Las múltiples vulnerabilidades en dispositivos de entretenimiento

En la era digital el imperativo es la conexión. El computador y el teléfono inteligente ya no bastan: cada vez nuestros hogares están más poblados de dispositivos de entretenimiento conectados a Internet que pueden representar serios riesgos frente a potenciales ataques informáticos.

El analista de seguridad de Kaspersky, David Jacoby, realizó un experimento de investigación en su propia sala para averiguar qué tan seguro es su hogar en esta materia. Y la conclusión es que estos aparatos muestran numerosas vulnerabilidades frente a la amenaza.

Los dispositivos de almacenamiento usualmente conectados a la red (NAS por sus siglas en inglés) pueden ser débiles ante amenazas como ejecución de código remoto o contraseñas accesibles.

El experto examinó dos modelos de unidades NAS de distintos proveedores, un Smart TV, un receptor de satélite y una impresora conectada a la red. Como resultado logró encontrar 14 vulnerabilidades en los dispositivos de almacenamiento conectados a internet, una vulnerabilidad en la Smart TV y varias funciones del control remoto potencialmente ocultas en el router.

- Ejecución de código remoto y contraseñas débiles: las vulnerabilidades encontradas permitirían a un atacante ejecutar de manera remota comandos del sistema con los privilegios de administración más altos. Los dispositivos de la investigación también tenían contraseñas débiles por defecto, muchos archivos de configuración tenían los permisos incorrectos y además contenían contraseñas en texto simple. En particular, la contraseña de administrador predeterminada de uno de los dispositivos contenía sólo un dígito. Otro dispositivo incluso compartía todo el archivo de configuración con contraseñas cifradas para todos en la red. 

Utilizando otra vulnerabilidad, el investigador fue capaz de cargar un archivo en un área de la memoria de almacenamiento inaccesible para usuarios comunes. Si se tratase de un archivo malicioso, el dispositivo comprometido se convertiría en una fuente de infección para otros dispositivos conectados a este NAS - una PC doméstica, por ejemplo -.

Por otra parte, teniendo en cuenta que la vulnerabilidad permitió cargar el archivo en una parte especial del sistema de archivos del dispositivo, la única manera de eliminarlo fue a través de la misma vulnerabilidad. Evidentemente, esto no es una tarea trivial incluso para un técnico especialista y mucho menos para el propietario promedio de los equipos de entretenimiento doméstico.

- Ataque vía intermediario mediante el Smart TV: mientras investigaba el nivel de seguridad de su propio Smart TV, el investigador de Kaspersky Lab descubrió que no se utiliza ningún tipo de cifrado en la comunicación entre el televisor y los servidores del proveedor del televisor. Eso abre potencialmente el camino para ataques vía intermediario (man-in-the-middle) que podrían acabar en la transferencia de dinero del usuario a los estafadores en el momento de intentar comprar contenido a través de la televisión. El investigador también descubrió que el Smart TV es capaz de ejecutar código Java que, en combinación con la capacidad para interceptar el intercambio de tráfico entre la televisión e Internet, podría resultar en ataques maliciosos mediante exploits.

- Funciones ocultas de espionaje de un router: el router DSL que se utiliza para proporcionar acceso inalámbrico a Internet para todos los demás dispositivos domésticos contenía varias características peligrosas ocultas para su propietario. Según el investigador, algunas de estas funciones ocultas podrían potencialmente proporcionar el acceso remoto ISP (Proveedor de Servicios de Internet) a cualquier dispositivo en una red privada.

"Las personas, así como las empresas deben entender los riesgos de seguridad relacionados con los dispositivos conectados a la red. También tenemos que estar conscientes que nuestra información no está segura sólo porque tenemos una contraseña fuerte, y que hay muchas cosas que no podemos controlar. Me tomó menos de 20 minutos encontrar y verificar vulnerabilidades extremadamente graves en un dispositivo que luce seguro y que incluso alude a la seguridad como parte de su nombre. La otra cuestión importante es el ciclo de vida de los dispositivos. Conforme me he enterado a través de conversaciones con los proveedores, algunos de ellos no desarrollarán revisiones de seguridad para un dispositivo vulnerable cuando termine su vida útil. Por lo general, este ciclo de vida útil dura uno o dos años, pero la vida real de los dispositivos - NAS por ejemplo - es mucho más larga. De cualquier modo que se le vea, no es una política muy justa", dijo David Jacoby, el autor de la investigación.

Todos los dispositivos deben actualizarse con las actualizaciones de firmware y seguridad más recientes. Esto reducirá el riesgo de aprovechar las vulnerabilidades conocidas.

Asegúrese de cambiar el nombre de usuario y contraseña por defecto. Esto es lo primero que un atacante intentará para comprometer su dispositivo.

La mayoría de los routers y switches domésticos tienen la opción para configurar su propia red para cada dispositivo y también restringen el acceso al dispositivo. Por ejemplo, si usted tiene una televisión, es posible que desee restringir el acceso a la televisión y sólo permitir que ésta tenga acceso a un recurso concreto dentro de la red. No tiene mucho sentido que su impresora esté conectada a la televisión.