Ha surgido una vulnerabilidad crítica que afecta a más de 83 millones de dispositivos inteligentes, incluidas cámaras inteligentes y monitores para bebés, y podría permitir a los piratas informáticos escuchar y ver transmisiones de audio y video en vivo.
La firma de seguridad Mandiant, que coordina su divulgación con la Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA), dijo que la falla «representa un riesgo significativo» para la seguridad y privacidad de las personas.
Si bien las contraseñas predeterminadas solicitaron a los servicios de seguridad del Reino Unido Advertencia a los consumidores de la actividad delictivaSin embargo, la falla descubierta por Mandiant también afecta a los dispositivos que no usan contraseñas predeterminadas.
Según Mandiant, el problema radica en un protocolo de software IoT (Internet of Things) llamado Kalay, desarrollado por la empresa taiwanesa ThroughTek, que proporciona una plataforma para controlar dispositivos inteligentes.
Antes de que se llevara a cabo la divulgación coordinada, ThroughTek advirtió a los usuarios que actualizaran su software para evitar que los piratas informáticos accedan a «información confidencial en la transmisión y en los dispositivos de las víctimas».
Nozomi Networks descubrió una vulnerabilidad similar en el protocolo Kalay a principios de este año, aunque Mandiant dice que su descubrimiento es más serio, ya que permite a los atacantes tomar el control de los dispositivos afectados de forma remota y piratearlos.
Debido a que el protocolo Kalay lo instalan los fabricantes de equipos originales (OEM) y los proveedores antes de que los dispositivos inteligentes lleguen a los consumidores, Mandiant dijo que no podía identificar una lista completa de los productos afectados.
Sin embargo, la compañía, que es parte de la firma de ciberseguridad FireEye, señaló que el sitio web de ThroughTek «informa sobre más de 83 millones de dispositivos activos en la plataforma Kalay en el momento de redactar este artículo».
En 2014, el organismo de control de datos del Reino Unido advirtió a los británicos sobre la existencia de feeds privados de cámaras web. Streaming en un sitio ruso, utilizando la información de inicio de sesión y las contraseñas predeterminadas para acceder a los dispositivos.
El gobierno británico planea introducir una nueva ley que obligaría a los fabricantes de equipos originales y vendedores de dispositivos inteligentes a cumplir con los requisitos mínimos de seguridad en el Reino Unido.
El gobierno anunció el proyecto de ley de seguridad de infraestructura y productos de telecomunicaciones durante el discurso de la reina a principios de este año, aunque todavía no es una ley.
El Ministro de Infraestructura Digital, Matt Warman, anunció la ley a principios de este año: “Estamos cambiando la ley para garantizar que los compradores sepan cuánto tiempo los productos son compatibles con actualizaciones de seguridad críticas antes de comprar y dificultar la piratería de dispositivos mediante el bloqueo de -adivina contraseñas predeterminadas.
«Las reformas, respaldadas por asociaciones tecnológicas de todo el mundo, torpedearán los esfuerzos de los ciberdelincuentes y harán avanzar nuestra misión de reconstruir de manera más segura frente a la pandemia».
Un portavoz del Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido dijo: «Somos conscientes de esta vulnerabilidad y ThroughTek ha publicado una actualización para solucionar el problema.
“El uso de una plataforma simplemente no lo hace automáticamente vulnerable a la influencia del mundo real, ya que se necesita información adicional difícil de adivinar para explotar con éxito una vulnerabilidad en un dispositivo individual.
«Para maximizar la protección, el NCSC recomienda que las personas mantengan actualizado su software instalando las últimas actualizaciones del proveedor tan pronto como sea posible».
«Pensador incondicional. Aficionado a la televisión galardonado. Emprendedor total. Evangelista de la web. Nerd del café».