Cuando se habla de filtraciones de datos personales, robo de información de cuentas bancarias, ataques de denegación de servicios o ciberataques en general, siempre existe la idea de que tales hechos ocurren lejos de uno, en otras esferas, quizás en ámbitos corporativos o comerciales y que es poco probable que uno se vea afectado en espacios tan íntimos como el hogar.
Sin embargo, las brechas de seguridad, y por tanto, vulnerabilidades que pueden ser explotadas en perjuicio directo de cada uno, están más cerca de lo que uno cree. Y este fenómeno ocurre justamente porque cada vez más dispositivos que comúnmente utilizamos, como router que nos otorgan acceso a internet, televisores, impresoras, consolas de juegos, refrigeradores, relojes inteligentes, lámparas, vehículos y más, se están fabricando y diseñando para interconectarse entre ellas y conectadas a internet, convirtiéndolas en lo que se denomina IOT o comúnmente “llamadas internet de las cosas”.
Un claro ejemplo de estas vulnerabilidades fue la reciente publicación de una investigación que desarrollamos en Nivel4, en la cual informamos sobre vulnerabilidades en algunos modelos de router D-Link, las cuales al ser explotadas permiten tomar control remoto del dispositivo. Además de esta capacidad, la vulnerabilidad permite conocer las distintas contraseñas configuradas en el dispositivo. Así, se detectaron más de siete mil de estos aparatos conectados a internet, los cuales son vulnerables y pueden ser controlados de forma remota por un atacante. Si bien existen dispositivos a nivel mundial, su principal uso es en Latinoamérica, incluyendo a usuarios chilenos.
Coincidentemente con esta investigación, se ha informado de la existencia de un malware denominado GhostDNS, que busca principalmente aprovechar una vulnerabilidad en routers hogareños interceptando el tráfico de los usuarios y así redirigirlos a sitios falsos que suplantan la identidad de varios bancos con el objetivo de robar sus datos. Brasil, Bolivia y Argentina están en el top tres de países más afectados por esta campaña. Según se informó, la cantidad de modelos de routers/firmware atacados superan los 70 y son más de 100.000 los routers domésticos que fueron intervenidos por los atacantes para redirigir el tráfico. Entre ellos, hay algunos modelos de marcas como D-Link, TP-Link, Kaiomy, Huawei, Tenda, Ralink y MikroTik.
Pero no tan sólo estos sistemas están siendo objeto de ataques de seguridad. Recientemente se informó que investigadores descubrieron múltiples vulnerabilidades críticas en televisores inteligente Sony Bravia que permiten también a un atacante controlar de forma remota quiénes están conectados dentro de la red local, logrando de esta forma acceder a información contenida de otros dispositivos, que están conectados a la televisión.
Se considera en general que los televisores inteligentes son actualmente los electrodomésticos más esenciales y se estima que casi 760 millones de ellos están conectados a nivel mundial, he ahí la importancia también de estar atentos a vulnerabilidades.
Respecto a la legislación, es sabido que los avances tecnológicos y posibles delitos, fraudes y uso de vulnerabilidades avanza más rápido que las leyes, que muchas se vuelven anacrónicas si no tienen la flexibilidad necesaria para considerar diversos escenarios. En Chile, aún se aplica normativa penal general y no específica para este tipo de acciones.
Sin embargo ya han comenzado a nivel comparado a aprobarse leyes que podrían establecer obligaciones a los fabricantes de dispositivos OIT.
En EEUU, en un intento por hacer más difícil que los bots se apoderen de la gran cantidad de dispositivos conectados que se venden específicamente en California, los legisladores estatales aprobaron la ley SB-327.
El proyecto de ley se promulgará el 1 de enero de 2020 y se aplica a los fabricantes de dispositivos, ya sea que lo hagan ellos mismos o contraten a otra persona para que fabrique el dispositivo en su nombre.
Requiere que los fabricantes de dispositivos conectados a internet vendidos en California “equipen el dispositivo con características de seguridad razonables”…
- Apropiado a su naturaleza y función;
- Adecuado a la información que puede recopilar, contener o transmitir;
- Diseñado para proteger el dispositivo y cualquier información que contenga del acceso, la destrucción, el uso, la modificación o la divulgación no autorizados.
El proyecto establece que “Si un dispositivo conectado está equipado con un medio de autenticación fuera de una red de área local, se considerará una característica de seguridad razonable (…) si se cumple alguno de los siguientes requisitos: la contraseña preprogramada debe ser única para cada dispositivo fabricado, o el dispositivo debe contener una función de seguridad que requiera que un usuario genere un nuevo medio de autenticación antes de que se otorgue el acceso al dispositivo por primera vez”
También dice que “las personas privadas no pueden iniciar una demanda civil si un fabricante no cumple con la ley. El Fiscal General, un abogado de la ciudad, un abogado del condado o un fiscal de distrito tendrán la autoridad exclusiva para hacer cumplir este título”.
Es un avance en regulación. Lo más seguro es que por motivos de seguridad saldrá una nueva normativa a nivel mundial y local, sin embargo la protección y seguridad parte en casa. Lo mejor es informarse y cuidar la protección de información personal.
Artículo publicado originalmente en sitio web de Nivel4
