El Internet de las Cosas ha conquistado nuestros hogares, y es fácil olvidar el gran peligro que pueden suponer si no se configuran y mantienen correctamente. Incluso si cuando la compraste era segura, es muy posible que con el tiempo se hayan descubierto vulnerabilidades en la cámara de hogar que usas, por ejemplo.

Ahora, el investigador de seguridad Paul Marrapese afirma a KrebsOnSecurity que nuestros peores miedos se han confirmado: ahora mismo hay más de dos millones de dispositivos del Internet de las Cosas con la “puerta abierta”. El 19% de los dispositivos vulnerables vendidos se encuentran en Europa; mientras que el 39 % se vendieron en China. En España estos dispositivos tienen mucho éxito gracias a su bajo precio.

Dispositivos del Internet de las cosas permiten que cualquiera se conecte

Estos dispositivos son de una variedad de fabricantes y marcas; algunas de las afectadas son HiChip, VStarcam o Eye Sight. Son marcas que reconocerás si sueles comprar en tiendas online chinas; se caracterizan por unos bajos precios, gracias a que comparten la mayor parte de los componentes o provienen de los mismos fabricantes. Pero en este caso, eso ha sido la perdición de sus usuarios.

Entre los dispositivos afectados se encuentran cámaras de seguridad, cámaras para el hogar, monitores de bebé, cerraduras inteligentes, dispositivos para el televisor, y muchos más. Con la vulnerabilidad descubierta, un atacante podría entrar en esos dispositivos sin esfuerzo y acceder a los mismos datos que sus propietarios. Por lo tanto, podrían ver grabaciones de las cámaras, datos de los bebés, o controlar los dispositivos a distancia, por ejemplo, con cerraduras inteligentes.

El problema se encuentra en iLnkP2P, un componente del firmware (el software que hace de puente entre el hardware y el software); está instalado en todos estos dispositivos para controlar las comunicaciones P2P (peer-to-peer) a través de Internet. Se usa para que el usuario pueda controlar el dispositivo a distancia, sólo con escanear un código QR o introducir una contraseña en una app móvil.

Hackear una cámara china es bastante fácil

El problema es que eso es lo único que piden los dispositivos para entrar, un simple código. No tienen autenticación ni cifrado, por lo que un atacante que haya podido escanear el código a distancia, por ejemplo, podría entrar en la red sin problemas. Pero ni siquiera necesita hacer eso: es posible simplemente enumerar todos los códigos uno por uno, probándolos todos hasta que se de con el correcto. Cada fabricante asocia prefijos que identifican a sus dispositivos respecto al resto, como “FFFF”, o “HHHH”.

Una vez establecida la conexión, un atacante puede tomar control del dispositivo fácilmente. La mayoría de estos aparatos tienen contraseñas establecidas por defecto; y se sabe que la mayoría de los usuarios no las cambian. No solo eso, sino que el atacante también puede aprovecharse de otras vulnerabilidades conocidas, ahora que tiene conexión directa.

Los fabricantes chinos han sido notificados en varias ocasiones de estos problemas; pero a estas alturas, parece claro que no van a hacer nada al respecto. Uno de los motivos por los que estos dispositivos son tan baratos es que el soporte y las actualizaciones de seguridad son casi inexistentes. Pero incluso si quisieran arreglarlo, lo tendrían difícil para tapar semejante “agujero”.