Vulnerabilidades

Los riesgos de usar cerraduras inteligentes

Las cerraduras inteligentes pueden ser muy útiles. El mercado está repleto de ellas y se puede escoger entre muchos tipos diferentes. Algunas son capaces de detectar cuando el propietario (o, más bien, su teléfono inteligente) se acerca, y se abren sin una llave. Otras se controlan de forma remota, lo que permite abrirles la puerta a amigos o familiares sin necesidad de estar en casa. Otras incluso proporcionan videovigilancia: cuando alguien toca el timbre, puedes ver de inmediato en tu teléfono inteligente quién es.

Sin embargo, los dispositivos inteligentes conllevan una serie de riesgos de los cuales los usuarios de cerraduras tradicionales nunca tienen que preocuparse. Un estudio minucioso de estos riesgos revela las tres razones por las cuales el método antiguo es más conveniente. Son las siguientes:

Primera razón: las cerraduras inteligentes son físicamente más vulnerables que las cerraduras tradicionales

El problema aquí es que las cerraduras inteligentes combinan dos conceptos diferentes. En teoría, estas cerraduras deberían tener un componente inteligente fiable y, al mismo tiempo, proporcionar una protección sólida contra la manipulación física para que no sea posible abrirlas, por ejemplo, con un destornillador o una navaja. La combinación de estos dos conceptos no siempre funciona: el resultado suele ser una cerradura inteligente endeble o una cerradura de hierro de alta resistencia con software vulnerable.

Ya hemos hablado en otra publicación de algunos ejemplos de cerraduras particularmente malas que no cumplen su función. Entre ellos, podemos mencionar un candado genial con un escáner de huellas digitales, debajo del cual hay un mecanismo de apertura potencialmente accesible para cualquier persona (una palanca). También hay una cerradura inteligente para bicicletas que se puede desmontar con un destornillador.

Segunda razón: problemas con el componente “inteligente”

Lograr que el componente “inteligente” sea lo suficientemente seguro tampoco es fácil. Es importante recordar que los desarrolladores de este tipo de dispositivos a menudo priorizan la funcionalidad sobre la protección. El ejemplo más reciente es Akuvox E11, un dispositivo diseñado no para uso doméstico, sino para oficinas. Akuvox E11 es un intercomunicador inteligente con un terminal para recibir una transmisión de vídeo de la cámara integrada y un botón para abrir la puerta. Al tratarse de un dispositivo inteligente, es posible controlarlo a través de la aplicación para smartphones.

El software se ha implementado de tal manera que cualquier persona puede acceder tanto al vídeo como al sonido de la cámara en cualquier momento. Y si no has pensado en aislar la interfaz web de Internet, cualquiera podrá controlar la cerradura y abrir la puerta. Este es un ejemplo clásico de desarrollo de software inseguro: las solicitudes de vídeo no cumplen con las comprobaciones de autorización; es posible acceder sin contraseña a parte de la interfaz web; y la contraseña en sí es fácil de descifrar debido al cifrado con una misma clave fija para todos los dispositivos.

¿Quieres más ejemplos? Aquí van: Este artículo habla sobre una cerradura que permite a los intrusos cercanos obtener la contraseña de su red Wi-Fi. Aquí, una cerradura inteligente protege la transferencia de datos de manera deficiente: un atacante puede interceptar el canal de radio y tomar el control. Y aquí hay otro ejemplo de una interfaz web con mala protección.

Tercera razón: el software debe actualizarse con regularidad

Un teléfono inteligente típico recibe actualizaciones durante dos o tres años después de su lanzamiento. En el caso de los dispositivos de IoT de bajo presupuesto, el soporte puede interrumpirse incluso antes. Actualizar un dispositivo inteligente a través de Internet es bastante sencillo. Sin embargo, mantener la compatibilidad con los dispositivos implica una inversión de recursos y dinero por parte del proveedor.

Esto en sí mismo puede ser un problema, por ejemplo, cuando el proveedor desactiva la infraestructura de la nube y el dispositivo deja de funcionar. Pero aunque la cerradura inteligente conserve su funcionalidad, podrían aparecer vulnerabilidades que el proveedor desconocía en el momento del lanzamiento.

Por ejemplo, en 2022, los investigadores descubrieron una vulnerabilidad en el protocolo Bluetooth Low Energy, que muchas empresas han adoptado como estándar para la autenticación sin contacto para el desbloqueo de distintos dispositivos (incluidas las cerraduras inteligentes). Esta vulnerabilidad abre la puerta (por así decirlo) a los llamados ataques de retransmisión, que requieren que el atacante esté cerca del propietario de la cerradura inteligente y utilice un equipo especial (pero relativamente económico). Armado con este hardware, el atacante puede transmitir señales entre el teléfono inteligente de la víctima y la cerradura inteligente. Esto engaña a la cerradura inteligente y la hace creer que el teléfono inteligente del propietario está cerca (y no en un centro comercial a cinco kilómetros de distancia), por lo que abre la puerta.

Dado que el software de las cerraduras inteligentes es muy complejo, la probabilidad de que contenga vulnerabilidades graves nunca es cero. Si se descubre una, el proveedor debe publicar una actualización de inmediato y enviarla a todos los dispositivos vendidos. Pero ¿qué pasa si el modelo dejó de fabricarse o ya no es compatible?

Con los teléfonos inteligentes, resolvemos este problema comprando un dispositivo nuevo cada dos o tres años. ¿Con qué frecuencia planeas reemplazar la cerradura de una puerta conectada a Internet? En general, esperamos que este tipo de dispositivos duren décadas, no un par de años (hasta que el proveedor retire el soporte o quiebre).

Entonces, ¿qué se debe hacer?

Es necesario entender que todas las cerraduras (no solo las inteligentes) pueden romperse. Sin embargo, si decides instalar un dispositivo inteligente en lugar de una cerradura estándar, piensa bien: ¿realmente necesitas poder abrir la puerta desde tu teléfono inteligente? Si tu respuesta a esta pregunta es afirmativa, al menos ten en cuenta los siguientes puntos:

  • Busca información sobre el dispositivo específico antes de comprarlo.
  • Lee no solo las reseñas sobre la conveniencia y las funciones de la cerradura inteligente, sino también los informes de posibles problemas y riesgos.
  • Elige un dispositivo más nuevo: es probable que el proveedor brinde soporte durante un poco más de tiempo.
  • Una vez que hayas comprado un dispositivo, estudia sus funciones de red y piensa detenidamente si las necesita. Lo más lógico sería desactivar todas las que podrían ser peligrosas.
  • No te olvides de proteger tus ordenadores, especialmente si están en la misma red que la cerradura inteligente. Sería una doble desgracia que una infección de malware en tu ordenador también hiciera que las puertas de tu casa se abrieran de golpe.

Descubre más desde Revista Ciberseguridad

Suscríbete y recibe las últimas entradas en tu correo electrónico.

Fuente independiente de noticias y análisis sobre la ciberseguridad, que cubre las últimas noticias y la investigación de ciberamenazas, malware, phishing, etc.

Noticias Relacionadas

1 of 13