Una falla en un enchufe inteligente permitiría a los hackers ejecutar código remoto, lo que pondría en riesgo hogares y empresas
Los enchufes inteligentes (smartplugs) son tomas eléctricas conectadas a una red WiFi que brindan a los usuarios la posibilidad de encender y apagar luces y aparatos de forma remota, así como una función de monitoreo en línea. Pero el Wemo Insight Smart Plug, producido por Belkin, incluye un desbordamiento de búfer no reportado en la biblioteca libUPnPHndlr.so, lo que se conoce como vulnerabilidad CVE-2018-6692.
Si bien el enchufe inteligente en sí mismo puede no ser muy útil para los atacantes, como otros dispositivos de Internet de las cosas (IoT), si se conecta con otros, el nivel de amenaza aumenta. El smartplug podría actuar como un punto de entrada a la red para lanzar otros ataques, señalan especialistas en ciberseguridad.
Los expertos en ciberseguridad encargados de realizar el informe de esta vulnerabilidad también aseguraron que se puede realizar el ataque de diferentes maneras, por lo que a pesar de no ser una vulnerabilidad seria, les preocupa el hecho de que existan tantos vectores posibles para desplegar un ataque.
El descubrimiento de esta vulnerabilidad hace hincapié en la importancia de que los fabricantes usen prácticas seguras de codificación en el desarrollo de sus dispositivos con conexión de redes, señalan los especialistas en ciberseguridad encargados de publicar la vulnerabilidad. Si estos smartplugs poco seguros se hubiesen usado en salas de conferencias u oficinas, podrían haber significado un problema importante para las empresas que los usaran.
“A los dispositivos IoT con frecuencia se les pasa por alto desde una perspectiva de ciberseguridad, esto puede deberse a que muchos se utilizan con fines aparentemente inofensivos, como la automatización del hogar”, dice el reporte de la vulnerabilidad. “Sin embargo, estos dispositivos funcionan con sistemas operativos y requieren tanta protección como una computadora de escritorio. Una vulnerabilidad de este tipo podría convertirse en el punto de apoyo que un atacante necesita para ingresar y poner en peligro una red empresarial por completo”.
Para los expertos en ciberseguridad del Instituto Internacional de Seguridad Cibernética este suceso también sirve como un recordatorio para realizar las debidas diligencias cuando se trata de comprar dispositivos IoT seguros y para asegurar adecuadamente esos dispositivos, con contraseñas seguras y otras medidas de seguridad después de comprarlos para mantener seguras las redes de cualquier hogar y negocio.
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
