México, mayo de 2015 — HP dio a conocer los resultados de un estudio de pruebas de seguridad que revela que los propietarios de sistemas de seguridad domésticos conectados a Internet podrían no ser los únicos en monitorear sus hogares. El estudio constató que el 100 por ciento de los dispositivos de seguridad para el hogar contienen vulnerabilidades significativas, que incluyen problemas de seguridad, cifrado y autenticación.
Los sistemas de seguridad para el hogar, como las cámaras de video y los detectores de movimiento, han ganado popularidad a medida que se han incorporado al dinámico mercado de la Internet de las cosas (IoT) y se han vuelto más prácticos. Gartner Inc., prevé que en 2015 se utilizarán 4.9 mil millones de cosas conectadas, un aumento del 30 por ciento respecto a 2014, y que esa cifra alcanzará los 25 mil millones en 2020(1). El nuevo estudio de HP revela lo mal preparado que está el mercado desde el punto de vista de la seguridad, para hacer frente a la magnitud del crecimiento esperado de la IoT.
Los fabricantes están lanzando rápidamente al mercado nuevos sistemas de seguridad conectados que ofrecen capacidades de monitoreo remoto. El acceso y la conectividad de red que se requieren para el monitoreo remoto presentan nuevos problemas de seguridad que no existían en la generación anterior de sistemas, que no disponían de conectividad a Internet.
El estudio cuestiona si los dispositivos de seguridad conectados realmente ofrecen más seguridad para el hogar o si aumentan los riesgos al proporcionar un acceso electrónico más fácil por medio de productos de IoT poco seguros. HP aprovechó la tecnología HP Fortify on Demand para evaluar 10 dispositivos de IoT de seguridad para el hogar, así como sus componentes de aplicación en la nube y móviles. Se constató que ninguno de los sistemas exige el uso de una contraseña segura, y que el 100 por ciento de los sistemas no ofrecen autenticación de dos factores.
Los problemas de seguridad más comunes y fáciles de resolver informados incluyen:
- Autorización insuficiente: los sistemas con interfaces web basadas en la nube e interfaces móviles no exigen contraseñas suficientemente complejas y largas, y la mayor parte de los sistemas solo requieren una contraseña alfanumérica de seis caracteres. Además, ninguno de los sistemas tiene la capacidad de bloquear cuentas después de determinado número de intentos incorrectos.
- Interfaces poco seguras: todas las interfaces web basadas en la nube probadas presentaron problemas de seguridad, permitiendo que un posible atacante obtenga acceso a cuentas mediante técnicas de recolección de cuentas que aprovechan tres fallas de las aplicaciones: la enumeración de cuentas, la política de contraseñas deficiente y la falta de bloqueo de cuentas. Asimismo, cinco de los diez sistemas probados presentaron problemas asociados a la recolección de cuentas, con una interfaz de aplicación móvil que expone a los consumidores a riesgos similares.
- Problemas asociados a la privacidad: todos los sistemas probados recopilan algún tipo de información personal, como nombre, dirección, fecha de nacimiento, número de teléfono o incluso números de tarjetas de crédito. La exposición de la información personal es preocupante, dados los problemas de recolección de cuentas de todos los sistemas. También cabe señalar que el uso de video es un recurso clave de varios sistemas de seguridad para el hogar, con capacidades de visualización disponibles por medio de aplicaciones móviles e interfaces web basadas en la nube. La privacidad de las imágenes de video dentro del hogar se convierte en otro motivo de preocupación.
- Falta de cifrado de transporte: si bien todos los sistemas han implementado cifrado de transporte, como SSL/TLS, muchas de las conexiones a la nube continúan vulnerables a ataques (por ejemplo, ataques de tipo POODLE). La configuración adecuada del cifrado de transporte es especialmente importante, ya que la seguridad es la función principal de esos sistemas.
“A medida que seguimos aprovechando la comodidad y la disponibilidad de los dispositivos conectados, debemos comprender qué tan vulnerables se encuentran nuestros hogares y nuestras familias en virtud de estos dispositivos”, explica Jason Schmitt (@raidschmitt), Vicepresidente y Director General, Fortify, HP Enterprise Security Products (@HPsecurity). “Como diez de los principales sistemas de seguridad no disponen de recursos de seguridad fundamentales, los clientes deben adoptar cuidadosamente las medidas de seguridad simples y prácticas disponibles, y los fabricantes de dispositivos deben responsabilizarse de la incorporación de más seguridad en sus productos para evitar exponer a sus clientes a serias amenazas sin saberlo”.
Mientras los fabricantes de productos de IoT trabajan para incorporar las medidas de seguridad necesarias, es necesario que los consumidores tengan en cuenta la seguridad a la hora de elegir un sistema de monitoreo para sus hogares. Implementar redes domésticas seguras antes incorporar dispositivos de IoT poco seguros, establecer contraseñas complejas y adoptar el bloqueo de cuentas y la autenticación de dos factores son solo algunas de las medidas que los consumidores pueden adoptar para aumentar la seguridad de su experiencia de IoT. Los legisladores también están haciendo frente a este problema: la Comisión Federal de Comercio de los EE. UU. publicó recientemente un informe que analiza el equilibro entre las preocupaciones de seguridad y privacidad asociadas al desarrollo de los dispositivos de IoT.
Para obtener más información, visite el primer informe de esta serie sobre IoT, Estudio sobre la seguridad de la Internet de las cosas en 2014 de HP, que analiza la seguridad de los 10 dispositivos de IoT más comunes. Además, el más reciente Informe sobre seguridad de HP, Episodio 20: La Internet de las cosas, información general sobre seguridad, analiza cómo la llegada de millones de dispositivos conectados afecta la seguridad de la red, desde una perspectiva práctica.
Metodología
Elaborado por HP Fortify a partir de HP Fortify on Demand, el Informe sobre sistemas de seguridad para el hogar de HP probó 10 de los más populares dispositivos de IoT de seguridad para el hogar para detectar vulnerabilidades por medio de técnicas de pruebas de seguridad estándar, que combinan pruebas manuales y herramientas automatizadas. Los dispositivos y sus componentes se evaluaron con base en la lista OWASP Internet of Things Top 10 y en las vulnerabilidades específicas de cada categoría.
Los datos y porcentajes de este informe se obtuvieron a partir de los 10 sistemas de IoT probados. Dada la popularidad y semejanza de los 10 dispositivos, HP Fortify considera que los resultados son un buen indicador de la situación actual del mercado en lo que respecta a la seguridad y la Internet de las cosas.