Un lunes por la mañana, cualquier conversación sobre café debería limitarse a decir «Quiero más», no a hablar de cafeteras hackeadas. Sin embargo la actualidad manda y, mientras ya estoy dando cuenta del tercer café del día, creo que merece la pena dedicar unos minutos a saber qué es lo que ocurre con las cafeteras de Smarter y, a continuación, a abrir un pequeño espacio de reflexión, porque creo que hace falta.
La noticia es que, según cuenta Ars Technica, investigadores de seguridad de Avast han comprobado que los primeros modelos de la cafetera inteligente de la marca británica Smarter tiene múltiples problemas de seguridad, hasta el punto de que es posible tomar, de manera remota, el control de la misma y empezar a activar sus funciones, desactivar los filtros de seguridad, etcétera. Una amenaza que, de acuerdo, no es de las más graves a las que nos podemos enfrentar en el día a día, pero que sin duda puede resultar insoportable.
El problema, según los investigadores, es que la conectividad de esta cafetera es bastante insegura. Cuando no está conectada a una red inalámbrica, crea su propio punto de acceso, no seguro, para que el propietario pueda conectarse a la misma a través del smartphone y, de este modo, realizar varios ajustes de configuración, como conectarla a una red o actualizar su firmware. El punto de acceso, como ya habrás podido imaginar, es el talón de Aquiles de esta cafetera.
Con las pruebas realizadas, los investigadores confirmaron que esta falta de seguridad, sumada a lo sencillo que les resultó crear una versión malintencionada del firmware, permite desde secuestrar el dispositivo y pedir un rescate por liberarlo (si te has gastado más de 200 euros en una cafetera, es probable que accedas a pagar un rescate de, no sé, pongamos 25 euros) hasta ponerlo a minar cualquier criptomoneda. No será muy eficiente para este fin, dada su baja capacidad de cálculo, pero resulta posible.
Para poder llevar a cabo el ataque, los atacantes deben encontrarse en el radio de alcance de la red ad hoc de la cafetera. Si su punto de acceso está activo tan solo tendrán que conectarse a ella. En caso contrario, si ya está conectada a una red wifi, bastará con que fuerce la desconexión del mismo para que el punto de acceso se reactive y, ahí sí, subir el firmware modificado que le permitirá tomar el control de la cafetera.
Y, bueno, esto de las cafeteras hackeadas me hace pensar en dos cosas. La primera es, por supuesto, la vergonzosa falta de preocupación por la seguridad mostrada por algunos fabricantes. ¿De verdad que en todos estos años no hemos aprendido nada? En ocasiones me tengo que morder la lengua para no expresar lo que pienso tal y como lo pienso, y esta es una de esas ocasiones. Descuidar la seguridad, al final, siempre pasa factura. Y mucho más elevada de la que suponen las consecuencias de haberla descuidado en su momento.
Y el segundo punto tiene relación con lo que te contamos el viernes pasado sobre Mozi, la mayor botnet de dispositivos de IoT: cada cierto tiempo tengo la sensación de que estamos perdiendo un poco la cabeza con eso de ponerle el apellido «smart» a todo tipo de dispositivos. No sé, quizá es que me hago mayor y me cuesta entender algunas cosas. Y una cafetera que puedes controlar remotamente entra, sin duda, en esa categoría. ¿Realmente merece la pena incrementar de tal modo la superficie de exposición?
Tengo una cafetera de cápsulas (si bien no la uso casi nunca, prefiero mi italiana de toda la vida) y reconozco que, en su momento sentí curiosidad por un modelo más avanzado y con conectividad. Sin embargo, tras pensarlo un poco, llegué a la conclusión de que, al menos para mí, no compensaba. Y quizá me estoy perdiendo algo fenomenal, no lo niego, pero al menos sé que mi cafetera moka puede jugármela si me descuido al dejarla al fuego, pero que no comprometerá la seguridad de mi red, ni me dirá un día que tengo que pagar un rescate para poder seguir empleándola. No hay cafeteras hackeadas en mi área de confort, y eso me hace sentirme bien.
Que sea posible conectar todo tipo de dispositivos no significa que haya que hacer versiones conectadas de todo tipo de dispositivos. Sé que puede sonar a perogrullo, pero en ocasiones me da la sensación de que no todo el mundo lo tiene tan claro. Seguro que se podría crear un cenicero inteligente que te avise cuando está lleno para que lo vacíes. Y una escoba inteligente, que toma nota de cuándo y dónde la has usado, y te avisa de los rincones que te has dejado por barrer. Se puede, sí, pero lo que debemos preguntarnos es si realmente es necesario. Y creo que mi opinión al respecto es evidente.