La firma NCC Group, consultora especializada en ciberseguridad, ha hecho sonar las alarmas de los timbres inteligentes. Diseñados para advertir a los propietarios de una vivienda o local de la llegada de visitantes deseados y no deseados, también son sustitutos de las tradicionales mirillas y telefonillos. Sin embargo, a menudo pueden causar más daños que beneficios ya que están plagados de posibles vulnerabilidades de ciberseguridad.
Así se desprende en el informe que ha publicado NCC Group como parte de una investigación realizada a petición de la revista Which? sobre la seguridad de una serie de dispositivos IoT. Este informe concreto se centra en evaluar una gama de modelos de proveedores de marca (Victure, Qihoo y Accfly) y sin marca, y en su título los califica literalmente como Pesadillas del Internet de las Cosas doméstico: Timbres inteligentes.
La mayoría de los problemas de seguridad detectados por NCC Group están relacionados con funcionalidades no documentadas (almacenamiento de identificadores, explotación del puerto 53 del servidor DNS, puerto 80 del servicio HTTP...) que, en caso de conocerse, podrían ser explotadas por piratas informáticos. Otros problemas encontrados incluyen vulnerabilidades en las aplicaciones móviles utilizadas para gestionar los timbres inteligentes (generación de un código QR no seguro, control de acceso defectuoso, fuga de datos, etc.) así como en el propio hardware del dispositivo.
"En general, los problemas que hemos observado durante esta investigación han esbozado un enfoque deficiente a la hora de desarrollar dispositivos IoT seguros. Todavía hay dispositivos que se están desarrollando, enviando y vendiendo con una serie de problemas, y además estos problemas se clonan en dispositivos de imitación y falsificaciones", advierte el informe.
Vulnerabilidades de hardware
Según señalan los investigadores, los sistemas de instalación física de los timbres suelen no ser seguros ya que facilitan su extracción por parte de los atacantes, de forma rápida, sencilla y, en algunos dispositivos, sin que salte ninguna alarma.
El peligro de esto no radica en que los timbres puedan ser robados, sino en que puedan ser manipulados. Una vez existe acceso físico al mismo, los atacantes podrían desviar el video capturado por el timbre y almacenarlo en una tarjeta SD para determinar cuál es el comportamiento habitual de los ocupantes. Además, el firmware podría extraerse y usarse para identificar el BSSID de Wi-Fi y la contraseña de Wi-Fi de texto sin formato para acceder a una red.
"Potencialmente, el firmware es una de la información más sensible que un fabricante de dispositivos de IoT puede desarrollar porque controla el hardware (cámara, módulo físico de Wi-Fi, etc.) y necesita protección. Durante la investigación sobre la aplicación móvil y la capacidad de actualización remota del firmware, se descubrió que una URL específica también descargaría el archivo binario requerido para la actualización del firmware. En algunos de los casos estudiados, estas URL solo usaban HTTP y no estaban autentificadas, lo que permitió a cualquier persona con conocimiento de esta URL descargar el firmware para su análisis", explica el informe.
Además, los investigadores señalan que, usando esta técnica, detectaron modelos que aún no habían parcheado la vulnerabilidad conocida como KRACK a pesar de que se descubrió en 2017.
Unas conclusiones preocupantes para el mercado de la domótica
Como hemos señalado, este informe de NCC Group forma parte de una investigación más extensa acerca de la seguridad de varios dispositivos IoT domésticos que se va a ir publicando por partes. Los timbres inteligentes han centrado la primera y no han sido los únicos que han salido mal parados ya que se han encontrado problemas similares en otros dispositivos como los enchufes inteligentes, que se abordarán en la segunda parte de la investigación junto con el uso de ZigBee.
La revelación de estos problemas de seguridad es preocupante ya que, actualmente, el 39% de los hogares de Estados Unidos cuentan con algún dispositivo IoT y los timbres inteligentes representan una categoría muy popular. Sin embargo, el mercado de la domótica sigue en alza en todo el mundo y las previsiones apuntan a que su valor se va a disparar en los próximos años.