Alerta seguridad: La OCU detecta amenazas graves de seguridad en los dispositivos inteligentes

La Organización de Consumidores y Usuarios (OCU) ha realizado un análisis de ciberseguridad en 17 dispositivos electrónicos que se suelen tener en los hogares españoles. A través de este estudio se han dado cuenta de que existen hasta 61 vulnerabilidades, 12 de ellas que son "críticas" y que pueden llegar a suponer "un riesgo alto para la seguridad o privacidad de los usuarios".

Este análisis ha sido realizado a los siguientes dispositivos domésticos que están conectados a internet: routers, cerraduras electrónicas, cámaras de videovigilancias, enchufes y termostatos inteligentes, altavoces, aspiradores robot, tablets, smartphones, smartwatches e impresoras.

Estas brechas de seguridad "graves" se suelen detectar en los productos vendidos en "tiendas online poco conocidas". Algunos de los aparatos que ha analizado la OCU de estas marcas desconocidas se compraron en Aliexpress y en Amazon. Y los error "más graves" se encontraron en dispositivos portátiles (smartphones, tablets infantiles, smartwatches...), cámaras de videovigilancia o cerraduras electrónicas. También se hizo el estudio con otros dispositivos como enchufes, routers, altavoces o impresoras, entre otros, pero en estos no se encontró ninguna vulnerabilidad que fuese crítica.

Las brechas de seguridad que denuncia la OCU

Estas son algunas de las brechas de seguridad que ha denunciado la OCU después de realizar este estudio a diversos dispositivos electrónicos:

• Muchos fabricantes todavía aceptan tener contraseñas como "123456". La lista de dispositivos que lo permiten es alta, puesto que se ha observado en 9 de los 17 aparatos analizados.
• No es raro el cifrado débil (o inexistente) de las comunicaciones entre dispositivos y aplicaciones con los servidores. Esto ocurre también con el almacenamiento de datos en tarjetas de memoria. Permite a los que tienen acceso a la red a hacer capturas de datos y grabaciones de vídeo.
• Se pueden llegar a interceptar las comunicaciones entre dos partes y alterarlas, es decir, el conocido "ataque man-in-the-middle".
• En el caso de que el software no esté actualizado pueden haber problemas. Un ejemplo: en los dispositivos Android anteriores al 11 sufren la vulnerabilidad conocida como Strandhogg 2.0.
• También se observa que varios dispositivos del estudios pueden desmontarse y manipularse. Para facilitar las reparaciones se mantienen accesibles las conexiones físicas. Por lo que un hacker podrá entrar en el software.

La OCU explica que a la espera de la nueva ley europea de ciberresiliencia que reforzaría la ciberseguridad de los dispositivos, pide a la Administración "aumentar los controles de ciberseguridad e imponer sanciones ejemplares a las marcas que no cumplan". Además, dice que "los fabricantes no solo deberían garantizar dispositivos seguros, también deberían hacer un seguimientos de sus productos una vez estén en el mercado". La organización afirma que "tendrían que informar del tiempo durante le cual se garantizan actualizaciones de seguridad" y que "las tiendas online y los market places también deberían rendir cuentas: no es raro que un mismo dispositivo con problemas aparezca y desaparezca, simplemente cambiando de nombre".