Seguridad en una smarthome

Amenazas de seguridad en una smarthome y cómo contrarrestarlas

26/10/18

El auge de las smarthomes es espectacular. La tecnología facilita cada vez más la introducción de sistemas inteligentes en el hogar a un coste cada vez más asequible, y por eso cada vez es más frecuente ver dispositivos IoT (Internet of Things) en las casas: desde los vigilabebés conectados a internet, pasando por cerraduras inteligentes hasta electrodomésticos conectados.

Esto tiene implicaciones muy serias en cuanto a seguridad en el hogar. Cuántos más dispositivos conectados, mayor riesgo. Además, la mayoría de los dispositivos en el mercado son susceptibles de ser atacados porque no disponen de las medidas de seguridad necesarias.

Suelen ser dispositivos conectados sencillos como luces LED inteligentes, enchufes conectados o complejos como los sistemas de climatización inteligente. En cualquier caso, no parecen ser objetivos de primer nivel para los delincuentes.

La razón de que sean dispositivos con importantes riesgos de seguridad es que, a pesar de no ser objetivos de ataque, son puertas de entrada a la red doméstica. Hace poco se encontró un programa o código que se aprovechaba de un punto vulnerable en el sistema en el protocolo de fax (más conocido como exploit), que convierte a cualquiera máquina de este estilo en una puerta abierta para atacar una red local.

Hogar conectado

La particularidad en este suceso es que no requiere que el fax esté conectado a Internet para que el atacante pueda acceder por vía telefónica. Entonces surge la pregunta: si han podido hacer esto con dispositivos no conectados, ¿qué podrán hacer con aquellos que sí lo están?

Estos son los principales riesgos de seguridad en los dispositivos IoT:

  • Ataques informáticos, que son la amenaza más común en los entornos basados en la nube: ataques de denegación de servicio, malware, exploits, ataques a la privacidad del usuario o incluso la modificación de la configuración de los componentes electrónicos del dispositivo.
  • Aprovechar las vulnerabilidades del software, es decir, de las aplicaciones y el software IoT. Si no están actualizados, analizados, probados y configurados correctamente son un problema de seguridad porque algún atacante se aprovechará de ello.
  • La intercepción de los datos de las comunicaciones entre los dispositivos de IoT. Algunos ataques son los secuestros de sesiones o la obtención de datos de red, ante lo cual es necesario tomar medidas de seguridad.

Principales ciberataques en una smarthome

Antes de pasar a mayor detalle, hay que decir que los ataques a una smarthome no tienen por qué implicar, necesariamente, perjuicio para las personas que viven en la casa. A veces, esto tiene que ver con maniobras para perjudicar la reputación de una compañía o un proveedor de dispositivos.

  • Man-in-the-middle: el atacante se sitúa entre dos dispositivos e intercepta los datos que se intercambian, pudiendo hacer algo con ella que perjudique a un tercero. Por ejemplo, se podrían falsear mediciones de temperatura ambiente antes de ser enviadas a la nube o interferir en el funcionamiento de la climatización en plena ola de calor, para generar quejas y problemas a los fabricantes de los aparatos.
  • Robo de datos y de identidades: los datos generados por los wearables (relojes inteligentes, pulseras para deportistas, etc.) sin protección y los dispositivos inteligentes proporcionan a los ciberdelincuentes una amplia cantidad de información personal específica que puede ser potencialmente explotada para transacciones fraudulentas y el robo de identidad.
  • Secuestro de dispositivos: en este tipo de ataque el delincuente se apropia y controla un dispositivo. Suelen ser bastante difíciles de detectar porque no cambia la funcionalidad básica de los dispositivos. La “víctima” podrá tener la capacidad de infectar a los aparatos cercanos que estén conectados a la misma red local. Si un atacante compromete la seguridad de la alarma del hogar, podría tener acceso al resto de sistemas y, por ejemplo, cerrar las puertas electrónicas y pedir rescate, o controlar la temperatura ambiente para incomodar a los inquilinos, o incluso acceder a una webcam y espiar a su antojo.

smarthome-seguridad_soldado imperial

  • Denegación de servicio: este tipo de ataque consiste en inutilizar una máquina o recurso de red al interrumpir de forma temporal o indefinida los servicios de un host conectado a Internet. Es el tipo de ataque que más ha crecido a partir de la popularización de los dispositivos IoT, ya que son los candidatos perfectos para formar parte de las botnets, las redes que organizan los ataques de denegación de servicio a nivel mundial.
  • Denegación de servicio permanente: son ataques que dañan los dispositivos de una manera tan grave que será necesario reemplazarlo o, al menos, la reinstalación del hardware. Un ejemplo sería falsear las lecturas del termostato de un portátil con el fin de provocar daños irreparables a partir de un sobrecalentamiento extremo.

skyline_ciudad

Contramedidas para evitar estos ataques

  • Arranque seguro: se permite tan solo la ejecución de software autorizado como el OEM (Original Equipment Manufacturer o, en español, “fabricante de equipamiento original”), de manera que cualquier intento de reemplazo del firmware o el software de control será en vano.
  • Autenticación mutua: en esencia, se obliga a cada dispositivo conectado a la red a que se autentifique antes de enviar o recibir datos, de manera que se garantice que el origen de los datos es un dispositivo legítimo.
  • Comunicaciones seguras: el uso de cifrado extremo a extremo (entre un dispositivo y la nube, por ejemplo) asegura que el tránsito de los datos entre emisor y receptor sea seguro y que, a menos que un atacante descubra la clave de descifrado, será imposible que acceda al contenido de esos datos.
  • Análisis y monitorización de seguridad: se trata aquí de capturar datos sobre el estado general del sistema, incluidos los dispositivos finales y el tráfico general en la red. Estos datos luego se analizan para detectar posibles violaciones de seguridad o posibles amenazas al sistema.

Como conclusión, podemos decir que el incremento de los dispositivos conectados en la smarthome provoca importantes fallos de seguridad, tanto si estamos como si no estamos conectados a una red. En este sentido, podemos establecer medidas para prevenir estos ataques informáticos y contar con la máxima seguridad en nuestro hogar. 

 

Te llamamos ahora

Si lo prefieres llámanos al 911 774 593

Estimado cliente,

Para poder ofrecerte la mejor solución por favor, selecciona la opción más adecuada y ponte en contacto con nosotros:

Emergencias contact info

Si tienes dudas sobre tu contrato llama al 912 753 539

Emergencias contact info

Si quieres saber el estado de tu reparación llama al 912 752 521

Con el objetivo de darte a conocer la protección que realizamos sobre privacidad, hemos redactado esta Política de Privacidad (en adelante la “Política”), que es de aplicación a cualesquiera datos e información que se asocien o se puedan asociar a tu persona de forma individualizada (“Datos de Carácter Personal”), y que en el curso de tu navegación por el sitio web https://www.homeserve.es/ (el “Sitio”) nos hayas facilitado o hayamos recabado, comprometiéndonos a garantizar el cumplimiento de las exigencias legales establecidas en la normativa sobre protección de datos personales.

 

1. Recogida, tratamiento y finalidad

Tus Datos de Carácter Personal se incorporarán a sistemas de tratamiento ubicados que cumplirán con las exigencias de la legislación aplicable. Estos sistemas son responsabilidad de:

  1. HOMESERVE SPAIN, S.L.U., que distribuye y comercializa pólizas de seguros, como agencia de seguros vinculada, inscrita en el Registro Administrativo Especial de Mediadores de Seguros de la DGSFP con la clave AJ137, y que ejerce la actividad de mediación para la entidad aseguradora GES SEGUROS Y REASEGUROS inscrita en el registro administrativo especial de Entidades Aseguradoras y Reaseguradoras de la Dirección General de Seguros y Fondos de Pensiones con la clave C-0089 y con domicilio social en Plaza de las Cortes 2,28014 Madrid y para la entidad AMTRUST INTERNATIONAL UNDERWRITERS LIMITED inscrita en el registro administrativo especial de Entidades Aseguradoras y Reaseguradoras de la Dirección General de Seguros y Fondos de Pensiones con la clave L-0448 y con domicilio social en el número 40 de Westlan Row, Dublín, Irlanda.en el caso de contratación de alguno de los seguros propuestos a través del presente sitio web y en base a las condiciones de contratación que tengan establecidas.

     

  2. HOMESERVE ASISTENCIA SPAIN, S.A.U., que presta servicios de asistencia y reparaciones, donde los datos serán tratados para la gestión e información de presupuestos, así como para la realización y ejecución de las asistencias o servicios solicitados a través de este sitio web y en base a las condiciones de contratación establecidas.

La finalidad de la recogida y tratamiento de los Datos de Carácter Personal realizados consiste en:

  1. gestionar los servicios contratados, así como
  2. adecuar las ofertas comerciales a tu perfil particular, realizado sobre la información que nos facilites, para el envío de información, publicidad y ofertas comerciales de las entidades del Grupo HOMESERVE, siempre y cuando nos autorices para ello, así como de entidades colaboradoras relacionadas con productos financieros, aseguradores y del sector de asistencias en el hogar. El consentimiento obtenido podrá ser revocado en cualquier momento.

Este tratamiento automatizado no produce efectos jurídicos sobre ti, ni te afecta significativamente de modo similar, pero si te opones a este tratamiento, estarás impidiendo que te prestemos los servicios de gestión y que te comuniquemos las ofertas mencionadas más arriba.

3. Legitimación

La base legal para el tratamiento de tus datos es el desarrollo de nuestra relación contractual y/o comercial contigo. Asimismo, la oferta prospectiva de productos y servicios está basada en tu consentimiento, sin que en ningún caso la retirada de este consentimiento condicione el tratamiento de tus datos para el resto de finalidades.

4. Plazo de conservación de tus datos

Tus Datos de Carácter Personal serán conservados durante el tiempo necesario para cumplir con los fines del tratamiento. Finalizado el mismo, se conservarán durante el tiempo necesario para cumplir con las obligaciones legales.

5. Cesión y/o comunicación de información

No vendemos ni divulgamos de ninguna otra manera la información que hemos recogido sobre ti.

Sin embargo, tus datos podrán cederse a otras empresas de nuestro Grupo, o a terceras entidades aseguradoras y de asistencia del hogar con el fin de prestarte nuestros servicios.

6. Links y utilización de cookies

Este Sitio puede incluir, mostrar o desplegar enlaces a otras páginas web para tu mayor comodidad e información. Dichas páginas web pueden operar independientemente de nosotros. Es posible que estas páginas con enlaces tengan sus propias políticas de privacidad, te recomendamos que las leas cuando las visites. En la medida en que cualquier página web con enlace que visites no sea de nuestra propiedad ni esté bajo nuestro control, no somos responsables del contenido de tales sitios web, su uso o sus prácticas de privacidad.

Podemos usar cookies propias o de terceros cuando navegas por este Sitio para mejorar tu experiencia de navegación. Estas cookies recogen información sobre ti y tu navegación. Para saber más acerca de las Cookies que utilizamos en este Sitio por favor lee nuestra Política de Cookies entrando en  www.homeserve.es/cookies

7. Tus derechos

Te ofrecemos diversas opciones para saber qué información personal vamos a recopilar sobre ti, cómo utilizaremos dicha información y cómo nos comunicaremos contigo. En todo caso, deberás acreditar tu identidad mediante fotocopia de tu DNI/CIF.

Podrás dirigirte a nosotros con el fin de poder ejercitar tus derechos de acceso, rectificación, supresión, limitación, oposición y portabilidad respecto de los datos incorporados en nuestros ficheros. Para ejercitar estos derechos, podrás dirigirte a nosotros en la dirección indicada más arriba o a través del correo electrónico protecciondedatos@homeserve.es. En todo caso, deberás acreditar tu identidad mediante fotocopia de tu DNI/CIF.

Asimismo, tienes derecho a presentar una reclamación para ejercitar tus derechos ante la Agencia Española de Protección de Datos, c/ Jorge Juan, 6, 28001, Madrid, España.

8. Transferencias de datos

Si eres cliente o potencial cliente de HOMESERVE SPAIN, S.L.U o HOMESERVE ASISTENCIA SPAIN, S.A.U tus datos podrán ser transferidos a Estados Unidos a la empresa SALESFORCE.COM, para lo cual contamos con autorización de la Agencia Española de Protección de Datos.

9. Medidas de seguridad

Te garantizamos que hemos adoptado las medidas de seguridad para la protección de los Datos de Carácter Personal que son legalmente requeridas en base a los riesgos derivados de los tratamientos y con el fin de evitar  la pérdida, mal uso, alteración, y/ o acceso no autorizado, garantizando su confidencialidad, integridad, disponibilidad y resiliencia, así como la capacidad de restaurar la disponibilidad y el acceso a los mismos, implantando todos los medios y medidas técnicas a nuestro alcance, así como procesos de seudonimizacion y cifrado de los datos siempre que sea posible. Igualmente realizamos procesos de verificación, evaluación y valoración regulares de la eficacia de las medidas para garantizar la seguridad del tratamiento y la protección de tus datos.

11. Cómo ponerse en contacto con nosotros

Como usuario puedes contactar utilizando los siguientes canales:

HOMESERVE
Departamento de Protección de Datos
Apartado de Correos 57.276
28224, Pozuelo de Alarcón 
Madrid

O en la dirección de correo electrónico: 
protecciondedatos@homeserve.es

Sin perjuicio de lo anterior, podrás ponerte en contacto con el delegado de protección de datos de HOMESERVE con quien puedes contactar a través de dpospain@homeserve.es.