El hogar inteligente, el hogar conectado, ¿el hogar inseguro?

Poco a poco nuestros hogares se van llenando de cosas capaces de conectarse a internet. Si hace no mucho se contabilizaban el número de ordenadores, portátiles, tabletas, teléfonos e incluso televisores como elementos conectados, y se hablaba del número de pantallas que tenían los usuarios, ahora se suman relojes, pulseras de fitners, enchufes, bombillas, termostatos, alarmas. Está claro que es un paso inevitable, como lo es que podamos desarrollar algún tipo de control con ello.

Este contenido forma parte del número de Septiembre de la revista IT Digital Security, cuyo tema de protada se centró en la Black Cloud. Puedes descargarla desde este enlace.

La clave de la interconexión de dispositivos para el control del hogar digital es un protocolo: Message Queuing Telemetry Transport (MQTT). El protocolo MQTT es el que se utiliza para interconectar y controlar los dispositivos de un hogar inteligente a través de un hub. Al implementar el protocolo MQTT, los usuarios configuran un servidor que en el caso de los usuarios es un ordenador o incluso un mini ordenador como Raspberry Pi, con la cual los dispositivos pueden conectarse y comunicarse. Se trata de un protocolo seguro en sí mismo, pero como ocurre en muchas ocasiones, si su implementación no se hace correctamente puede generar grandes problemas de seguridad. Y eso es lo que pone de manifiesto un reciente informe de Avast.

La compañía de seguridad ha utilizado Shodan IoT y ha detectado más de 49.000 servidores MQTT visibles públicamente en Internet como consecuencia de una configuración incorrecta del protocolo. “Esto incluye más de 32.000 servidores que no tenían protección con contraseña, lo que pone a estas casas inteligentes y negocios que usan dichos servidores MQTT en riesgo de filtración de datos”, explica Martin Hron, investigador de seguridad de Avast, añadiendo que no sólo se podrían manipular los sistemas de entretenimiento, sino abrir una puerta. Es más, bajo ciertas condiciones, los ciberdelincuentes incluso pueden rastrear el paradero de un usuario, lo que puede ser una seria amenaza para la privacidad y la seguridad.

Por qué es necesario el protocolo MQTT

Controlar de manera manual un puñado de dispositivos no es problema, pero cuando la cifra crece puede convertirse en un imposible. Llega un momento en que sin automatización no puede haber gestión; ese momento en que los dispositivos inteligentes se conectan unos con otros y cooperan en la realización de tareas en las que no se requiere interacción humana; ese momento en el que llegas a casa, la puerta del garaje se abre, las luces se encienden, la calefacción ha arrancado hace veinte minutos y la música suena en el salón.

En todo ello han participado sistemas de localización que determinan que el usuario está llegando a casa a una hora en la que se requiere de luz, a una temperatura que inicia el termostato y en el momento del día que necesitas desconectar escuchando algo de buena música. El entorno puede ser idílico mientras que un problema de seguridad no lo convierta en un infierno.

Es decir, los sistemas que te permiten controlar tu hogar conectado desde un dispositivo móvil y desde cualquier parte del mundo existen. La gran pregunta es: ¿Son seguros?

Message Queuing Telemetry Transport, O MQTT, fue desarrollado a finales de los años 90 como uno de los protocolos SCADA, y por tanto utilizado principalmente en entornos industriales para, como su nombre indica, transportar mensajes cortos de datos de telemetría. No existe un estándar relacionado con el formato de datos que transporta, de forma que puede llevar, virtualmente, cualquier carga. El protocolo se entiende como un modelo de suscriptor/editor; funciona como una fuente RSS: se suscribe a un tema, y una vez que alguien publica algo sobre el tema, la carga se entrega a todos los suscriptores.

Como asegura Martin Hron, “no existe un problema de seguridad con el protocolo MQTT ni con el software de servidor más común que implementa este protocolo (o broker como se lo conoce en el caso de MQTT), que se denomina Mosquitto”. De hecho, tanto MQTT como Mosquitto tienen amplias capacidades de seguridad, por ejemplo, para proporcionar un control de acceso detallado por usuario y tema. “Al igual que con muchas cosas, los problemas se crean en la implementación y configuración”, dice el experto de seguridad de Avast, que en la investigación describe cinco maneras en las que los servidores MQTT mal configurados pueden ser explotados por los ciberdelincuentes.

En primer lugar, servidores MQTT abiertos y no protegidos que pueden encontrarse utilizando el motor de búsqueda Shodan. Cuando un ciberdelincuente se conecta a estos servidores pueden leer los mensajes transmitidos mediante este protocolo. En su estudio, Avast muestra que los chicos malos son capaces de leer el estado de los sensores inteligentes y saber cuándo se encienden y apagas las luces; incluso de falsificar los datos para abrir una puerta o encender la calefacción a deshora.

Hay un paso más: cuando un servidor MQTT está protegido, Avast descubrió que un hogar inteligente puede ser hackeado a través del panel de control. Explica la compañía que muchos usuarios utilizan configuraciones predeterminadas que vienen con su software Smart Home Hub y que a menudo no están protegidas con contraseña, lo que significa que un pirata informático puede obtener acceso completo al panel de control, lo que le permitía virtualmente controlar cualquier dispositivo conectado a través de ese panel.

Si tanto el servidor MQTT como el panel de control están convenientemente protegidos, en su estudio Avast descubrió que en el caso del software Home Assistant, las acciones SMB abiertas y no seguras son públicas y, por lo tanto, accesibles para los ciberdelincuentes. Explica la compañía en su estudio que SMB es un protocolo utilizado para compartir archivos en redes internas, principalmente en la plataforma de Windows. Avast encontró directorios compartidos públicamente con todos los archivos de Home Assistant, incluidos los archivos de configuración. En los archivos expuestos, Avast encontró un archivo que almacena contraseñas y claves en texto plano, lo que permitiría obtener el control completo de un hogar.

Los propietarios de la casa inteligente pueden usar herramientas y aplicaciones para crear un panel de control basado en MQTT y así poder controlar sus dispositivos conectados. Entre las herramientas está MQTT Dash con la que los usuarios tienen la opción de publicar la configuración que utilizan para poderla replicar fácilmente en tantos dispositivos como deseen. Según Avast, si el servidor MQTT utilizado no es seguro, un pirata puede acceder fácilmente al tablero del usuario, lo que le permite hackear fácilmente el hogar inteligente.

Finalmente, Avast descubrió que MQTT puede, en ciertas instancias, permitir a los ciberdelincuentes rastrear la ubicación de los usuarios, ya que los servidores MQTT normalmente se concentran en datos en tiempo real. Muchos servidores MQTT están conectados a una aplicación móvil llamada OwnTracks, que ofrece a los usuarios la posibilidad de compartir su ubicación con otras personas, pero también puede ser utilizado por propietarios inteligentes para que los dispositivos inteligentes del hogar puedan saber cuándo el usuario se acerca al hogar, para activar dispositivos inteligentes, como lámparas inteligentes. Para configurar la función de seguimiento, los usuarios deben configurar la aplicación conectándose a un servidor MQTT y exponiendo el servidor MQTT a Internet. Durante este proceso, los usuarios no están obligados a configurar las credenciales de inicio de sesión, lo que significa que cualquier persona puede conectarse al servidor MQTT. Los hackers pueden leer mensajes que incluyen el nivel de batería de un dispositivo, la ubicación que usa puntos de latitud, longitud y altitud, y la marca de tiempo para la posición.