Fue como si la realidad superara la ficción. Ocurrió en 2017 cuando se conoció que el osito de peluche CloudPet, vendido en EE. UU., filtró información de sus pequeños usuarios: era capaz de grabar, enviar y recibir mensajes de voz a través de Internet. Entonces encendió una alarma sobre la seguridad de los dispositivos del Internet de las Cosas (IoT).
Cecilia Pastorino, especialista en Seguridad de la empresa Eset, explica que todo equipo conectado a la red está expuesto a sufrir un ciberataque si está mal configurado o presenta fallas de seguridad, que “es común en los dispositivos inteligentes”. Sin embargo, aclara que todo depende del aparato.
Agrega que hay ataques en los que el ciberdelincuente puede tomar el control total o parcial del equipo, interactuar con algunas funciones o interceptar el tráfico y obtener información del usuario. “Lo que puede hacer el atacante depende mucho del dispositivo, la variedad en el mercado es mucha, va desde neveras, aspiradoras, ropa, cámaras, bombillas de luz, llaveros, entre otros, hoy en día cualquier cosa tiene una versión que se conecta a Internet”.
Explica que una mala configuración en una cámara IP (de seguridad), por ejemplo, podría ser la puerta de entrada para que un ciberdelincuente tome el control y vea lo que graba, además de escuchar los sonidos que se registran por medio del micrófono. “La mayoría de los dispositivos que se conectan recopilan información básica como el nombre, fecha de nacimiento, dirección, correo electrónico o números de teléfono”, dice Ricardo Morales, director Experis de ManpowerGroup.
Y hay más ejemplos: las botellas de agua inteligentes que se conectan a aplicaciones y los tenedores que indican cuánta comida se consume. Todo esto funciona a través de aplicaciones móviles. “Si la app es vulnerable el atacante podría cambiar los valores para hacer que se comió de más o de menos”.
Una investigación de Eset publicada en marzo expuso las vulnerabilidades de aparatos como los juguetes sexuales inteligentes. “La mayoría se conectan al celular por Bluetooth Low Energy (BLE) o por Internet cuando se le da acceso remoto a otra persona, entonces aquí se presentan vectores de ataque que pueden apuntar a la red bluetooth, la conexión por Internet o las apps que controlan los juguetes”, explica Pastorini.
Advierte que de por medio hay información “extremadamente sensible” como son los gustos sexuales, los compañeros o compañeras sexuales, en qué horarios se utiliza el dispositivo o qué tipo de vida sexual tiene la persona que lo utiliza.
“Notamos que los juguetes sexuales inteligentes utilizan conexión de bluetooth que es sumamente insegura, no hay ningún tipo de autenticación, certificado, contraseña o código que se comparta, simplemente el dispositivo se conecta”.