Consejos para comprar inteligentemente cosas inteligentes
21/12/2015Publicat a: El Confidencial
"¡Ahora, puedes charlar con Barbie! Con la tecnología de reconocimiento de voz y conexión WiFi, tu muñeca "Hello Barbie TM" (http://origin.barbie.com/en-us/shop/productdetail?id=10005223) puede interactuar de forma única con cada niño y mantener conversaciones, jugar, compartir historias e incluso explicar chistes". Así se presenta Hello Barbie, la muñeca de la discordia que ha puesto en alerta a las organizaciones de padres y defensores de la privacidad de Estados Unidos.
Hello Barbie es la avanzadilla de miles de dispositivos "inteligentes" conectados a Internet que prometen mejorar nuestras vidas: la llamada Internet de las Cosas. Presentada como la primera muñeca interactiva de la historia, Hello Barbie cuesta 80 dólares en Estados Unidos. No se vende aún en las jugueterías españolas pero puede encontrarse a través de importadores en tiendas como Amazon, al exagerado precio de 260 euros (http://www.amazon.es/gp/offer-listing/B012BIBAA2/ref=dp_olp_0?ie=UTF8&condition=all&qid=1450696381&sr=8-1).
Esta Barbie contiene un pequeño ordenador que se conecta a la red WiFi de nuestra casa y, básicamente, "escucha" lo que le dice el niño o la niña y manda por Internet las palabras "escuchadas". Pero no las manda al fabricante sinó a un tercero, ToyTalk, que analiza lo que ha dicho el menor para fabricar y devolver una respuesta acorde. Asociaciones de padres y defensores de la privacidad no están nada de acuerdo en que una startup de San Francisco pueda saber qué está diciendo un niño en su sala de juegos. Y los recientes análisis independientes realizados a la muñeca lo han complicado aún más.
Según desvelaba la semana pasada el investigador Matt Jakubowski, es posible descubrir el identificador con el que la Hello Barbie se conecta a la red WiFi doméstica, así como su cuenta de usuario, el micrófono que usa la muñeca y los ficheros de audio donde se guardan las conversaciones que tiene con los niños. Con estos datos, una persona malintencionada podría acceder a la red WiFi y "hacer decir" a la muñeca lo que quisiera (http://www.theguardian.com/technology/2015/nov/26/hackers-can-hijack-wi-fi-hello-barbie-to-spy-on-your-children).
Pocos días antes de presentarse esta investigación, otro incidente hizo sonar las alarmas respecto a qué juguetes estamos poniendo en manos de nuestros hijos: al famoso fabricante de juguetes electrónicos VTech le robaron datos de más de 6 millones de niños, de los cuales 140.000 serían españoles (http://motherboard.vice.com/read/hacked-toymaker-vtech-admits-breach-actually-hit-63-million-children). Nombres, fechas de cumpleaños, lugar de residencia, nombres de los padres e incluso fotos y grabaciones de los menores, realizadas con los juguetes y guardadas sin protección en los servidores de la compañía (http://motherboard.vice.com/read/how-vtechs-app-failed-miserably-to-protect-the-data-of-kids-and-parents) fueron desvelados.
Con esta información, un pederasta tendrían un buen punto de partida para iniciar una campaña de acoso. Un caso parecido al de Vtech sucedía el pasado lunes, cuando SanrioTown.com, la comunidad online de fans de Hello Kitty, admitía que le habían robado información de más de 3 millones de sus usuarios, la mayoría adolescentes y niños (http://www.theguardian.com/technology/2015/dec/21/hello-kitty-data-breach-leaks-details-3-3million-user-accounts). Los datos robados serían el nombre completo, fecha de cumpleaños, país de origen, dirección de correo electrónico y preguntas y respuestas para recuperar contraseñas olvidadas.
¿Pero cómo estas empresas permiten que información tan delicada acabe en manos de delincuentes? La realidad es más profunda que la pregunta: está pasando lo mismo casi diariamente en empresas de todo tipo, que no protegen correctamente sus bases de datos. El gran problema es que algunas empiezan además a fabricar cosas "inteligentes", sin cambiar esta mentalidad que no da importancia a la seguridad ni la privacidad de sus clientes. Dispositivos que, como la Hello Barbie, están pensados sólo para ganar dinero.
Y este es el drama de la Internet de las Cosas: cada vez más aparatos conectados a Internet sin cumplir las mínimas normas de seguridad, lo que provoca que el dispositivo pueda ser asaltado desde Internet y manipulado para robar datos o para que haga lo que quiera el atacante. Es el drama de las famosas neveras conectadas a Internet (https://www.exploitee.rs/index.php/LG_Smart_Refrigerator_%28LFX31995ST%29%E2%80%8B), que aún nos son lejanas, pero mucho menos los smartwatches (http://securityaffairs.co/wordpress/40105/hacking/smartwatch-hacking.html), televisores inteligentes (http://arstechnica.com/security/2015/11/man-in-the-middle-attack-on-vizio-tvs-coughs-up-owners-viewing-habits), automóviles (http://www.welivesecurity.com/la-es/2015/10/23/hackeando-autos-en-latinoamerica), cafeteras (http://blogs.protegerse.com/laboratorio/2015/10/26/usando-una-cafetera-conectada-para-robar-las-contrasenas-de-tu-wi-fi), pulseras deportivas (http://securityaffairs.co/wordpress/41313/hacking/fitbit-trackers-hacking.html), dispositivos clínicos (http://www.securityartwork.es/2015/09/11/dispositivos-clinicos-conectados), contadores de la luz inteligentes (http://www.bbc.com/news/technology-29643276)...
La noche del 7 de septiembre, la ansiedad se adueñó de miles de padres en Estados Unidos, usuarios del "baby monitor" marca Nest Camp (http://motherboard.vice.com/read/the-internet-of-things-isnt-ready-for-babies). La empresa Nest, propiedad de Google, fabrica dispositivos "inteligentes" como detectores de humo, termostatos y cámaras de seguridad caseras, además de los monitores para niños. Aquella noche, los monitores dejaron de funcionar justo a las 9, cuando los bebés están durmiendo, porque cayó la "nube" de la empresa por circunstancia desconocidas. Y así estuvieron, a oscuras, durante casi una angustiante hora.
"La tendencia es que el número de dispositivos del Internet de las Cosas se amplíe en un futuro cercano. Algunos estudios (http://www.gartner.com/newsroom/id/2839717) ya hablan de que en 2022 una familia típica tendrá alrededor de 500 dispositivos conectados a Internet en su casa", explica Josep Albors, director del Laboratorio de Investigación de ESET España. Ahora mismo tenemos ya bastantes en el mercado, asegura Albors, "desde dispositivos tecnológicos como alarmas, videoconsolas o reproductores de Blu-ray/DVD, pasando por electrodomésticos como aspiradoras o bombillas y terminando incluso con drones y rifles de precisión".
Quien quiera hacer o recibir este tipo de regalos deberá tener en cuenta los riesgos que conllevan y que mayoritariamente son, según Albors, "accesos no autorizados (remotos o no) que podrían alterar su funcionamiento, permitir el robo de la información personal del usuario o incluso acceder a nuestra red doméstica". Un estudio de Symantec (http://securityaffairs.co/wordpress/34974/cyber-crime/iot-security-symantec.html) ha desvelado también esta inseguridad galopante: ningún dispositivo analizado autenticaba sus comunicaciones con el servidor central, no había actualizaciones de seguridad, muchos aparatos ni siquiera permitían que su dueño les cambiase la contraseña que traían de fábrica y la mayoría tenían graves fallos en sus interfaces web (http://www.securityweek.com/vulnerable-embedded-web-interfaces-plague-iot-devices-study).
"El problema viene cuando los fabricantes no aplican medidas básicas de seguridad a sus dispositivos para impedir estos accesos no autorizados e incluso no permiten que los usuarios los actualicen, bien porque no sacan parches de seguridad o bien porque los consideran dispositivos obsoletos, aunque apenas tengan unos meses desde su salida a la venta", asegura Albors. Esto, unido a "la despreocupación de muchos usuarios que tan solo quieren que el dispositivo funcione sin preocuparse si es seguro o no", afirma el investigador, pone el camino muy fácil a los delincuentes.
¿Qué ataques podríamos sufrir? Albors enumera: "Espiarnos a través de las webcams que muchos dispositivos incorporan, robarnos información privada almacenada en los mismos, o incluso hacer que no funcionen adecuadamente, llegando en casos extremos a poner en riesgo nuestras vidas". Un terreno altamente preocupante son los juguetes: "La tendencia es a seguir conectándolos a la red y Hello Barbie ha sido solo el punto de partida. Esperemos que los problemas detectados en esa muñeca sirvan para que los fabricantes pongan más esmero", explica el valenciano.
Albors nos da algunos consejos para nuestros regalos inteligentes de 2015, así como para las compras futuras en el boyante mercado de la Internet de las Cosas: "De la misma forma que nos fijamos en las características, precio y si es adecuado para ciertas edades, deberíamos revisar si las opciones que incluye cierto dispositivo pueden poner en peligro nuestra privacidad. A día de hoy existen multitud de investigadores y periodistas que analizan y prueban estos dispositivos para que no nos llevemos sorpresas".
Por tanto, dice el investigador, "de la misma forma que dedicamos tiempo a buscar dónde está más barato tal o cual dispositivo, dediquemos un poco de tiempo a buscar noticias que hablen de posibles fallos en el mismo. Eso y algo tan básico como leernos el manual de instrucciones para cambiar la configuración que viene de serie si nos parece poco segura puede, junto con las actualizaciones en caso de haberlas, ayudarnos a mejorar la seguridad de estos dispositivos". No es un esfuerzo baladí: recientemente el Departamento de Interior del gobierno de Estados Unidos pedía reuniones al más alto nivel con fabricantes de la Internet de las Cosas para pactar urgentemente estándares de seguridad (http://arstechnica.com/information-technology/2015/12/dhs-to-silicon-valley-tell-us-how-to-secure-this-internet-of-things/)... de una seguridad que ahora mismo brilla por su ausencia.
CONSEJOS PARA COMPRAR DISPOSITIVOS INTELIGENTES
- Verificar si necesitamos realmente las características "inteligentes" y correr los posibles riesgos, o si con un aparato normal tendríamos suficiente.
- Antes de comprar, buscar en Internet información sobre la seguridad del dispositivo.
- No es buena idea comprar los productos más nuevos porque pueden tener fallos no conocidos. Es mejor comprar aparatos que hayan podido actualizar su seguridad más de una vez. Tampoco comprar aparatos de segunda mano que podrían estar manipulados.
- Interesarse por las medidas de seguridad recomendadas por el fabricante.
- Si el aparato va con batería, preferir los que permitan también un tipo de carga alternativa o de emergencia.
- ¿El aparato usa cifrado en sus comunicaciones con Internet? Es preferible que así sea.
- Preferir los aparatos que lleven contraseña para acceder al propio dispositivo y a Internet y asegurarse de que puede cambiarse la que viene de serie: hacerlo nada más que entre el dispositivo en nuestra casa y usar una contraseña robusta.
- Asegurarse de que es posible desactivar el acceso a Internet del dispositivo cuando no sea necesario.
- Es mejor que la conexión a Internet sea por cable que por Wifi. Si puede ser de ambas formas, priorizar siempre la primera.
- El aparato puede tener muchas características pero las que no se usen es mejor desactivarlas.
- Asegurarse de que es posible modificar las configuraciones de seguridad y privacidad del aparato y hacerlo cuando tengamos el aparato en casa, prestando mucho atención a las características de control del intercambio de datos entre nuestro dispositivo y el fabricante o terceros.
- Asegurarse de que el fabricante provee actualizaciones de seguridad para el dispositivo.
- Siempre que sea posible, usar los aparatos inteligentes en una red local propia.
- Asegurarse de que si se va la luz o se va Internet no se borrará la configuración segura o desaparecerán las medidas de seguridad del dispositivo.
- Usar una contraseña diferente para cada dispositivo.
Consejos de la Agencia de Seguridad de la Información y Redes de la Unión Europea (ENISA) https://www.enisa.europa.eu/media/press-releases/homing-on-smart-home-security-smart
Mercè Molist