Aunque las personas compran los timbres con cámara de video de la compañía Ring esperando incrementar la seguridad de sus hogares, una falla en el software de estos dispositivos podría exponer a sus usuarios a un nuevo riesgo de seguridad. Acorde a expertos en hacking ético, la falla permitiría a un actor de amenazas extraer el nombre de usuario y la contraseña WiFi del usuario del timbre.
Acorde al reporte de Bitdefender, firma de seguridad encargada de reportar la vulnerabilidad, la compañía matriz de Ring fue informada sobre esta falla en junio pasado; la vulnerabilidad fue corregida en la actualización de Ring correspondiente al mes de septiembre.
Cabe recordar que Ring es una compañía dedicada a la fabricación de timbres con cámara de vigilancia; hace casi dos años, esta empresa fue adquirida por Amazon por casi 850 millones de dólares. En la actualidad, estos sistemas de vigilancia están vinculados a al menos 580 departamentos de policía en Estados Unidos, integrando una red de vigilancia vecinal, reportan los expertos en hacking ético.
Explicada de esta forma, la instalación de dispositivos de Ring en los hogares parecería una buena idea, aunque no todos creen que su uso sea recomendable. Especialistas en temas de privacidad han expresado su preocupación por el hecho de que estos sistemas se conecten de forma directa con las estaciones de policía, además de la obvia exposición a los actores de amenazas.
Una preocupación adicional es que esta no es la primera ocasión en la que se encuentra una vulnerabilidad en Ring. Hace un par de años, expertos de la firma Pen Ten Partners descubrieron una serie de fallas en estos dispositivos que, de ser explotadas, permitían a los hackers extraer las contraseñas de la red WiFi a la que el timbre se conecta. Otros trabajos de investigación han demostrado que es posible extraer imágenes en tiempo real de estos dispositivos.
Los expertos en hacking ético mencionan que la vulnerabilidad reside en la conexión entre la cámara de video y la app de Ring. Al configurar un dispositivo por primera vez, la app debe enviar un registro de inicio de sesión desde la red WiFi al timbre. Debido a que esta información es enviada a través de una red sin cifrado, cualquier hacker podría realizar un ataque Man-in-the-Middle (MiTM) para interceptar los datos enviados. Es importante destacar que el atacante debe encontrarse en una ubicación cercana a la señal de la red WiFi objetivo.
Después de que se revelara el más reciente problema de seguridad en Ring, la compañía publicó un comunicado: “La seguridad de nuestros dispositivos y la confianza de nuestros usuarios son lo más importante para nosotros. Queremos informar que se lanzó una actualización de seguridad para abordar la falla reportada; el problema ya ha sido corregido”.
Debido a sus características, este ataque sólo puede ocurrir durante el proceso de configuración del dispositivo, mencionan especialistas en hacking ético del Instituto Internacional de Seguridad Cibernética (IICS). No obstante, un hacker también podría enviar mensajes falsos a un usuario para tratar de engañarlo y hacer que configure el timbre desde cero nuevamente, aunque la complejidad de este escenario aumenta de forma considerable.
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
