¿Qué razones técnicas crean hogares inteligentes inseguros?

El Ciclo de Culpa no le dice cuáles de las razones dadas por los roles son verdaderas o falsas, o qué problemas técnicos hay en la seguridad de las Casas Inteligentes.

Ciertamente, muchas de las razones enumeradas son correctas. La integración de la seguridad de TI cuesta dinero a los fabricantes, y no es fácilmente recompensada por los clientes. Del mismo modo, no se puede exigir a los clientes que elijan de forma competente entre los métodos de cifrado o que realicen una configuración profesional de las funciones de seguridad, ni que comprendan qué producto inteligente para el hogar es el más seguro que se ofrece en el comercio.

Smart Buildings

En 2016 escribí un breve artículo sobre la seguridad de Smart Buildings en la revista Communications of the ACM. Smart Buildings son los hermanos y hermanas mayores de Smart Homes. Los edificios inteligentes son más complejos, usan más hardware y normalmente tienen un operador profesional. Existen muchas otras diferencias, por ejemplo, los protocolos de comunicación, algunos de los cuales son diferentes.

Sin embargo, me gustaría utilizar mi ensayo para mencionar algunos puntos que no sólo se aplican a la seguridad informática de Smart Buildings, sino también a la seguridad de Smart Homes, y me gustaría mencionar algunos puntos adicionales.

Un problema fundamental es clarificar qué efectos puede tener una Smart Home insegura. Muchos ataques técnicos son conocidos, y las vulnerabilidades de seguridad correspondientes se pueden encontrar en bases de datos públicas.

Pero, ¿qué escenarios crean los atacantes creativos que han ganado el control de un Hogar Inteligente? Todavía sabemos muy poco sobre esto y aquí se encuentran el mundo virtual y real: el Smart Home mide y controla su entorno. Un atacante puede por supuesto cubrir los escenarios conocidos, tales como monitorear a los residentes para planear robos o para cerrar por enfermedad, monitorear a los empleados o abrir puertas y ventanas. Hasta ahora, tan familiar.

Otros escenarios de riesgo

Pero, ¿qué otros escenarios van más allá de eso? Es concebible que las personas de edad débil o con discapacidad puedan ser encarceladas en hogares inteligentes, que sólo son “liberados” después de una transferencia bancaria en línea.

Un escenario igualmente creativo sería el de apagar la calefacción en invierno o abrir las ventanas durante una fuerte lluvia – por ejemplo, en un edificio de la competencia o en la odiada casa del vecino, para maximizar la calefacción mientras los residentes están de vacaciones, o piratear miles de hogares inteligentes para aumentar el consumo de energía de toda una región y, por lo tanto, para abastecer nuevos pedidos de petróleo, gas u otros.

La creatividad tiene pocos límites, es decir, la de los sensores y actuadores. En general, más sensores y actuadores instalados conducen a más escenarios.

Smart Homes no es óptimo

Otro problema es el nivel de seguridad de los productos actuales. Aunque muchos productos se han hecho más seguros, el nivel de seguridad de Smart Homes todavía no es óptimo. Es particularmente difícil mantener los hogares inteligentes, que ahora se consideran al menos a medio camino de seguridad, seguros durante diez o veinte años.

Supongamos que un cliente instala una Casa Inteligente en su propia casa. Ahora esta Smart Home utiliza algún protocolo de comunicación con algún método criptográfico y espero que tenga un firmware actual y seguro.

Los protocolos de comunicación nunca son seguros en la práctica. Se encuentran nuevos ataques para atacar los algoritmos criptográficos utilizados u otros puntos débiles de un protocolo. Una adaptación posterior para mejorar los algoritmos puede requerir otros chips con más potencia en diez años, por ejemplo, para utilizar claves criptográficas más largas.

Actualizaciones de Firmware

Del mismo modo, las actualizaciones de firmware para los productos informáticos típicos a menudo sólo están disponibles durante unos pocos años, y para los teléfonos inteligentes a veces sólo durante dos o tres años.

Una Smart Home que el cliente no quiere deshacerse de ella después de unos pocos años, sin embargo, debe ser suministrada con parches para toda la vida útil, y el tiempo de operación esperado de una Smart Home es de 20 a 30 años. Al comprar una casa inteligente, el cliente (inconscientemente) confía en que el fabricante le proporcione los parches incluso después de décadas.

A diferencia de un PC con Windows PC con software antivirus o soluciones de seguridad para su uso en organizaciones más grandes, Smart Homes no tiene capacidades de detección de ataques o muy pocas.

Aunque algunas casas inteligentes son endurecidas y por lo tanto un poco más difíciles de atacar (directamente después de la compra), esto no tiene nada que ver con el hecho de que un propietario, residente o empleado es informado de que un hacker ha obtenido acceso a la casa inteligente.

Responder