Conclusiones clave
- El lunes 17 de mayo a las 4:50 a. m. EDT, un error expuso las transmisiones de las cámaras de seguridad de Eufy.
- Los dispositivos de hogar inteligente e Internet de las cosas no priorizan la seguridad.
- La legislación puede obligar a los proveedores a tomar en serio la seguridad de sus usuarios.
Los propietarios de cámaras de seguridad inteligentes Eufy se despertaron con una pesadilla al estilo de Hollywood a principios de esta semana cuando una violación expuso sus cámaras domésticas a cualquier persona en Internet. ¿Cómo podemos estar mejor protegidos?
Una actualización de software provocó la infracción y se solucionó después de una hora. Pero durante ese tiempo, un puñado de usuarios de Eufy notaron que tenían acceso a las transmisiones de cámaras en vivo de otros usuarios, así como a videos grabados. La brecha también otorgó acceso completo a la cuenta, lo que significa que cualquiera podía girar e inclinar las cámaras de extraños para ver bien sus hogares. Esto res alta los problemas inherentes a todos los dispositivos domésticos inteligentes.
"A medida que introducimos más tecnología en el hogar, los ciberdelincuentes centrarán cada vez más su atención en estos nuevos sistemas", dijo Ben Dynkin, cofundador y director ejecutivo de Atlas Cybersecurity, a Lifewire por correo electrónico. "Este mayor escrutinio por parte de los delincuentes inevitablemente dará como resultado un número cada vez mayor de ataques, y ninguna ley o regulación podrá bloquearlo. Para resolver ese problema, debemos encontrar formas nuevas e innovadoras para proteger los sistemas y disuadir la actividad delictiva".
Inseguro por diseño
En una declaración proporcionada a Lifewire por el fabricante de Eufy, Anker, una actualización de software provocó el error, que afectó a 712 usuarios y se solucionó en menos de dos horas.
Sin embargo, los problemas subyacentes persisten. Los dispositivos de Internet de las cosas, como se clasifican estos dispositivos domésticos inteligentes, no están diseñados para ser seguros.
"Actualmente, los dispositivos IoT a menudo no se construyen teniendo en cuenta la seguridad", dijo Dan Tyrrell de la empresa de pruebas de penetración Cob alt.io a Lifewire por correo electrónico. El problema es que los diseñadores y proveedores están más interesados en las funciones que en la seguridad.
"El mercado de IoT está constantemente innovando con empresas nuevas y establecidas que traen productos y soluciones al mercado a un ritmo vertiginoso", dice Dynkin. "Esto significa que para que las empresas tengan éxito en el espacio, deben innovar rápidamente y tratar de superar a sus competidores, lo que significa, inevitablemente, que la seguridad será tratada como una consideración secundaria, en lugar de un principio fundamental del producto. Esto lleva a vulnerabilidades ubicuas que pueden ser explotadas."
Curiosamente, las personas que conectaron sus cámaras Eufy solo usando HomeKit Secure Video de Apple no se vieron afectadas por esta infracción, lo que demuestra que es posible un enfoque de seguridad primero.
Reglamento
Estas infracciones no se detendrán hasta que la seguridad se vuelva al menos tan importante como las características, y eso no sucederá hasta que alguien obligue a los proveedores de hogares inteligentes a tomarlo en serio. Una respuesta es la regulación gubernamental, como la que tenemos para mantener nuestros alimentos seguros, y el roaming de teléfonos móviles de la UE a bajo precio. La regulación impondría estándares mínimos a los proveedores y los castigaría por incumplimientos.
"La regulación no es necesariamente la bala de plata para garantizar que los dispositivos IoT sean seguros", dice Tyrrell. "En cambio, deberíamos ver la regulación como un paso en la dirección correcta. Advierto que cumplir con un estándar regulatorio no es lo mismo que estar seguro, pero es mejor que nada".
Para resolver ese problema, debemos encontrar formas nuevas e innovadoras de proteger los sistemas y disuadir la actividad delictiva.
Otros se oponen por completo a la regulación. Paul Engel, fundador de The Constitution Study, resume esta actitud.
"Lo último que necesitamos es más interferencia del gobierno", dijo Engel a Lifewire por correo electrónico. "Unas cuantas demandas costosas y pagos de seguros harían más para impulsar a estas empresas a mejorar su seguridad de lo que cualquier legislación podría".
Al final, la mayoría de las protecciones al consumidor provienen de la regulación gubernamental. Y dadas las tendencias históricas, es probable que la Unión Europea actúe primero en esto, pero EE. UU. ya tiene algunas leyes sobre las que basarse.
"Podríamos extender los estándares establecidos en la Ley de mejora de la seguridad cibernética de Internet de las cosas de 2020, que actualmente solo cubre equipos adquiridos por agencias gubernamentales, a productos comerciales y de consumo", dijo a Lifewire Paul Bischoff, defensor de la privacidad en Comparitech. vía correo electrónico. "Eso incluye actualizaciones remotas y automáticas de firmware y software, gestión de identidades y encriptación".
Sin mayor seguridad, las cosas van a empeorar.
Protégete
La forma más fácil de evitar las infracciones de IoT es no instalar ningún dispositivo doméstico inteligente. Pero si es absolutamente necesario tener un timbre inteligente o una cámara de seguridad, hay precauciones que puede tomar. Primero, considera los dispositivos que no usan Internet.
"Puede optar por una cámara de seguridad que almacene videos en un dispositivo local en lugar de un servidor en la nube", dice Bischoff. "[Y] puede enrutar dispositivos IoT a través de una VPN instalada en su enrutador Wi-Fi, que oculta su dirección IP y ubicación reales y encripta los datos en tránsito".
A medida que introducimos más tecnología en el hogar, los ciberdelincuentes centrarán cada vez más su atención en estos nuevos sistemas.
Al final, lo más importante es recordar que la seguridad de tus dispositivos es tu responsabilidad.
"Los consumidores deben practicar una buena higiene cibernética con sus dispositivos IoT", dice Tyrrell. "Cuando sea posible, cambie los nombres de usuario y las contraseñas predeterminados. Solo conecte los dispositivos necesarios a Internet. Comprenda que es su trabajo como propietario del dispositivo actualizar los parches, y hágalo con regularidad. Finalmente, mantenga una red local separada en su hogar para todos los dispositivos IoT para reducir el impacto de una violación de uno de esos dispositivos".