Menu
in

Shodan, y por qué la Internet de las Cosas es insegura

Es probable que nuestros lectores se hayan cruzado con el buscador Shodan, dedicado a exponer en la Web toda clase de dispositivos mal configurados. Cámaras de vigilancia, cámaras IP, routers, impresoras… la lista es enorme, pero con el avance de la llamada «Internet de las Cosas», seguramente se hará mucho más larga. La gran pregunta es: ¿Dónde termina la responsabilidad del usuario, y en qué punto comienza la de los fabricantes?

Escuelas, salidas de bancos, tiendas, jardines, piscinas, callejones, zonas de construcción, estacionamientos, plazas… todo esto y mucho más puede aparecer con la ayuda de Shodan, una especie de «buscador de la vergüenza» que deja al descubierto todos esos dispositivos conectados a la Web con su configuración de fábrica. Lógicamente, es necesario destacar que esto no se trata de hacking: El buscador presenta muchas cámaras protegidas, pero hay otras que aún conservan sus parámetros básicos (por ejemplo, «admin» como usuario y contraseña), y en casos más aislados, ni siquiera tienen eso. ¿Quieres hacer la prueba? Veamos…

Un «live feed» de lo que parece ser algún punto en China. Incluso puedes mover la cámara si lo deseas…

Básicamente, todo lo que debes hacer es ingresar en la caja de búsqueda de Shodan «port:554 has_screenshot:true», sin las comillas. Cada uno de los resultados representa una cámara expuesta a la Web. Desde un garaje en Hungría hasta una sala de estar en Corea del Sur, la falta de cuidados no conoce fronteras. Esto deja en evidencia uno de los aspectos más preocupantes de la Internet de las Cosas: No es segura. A pesar de todo, la función de Shodan es benigna, ya que su crawler toma una imágen de la cámara y sigue con su trabajo, pero si una persona da a conocer todos sus movimientos a través de una cámara que supuestamente fue instalada para protegerlo a él, a su familia y a su hogar, lo que hace es invitar al desastre.

Mucho más perturbador: Un salón de pre-escolar

Como si eso fuera poco, nos encontramos ante una tormenta perfecta: El usuario promedio siente que no está obligado a saber nada sobre ciberseguridad, mientras que del otro lado, los fabricantes recortan funciones avanzadas de protección con el objetivo de reducir costos. De acuerdo a varios investigadores, informar al usuario no es suficiente, por lo que será necesario presionar a los fabricantes para brindar una seguridad apropiada en sus productos, y ante la negativa, aplicar sanciones. En el año 2014, la FTC estadounidense multó a la compañía TRENDNet por las graves fallas de seguridad en sus webcams. La dimensión del problema es escalofriante, ya que el propio Shodan reporta millones de cámaras en cada búsqueda. Hasta que no se logre imponer una serie de estándares mínimos para la seguridad de estos dispositivos, la sensación es que la Internet de las Cosas será un verdadero campo minado…

Escrito por Lisandro Pardo

Leave a Reply