COMENTARIOS
ONLINE
TRÁFICO
Prueba para chequear vulnerabilidad en Cerraduras Inteligentes

Cada día más las smart locks o cerraduras inteligentes se están implementando a la cotidianidad de las personas. Este tipo de tecnología se está popularizando y cada vez más empresas tecnológicas las desarrollan. AV-TEST hizo una selección de seis smart locks de diferentes marcas internacionales y las puso a prueba con el objetivo de chequear su vulnerabilidad antes un ataque digital.

Las Smart Locks se están multiplicando y diversificando según el público al que apunte el fabricante con las mismas. En este caso, AV-TEST puso a prueba (informe completo) seis de ellas fabricadas en diferentes países y por distintas marcas; cada una con el foco puesto en una característica diferente. Pero ¿qué hay de la seguridad digital que incorporan estas cerraduras inteligentes? ¿son vulnerables a los ataques digitales? Los examinadores de IoT del laboratorio armaron un exhaustivo análisis de cada una de estas cerraduras:

  • August, Smart Lock, EE. UU.
  • Burg-Wächter, secuENTRY easy 5601, Alemania
  • Danalock, V3, Dinamarca
  • eQ-3, Eqiva Bluetooth Smart Lock, Alemania
  • Noke, Padlock, EE. UU.
  • Nuki, Combo, Austria
  • Semptec, Urban Survival Technology NX-1448-919 cable de cierre, conexión Bluetooth, Alemania
CÓMO FUE LA PRUEBA Y EL EXAMEN DE SEGURIDAD BÁSICA

Uno de los primeros exámenes que se llevaron a cabo fue para comprobar la seguridad de la compilación, la transmisión, el procesamiento de datos y el almacenamiento de estas cerraduras; se las puso a trabajar en condiciones reales.

Los examinadores analizaron, de acuerdo con el volumen de funciones, la seguridad de los dispositivos, las conexiones de datos utilizadas a través de Bluetooth, WiFi, los servicios de Internet vinculados, así como las aplicaciones de los productos para el hogar inteligente. En la prueba también se tuvieron en cuenta aspectos de protección de datos. Además, durante el uso de los dispositivos en la prueba, se comprobó si los datos recopilados por los fabricantes son necesarios para el funcionamiento y qué derechos de uso de estos datos se atribuyen los fabricantes.




NIVEL DE PROTECCIÓN

AV-Test otorga como máximo tres estrellas que quieren decir que el nivel de seguridad con el que cuentan, son adecuados en diferentes puntos de prueba: “comunicación local”, “comunicación externa”, “seguridad de la aplicación” y “protección de datos”.

La mitad de los smart locks examinados las consiguieron. Otros dos candidatos consiguieron dos de las tres estrellas posibles, lo que aún equivale a una seguridad básica aceptable. Solo hubo una cerradura que no convenció en el laboratorio de prueba, si bien los defectos detectados en la prueba se podrían solventar con facilidad.


Los expertos de AV-TEST solo tienen que hacer una advertencia en el caso del candado para bicicletas incluido en la prueba, en la que no obtuvo ninguna de las tres estrellas posibles.

COMUNICACIÓN LOCAL CON BLUETOOTH

Según las pruebas, la comunicación entre cerradura y dispositivo móvil (vía Bluetooth) resultó ser segura en todos los casos. Para atacar la comunicación Bluetooth es necesario estar muy cerca de la cerradura. De forma estándar, las cerraduras inteligentes utilizan una codificación implementada como es debido, casi siempre AES de 128 bits por lo menos. Las tres cerraduras de August, Danalock y Nuki codifican incluso a un nivel más alto y utilizan AES de 256 bits.


COMUNICACIÓN LOCAL VÍA WIFI

En el momento de la prueba, únicamente la cerradura de Nuki se podía vincular a la red WiFi del hogar. El smart lock austriaco permite el manejo remoto de la cerradura mediante una app para dispositivo móvil, desde cualquier lugar. En la prueba realizada por AV-Test, ni la conexión Bluetooth entre la cerradura Nuki y el puente ni tampoco la transmisión por WiFi con cifrado SSL entre el puente y el enrutador mostraron puntos débiles reconocibles.


ACTUALIZACIÓN NO CODIFICADA

Los examinadores solo detectaron un envío de datos sin codificar en el caso de la cerradura de Burg-Wächter; esto permitió la intercepción de las actualización y por lo tanto una vulnerabilidad: los atacantes podrían enviar a la cerradura actualizaciones falsificadas y manipular las funciones del smart lock.

Además, esta misma cerradura no exige cambiar la contraseña estándar utilizada de fábrica para la cuenta del administrador, lo cual implica un peligro adicional y la convierte en una presa fácil para los criminales.


También te puede interesar: El crecimiento del mercado de alarmas


SEGURIDAD DE LA APLICACIÓN: LOS ARCHIVOS DE REGISTRO SON PUNTOS VULNERABLES

Cuatro de los seis candidatos demostraron en la prueba una buena protección contra potenciales ataques a la aplicación. Solo las aplicaciones de August y Danalock generaron extensos protocolos de debug. Estos pueden proporcionar pistas a potenciales atacantes sobre el modo de funcionamiento de la aplicación, así como indicios sustanciales sobre las acciones del usuario.

PROTECCIÓN DE DATOS

Una de las cuestiones que más importa a los usuarios es la protección de sus datos; cuándo sale y cuándo entra quién a la casa. Si esta información es brindada por la aplicación del proveedor al propietario, la realidad es que existe la posibilidad de que un cibercriminal pueda entrarse de estos movimientos. En este sentido fue Nuki la que más se acerca a lo deseado ya que la declaración de protección de datos de Austria se ajusta al producto examinado.

CONCLUSIÓN

La mayoría de los dispositivos examinados de este grupo de productos se diferencia, en cuanto a la seguridad, de otros dispositivos para el hogar inteligente. El instituto AV-TEST certificó la seguridad básica de cinco de los seis sistemas de cierre de la prueba. Las cerraduras inteligentes de eQ-3, Noke y Nuki superaron la prueba incluso con tres de las tres estrellas posibles y ofrecen un buen nivel de seguridad. La cerradura inteligente de Burg-Wächter solo obtuvo una de las tres estrellas debido a defectos evitables y fáciles de corregir, por lo que, en estos momentos, no es recomendable. Por último el alarmante resultado del cable de cierre para bicicletas controlado por aplicación del proveedor alemán Semptec, pone en evidencia su inseguridad.

Fecha de creación: 13/06/2018 Fuente: ItSitio

Escribir un comentario


Aún no hay comentarios

Click aquí para suscribirte a nuestro newlsletter semanal de noticias
SUSCRÍBETE a nuestro newsletter de novedades
VIDEOTUTORIALES
¿como usar MID?