Cómo comprar dispositivos "inteligentes" que además sean seguros: esto es lo que opina un experto en seguridad

Cómo comprar dispositivos "inteligentes" que además sean seguros: esto es lo que opina un experto en seguridad
8 comentarios Facebook Twitter Flipboard E-mail

Con la llegada de los altavoces inteligentes a los hogares como epicentro de la domótica del hogar, cada vez más marcas lanzan nuevos dispositivos inteligentes que entran en acción mediante la conexión a internet: televisores, aires acondicionados, robots aspiradores, bombillas... ¡hasta comederos smart! Una serie de gadgets que, con el reclamo de ofrecernos una experiencia más cómoda y personalizada, viven atentos a nuestras órdenes y permanentemente conectados. ¿Hasta qué punto son seguros los dispositivos inteligentes?

La comisión europea ya ha puesto encima de la mesa la necesidad de elaborar nuevos certificados de ciberseguridad que avalen la fiabilidad de miles de dispositivos IoT, pero mientras tanto, ¿qué criterios debemos seguir si queremos comprar un dispositivo inteligente lo más seguro posible? Lorenzo Martínez, experto en seguridad y CEO de Securízame, nos lo explica.

¿Qué información tiene sobre mí y quién tiene acceso a ella?

Peluche

Lorenzo Martínez nos explica que en su casa y en su teléfono, tiene desactivados los asistentes de voz en la medida de lo posible. Una cuestión de deformación profesional.

"Esos dispositivos que te hacen la vida más fácil ya se ha demostrado que en algún punto tus preferencias, tus peticiones, tus cosas... quedan en la nube, al resguardo del proveedor del servicio. Hace un par de años hubo un incidente muy popular con un osito que almacenaba lo que decían los niños."

No solo es cuestión de vulnerabilidades. Recientemente conocimos que, además de los asistentes de voz, también los empleados de Amazon, Apple y Google escuchan lo que decimos a Alexa, Siri y al asistente de Google, según explican ellos mismos, para mejorar su precisión.

Martínez pasa a formularnos algunas preguntas que le turban y que deberíamos tener en cuenta a la hora de elegir un dispositivo inteligente y configurarlo:

"Debemos conocer a qué tenemos acceso como usuarios y tener claro lo que le estamos preguntando. En este sentido, es importante verificar los permisos que les damos durante el proceso de configuración."

Sí, eso que pocos leemos, diciendo de facto que sí a todo. A partir de este punto, la información sale de nuestros dominios y pasa por otras manos. ¿Por cuántas? "No sabemos qué hace con el proveedor con nuestros datos, ya sea de forma voluntaria o no. Y tampoco conocemos cómo es de responsable el proveedor a la hora de almacenar la información para que terceros no puedan acceder a ellos. "

Ante esta avalancha de dudas y datos recopilados, Lorenzo llama la atención sobre algo: "¿Quién audita al proveedor, velando que la información esté segura mediante un cifrado de extremo a extremo?"

Cómo ha cambiado la domótica en los últimos años

Nevera

Aunque el desarrollo de los asistentes de voz y su implementación en altavoces inteligentes han sido los que han popularizado la domótica entre el público en general, la automatización de los hogares era un concepto que ya existía desde hace tiempo, como detalla Lorenzo: "El boom en cuanto a popularidad comienza en 2014 - 2015, pero en 2011 yo domoticé mi casa porque el concepto internet de las cosas ya existía. En mi caso lo hice con la premisa de que no hubiera control externo en ningún punto."

Una premisa que no es habitual en la domótica, habida cuenta que lo más frecuente en los dispositivos inteligentes que encontramos en el mercado es precisamente que dispongan de un servidor para funcionar. Martínez nos explica cómo ha cambiado esta forma de proceder:

"La filosofía de control antiguamente requería abrir un puerto del router para pasárselo al dispositivo en concreto, aunque ese puerto quedaba expuesto, lo que abría las puertas a que un tercero tomara el control del dispositivo: cámaras, alarmas, termostatos... pero la filosofía actual es otra: ahora el dispositivo o la app se conecta a internet gracias a un servicio que da el proveedor y desde allí recibe órdenes. Es el servidor remoto el que almacena los datos y actúa como intermediario en nuestras operaciones diarias."

Aunque ahora las Roombas de las gamas superiores cuentan con un sistema de mapeo inteligente y control mediante aplicación, no siempre ha sido así. Una de las primeras en hacerlo fue la de Lorenzo Martínez, que hace 9 años se propuso convertir su robot aspirador en smart:

"Puse un módulo bluetooth a una Roomba básica para que entrara en acción entre las 9 y las 9:30 de la mañana si no había funcionado durante ese día, y no detectaba a su alcance un par de dispositivos bluetooth en concreto. A día de hoy me consta que las Roombas funcionan como he explicado antes, se comunican vía Wi-Fi con el servidor enviando su información. Ahora le ponen una cámara para que mapee la casa mirando al techo"

Roomba

Tras el incidente acaecido hace un par de años con los robots aspiradores de la marca americana, durante el análisis de la Roomba i7+, preguntamos a iRobot sobre este asunto.

iRobot nos explicó que de acuerdo con su política de privacidad, no comercializaba con los datos de los usuarios y que los datos intercambiados con terceros como Google y Amazon para el uso de Google Assistant o Alexa se limitaban a aquellos que permiten el control mediante voz. Así, las imágenes tomadas por el robot para la navegación permanecen en el robot, enviándose únicamente los datos procesados y encriptados que permiten la elaboración de un mapa simplificado y amigable que visualizaremos en nuestros teléfonos a través de su nube.

Lorenzo es escéptico en este sentido: "Sí, los datos almacenados se envían cifrados. Pero hay que ver dónde los guardan y si almacenan la IP. Con un usuario que tenga IP dinámica aún puede valer, pero si ésta es fija y potencialmente alguien tuviera acceso al repositorio de datos del fabricante, se podría ver el mapa, hábitos u otros datos y, en algunos casos, asociarlos."

"En mi casa tengo un proxy para verificar y restringir determinado tráfico, el usuario preocupado por la seguridad puede configurar reglas en un cortafuegos en su conexión a Internet, pero el usuario medio quiere poderlo controlar fácilmente. Es el riesgo de exponer el dispositivo al exterior"

La importancia de las actualizaciones

No obstante, este cambio de forma de operar volcando su peso en los servidores también representa ciertas ventajas a nivel de seguridad. Lorenzo explica que "hemos ganado en que ya no exponemos el servicio del equipo, una ventaja porque en muchos casos no es posible actualizar por un firmware embebido dentro de un hardware pequeño (muy diferente a un ordenador con Windows) o el usuario no se molesta en hacerlo".

Y llegamos a una zona caliente a la hora de elegir un dispositivo inteligente desde el punto de vista de la seguridad: las actualizaciones. Martínez apunta que "son la única forma que tiene un usuario/consumidor de mejorar la calidad/seguridad de un producto. Es decir, las actualizaciones parchean las vulnerabilidades que han ido descubriendo de un producto, y/o mejoran el rendimiento del mismo."

Además de señalar la importancia de que un dispositivo pueda actualizarse por cuestiones de hardware y que el usuario lo lleve a cabo, el CEO de Securízame habla de una tercera pata, los fabricantes:

"Es importante apostar por aquellas marcas que se comprometen a actualizar cualquier producto tecnológico. Muchas veces el problema es que un tipo de dispositivo no permite la actualización de forma fácil por parte del fabricante. Si el fabricante no ha previsto la posibilidad de modificar un firmware o instalar uno nuevo, pues no es posible."

Un ojo a la conectividad

Bombilla

Para verlo de forma más terrenal, le proponemos a Lorenzo Martínez que nos explique qué miraría a la hora de comprar una bombilla inteligente. ¿Qué miraría un experto en seguridad?

"Fundamentalmente me fijaría en el tiempo de vida, la funcionalidad y el precio. Como he explicado antes, a nivel de seguridad prestaría atención en que dispongan de un firmware para actualizar y la frecuencia de actualización. También miraría la tecnología que usan para encenderse y apagarse, la conectividad."

Si echamos un vistazo a la conectividad que emplea la inmensa mayoría de los dispositivos smart más populares, encontraremos esencialmente Bluetooth, Wi-Fi y, en menor medida, los protocolos Zigbee y Z-Wave. Volviendo a las bombillas, los modelos más conocidos recurren al Wi-Fi y a Zigbee:

"Como explicaba antes, en 2012 domoticé las persianas y los toldos y lo hice usando X-10. Pero claro, soy ingeniero informático y lo monté yo mismo y aún así, me costó bastante tiempo haciendo pruebas. Y no fue barato. La domotización ha traído dispositivos más asequibles y montajes más sencillos. Eso sí, si partes de cero, si es actualizar una instalación, es más complicado."

Aunque no es infalible (nada lo es), Lorenzo Martínez nos explica que Zigbee es preferido para determinados dispositivos domóticos antes que el Wi-Fi por dos motivos, requisitos hardware y universalidad de las redes wireless:

"Zigbee es un protocolo inalámbrico de comunicaciones cifradas. Al no estar tan extendido su uso como el del Wi-fi común, la cantidad de herramientas y técnica disponible para poder atacarlo es mayor que el de Wi-Fi. En cuanto al rendimiento, las necesidades criptográficas de una red inalámbrica común, pueden ser más exigentes que las de Zigbee, por lo que un elemento con pocos recursos hardware podría no tener la eficiencia necesaria""

¿Y qué se puede obtener hackeando una inocente bombilla? Datos como la contraseña de nuestro Wi-Fi, el acceso a la configuración de red y la posibilidad de modificar la contraseña.

Lorenzo Martínez nos advierte: "El riesgo sigue siendo el mismo que hace 9 años. Soy de la opinión que cuantos menos cacharros tengas que envíen información fuera, mejor. A no ser que seas capaz de controlar lo que transmite al exterior. Y si asumes ese riesgo, te toca asumir las consecuencias."

Puedes estar al día y en cada momento informado de las principales ofertas y novedades de Xataka Selección en nuestro canal de Telegram o en nuestros perfiles de Twitter, Facebook y la revista Flipboard.

Nota: algunos de los enlaces aquí publicados son de afiliados. A pesar de ello, ninguno de los artículos mencionados han sido propuestos ni por las marcas ni por las tiendas, siendo su introducción una decisión única del equipo de editores.
Comentarios cerrados
Inicio