Algunos dispositivos IoT para el hogar son vulnerables

23 abril, 2020
7 Compartido 1,298 Visualizaciones

Los usuarios deben actualizarlos numerosos dispositivos de IoT para reducir los riesgos de ataques.

ESET, una de las mayor empresa de ciberseguridad de la Unión Europea, ha alertado sobre una serie de vulnerabilidades encontradas en los dispositivos Fibaro Home Center Lite, HomeMatic Central Control Unit (CCU2) y eLAN-RF-003 que se utilizan en casas conectadas para gestionar precisamente otros dispositivos conectados.

Debido a los agujeros de seguridad encontrados por ESET, los ciberdelincuentes podrían llevar a cabo ataques MitM, espiar a las víctimas, crear puertas traseras o acceder como administradores a los dispositivos y a sus contenidos. En los peores casos, los ciberdelincuentes podrían llegar a tomar el control de las unidades centrales y de todos los dispositivos conectados a ellas.

La compañía ya avisó en 2018 a los fabricantes de estos dispositivos, que desde entonces han lanzado parches de actualización para la mayoría de sus productos. Sin embargo, la compañía no había informado hasta ahora debido a las investigaciones que están en curso sobre otras vulnerabilidades existentes. Debido a la situación actual que vivimos, y al uso masivo de dispositivos IoT, ha recopilado la información acerca de estas vulnerabilidades con el objetivo de alertar a los usuarios de dispositivos afectados para que apliquen las últimas actualizaciones e incrementen su protección.

 Hemos observado que las vulnerabilidades en dispositivos IoT siguen siendo muy numerosas. Nuestra investigación muestra problemas en la configuración y fallos en el cifrado y en la autenticación”, avisa Ondrej Kubovic, especialista en seguridad y concienciación de ESET. “Queremos destacar que estos defectos no son exclusivos de los dispositivos más baratos, sino que se encuentran también en aparatos de gama alta”.

Uno de los dispositivos en los que se han encontrado vulnerabilidades es el Fibaro Home Center Lite, un controlador de automatismos para el hogar diseñado para controlar una amplia variedad de dispositivos periféricos en una casa conectada. Las vulnerabilidades facilitarían la entrada de los ciberdelincuentes, que podrían crear una puerta trasera accediendo mediante SSH y conseguir el control total del dispositivo. Después de avisar al fabricante, esta incidencia se resolvió rápidamente.

Otro de los dispositivos, el HomeMatic CCU2, la unidad central del sistema eQ-3, también mostraba vulnerabilidades importantes, ya que permitía la ejecución remota de código como root sin necesidad de autenticación. Esto implica que los ciberdelincuentes podrían conseguir el control de los dispositivos CCU2, pero también de otros conectados a la red. El agujero de seguridad se resolvió después de avisar al fabricante.

El tercer dispositivo vulnerable era el eLAN-RF-003, diseñado como una unidad central para una casa conectada con el objetivo de permitir el control de una variedad de sistemas domóticos a través de una aplicación instalada en el teléfono, en el reloj inteligente, en la tablet o incluso en la TV. ESET comprobó la seguridad del dispositivo junto con dos dispositivos periféricos del mismo fabricante: bombillas LED sin cable y un enchufe atenuador. Los análisis mostraron que conectar el dispositivo a Internet o incluso a la red local podría ser potencialmente peligroso para el usuario debido a las vulnerabilidades que presentaba, entre las que se encuentran la ejecución de comandos sin necesidad de autenticarse o posibilidades de comunicación por radio con otros dispositivos para replicar ataques. El fabricante resolvió alguna de estas vulnerabilidades y luego decidió desarrollar nuevas versiones del dispositivo.

Te podría interesar

MOBILE COMMERCE CONGRESS 2018: SÍGUELO EN DIRECTO
Actualidad
434 compartido3,841 visualizaciones
Actualidad
434 compartido3,841 visualizaciones

MOBILE COMMERCE CONGRESS 2018: SÍGUELO EN DIRECTO

Samuel Rodríguez - 25 octubre, 2018

https://youtu.be/4OwkoNFVrS4

Juan Vaamonde, nuevo country manager de DATA4 España
Actualidad
16 compartido2,918 visualizaciones
Actualidad
16 compartido2,918 visualizaciones

Juan Vaamonde, nuevo country manager de DATA4 España

Redacción BDM - 29 julio, 2019

Tras su aterrizaje en Madrid en el pasado mes de junio, DATA4, el operador europeo de centros de datos ultra seguros, flexibles y de alto rendimiento, ha nombrado…

Una multinacional alemana de tecnología establece un código ético de IA
Actualidad
8 compartido1,428 visualizaciones
Actualidad
8 compartido1,428 visualizaciones

Una multinacional alemana de tecnología establece un código ético de IA

Redacción BDM - 21 febrero, 2020

La creación de este código ético tiene como objetivo guiar a los trabajadores en el tipo de tecnología que deben desarrollar y buscar que las personas confíen…

Dejar comentario

Su email no será publicado

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.