jueves, 11 de agosto de 2016

¿Qué tan seguro puede ser un candado Bluetooth? Parece que no tanto

¿Seguridad inteligente, inalámbrica y electrónica con candados Bluetooth? "Mis polainas" dirían por ahí, sobre todo después de saber que en realidad esos candados son bastante poco seguros.

Anthony Rose y Ben Ramsey son dos investigadores que casi por casualidad se encontraron con varios de estos candados protegiendo las casas en un vecindario. Y la sorpresa sería mayúscula (o quizás no tanto) cuando vieron que los paquetes de datos enviados vía inalámbrica por los candados incluían contraseñas tipo macoy123 en texto plano, sin ninguna codificación de por medio.

Para salir de la duda, Rose y Ramsey compraron 16 candados Bluetooth diferentes y descubrieron que "12 de ellos no tenían seguridad o bien un sistema de seguridad implementado de forma muy pobre", indico Anthony Rose a Engadget.

Quicklock

En general, los problemas de seguridad venían en forma de contraseñas sin cifrar o peor aún, en cierto modelo de la marca QuickLock incluso era posible cambiar la contraseña de administrador y dejar al dueño fuera de su propia casa. Otro de los candados probados sí tenía su contraseña cifrada, pero igualmente era posible abrir la puerta modificando un dato en el paquete atrapado de forma inalámbrica.

Según Rose, el problema de estos candados es que las empresas los venden pensando en la conveniencia primero y en la seguridad después, mientras que el mercado sigue creciendo. Algunos candados incluso pudieron ser desbloqueados a más de 800 metros de distancia con una antena de largo alcance.

Quizás todo esto pueda parecer un problema pequeño pero es una buena muestra de los problemas que conlleva la seguridad electrónica. Desde hace unos años se viene abogando por el Internet de las Cosas y como esta podría hacer la vida mucho más conveniente realizando acciones con apenas un par de toques a la pantalla del teléfono, pero lo más importante de todo -la seguridad en una internet altamente "hackeable"- siempre parece quedar de lado.

El estudio completo fue presentado en la pasada DefCon y se puede leer por completo en Merculite.

No hay comentarios:

Publicar un comentario