Los timbres inteligentes (smart doorbells) han cobrado una inmensa popularidad durante los últimos dos años, pues permiten a los usuarios mantener mejor vigilancia sobre las personas que se acercan a sus hogares, con fabricantes como Nest o Ring tomando una clara ventaja sobre sus competidores.
Si bien estos dispositivos son realmente útiles, el hecho de que requieran conexión a Internet los hace vulnerables a múltiples métodos de hacking, riesgo que incrementa si los fabricantes no prestan la atención debida al desarrollo de las características de seguridad en estos dispositivos. Which?, en colaboración con NCC Group, realizó un análisis de 11 diferentes smart doorbells disponibles en los más populares sitios de compras en línea para probar su seguridad.
Los expertos encontraron fallas de seguridad en todos los dispositivos analizados, aunque los riesgos para el usuario varían según sea el caso. A continuación se presenta una breve reseña de los dispositivos con más fallas de seguridad, lo que puede resultar de interés para aquellas personas interesadas en instalar un smart doorbell en sus hogares.
Victure Smart Video Doorbell Camera
Disponible en Amazon por alrededor de 100 dólares, este es un modelo similar a los modelos más populares de la firma Ring, aunque cuenta con características de seguridad muy deficientes. Los expertos detectaron que el modelo analizado (VD300) envía a los servidores de la empresa el nombre y contraseña de la red WiFi del usuario sin aplicar cifrado, por lo que cualquier actor de amenazas podría interceptar estos datos y acceder a la red de los usuarios afectados.
A pesar de esta pésima práctica de seguridad, este dispositivo es uno de los más vendidos en Amazon, contando con un puntaje de 4.3/5 en la plataforma. Por si fuera poco, es posible encontrar dispositivos clonados en línea que posiblemente sean mucho más inseguros que los dispositivos originales.
Qihoo 360 D819 Smart Video Doorbell
Este dispositivo no cuenta con protección contra el robo físico e incluso es posible apagarlo sin autorización del usuario. Usando una llave para expulsar tarjetas SIM (incluida con prácticamente cualquier smartphone), los actores de amenazas pueden extraer el dispositivo con el fin de restablecerlo y venderlo.
Los expertos también descubrieron que Qihoo almacena la información de estos dispositivos sin ninguna clase de cifrado.
Ctronics CT-WDB02 Wireless Video Doorbell
Este dispositivo presenta una falla crítica que permitiría a los actores de amenazas robar la contraseña de las redes afectadas, por lo que cualquier otro dispositivo inteligente conectado a la red podría verse comprometido.
Los dispositivos de Victure (mencionados arriba), también presentan fallas similares.
Wifi V5 Smart Doorbell (sin marca)
Which? también encontró un modelo de timbre muy similar a los dispositivos Ring, aunque al analizarlo de cerca es obvio que se trata de una copia. La peor parte es que este modelo presenta una falla que permitiría a los actores de amenazas tomar el control del dispositivo para intervenir en sus funciones, principalmente para evitar que la cámara funcione.
Este dispositivo fue removido de los sitios de ventas en línea después de la publicación del reporte.
Los especialistas analizaron muchos otros dispositivos de marcas poco conocidas o que en esencia son copias de las creaciones de marcas populares, descubriendo que la mayoría tienen fallas en común, incluyendo algunas de las siguientes vulnerabilidades:
- Un smart doorbell sin marca disponible en eBay es vulnerable al Ataque de Reinstalación de Claves (KRACK). Esta es una falla de autenticación WiFi que permitiría a los actores de amenazas esquivar la seguridad WPA-2 en una red inalámbrica
- Uno de los principales problemas en estos dispositivos es la ausencia de cifrado de datos; los desarrolladores envían los datos de los usuarios a sus servidores (la mayoría establecidos en China) sin cifrar. Los datos de los usuarios están completamente expuestos y al alcance de cualquier actor de amenazas
- Estos dispositivos también recopilan más información de la necesaria, por lo que las personas deberían reconsiderar su uso cotidiano o al menos optar por un dispositivo con una configuración de privacidad menos intrusiva
- Las políticas de contraseña incluidas en estos dispositivos también son muy deficientes. El sistema no pide cambiar la contraseña predeterminada y los actores de amenazas podrían obtener fácilmente estos datos; este es un problema propio de casi cualquier dispositivo de Internet de las Cosas (IoT)
Las fallas encontradas son completamente explotables, por lo que es necesario que los usuarios tomen en cuenta los informes y actualizaciones para prevenir que un hacker malicioso use estos dispositivos para acceder a la red. El informe completo se encuentra en las plataformas oficiales de los investigadores.
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
