Tomar control de una red hackeando una bombilla Philips Hue
Una firma de seguridad informática reportó el hallazgo de una vulnerabilidad en los dispositivos Philips Hue que, de ser explotada, permitiría a un hacker tomar control de una bombilla para encenderla o apagarla a voluntad, cambiar color de luz, intensidad de brillo, entre otras tareas. La falla es explotable de forma remota empleando sólo una laptop con transmisor de radio incluido.
Acorde al reporte, la vulnerabilidad reside en el protocolo de comunicación Zigbee, empleado en Philips Hue y otros dispositivos para el hogar con conexión a Internet, como altavoces inteligentes, cerraduras, termostatos, entre otros.
Los expertos en seguridad
informática encontraron una manera de desplegar un ataque de escalada de
privilegios a partir del Philips Hue. Dependiendo de las habilidades de los
hackers, incluso podría comprometerse toda una red local. El ataque consiste en
los siguientes pasos:
- El atacante explota la vulnerabilidad original
para tomar el control de un Philips Hue - El usuario objetivo pierde control sobre el
dispositivo afectado, que es desconectado de la red - El usuario busca de nuevo el Philips Hue y
vuelve a agregarlo a la red - El Philips Hue, ahora infectado, es usado por el
hacker para acceder al puente Hue - Desde ese punto, los hackers pueden acceder a la
red e incluso a equipos de cómputo conectados
Si los hackers logran acceder a
una computadora en la red, pueden instalar software malicioso, como keyloggers
o alguna variante de ransomware.
Los expertos en seguridad informática reportaron en tiempo y forma estas
vulnerabilidades a Signify, compañía propietaria de la marca Philips Hue, que
se apresuró a lanzar un parche de seguridad, el cual ya se encuentra
disponible.
Aunque la falla que permite el
acceso a la red fue corregida, los expertos del Instituto Internacional de
Seguridad Cibernética (IICS) señalan que, debido a que la vulnerabilidad original
reside en las bombillas, no es posible corregirla con actualizaciones de
software, por lo que la mitigación completa de este riesgo de seguridad
requeriría del lanzamiento de una bombilla completamente nueva, no obstante, la
corrección lanzada por la compañía garantiza que los hackers no logren acceder
a la red a partir del ataque contra el dispositivo.
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en programas de recompensas, protección de datos y la seguridad de datos. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.
