Cuando el sistema de alarma no protege la casa física, sino la digital

dojo

Párese un momento y piense cuántos dispositivos tiene a día de hoy conectados al router de casa.

En mi caso, más de diez. Y eso que solo somos dos personas.

La tendencia es a que este número aumente considerablemente en los próximos años.

Por casa no tengo electrodomésticos inteligentes, pero seguramente acabe teniéndolos. Y a esto hay que sumar todos los gadgets que a día de hoy tiran de Bluetooth, y que pasarán poco a poco a depender de la red de datos, así como los elementos de la propia casa que se irán paulatinamente digitalizando (cortinas, lámparas, cerraduras, termostatos,…).

No hablo de algo del futuro. Hay cada vez más hogares que ya tienen implementados servicios de domótica conectados a la red. Un paso ineludible para todos, sea forzado o no, conforme los beneficios de esta conexión superen con creces a sus desventajas (que de hecho, ya lo están haciendo).

Hoy son por tanto más de diez. El día de mañana seguramente sean más de veinte, más de treinta y más de cincuenta. Decenas de sensores que se espera hagan la vida más sencilla a los que vivimos allí, que nos permitan controlar más eficazmente el gasto mensual, que aprendan de nuestros hábitos para optimizar su funcionamiento, y que favorezcan un conocimiento propio que hasta ahora ha estado fuera de nuestro alcance.

Y con ello, aumenta el riesgo de sufrir alguna brecha de seguridad o de privacidad. Un escenario que ya estamos viviendo, pero que se verá intensificado conforme más y más dispositivos inteligentes pueblen nuestros hogares.

Bienvenido a la revolución del Internet de las Cosas, con todo lo que ello conlleva.

El menosprecio a la red WiFi

Justo en el centro neurálgico de toda esa conectividad, está nuestro router. Un aparatito que la mayoría de mortales tiene por alguna esquina de casa, que le ha instalado el trabajador de la operadora de turno, y que jamás ha tocado en su vida.

El router, mientras esté conectado a la corriente y al cable de red, funciona. Y cuando no funciona, se llama a la operadora para que lo arregle. Punto.

Ese dispositivo está habitualmente dotando de conectividad a todo el hogar. Decenas de dispositivos conectados a un aparatito que en la mayoría de los casos sigue con la contraseña por defecto, normalmente bajo un cifrado ridículamente sencillo (WEP), e incluso en cada vez más situaciones, con la facilidad (e inseguridad) que ofrece tener WPS como método alternativo de conexión.

Porque sí, parece que tener que meter como diez caracteres cada vez que queremos conectar un nuevo dispositivo es una lata. Así que vamos a ponerle las cosas fáciles a un posible atacante y habilitemos un servicio que permite obviar esa contraseña y simplemente meterle un PIN de cuatro dígitos. Esto hace un total de 10.000 posibles combinaciones, que por cierto, pueden meterse una tras otra, ya que el sistema no suele contar con medidas anti ataques de fuerza bruta.

Perfecto.

El menosprecio por el peligro que entraña una red WiFi es general en la sociedad. Sufro cada vez que veo cómo mi pareja deja el WiFi conectado 24/7 en su smartphone. Lo usa cuando está en casa (como es normal), pero cuando sale de ella también lo mantiene encendido.

Y el problema no es solo ese (a fin de cuentas, es una puerta de acceso a posibles ataques en pos de identificar y monitorizar al dispositivo, cosa que por ejemplo se utiliza en prácticamente cualquier centro comercial, u obligarle a conectarse a redes envenenadas que se hacen pasar por otras redes legítimas), sino que allí donde va, y pese a que ya le haya recriminado en varias ocasiones, se conecta a toda red WiFi que ve abierta. Que vale, ya sabemos que la red del Mediamarkt seguramente sea la legítima, pero la seguridad dentro de una red WiFi NO está asegurada, y por ahí podría haber alguien jugueteando con herramientas maliciosas.

El resultado es una exposición permanente a robo de identidad e incluso a ataques más peligrosos (instalación de Botnets o malware). Una exposición que pone en peligro toda la información que hay en el smartphone (que no es poca), y peor aún, toda la información que se puede obtener de los sensores e historial del smartphone.

Y esto se agrava aún más cuando lo que se expone no es solo el smartphone, sino nuestra propia red de casa, donde están conectados todos los dispositivos.

Sobre la importancia (presente y futuro) de sistemas de alerta doméstica digitales

Así llego al asunto que quería tratar en este artículo.

Las redes WiFi de casa son, por defecto, inseguras. Y antes de que piense eso de que ¿quién iba a quererme atacar?, y descontando posibles malos rollos con vecinos, me parece oportuno recordarle que para atacar su red WiFi no es necesario estar cerca de ella.

Bastaría con lanzar un ataque masivo con algún exploit dirigido a sistemas operativos Linux a IPs aleatorias de toda la red. Ese ataque acabará llegando a ese dispositivo que todos tenemos en casa, que casualmente corre un Linux por debajo, y que en la mayoría de situaciones, es vulnerable. Porque, ¿cuándo fue la última vez que actualizó el firmware de su router? Lo que suponía :).

¡Voilà! Un router, que es la puerta de acceso a todos los dispositivos y sensores de su hogar, es hackeado, y ahora falta por ver qué van a hacer los ciberdelincuentes con toda esa información.

¿Chantajes y extorsión? ¿Venta de información a terceros? ¿Suplantación de identidad? ¿Cargos a su nombre y su dirección?

La cuestión es que infravaloramos todo el valor que hay en toda esa información que pasa por el router, y tendemos únicamente a fortificar la seguridad física del hogar, obviando la digital, que además de ser más accesible, no requiere un ataque dirigido.

Así, me entero que una startup israelí está a punto de poner a la venta dojo (EN), una especie de sistema de alarma dirigido ya no a la seguridad física del hogar, sino a la digital.

Ver vídeo en Youtube (EN)

Dojo es a fin de cuentas un cortafuegos que controla todas las conexiones y permisos que tiene cada dispositivo en red, alertando al usuario mediante una notificación visual, y enviando una alerta a su smartphone cuando otro dispositivo intenta conectarse a la red, o bien está realizando acciones que podrían ser consideradas maliciosas.

Y aunque para muchos les suene aún a años luz de sus necesidades, no me extrañaría ver cómo dentro de unos años este tipo de sistemas (bien sea como un dispositivo externo, o implementados en el propio router), empiezan a ser algo habitual.

De hecho, el router que actualmente estoy usando en mi casa me ofrece parte de estas funcionalidades (envío de notificaciones SMS cuando alguien intenta conectarse a mi red), y es de esperar que acabe por volverse una commodity.

Una que sin duda sería de agradecer. De esas que simplemente por existir hacen más seguro nuestro entorno cercano. Sin pre-configuración por parte del usuario. Como ejemplo de tecnología invisible que funciona.