“Todo lo que se conecta a internet se puede hackear”. Esta máxima no perderá vigencia ni validez y, en los últimos años, hubo casos que le dan crédito. Hablamos de ataques que apuntaron a dispositivos que están muy presentes en nuestros hogares (que quizás ni sabías que se podían hackear).
El mundo de la Internet de las Cosas (IoT, sus siglas en inglés) ha crecido en la última década y cada vez más dispositivos de uso cotidiano están interconectados entre sí, formando este universo.
Sin embargo, también han abierto nuevas puertas para el cibercrimen. Uno de los factores que los facilita es el uso bastante extendido de contraseñas débiles o predeterminadas que se pueden adivinar más fácilmente.
Es por eso por lo que en este posteo repasaremos 5 historias en las que el cibercrimen encontró en los dispositivos del hogar una nueva manera de perpetrar ataques, con consecuencias importantes.
Un espía muy entrañable
Para esta historia hay que situarse en el año 2017, momento en el que un inofensivo oso de peluche se convirtió en el factor clave de la filtración de conversaciones privadas, y hasta datos sensibles de menores de edad.
¿Cómo sucedió esto? La empresa Fisher-Price de los Estados Unidos tuvo una idea brillante (o eso parecía en un principio), y lanzó al mercado un peluche revolucionario que se conectaba a internet para enviar y recibir mensajes de voz. ¿Su objetivo? Potenciar la comunicación entre padres e hijos, y hacer crecer su vínculo aún a la distancia.
El problema fue que todos esos mensajes (familiares y privados) se almacenaban en los servidores de la compañía que nunca previó un ataque informático, y por eso fue muy fácil para los ciberatacantes obtener más de dos millones de grabaciones de voz, y también con datos sensibles sobre los menores que se encontraban registrados en la plataforma. Sí, al final resultó ser un espía muy entrañable.
Saltó la banca
La creatividad del cibercrimen está fuera de discusión: la historia del hackeo a un casino de Las Vegas, a través de un termostato de una pecera que se ubicaba en uno de sus salones suena increíble, pero es real. Esta pecera contaba con sensores conectados a una computadora con el fin de regular temperatura, cantidad de comida y hasta la limpieza del tanque.
Lo cierto es que los actores maliciosos lograron infiltrarse a la red gracias a una vulnerabilidad en el termómetro inteligente de este acuario ubicado en el lobby, y así, nadar como peces en el agua para acceder a la base de datos del casino. Sí, en 2017 hicieron saltar la banca, obteniendo información sensible, como nombres de grandes apostadores del casino.
Una cámara indiscreta
La Navidad es uno de los momentos más felices del año: regalos, cenas familiares y muy buenos recuerdos. Pero en esta historia, fue el inicio de una pesadilla. Corría diciembre de 2109, cuando las cámaras de seguridad Ring fueron uno de los obsequios más deseados, sin saber que esto pondría en riesgo su propia privacidad.
Según reportaron sitios de noticias, una familia sufrió el hackeo de este dispositivo que tenía configurado una contraseña débil. Gracias a un software especial, explica el sitio Vice, los atacantes pudieron procesar usuario, direcciones de correo y contraseñas para así iniciar sesión en las cuentas de las víctimas.
Los actores maliciosos pudieron acceder al control de la cámara, y así lo que debía ser una herramienta para monitorear desde una app móvil la habitación de su pequeña hija, terminó siendo una ventana hacia terceros malintencionados.
Si bien hay varios casos escalofriantes, vale repasar el de una mujer en Texas, que fue contactada por una voz que salía de la cámara, que decía ser del equipo de soporte de Ring, para reportar un problema con su cámara. Para solucionarlo, debía pagar 50 Bitcoins. El tema escaló y la mujer luego recibió amenazas, donde el atacante aseguraba estar muy cerca de su casa. ¿La solución por parte de la víctima? Apagar la cámara y hasta quitarle la batería.
Un peligroso ejército casero
Mirai fue una botnet que se descubrió en agosto de 2016, y que al muy poco tiempo se presentaría al mundo con un ataque DDoS casi sin precedentes. De hecho, muchos recuerdan hasta el día puntual en el que sucedió: el 21 de octubre de 2016.
Ese día, el proveedor de servicios del Sistema de Nombres de Dominio Dyn fue víctima de un ataque DDoS sostenido, que tuvo consecuencias muy importantes, como cortes en sitios y servicios como Twitter, Airbnb, Reddit, Amazon, SoundCloud, Spotify, Netflix y Paypal, entre tantos otros.
¿Cuál es el gran distintivo de la botnet Mirai? Que su ejército de más de 600.000 dispositivos estaba compuesto por routers domésticos, grabadoras de video, cámaras de vigilancia y cualquier otro tipo de dispositivos inteligentes, que no contaban con la protección adecuada, estaban mal configurados o tenían contraseñas débiles.
No todo marcha sobre ruedas
Antes de comenzar, una aclaración importante: en este caso, no hubo intenciones maliciosas, sino que detrás estaban dos hackers éticos que buscaban demostrar cómo una vulnerabilidad podía ser la llave de entrada para tomar el control de un auto de manera remota.
Fue en 2015 cuando Charlie Miller y Chris Valasek pusieron en práctica una técnica de hackeo, que podía entregarles el control inalámbrico del vehículo.
¿El resultado? Las rejillas de ventilación comenzaron a enviar aire frío al máximo, se evidenciaron cambios en el dial de la radio, y hasta se activaron los limpiaparabrisas, empañando el cristal.
Debido a esta prueba, desde la automotriz llamaron a revisión a unos 1,4 millones de vehículos vendidos en Estados Unidos.
Ahora bien, en este otro caso sí hubo intenciones maliciosas. Fue en 2022 cuando un desafío mundial en TikTok denominado “Kía Challenge” expuso cómo mediante un cable USB se podía acceder a los vehículos y encenderlos.
La consecuencia de este reto fue trágica: provocó al menos 14 accidentes reportados y ocho muertes. Eso motivó a que Hyundai y Kia desarrollaran un software antirrobo para millones de vehículos sin inmovilizador, ofreciéndolo de manera gratuita.
¿Qué medidas de protección emplear para evitar este tipo de hackeo?
Una de las claves para reducir el riesgo de este tipo de hackeo es mantener los dispositivos al día con sus respectivas actualizaciones: la gran mayoría de las vulnerabilidades suelen ser corregidas en muy poco tiempo.
Otro punto importante es gestionar el cambio de aquellas contraseñas que vienen de fábrica por una más robusta. Es decir, que incluya mayúsculas, números y caracteres especiales; y obviamente que no esté siendo utilizada en otra cuenta o dispositivo.
Además, es clave configurar los dispositivos de manera correcta y segura. Esto incluye deshabilitar aquellos puertos y servicios que no estén siendo utilizados, y evitar las configuraciones por defecto.
Como siempre mencionamos, es fundamental tener habilitado el segundo factor de autenticación en todos los dispositivos que se pueda.
