Un investigador descubrió que los robots de jardín Yarbo presentaban una serie de vulnerabilidades que, entre otras cosas, permitían a un atacante obtener WiFi .
El investigador de seguridad Andreas Makris descubrió que podía secuestrar de forma remota miles de robots de jardinería Yarbo en todo el mundo, y lo demostró haciendo que su propio robot le atropellara. La causa principal fue un conjunto de decisiones de diseño «obsoletas»: todos los robots compartían la misma contraseña de administrador preconfigurada, los túneles de conexión remota se dejaban abiertos y el protocolo de mensajería MQTT (Message Queuing Telemetry Transport) estaba tan mal protegido que, con solo tener un dispositivo, se tenía acceso a toda la flota mundial.
Un atacante podría obtener coordenadas GPS, direcciones de correo electrónico y contraseñas de wifi, convertir las cámaras en herramientas de espionaje a distancia e incluso volver a poner en marcha el cortacésped después de que alguien haya pulsado el botón de parada de emergencia.
Todo esto fue posible gracias a un túnel de puerta trasera persistente que los usuarios no podían ver ni controlar de forma efectiva. Los riesgos se dividían en tres categorías muy distintas:
- Una cortadora de césped pesada con cuchillas controlables a distancia y un sistema de parada de emergencia que se puede anular supone un peligro real para la seguridad.
- La telemetría expuesta permitía a los atacantes localizar los dispositivos, saber quiénes eran sus propietarios y, según algunos informes, incluso ver las imágenes de las cámaras.
- El uso indebido de la red mediante credenciales de root compartidas permitía que los robots comprometidos escanearan redes locales, robaran más datos o se incorporaran a una red de bots.
La respuesta pública de Yarbo es inusualmente detallada para un proveedor de productos de Internet de las cosas (IoT) destinados al consumidor. Además, resulta refrescante su franqueza al reconocer que las principales conclusiones del investigador eran correctas. La empresa desactivó temporalmente los túneles de diagnóstico remoto, restableció las contraseñas de root, bloqueó los terminales no autenticados y comenzó a eliminar las vías de acceso heredadas innecesarias.
Y lo que es más importante, Yarbo promete cambios estructurales:
- Credenciales únicas para cada dispositivo.
- Rotación de credenciales por aire (OTA).
- Diagnóstico remoto auditado y basado en listas de permitidos.
- Persona de contacto específica para cuestiones de seguridad, con la posibilidad de que se ofrezca posteriormente un programa de recompensas por la detección de fallos.
Ese es el tipo de medidas de seguridad a largo plazo que rara vez se exponen con tanta claridad tras un fiasco relacionado con el IoT.
Desde el punto de vista de la divulgación y la corrección de fallos, Yarbo está haciendo muchas cosas bien: reconocer el mérito del investigador, pedir disculpas, dar prioridad a las correcciones y explicar, en un lenguaje sencillo, tanto los parches a corto plazo como los cambios arquitectónicos a largo plazo. Para los compradores de dispositivos conectados con blades, ese nivel de transparencia constituye un precedente positivo.
Sin embargo, Yarbo ha optado expresamente por mantener un túnel de acceso remoto, aunque dotado de mejores controles y registros, en lugar de ofrecer a los usuarios la opción de eliminarlo o desactivarlo por completo.
Cómo proteger los dispositivos del Internet de las cosas
Las vulnerabilidades descubiertas en el caso Yarbo constituyen prácticamente una demostración en vivo de lo que laLey de Mejora de la Ciberseguridad del IoT( ) pretende evitar en las implementaciones del Gobierno de los Estados Unidos. Aunque la ley no se aplica directamente a Yarbo, los requisitos establecidos por el Instituto Nacional de Estándares y Tecnología (NIST) coinciden perfectamente con lo que falló en este caso.
Por lo tanto, sigue siendo responsabilidad de los usuarios asegurarse de que:
- Cambia las credenciales predeterminadas.
- Antes de comprar un producto de IoT, comprueba si el fabricante va a ofrecer actualizaciones y si es fácil instalarlas. Y, cuando estén disponibles, instálalas.
- Si es posible, conecta tus dispositivos IoT a una red independiente. Utiliza una red Wi-Fi para invitados o una VLAN independiente, si está disponible.
- Desactiva lo que no necesites. Desactiva UPnP, el acceso remoto, el control en la nube y los servicios innecesarios si no los estás utilizando activamente.
- Si tu router o tu paquete de seguridad registra las conexiones de los dispositivos IoT, revisa esos registros en busca de picos inusuales o destinos desconocidos.
Seamos realistas, una ventana de incógnito tiene sus limitaciones.
Filtraciones de datos, comercio en la dark web, fraude crediticio. Malwarebytes Identity Theft supervisa todo ello, te avisa rápidamente y incluye un seguro contra el robo de identidad.
