Al menos 32 mil negocios y hogares inteligentes en riesgo de filtrar datos: Avast
De acuerdo con una investigación de la compañía, existen más de 49.000 servidores Message Queuing Telemetry Transport (MQTT) visibles públicamente en internet debido a la mala configuración del protocolo MQTT. Esto incluye más de 32.000 servidores sin contraseña, lo que los pone en riesgo de filtrar datos.
Explicó que el protocolo MQTT se usa para conectar y controlar dispositivos domésticos inteligentes por medio de hubs de hogares inteligentes. Al implementar el protocolo, los usuarios configuran un servidor. En el caso de los consumidores, por lo general, el servidor se encuentra en una PC o minicomputadora, como Raspberry Pi, a la que los dispositivos pueden conectarse y con la que pueden comunicarse.
Si bien el protocolo MQTT es seguro, advirtió que pueden surgir problemas de seguridad si no se implementa y configura bien. Los ciberdelincuentes pueden tener acceso al hogar y descubrir si los propietarios se encuentran allí, manipular los sistemas de entretenimiento, asistentes de voz y dispositivos domésticos, así como también ver si las puertas y ventanas inteligentes están abiertas o cerradas. Bajo ciertas condiciones, los ciberdelincuentes incluso pueden rastrear la ubicación del usuario, lo que amenaza tanto su privacidad como su seguridad.
“Es sencillo acceder y controlar un hogar inteligente porque aún hay muchos protocolos inseguros que se remontan a una era tecnológica pasada en la que la seguridad no era una prioridad”, afirmó Martin Hron, investigador en seguridad de Avast. “Los consumidores deben tomar conciencia de que estos problemas pueden surgir cuando conectan dispositivos que controlan sectores de su casa con servicios que no llegan a comprender completamente, y de la importancia de configurar adecuadamente sus dispositivos”.
Martin Hron describe cinco maneras en las que los hackers pueden aprovecharse de servidores MQTT mal configurados:
1.- Los servidores MQTT abiertos y desprotegidos pueden encontrarse mediante el motor de búsqueda ShodanIoT, y una vez conectados, los hackers pueden leer mensajes transmitidos utilizando el protocolo MQTT. Los hackers pueden, por ejemplo, leer el estado de los sensores de una puerta o una ventana inteligente y ver si las luces están prendidas o apagadas. También personas extrañas podrían controlar dispositivos conectados o contaminar los datos usando el protocolo MQTT.
2.- Incluso si un servidor MQTT está protegido, Avast encontró que era posible hackear un hogar inteligente dado que, en ciertos casos, el tablero del panel de control del hogar se ejecuta en la misma dirección IP que el servidor MQTT. Muchos usuarios utilizan la configuración predeterminada del software de la central que controla el hogar inteligente y éstas no suelen estar protegidas con una contraseña, lo que significa que un hacker puede obtener acceso al tablero y así controlar cualquier dispositivo conectado.
3.- Aun si el servidor MQTT y el tablero están protegidos, la compañía descubrió que en el caso del software de una central inteligente, Home Assistant, los recursos compartidos por Server Message Block (SMB), abiertos e inseguros, son públicos, y por lo tanto, accesibles para los hackers. SMB es un protocolo para compartir archivos en redes internas, principalmente en la plataforma Windows. Avast encontró directorios compartidos públicamente con todos los archivos de Home Assistant, incluidos los de configuración.
4.- Los propietarios pueden utilizar herramientas y aplicaciones para crear un tablero para un hogar inteligente basado en MQTT y así controlar los dispositivos conectados, pero si el servidor MQTT usado es inseguro, cualquiera puede acceder al tablero del usuario y hackear el domicilio.
5.- Avast también descubrió que el MQTT puede en ciertas instancias permitir que un hacker rastree la ubicación del usuario, dado que estos servidores se concentran en datos en tiempo real. Muchos de ellos están conectados a la aplicación móvil llamada OwnTracks. Esta aplicación está diseñada para que los usuarios compartan con otros su ubicación, pero también sirve para que los propietarios de hogares inteligentes permitan que sus dispositivos inteligentes sepan que se están acercando al domicilio. Para configurar la función de rastreo, los usuarios tienen que configurar la aplicación conectándola a un servidor MQTT y exponer ese servidor a internet. Durante este proceso, no se requiere que los usuarios definan credenciales para iniciar sesión, lo que implica que cualquiera puede conectarse al servidor MQTT. Los hackers incluso pueden leer mensajes que incluyan el nivel de batería del dispositivo, la ubicación del usuario determinada por la latitud, la longitud y la altura y la marca de hora para esa ubicación.
