Al realizar un estudio sobre la susceptibilidad de los dispositivos del Internet de las Cosas (IoT) a ser hackeados, los investigadores de la Universidad Ben-Gurion encontraron que muchos fabricantes y dueños hacen el trabajo de los hackers muy fácil.
Los dispositivos IoT nuevos a menudo tienen sus contraseñas por defecto publicadas online, normalmente debido a que el fabricante quiere ayudar en la configuración rápida de dicho dispositivo.
Es siempre sencillo conseguir esas contraseñas. El equipo de la Universidad de Ben-Gurion con frecuencia las consiguió en menos de treinta minutos simplemente buscando en Google.
El problema es que si una contraseña por defecto está en Internet para que su dueño la utilice, un atacante también la pude encontrar fácilmente. Afortunadamente para los atacantes, los dueños de dispositivos IoT nunca cambian las contraseñas por defecto una vez los han instalado, y habitualmente el fabricante tampoco les anima a que lo hagan.
Incluso peor, en algunos casos la contraseña por defecto no se puede cambiar. Desafortunadamente, esto da una sensación de seguridad a los dueños, ya que tienen contraseña, pero al dejarla por defecto es prácticamente igual que no tenerla.
Exacerbando el tema, los investigadores también encontraron que muchas de las contraseñas que se publicaron online se compartían entre los dispositivos del mismo fabricante.
El hecho de que muchos dueños de dispositivos inteligentes nunca cambian las contraseñas es muy conocido por los investigadores de ciberseguridad y por los cibercriminales. En muchos casos se pueden encontrar dispositivos conectados a Internet sin ningún tipo de seguridad o contraseña, solo hace falta darse un paseo por Shodan, el coloquialmente conocido como el Google del IoT.
A menudo los dispositivos encontrados en Shodan están en el ámbito industrial o empresarial, como bases de datos de marketing o sistemas de control industrial, pero los dispositivos domésticos tienen cada vez más presencia.
Después de conseguir el acceso, los investigadores de Ben-Gurion fueron capaces de tomar el control remotamente del dispositivo que investigaban, esto incluye termostatos, cámaras de bebe o cámaras de seguridad. Además de poder espiar a sus dueños, al acceder a estos dispositivos normalmente también les garantizaba acceder a la red local, como a las credenciales de la wifi que tampoco suelen estar bien protegidas.
Entrar en la red wifi de una casa para infectar a los dispositivos con malware vía una cafetera conectada a internet con mala seguridad puede parecer ridículo, pero es tristemente factible. Y con los dispositivos de IoT continuamente inundando el mercado, es un escenario que veremos a menudo. Después de todo, los dispositivos IoT fueron el núcleo de la botnet Mirai.
El consejo para los dueños de estos dispositivos es claro. No facilitéis el trabajo a un atacante. Aseguraros de que no usáis la contraseña por defecto, reemplazarla por una contraseña única y robusta.
Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en Twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro boletín de seguridad en tu correo electrónico, suscríbete en la siguiente aplicación:
Dejar un comentario