OCU detecta vulnerabilidades críticas en dispositivos inteligentes usados en el hogar

Hasta 61 vulnerabilidades, 12 ellas críticas, ha detectado la Organización de Consumidores y Usuarios (OCU) en un análisis de ciberseguridad de 17 dispositivos domésticos conectados a internet: routers, cerraduras electrónicas, cámaras de videovigilancia, enchufes y termostatos inteligentes, altavoces, aspiradores robot, tablets, smartphones, smartwatches, e impresoras. Estas son algunas de las más preocupantes:

- Para empezar, muchos fabricantes aún aceptan contraseñas como “123456”. La lista es larga y variada: 9 de los 17 dispositivos analizados.

- Tampoco es raro el cifrado débil (o inexistente) de las comunicaciones entre dispositivos y aplicaciones con los servidores. Lo mismo ocurre con el almacenamiento de datos en tarjetas de memoria. Todo esto permite a quienes tienen acceso a la red capturar datos como la contraseña, nombre de usuario y grabaciones de vídeo.

- Otro fallo alarmante es que se puedan interceptar las comunicaciones entre dos partes y alterarlas (el llamado “ataque man-in-the-middle”), como ocurre en cuatro productos analizados.

- Cuando el software no está actualizado también surgen problemas. Por ejemplo, los dispositivos Android anteriores a Android 11 sufren la vulnerabilidad llamada Strandhogg 2.0.

- Por último, se comprobó que, con algunos conocimientos técnicos, varios dispositivos del estudio pueden desmotarse y manipularse. Y es que, para facilitar las reparaciones, las conexiones físicas se mantienen accesibles. Un hacker puede alterar el software o instalar programas maliciosos.

Las brechas de seguridad más graves se encontraron de forma más habitual en cámaras de vídeo vigilancia, cerraduras electrónicas y dispositivos portátiles (como smartphones, smarwatches y tablets infantiles), sobre todo en productos a la venta en tiendas online poco conocidas.

A la espera de la nueva ley europea de ciberresiliencia, que refuerza la ciberseguridad de los dispositivos pero que no será obligatoria hasta 2027, OCU insta a la Administración a aumentar los controles de ciberseguridad e imponer sanciones ejemplares a las marcas que no cumplan. Los fabricantes no solo deberían garantizar dispositivos seguros, también deberían hacer un seguimiento de sus productos una vez estén en el mercado. Además, tendrían que informar del tiempo durante el cual se garantizan actualizaciones de seguridad. Por su parte, las tiendas online y los market places también deberían rendir cuentas: no es raro que un mismo dispositivo con problemas aparezca y desaparezca, simplemente cambiando de nombre.

A los consumidores, y como prevención, OCU recomienda priorizar dispositivos a la venta en tiendas online con sede en Europa, cambiar la contraseña que traiga el dispositivo por defecto y comprobar que el aparato está actualizado con la última versión del sistema operativo.

Esta información ha sido elaborada por un equipo de ingenieros, economistas, abogados, estadísticos, editores y diseñadores de OCU que, en colaboración con laboratorios independientes, analizan desde 1975 los principales productos y servicios de consumo. Su trabajo se sustenta en los principios de ahorro, calidad, eficiencia y sostenibilidad, pero sobre todo en la independencia que le proporcionan sus más de 190.000 socios activos.

Para más información (medios de comunicación): Teléfono: 91 722 60 61 www.ocu.org