Crédito:Dragana Gordic/Shutterstock
Las casas se están volviendo más inteligentes:los termostatos inteligentes administran nuestra calefacción, mientras que los refrigeradores inteligentes pueden monitorear nuestro consumo de alimentos y ayudarnos a pedir alimentos. Algunas casas incluso tienen timbres inteligentes que nos dicen quién está en nuestra puerta. Y, por supuesto, los televisores inteligentes nos permiten transmitir el contenido que queremos ver, cuando queremos verlo.
Si todo eso suena muy futurista, una encuesta reciente nos dice que el 23 % de las personas en Europa occidental y el 42 % de las personas en los EE. UU. usan dispositivos inteligentes en casa.
Si bien estos dispositivos inteligentes son ciertamente convenientes, también pueden presentar riesgos de seguridad. Cualquier dispositivo con conexión a Internet puede verse comprometido y tomado por atacantes.
Si un dispositivo inteligente comprometido tiene una cámara o un micrófono, un atacante puede acceder a estos y los datos del dispositivo se pueden leer, ver, copiar, editar o borrar. El dispositivo inteligente comprometido puede comenzar a observar el tráfico de su red, tratando de encontrar sus nombres de usuario, contraseñas y datos financieros. Puede intentar hacerse cargo de otros dispositivos inteligentes que posee.
Por ejemplo, un atacante podría ajustar la temperatura en un termostato inteligente, haciendo que la casa se caliente demasiado, y exigir el pago de un rescate para permitirle recuperar el control de su calefacción central. Alternativamente, un sistema de CCTV inteligente puede ser tomado y los datos pueden ser vistos por un atacante o eliminados después de un robo.
Los dispositivos inteligentes también se pueden hacer para atacar otros sistemas. Su dispositivo inteligente puede convertirse en parte de una "red de bots" (una red de dispositivos inteligentes comprometidos bajo el control de una sola persona). Una vez comprometido, buscará otros dispositivos inteligentes para infectar y reclutar en la botnet.
La forma más común de ataque de botnet se denomina ataque de denegación de servicio distribuido (DDoS). Aquí es donde la botnet envía cientos de miles de solicitudes por segundo a un sitio web de destino, lo que impide que los usuarios legítimos accedan a él. En 2016, una botnet llamada Mirai bloqueó temporalmente el acceso a Internet en gran parte de América del Norte y partes de Europa.
Además de los ataques DDoS, sus dispositivos inteligentes se pueden usar para propagar ransomware, un software que encripta una computadora para que solo se pueda usar después de que se haya pagado un rescate. También pueden participar en criptominería (la "minería" de monedas digitales que genera dinero para el atacante) y delitos financieros.
Hay dos formas principales para que un dispositivo inteligente se vea comprometido. La primera es a través de credenciales predeterminadas simples, que es donde un dispositivo inteligente tiene preinstalados un nombre de usuario y una contraseña muy básicos, como "admin" y "contraseña", y el usuario no los ha cambiado.
La segunda es por errores en el código del dispositivo inteligente, que un atacante puede usar para obtener acceso al dispositivo. Estos errores (llamados vulnerabilidades) solo pueden corregirse mediante una actualización de seguridad lanzada por el fabricante del dispositivo y conocida como "parche".
Cómo ser inteligente Y seguro
Si está pensando en comprar un nuevo dispositivo inteligente, aquí hay cinco preguntas a tener en cuenta que pueden ayudar a aumentar la seguridad de su nuevo dispositivo y de su hogar. Estas preguntas también pueden ayudarlo a asegurarse de que los dispositivos inteligentes que ya posee estén seguros.
1. ¿Realmente necesito un dispositivo inteligente?
Si bien la conectividad a Internet puede ser una comodidad, ¿es realmente un requisito para usted? Los dispositivos que no tienen una conexión remota no son un riesgo para la seguridad, por lo que no debe comprar un dispositivo inteligente a menos que realmente necesite que su dispositivo sea inteligente.
2. ¿El dispositivo tiene credenciales predeterminadas simples?
Si es así, este es un riesgo grave hasta que cambie las credenciales. Si compra este dispositivo y el nombre de usuario y la contraseña predeterminados son fáciles de adivinar, deberá cambiarlos por algo que solo usted sabrá. De lo contrario, el dispositivo es muy vulnerable a que un atacante se apodere de él.
3. ¿Se puede actualizar el dispositivo?
Si el dispositivo no se puede actualizar y se descubre una vulnerabilidad, ni usted ni el fabricante podrán evitar que un atacante se apodere de él. Por lo tanto, consulte siempre con el vendedor si el software del dispositivo se puede actualizar. Si tiene la opción, debe elegir un dispositivo con actualizaciones automáticas, en lugar de uno en el que tenga que instalar las actualizaciones manualmente.
Si ya posee dispositivos que no se pueden actualizar, considere eliminar su acceso a Internet (desconectándolos de su wifi) o comprar otros nuevos.
4. ¿Durante cuánto tiempo se ha comprometido el fabricante a dar soporte al dispositivo?
Si el fabricante deja de publicar actualizaciones de seguridad, su dispositivo estará expuesto a compromisos si posteriormente se encuentra una vulnerabilidad. Debe confirmar con el vendedor que el dispositivo será compatible durante al menos el tiempo que espera usarlo.
5. ¿Ejecuta el fabricante un programa de 'recompensa por errores'?
Estos son esquemas en los que una empresa pagará una recompensa a cualquiera que identifique vulnerabilidades en su base de código. No todas las empresas los ejecutan, pero sugieren que el fabricante se toma en serio la seguridad de sus productos. Los detalles estarán en el sitio web del fabricante.
No es fácil saber si su dispositivo inteligente ha sido pirateado. Pero siempre que sus dispositivos inteligentes sean compatibles con sus fabricantes, se actualicen cuando sea necesario y tengan credenciales sólidas, no será fácil para un atacante obtener acceso.
Si le preocupa que su dispositivo haya sido pirateado, realice un restablecimiento de fábrica, cambie el nombre de usuario y la contraseña por algo nuevo y único, y aplique las actualizaciones disponibles.