El Internet de las Cosas tiene un gran potencial para mejorar nuestras vidas, pero no es menos cierto que también puede suponer un peligro para nuestra privacidad y nuestra seguridad.

El gran problema de estos dispositivos inteligentes no es tanto que puedan tener vulnerabilidades, sino que estas no sean solucionadas, o al menos, no del todo. Muchos fabricantes no ofrecen actualizaciones para sus productos, y los propios usuarios pueden no saber que pueden instalarlas.

Eso ha quedado en evidencia con el último informe de la firma de seguridad Check Point, que de hecho, se trata de la continuación de una investigación que publicaron hace cuatro años. Por aquel entonces, descubrieron que las bombillas inteligentes de Philips Hue eran vulnerables a ataques desde el exterior de la casa.

Vulnerabilidad en Philips Hue

Aunque Philips lanzó una actualización en su día, ahora Check Point ha descubierto que en realidad, el fallo no llegó a ser arreglado del todo; y que desde entonces, las bombillas seguían siendo vulnerables a ataques de hackers.

El consuelo es que el proceso de hackear las bombillas no es nada sencillo, e implica conocer el bug original, que se basa en el protocolo inalámbrico Zigbee, que usan este tipo de dispositivos inteligentes para comunicarse entre sí. Por ejemplo, las bombillas Hue lo usan para conectarse con el Hue Hub, el centro de control de la plataforma de Philips.

El ataque consiste en usar un ordenador portátil con una antena compatible en una posición cercana a nuestra casa (hasta 100 metros); lanzando solicitudes continuamente, es posible engañar al sistema para que expulse a una de las bombillas de la red, implantando código de paso.

El atacante en ese momento sólo tiene control sobre la bombilla en cuestión, y por lo tanto no puede hacer mucho. El truco está en llamar la atención del usuario, cambiando los colores y el brillo de manera aleatoria para que parezca que la bombilla tiene un problema; al comprobar el estado de la bombilla en la app, verá que ya no puede controlarla, así que lo más probable es que la elimine de la red e intente añadirla de nuevo.

Al hacer eso, en realidad el usuario está instalando la bombilla infectada con código malicioso en su red. Eso es todo lo que el atacante necesitaba, ya que así tiene permiso para atacar el resto de la red, incluyendo los ordenadores conectados.

Actualiza ya tu bombilla

Es un proceso complicado, pero que no debería despertar las sospechas del usuario. La buena noticia es que los investigadores volvieron a avisar a Philips, y la compañía ya ha publicado una nueva actualización.

Por lo tanto, lo único que tienes que hacer para tapar este agujero de seguridad es buscar actualizaciones usando la app oficial; aunque si tu Hue Hub está conectado a Internet, lo más probable es que ya se haya actualizado por si solo.