Durante décadas las bañeras de hidromasaje eran un simple accesorio de lujo para terrazas y jardines para personas que querían un momento de relax. Recientemente, los fabricantes comenzaron a añadir excitantes funciones de Internet de las Cosas (IoT), que los departamentos de marketing promocionaban como imprescindibles.

Estas nuevas bañeras de hidromasaje parecen idénticas a sus predecesoras excepto porque sus dueños pueden remotamente ajustar características como la temperatura del agua desde su teléfono móvil.

Lo siguiente es fácil de adivinar, según la empresa de seguridad británica Pen Test Partners, al menos un fabricante tiene graves problemas de seguridad en sus bañeras.

En un vídeo grabado en una bañera de hidromasaje, el fundador, Ken Munro, explica como alertaron a su empresa para que investigara el diseño de autenticación de la app usada para controlar las bañeras de hidromasaje y spas fabricados por Balboa Water Group (BWG).

Lo que encontraron se puede identificar como lo que no hacer en seguridad IoT.

La app se comunica directamente con una interfaz wifi en las bañeras o a través de internet usando una API. El punto de acceso de la bañera está abierto, no se necesita ninguna PSK (clave previamente compartida), por lo que cualquiera que esté cerca de tu casa puede conectarse a tu bañera de hidromasaje y controlarla.

Y eso no es todo, la API no tiene autenticación pero se conecta a un servicio en la nube llamado iDigi, que utiliza una contraseña fija. Para conectarse a una bañera especifica, se necesita un ID, que resulta ser una versión inflada de la dirección MAC del punto de acceso wifi.

Espiar redes wifi es algo sencillo y muy popular, tan sencillo y popular que existen enormes bases de datos y mapas mundiales de direcciones MAC a tan solo un clic de distancia. Y, como cualquiera que utilice los servicios de ubicación de Google, las redes wifi también pueden servir para una efectiva geolocalización.

¿Te preocupa que alguien pueda localizar tu bañera en un mapa? Posiblemente no, pero a la mayoría les desagradaría si conociesen los problemas de seguridad que estamos tratando.

De hecho los expertos que descubrieron el fallo, han acuñado un nuevo término “hackuzzi”, en honor a la famosa marca americana Jacuzzi, que no está afectada por esta vulnerabilidad.

Aguas turbulentas

Según los investigadores, la vulnerabilidad no es peligrosa per se, pero podría permitir a un atacante provocar un consumo excesivo de electricidad. También es posible controlar los chorros de agua, de manera que se puede adivinar si alguien la está utilizando.

Sin duda se trata de un problema serio en un dispositivo que controla más de 26.000 bañeras. Cuando Pen Test Partners contactaron a Balboa no recibieron ninguna respuesta hasta que la BBC los contactó antes de retransmitir la noticia.

Pen Test Partners dijo que entonces BWG pidió que se retrasara la emisión para permitir las vacaciones de Navidad.

Hasta que la app y/o la API se actualicen, sugerimos a los dueños de las bañeras de hidromasaje afectadas que desactiven el control remoto y, si están muy preocupados, que quiten físicamente el modulo wifi.

Esperamos que Balboa solucione el problema pronto. Sin embargo dado que la última actualización para Android es de julio de 2013, lo más probable es que no sea pronto.