viernes, 23 octubre 2020
Visitas totales a la web: 86116975

El portal de los profesionales de seguridad y emergencias

Nº 1 del mundo en español en seguridad global

Soluciones de seguridad global

Agua hirviendo, pitidos y mensajes de error: así puede secuestrar un hacker una cafetera inteligente

G.P.

La comunicación no cifrada y la falta de actualizaciones pueden dar acceso a un atacante a electrodomésticos conectados

No todo van a ser hospitalesmedios de comunicación, consultoras o sectores estratégicos; los hackers también se pueden fijar objetivos más modestos a la hora de ‘secuestrar’ dispositivos en busca de un rescate. Martin Hron, analista de la empresa de seguridad Avast, ha demostrado que se puede aprovechar el internet de las cosas para atacar algo tan simple como una cafetera inteligente.

La víctima fue una cafetera de Smarter con varios años de antigüedad, aplicación Android y capacidad de conectarse a Internet para recibir órdenes desde el teléfono. Al tratarse de un modelo antiguo ya no recibía soporte de su fabricante y ésta fue una de las claves; otras cafeteras más nuevas no se podían ‘hackear’ tan fácilmente.

Según explica Hron en una entrada en su blog, descubrieron que la cafetera enviaba y recibía información sin cifrar. Esto podría parecer baladí -¿qué datos comprometidos va a guardar una cafetera más allá de si preferimos el cortado o el americano?-, pero es lo que permitió en sus pruebas hacerse con el control del electrodoméstico.

Al enchufar la cafetera Smarter se convierte en un punto de acceso WiFi que utiliza una conexión no segura para comunicarse con el teléfono, desde el que después es posible conectarla a Internet. Por si fuera poco, la aplicación almacenaba la versión más actual del firmware y al abrir la propia cafetera identificaron su procesador, por lo que con ingeniería inversa aprendieron cómo funcionaba.

Así, una vez que supieron cómo se comunicaba pudieron conocer varios datos que serían importantes: que la actualización del firmware se hacía directamente desde la aplicación y que era posible organizar un ataque para hacerse con su control, ya fuese con una app falsa (requeriría un ataque de phishing para engañar al usuario y hacer que descargase el programa malicioso) o, sencillamente, con la ayuda de una persona que tocase el botón físico que activaba la actualización, ya fuese con malas intenciones o engañada. En otros escenarios ni siquiera era necesario este paso.

En un principio la idea era usar la cafetera para minar criptomonedas; factible, pero poco útil: sería necesario un ejército digno de Starbucks para que resultase rentable. Y ahí es cuando decidieron hacerse con el control del electrodoméstico.

Tras actualizar el firmware podían hacer que el aparato de Maker empezase a moler café, expulsase agua hirviendo, emitiese pitidos y mostrase un ominoso mensaje que anunciaba que había sido secuestrada y daba la dirección de una página web en la que se encontrarían instrucciones para pagar el rescate. Quien se negase a la negociación tan solo tendría una solución: desenchufar (y, previsiblemente, pasarse al Colacao).

SOFTWARE, HARDWARE Y FIRMWARE

En este sentido, conviene entender las diferencias entre software, hardware y firmware. A -muy- grandes rasgos, el hardware serían las piezas físicas de un dispositivo y el software, los programas que hacen que funcione. Así, en un ordenador el primer término correspondería a memoria RAM, disco duro o procesador, mientras que el segundo serían el sistema operativo o los programas y aplicaciones.

En el caso de los electrodomésticos hay un gran problema con los componentes y es que si una pieza no funciona es necesario cambiar todo el componente. Aquí es donde entra en juego el firmware: un pequeño procesador que hace de entrenador y dirige a todo el equipo para que todo funcione correctamente. Si un jugador se lesiona o resulta que no cumple con el rendimiento esperado, se puede actualizar el firmware e intentar solucionarlo todo sin necesidad siquiera de estar cerca del producto; en este caso, una cafetera.

De este modo es posible, por ejemplo, añadir nuevas funciones o corregir errores de forma remota. El terminal se conecta a Internet, ya sea él solo o mediante una aplicación en un teléfono, se actualiza y ‘aprende’ nuevos trucos. El problema es que, como explica Hron, la seguridad de una red es tan fuerte como lo es su elemento más débil.

Obviamente el ataque no es tan peligroso ni tiene repercusiones tan importantes como lo puede ser bloquear los ordenadores de un hospital. No obstante, la pequeña esquina del caos en la que un electrodoméstico pita, muele café y escupe agua hirviendo permite recordar los peligros de los dispositivos conectados, su obsolescencia (en lo que a actualizaciones se refiere; la nevera seguirá enfriando) y la relevancia de la seguridad en el internet de las cosas.

El verdadero problema, por lo tanto, está en que se convierten en una puerta sin cerradura, en ese eslabón débil de la cadena, pues pueden servir de entrada a nuestra red: aunque parezca imposible, no hay tantos pasos que separen una cafetera del router.

La vida útil de un electrodoméstico puede superar la década y llega un momento en el que al fabricante puede no resultarle rentable seguir actualizando el firmware de estos productos, pues se debe centrar en los más nuevos. También puede ocurrir que la propia compañía desaparezca mientras sus dispositivos siguen funcionando. Y entonces, o paga el rescate o no podrá desayunar tostadas.

Fecha de publicaciónoctubre 01, 2020

BELT.ES no se hace responsable de las opiniones de los artículos reproducidos en nuestra Revista de Prensa, ni hace necesariamente suyas las opiniones y criterios expresados. La difusión de la información reproducida se realiza sin fines comerciales. 

Listado de Expertos

Recomendado

Profesión militar: Obediencia debida frente a la obligación de disentir

Con ocasión de la realización de estudios en el Instituto Universitario Gutiérrez Mellado tuve la ocasión de leer y analizar una serie de documentos de opinión que trataban en profundidad las diferentes facetas presentes en el campo de las relaciones cívico-militares; temas que , habitualmente, no han estado presentes en los diferentes cursos y actividades formativas en la enseñanza militar, ni, por supuesto, en la civil.

El paracaidista español que humilló a los «temibles» espías soviéticos

Joaquín Madolell, natural de Melilla y militar del Ejército del Aire, desarticuló la mayor red del espionaje...

Mascarillas falsas llenan tiendas y farmacias: cómo saber si la tuya lo es y qué riesgo tienen

Higiénicas, quirúrgicas, FFP... Estos términos hace dos meses no nos sonaban de casi nada a la mayor parte de los ciudadanos, y menos si nos decían que esto tenía algo que ver con mascarillas.

Últimas noticias

El Ejército quiere descongestionar Madrid y llevar bases a la España vaciada

Los planes para trasladar un regimiento a Zamora y otro a Burgos o crear un gran centro logístico tropiezan con la falta de financiación.

El Día de las Fuerzas Armadas 2020, que finalmente tuvo que suspenderse debido a la pandemia de coronavirus, estaba previsto el pasado 30 de mayo en Huesca. El Ministerio de Defensa eligió esta ciudad para exhibir el éxito de una operación sin precedentes: el traslado del Cuartel General de la División Castillejos desde Madrid al Prepirineo aragonés.<

Pilar Mañas, primera jefa de unidad del Aire, en el 12-O: “En el Ejército no hay techos de cristal”

Comandante del Ejército del Aire: "Este 12 de octubre estaremos ahí con todo. Es el día de la Fiesta Nacional y estaremos apoyando...

7 requisitos para que una mascarilla proteja una jornada laboral de 8 horas

Según la guía de buenas prácticas en los centros de trabajo, publicada por el Ministerio de Sanidad, “no es imprescindible usar mascarilla...

Detienen en España a John McAfee, el excéntrico millonario pionero de los antivirus

John McAfee, el creador del famoso antivirus que lleva su apellido, fue arrestado este fin de semana en la ciudad de Barcelona,...

DIRECTRICES DE BUENAS PRÁCTICAS EN CENTROS LOGÍSTICOS Y ALMACENES

En este documento se recoge una selección no exhaustiva de recomendaciones y medidas de contención adecuadas para garantizar la protección de la salud de los trabajadores frente a la exposición al coronavirus SARS-CoV-2 en los centros logísticos y almacenes. Con carácter más general deben considerarse también las recomendaciones para la vuelta al trabajo recogidas en el documento “Buenas prácticas en los centros de trabajo.