29 de avril de 2014 | Internet de las cosas (IoT)
  • Compartir:

Prueba: paquetes Smart Home que abren puertas y ventanas - a cualquier persona

Detectores de humo que envían una alarma a través de Internet, aviso de robo por SMS, iluminación y calefacción controladas a través del Smartphone: los componentes Smart Home hacen que todo esto sea posible. Sin embargo, la gran prueba de AV-TEST demuestra que a pesar de las increíbles posibilidades que tanto alaban los proveedores, la seguridad se queda a veces por el camino.

Clasificación general „7 paquetes de inicio Smart Home en la prueba de seguridad“

en la gran prueba de seguridad de AV-TEST solo convencen las soluciones Smart Home de Gigaset Elements, RWE Smart Home y QIVICON. Los equipos se comunican de forma cifrada y ofrecen una protección eficaz contra accesos no autorizados.

zoom

Tras la primera gran prueba realizada a paquetes básicos para soluciones Smart Home, los expertos de AV-TEST lamentablemente no pueden confirmar la seguridad de dichos equipos. Solo 3 de 7 paquetes disponen de una protección adecuada contra ataques, el resto está mal protegido contra ataques internos y, en parte, externos. Consecuencia: si se dan de alta equipos Smart Home en Internet que no ofrecen protección, la red local será secuestrada por la puerta trasera. Las soluciones Smart Home, protegidas de manera mínima, pronto se verán atacadas por troyanos y, en caso de que el ataque sea exitoso, éstos se esconderán, no en el ordenador, sino en la memoria del detector de humo.

RWE Smart Home deRWE

el paquete básico, para el ahorro de energía, no escatimó en tema de seguridad durante la prueba y demostró un concepto de protección eficaz. (Imagen © RWE AG)

zoom ico
QIVICON de Telekom

los componentes en el paquete inicial para Smart Home se comunican de forma interna y a través de la web de forma segura y ofrecen a su vez una eficiente protección. (Imagen © Deutsche Telekom)

zoom ico
Gigaset Elements de Gigaset

el paquete inicial incluye sensores centrales y de puertas y ventanas, y se conecta con el resto de forma codificada sin permitir manipulaciones por parte de terceros. (Imagen © Gigaset elements)

zoom ico

1

RWE Smart Home deRWE

2

QIVICON de Telekom

3

Gigaset Elements de Gigaset

¿Es tan inseguro el concepto Smart Home?

La idea fundamental tras la tecnología Smart Home es efectivamente muy buena: en el futuro deberá ser posible controlar y manejar todos los aparatos del hogar. Aquellos componentes que tengan acceso a una red local, y por ello quizá también a Internet, serán susceptibles de sufrir ataques, lo que no significa que sean también potencialmente inseguros.

La prueba realizada demuestra que no todos los proveedores han lanzado al mercado sus productos de forma indiscriminada, sino que han integrado un concepto de seguridad.

En la prueba participaron una serie de paquetes Smart Home que son comercializados principalmente por grandes marcas o que también se venden de forma exclusiva; a pesar de que no todos los paquetes controlan las mismas tareas en la vivienda, se pudo realizar una comparación entre los siguientes productos:

• iConnect de eSaver

• tapHome de EUROiSTYLE

• Gigaset Elements de Gigaset

• iComfort de REV Ritter

• RWE Smart Home de RWE

• QIVICON de Deutsche Telekom

• XAVAX MAX! de Hama

3 productos seguros contra 4 no seguros

Es de esperar que el resultado de la prueba haga que los proveedores mejoren sus productos.

Los equipos Gigaset Elements, RWE Smart Home y QIVICON ofrecieron en la prueba una buena protección contra ataques e intrusiones.

Los equipos iComfort y tapHome no ofrecieron protección en caso de ataques a la red local. Los paquetes iConnect y XAVAX MAX! no hicieron nada en caso de ataques a la red propia y desde el exterior.

A continuación presentamos un resumen de las vulnerabilidades. Desde el enlace puede acceder al sólido informe de más de 40 páginas realizado por AV-TEST que incluye resultados detallados, escenarios de la prueba y valores individuales hasta el último bit:

Descargar archivo (PDF, alemán)

Esto es lo que pueden controlar los equipos de manera "smart"

Los equipos tienen diferentes cometidos en una vivienda inteligente y pueden clasificarse de la siguiente manera:

  • Control de electricidad, calefacción y seguridad:
    RWE Smart Home y QIVICON
  • Sistema de vigilancia de ventanas, puertas y habitaciones:
    Gigaset Elements
  • Control de conectores con interruptor:
    iComfort, tapHome, iConnect
  • Conexión de interruptores para luces, calefacción y electricidad:
    XAVAX MAX!

Podemos imaginar con rapidez una escena de película de terror si alguna de las funciones fuese secuestrada: por ejemplo, en caso de que en un duro invierno un regulador de la calefacción baje la temperatura hasta tal punto que las tuberías del agua se congelen y revienten.

Pero como el objetivo de los atacantes es normalmente el dinero o datos valiosos, es más probable que se den los siguientes casos: según los planes de apagado y encendido de los aparatos, puede deducirse el momento en el que los habitantes estén o no en la vivienda. Y si incluso también puede desconectarse la vigilancia de seguridad de puertas y ventanas, el intruso lo tiene muy fácil.

Otra posibilidad es que aparatos conectados a una red local ataquen a otros equipos y los tomen como rehenes impidiendo que se acceda a ellos. Solo tras el pago de un rescate es posible cancelar supuestamente el bloqueo. De esta forma opera el virus de la policía que bloquea el ordenador y los datos almacenados.

¿Dónde se encuentran las vulnerabilidades?

Los expertos buscaron los puntos débiles en el análisis de seguridad. Por este motivo examinaron el concepto de seguridad de cada uno de los paquetes de inicio. Se puso especial atención en la codificación de la comunicación, la autentificación activa, la manipulación por parte de externos y el manejo remoto seguro. Al fin y al cabo, los equipos pueden dirigirse mediante una aplicación de Smartphone, desde un navegador a través de WLAN o por la web.

Comunicación cifrada

Para el manejo del equipo, la comunicación debería efectuarse de forma cifrada cuando se utiliza una red local, en caso de actualización del firmware, y también al realizar un control de los componentes a través de Internet o directamente desde la actualización del firmware por la web.

Los equipos Gigaset Elements, RWE Smart Home y QIVICON resolvieron la comunicación sin problemas de seguridad. iConnect comunica de forma cifrada, pero el cifrado puede eludirse fácilmente. Los conceptos de iComfort, tapHome y XAVAX MAX! fracasaron estrepitosamente pues no hubo una comunicación segura.

Autentificación activa

Incluso cuando se espera que exista una autentificación en el acceso a los aparatos, no es algo que los productos cumplan. El paquete iComfort no requiere autentificación alguna. Los equipos iConnect y XAVAX MAX!, a pesar de solicitar una autentificación en el acceso a través de la web, internamente no dispone de ningún tipo de barrera, con los grandes peligros que eso conlleva.

El equipo tapHome utiliza internamente un nombre de usuario y una contraseña, pero sin valor alguno pues la comunicación se desarrolla sin codificación de forma que cualquiera persona puede acceder a los datos.

Solo los equipos Gigaset Elements, RWE Smart Home y QIVICON realizan un trabajo sin fallos, como ya habían demostrado en la categoría de comunicación cifrada.

Manipulación por parte de externos

Como algunos equipos no se comunican de forma codificada, sería posible inyectar un código malicioso o, todavía peor, podría transmitirse un firmware infectado a los equipos. En ambos casos los hackers tendrían un rápido acceso a los aparatos disponiendo de una puerta de acceso trasera instalada en la red local.

Manejo remoto seguro

El acceso remoto es precisamente un tema de importancia para el concepto Smart Home. Al fin y al cabo, los usuarios quieren controlar sus componentes a través de una aplicación de Smartphone o desde el navegador. De nuevo suspenden la prueba los candidatos iConnect y XAVAX MAX! por sus evidentes defectos. Los paquetes de iComfort y tapHome no se ven afectados puesto que no ofrecen casi posibilidad de control a distancia.

Los tres equipos de Gigaset Elements, RWE Smart Home y QIVICON trabajaron de forma segura también en esta categoría demostrando un concepto global de protección libre de fallos.

Resultado: el triunfo de la buena seguridad

Como ya hemos mencionado al principio, un paquete Smart Home no seguro puede ser la puerta de entrada a su red local. Por eso es imprescindible que los productos ofrezcan un alto nivel de protección. Por desgracia no hay todavía un estándar de seguridad como pueden ser los que disponen otros equipos en red como, por ejemplo, WLAN o rúters.

Los resultados de la prueba no ofrecen más conclusión que, por el momento, solo son recomendables los equipos Gigaset Elements de Gigaset, RWE Smart Home de RWE y QIVICON de Telekom.

Los fabricantes o distribuidores de los paquetes de inicio iConnect, tapHome, iComfort y XAVAX MAX! deben mejorar sus productos en tema de seguridad para que su estado sea óptimo.

Perspectivas de futuro

Ninguno de los equipos incluye de momento en su equipamiento la posibilidad de transmisión de imagen y sonido. Pero los examinadores descubrieron en la gran prueba que éstos venían preparados con interfaces para cámaras web con micrófono. No tardará mucho en llegar también el acceso a electrodomésticos equipados para tal efecto como frigoríficos o cafeteras. En definitiva, la tecnología es muy capaz de hacerlo. Sin embargo, la idea de que un desconocido tenga acceso a todos estos dispositivos provoca escalofríos a algunos usuarios.

A esto hay que añadir que los analistas de mercado esperan generar un beneficio de más de 15.000 millones de dólares con los productos Smart Home hasta el año 2015. Parece mucho pero hace poco Google compró la empresa Nest Labs por 3.200 millones de dólares. El gigante de las búsquedas por Internet hará presión en el ámbito de producción de Nest Lab: los termostatos y detectores contra incendios dirigibles de Smart Home.

Social Media

¡Nos gustaría mantenernos en contacto con usted! Reciba de manera sencilla y periódica las noticias actuales y las publicaciones sobre pruebas.