Más de 32.000 negocios y hogares en riesgo de ser hackeados

(Por Sebastian Gaviglio) Avast demuestra la vulnerabilidad que presentan los electrodomésticos conectados y los riesgos que corremos en manos de los ciberdelincuentes. Martin Hron, de Avast, describe 5 métodos que usan los hackers para sacar ventaja de este error.

Image description

Con el avance de la tecnología vivimos en un mundo hiper-conectado, y hoy sabemos que podemos manipular cualquier tipo de electrodoméstico desde la comodidad de nuestro teléfono celular.

Una nueva investigación de Avast, líder global en productos de seguridad digital, encontró que existen más de 49.000 servidores Message Queuing Telemetry Transport (MQTT) visibles públicamente en internet debido a la mala configuración del protocolo MQTT. Esto incluye más de 32.000 servidores sin contraseña, lo que los pone en riesgo de filtrar datos. El protocolo MQTT se usa para conectar y controlar dispositivos domésticos inteligentes por medio de hubs de hogares inteligentes. Al implementar el protocolo MQTT, los usuarios configuran un servidor. En el caso de los consumidores, por lo general, el servidor se encuentra en una PC o minicomputadora, como Raspberry Pi, a la que los dispositivos pueden conectarse y con la que pueden comunicarse.

Si bien el protocolo MQTT es seguro, pueden surgir graves problemas de seguridad si no se implementa y configura bien. Los ciberdelincuentes pueden tener acceso total al hogar y descubrir si los propietarios se encuentran allí; manipular los sistemas de entretenimiento, asistentes de voz y dispositivos domésticos, así como también ver si las puertas y ventanas inteligentes están abiertas o cerradas. Bajo ciertas condiciones, los ciberdelincuentes incluso pueden rastrear la ubicación del usuario, lo que amenaza muy seriamente tanto su privacidad como su seguridad.

“Es aterradoramente sencillo acceder y controlar un hogar inteligente porque aún hay muchos protocolos inseguros que se remontan a una era tecnológica pasada en la que la seguridad no era una prioridad”, afirmó Martin Hron, investigador en seguridad de Avast. “Los consumidores deben tomar conciencia de que estos problemas pueden surgir cuando conectan dispositivos que controlan sectores de su casa con servicios que no llegan a comprender completamente, y de la importancia de configurar adecuadamente sus dispositivos”.

Martin Hron describe cinco maneras en las que los hackers pueden aprovecharse de servidores MQTT mal configurados:

1. Los servidores MQTT abiertos y desprotegidos pueden encontrarse mediante el motor de búsqueda ShodanIoT y, una vez conectados, los hackers pueden leer mensajes transmitidos utilizando el protocolo MQTT. La investigación de Avast muestra que los hackers pueden, por ejemplo, leer el estado de los sensores de una puerta o una ventana inteligente y ver si las luces están prendidas o apagadas. En este caso en particular, Avast también encontró que personas extrañas podrían controlar dispositivos conectados o, al menos, contaminar los datos usando el protocolo MQTT. Así, por ejemplo, un atacante podría enviar mensajes a la central para abrir la puerta del garaje.

2. Incluso si un servidor MQTT está protegido, Avast encontró que era posible hackear un hogar inteligente dado que, en ciertos casos, el tablero usado para manejar el panel de control del hogar se ejecuta en la misma dirección IP que el servidor MQTT. Muchos usuarios utilizan la configuración predeterminada del software de la central que controla su hogar inteligente y estas no suelen estar protegidas con una contraseña, lo que significa que un hacker puede obtener acceso total al tablero y así controlar cualquier dispositivo conectado.

3. Aún si el servidor MQTT y el tablero están protegidos, Avast descubrió que en el caso del software de una central inteligente, Home Assistant, los recursos compartidos por Server Message Block (SMB), abiertos e inseguros, son públicos y, por lo tanto, accesibles para los hackers. SMB es un protocolo para compartir archivos en redes internas, principalmente en la plataforma Windows. Avast encontró directorios compartidos públicamente con todos los archivos de Home Assistant, incluidos los de configuración. Entre los archivos expuestos había uno que contenía contraseñas y claves guardadas en texto sin formato. Las contraseñas almacenadas en el archivo de configuración pueden permitirle a los ciberdelincuentes controlar totalmente un hogar.

4. Los propietarios pueden utilizar herramientas y aplicaciones para crear un tablero para un hogar inteligente basado en MQTT y así controlar los dispositivos conectados. Una aplicación en especial, MQTT Dash, permite a los usuarios crear su propio tablero y panel de control para gestionar los dispositivos inteligentes que utilizan MQTT. Los usuarios tienen la opción de publicar en este servidor la configuración que definieron en el tablero y así reproducirla sin problemas en todos los dispositivos que deseen. Si el servidor MQTT usado es inseguro, cualquiera puede acceder fácilmente al tablero del usuario y hackear el domicilio.

5. Avast también descubrió que el MQTT puede, en ciertas instancias, permitir que un hacker rastree la ubicación del usuario, dado que estos servidores habitualmente se concentran en datos en tiempo real. Muchos de ellos están conectados a la aplicación móvil llamada OwnTracks. Esta aplicación está diseñada para que los usuarios compartan con otros su ubicación, pero también sirve para que los propietarios de hogares inteligentes permitan que sus dispositivos inteligentes sepan que se están acercando al domicilio y, entonces, se activen (por ejemplo, el caso de lámparas inteligentes que se encienden en ese momento). Para configurar la función de rastreo, los usuarios tienen que configurar la aplicación conectándola a un servidor MQTT y exponer ese servidor a internet. Durante este proceso, no se requiere que los usuarios definan credenciales para iniciar sesión, lo que implica que cualquiera puede conectarse al servidor MQTT. Los hackers incluso pueden leer mensajes que incluyan el nivel de batería del dispositivo, la ubicación del usuario determinada por la latitud, la longitud y la altura y la marca de hora para esa ubicación.

La investigación completa de Avast se puede encontrar en el blog aquí.

Tu opinión enriquece este artículo:

Córdoba - Paraguay sin escalas: qué hacer un fin de semana en Asunción (de la mano de Paranair, en una hora y 20 minutos)

(Por Diana Lorenzatti) La nueva ruta Córdoba-Asunción de la aerolínea Paranair conecta ambas ciudades en poco más de una hora y permite tener otra opción a la hora de elegir un destino turístico. Además, por el fuerte crecimiento comercial y de inversión que está teniendo el país vecino muchos extranjeros deciden visitar su capital para echar el ojo y encontrar un nuevo negocio. Te contamos todo en esta nota. 

Ahora podés invertir en Docta desde 1.100 dólares (y obtener una rentabilidad del 20% anual)

(Por Soledad Huespe) Benjamín Ferro Terán (ex Proaco) es uno de los cerebros detrás de "Duplares", un emprendimiento de 36 unidades de 2 y 3 dormitorios y un zócalo de locales comerciales. Está en el corazón de Docta, el proyecto ubicado sobre la Ruta 20. Lo novedoso de Duplares es su comercialización (ideal para pequeños y medianos inversores), ya que a través de una plataforma de crowdfunding se puede entrar al negocio con un ticket de 1.100 dólares y obtener una rentabilidad de hasta 20% anual (también en dólares). 

¡Qué Ofertón! Se lanzó el programa con el que la Provincia impulsa el comercio electrónico (inscripciones, descuentos y ofertas)

Este martes se lanzo el evento destinado a comercios y consumidores, una plataforma digital diseñada para modernizar y actualizar la venta minorista frente a los desafíos del mercado y las nuevas tendencias. El fin del mismo es promover productos y servicios para impulsar el consumo, brindando ofertas y descuentos. Se realizará los días 29, 30 y 31 de Julio. Qué categorías están incluidas y hasta cuándo hay tiempo de inscribirse como comerciante.

Qué hace la Fundación Mundial de la Felicidad (y qué es el Ecosistema de Bienestar de Córdoba)

(Por Rocío Vexenat) ¿Sabías que cuando una persona se siente feliz es un 88% más productiva en su trabajo? Bueno, de eso se encargan estos entes, y acá te cuento la posta: la Fundación Mundial de la Felicidad es una organización internacional sin fines de lucro que promueve la libertad, la consciencia y sobre todo, la felicidad. ¿Qué hace este ecosistema? Busca transformar el bienestar corporativo para potenciar la competitividad regional aplicándolo a los emprendedores y empresas de Córdoba. Cómo sumarte.

Parma Sándwiches, una marca que empieza a sonar fuerte: abrió el local N° 12 y apura un centro de producción de 200 m2

(Por Julieta Romanazzi) Fundada hace más de dos décadas por Matías Fuenzalida, la marca pasó de ser una pequeña fábrica de sándwiches a tener 12 locales distribuidos por toda la ciudad. Desde sus inicios en Barrio Alberdi, Parma Sándwiches se consolidó como un referente en el rubro en la ciudad de Córdoba. La semana pasada abrió la última sucursal sobre Recta Martinoli (frente al colegio La Salle). Lo que sigue será un nuevo centro de producción de 200 m2, desde  donde proveerá a todas sus bocas.

10 cosas que hay que saber sobre el dengue en las empresas cordobesas (cómo lo viven hoy: ausentismo, contagios, licencias y más)

(Por Soledad Huespe) Los números están al rojo vivo y las empresas no son ajenas a esta realidad. El infectólogo Hugo Pizzi viene advirtiendo que “todavía no hemos llegado a la cúspide de la curva epidemiológica y estamos totalmente convencidos de que tomará gran parte de abril y nos dará muchos disgustos”. Como muestra sirve un botón: solamente ayer, en una sola empresa cordobesa, se reportaron 30 casos.