Ante la infinidad de oportunidades que ofrece el mundo digital se debe promover el uso responsable y seguro de Internet, más aún cuando hoy en día estamos más conectados que nunca gracias nuestros ordenadores, tablets, smartphones y dispositivos inteligentes (IoT) que se comunican con el mundo exterior a través de internet, proporcionándonos entretenimiento y aliviándonos de las tareas de nuestra vida diaria.
Aunque la mayoría de los usuarios ya comienzan a ser conscientes de la necesidad de proteger sus ordenadores y smartphones, no lo son tanto de los peligros que amenazan a los dispositivos que se encuentran en las casas inteligentes o Smart Homes.
La «Haunted House»
Hasta ahora, apenas ha habido datos válidos sobre ataques externos a dispositivos IoT. Esta es la razón por la cual Sophos encargó a la compañía Koramis establecer una infraestructura doméstica inteligente como un señuelo: la «Haunted House» o “Casa Embrujada”. Sobre una superficie de 4 x 2,5 metros, diseñada para parecerse a un apartamento, un total de 13 dispositivos de IoT y sistemas de control de diferentes fabricantes fueron configurados, vinculados y conectados a Internet, tal como se hace cada día en los hogares modernos.
Tres fases de prueba
En dos de las tres fases de prueba que se realizaron, se registró la naturaleza y la frecuencia de los intentos de acceder a los dispositivos de la Haunted House. La primera fase se llevó a cabo con contraseñas seguras y autoasignadas durante un período de seis semanas. La segunda fase con la misma configuración duró tres semanas, pero con la configuración predeterminada de los fabricantes, justo como a menudo vemos los dispositivos instalados en hogares privados.
Para permitir una clasificación de estos resultados en un contexto más amplio, se realizó una tercera fase para llevar a cabo exploraciones de Internet activas para los típicos dispositivos de IoT utilizando los motores de búsqueda de IoT, SHODAN y Censys. Los resultados fueron representados en «mapas de calor» para la región de España y Portugal, y el resto del mundo.
Los resultados: poco sorprendentes pero alarmantes
Los intentos de acceder a la Haunted House fueron altos, superando las expectativas. Desde casi todos los países del mundo hubo al menos un intento durante el período de prueba para contactar con un dispositivo de IoT en la Haunted House. En la primera fase, en la primavera de 2017, se detectaron aproximadamente 1.500 intentos de acceso diarios; mientras que en la segunda fase, en el otoño de 2017, fueron alrededor de 3.800.
La clasificación de los intentos de acceso desde los distintos países difiere en las dos fases de prueba. Mientras que China y Estados Unidos son los dos primeros países, el país que ocupa el tercer lugar cambia drásticamente. Mientras que México ocupa la tercera posición en la primera fase de prueba, ni siquiera llega al top 10 en la segunda fase. Brasil, que se sitúa en el quinto lugar en la primera fase, ocupa el lugar de México en la segunda fase, y Japón pasa a ocupar la posición de Brasil en la segunda fase, es decir, un quinto lugar.
Lo más sorprendente fue que dentro de este segundo período de prueba de tres semanas, fue posible identificar 27 intentos de acceso directo. De este modo, podemos concluir que, en la fase en que los ajustes predeterminados prevalecían, de media más de un invitado no deseado echaba un vistazo alrededor de la Haunted House al día. No hubo cambios en los sistemas, aunque esto hubiera sido posible.
El escaneo activo de Internet reveló muchas puertas acceso de Internet para los dispositivos de IoT, con una tendencia ascendente. En la región de la Península Ibérica, vemos un aumento de los puntos de acceso en un 3,3 por ciento hasta los 1.549 en tan solo dos meses, entre mediados de septiembre y mediados del mes de noviembre. Esta tasa es ligeramente más alta que la tasa media de crecimiento mundial del 3,1 por ciento.
La descripción exacta del estudio «Haunted House» y una presentación detallada de los resultados se han publicado ahora en un white paper, que se puede descargar en www.sophos-events.com/smarthome.
