy es seguro, mañana puede no serlo

Otros objetos

Ya existen juguetes eróticos conectados a Internet, lo cual ha generado algún que otro desacuerdo.

En septiembre de 2016 saltó la noticia de una mujer estadounidense que había denunciado a la empresa fabricante de juguetes sexuales Standard Innovation por recopilar los datos de su vibrador (el cual se controla mediante una aplicación móvil).

La empresa confirmó que recoge información, pero de forma que no se pueda identificar al usuario .

Laura Juan Vindelsoftware-espia-android Software espía en dispositivos Android  laura-j.-vindel-150x150 Software espía en dispositivos Android  Asistente de Marketing en Áudea Seguridad de la Información.

Formación Relacionada

Las dos pestañas siguientes cambian el contenido a continuación.
Equipo de profesionales formado esencialmente por profesores y colaboradores con amplia experiencia en las distintas áreas de negocio del mundo empresarial y del mundo académico. IMF Smart Education ofrece una exclusiva oferta de postgrados en tecnología en colaboración con empresa como Deloitte, Indra o EY (masters en Big Data, Ciberseguridad, Sistemas, Deep Learning, IoT) y un máster que permite acceder a la certificación PMP/PMI. Para ello IMF cuenta con acuerdos con universidades como Nebrija, la Universidad de Alcalá y la Universidad Católica de Ávila así como con un selecto grupo de universidades de Latinoamérica.

¡Noticias, eventos y formación!

Suscríbete ahora y recibe los mejores contenidos sobre Negocios, Prevención, Marketing, Energías Renovables, Tecnología, Logística y Recursos Humanos.

Acepto recibir comunicaciones comerciales por parte del grupo IMF
He leído y acepto las condiciones


5 cosas conectadas a Internet con deficiencias en seguridad

El Internet de las Cosas es una de las últimas y más importantes tendencias del entorno digital. Conoce estas 5 cosas con deficiencias en seguridad.