La consultora Pen Test Partners detecta una vulnerabilidad en los nuevos dispositivos Gen 4 de Shelly que permite abrir puertas de forma remota. El error mantiene activa una red oculta en internet que sirve de trampolín para controlar todos los aparatos conectados de la vivienda.
Investigadores de seguridad de una consultora de ciberseguridad aseguran haber descubierto una vulnerabilidad grave en los productos para hogares inteligentes de Shelly, proveedor europeo de sistemas de seguridad doméstica.
En la actualidad, los productos de Shelly se utilizan en más de 5,2 millones de hogares europeos. Este fallo de diseño crea, según Pen Test Partners, una puerta trasera invisible hacia viviendas particulares que la mayoría de usuarios nunca llegará a detectar.
Según Pen Test Partners, los nuevos dispositivos domésticos inteligentes Gen 4 de Shelly mantienen de forma permanente activado el punto de acceso inalámbrico que se utiliza para la configuración inicial, incluso después de conectarse correctamente a la red Wi-Fi de la vivienda. Esto deja una red oculta funcionando en segundo plano, sin conocimiento ni consentimiento del usuario, mucho tiempo después de la instalación.
En cambio, los modelos anteriores de la compañía desactivaban automáticamente ese punto de acceso una vez que el dispositivo se conectaba a la red Wi-Fi del hogar. Este fallo puede permitir que cualquiera que se sitúe frente a una vivienda utilice la red Wi-Fi del residente para abrir la puerta principal, la puerta del garaje o el portón, lo que supone un riesgo físico de robos y allanamientos.
Sin embargo, el problema va mucho más allá. Una investigación más amplia llevada a cabo por Pen Test Partners sostiene que no se trata solo de un error de diseño. La vulnerabilidad actual de la gama Gen 4 implica que un único dispositivo afectado puede utilizarse como trampolín para acceder a prácticamente todos los aparatos conectados del hogar, sean de Shelly o de otros fabricantes.
Como muchos hogares inteligentes en Europa siguen funcionando con redes de distintas generaciones, que combinan productos de Shelly y de otras marcas, esto puede provocar una grave falta de protección tanto en línea como fuera de ella.
Aún no se han tomado medidas correctoras
Pen Test Partners afirma que notificó a Shelly esta brecha de seguridad y que la compañía le respondió que el firmware 1.8.0, una serie de actualizaciones de los dispositivos, solucionaría el fallo.
Esto ha dejado en manos de los usuarios la desactivación manual de los puntos de acceso, algo que muchos propietarios quizá ni siquiera saben que deben hacer. "Deberían estar haciendo una gran campaña de comunicación para explicar que han dejado un punto de acceso abierto y cómo desactivarlo. No lo han hecho porque probablemente afectaría a su reputación", declaró a 'Euronews' Next Ken Munro, fundador de Pen Test Partners.
Shelly aseguró a 'Euronews' Next que los usuarios que siguen los métodos oficiales de configuración a través de su aplicación móvil tienen el punto de acceso desactivado de forma automática.
Quienes optan por una configuración manual reciben avisos para proteger el punto de acceso. Una próxima actualización de firmware lo desactivará automáticamente tras un tiempo de espera predeterminado.
"Nos gustaría subrayar que todos los procesos de configuración y los recursos digitales del ecosistema Shelly, incluida nuestra aplicación móvil y la interfaz web en la nube, ofrecen indicaciones claras a los usuarios sobre cómo proteger sus dispositivos", señaló a Euronews Next un portavoz de Shelly.
"Cualquier decisión de configuración que se tome al margen de estos procedimientos recomendados, como dejar el punto de acceso sin proteger, depende en última instancia de las preferencias del usuario y queda fuera del ámbito de control directo de la plataforma.
"Como ocurre con cualquier dispositivo conectado, los usuarios siguen siendo libres de configurar su equipo según sus propias necesidades, y les animamos activamente a que sigan las recomendaciones de seguridad que se facilitan durante la instalación", añadió.
Shelly destacó además que incorporará una mejora en una próxima versión de firmware que permitirá desactivar automáticamente el punto de acceso tras un tiempo predefinido, salvo que sea necesario expresamente para tareas de configuración o provisión.
Tendencia al alza de las vulnerabilidades en dispositivos conectados
En los últimos años, un número cada vez mayor de dispositivos para hogares inteligentes y otros aparatos conectados ha sido criticado por presentar vulnerabilidades importantes, entre ellos los timbres Ring de Amazon y las cámaras de seguridad de Dahua.
"Nuestra área de especialización son los dispositivos conectados y probamos todo tipo de sistemas para hogares inteligentes", apuntó Munro. "Hemos visto problemas similares en inversores solares e incluso detectamos una vulnerabilidad parecida en un coche hace más de 10 años".
Las filtraciones de datos procedentes de estos dispositivos inteligentes, especialmente en lo que respecta a datos de uso y de comportamiento, son otro problema clave.
"A veces descubrimos que los datos de uso y comportamiento de las personas se filtran por accidente. Los fabricantes de dispositivos inteligentes recopilan datos de uso para mejorar sus productos y a menudo olvidan que la información individual puede ser muy reveladora", señaló Munro.