En la más reciente edición de Black Hat, un grupo de investigadores mostró que es fácil modificar el comportamiento de los termostatos fabricados por la compañía Nest y emplearlos para otros fines.

Cuando la compañía Nest, que está dedicada a la venta de soluciones inteligentes para hogares, fue adquirida por Google, muchas personas expresaron su preocupación respecto a su privacidad y a la posibilidad de que Google realizara minería de datos a través de termostatos o detectores de humo inteligentes fabricados por Nest.

De acuerdo a lo mostrado por los investigadores en la conferencia Black Hat, las posibilidades que tendría un atacante al aprovechar este tipo de dispositivos son variadas.

El investigador independiente Daniel Buentello y los investigadores Yier Jin y Grant Hernández de la Universidad Central de Florida, descubrieron que los controles de seguridad a nivel de sistema operativo que previenen la instalación de software malicioso en el artefacto pueden ser anuladas fácilmente.

Sorprendentemente, sólo se necesita un dispositivo USB con software malicioso y 15 segundos de acceso físico al termostato para comprometerlo.

Nest ha hecho un buen trabajo al proteger las comunicaciones inalámbricas del dispositivo, pero su puerto USB es una vía de entrada para el atacante: los investigadores demostraron que manteniendo pulsado el botón de encendido podían anular los controles de seguridad e instalar un firmware personalizado que contenía malware en el termostato.

"Con acceso a Internet, los artículos de Nest podrían ser utilizados por atacantes externos. Los termostatos de esta compañía están diseñados a manera de saber cuándo el usuario está en casa o cuando está de vacaciones, lo que implicaría que al comprometer el aparato un atacante tendría conocimiento de hábitos y horarios del usuario. Además, otros datos como las credenciales de acceso de la red Wi-Fi estarían disponibles para el intruso".

De acuerdo a la investigación, el termostato comprometido puede conectarse a algún otro dispositivo conectado a internet haciendo que las botnets basadas en termostatos sea una opción realista. Los atacantes pueden utilizarlos para enviar spam, pero además podrían saber cuando el usuario está en casa y cuando no, y posteriormente obtener beneficios económicos de esa información, ya sea actuando ellos mismos o vendiendo la información a otros.

Podría pensarse que para un atacante es difícil obtener acceso al dispositivo, sin embargo, técnicas de ingeniería social pueden convencer a la víctima de permitir extraños en su casa. O lo que es peor, el usuario podría comprar un dispositivo infectado por un distribuidor malicioso sin que la víctima se diera cuenta de ello.

Buentello concluyó que los fabricantes de dispositivos inteligentes (Internet de la Cosas o IoT) deben tener en cuenta la seguridad de los mismos y trabajar duro para protegerlos de atacantes, antes de que el uso de los mismos se intensifique.