Los dispositivos domésticos inteligentes de compañías como Amazon y Google pueden ser pirateados y utilizados para colapsar sitios web, robar datos y espiar a los usuarios, revela una investigación.
Grupo de consumidores ¿Cuál? ha encontrado seguridad deficiente en ocho dispositivos inteligentes, algunos de los cuales ya no son compatibles con actualizaciones de seguridad vitales debido a su antigüedad.
Los ejemplos incluyen el altavoz inteligente Amazon Echo de primera generación, lanzado en 2014, y un enrutador de Internet Virgin Media de 2017.
Todos los productos tenían vulnerabilidades que podían dejar a los usuarios expuestos a los ciberdelincuentes, ¿cuáles? fundar.
Los sobrevivientes de abuso doméstico también pueden ser rastreados y controlados por exparejas que explotan la seguridad débil en dispositivos que incluyen enrutadores Wi-Fi y cámaras de seguridad.
Los dispositivos domésticos inteligentes de compañías como Amazon y Google pueden ser pirateados y utilizados para colapsar sitios web, robar datos y espiar a los usuarios, revela una investigación. El altavoz inteligente Amazon Echo de primera generación (en la foto) se lanzó en 2014
En total, ¿Cuál? encontró 37 vulnerabilidades en los ocho dispositivos de prueba, incluidos 12 calificados como de alto riesgo y uno calificado como crítico.
El defensor de los consumidores con sede en Londres ahora dice que el gobierno del Reino Unido debería establecer períodos mínimos de tiempo para los que los productos inteligentes deben recibir apoyo de seguridad vital.
«Nuestra última investigación destaca los peligros reales que plantean los productos inteligentes de algunas de las marcas tecnológicas más grandes que ya no están adecuadamente protegidas contra los ciberdelincuentes», dijo Rocío Concha, de Which? director de política y promoción.
‘Estas debilidades pueden generar un daño económico significativo, pero es escalofriante pensar que también pueden ser explotadas por abusadores domésticos’.
Para su investigación, ¿Cuál? compró ocho productos de diferentes marcas y los instaló en una casa simulada antes de invitar a los «hackers éticos» a atacarlos.
Los piratas informáticos éticos penetran en los sistemas informáticos o las redes en nombre de sus propietarios y con su permiso, a menudo con fines de investigación.
Además del Amazon Echo de primera generación y el timbre de Google, la lista incluía el teléfono inteligente Android Samsung Galaxy S8, el enchufe inteligente Wemo y el monitor para bebés Liv Cam.
¿Cual? seleccionó estos productos porque es probable que estén en los hogares de miles de consumidores, aunque no se hayan lanzado recientemente.
Algunos de estos productos habían sido abandonados por el fabricante dentro de los cinco años desde su lanzamiento.
Por ejemplo, el altavoz inteligente Amazon Echo de primera generación perdió el soporte de seguridad en otoño de 2021, ¿cuál? dijo.
Usando una vulnerabilidad preexistente, los investigadores pudieron explotar un ataque físico que otorgaba control remoto sobre el dispositivo de Amazon.
En la vida real, un atacante podría robar datos del usuario e incluso transmitir el micrófono en vivo del dispositivo, todo sin que el usuario lo sepa.
El teléfono inteligente Android Samsung Galaxy S8 (en la foto) se infectó fácilmente con malware que podría provocar el robo de datos, el seguimiento y los anuncios de spam, ¿cuál? fundar
Usando un timbre de video Google Nest Hello (en la foto), los piratas informáticos pudieron enviar spam al dispositivo con solicitudes para que se desconectara
Mientras tanto, en un timbre de video Google Nest Hello, los piratas informáticos pudieron enviar spam al dispositivo con solicitudes para que se desconectara.
Un atacante podría usar esto para evitar que el timbre del usuario grabe si quiere acercarse a la casa del propietario.
De acuerdo a sitio web de googleeste dispositivo cuenta con el respaldo de actualizaciones de seguridad hasta 2023.
El teléfono inteligente Android Galaxy S8 de Samsung, que dejó de ser compatible con actualizaciones de seguridad en abril de 2021, se infectaba fácilmente con malware, lo que podía provocar el robo de datos, el seguimiento y la publicidad no deseada.
Los investigadores lo infectaron con el malware Flubot, disfrazado como un mensaje de texto de entrega de DHL, que en 10 segundos conduce al acceso a los datos del propietario del teléfono.
Esto podría significar información bancaria y financiera, detalles de tarjetas de crédito y contraseñas de mensajes de texto que se envían por Internet.
El ataque hubiera sido mejor bloqueado o detectado por un dispositivo que todavía estaba recibiendo actualizaciones de seguridad, ¿cuál? dijo.
Los piratas informáticos éticos también podrían comprometer el enrutador Virgin Media Super Hub 2 no compatible, ya encontrado por Which? estar en riesgo en 2017.
Obtener el control del dispositivo permite a los delincuentes acceder al Wi-Fi de las personas, monitorear qué sitios web estaban visitando y montar ataques en otros dispositivos conectados.
Cualquier cliente de Virgin que aún use el Super Hub 2 debe solicitar un nuevo enrutador de forma gratuita a través de la aplicación de Virgin o puede comunicarse con el servicio de atención al cliente.
El monitor para bebés Liv Cam dejó de ser vendido por la popular marca de productos para bebés, Summer Infant, a principios de 2020, pero todavía se puede encontrar en los mercados en línea de segunda mano.
El monitor se asocia con una aplicación que se actualizó por última vez en septiembre de 2016.
Cualquier cliente de Virgin que aún use el enrutador Super Hub 2 (en la foto) debe solicitar una actualización, según Which?
¿Cual? Encontré problemas menores con una impresora de inyección de tinta HP Deskjet, pero problemas mucho más serios con un enchufe inteligente Wemo (en la imagen), los cuales se cree que aún están recibiendo actualizaciones
¿Cual? los investigadores pudieron recuperar la contraseña de la cámara y acceder al video y al audio.
Este producto utiliza una red Wi-Fi abierta, lo que significa que un vecino podría husmear en el vigilabebés o incluso hablar con el niño.
Un televisor Philips, que se supone que todavía es compatible con las actualizaciones, podría piratearse con una contraseña predeterminada fácil de adivinar.
Cualquiera dentro del alcance podría conectarse al televisor para acceder a la información del usuario o incluso podría poner una imagen en la pantalla haciéndose pasar por Netflix.
Esto podría dirigir al propietario a una URL de phishing donde se le anima a volver a ingresar su cuenta o detalles de pago.
¿Cual? encontró problemas menores con una impresora de inyección de tinta HP Deskjet, pero problemas mucho más serios con un enchufe inteligente Wemo, los cuales se cree que aún están recibiendo actualizaciones.
En respuesta, HP dijo en un comunicado: ‘Valoramos el trabajo de Which? está haciendo para crear conciencia sobre la seguridad de las impresoras y los desafíos de diseño en toda la industria.
“Para protegerse contra los riesgos de seguridad en constante evolución, HP recomienda a los clientes establecer contraseñas únicas y seguras y utilizar actualizaciones automáticas de firmware para proteger mejor sus dispositivos.
«HP se compromete a mejorar nuestros productos actuales y futuros para que sean los más seguros de la industria».
¿Cual? ha compartido sus hallazgos con Amazon, Google, Philips y Wemo, pero ninguno había proporcionado un comentario al momento de la publicación.
El grupo de consumidores tiene la esperanza de que el gobierno Proyecto de Ley de Infraestructura de Telecomunicaciones y Seguridad de Productos (PSTI)que ahora se abre camino en el parlamento, hará que las empresas afirmen claramente durante cuánto tiempo apoyarán los productos inteligentes.
¿Cual? pide garantías de que los productos estarán claramente etiquetados con el tiempo exacto que durarán, en lugar de términos vagos como «hasta» cinco años de soporte o «actualizaciones de por vida».
El campeón de los consumidores también quiere que el gobierno introduzca períodos mínimos obligatorios sobre cuánto tiempo se deben admitir diferentes tipos de productos inteligentes, que tendrán que diferir según el dispositivo.