Preocupada por la seguridad y la privacidad de la ciudadanía, la Organización de Consumidores y Usuarios (OCU) ha realizado un análisis de ciberseguridad de diversos electrodomésticos y dispositivos inteligentes para el hogar y ha descubierto ciertas brechas que pueden habilitar ataques de software malicioso, manipulación de productos y hasta hackers que vigilan a través de los monitores de bebés.
El conjunto de dispositivos de este tipo se denomina IoT, o Internet de las cosas, y se refiere a la red colectiva de elementos conectados y a la tecnología que facilita la comunicación entre los dispositivos y la nube, así como entre los propios dispositivos. Es cierto que la IoT hace cada vez mas sencilla la vida urbana y posmoderna, pero también genera una mayor exposición ya que los artefactos están conectados a Internet.
Por eso, los analistas de la OCU han elegido 10 productos de marcas desconocidas, comprados en las plataformas Amazon y AliExpress, y otros 7 de marcas populares que ya no están a la venta ni tienen soporte del fabricante, pero que por su durabilidad siguen presentes en muchos hogares. Y de la mano de dos expertos que actuaron como hackers, buscaron sus puntos débiles y brechas de seguridad.
Entre los 17 dispositivos estudiados han detectado 61 fallos, de los cuales 12 son graves o muy graves, ya que suponen un riesgo alto para la seguridad o la privacidad de los usuarios debido a que podrían ser explotados de manera significativa por ciberdelincuentes. Claro que no implicará el mismo nivel de exposición que un hacker pueda acceder a un robot aspirador que a una cámara que está dentro del hogar y espíe los movimientos de sus habitantes.
Así, de las 12 vulnerabilidades graves, se destacan las que presentan las cámaras de videovigilancia, las cerraduras electrónicas y los dispositivos portátiles (como móviles, relojes inteligentes y tablets infantiles).
Entre los fallos de seguridad que con más frecuencia aparecen en el estudio, encontramos que muchos fabricantes aún permiten contraseñas simples o débiles, como “123456”, lo que hace mucho más sencilla la entrada de los atacantes a los dispositivos y redes. Esto ocurrió con 9 de los 17 productos analizados.
Otra vulnerabilidad habitual es el cifrado débil de las comunicaciones -o en algunos casos, ningún cifrado- entre dispositivos y aplicaciones con los servidores. Lo mismo ocurre con el almacenamiento de datos en tarjetas de memoria. Todo esto permite a quienes tienen acceso a la red capturar datos como la contraseña, nombre de usuario y grabaciones de vídeo.
Un fallo menos frecuente, pero si preocupante, es el llamado “ataque man in the middle”, es decir, cuando un hacker interviene en el tráfico de datos de dos participantes de una comunicación haciéndose pasar por uno o por otro, actuando de intermediario, controlando la información compartida, robando datos y haciéndoles creer que hablan entre ellos. Puede tratarse de un contacto entre personas o de una persona y un recurso de Internet utilizado por la víctima.
Las actualizaciones que no están al día también pueden ocasionar brechas de seguridad. Es el caso de los dispositivos que tienen sistema operativo anterior a Android 11, que sufren una vulnerabilidad llamada Strandhogg 2.0, que ya ha sido resuelta en versiones posteriores. El estudio de la OCU ha encontrado que estos fallos son más comunes en los productos de marcas poco conocidas, pero las marcas conocidas tampoco están exentas de esto, especialmente si ya no reciben actualizaciones de software.
Por último, la manipulación física de dispositivos puede ser una tarea sencilla con conocimientos técnicos mínimos. Esto hace posible que los hackers alteraren el software original o instalaren software malicioso para robar datos o controlar los dispositivos.
Cómo reducir los riesgos frente a estos fallos
Si bien los fabricantes tienen la responsabilidad de subsanar las vulnerabilidades o, al menos, mitigar sus consecuencias, notificando al usuario, por ejemplo, cuando detecta algún fallo, se cae la red o se apaga un dispositivo, la OCU elaboró una serie de medidas que los usuarios pueden tomar para proteger su información.
Como primer punto aparece priorizar las compras en tiendas online con sede en Europa, ya que pueden brindar un recurso más accesible en caso de problemas.
Elegir dispositivos que tengan sistemas operativos recientes es otra buena opción, y comprobar si el fabricante se compromete a hacer actualizaciones. A la vez, comprobar que todos los dispositivos de la vivienda estén actualizados cada cierto tiempo, para beneficiarse de los parches de seguridad más recientes.
También es importante investigar los productos antes de realizar la compra, comparar las marcas y poner atención en las opciones de seguridad que tienen. Otra sugerencia es leer las valoraciones de los usuarios, tanto de las tiendas en línea y los marketplaces, como de los dispositivos.
Finalmente, una vez que el producto haya llegado, se recomienda dedicar un tiempo a acabar bien la configuración de los nuevos dispositivos y cambiar siempre las contraseñas iniciales por otras seguras.
A nivel marco regulatorio, la Ley Europea de Ciberresiliencia, que busca garantizar que las empresas creen hardware y software más seguros, es aún un proyecto que los líderes del Parlamento Europeo esperan aprobar hacia finales de este año y tendrá cumplimiento obligado recién en 2027.