Así pueden hackear tus luces de IKEA: descubren dos fallos que dan control total a los hackers
Encuentra dos vulnerabilidades en bombillas inteligentes de IKEA con las que los hackers pueden controlar el dispositivo a distancia.
11 octubre, 2022 10:00Se han descubierto dos vulnerabilidades en las luces inteligentes de IKEA, algunas a la venta en España, dos brechas de seguridad que pueden hacer que tu casa parezca el escenario de una película de Halloween. Ambas le dan acceso a los hackers al sistema de estos dispositivos conectados para poder controlarlos a distancia y encender, apagar y hacer parpadear las bombillas a su antojo.
[Apple corrige dos fallos graves de seguridad: actualiza tus iPhone, iPad y Mac rápido]
Los investigadores Kari Hulkko y Tuomo Untinen del Centro de Investigación de Ciberseguridad de la empresa Synopsys enviaron informes a IKEA con ambas vulnerabilidades para que la compañía sueca tomara medidas. Los piratas informáticos pueden tomar el control de las luces a través del protocolo Zigbee que usan muchos otros productos conectados.
IKEA ya está trabajando en nuevos parches que solucionen este problema, el cual afecta en un principio solo a los set de luces y no descubre los datos privados de los clientes. Se recomienda a todos los propietarios de dispositivos conectados que mantengan actualizados al día sus equipos para protegerlos de ataques como estos.
Luces que parpadean
Los fallos se han localizado en dos tipos de luces de IKEA. En primer lugar, está el dispositivo bautizado como Trådfri. Este aparato sirve como controlador inalámbrico de las luces de la marca. Desde el blog de Synopsys aluden al modelo Gateway tipo E1526 versión 1.17.44 y anteriores, un set de luces pensado para iluminar estanterías, que no se encuentra en la tienda online, pero la compra llegaría desde otros países no desde España. El otro fallo afecta a bombillas también Trådfri.
Actualmente la compañía de seguridad da modelos concretos, las brechas descritas aprovechan sistemas de comunicación inalámbrica tan comunes como el protocolo Zigbee. Esta tecnología se utiliza en multitud de equipos de baja potencia para mandar datos entre dispositivos. Es una de las redes en las que se ha estado construyendo el IoT de los hogares, productos médicos o radios.
Cualquier hacker que quiera aprovechar esta vulnerabilidad puede hacerse con el control del set de iluminación y hacer que se encienda, se apague o parpadeé como si de un Poltergeist se tratara. Explican los investigadores que si reenvían el mensaje malicioso varias veces, la bombilla realiza un restablecimiento de fábrica.
Ese restablecimiento hace que la bombilla pierda toda la configuración establecida por el propietario, el cual no puede recuperar el control de las luces de su casa, tanto desde el controlador Trådfri, como desde la aplicación para móviles de IKEA.
La segunda brecha de seguridad, según los investigadores provoca que todos los dispositivos vulnerables "dentro del alcance de la radio están afectados". Los propietarios podrían recuperar el control reiniciando el equipo de forma manual, pero los atacantes podrían volver a realizar el ataque en cualquier momento.
Medidas de seguridad
No obstante, la interacción parece limitarse a estos sustos, que no son poca cosa, pero no provocan daños mayores. IKEA ha asegurado a The Record Future que el problema no pone en riesgo la seguridad de los clientes ni de sus datos confidenciales, también afirman que han trabajado con Synopsys desde el descubrimiento para mejorar la "seguridad y funcionalidad" de sus dispositivos inteligentes.
El segundo tipo de ataque se habría parcheado por completo en todas las versiones de software 1.19.26 o posterior. Sin embargo, el problema que atañe a la red ZigBee sigue sin tratarse por completo, según indican los investigadores. No hay información sobre la fecha exacta en la que IKEA planea lanzar el parche completo.
Aún así, los expertos en ciberseguridad aconsejan a los usuarios mantener los dispositivos actualizados con todas las novedades de software que ofrecen las marcas, incluso si es un aparato tan sencillo como una bombilla conectada. De esta forma, el usuario se asegura estar protegido contra, al menos, los ataques conocidos.