Basta con un comando de voz para cambiar la iluminación, encender o apagar un electrodoméstico, abrir la puerta de casa. El internet de las cosas (IoT) garantiza practicidad, pero estos dispositivos permanentemente conectados a internet requieren cuidado con la seguridad digital.
“Son dispositivos que se usan mucho, pero no nos importan mucho. Y son precisamente los que más brechas de seguridad provocan”, dice Daniel Damito, especialista en redes informáticas de Sage Networks, empresa especializada en ofrecer soluciones contra ataques DDoS, ataque que intenta ‘caer’ un servicio creando más tráfico del que el servidor puede manejar. .
Según él, los procedimientos básicos y ya ampliamente difundidos reducen mucho la vulnerabilidad. El primero es tener contraseñas seguras. «Nunca mantengas el valor predeterminado de fábrica, como ‘admin’, contraseña 1234», dice.
Otra recomendación es utilizar un gestor. “La contraseña no está hecha para ser recordada, hay gestores que tienen la función de guardarla de forma encriptada y segura para que no tengas que recordarla”, dice Damito. También recomienda la autenticación en dos pasos, que pide la contraseña y otra confirmación para el acceso, como enviar un correo o mensaje al celular, por ejemplo.
Realizar las actualizaciones que indica el fabricante también es fundamental para que el equipo no sea vulnerable. «Los dispositivos tienen software o firmware, programas que realizan sus tareas, y cuando el fabricante ofrece una actualización, la razón podría ser un agujero de seguridad que se encontró y solucionó».
Damito también explica que todos estos dispositivos cuentan con un protocolo llamado UPnP (universal plug and play), que permite la conexión entre ellos en una red Wi-Fi sin necesidad de configuración manual. Un ejemplo es la funcionalidad que refleja la pantalla del móvil en el televisor con un solo clic.
Esta practicidad no siempre se combina con la seguridad, ya que el atacante puede identificar huecos para localizar el router y conectarse mediante el protocolo, permitiendo su acceso a la red. La recomendación es configurar siempre las conexiones individualmente.
Según Marcos Simplício, del Laboratorio de Arquitectura y Redes de Computadores de la USP (Universidad de São Paulo), el IoT tiene menos capacidad de cómputo que los celulares y las computadoras. Por lo tanto, es técnicamente más difícil para un atacante obtener datos directamente de bombillas, televisores inteligentes, cerraduras y más. Aún así, hay riesgos. En el caso de los enrutadores, debe tener más cuidado.
«Es difícil robar datos pirateando un enrutador inalámbrico, pero es fácil redirigirlos a otro lugar. Usted, por ejemplo, podría pensar que va al sitio web de su banco, pero está en un sitio web falso y sus datos podrían ser robado”, explica.
Desde 2020, Anatel (Agencia Nacional de Telecomunicaciones) determina que los operadores deben exigir el cambio de la contraseña predeterminada de los enrutadores cuando se instalen en régimen de préstamo.
Mayor vulnerabilidad
Además de dejar los datos expuestos al robo en el tipo de ataque conocido como «phishing» (usar mensajes falsos para obtener información como contraseñas bancarias y documentos de los usuarios), descuidar la protección del IoT puede permitir que sus equipos sean utilizados por atacantes para malicioso.
«Un atacante puede, por ejemplo, especializarse en cierto modelo de bombilla inteligente, encontrar una escapatoria, verificar que puede minar criptomonedas y atacar todas las bombillas de ese modelo en el mundo, creando una supercomputadora con tu energía sin que tú ni siquiera sospecharlo», dice João Marcos Moretti Pelissari, director de Plss Soluções em Ti, empresa especializada en servidores y estructuras de red. Con sede en Ponta Grossa, Paraná. Esto es posible porque todos los dispositivos conectados tienen capacidad de procesamiento de datos.
Por lo tanto, mantener el nombre de usuario y la contraseña predeterminados es arriesgado, ya que probablemente sea el primer intento del atacante. El objetivo, por tanto, no es solo tu casa en concreto, sino todos los usuarios que no han cambiado su contraseña por defecto, según el experto. Estos son los llamados «ataques de fuerza bruta», con múltiples intentos de usuario y probables contraseñas.
Los expertos señalaron que IoT no seguro también es un medio utilizado para ataques de denegación de servicio (DDoS). Usan el poder de procesamiento de estos dispositivos para sobrecargar y derribar servidores, dejando escuelas, hospitales y municipios sin acceso a Internet y paralizando los servicios.
Hackear un IoT todavía permite el acceso remoto a él. Pelissari advierte que esto genera la posibilidad de secuestro del equipo, aunque es algo que actualmente no está muy bien registrado. El delincuente puede hacer que el dispositivo sea inviable o cambiar el funcionamiento del dispositivo: bloquear la temperatura del aire acondicionado y exigir un rescate para detener el ataque, por ejemplo.
Para el presidente del Comité de Seguridad de Abinc (Asociación Brasileña de Internet de las Cosas) y director de seguridad del consumidor para América Latina de Ericsson, Yanis Stoyannis, es necesario que los fabricantes de soluciones de IoT adopten una postura de seguridad y protección de datos que aún están en la mira. concepción de cada proyecto, denominada «seguridad y privacidad desde el diseño».
“Aunque no hay una aplicación obligatoria, según ella, el Plan Nacional para el Internet de las Cosas, elaborado por el Ministerio de Ciencia, Tecnología e Innovación, en 2019, fomenta “la adopción de estándares internacionales de seguridad”.
Para Rubens Rosado, asesor técnico de Abilumi (Asociación Brasileña de Fabricantes e Importadores de Productos de Iluminación), los problemas de seguridad están relacionados con la red Wi-Fi desprotegida, no con las bombillas inteligentes.
“Si la red no tiene una buena protección, como un sistema de encriptación de los datos que circulan por ella y una contraseña segura para acceder a ella, su información quedará fácilmente expuesta”, dijo.
Anatel afirmó que elaboró un estudio «para definir un conjunto mínimo de requisitos obligatorios de ciberseguridad para la certificación de equipos» y que próximamente realizará una consulta pública sobre el tema.
papel del consumidor
Para el investigador del ITS Rio (Instituto de Tecnologia e Sociedade) Lucas Cabral, el usuario juega un papel importante para garantizar la seguridad en Internet.
“Me doy cuenta que falta alfabetización digital, mayor cuidado. La gente en general no tiene esa conciencia digital”, dice.
Para él, la alfabetización digital implica comprender las políticas de privacidad de los equipos antes de usarlos y aprender mecanismos de seguridad para prevenir intrusiones, como elegir contraseñas seguras, utilizar dispositivos de doble autenticación y actualización.
Además de protegerse contra los intrusos, advierte que también debe conocer las autorizaciones de uso de datos, creando su propia configuración de privacidad. Para ello, es fundamental observar qué información captura cada dispositivo.
«Conectó una bombilla inteligente, vaya a la pestaña de configuración de la aplicación, haga clic en privacidad y lea lo que está guardando [de informação]qué puedes configurar, qué puedes personalizar, qué datos están capturando».
La LGPD (Ley General de Protección de Datos) garantiza derechos al usuario y las empresas sólo pueden utilizar la información autorizada por él. Sin embargo, Cabral recuerda que muchos dan autorizaciones sin prestar atención a los detalles.
Cómo mantener tu casa libre de hackers
En general, las mismas recomendaciones de seguridad se aplican a todos los dispositivos:
1) Preferir equipos con buena reputación y certificación
2) Use una contraseña segura para cada dispositivo y cámbiela con frecuencia
3) Realice la configuración de privacidad antes de encender el dispositivo
4) Haz siempre las actualizaciones recomendadas por el fabricante
Entiende cómo funcionan y conoce los principales riesgos de los equipos «inteligentes», que conectan el hogar a internet:
Una nube
Qué haces: Los IoT están conectados en la nube, que son servidores en línea que procesan información. Cuando un comando es dado por celular o por voz, este va a la nube donde es procesado y solo luego regresa al dispositivo para realizar la tarea solicitada, generando tráfico y datos de telemetría que están permanentemente en línea.
Qué riesgo ofrece: La nube posee los datos de todos los dispositivos. Si es invadido, puede perjudicar el funcionamiento de todos los aparatos.
enrutador
Qué haces: recibe y envía datos desde dispositivos a Internet
Qué riesgo ofrece: es el equipo más sensible en una red doméstica. A través de él pasa la información de todos los dispositivos conectados. Si es pirateado, da acceso a todo lo que está conectado a la red. Entre los riesgos está redirigir el acceso a sitios web falsos
asistente de voz
Qué haces: se utiliza para dar comandos a otros dispositivos conectados
que riesgo ofrece: puede exponer datos privados sin autorización. Un ejemplo es permitir que el intruso escuche lo que sucede en su hogar.
cerradura digital
Qué haces: permite la apertura de puertas con contraseña, biometría o comando de voz
que riesgo ofrece: puede ser pirateado y tener datos capturados. Los equipos de menor calidad pueden ser vulnerables a los simuladores de voz que permiten que los delincuentes los abran
Televisión inteligente
Qué hace: permite una conexión a Internet para ver transmisiones, usar motores de búsqueda, juegos, música y otros dispositivos IoT
Qué riesgo ofrece: puede exponer datos personales. Los televisores con cámara y micrófono se pueden activar de forma remota
Lámpara «inteligente»
Qué haces: permite activación remota, cambio de intensidad de brillo, cambio de tonalidad. Algunos modelos tienen una cámara incorporada y permiten la transmisión de datos «Li-Fi»
Qué riesgo ofrece: puede usarse para ordenar ataques contra servidores e incluso minar criptomonedas. Si son invadidos, se pueden activar de forma remota y, en el caso de modelos con cámara, exponer las imágenes capturadas.
cámaras de vigilancia
Qué haces: funcionan con DVR (Grabador de video digital) y NVR (Grabador de video en red), equipos conectados que operan sistemas de monitoreo de cámaras
Qué riesgo ofrece: el principal riesgo es para la privacidad. Los equipos mal protegidos pueden ser invadidos y permitir el acceso a las imágenes. También se puede desactivar de forma remota
Enchufes «inteligentes»
Qué haces: le permite controlar los aparatos de forma remota
Qué riesgo ofrece: puede permitir la activación remota y causar daños al equipo
Lavadora / Aire acondicionado / Aspiradora / Frigorífico
Qué haces: son los tradicionales electrodomésticos de ‘línea blanca’ que, en las versiones más avanzadas, permiten la conexión a Internet
Qué riesgo ofrece: pueden ser activados incorrectamente por un atacante que puede bloquearlos, apagarlos y emplearlos en ataques a la red doméstica.
.
Noticia de Brasil
Fuente: uol.com.br