Acabamos de pasar las grandes fiestas del comercio electrónico, el Black Friday y el Cyber Monday. No dudamos que habrás aprovechado todos los descuentos para comprar dispositivos novedosos como Google Pixels, Apple iPhones, Sony PS5 o Microsoft Xboxen.
Pero no son solo los últimos teléfonos y consolas los que llenan los carritos. Los dispositivos de automatización del hogar también son compras populares, especialmente si parecen ser productos de primera categoría a precios de ganga.
Suena el timbre
Con eso en mente, la revista para consumidores del Reino Unido Which? recientemente se compró de forma online 11 timbres digitales diferentes, un tipo de dispositivo del IoT muy popular, con el objetivo de ver como se comportaban.
En teoría, al menos, un timbre inalámbrico es una idea espléndida: no es necesario perforar un agujero en el marco de la puerta para pasar un cable; puedes poner el timbre donde quieras; puedes llevarlo contigo cuando te mudes; y, gracias al diminuto tamaño de las cámaras actuales, muchos timbres de IoT te permiten ver quién llama, incluso cuando no estás en casa.
(Con los timbres digitales, también puedes cambiar el tono del timbre al que más te guste ; no estarás atrapado para siempre con ese timbre de dos tonos que sonaba tan bien al principio, pero del que ahora te arrepientes).
En otras palabras, un timbre digital no solo debería simplificar la tarea de instalación, sino también mejorar la seguridad de tu hogar.
En la práctica, por supuesto, hay muchas cosas que pueden salir mal con los timbres habilitados para Internet.
Podría terminar empeorando tu seguridad física y digital al mismo tiempo.
Tu privacidad y seguridad físicas podrían verse dañadas debido a las funciones de video en directo del timbre, explotado por ciberdelincuentes o por ladrones para espiarte, en lugar de ayudarte a combatirlos.
Y tu seguridad en la red podría verse perjudicada porque la mayoría de los timbres digitales deben estar conectados a la red wifi de tu hogar, lo que podría traer vulnerabilidades de software explotables o “características” de recopilación de datos que destruyen la privacidad de tu propia red.
Motivo de preocupación
Como probablemente ya te habrás dado cuenta, si viste el título y el subtítulo del artículo anterior de Which?, los resultados del experimento de la revista son un verdadero motivo de preocupación:
Los timbres inteligentes con video permiten que los ciberdelincuentes entren en tu hogar.
Los 11 timbres que probamos mostraron problemas de seguridad de alto riesgo. [Which? 2020-11-23]
Por si sirve de algo, es posible que no describamos todas las vulnerabilidades que Which? definió como de “alto riesgo”, dado que parece que algunas de ellas no se integran irremediablemente en los dispositivos afectados y se pueden evitar si se toman el tiempo para configurar los dispositivos correctamente, como elegir una contraseña adecuada, pero “alto riesgo” era el adjetivo que Which? eligió, y no vamos a discutir su razonamiento.
Claro, un dispositivo que llega con una contraseña predeterminada débil (y ampliamente conocida) se puede hacer más seguro muy fácilmente en el momento de la instalación.
Pero si eso es lo que esperas que hagan los nuevos usuarios, ¿por qué no enviar el dispositivo con una configuración que evitará que funcione hasta que esté configurado correctamente?
De hecho, como Which? señala, las regulaciones del Reino Unido propuestas a principios de 2020 para dispositivos de IoT prohibirían por completo las contraseñas predeterminadas:
Todas las contraseñas de los dispositivos conectados al Internet del consumidor deben ser únicas y no pueden restablecerse a ningún ajuste de fábrica universal.
Los peores fallos
Irónicamente, si quisiéramos estar en desacuerdo con la definición de “alto riesgo”, sería que para algunos de los fallos reportados, el término no es lo suficientemente fuerte, y “vulnerabilidad crítica” podría ser una opción mejor.
Aquí hay tres de los agujeros de seguridad que encontró Which?:
- Un producto subió la contraseña de la wifi local en los servidores del proveedor en China sin cifrar. El fabricante del dispositivo no solo no necesita tu contraseña inalámbrica, sino que enviarla sin cifrar significa que cualquiera que esté fisgoneando en la red podría recuperarla y venderla.
- Un segundo producto podría separarse de la puerta de tu casa y robarse con una herramienta de expulsión de SIM de teléfono móvil (un alfiler fino de metal con una pequeña manija en el extremo), a pesar de que los datos almacenados en él estaban sin cifrar y presumiblemente incluían imágenes de visitantes recientes y la contraseña de tu wifi.
- Un tercer dispositivo podría ser forzado a regresar al modo de “configuración” desde fuera de tu casa, esencialmente permitiendo que los delincuentes lo apaguen antes de robar en tu propiedad.
¿Qué hacer?
Ojalá pudiéramos dar algunos trucos técnicos simples que te permitan distinguir los dispositivos domésticos buenos de los malos antes de comprarlos, o incluso sugerir una forma segura y práctica de diferenciar un dispositivo bien protegido de uno mal programado después de configurarlo.
Desafortunadamente, las cosas no son tan sencillas e, irónicamente, encontrar agujeros de privacidad y seguridad en dispositivos que tienen “un poco de ciberseguridad pero no lo suficiente” puede ser sorprendentemente difícil.
(Como ejemplo, los investigadores de Which? habrían tenido que hacer mucho más trabajo para detectar la contraseña de wifi filtrada mencionada anteriormente si el dispositivo hubiera utilizado una conexión cifrada para llamar a casa).
Por lo tanto, aquí hay cuatro consejos de “atención al comprador” para ayudarte a mantener los dispositivos peligrosos fuera de su red doméstica:
- Ignora las reseñas online de los sitios comerciales. No sabes quién escribió esas reseñas o quién le dio al producto una buena puntuación. Which? informó que la mayoría de los 11 dispositivos de timbre defectuosos que eligieron tenían “[20 o más] reseñas de 5 estrellas”. Lamentablemente, existe una gran cantidad de revisores falsos de productos que nunca han visto y mucho menos usado, a menudo por cantidades muy modestas de dinero.
- No te dejes engañar por el nombre o la apariencia. Los dispositivos baratos son fáciles de construir, por lo que se parecen a los dispositivos que tienen buena reputación. Además, el mismo fabricante fabrica muchos productos de apariencia diferente, basados en hardware y software idénticos, y luego se marca para que parezcan dispositivos diferentes para una variedad de comerciantes afiliados. En resumen, el simple hecho de que un dispositivo parezca un producto en buen estado significa muy poco, y el hecho de que un dispositivo se vea completamente diferente de uno que ya sabes que es malo tampoco te ayuda a decidir.
- Habla con alguien que conozcas y en quien confíes para que te ayude a juzgar. Algunos proveedores de dispositivos domésticos tienen una buena reputación en materia de seguridad, incluido el suministro de actualizaciones rápidas si se encuentran vulnerabilidades. Busca consejos independientes y objetivos para confirmar que ese es el caso de cualquier dispositivo que planees comprar, para asegurarte de que estás comprando el modelo correcto.
- Devuelve los dispositivos que no estén a la altura. Si descubres que un dispositivo doméstico que compraste tiene fallos peligrosos y no recibirá actualizaciones, y con los dispositivos baratos de comerciantes de bajo presupuesto, eso sucede a menudo, entonces solicita la devolución de tu dinero. Si no puedes recuperarlo, deshazte del dispositivo defectuoso (¡recíclalo de manera responsable!) Y asume la pérdida financiera con buena cara. Luego vuelve al paso 1.
En pocas palabras, si tienes dudas, descártalo.
Cuando se trata de dispositivos de seguridad para el hogar, no te arriesgues a empeorar tu seguridad física y online por comprar productos que no estén a la altura.
Dejar un comentario