13 de noviembre de 2017

¡Ábrete, Sésamo! Prueba de seguridad con cerraduras inteligentes

Las puertas se abren como por arte de magia mediante una aplicación, incluso desde el otro extremo del mundo. Las cerraduras inteligentes o smart locks son asequibles, su montaje no requiere conocimientos técnicos y manejarlas es un juego de niños. Pero, ¿son también seguras o les abren la puerta a invitados indeseados? Al fin y al cabo, la puerta de entrada es el último bastión contra visitas no deseadas. Esta prueba aclara si se debe temer un ataque digital o si se puede disfrutar del confort de las cerraduras inteligentes.

Seis cerraduras inteligentes

y un candado para bicicletas controlado por aplicación sometidos a una prueba del Instituto AV-TEST.

zoom

El gigante quiere entrar en la casa

Amazon dispone no solo de la tienda en línea más grande del mundo, sino de una serie de productos para el hogar inteligente como Alexa y compañía. La empresa comercial los utiliza de forma refinada para aumentar las ventas de la plataforma. La nueva atracción se llama "Amazon Key". El objetivo es que los proveedores puedan abrir mediante su smartphone la puerta de clientes de Amazon para entregar los pedidos aunque el cliente no esté en casa. La fase de prueba del sistema inteligente para puertas de entrada está en marcha en EE. UU. para clientes Prime. Pero hace tiempo que existen sistemas de cierre inteligentes de otros fabricantes. Y estos le hacen la vida más fácil no solo a los proveedores.

Las cerraduras tienen

que someterse a una amplia prueba en materia de seguridad básica. De acuerdo con la estructura de la prueba se comprueba la seguridad del tráfico de datos, la protección frente a la manipulación, así como el tratamiento dado a los datos del usuario.

zoom ico
Prueba

cerraduras inteligentes

zoom ico
AV-TEST somete dispositivos IoT a exhaustivas pruebas de seguridad.

Encontrará las pruebas actuales en nuestro blog (www.iot-tests.org)

zoom ico

1

Las cerraduras tienen

2

Prueba

3

AV-TEST somete dispositivos IoT a exhaustivas pruebas de seguridad.

Porteros inteligentes con diferentes funciones

Los niños vuelven del colegio, los trabajadores quieren entrar, pero nos pilla un atasco o el tren llega con retraso. La salvación hasta ahora era llamar a un vecino de confianza que tuviera nuestra llave para que les abriera la puerta, si es que estaba localizable.

Una cerradura inteligente supone una opción adicional. Un clic en la aplicación del móvil basta para que la puerta se abra sola. Mediante una conexión Bluetooth, WiFi o en la nube se pueden abrir puertas de entrada incluso sin llave y de forma remota. Algunos de los cilindros de cierre controlados por motor permiten configurar tiempos de apertura y bloqueo predefinidos, así como otorgar permisos de acceso a otros usuarios, siempre que se haya instalado en el dispositivo móvil la correspondiente aplicación y el usuario principal haya transmitido la autorización pertinente. Algunas cerraduras inteligentes disponen, además, de las llamadas funciones de geofencing. Si un usuario autorizado mediante la aplicación entra dentro del área de cobertura, algunas cerraduras inteligentes se abren automáticamente. Cuando un dispositivo móvil registrado abandona el área de cobertura, el cilindro vuelve a cerrarse automáticamente.

Seis cerraduras inteligentes puestas a prueba

Los examinadores de IoT de AV-TEST colocaron bajo la lupa, en el laboratorio, seis cerraduras inteligentes actuales de diferentes proveedores:

Sistemas sencillos, fácil montaje

Todas las cerraduras inteligentes examinadas por AV-TEST, a pesar de los diferentes sistemas de cierre, pueden ser montadas por profanos sin conocimientos técnicos. Esto resulta especialmente fácil con el sistema de los fabricantes eQ-3 y Nuki. En estos casos, solo hay que fijar por dentro una placa de montaje sobre el clásico cilindro de perfil europeo, introducir la llave y colocar encima la unidad de motor con control remoto. Esta cubre la llave y la mueve de acuerdo con los correspondientes comandos transmitidos mediante la aplicación. Las cerraduras inteligentes para cilindros de perfil de Burg-Wächter, Danalock y Noke, por el contrario, exigen la sustitución del cilindro de cierre. No obstante, en la mayoría de los casos, esto solo requiere dos tornillos. En la prueba se incluyeron asimismo un smart lock del fabricante estadounidense August para las cerraduras de un solo cilindro con pestillo típicas en Norteamérica, así como un candado para bicicleta del fabricante alemán Semptec, que se ha incluido en la prueba a modo comparativo debido a su similar funcionamiento (ver cuadro).

Entorno de prueba y examen de la seguridad básica

En el marco de la prueba, los ingenieros del laboratorio IoT de AV-TEST comprobaron que la compilación, el almacenamiento, la transmisión y el procesamiento de los datos para el uso de las cerraduras inteligentes fueran seguros. Para ello, los productos se sometieron a una prueba de seguridad en condiciones reales. En el caso de las cerraduras inteligentes, esto significa que todos los productos se examinaron en un entorno de prueba reproducible de forma idéntica. Los examinadores analizaron, de acuerdo con el volumen de funciones, la seguridad de los propios dispositivos (por ejemplo, la función de actualización), las conexiones de datos utilizadas a través de Bluetooth, WiFi, los servicios de Internet vinculados, así como las aplicaciones de los productos para el hogar inteligente. En la prueba también se tuvieron en cuenta aspectos de protección de datos. Aquí, los examinadores controlaron también las declaraciones sobre protección de datos. Además, durante el uso de los dispositivos en la prueba, se comprobó también si los datos recopilados por los fabricantes son necesarios para el funcionamiento y qué derechos de uso de estos datos se atribuyen los fabricantes.

Las cerraduras inteligentes ofrecen en general un buen nivel de protección

En la prueba se podían conseguir tres estrellas y, con ellas, el certificado de un buen nivel de protección, en los puntos de la prueba "comunicación local", "comunicación externa", "seguridad de la aplicación" y "protección de datos". La mitad de los smart locks examinados las consiguieron. Otros dos candidatos consiguieron dos de las tres estrellas posibles, lo que aún equivale a una seguridad básica aceptable. Solo hubo una cerradura que no convenciera en el laboratorio de prueba, si bien los defectos detectados en la breve prueba se podrían solventar con facilidad. En resumen, parece que los fabricantes de cerraduras inteligentes han hecho los deberes, a diferencia de muchos otros fabricantes de productos para el hogar inteligente. Un resultado relevante, puesto que si las cerraduras inteligentes no estuvieran bien aseguradas, los ladrones podrían abrir puertas y portones.

Los expertos de AV-TEST solo tienen que hacer una advertencia en el caso del candado para bicicletas incluido en la prueba, en la que no obtuvo ninguna de las tres estrellas posibles.

Comunicación local: ¡Segura con Bluetooth!

Es posible comunicarse con todas las cerraduras inteligentes a través de Bluetooth. Y la comunicación entre cerradura y dispositivo móvil resultó ser segura en todos los casos. En la comunicación mediante Bluetooth, las cerraduras envían y reciben ondas de radio casi siempre en el estándar 4.0 (1 milivatio, baja potencia), que permite un alcance máximo de unos diez metros. Para atacar la comunicación Bluetooth es necesario, por tanto, estar extremadamente cerca de la cerradura. De forma estándar, las cerraduras inteligentes utilizan una codificación implementada como es debido, casi siempre AES de 128 bits por lo menos. Las tres cerraduras de August, Danalock y Nuki codifican incluso a un nivel más alto y utilizan AES de 256 bits.

Comunicación local: Sólida comunicación WiFi

En el momento de la prueba, únicamente la cerradura de Nuki se podía vincular a la red WiFi del hogar. Esto es posible mediante un puente WiFi, disponible como accesorio. Mediante este puente, el smart lock del fabricante austriaco permite el manejo remoto de la cerradura mediante la aplicación del dispositivo móvil, desde cualquier lugar, así como la integración en otros sistemas de hogar inteligente, entre ellos, el control mediante comandos de voz a través de Amazon Echo. En la prueba en el laboratorio de AV-TEST, ni la conexión Bluetooth entre la cerradura Nuki y el puente ni tampoco la transmisión por WiFi con cifrado SSL entre el puente y el enrutador mostraron puntos débiles reconocibles.

Tras la finalización de la prueba se sumaron a este otros fabricantes, como August y Danalock, que ahora también ofrecen un puente para la comunicación por WiFi.

Comunicación externa: Actualización no codificada

Las cerraduras inteligentes reciben actualizaciones importantes mediante la comunicación por Bluetooth con sus aplicaciones, que para ello utilizan, en casi todos los productos, una conexión en línea con los servidores de la empresa, codificada de forma segura con SSL, a través de un móvil o tableta. Los examinadores solo detectaron un envío de datos sin codificar en el caso de la cerradura de Burg-Wächter, lo cual les permitió interceptar y leer las actualizaciones de firmware enviadas. Esto ofrece en teoría a los atacantes la posibilidad de enviar a la cerradura actualizaciones falsificadas y así, por ejemplo, manipular las funciones del smart lock.

Además, los examinadores criticaron el hecho de que la cerradura de Burg-Wächter cometiera un error cardinal típico de los productos para el hogar inteligente. Para el manejo de la cerradura y la aplicación no se exige cambiar la contraseña estándar utilizada de fábrica para la cuenta del administrador. Una peligrosa negligencia, puesto que los dispositivos IoT con datos estándar para iniciar sesión sin modificar son una presa fácil para los criminales. Mediante motores de búsqueda IoT para dispositivos IoT, como Shodan, es fácil detectar dichos dispositivos. Esto supuso el descuento de un punto en la comprobación de la "comunicación local".

Comunicación externa: Permisos de acceso mediante la aplicación

A través de la aplicación también se pueden crear, enviar y administrar permisos de acceso para algunas cerraduras inteligentes. La de Nuki, por ejemplo, utiliza la comunicación codificada de WhatsApp Messenger. El receptor recibe una invitación en forma de chat de WhatsApp. Este contiene un enlace válido a una dirección HTTPS del servidor Nuki codificada de forma segura. El código de la invitación solo se puede utilizar con la aplicación Nuki y caduca a las 48 horas.

Seguridad de la aplicación: Los archivos de registro son puntos vulnerables

Las aplicaciones son la base para las actualizaciones, la administración de permisos de acceso, así como para la mayoría de la comunicación por Bluetooth con las cerraduras inteligentes y, por tanto, son un potencial objetivo de los criminales. Por eso, las aplicaciones, en especial su programación y archivos de registro (log), deben estar protegidas contra posibles ataques. Cuatro de los seis candidatos demostraron en la prueba rápida una buena protección contra potenciales ataques a la aplicación. Solo las aplicaciones de August y Danalock generaron extensos protocolos de debug. Estos pueden proporcionar pistas a potenciales atacantes sobre el modo de funcionamiento de la aplicación, así como indicios sustanciales sobre las acciones del usuario. En la aplicación de August, los ingenieros de AV-TEST únicamente encontraron estos protocolos en un área de por sí protegida de la aplicación. En la aplicación de Danalock, por el contrario, los protocolos se podía leer con herramientas corrientes, como la tool Android LogCat. Ambos fabricantes deberían mejorar este aspecto.

Protección de datos

¿Quién sale cuándo de la casa y cuándo regresa? A través de la aplicación de algunos proveedores, el propietario de la cerradura puede obtener esta información; pero, ¿realmente solo el propietario? Los expertos de AV-TEST comprobaron las declaraciones de protección de datos de los smart locks, tomando como referencia la legislación europea sobre protección de datos.  En este sentido, Nuki fue la que más convenció. La declaración de protección de datos de los austriacos se ajusta específicamente al producto examinado. No obstante, esto se debe en parte a que se trata de un proveedor muy nuevo que actualmente solo distribuye este producto. Independientemente de esto, la declaración de protección de datos de Nuki es fácilmente accesible a través de la aplicación o la página web, está escrita de forma comprensible y es, por tanto, ejemplar.

Salvo el fabricante estadounidense August, todos los demás proveedores de cerraduras solo acceden a información necesaria para el uso de las cerraduras inteligentes. El fabricante americano exige, por ejemplo, una foto para el registro en línea.  Los examinadores ven necesidad de mejora en el caso de August, Danalock y Noke en aspectos como la especificación de los datos almacenados y su uso por parte de terceros. Adaptándose a la legislación europea sobre protección de datos se solventarían fácilmente estos defectos.

Conclusión

El confort no tiene por qué ir unido a la inseguridad. Esta tranquilizante conclusión se puede extraer del sorprendentemente buen resultado de la prueba con cerraduras inteligentes. Sorprendente porque la mayoría de los dispositivos examinados de este grupo de productos se diferencia saludablemente, en cuanto a la seguridad, de otros dispositivos para el hogar inteligente. Por ejemplo, de las inseguras cámaras IP, cuyo fin también es la protección de edificios. Los fabricantes de cerraduras inteligentes han hecho, en general, un buen trabajo. El instituto AV-TEST certifica la sólida seguridad básica de cinco de los seis sistemas de cierre de la prueba breve, con una vulnerabilidad meramente teórica. Las cerraduras inteligentes de eQ-3, Noke y Nuki superaron la prueba incluso con tres de las tres estrellas posibles y ofrecen un buen nivel de seguridad, justo lo que uno espera de un sistema de cierre inteligente. La cerradura inteligente de Burg-Wächter solo obtuvo una de las tres estrellas debido a defectos evitables y fáciles de corregir, por lo que, en estos momentos, no es recomendable. Que puede ser mucho peor es algo que pone en evidencia el alarmante resultado del cable de cierre para bicicletas controlado por aplicación del proveedor alemán Semptec (ver cuadro).

¡Ábrete, Sésamo! Prueba de seguridad con cerraduras inteligentes

El fabricante se denomina con gran bombo Semptec "Urban Survival Technology". Por lo que respecta a la protección que ofrece su cable de cierre Bluetooth controlado por aplicación NX-1448-919, por desgracia, se queda en un mensaje para generar confianza, ya que en el laboratorio de AV-TEST, el candado para bicicleta demostró ser cualquier cosa menos seguro. La idea, en realidad, es buena. Un cable de cierre Bluetooth controlado por aplicación que se abre confortablemente por sí solo en cuanto se acerca el propietario. De este modo no hay que molestarse en abrir el candado de la bici y uno puede empezar a pedalear directamente. En el caso de un intento de apertura no autorizado, el candado emite un agudo tono de advertencia y envía una alerta al smartphone del propietario.

Pero esta buena idea no ha sido bien implementada y las bicicletas con el cable de cierre Bluetooth no están protegidas en absoluto. El candado Semptec se comunica a través de una conexión Bluetooth no codificada, que se puede manipular con medios sencillos. Esto permitiría, por ejemplo, que los atacantes evitaran la activación de la alarma. La cosa no mejora mucho en lo relativo a la elección de posibles contraseñas. A través de la aplicación solo se puede seleccionar un código numérico de seis cifras, que es fácil de descifrar en un ataque de fuerza bruta (brute force attack). Algo que se pone adicionalmente fácil al no limitar a un número determinado los intentos de introducción consecutivos. De este modo, el PIN predefinido se descifra como más tardar cuatro horas después. Los examinadores recriminaron además otros mecanismos de seguridad no bien pensados o simplemente inexistentes. Pero los defectos mencionados ya excluían la posibilidad de que el cable de cierre de Semptec consiguiera alguna estrella en la prueba.

Social Media

¡Nos gustaría mantenernos en contacto con usted! Reciba de manera sencilla y periódica las noticias actuales y las publicaciones sobre pruebas.