El Peligro Oculto del IoT: ESET Advierte sobre Hackeos a Dispositivos Caseros

Ciudad de México.- El mundo de la Internet de las Cosas (IoT) experimentó un crecimiento considerable la última década, con más dispositivos de uso cotidiano interconectados. ESET, empresa líder en detección proactiva de amenazas, repasa casos emblemáticos de ataques a dispositivos hogareños y comparte claves para evitar ser víctima.

“Todo lo conectado a internet es hackeable; esta máxima mantiene vigencia y validez. En los últimos años, identificamos ataques contra dispositivos muy presentes en los hogares que muchos desconocen son vulnerables”, comenta Fabiana Ramirez Cuenca, Investigadora de Seguridad Informática de ESET Latinoamérica.

Los dispositivos caseros abrieron nuevas puertas para el cibercrimen. Un factor facilitador es el uso extendido de contraseñas débiles o predeterminadas, fáciles de adivinar.

ESET analiza 5 historias donde el cibercrimen encontró en los dispositivos del hogar una nueva vía para perpetrar ataques, con consecuencias importantes:

El Espía Entrañable: En 2017, un oso de peluche inofensivo se convirtió en el factor clave para filtrar conversaciones privadas e incluso datos sensibles de menores. El peluche Fisher-Price, diseñado para enviar y recibir mensajes de voz entre padres e hijos, almacenaba toda la comunicación en servidores de la compañía sin una protección adecuada. Ciberatacantes obtuvieron más de dos millones de grabaciones de voz y datos sensibles de los menores registrados.

Saltó la Banca: Este ataque involucró el hackeo de un casino de Las Vegas a través de un termostato de una pecera. La pecera, equipada con sensores para regular temperatura, comida y limpieza, permitió a los atacantes infiltrarse en la red mediante una vulnerabilidad en su termómetro inteligente. Así accedieron a la base de datos del casino, lo cual expuso información sensible, incluidos nombres de grandes apostadores.

Cámara Indiscreta: En diciembre de 2019, las cámaras de seguridad Ring, populares por su facilidad de uso, pusieron en riesgo la privacidad de sus usuarios. Familias sufrieron el hackeo de estos dispositivos, a menudo configurados con contraseñas débiles. Con software especializado, los atacantes procesaron nombres de usuario, direcciones de correo y contraseñas para acceder a las cuentas de las víctimas. Esto permitió a terceros malintencionados tomar control de las cámaras. Un caso destacado es el de una mujer en Texas, contactada por una voz desde su cámara que solicitaba un pago de 50 Bitcoins. La situación escaló a amenazas, lo cual llevó a la víctima a apagar y quitar la batería de su dispositivo.

Un Peligroso Ejército Casero: Mirai fue una botnet descubierta en 2016, famosa por un ataque DDoS masivo. En esa ocasión, el proveedor de servicios del Sistema de Nombres de Dominio Dyn sufrió un ataque DDoS sostenido, con importantes consecuencias como la interrupción de servicios en sitios como Twitter, Airbnb, Reddit, Amazon, SoundCloud, Spotify, Netflix y Paypal. Una botnet, combinación de "robot" y "network", refiere a un grupo de equipos infectados por código malicioso, controlados por un atacante para operar de forma conjunta y distribuida. Lo distintivo de Mirai fue su "ejército" de más de 600,000 dispositivos, el cual incluía routers domésticos, grabadoras de video, cámaras de vigilancia y otros dispositivos inteligentes con protección inadecuada, configuraciones defectuosas o contraseñas débiles.

No Todo Marcha Sobre Ruedas: Si bien en este caso no hubo intenciones maliciosas, dos hackers éticos demostraron cómo una vulnerabilidad podía ser la llave de entrada para tomar el control de un auto de manera remota. En 2015, Charlie Miller y Chris Valasek lograron controlar inalámbricamente un vehículo. Ventilaciones se activaron al máximo, la radio cambió de dial y los limpiaparabrisas se encendieron. Como resultado de esta prueba, la automotriz llamó a revisión a unos 1.4 millones de vehículos vendidos en Estados Unidos.

ESET sugiere mantener los dispositivos actualizados, pues las actualizaciones corrigen la mayoría de las vulnerabilidades. También, recomiendan cambiar las contraseñas de fábrica por unas más robustas, con mayúsculas, números y caracteres especiales, y no reutilizarlas en otras cuentas o dispositivos.

“Además, la configuración correcta y segura de los dispositivos es clave. Esto incluye deshabilitar puertos y servicios no usados, y evitar configuraciones por defecto. Como siempre mencionamos, la habilitación del segundo factor de autenticación en todos los dispositivos posibles es fundamental”, agrega Ramirez Cuenca de ESET Latinoamérica.