Un equipo internacional de investigadores, dirigido por IMDEA Networks y la [Northeastern University]https://www.northeastern.edu, en colaboración con IMDEA Software, la NYU Tandon School of Engineering, la Universidad Carlos III de Madrid, la Universidad de Calgary y el International Computer Science Institute, ha desvelado hallazgos pioneros sobre los retos de seguridad y privacidad que plantea la creciente prevalencia de dispositivos opacos y técnicamente complejos del Internet de las Cosas (IoT) en los hogares inteligentes.
El amplio estudio del equipo de investigadores, titulado "In the Room Where It Happens: Characterizing Local Communication and Threats in Smart Homes", se presentó la semana pasada en la ACM Internet Measurement Conference (ACM IMC'23) de Montreal (Canadá). El artículo profundiza por primera vez en los entresijos de las interacciones de la red local entre 93 dispositivos IoT y aplicaciones móviles, revelando una cantidad excesiva de amenazas a la seguridad y la privacidad no desveladas hasta ahora y con implicaciones reales en el mundo real.
Hogares inteligentes: ¿Entornos fiables y seguros?
Los hogares inteligentes están cada vez más interconectados y comprenden una serie de dispositivos IoT que van desde teléfonos y televisores inteligentes hasta asistentes virtuales y cámaras de circuito cerrado de televisión. Estos dispositivos tienen sensores como cámaras, micrófonos y otras formas de detectar y monitorizar lo que ocurre en nuestros espacios más privados: nuestras casas. Pero, la cuestión es: ¿se puede confiar en que estos dispositivos están manejando y protegiendo de forma segura los datos sensibles a los que tienen acceso?
“Cuando pensamos en lo que ocurre entre las paredes de nuestro hogar, imaginamos que es un lugar privado y de confianza. En realidad, descubrimos que los dispositivos inteligentes están traspasando ese velo de confianza y privacidad, de forma que permiten a casi cualquier empresa saber qué dispositivos hay en tu casa, saber cuándo estás en ella y su ubicación. Por lo general, estos comportamientos no se comunican a las personas consumidoras, y es necesario mejorar la protección en el hogar”, afirma David Choffnes, Profesor Asociado de Informática y Director Ejecutivo del Instituto de Ciberseguridad y Privacidad de la Universidad Northeastern.
Aunque la mayoría de los usuarios suelen considerar las redes locales como un entorno fiable y seguro, las conclusiones del estudio ponen de manifiesto nuevas amenazas asociadas a la exposición involuntaria de datos sensibles por parte de dispositivos IoT dentro de redes locales debido al uso inadecuado de protocolos estándar como UPnP o mDNS. Estos datos incluyen la exposición de nombres únicos de dispositivos, UUID e incluso datos de geolocalización de hogares, los cuales pueden ser cosechados por la oscura industria digital de los datos y el marketing sin que la persona usuaria sea consciente de ello.
Según Vijay Prakash, estudiante de doctorado de la NYU Tandon y coautor del artículo, “analizando los datos recogidos por la herramienta IoTInspector, encontramos pruebas de que los dispositivos IoT exponen inadvertidamente al menos una información personal identificable, como la dirección única de hardware (MAC), UUID o nombres únicos de dispositivos, en miles de hogares inteligentes del mundo real. Cualquier identificador y metadato es útil para identificar un hogar, pero la combinación de los tres hace que una casa sea única y fácilmente identificable de manera global. A modo de comparación, si a un usuario web se le perfila utilizando la técnica más sencilla de “fingerprinting”, es tan única como una de cada 1.500 personas. Si se perfila un hogar inteligente con sólamente tres datos de dispositivos IoT, es tan único como uno de cada 1,12 millones de hogares inteligentes”.
Estos protocolos de red local pueden emplearse como canales laterales para acceder a datos que supuestamente están protegidos por varios permisos de Android, como la ubicación de los hogares. “Un canal lateral es una forma un tanto furtiva de acceder indirectamente a datos sensibles. Por ejemplo, se supone que los desarrolladores de aplicaciones Android deben solicitar permisos del sistema para obtener el consentimiento de los usuarios y usuarias para acceder a datos como la geolocalización. Sin embargo, hemos demostrado que ciertas aplicaciones espía y empresas de publicidad abusan de los protocolos de red locales para acceder silenciosamente a esa información sensible sin que la persona usuaria sea consciente de ello. Todo lo que tienen que hacer es pedírselo amablemente a otros dispositivos IoT desplegados en la red local utilizando protocolos de red estándar como UPnP.”, afirma Narseo Vallina-Rodríguez, Profesor Asociado de IMDEA Networks y cofundador de AppCensus.
“Detectar este tipo de amenazas es un reto, y para ofrecer una visión completa de los problemas en los hogares inteligentes, hemos recurrido a una combinación única de experimentos manuales y automatizados, además de métodos de análisis complementarios que incluyen tráfico pasivo, capturas de escaneos activos, honeypots de protocolos, interacciones de tráfico entre aplicaciones y dispositivos IoT e interacciones locales orgánicas de dispositivos IoT reales procedentes de 3.800 hogares”, comenta Srdjan Matic, investigador del Instituto IMDEA Software.
“Nuestro estudio demuestra que los protocolos de red local usados por dispositivos IoT no están lo suficientemente protegidos y exponen información sensible sobre el hogar y el uso que hacemos de los dispositivos. Esta información está siendo recogida de forma opaca y facilita que se elaboren perfiles de nuestros hábitos o nivel socioeconómico”, añade Juan Tapiador, catedrático de la UC3M.
Implicaciones más amplias
El impacto de esta investigación va mucho más allá del mundo académico. Las conclusiones subrayan la necesidad imperiosa de que fabricantes, desarrolladores de software, operadores de plataformas IoT y móviles y reguladores tomen medidas para mejorar las garantías de privacidad y seguridad de los dispositivos domésticos inteligentes y de los hogares. El equipo de investigación comunicó responsablemente estos problemas a los proveedores de dispositivos IoT vulnerables y al equipo de seguridad de Android de Google, lo que ya ha implicado mejoras de seguridad en algunos de estos productos.