Los usuarios de computadoras y, en menor medida, teléfonos móviles «inteligentes» y tabletas tienen conocimiento de la existencia de virus y códigos maliciosos informáticos que afectan la seguridad de esos dispositivos.
Algunos de ellos tienen además conciencia y los protegen con software, cortafuegos, contraseñas robustas y buenas prácticas.
Sin embargo, existen otros equipos en el hogar que se conectan a Internet y que por vulnerabilidades y defectos en su seguridad que vienen de fábrica abren puertas para que ciberdelincuentes realicen «entraderas» en las casas de los usuarios.
Un ejemplo reciente de ello es una cámara web, paradójicamente una herramienta de seguridad para hogares y oficinas, pero que sufre múltiples vulnerabilidades de… seguridad.
Eset, una compañía especializada en detección proactiva de amenazas, presentó una investigación, a la que accedió iProfesional, donde revela que la cámara en la nube D-Link DCS-2132L tiene estos problemas.
Estas fallas permiten a un atacante interceptar y ver los registros de video, sino también manipular el sistema que se desarrolla para establecer un lazo entre el hardware y el software («firmware», en inglés) de los dispositivos. Sobre la base de la información divulgada, el fabricante mitigó algunas de las vulnerabilidades informadas, pero otras aún no están resueltas, advirtió Eset.
«El problema más grave con la cámara inteligente D-Link DCS-2132L es la transmisión sin cifrar de video. En ambas conexiones, entre la cámara y la nube, y entre la nube y la aplicación de visualización del lado del cliente, la transmisión se ejecuta sin cifrar, proporcionando un terreno fértil para los ataques de hombre en el medio (MitM, sigla en inglés) y permitiendo a los intrusos espiar las secuencias de video de las víctimas.», explicó Milan Fránik, investigador con sede en el laboratorio de Eset en la ciudad eslovaca de Bratislava.
Otro problema que se encontró en la cámara estaba oculto en el complemento del navegador web «servicios myDlink». Esta es una de las formas de la aplicación de visor disponible para el usuario, otros incluyen aplicaciones móviles, que no formaron parte de la investigación de Eset.
El complemento del navegador web administra la creación del túnel TCP y la reproducción de video en vivo en el navegador del cliente, pero también es responsable de reenviar las solicitudes de los flujos de datos de audio y video a través de un túnel, que escucha en un puerto generadodinámicamente en el host local.
«La vulnerabilidad de los complementos podría haber tenido graves consecuencias para la seguridad de la cámara, ya que hizo posible que los atacantes reemplazaran el firmware legítimo con su propia versión falsificada», mencionó Fránik.
La empresa reportó todas las vulnerabilidades encontradas al fabricante. Algunas de las fallas, principalmente en el complemento myDlink, fueron mitigadas y parcheadas a través de la actualización, pero persisten los problemas con la transmisión sin cifrar.
Televisores inteligentes pero inseguros
Otra puerta de entrada son los televisores «inteligentes» o Smart TV, que adquieren mayores funcionalidades, y por lo tanto la cantidad y la sensibilidad de los datos que manejan es cada vez más relevante para el mundo del cibercriminal.
Cuantos más usuarios adquieren esta tecnología, los atacantes encuentran más incentivo para diseñar nuevas formas de sacar provecho de la Internet de las cosas. Según la consultora Statista, en 2018 se vendieron más de 114 millones de televisores inteligentes alrededor del mundo. De acuerdo a otra consultora, IHS Markit, este volumen representaría el 70% de todos los televisores vendidos durante ese año.
«El hecho de que la mayoría de los televisores inteligentes corran hoy alguna distribución basada en Android implica la conformación de un ambiente donde es más sencillo para los atacantes generar códigos maliciosos capaces de afectar equipos de un diverso abanico de fabricantes, facilitando la transición del malware que actualmente existe para plataformas móviles a sistemas operativos para televisores», explicó Denise Giusto Bilic, especialista en seguridad informática de Eset Latinoamérica y autora del informe «Smart TV: ¿una puerta trasera en nuestro hogar?», cuyo resumen la empresa compartió con iProfesional.