Avast, la empresa de productos de ciberseguridad, ha publicado un estudio referente a la seguridad de los dispositivos IoT. Destaca que más de 49.000 servidores Message Queueing Telemetry Transport (MQTT) se encuentran visibles en Internet a consecuencia de una mala configuración del protocolo.
Este fallo provoca que existan más de 32.000 servidores que no poseen una protección de contraseñas, quedando expuestos a posibles riesgos de filtraciones de datos. Este dato es importante ya que los dispositivos domésticos inteligentes se interconectan y controlan con el protocolo MQTT. Hay que tener en cuenta que el protocolo en sí es seguro, el problema surge cuando en el momento de implementarlo que no se configura adecuadamente.
Consecuencias de una mala configuración
Si no se instala correctamente el protocolo, los delincuentes cibenéticos pueden obtener un acceso completo a todos los dispositivos inteligentes del hogar, y pueden llegar a controlarlos.
«Es fácil obtener acceso y control de la casa inteligente de una persona, porque todavía hay muchos protocolos poco seguros que datan de épocas pasadas de la tecnología cuando la seguridad no era una preocupación principal», dijo Martin Hron, investigador de seguridad de Avast.
Cinco formas de acceso al hogar
Martin Hron describe cinco formas en las que los Hackers pueden entrar en los servidores MQTT:
- A través del motor de búsqueda Shodan IoT, tienen acceso a los mensajes del protocolo MQTT, conociendo en todo momento el estado de los sensores inteligentes de las puertas, ventanas u otros dispositivos.
- Si el servidor está protegido puede ser hackeado y tener el control del hogar inteligente.
- La compañía descubrió que el software Smart Hub y el software Home Assitant son abiertas y no seguras, ya que el protocolo SMB es público. SMB es un protocolo que se utiliza para compartir los archivos en la red interna, principalmente con la plataforma Windows, y algunos directorios son compartidos públicamente con todos los archivos de Home Assitant.
- Los usuarios tienen la opción de publicar la configuración en el servidor MQTT para replicarla en diversos dispositivos. Hay que cerciorarse que el servidor MQTT que utilizan es seguro.
- Avast encontró que a través de la aplicación Own Tracks, los hacker pueden conocer la posición de los dueños de la casa en tiempo real.