‘Hackeando’ el internet de las cosas

Posted on 12 de agosto de 2014

0


‘Hackeando’ el internet de las cosas

Con información de El Confidencial

'Hackeando' el internet de las cosas

‘Hackeando’ el internet de las cosas

Poder conectar su teléfono móvil con la cerradura de su casa o la habitación del hotel y abrirla o cerrarla a distancia. Encender de la misma forma la luz, subir las persianas o bajar la temperatura en pleno mes de agosto al mismo tiempo que va de camino a casa tras una dura jornada de trabajo. Conectar la radio con la televisión y esta con la cafetera, o leer los emails en una nevera que es capaz de indicarte la dieta que te toca dependiendo de tu actividad física o alimentos que están a punto de caducar en sus respectivas bandejas. El concepto de internet de las cosas fue propuesto por Kevin Ashton allá por 1999. Hoy en día no solo es ya una realidad sino que cada vez más lo podemos ver implantado en casas, coches u hoteles inteligentes.

'Hackeando' el internet de las cosas

‘Hackeando’ el internet de las cosas

Conscientes del fuerte crecimiento del uso de los dispositivos móviles y su potencial, un número cada vez mayor de compañías está invirtiendo en innovaciones tecnológicas aplicadas a distintos servicios o productos. Como apuntamos, el mundo de los vehículos o el del turismo son un claro ejemplo de esto. Marcas como Audi, Volvo, Ford o Tesla ya libran de forma callada una guerra por ofrecer los coches inteligentes más competitivos. Precisamente, los expertos señalan que es una de las tendencias tecnológicas del año: la antesala del coche autónomo.

Por su parte, algunos hoteles ya cuentan con su propia aplicación en App Store y Google Play para acelerar lo que vienen siendo las vicisitudes más habituales del día a día. A través de ellas sus clientes pueden hacer cosas tales como el check in a cualquier hora del día, programar una hora para la limpieza, vincular un número de cuenta o saber cuándo estará lista su habitación, entre otras muchas cosas.

'Hackeando' el internet de las cosas

‘Hackeando’ el internet de las cosas

Para la industria hotelera automatizar el registro y la estancia del cliente es una estrategia perfecta para mejorar su experiencia: sin colas y con todo el proceso canalizado en su propio dispositivo, lo que permite ahorro de tiempo y costes. En esto una de las empresas de referencia en España es Lextrend, compañía especializada en soluciones de movilidad que está trabajando en apps enfocadas a la experiencia de cliente en su paso por los hoteles.

Según Manuel Casuso, CEO de la compañía, “la tecnología móvil será un factor de diferenciación en los próximos años. Quedarse atrás afectará seriamente las cifras de negocio. En un futuro, cada vez más clientes visitarán las tiendas online para descargarse la app de un hotel y desde allí gestionar aspectos tales como el pago de la habitación, a qué hora la limpiarán o anotar un listado de cargos. También podrán hacer check in con antelación desde el móvil si no quieren hacerlo en la propia recepción”.

Sin embargo, todos estos avances tienen sus vulnerabilidades.

Tesla y St. Regis de Shénzhen, las primeras víctimas

El pasado mes de abril la firma de seguridad Qihoo 360 confirmó el primer hackeo documentado del Tesla Model S. El logro se produjo en el marco de la conferencia SyScan +360 donde un grupo de hackers chinos reclamaron un premio de 10.000 dólares al acceder a los sistemas del automóvil.

Los asaltantes informáticos consiguieron controlar de forma remota los cierres de las puertas, luces, bocina y techo solar del coche. Aunque la firma de seguridad no publicó los detalles sobre el método de intrusión para evitar posibles hackeos antes de que el fabricante de coches pusiese fin a la vulnerabilidad, se sabe que el método de entrada se basó en romper el código de seis dígitos de la aplicación móvil del Model S.

Esta aplicación disponible para Android e iOS ofrece a los usuarios del automóvil varias funciones remotas entre las que se encuentran conocer la carga de la batería, activar la calefacción e incluso localizar el vehículo en el mapa. Pero como muchas otras apps ha demostrado no ser del todo fiable.

En la última Black Hat celebrada la semana pasada en Las Vegas, Charlie Miller y Chris Valasek identificaron los modelos de coches susceptibles de sufrir un ataque remoto entre los que se encontraban el ¡Error! Referencia de hipervínculo no válida. y el Jeep Cherokee. Según ha explicado a Teknautas Josep Albors, director de Comunicación y Laboratorio de Eset que estuvo presente en la conferencia, “cada modelo de coche es un mundo diferente e incluso un mismo fabricante puede utilizar sistemas de control completamente distintos para cada uno de sus modelos. Esto hace que no todos los coches sean igual de vulnerables aunque hay un factor que es determinante: cuantas más opciones de conectividad incorpore un vehículo, más probabilidades hay de ver comprometida su seguridad”.

“En el grado de hackeabilidad de un coche intervienen principalmente tres factores: la arquitectura de su red interna, la superficie de ataques remotos y la ciberseguridad de sus componentes físicos. Tras analizar varios de los protocolos de comunicación se llegó a la conclusión de que el que ofrece mayores posibilidades de ataque es la conectividad bluetooth”, ha concluido.

Cómo ‘hackear’ la habitación de un hotel

Por su parte, hace tan solo unos días un investigador español logró hackear un hotel de lujo en China. Jesús Molina, que actualmente trabaja como asesor en San Francisco (EEUU), pirateó el sistema por el que se controlan las habitaciones del lujoso St. Regis de Shénzhen, demostrando de esta forma que los hoteles tampoco se libran de estos problemas de seguridad.

“No fui buscando ninguna vulnerabilidad. De hecho, tampoco puede considerarse como hacking lo que hice puesto que sólo me limité a aprovechar las características del protocolo de comunicación del que disponía el hotel y que ofrecía a sus huéspedes la posibilidad de controlar todos los aspectos domóticos de su habitación”, ha explicado Molina a Teknautas.

Este investigador observó cómo al llegar a su habitación se le ofrecía la posibilidad de controlar varios aspectos de la misma como la televisión, persianas o iluminación a través de un iPad. Esto despertó su curiosidad y empezó a tirar del hilo hasta averiguar que la tableta estaba conectada a una red pública que no estaba protegida.

“El protocolo de comunicación que utilizaba la aplicación era el KNX/IP, ampliamente utilizado en Europa y China por su facilidad a la hora de implementarlo pero que no está desarrollado pensando en la seguridad”, ha explicado Albors.

Básicamente, este protocolo asigna una dirección a cada dispositivo de la habitación de forma similar a como lo que hacen nuestros routers domésticos cuando agregamos dispositivos para que se conecten a internet. Molina se preguntó si sería posible recopilar las direcciones KNX/IP de todos los dispositivos y consiguió hacerlo instalando la aplicación de control utilizada en el iPad en su PC. Descubrió con sorpresa que estas direcciones seguían un patrón y que eran más o menos secuenciales, por lo que no tardó en obtener un mapa de red donde se mostraban todos los dispositivos conectados en cada habitación del hotel.

'Hackeando' el internet de las cosas

Según ha explicado a este diario Josep Albors, “este fallo de seguridad se produce porque el mayordomo digital que este hotel pone a disposición de sus huéspedes permite controlar varios aspectos de la habitación como la música, la temperatura, programación de la televisión o las persianas. Esto no supondría un mayor problema si no fuera porque el protocolo de comunicación utilizado contiene graves fallos de seguridad”.

Aunque no almacenemos información bancaria en nuestra cafetera o nevera inteligentes, si alguien accede a ellas logrará saber, entre otras cosas tan relevantes, cuándo estamos en casa y cuándo no. Sucede lo mismo con el coche o el router de casa. ¿La solución? Ante esta situación Molina comenta que esta pasa por que las compañías implicadas actualicen sus políticas de seguridad y pasen una auditoría de seguridad externa. “Nunca podemos dejar de lado la seguridad de los usuarios”.