Los gigantes de la Web tratan día a día de que nuestras casas sean más «inteligentes», o mejor dicho, más dependientes de sus plataformas. Las estanterías y las tiendas en línea están repletas de productos «Smart» que podrían causar una verdadera crisis de seguridad si fallan. Así es como llegamos a Destin del canal Smarter Every Day, quien decidió unir fuerzas con un investigador de la Universidad de Michigan para introducir comandos falsos en los principales asistentes digitales… usando un rayo láser.
Lo más probable es que ya tengas acceso a un asistente en tu dispositivo móvil. Un Amazon Echo Flex cuesta apenas 20 euros, y si quieres un Echo Dot, son 10 euros más. Lo que quiero decir con esto es que incorporar un sistema de asistencia digital a nuestros hogares no es tan costoso. Por supuesto, el precio del sistema aumenta con las funciones integradas, pero si el plan es escuchar música o responder una llamada… ya puedes hacerlo.
Ahora, que estos productos se presenten como opciones «inteligentes» y bajen sus precios no quiere decir que sean más seguros. Si bien es cierto que muchas personas mejoraron notablemente su calidad de vida gracias a ellos, también debemos considerar cualquier vulnerabilidad existente. Eso es exactamente lo que hizo Destin de Smarter Every Day. Buscó la ayuda de Benjamin Cyr, uno de los investigadores detrás del proyecto Light Commands, y ambos fueron a comprar varios dispositivos inteligentes con el objetivo de inyectar comandos falsos en ellos, a puro láser:
Light Commands aprovecha una vulnerabilidad en los micrófonos MEMS (siglas de Sistemas Micro-Electro-Mecánicos) que permite enviar comandos completamente inaudibles e invisibles para el usuario a los principales asistentes digitales del mercado. Acceder a esta vulnerabilidad depende de múltiples factores, incluyendo marca, modelo y posición del dispositivo, pero en sus pruebas iniciales han logrado atacar a dispositivos a una distancia de 70 metros.
El experimento de Destin y Benjamin se llevó a cabo con una escala mucho menor, sin embargo, eso no lo hace menos interesante. Todo lo contrario: El primer paso fue «convencer» al asistente de Google de subir el termostato ocho grados, y después bajarlo otros cinco. En la segunda prueba atacaron a un Echo Dot (tercera generación), y le ordenaron que la luz del pasillo se volviera verde, pero interpretó al comando falso como luz azul.
La tercera fase los llevó afuera. Destin instaló una cerradura inteligente de marca August, que posee una seria vulnerabilidad: No tiene límite de reintentos para el código PIN. En otras palabras, un atacante podría usar simple fuerza bruta para abrir una puerta. Tomaría mucho tiempo… pero funcionaría.
Si bien es fácil defenderse de este ataque (trata de que los micrófonos no mantengan una línea visual al exterior), también sirve de advertencia. Estos dispositivos «inteligentes» no siempre priorizan la seguridad, y antes de escoger uno (cediendo parte del control de nuestros hogares en el proceso) debemos estudiar muy bien ese aspecto. De lo contrario… «analógico y tonto» siempre es una opción.
(N. del R.: El fabricante August confirmó que una nueva actualización de software ahora limita el número de reintentos a cuatro.)
Sitio oficial de Light Commands: Haz clic aquí