Cuando Samantha Westmoreland instaló dispositivos conectados en toda su casa, quería sentirse segura. Junto con una nueva cámara de seguridad Google Nest, había comprado un timbre y un termostato inteligentes para su casa en Milwaukee, Wisconsin.

Pero en septiembre del año pasado sucedió algo extraordinario: Samantha regresó y descubrió que la calefacción estaba encendida, los parlantes inalámbricos reproducían música a todo volumen y alguien estaba hablando a través de su cámara de seguridad. Todo quedó claro muy rápidamente: un pirata informático había obtenido acceso a los dispositivos conectados en su casa. «Mi corazón estaba acelerado», dijo a la estación de televisión Fox 6 Milwaukee. «Me sentí tan violada en ese momento».

Desafortunadamente, estos incidentes se volverán más comunes. Los avances en tecnología están cambiando los hogares estadounidenses. Cada ciudadano estadounidense tendrá un promedio de 13 dispositivos conectados para 2021, según Cisco. Con más personas trabajando desde casa debido a la pandemia de Coronavirus, las redes domésticas están transfiriendo más datos confidenciales que nunca: ya sea educación en el hogar a través de aplicaciones de videoconferencia o utilizando herramientas de trabajo colaborativo como Trello.

Este uso intensivo brinda más oportunidades para los ciberatacantes que ven las redes domésticas como objetivos fáciles. Están tratando de aprovechar las debilidades de los dispositivos domésticos inteligentes o la confusión causada por el COVID-19. Muchas infracciones provienen de errores humanos, donde los usuarios han hecho clic en enlaces maliciosos o han instalado software peligroso pensando que es seguro. Los hogares deben tomar medidas para mejorar su seguridad reforzando su autenticación de inicio de sesión, introduciendo líneas seguras a los servidores de trabajo e incluso dividiendo sus redes domésticas en dos para evitar ataques.

Desafortunadamente, muchos estadounidenses ya han experimentado lo peor. En 2019, alrededor de una cuarta parte de todos los ciudadanos de EE. UU. tenían más probabilidades de reportar el robo de sus datos personales o la información de su tarjeta de crédito que ser víctimas de asalto o vandalismo, según Gallup. Los propietarios de viviendas también están preocupados por la amenaza. Los datos de Statista encontraron que el 72% de los estadounidenses estaban más preocupados por que les quitaran la información personal y de la tarjeta de crédito el año pasado, que por que allanen su automóvil.

Los hogares pueden encontrar tranquilidad si toman algunas medidas sencillas para reforzar su seguridad. Una de las formas más fáciles de mantenerse a salvo es ser diligente con los nombres de usuario y las contraseñas. Eso puede ser fácil cuando se trata de computadoras portátiles y teléfonos inteligentes, pero con los dispositivos domésticos inteligentes no todos son conscientes de que los datos de inicio de sesión predeterminados deben cambiarse. Al optar por no hacerlo, los propietarios de viviendas se lo ponen fácil a los piratas informáticos. La mayoría de los delincuentes pueden adivinar una contraseña predeterminada, lo que les permite violar una red y vincular un dispositivo doméstico inteligente a una botnet, una colección de dispositivos conectados a Internet controlados por ciberdelincuentes. Las investigaciones sobre la vulnerabilidad de los dispositivos domésticos inteligentes son preocupantes. De los 16 dispositivos domésticos inteligentes comprados en tiendas en una prueba reciente, 14 podrían tener sus contraseñas violadas y adjuntas a una botnet en media hora, según un estudio de Implementation Security y Side-Channel Attacks Lab.

Debe adoptarse un enfoque similar para los nombres de usuario y las contraseñas con las redes Wi-Fi domésticas. Estos también son vulnerables a ataques sin cambios en su configuración. La mayoría de los enrutadores vienen con un nombre estándar que, si no se cambia, puede ser una señal para los piratas informáticos de que alguien es negligente con su seguridad. Al modificar el identificador de conjunto de servicios (SSID) y utilizar una contraseña larga y compleja, se reducen las posibilidades de ser un objetivo. Es un ajuste rápido, pero podría evitar que un hogar quede atrapado en un ataque generalizado. En 2018, alrededor de medio millón de enrutadores en 50 países se infectaron con software malicioso que extraía datos confidenciales y apagaba algunos enrutadores. Siempre que sea posible, los propietarios de viviendas también deben fortalecer la seguridad del dispositivo mediante la verificación en dos pasos, un proceso en el que se necesitan dos métodos de autenticación para obtener acceso.

Para quienes trabajan de forma remota, los empleadores deben implementar medidas para proteger los datos que viajan entre las redes domésticas y comerciales. Una solución sencilla es una red privada virtual, un enlace encriptado entre la computadora de un usuario y el servidor de la empresa. Una VPN evita que cualquier persona acceda a datos confidenciales mientras están en tránsito. También puede proporcionar un entorno seguro si un usuario desea utilizar una red Wi-Fi pública. Incluso si el pirata informático creara un punto de Wi-Fi falso para intentar interceptar los datos, no podría traducir lo que significa.

Dividir una red doméstica en dos también podría ser beneficioso. Como parte de sus recomendaciones para una seguridad digital sólida, la Oficina Federal de Investigaciones ha sugerido que los propietarios de viviendas mantengan los dispositivos que transportan datos confidenciales, como una computadora portátil y teléfonos inteligentes, en una red diferente de las que admiten dispositivos domésticos inteligentes. Al usar esta configuración, un pirata informático no podría acceder directamente a una computadora portátil personal si violara un dispositivo doméstico inteligente. Esta red también podría funcionar como una red secundaria para invitados; al proteger los dispositivos sensibles si su mal comportamiento de navegación genera un problema de seguridad.

Estas medidas son útiles dado el entorno regulatorio en torno a los dispositivos de IoT. Hasta hace poco, no ha habido leyes de seguridad en torno a los dispositivos conectados, lo que significa que el usuario tiene la responsabilidad de mantener sus dispositivos seguros. En enero, esto cambió cuando California introdujo una ley que exigía que todos los dispositivos de IoT estuvieran equipados con «funciones de seguridad razonables». Esto cubre una variedad de dispositivos, desde televisores y termostatos inteligentes hasta bombillas y refrigeradores. Instruye a todos los dispositivos de IoT fabricados en California para que lleven la seguridad adecuada a la naturaleza y función; apropiado para los datos que puede recopilar y diseñado para proteger el dispositivo y la información del acceso, destrucción, uso, modificación o divulgación no autorizados. Es un paso bienvenido para los usuarios a pesar de que algunas industrias critican los términos por ser demasiado amplios.

A medida que los propietarios se acostumbran a la «nueva normalidad», el enfoque en la seguridad cibernética debe formar parte de la vida cotidiana. Los dispositivos domésticos inteligentes pueden entretenernos y ahorrarnos tiempo para disfrutar de las cosas que importan, pero también pueden convertirse en pasivos que conducen a problemas financieros. En el caso de Samantha Westmoreland, Google dijo que la verificación de dos factores habría evitado el ataque. Independientemente de cómo ocurrió la infracción, ningún propietario quiere que los dispositivos inteligentes se vuelvan en su contra. La lección que se debe aprender es clara: en esta «nueva normalidad», la vigilancia con ciberseguridad es una necesidad si desea mantenerse a salvo.

Por Nick Viney, Socio Vicepresidente Senior de Avast