La escena de piratería de hogares inteligentes en Scream es posible, pero probablemente estés bien

Aranzulla de Los Pobres

Dos elementos combinados para hacer realidad este artículo. El primero fue que octubre fue el Mes de la Concientización sobre la Ciberseguridad . En segundo lugar, justo a mediados de mes, se lanzó el primer avance de la nueva película de Scream . Contenía una escena que nos tenía un poco preocupados. Mira si tu puedes detectarlo.

Obviamente, estamos hablando de la escena de las cerraduras inteligentes. Todos sus candados en su hogar se desbloquean, por lo que saca su teléfono inteligente y los vuelve a bloquear, solo para verlos todos desbloqueados nuevamente. La implicación aquí es que la persona del Sr. Scary Killer ha pirateado la cuenta de casa inteligente de su víctima y puede controlar todos los dispositivos en toda la casa. ¡Ay!

Como alguien que no lleva las llaves de su casa debido a todas las cerraduras inteligentes , me estaba poniendo un poco nervioso. Entonces decidí hablar con alguien al respecto. Me comuniqué con John Shier, asesor de seguridad senior de Sophos para hablar al respecto. Me dio buenas y malas noticias. Empezaré por las malas noticias.

Si, esto es posible. La buena noticia es que es bastante difícil de hacer y la mejor noticia es que las posibilidades de que esto te suceda son infinitesimales, a menos que, por supuesto, también tengas a alguien que realmente quiera hacerte daño. Pero la verdad honesta es que existe una buena posibilidad de que haya suficientes datos disponibles para hacer posible algo como esto.

LOLwut?

Hay dos cosas que se combinan para hacer esto posible: la ingeniería social y las violaciones de datos. Por separado, cualquiera de estos puede obtener al atacante suficiente información para piratear su hogar inteligente . Juntos, se vuelve aún más posible. Pero tienes que entender, cuando decimos que esto es posible , tenemos que advertirlo rápidamente diciendo que no es muy probable .

Si acepta la idea de la película de que hay mucha planificación y premeditación, entonces esto se vuelve mucho más fácil, lo que quiere decir que es más plausible. El hecho es que las violaciones de datos ocurren con frecuencia y las personas a menudo reutilizan direcciones de correo electrónico y contraseñas para múltiples servicios. Su contraseña expuesta de la compañía XYZ (aquí no estamos avergonzando por violación de datos) podría ser el mismo nombre de usuario y contraseña que usa para sus cerraduras inteligentes. Incluso si la contraseña es diferente, la dirección de correo electrónico es una pieza clave de información para otras formas de ingresar.

Antes de que pregunte, no, no vamos a convertir esto en un tutorial de "hackear su camino en las casas de sus amigos y familiares". Pero basta con decir que cualquier información sobre usted que haya sido expuesta por una de estas violaciones de datos hace que un posible malhechor esté un poco más cerca de finalmente obtener acceso a sus cuentas. Eso puede suceder a través de la ingeniería social o mediante el uso de datos expuestos en infracciones. Ninguno de los cuales es trivial. "Creo que cuando hablamos de seguridad de IoT en general, esos son probablemente algunos de los mayores riesgos cuando se trata de que los dispositivos se salgan de su control", explicó Shier.

La ingeniería social se basa en trucos que, honestamente, pueden funcionar o no. Si uno decide tomar esta ruta, tiene que estar en una posición en la que pueda engañar a un usuario para que renuncie a sus credenciales. Fue en este punto de mi conversación con Shier que aprendí algunas formas sorprendentes en las que uno puede configurar fácilmente un sitio de phishing para ese propósito. Una vez más, esto no es un tutorial, así que no lo repetiré aquí, pero basta con decir que a veces Internet simplemente apesta.

La otra ruta implicaría examinar millones de conjuntos de credenciales y encontrar un objetivo, que según la infracción puede no ser identificable por su nombre. Un objetivo puede tener el nombre John Doe, pero su dirección de correo electrónico podría ser [email protected] y es posible que no haya forma de asociar esas dos piezas de información increíblemente dispares.

Manos escribiendo en un teclado de computadora portátil.
EThamPhoto / Getty Images

Sitios como haveIbeenpwned.com pueden informarle si su dirección de correo electrónico ha sido parte de una violación de datos en algún lugar, pero también tienen el efecto contrario. Un atacante podría obtener la dirección de correo electrónico de una víctima potencial y usar ese sitio para ver de qué violaciones de datos ha sido parte. Desde allí, puede descargar los datos de las infracciones y probar los nombres de usuario y las contraseñas. Es decir, nada de que un atacante obtenga acceso a la dirección de correo electrónico de una víctima potencial y simplemente envíe restablecimientos de contraseña.

“Es más probable que te moneticen que que te acosen. Es más probable que [los delincuentes] deseen obtener sus credenciales bancarias y su información personal [para] fraude de identidad que para jugar con las luces y las cerraduras de las puertas ”, dijo Spier.

El punto de todo esto es que es muy posible, y los datos están ahí para hacerlo, pero la probabilidad de que le suceda a una persona aleatoria por un hacker aleatorio diferente es remota. Hay mucho trabajo que hacer para acceder a las credenciales de alguien para su hogar inteligente. Pero es mucho más probable que los datos que se pierdan durante una violación de datos se utilicen para la monetización, ya sea vendiendo los datos o usando los datos para el robo de identidad.

Es increíblemente improbable que el resultado final de un hacker irrumpiendo en una empresa sea una escena de una película de terror. Pero supongo que debo admitir que no es cero. También debo mencionar que el fraude de identidad es en sí mismo una escena de una película de terror mucho más nerd, pero también es bastante terrible si te sucede a ti.

Mantente por delante del juego

Dicho esto, hay cosas que puede hacer para ayudar a proteger sus datos y mantener segura su hogar inteligente. Shier habla de la higiene de la identidad, como el uso de diferentes direcciones de correo electrónico y contraseñas de todos los sitios. Si sus datos se divulgan, el daño será mínimo. Usar uno de los mejores administradores de contraseñas es una gran idea, ya que habilitar la autenticación de dos factores siempre que sea posible.

Otra cosa que señala Spier fue asegurarse de que se eliminen o cambien todas las cuentas o contraseñas predeterminadas que podrían haberse enviado con su dispositivo doméstico inteligente. Algunos dispositivos se envían con un "admin / admin" predeterminado como nombre de usuario y contraseña y, a veces, los usuarios crearán su propia cuenta sin eliminar el predeterminado. Del mismo modo, crearán una nueva contraseña propia sin haber eliminado la contraseña incorporada. Los piratas informáticos pueden descubrir fácilmente cuáles son esas contraseñas predeterminadas e intentar piratear esa información.

Quédese con las marcas conocidas. Las empresas fuera de marca y / o más pequeñas tienen una tendencia a aparecer y desaparecer, y es posible que no consideren la implementación de actualizaciones de software tan crítica como algunas de las marcas más conocidas y confiables. Si tiene un dispositivo que no se ha actualizado por un tiempo, considere comunicarse con el servicio de atención al cliente y averiguar qué pasa con eso. El desarrollo de software es un proceso continuo.

Google Nest Hub encima de la mesa.

Hablando de eso, asegúrese de mantener actualizados sus dispositivos domésticos inteligentes. No es mala idea buscar actualizaciones de software periódicamente. Las vulnerabilidades de seguridad pueden surgir de vez en cuando y la mayoría de las veces se eliminan rápidamente. Pero eso solo ayuda si realmente descarga e instala la actualización.

Entonces, la buena noticia es que, a menos que haya enfadado realmente a alguien, puede continuar dejando las llaves de su casa en casa. Seamos honestos, si los ha vuelto tan enojados, un cerrojo normal probablemente no sería de mucha ayuda de todos modos. Pero eso no quiere decir que puedas bajar la guardia por completo. Asegúrese de verificar regularmente las actualizaciones de la tecnología de su hogar inteligente, use administradores de contraseñas y 2FA y, lo más importante, nunca, nunca diga: "Vuelvo enseguida".