Con la llegada al mercado de una cantidad cada vez mayor de electrodomésticos conectados a Internet, a David Bryan y Daniel Crowley les preocupa que los malhechores digitales encuentren nuevas formas de hacerse con el control de esos aparatos, abriendo tu casa, inflando tu factura de la luz, tirando de la cadena de tu váter -o cosas peores- y a distancia.

Bryan y Crowley, investigadores de seguridad en Trustwave Holdings, dieron el toque de alarma cuando que se enteraron de la existencia de Lockitron, un dispositivo que cuesta 179 dólares (unos 135 euros), diseñado para encajar en un candado estándar y que te permite abrir o cerrar tu casa desde tu smartphone. En aquel momento el dispositivo no se había empezado a enviar a los clientes, pero despertó la curiosidad de Bryan y Crowley y se pusieron a hacer pruebas. Ya que estaban, decidieron probar también otros dispositivos "inteligentes" y a lo largo de los últimos meses han descubierto que casi todos ellos, incluyendo luces, un peso, y un váter, tenían importantes fallos de seguridad.

Sus descubrimientos ponen de relieve un problema potencial del denominado "Internet de las cosas" y la nueva clase de productos domésticos conectados a Internet que puedes vigilar y manejar a distancia. Estos dispositivos ofrecen comodidad y un potencial ahorro energético, y a veces simplemente la novedad (ver "Hogar tuiteado hogar: una casa con voz propia en Twitter"). Según datos de ABI Research, ya hay más de 10.000 millones de dispositivos inalámbricos conectados en uso y para 2020 habrá 30.000 millones. Aunque por el momento los dispositivos "hub" como los teléfonos inteligentes y los ordenadores portátiles suponen la mayor parte de esta cifra, la firma de investigación de mercados espera que esto cambie a favor de los sensores baratos y los dispositivos "nodo" que forman el Internet de las cosas.

Pero con la conexión de una cantidad cada vez mayor de dispositivos a Internet todo, desde el termostato hasta el váter pasando por la propia puerta de entrada, se pude convertir en un potencial punto de entrada para los intrusos electrónicos. Al igual que con los ordenadores, hay formas de proteger estos dispositivos de los extraños, pero la experiencia de Crowley y Bryan indica, que al menos por el momento, esa no es la preocupación principal de las empresas que se están dando prisa por vender estos equipos puesto que aumentar la seguridad de los dispositivos alarga el tiempo de desarrollo del producto.

"Varía de un dispositivo a otro, pero un hilo común con muchos de estos dispositivos es que no requieren ningún tipo de autenticación", afirma Crowley.

Crowley y Bryan examinaron por ejemplo el dispositivo Veralight, que se enchufa a la red doméstica de ordenadores y te permite controlar y gestionar muchos tipos de electrodomésticos. Por defecto, Veralight no exige ningún nombre de usuario ni contraseña para acceder al sistema, y los investigadores explican que han encontrado numerosas formas de saltarse la autenticación incluso estando encendida. Más recientemente, Crowley y Bryan descubrieron lo fácil que es conseguir que un váter que reproduce música llamado Satis, y que se controla mediante una aplicación para smartphone Android, se tirase él solo de la cadena de forma repetida o que reprodujera música a todo volumen. Presentaron sus hallazgos hace poco en la última conferencia de seguridad Black Hat celebrada en Las Vegas.

Crowley y Bryan afirman haber contactado con todas las empresas de cuyos productos han encontrado que tienen fallos de seguridad. En general, no han recibido respuesta. En una nota de prensa, el fabricante de Veralight, la empresa con sede en Hong Kong Mi Casa Verde, afirma que cree que sus controladores "son tan seguros o más que cualquiera de los productos de automatización disponibles en el mercado". Lixel, la empresa japonesa que hay detrás del váter en red, afirmó en una nota de prensa que se deben dar "varias condiciones necesarias" para poder controlar el váter a distancia, como enlazar un smartphone con el váter, algo que se debe hacer con una unidad extra que viene con el Satis.

Los investigadores en seguridad creen que los riesgos que presentan estos nuevos dispositivos son especialmente preocupantes. Si los hackers son capaces de explotar una debilidad en un único tipo de electrodoméstico o sistema doméstico conectado, como una puerta o cierre conectado a Internet, podrían hacer daño a miles de personas de una sola vez. "Quizá cueste un poco llegar a este escenario, pero si entrar en un servidor implica que tienes acceso a 100, 1.000 o 10.000 hogares, definitivamente merece la pena y ese es el auténtico peligro", afirma Crowley.

Yoshi Kohno, profesor asociado de la Universidad de Washington que estudia la seguridad y privacidad informática en la tecnología de consumo, explica que resulta difícil saber exactamente la magnitud del problema que esto representa. Pero afirma haber encontrado "auténticas vulnerabilidades" en varias cosas conectadas a Internet, entre ellas coches, dispositivos médicos y juguetes de niños. Un juguete que incluye una cámara Web, por ejemplo, podría permitir a un atacante en línea a conectarse con el juguete y encender la cámara. "Como comunidad, tenemos que hacer un análisis global de todas las tecnologías emergentes y no limitarnos a decir 'es una tostadora, no importa' y creer que las cosas importan hasta que nosotros decidamos que no", afirma.

Kohno tendría que estar seguro de que se hace un mayor hincapié en la seguridad antes de sentirse cómodo usando la mayoría de los dispositivos domésticos conectados disponibles en la actualidad: las luces que se controlan a través de la Web pueden estar bien, pero para él una cerradura automatizada sigue siendo impensable.

Incluso con las medidas de seguridad en funcionamiento, existe un potencial de intrusión electrónica, sostiene Kamin Whitehouse, profesor asociado de la Universidad de Virginia que estudia los edificios inteligentes. Su investigación ha demostrado que incluso aunque el tráfico de datos de dispositivos inteligentes inalámbricos en el hogar esté encriptado, un atacante sigue pudiendo analizar los patrones de tráfico de la red y, haciendo algunas suposiciones sobre el comportamiento humano, hacerse una idea de lo que pasa dentro de la casa. "Una vez que la casa esté plenamente conectada, no hay motivos para pensar que no se convertirá en un objetivo", afirma Whitehouse.

Por su parte, Crowley y Bryan son optimistas respecto a que se producirá un cambio. La cerradura controlada por smartphone por la que se sintieron intrigados en un principio ya ha empezado a enviarse a los clientes y ofrece detalles de seguridad y un correo electrónico de contacto para preguntas relacionadas con la seguridad. Eso indica que Apigy, la empresa que comercializa Lockitron, está pendiente del tema. "Eso es importante, Dice algo bueno del estado de la seguridad en ese producto", afirma. "Significa que probablemente nos cueste mucho entrar en él".