Los fallos de seguridad dejan a las bañeras de hidromasaje en aguas turbulentas

21 enero, 2019
18 Compartido 2,643 Visualizaciones

Durante décadas las bañeras de hidromasaje eran un simple accesorio de lujo para terrazas y jardines para personas que querían un momento de relax. Recientemente, los fabricantes comenzaron a añadir excitantes funciones de Internet de las Cosas (IoT), que los departamentos de marketing promocionaban como imprescindibles.

Estas nuevas bañeras de hidromasaje parecen idénticas a sus predecesoras excepto porque sus dueños pueden remotamente ajustar características como la temperatura del agua desde su teléfono móvil.

Lo siguiente es fácil de adivinar, según la empresa de seguridad británica Pen Test Partners, al menos un fabricante tiene graves problemas de seguridad en sus bañeras.

En un vídeo grabado en una bañera de hidromasaje, el fundador, Ken Munro, explica como alertaron a su empresa para que investigara el diseño de autenticación de la app usada para controlar las bañeras de hidromasaje y spas fabricados por Balboa Water Group (BWG).

Lo que encontraron se puede identificar como lo que no hacer en seguridad IoT.

La app se comunica directamente con una interfaz wifi en las bañeras o a través de internet usando una API. El punto de acceso de la bañera está abierto, no se necesita ninguna PSK (clave previamente compartida), por lo que cualquiera que esté cerca de tu casa puede conectarse a tu bañera de hidromasaje y controlarla.

Y eso no es todo, la API no tiene autenticación pero se conecta a un servicio en la nube llamado iDigi, que utiliza una contraseña fija. Para conectarse a una bañera especifica, se necesita un ID, que resulta ser una versión inflada de la dirección MAC del punto de acceso wifi.

Espiar redes wifi es algo sencillo y muy popular, tan sencillo y popular que existen enormes bases de datos y mapas mundiales de direcciones MAC a tan solo un clic de distancia. Y, como cualquiera que utilice los servicios de ubicación de Google, las redes wifi también pueden servir para una efectiva geolocalización.

¿Te preocupa que alguien pueda localizar tu bañera en un mapa? Posiblemente no, pero a la mayoría les desagradaría si conociesen los problemas de seguridad que estamos tratando.

De hecho los expertos que descubrieron el fallo, han acuñado un nuevo término “hackuzzi”, en honor a la famosa marca americana Jacuzzi, que no está afectada por esta vulnerabilidad.

Aguas turbulentas

Según los investigadores, la vulnerabilidad no es peligrosa per se, pero podría permitir a un atacante provocar un consumo excesivo de electricidad. También es posible controlar los chorros de agua, de manera que se puede adivinar si alguien la está utilizando.

Sin duda se trata de un problema serio en un dispositivo que controla más de 26.000 bañeras. Cuando Pen Test Partners contactaron a Balboa no recibieron ninguna respuesta hasta que la BBC los contactó antes de retransmitir la noticia.

Pen Test Partners dijo que entonces BWG pidió que se retrasara la emisión para permitir las vacaciones de Navidad.

Hasta que la app y/o la API se actualicen, sugerimos a los dueños de las bañeras de hidromasaje afectadas que desactiven el control remoto y, si están muy preocupados, que quiten físicamente el modulo wifi.

Esperamos que Balboa solucione el problema pronto. Sin embargo dado que la última actualización para Android es de julio de 2013, lo más probable es que no sea pronto.

Mantente informado de las noticias más relevantes en nuestro canal de Telegram

Te podría interesar

Los usuarios de Internet se enfrentan a múltiples amenazas provenientes de programas informáticos malignos cuando visitan sitios web sospechosos de piratear contenido digital
Security Breaches
18 compartido2,406 visualizaciones
Security Breaches
18 compartido2,406 visualizaciones

Los usuarios de Internet se enfrentan a múltiples amenazas provenientes de programas informáticos malignos cuando visitan sitios web sospechosos de piratear contenido digital

Mónica Gallego - 26 septiembre, 2018

Más de 4.000 archivos retirados por programas malignos desarrollados a título individual. Consistían en programas informáticos malignos u otros programas…

Datos 101, nuevo servicio de almacenamiento de copias de seguridad en la nube para pymes
Cloud
1588 visualizaciones
Cloud
1588 visualizaciones

Datos 101, nuevo servicio de almacenamiento de copias de seguridad en la nube para pymes

Redacción - 29 mayo, 2017

Tras analizar la situación de seguridad de las pymes en España, emprendedores madrileños han lanzado Datos101, un servicio de copias…

Fintech prevé una mayor supervisión en ciberseguridad tras el ataque en México
Fintech
9 compartido1,847 visualizaciones
Fintech
9 compartido1,847 visualizaciones

Fintech prevé una mayor supervisión en ciberseguridad tras el ataque en México

Mónica Gallego - 21 mayo, 2018

El ciberataque en México del que fueron víctimas algunas instituciones financieras causó pérdidas millonarias. Las instituciones de tecnología financiera (Fintech)…

Deje un comentario

Su email no será publicado

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.