El estudio de HP Fortify reveló que todos los dispositivos estudiados que se utilizan en la seguridad del hogar tienen serios problemas de seguridad como resultado de estar en línea, incluyendo la seguridad de las claves, problemas de autenticación y de cifrado. Los sistemas de seguridad en el hogar, tales como cámaras de video y detectores de movimiento, han ganado popularidad según se han incorporado al creciente mercado del Internet de las Cosas.
Gartner prevé que se utilizarán 4.900 millones de cosas conectadas en 2015, un 30% más que en 2014, y serán 25.000 millones en 2020.
El estudio reveló cuán mal equipado está el mercado desde un punto de vista de seguridad para la magnitud del crecimiento esperado en el Internet de las Cosas. Los fabricantes están incorporando rápidamente al mercado sistemas de seguridad conectada que ofrecen capacidades de monitorización remota.
El acceso y conectividad a la red necesaria para la monitorización remota, presenta nuevas preocupaciones de seguridad que no existían en la generación anterior de sistemas que no tenían conectividad a Internet. En el estudio de HP se persigue la pregunta de si los hacen en realidad nuestras casas más seguras o las ponen en mayor riesgo al ofrecer un acceso electrónico más fácil vía productos inseguros de Internet de las Cosas. Para ello han utilizado HP Fortify on Demand para evaluar 10 dispositivos de seguridad en el hogar de Internet de las Cosas junto con sus componentes en la nube y de aplicación móvil.
La investigación ha descubierto que ninguno de los sistemas requería la utilización de una clave fuerte, y que el cien por cien de los sistemas falló en ofrecer una autenticación de factor doble. Todos los sistemas que incluían interfaces web basadas en la nube e interfaces móviles, fallaron en el requerimiento de claves de suficiente complejidad y longitud, con la mayoría requiriendo claves con sólo seis caracteres alfanuméricos. Todos los sistemas carecían además de la capacidad de bloquear las cuentas después de un cierto número de intentos fallidos. Además, todas las interfaces web basadas en la nube que fueron probadas, tuvieron problemas de seguridad que permitían a un atacante potencial ganar acceso a la cuenta por tres problemas de la aplicación: enumeración de cuenta, claves débiles y falta de bloqueo de la cuenta.
De forma similar, cinco de los diez sistemas probados tenían un problema similar con su interfaz de aplicación móvil, exponiendo a los consumidores a riesgos similares. Todos los sistemas recogían algún tipo de información personal, tales como nombre, dirección, fecha de nacimiento, número de teléfono o incluso números de tarjetas de crédito.
La exposición de esta información personal es preocupante debido a los problemas de seguridad en todos los sistemas. También conviene destacar que el uso de video es una característica clave de muchos de los sistemas de seguridad en el hogar, con la visión accesible vía aplicaciones móviles o interfaces web basadas en la nube. La privacidad de las imágenes de video del interior del hogar es un problema añadido. Mientras todos los sistemas implantan cifrado de transporte tipo SSL/TLS, muchas de las conexiones en la nube son vulnerables a ataques. Un cifrado de transporte convenientemente configurado es especialmente importante, ya que la seguridad es la función primaria de estos sistemas. Según HP, si queremos aceptar la comodidad y disponibilidad de los dispositivos conectados, debemos conocer cuán vulnerables pueden hacer que sean nuestras casas y nuestras familias.
La implantación de redes seguras en el hogar antes de añadir dispositivos de Internet de las Cosas, el establecimiento de claves complejas, bloqueos de cuenta y autenticación de dos factores son sólo algunas medidas que los consumidores deben de tomar para hacer que su experiencia con el Internet de las Cosas sea más segura.
– Brian Karlovsky, ARN
