agujero-roto
ZOOM
GALERÍA
0 COMENTARIOS

Cómo tomar el control informático de un hotel en menos de una hora

El (peligroso) Internet de las Cosas

Será increíble cuando todo, absolutamente todo en casa y en la ciudad esté conectado a la gran red de redes. En cualquier momento podremos saber en tiempo real qué está pasando en nuestro entorno, tendremos alertas para aprovechar mejor nuestro tiempo: “Coge ya el coche para ir a trabajar o pillarás un atasco monumental”. La lavadora sabrá antes que tú cuándo le conviene una revisión del técnico y ella misma concertará la cita para la puesta a punto. En los hoteles ya tendrán constancia de tus preferencias y te recibirán con los canales en tu idioma y un aperitivo de tu queso favorito… Será genial, pero hasta que eso llegue, hay una serie de cosas que hay que comenzar a solventar ya, si no queremos que nuestro sueño dorado de la conexión total se convierta en una pesadilla que nos haga desear volver a la Edad Media.

Tenemos un ejemplo en una experiencia que vivió, precisamente en un hotel de Londres, el experto en seguridad Matthew Garrett, tal y como cuenta el portal ZDnet. Al llegar a su habitación vio que los interruptores de la luz habían sido reemplazados por tabletas Android. Una hora después tenía el control de todas las habitaciones del hotel.

Cierto es que Garrett es un experto en CoreOS y para él sería pan comido hackear el sistema del hotel, pero como él mismo contaba, no hacían falta muchos conocimientos para hacerse con el control de las habitaciones. Él, simplemente desconectó la tableta de su habitación y conectó su portátil. A continuación estableció un puente transparente, algo relativamente sencillo para cualquier administrador de red Linux. Después usó Wireshark para analizar el tráfico y vio que usaban protocolo Modbus, uno antiguo y bastante sencillo que, además, carece de cualquier medida de seguridad.

Por medio de Tcpdump vio que el tráfico iba a la dirección IPv4 172.16.207.14. Luego, con Pymodbus, una implementación de Phyton de código abierto, ya podía controlar las luces, encender y apagar el televisor y hacer que sus cortinas se abrieran y cerraran. Divertido, ¿no? Sin embargo, el problema vino después.

Garrett se percató de que la IP terminaba en 7.14, que coincidía con el número de su habitación: 714, y se preguntó si sería azar o un fallo de seguridad como un castillo. Efectivamente, era un fallo de seguridad como un castillo, una puerta de entrada al sistema tan grande que podía pasar una manada de elefantes tranquilamente. Desde su ordenador podía controlar los sistemas de todas las habitaciones. Digamos que la ética de Garrett le impidió llevar la diversión más lejos y jugar a los poltergeist con los clientes del hotel, pero el caso da un toque de atención al uso que se pueda hacer de los sistemas conectados… y eso que era sólo un hotel. ¿Qué no podría pasar si la seguridad falla en la conexión del sistema de tráfico o de un hospital?

Esta es una de las asignaturas pendientes del IoT. No se puede descuidar la seguridad por inocentes que puedan parecer las consecuencias o por poco comprometido que sea el lugar. En el caso de este hotel no es que hubiera poca seguridad, es que no había ninguna, lo que supone que si un delincuente quiere, puede aprovecharse de esa circunstancia de la peor manera posible. Por eso hay que cuidar que todos, todos los dispositivos conectados tengan la máxima seguridad; el SO de nuestra cafetera tiene que ser como Fort Knox, porque si no, los cibercriminales usaran cualquier vulnerabilidad, aunque esté en una sencilla habitación de hotel, para colarse dentro del gran sistema, de la gran red, del IoT global. Y eso es muy, muy peligroso.

No comments yet.

Deja un comentario