La cerradura inteligente KeyWe permite que cualquiera ingrese a su casa sin su permiso

Actualmente se venden millones de cerraduras inteligentes (smart locks) que pueden ser instaladas para brindar mayor seguridad en el acceso a su hogar, no obstante, especialistas en forense digital acaban de reportar el hallazgo de una vulnerabilidad que, de ser explotada, permitiría a los actores de amenazas entrar a su domicilio con total facilidad.

F-Secure, compañía de seguridad con sede en Finlandia, reportó una falla en el smart lock KeyWe, anunciado como “la cerradura inteligente más inteligente”. Este dispositivo cuesta alrededor de 155 dólares en sitios como Amazon y es posible operarlo mediante una aplicación móvil.

El equipo de expertos en forense digital descubrió que un actor de amenazas podría interceptar el tráfico entre la app y el dispositivo, extrayendo en el proceso las claves de desbloqueo mediante un ataque Man-in-The-Middle (MiTM).

“El diseño de este smart lock permite esquivar algunos mecanismos de seguridad para poder espiar las comunicaciones entre la app y la cerradura de forma muy fácil para un hacker con los conocimientos requeridos”, menciona Krysztof Marciniak, miembro de F-Secure. Para empeorar un poco más las cosas, los expertos afirman que no hay forma de mitigar el riesgo de explotación de esta vulnerabilidad, por lo que todos los usuarios de este dispositivo seguirán expuestos. En el reporte, los expertos agregan que es posible realizar el ataque empleando dispositivos de rastreo de redes, disponibles en el mercado a partir de 10 dólares.

Al respecto, KeyWe menciona que la vulnerabilidad fue corregida mediante el lanzamiento de algunos parches de actualización, sin embargo, los expertos aseguran que el firmware del smart lock no permite actualizaciones over-the-air (acorde a Wikipedia, este es un concepto referente a una forma de distribución de software, ajustes de configuración y actualizaciones de seguridad).

Posteriormente, KeyWe lanzó un comunicado que menciona: “Lamentamos mucho estos inconvenientes. La seguridad de nuestros usuarios es nuestra principal prioridad, seguiremos trabajando para resolver cualquier problema de seguridad relacionado con nuestros productos”. Por otra parte, Amazon no ha respondido a las solicitudes de información sobre la disponibilidad de los productos afectados en su tienda en línea.

Los expertos en forense digital mencionan que el principal problema con el suo de los dispositivos de Internet de las Cosas (IoT) es que actualmente no existe un estándar de ciberseguridad aplicable a esta tecnología, por lo que un nuevo dispositivo puede salir al mercado sin necesidad de ser probado primero.

Además, debido a que el firmware de estos dispositivos no puede ser actualizado, los usuarios permanecerán expuestos hasta que la compañía encuentre la manera de abordar de forma efectiva esta vulnerabilidad, o bien hasta que el usuario decida desinstalar esta herramienta. Cabe mencionar que la versión más reciente del smart lock fue completamente corregida antes de ser lanzada al mercado.

Por seguridad, F-Secure no reveló públicamente mayores detalles técnicos sobre la vulnerabilidad, por lo que el informe sólo fue entregado a la compañía. Acorde a los expertos en forense digital del Instituto Internacional de Seguridad Cibernética (IICS) a pesar de que las comunicaciones entre la app y el smart lock están cifradas, es posible interceptarlas y recolectar los comandos clave para abrir la cerradura, un proceso relativamente fácil para un hacker que sepa por dónde comenzar a atacar.