Cómo hackear una casa sin ser un hacker

Este mes se están celebrando en Estados Unidos varias convenciones de hackers, como las populares DefCon y Black Hat. Esa es la razón de que cada pocos días publicamos alguna noticia relacionada con los fallos de seguridad de distintos dispositivos, a medida que sus descubridores los hacen públicos antes de presentarlos en las mencionadas convenciones. Ya te hemos contado, en detalle, cómo se hackea el sistema informático de un coche, para controlar sus frenos, las luces, o los indicadores de velocidad y gasolina. Incluso te mostramos cómo crackear el GPS de un barco.

Todos estos hackeos requieren un equipo especializado y hackers expertos en la matería. Sin embargo, la revista Forbesha descubierto que resulta muy sencillo penetrar en los mecanismos deautomatización de las casas. Ni siquiera es necesario romper ninguna protección. En algunos casos, basta con realizar una búsqueda en Google o rastrear la dirección IP para controlar las luces, la calefacción o la puerta del garaje de una vivienda. Inquietante, ¿verdad?

La automatizaciónde los hogares, según Reuters, movió 1500 millones de dólares en 2012. Se han vuelto muy populares los dispositivos que te permiten controlar las luces, la calefacción, la puerta de entrada o del garaje, la televisión y otros electrodomésticos desde una página web, o una app para el smartphone o la tablet. El problema de estos aparatos es que, en el momento en que se conectan a Internet para usar la app, están expuestos a los ataques externos. Y el peligro es mayor si no se protegen bien.

Utilizando una simple búsqueda en Google, un periodista de Forbes consiguió localizar ocho casas que tenían instalado un sistema de automatización de Insteon que se puede controlar desde una página web. Como el software de Insteon (que ahora se ha actualizado) no obligaba a asignar una contraseña al dispositivo configurado, bastaba con entrar en la web para controlar la casa. Desde la página se podía apagar y encender las luces, y la televisión. Además revelaba datos como los nombres de los inquilinos o su dirección real.

David Bryan y Daniel Crowley, investigadores de seguridad de la empresa Trustwave, han estudiado los sistema de protección de la automatizaciónde los hogares. Y en muchos casos, han descubierto que no tienen ninguno... En el mencionado ejemplo de Insteon, se permitía crear una web para acceder a los controles de la casa, y aunque su dueño instaló una contraseña, bastaba con acceder al puerto en el que hardware se conecta a Internet, para controlarlo. Desde entonces, Insteon ha actualizado sus mecanismos de control para evitar esto.

En el caso de Mi Casa Verde MIOS VeraLite, otro sistema simular, estos dos expertos descubrieron que cualquiera que esté en la misma red WiFi que el dispositivo, puede controlarlo. Es fácil de usar por todos los miembros de la familia, pero si la red WiFi no está bien protegida, cualquier extraño que entre podrá controlar los automatismos de la casa.

También han encontrado vulnerabilidades en otros dispositivos asociados al hogar, desde el Belin WeMo Switch, un sistema que se conecta a un enchufe, al retrete inteligente Satis, que ofrece música, luces interiores para "acertar" en la oscuridad, y otras funciones de alta tecnología.

Se comunica con una app mediante Bluetooth sin contraseña y con el PIN 0000, así que cualquiera con un smartphone y la app instalada, puede controlar el retrete desde fuera del baño, hasta donde alcance el bluetooth, por ejemplo activando los chorros de agua mientras alguien lo está utilizando...

Puede parecer gracioso, pero hablamos de automatismos que controlan electrodomésticos o incluso la puerta del garaje, y la posibilidad de que alguien encienda el jacuzzi sin que te enteres y se dispare la factura de la luz, o abra la puerta del garaje para acceder a él, requiere que los fabricantes se tomen más en serio la seguridad de este tipo de dispositivos.