Hogares inteligentes están en riesgo de filtrar datos: Avast

Palabras clave

Contenido patrocinado: 
El protocolo MQTT se usa para conectar y controlar dispositivos domésticos inteligentes
Autor:
La compañía alertó sobre una mala configuración del protocolo MQTT que podría poner en riesgo los datos de hogares inteligentes.
Protocolo MQTT

De acuerdo con Avast, líder global en productos de seguridad digital, existen más de 49.000 servidores Message Queuing Telemetry Transport (MQTT) visibles públicamente en Internet debido a la mala configuración del protocolo MQTT. Esto incluye más de 32.000 servidores sin contraseña, lo que los pone en riesgo de filtrar datos.

El protocolo MQTT se usa para conectar y controlar dispositivos domésticos inteligentes por medio de hubs de hogares inteligentes. Al implementarlo, los usuarios configuran un servidor, ubicado por lo general en una PC o minicomputadora, como Raspberry Pi, a la que los dispositivos pueden conectarse y con la que pueden comunicarse. Si bien el protocolo MQTT es seguro, pueden surgir graves problemas de seguridad si no se implementa y configura bien.

En este sentido Martin Hron, investigador en seguridad de Avast, explicó que los servidores MQTT abiertos y desprotegidos pueden encontrarse mediante el motor de búsqueda ShodanIoT y, una vez conectados, los hackers podrían leer mensajes transmitidos utilizando el protocolo MQTT para saber el estado de los sensores de una puerta o una ventana inteligente y ver si las luces están prendidas o apagadas.

Te interesa leer: Avast, con doble certificación para sus canales

Incluso si un servidor MQTT está protegido, es posible hackear un hogar inteligente a través del tablero del panel de control que ejecuta en ciertos casos la misma dirección IP que el servidor MQTT y muchos usuarios utilizan la configuración predeterminada. En el caso del software de Home Assistant, los recursos compartidos por Server Message Block (SMB), son públicos y, por lo tanto, accesibles para los hackers que encontrarán datos de configuración y contraseñas en texto sin formato, lo que permitiría al ciberdelincuente controlar totalmente un hogar.

El MQTT también puede permitir que un hacker rastree la ubicación del usuario, dado que estos servidores habitualmente se concentran en datos en tiempo real. Muchos de ellos están conectados a la aplicación móvil llamada OwnTracks, diseñada para que los usuarios compartan su ubicación y para que los propietarios de hogares inteligentes permitan que sus dispositivos inteligentes sepan que se están acercando al domicilio.

Para configurar la función de rastreo, los usuarios tienen que configurar la aplicación conectándola a un servidor MQTT y exponer ese servidor a Internet sin necesidad de introducir credenciales para iniciar sesión, lo que implica que cualquiera puede conectarse al servidor MQTT. Los hackers incluso podrán leer mensajes que incluyan el nivel de batería del dispositivo, la ubicación del usuario determinada por la latitud, la longitud y la altura y la marca de hora para esa ubicación.

“Los consumidores deben tomar conciencia de que estos problemas pueden surgir cuando conectan dispositivos que controlan sectores de su casa con servicios que no llegan a comprender completamente, y de la importancia de configurar adecuadamente sus dispositivos”, advirtió Martin Hron.

Contenido relacionado:

¡ Déjanos un comentario !