El internet de las cosas o IoT por sus siglas en inglés cada vez gana más terreno y muchas compañías están comenzando a generar un valor agregado en sus productos al incorporarles una conexión a la red.
Esto es algo genial, pero en muchos casos la seguridad viene quedando en un segundo plano y cada vez son más frecuentes los incidentes relacionados con los dispositivos conectados, desde Cámaras IP hasta juguetes.
Días atrás se dio a conocer una filtración de 821 mil usuarios y passwords que eran utilizados para controlar unos peluches conectados a internet, son los de la imagen superior y permiten que los padres intercambien mensajes con sus hijos pequeños.
La base de datos fue encontrada en la red sin protección y también se encontraron más de 2 millones de grabaciones de voz realizadas por los padres y los niños. El investigador de seguridad Troy Hunt ha publicado en su blog todos los detalles.
Además de estas filtraciones, también se descubrió que los peluches utilizan una conexión bluetooth insegura y por el simple hecho de estar en el rango de alcance (lo cual pueden ser cientos de metros con antenas especiales) es posible conectarse con el juguete, cargar mensajes de audio y activar las funciones de grabación. El firmware también se puede modificar remotamente por lo cual los juguetes podrían convertirse en verdaderas armas de espionaje.
Estos problemas de seguridad en los dispositivos conectados a internet no sólo se dan en compañías pequeñas, las grandes también han tenido sus incidentes e incluso a nivel industrial el nivel de seguridad deja mucho que desear en algunos casos.
Hay un par de conferencias que les recomiendo ver de la ekoparty donde se tocan estos temas, Hackeando Carros en Latinoamerica fue dada por @dragonjar en 2015 y muestra como era posible hackear un automóvil remotamente. Y Multiples Vulnerabilidades en SE PLC es del 2016 y se muestran los fallos que tienen diversos dispositivos PLC que son utilizados actualmente en fabricas y la industria en general.
Hay muchas más conferencias sobre seguridad en IoT que se han dado en los últimos tiempos en distintos eventos, si les interesa les puedo dejar una lista de algunas otras que me han parecido interesantes.
Gracias!
Pensé que nadie iba a leer esa parte del post :)
La verdad no tengo una lista, son más bien videos que he mirado con los últimos tiempos y me han parecido interesantes. No los tengo guardados, pero estos son algunos de los que recuerdo:
– La cena de los idIoTas [RootedCON 2016 – ESP]
– Estupidez de las amenazas en la época del “Threat Intelligence” [RootedCON 2016
– Fuck the all things (DragonJAR Security Conference 2016)
– Explotando y atacando redes sismológicas remotamente (DragonJAR Security Conference 2016)
– Latch en IoT de ElevenPaths
– Seguridad en redes industriales de ElevenPaths (en el canal de ElevenPaths hay más sobre el tema)
– Vulnerabilidades en cámaras IP (ekoparty 2013)
Después hay algunas realizadas en diferentes Campus Partys, pero no recuerdo exactamente cuales fueron, si doy con ellas las comento aquí.
Me interesa esa lista. Publicada please.