Tu casa cada vez está más conectada ¿Están tus datos a salvo?

Por Irreductible, el 18 junio, 2018. Categoría(s): Divulgación • Gadgets • Tecnología

Imagen título

Cada día aparecen en el mercado nuevos dispositivos para automatizar nuestro hogar y hacerlo más “inteligente”, desde sensores de temperatura que se comunican con los sistemas de climatización de la casa y la mantienen a una temperatura agradable de forma automática o nos permiten controlar dichos sistemas desde nuestro smartphone, pasando por aspiradoras a las que podemos ordenar que limpien desde el trabajo con el móvil, hasta llegar a cerramientos de ventanas y puertas también controlables de forma remota. Todos estos aparatos tienen algo en común: tienen algún tipo de conexión inhalámbrica para que nos podamos comunicar con ellos desde nuestro smartphone, ordenador o tablet e incluso muchos están conectados a internet, pero ¿Qué riesgos conlleva este tipo de dispositivos? ¿Nos preocupamos de su seguridad a la hora de adquirirlos?

La seguridad de los datos de los sensores y controles de nuestro hogar no es algo trivial, debemos pensar que la información de cuándo activamos o desactivamos sistemas como la climatización, las aperturas o cierres de puertas, la activación de las cámaras y sensores para controlar que nadie entre en nuestra casa, etc. puede dar pistas a posibles ladrones de cuándo dejamos la casa vacía y cuantas horas vamos a estar ausentes. Pero también hay que tener en cuenta que toda la información recogida por estos sensores va a parar a los servidores de las empresas que los producen y no son pocos: datos de nuestros gastos de climatización, nuestras entradas y salidas en casa, datos biométricos obtenidos desde nuestras básculas “inteligentes”, el plano de nuestra casa tomado por la aspiradora al hacerse su mapa al aspirar, imágenes de nosotros y de la vivienda si tenemos cámaras de seguridad conectadas, incluso nuestras conversaciones si tenemos un altavoz asistente que permanece siempre a la escucha. ¿De verdad no nos preocupa qué pueden hacer estas empresas con toda esta información? ¿Son seguros sus sistemas de almacenamiento o pueden ser fácilmente vulnerables por alguien que quiera robar nuestros datos?

Una cosa muy cierta es que la seguridad de los dispositivos conectados ha aumentado en los últimos años, ya no nos podemos conectar a la televisión del vecino sin que nos pida una clave o teniendo que meter en el propio televisor el código aleatorio que ha aparecido en el ordenador, teléfono o tablet que deseamos conectar. Esto hace años no era así, nos podíamos conectar a muchos televisores mediante Bluetooth sin que nos pidiese ninguna autentificación, como sigue pasando con la mayoría de los altavoces Bluetooth.

Pero no nos debemos quedar sólo en las conexiones punto a punto, otra familia de equipos conectados que debemos tratar con mucho cuidado son aquellos que englobamos dentro del conjunto “Internet of Things” comúnmente conocido como IoT. Son dispositivos conectados a internet bien a través de nuestra WiFi bien mediante su propia tarjeta SIM, nos centraremos en los primeros porque los segundos no tienen tantos problemas de seguridad en su tipo de conexión, aunque en ambos casos debemos preocuparnos sobre los datos que están compartiendo con aplicaciones de terceros.

1Ejemplo de un sistema domótico comercial
Ejemplo de un sistema domótico comercial

Muchas soluciones comerciales del tipo IoT consisten en diversos sensores que se conectan únicamente a un controlador o hub que es el que recibe sus datos, en función de los cuales acciona otros elementos conectados también a él como son el sistema de climatización, el automatismo de las persianas, la iluminación de la casa, el riego, etc. Ese controlador es el que está conectado a nuestra WiFi para enviarnos alarmas y permitirnos que accionemos cualquier automatismo de la casa desde cualquier lugar a través de nuestro movil, tablet u ordenador.

¿Dónde está el peligro? Uno de los problemas más encontrados en estos hubs es que no suelen cifrar sus conexiones al servidor, por tanto si tenemos una WiFi en casa con una clave fácil de romper o si seguimos teniendo la clave por defecto que venía en el router (muy mala idea) alguien puede meterse en nuestra WiFi con un programa de análisis de protocolos o sniffer (programa que analiza todos los datos que circulan en nuestra red) y coger el usuario, la clave de la conexión a la web del controlador, así como su dirección para meterse en ella y activar nuestros equipos, coger información de cuándo estamos en casa, si tenemos cámaras de seguridad podrían ver lo que graban y un largo etc.

¿Cómo evitar esto? Siendo cuidadoso: teniendo claves seguras en nuestra WiFi, cambiándolas periódicamente y creando una subred únicamente para estos dispositivos, para que en caso de ataque a la web de su proveedor mantener a salvo nuestros ordenadores, discos duros wifi y todos los equipos con información sensible. Otro punto importante es, antes de adquirir un sistema de este tipo, asegurarnos de que sus conexiones van cifradas. Puede parecernos exagerada tanta seguridad, pero creedme, más vale ser prevenido.

Os he comentado antes que muchos dispositivos conectados, estén englobados dentro del conjunto IoT o no, traen asociada una aplicación del fabricante que recoge datos del dispositivo y los almacena en sus servidores, lo que comúnmente se llama “la nube”, debemos ser conscientes de qué datos estamos enviando a dichos servidores y cómo se tratan estos datos. Imaginemos que tenemos un sensor de nuestro gasto energético que nos va informando de cuanto gastamos en electricidad a través de la aplicación de su fabricante, parece una buena idea ¿verdad? Ahora imaginemos que empezamos a recibir publicidad telefónica de empresas distribuidoras de electricidad ofreciéndonos tarifas acordes a cuando tenemos los picos de consumo, que cada vez que abrimos el navegador vemos anuncios de dichas compañías… ¿A que eso no nos haría ninguna gracia? Para evitar esto deberíamos asegurarnos que al registrarnos en estas aplicaciones no permitimos la venta de nuestros datos a terceros, la pega es que los términos y condiciones de los registros suelen ser textos bastante largos y tediosos y además si no los aceptamos no podemos hacer uso de esas funciones tan interesantes que nos ofrecen, lo que provoca que aceptemos las condiciones sin plantearnos lo que estamos aceptando.

Ahora supongamos que escogemos un dispositivo con una aplicación que no vende nuestros datos, nos indica qué está recogiendo y todo es perfecto hasta que esa empresa recibe un ataque y nuestros datos han podido ser robados. En este caso si estamos seguros de que los datos almacenados en sus servidores no tienen información sensible (nuestros datos personales, datos bancarios, horas de entrada y salida del domicilio…) sino que sólo tienen que en nuestro salón hay 23ºC, lo único que tendremos que hacer es cambiar la clave y estar tranquilos. Si tenemos datos importantes que puedan comprometer nuestras cuentas bancarias la seguridad de nuestro hogar o nuestra privacidad, ahí hay un problema serio.

Otro tipo de equipos que tienen conectividad y cada vez vemos más son aquellos del tipo “hágaselo usted mismo”, cada vez vemos más gente que se prepara sus sistemas domóticos con sistemas de código abierto muy populares como son Arduino y Raspberry, personalmente me gustan porque tenemos el control de lo que hace nuestro sistema pero debemos ocuparnos de introducirle sistemas de seguridad si le conectamos a la red o le dotamos de cualquier conectividad inalámbrica. Un ejemplo sería un sensor de temperatura conectado a una placa Arduino con un chip WiFi o Bluetooth que manda datos a una Raspberry para que ésta active la calefacción si hace frío, imaginemos que pasa un vecino delante de casa, detecta con su móvil dicho sensor como un dispositivo Bluetooth y (como somos seres curiosos) decide conectarse a ver qué es. Seguramente el vecino no pueda interactuar con dicho sensor, pero en el periodo de tiempo que esta persona está conectada la Raspberry deja de recibir datos de temperatura y su comportamiento ya no es correcto (puede apagarnos la calefacción por ejemplo o ponerla al máximo pensando que la temperatura ha caído), provocando una situación bastante incómoda para nosotros. Por desgracia cifrar los datos que se transmiten y hacer conexiones seguras es algo demasiado complejo que requiere un nivel que mucha de la gente que se anima a hacer su propio sistema no tiene.

arduino y raspberry

En resumen, antes de lanzarnos a conectar cualquier dispositivo en nuestra casa debemos pensar en la seguridad de nuestros datos, esto nos ahorrará quebraderos de cabeza y nos permitirá vivir más tranquilos.

 Este artículo nos lo envía Sara Robisco Cavite @SaraRC83, ingeniera en informática por la Universidad de Alcalá de Henares (Madrid) especializada en Inteligencia Artificial. Entusiasta de la ciencia y del arte, vive siempre aprendiendo.

Puedes encontrar más artículos de Sara en este enlace.



Por Irreductible, publicado el 18 junio, 2018
Categoría(s): Divulgación • Gadgets • Tecnología