Cooking Ideas - un blog para alimentar tu mente de ideas

Un arma de solo 10 euros pone en riesgo la seguridad de la internet de las cosas

Una memoria ‘flash’ bastante básica de solo 10 euros, similar a la que está presente en cualquier ‘pen drive’, es la materia prima que ha utilizado un grupo de expertos en ciberseguridad para demostrar que con bien poco es posible poner en jaque los dispositivos conectados a la internet de las cosas. Con los conocimientos adecuados, es posible utilizar una de estas memorias para bucear por el ‘software’ de nuestros dispositivos en busca de vulnerabilidades y aprovecharlas con no muy buenas intenciones.

En la conferencia de seguridad Black Hat celebrada hace unas semanas en Las Vegas, un grupo de investigadores conocido como Exploitee.rs mostró, junto a los ‘hackers’ Zenofez, 0x00string y maximus64_, las flaquezas que presentan muchos de los aparatos que todos usamos diariamente, enseñando lo sencillo que resulta acceder a sus sistemas de seguridad.

Muchos fabricantes de productos tecnológicos aseguran que, una vez que un ciberdelincuente logra acceder a un dispositivo determinado, ya no hay mucho que hacer. Sin embargo, el grupo de investigadores defiende no renunciar tan temprano a la lucha contra este tipo de ataques. No en vano, los riesgos son demasiados como para no intentar plantar cara.

Un gran número de dispositivos funcionan con chips de memoria ‘flash’ (una tecnología que permite la lectura y escritura de memoria, empleada en los USB) y todo lo que se necesita para acceder a lo que se almacena en ellos es un lector de tarjetas SD de 10 euros, un poco de cable y un tanto de experiencia en soldadura. En el experimento, los investigadores se centran en el tipo de memoria de acceso más económico y sencillo, la ‘flash’ eMMC: se puede llegar a ella a través de conexiones eléctricas.

Por supuesto, la soldadura no es algo que cualquier aficionado pueda llevar a cabo, pero factible, según afirma el grupo. Soldando solo cinco cables al chip se consigue acceder con normalidad a los datos que almacena, así como reprogramar y controlar el dispositivo al antojo del responsable. En teoría, esta técnica podría utilizarse en cualquier aparato digital que utilice memoria ‘flash’. No obstante, no debería haber motivo para la alarma: la mayoría requerirían de lectores especializados y otros protocolos para entrar en el sistema.

Una vez se conecte el eMMc al lector de tarjetas SD, se puede conectar éste a un ordenador de mesa o portátil y, a partir de ahí, cualquier ciberdelincuente podría hacer copias del ‘firmware’ (el código que coordina ‘hardware’ y ‘software’) del chip. Lo más grave es la habitual presencia de los eMMC en nuestros dispositivos: se utiliza en teléfonos móviles, tabletas, televisores o algunos de los electrodomésticos inteligentes que ya empiezan a hacer acto de presencia en los hogares, como los frigoríficos.

CJ Heres, el programador de ‘hardware’ de Exploitee.rs, señala que, solo contando con los móviles fabricados por Samsung, hay un total de 125 millones de unidades vendidas en el mundo. Todo ello, sin contar otros dispositivos conocidos como el Amazon Tap, el P60UI smart TV de VIZIO y el cortafuegos inteligente Cujo, que también funcionan con esta tecnología. La investigación tiene como objetivo “poner este procedimiento en manos de más personas” porque, asegura Heres, “hay muchos más dispositivos por ahí con este problema de los que nadie se está percatando”.

Según argumenta el grupo, la mayor parte del ‘software’ de alto nivel suele estar bien cifrado, pero al analizar el ‘firmware’ se percataron de que hay puertas abiertas que ponen en peligro el sistema ante cualquier ataque. Algunos desarrolladores no cifran lo suficiente y, en consecuencia, el que se lo proponga puede llegar a la mayoría o totalidad de los datos almacenados. Para Exploitee.rs, los fabricantes podrían poner más piedras en el camino a los atacantes, bloqueando más pasos en el acceso a la memoria ‘flash’. Una opción factible es, simplemente, cifrar por completo todo el chip.

Incluso, un posible equipo de habilidosos programadores decididos a proteger nuestros objetos conectados podría diseñar una aplicación que, instalada en todos ellos, los salvaguardara de posibles ataques, especialmente en sus momentos de mayor vulnerabilidad, cuando no tienen las actualizaciones recientes. Esto evitaría que, por ejemplo, un artefacto doméstico conectado a la red, como una tostadora, un horno o incluso una lavadora inteligentes, se convirtiera en una puerta de acceso para un cibercriminal. Hasta ahora, el ciberdelincuente puede aprovecharse de que este tipo de aparatos no suelen recibir actualizaciones y podría localizar vulnerabilidades en el sistema que le permitieran acceder a ellos y, de ahí, al resto de una red.

Así, mientras los fabricantes aumentan las medidas de seguridad de la internet de las cosas, también es necesario que los usuarios no bajen la guardia con sus dispositivos más cercanos, cómo teléfonos móviles o tablets, pues están interconectados con estos aparatos domésticos. No en vano, gran cantidad de información confidencial está en juego y puede ser robada. Así, lo ideal es tomar todas las precauciones posibles: protégete siempre con las herramientas disponibles, como Vodafone Secure NetAntivirus, protección de las amenazas de la web e informes personalizados son algunas de las características que te ofrece para estar tranquilo con un dispositivo seguro.

Con información de Wired y Black Hat. Las imágenes son propiedad, por orden de aparición, de Yoppy, Wikimedia Commons y Exploitee.rs.

Descubre otras ciberamenazas para estar alerta:

El aburrimiento de los empleados es la gran amenaza para la ciberseguridad de las empresas

Las mayores amenazas que se esconden en las ‘apps’ (y cómo protegerse de ellas)

Así pueden robar los datos de tu iPhone ‘hackeando’ un altavoz con Bluetooth

Dos ‘hackers’ españoles demuestran lo sencillo que es desvalijar un cajero

Comentarios: 1

Posts Relacionados

[…] Un arma de solo 10 euros pone en riesgo la seguridad de la internet de las cosas: “Una memoria ‘flash’ bastante básica de solo 10 euros, similar a la que está presente en cualquier ‘pen drive’, es la materia prima que ha utilizado un grupo de expertos en ciberseguridad para demostrar que con bien poco es posible poner en jaque los dispositivos conectados a la internet de las cosas. Con los conocimientos adecuados, es posible utilizar una de estas memorias para bucear por el ‘software’ de nuestros dispositivos en busca de vulnerabilidades y aprovecharlas con no muy buenas intenciones. En la conferencia de seguridad Black Hat celebrada hace unas semanas en Las Vegas, un grupo de investigadores conocido como Exploitee.rs mostró, junto a los ‘hackers’ Zenofez, 0x00string y maximus64_, las flaquezas que presentan muchos de los aparatos que todos usamos diariamente, enseñando lo sencillo que resulta acceder a sus sistemas de seguridad.” […]

Pingback Enlaces Recomendados de la Semana (N°425) | agosto 26, 2017 | 5:55 am

Leave a comment

Nombre (requerido)

Comentario

Últimos Tweets

Feeds. Network


Copyright © CookingIdeas. Puedes copiar, distribuir el contenido de este blog, pero por favor utiliza el enlace permanente que tiene cada uno de los post, al hacer mención a los contenidos de este blog. Los contenidos de CookingIdeas están bajo una licencia Creative Common 3.0


Copyright @ 2011 Vodafone España, S.A.U.
Privacidad | Legal y Regulatorio | Vodafone