Fotomontaje de Amazon Echo sobre espionaje.

Fotomontaje de Amazon Echo sobre espionaje.

Empresas OBSERVATORIO DIGITAL

Amazon y Apple, en el punto de mira del CNI: sus asistentes de voz pueden amenazar tu seguridad

OBSERVATORIO DIGITAL. Alerta sobre los escenarios de amenaza que suponen los dispositivos IoT.

Miguel Elizondo Gonzalo Araluce

Noticias relacionadas

El sueño de que todos nuestros electrodomésticos sean inteligentes y respondan a nuestras peticiones formuladas exclusivamente por voz, puede convertirse en una auténtica pesadilla. Los ciberdelincuentes pueden aprovecharse de ellos para espiarnos y robar nuestros datos o, lo que es peor, utilizarlos sin que sepamos nada para cometer delitos o atacar a otros dispositivos. 

Así lo dice un informe del Centro Criptológico Nacional (CCN-CERT), que forma parte del Centro Nacional de Inteligencia (CNI), en el que se alerta de los potenciales escenarios de amenaza que los dispositivos conectados (IoT) pueden suponer para la seguridad de los hogares o las empresas.

Estamos hablando, por ejemplo, de los famosos asistentes virtuales que empresas como Amazon, Google o Apple están popularizando en los últimos meses y que, según la investigación del CNI, pueden ser una puerta de entrada para distintos tipos de ciberataques o fugas de datos.

Según el informe del CNI caben dos escenarios de amenaza. En un primer escenario, los ciberdelincuentes atacarían estos dispositivos para causar daños directos o indirectos al usuario.

En esta categoría entrarían potenciales manipulaciones de datos. Por ejemplo, el atacante podría modificar el control de accesos o contraseñas para controlar de forma no autorizada los dispositivos y tener así acceso total a su información.

Aparatos como Amazon EchoGoogle Home o Home Pod (Apple) pueden tener también vulnerabilidades que permitirían el espionaje de datos. ¿Cómo? Haciendo que un dispositivo atacado envíe datos al delincuente, proporcionando acceso a información confidencial.

Del mismo modo, podrían darse sabotajes de dispositivos. El atacante tendría capacidad para dejar el dispositivo fuera de servicio o limitar sus funcionalidades temporal o permanentemente.

Por último, en esta categoría el CNI alerta de la posibilidad de usar estos dispositivos como puerta trasera. Es decir, aprovecharse de la falta de medidas de seguridad (o de su insuficiencia) de estos aparatos para 'colarse' a una red doméstica o de empresa y, a partir de ahí, comenzar a usurpar toda aquella información que pudiera resultar de utilidad para el delincuente. 

Atacar a otros objetos

En un segundo escenario de amenazas, el informe señala que los denominados dispositivos IoT pueden ser utilizados como medio para atacar otros objetivos. En estos casos, el estudio indica que el equipo no ve alterada su funcionalidad. El ataque suele pasar desapercibido para el usuario mientras realiza sus funciones normales.

En esta categoría, el CNI destaca entre las amenazas la construcción de botnets. Esta técnica realiza un secuestro masivo de dispositivos de este tipo que tengan deficiencias de seguridad. Con ellos, los atacantes crearían grandes redes de bots que pueden propiciar los denominados como ataques de denegación de servicio distribuido (ataques DDoS por sus siglas en inglés).

Este tipo de ataque se lleva a cabo generando un gran flujo de información desde varios puntos de conexión hacia un mismo punto de destino. Esto provoca que ese servicio o recurso sea inaccesible. Por ejemplo, se puede hacer que varios altavoces inteligentes intenten lanzar peticiones para abrir la misma aplicación al mismo tiempo, provocando que se 'caiga'. 

El informe del CNI también señala como potencial riesgo el ocultamiento de la identidad de los dispositivos comprometidos. Una técnica que permite que se usen como servidores proxy para ocultar nuevos ataques.

Otra de las amenazas destacadas sería el uso de estos aparatos para realizar minería de criptomonedas encubierta. La potencia de cómputo colectivo de los dispositivos IoT comprometidos puede utilizarse para realizar minería de criptomonedas de la que un tercero se enriqueciera. Un peligro más fácilmente detectable que el resto ya que puede ralentizar el normal funcionamiento del equipo.

Por último, el informe señala la utilización para realizar clics fraudulentos en banners publicitarios. En este caso, el atacante puede usar muchas direcciones IP de diferentes dispositivos IoT secuestrados para generar clics en banners publicitarios, vídeos o contenidos de redes sociales. Una forma irregular para obtener un beneficio económico con la facturación basada en clics

En este contexto, la popularización de este tipo de dispositivos, además de traer grandes beneficios para los usuarios, conlleva una serie de riesgos de los que la ciudadanía debe de ser prevenida. Desde el sector de la ciberseguridad señalan que, siendo reales estos riesgos, los usuarios tienen en su mano la posibilidad de reducirlos.

Algo para lo que, según señalan estas fuentes, será clave la reducción de la brecha de conocimientos digitales. Una información y formación básica que, desde el sector indican, que todos los usuarios tendrán que tener acceso, por lo menos, al mismo ritmo en que evolucione la tecnología.

De lo contrario, estas mismas fuentes indican, que se les pondrá muy fácil a los potenciales atacantes las posibilidades para sacar provecho de estos dispositivos que, cada vez más, van a formar parte de nuestro día a día.