HP revela vulnerabilidades en los sistemas de seguridad para el hogar
Un estudio de la firma en pruebas de seguridad reveló constató que el 100% de los dispositivos de seguridad para el hogar contienen vulnerabilidades incluyendo problemas de seguridad, cifrado y autenticación.
El análisis cuestiona si los dispositivos de seguridad conectados realmente ofrecen seguridad para el hogar o si aumentan los riesgos al proporcionar un acceso electrónico por medio de productos de IoT poco seguros. La compañía dijo aprovechar su tecnología Fortify on Demand para evaluar diez dispositivos de IoT de seguridad para el hogar, así como sus componentes de aplicación en la nube y móviles. Se constató que ninguno de los sistemas exige el uso de una contraseña segura, y que el 100% de los sistemas no ofrecen autenticación de dos factores.
Los problemas de seguridad comunes incluyen:
– Autorización insuficiente: los sistemas con interfaces web basadas en la nube e interfaces móviles no exigen contraseñas complejas y largas, y la mayor parte de los sistemas solo requieren una contraseña alfanumérica de seis caracteres. Además, ninguno de los sistemas tiene la capacidad de bloquear cuentas después de determinado número de intentos incorrectos.
– Interfaces poco seguras: todas las interfaces web basadas en la nube probadas presentaron problemas de seguridad, permitiendo que un posible atacante obtenga acceso a cuentas mediante técnicas de recolección de cuentas que aprovechan tres fallas de las aplicaciones: la enumeración de cuentas, la política de contraseñas deficiente y la falta de bloqueo de cuentas. Asimismo, cinco de los diez sistemas probados presentaron problemas asociados a la recolección de cuentas, con una interfaz de aplicación móvil que expone a los consumidores a riesgos similares.
– Problemas asociados a la privacidad: todos los sistemas probados recopilan algún tipo de información personal, como nombre, dirección, fecha de nacimiento, número de teléfono o incluso números de tarjetas de crédito. La exposición de la información personal es preocupante, dados los problemas de recolección de cuentas de todos los sistemas. También cabe señalar que el uso de video es un recurso clave de varios sistemas de seguridad para el hogar, con capacidades de visualización disponibles por medio de aplicaciones móviles e interfaces web basadas en la nube. La privacidad de las imágenes de video dentro del hogar se convierte en otro motivo de preocupación.
– Falta de cifrado de transporte: si bien todos los sistemas han implementado cifrado de transporte, como SSL/TLS, muchas de las conexiones a la nube continúan vulnerables a ataques (por ejemplo, ataques de tipo POODLE). La configuración adecuada del cifrado de transporte es especialmente importante, ya que la seguridad es la función principal de esos sistemas.
Mientras los fabricantes de productos de IoT trabajan para incorporar las medidas de seguridad necesarias, es vital que los consumidores tengan en cuenta la seguridad a la hora de elegir un sistema de monitoreo para sus hogares. Implementar redes domésticas seguras antes incorporar dispositivos de IoT poco seguros, establecer contraseñas complejas y adoptar el bloqueo de cuentas y la autenticación de dos factores son solo algunas de las medidas que los consumidores pueden adoptar para aumentar la seguridad de su experiencia de IoT, aconsejó HP.
Puede consultar hp.com/go/fortifyresearch/iot para información adicional acerca de la seguridad de las aplicaciones y otros detalles obtenidos a partir del estudio.
