En octubre el año pasado, Philips presentó un proyecto bastante curioso llamado Philips hue que nos abría las puertas al Internet de las cosas y, por tanto, a dispositivos cotidianos que tienen capacidad para conectarse a nuestra red y a Internet. Concretamente, Philips hue nos presenta unas "bombillas inteligentes" que podemos controlar desde nuestro smartphone y adaptar su intensidad o color de iluminación a nuestro estado de ánimo o a las fotos que estemos viendo desde nuestra tablet. Según ha revelado un experto en seguridad, estas bombillas inteligentes presentan vulnerabilidades que podrían ocasionar, por ejemplo, un apagón allá donde estuviesen isntaladas; una llamada de atención a la necesidad de mejorar la seguridad de los dispositivos que nos acercan al Internet de las Cosas.
¿Duro golpe para el avance del Internet de las Cosas? Creo que es importante que no cunda el pánico y que, por tanto, comencemos a ver con desconfianza a esta nueva ola de dispositivos inteligentes; en mi opinión, las revelaciones de Nitesh Dhanjani hay que tomarlas como una importante llamada de atención y la necesidad de mejorar los aspectos vinculados con la seguridad en estos dispositivos cotidianos que vamos a conectar a nuestra red en casa o, incluso, van a conectarse a Internet.
Es importante que tengamos en mente que cada vez son más los dispositivos que se conectan a la red de nuestra casa y que podemos controlar con nuestros dispositivos móviles; un nuevo nivel en la domótica que nos permite controlar el termostato de nuestra casa a distancia o, en el caso de las bombillas Philips hue, controlar la luz ambiente de nuestro hogar.
Según comenta Nitesh Dhanjani, que un malware pueda afectar a la iluminación de una casa o un edificio es una vulnerabilidad importante porque afecta a la seguridad física de nuestro entorno; un fallo de seguridad vinculado a un débil sistema de autentificación que se usaría a la hora de vincular el sistema Philips hue al control remoto (un PC, un tablet o un smartphone). Al asociarse el sistema de control, éste almacenaría una credencial cifrada con un algoritmo conocido y que, por tanto, se podría descrifrar; un fallo que sumado a la posibilidad de averiguar las direcciones físicas de estos dispositivos abriría la puerta a que alguien interceptase el sistema y pudiese tomar el control.
Dhanjani ha sido capaz de desarrollar un exploit en Java que se podría esconder en una página web maliciosa para intentar robar estas credenciales y usando la caché del protocolo ARP (que se usa en cualquier red de área local) obtener las direcciones de los dispositivos inteligentes. A partir de ahí, un atacante podría apagar las luces y generar algún que otro dolor de cabeza al ocupante de una casa o los usuarios de unas oficinas.
Evidentemente, aún es pronto para poner en tela de juicio el paradigma del Internet de las Cosas y su seguridad; creo que esta vulnerabilidad es una buena forma de poner de manifiesto que los objetos cotidianos que transformamos en "inteligentes" deben ser tratados casi de la misma forma que un ordenador y que, por tanto, es necesario poner también un especial foco en la seguridad.
Instalar una cerradura domótica que, por ejemplo, nos permita abrir la puerta de nuestro garaje desde nuestro smartphone puede ser una aplicación que genere interés pero, lógicamente, este tipo de sistemas no generarán confianza si, al final, alguien puede interceptar nuestra comunicación y abrir a voluntad nuestro garaje aprovechando que salimos de casa.