Noticias
Millones de dispositivos conectados usan la misma clave criptográfica
Millones de dispositivos integrados, incluyendo routers, módems, cámaras IP i teléfonos VoIP, están utilizando las mismas claves criptográficas SSH o HTTPS que los exponen a varios tipos de ataques maliciosos, según estudio de la firma SEC Consult.
En palabras simples, esto significa que si un atacante es capaz de acceder a un dispositivo de forma remota, podrá hacerlo a cientos de miles de otros dispositivos, incluidos los dispositivos de distintos fabricantes.
El estudio sobre dispositivos de la IoT de SEC, estudió 4.000 dispositivos integrados de 70 proveedores de hardware diferentes, que van desde simples routers para el hogar a servidores gateway para Internet. Ahí hallaron 580 claves criptográficas privadas únicas SSH y HTTPS compartidas entre múltiples dispositivos del mismo vendedor e incluso de diferentes fabricantes.
Lo mismo ocurre en el caso de sitios web si un atacante obtiene acceso al certificado privado del dispositivo HTTPS, que realmente se utiliza para cifrar el tráfico entre los usuarios y su interfaz de administración basada en Web. El atacante puede descifrar el tráfico para extraer nombres de usuarios, contraseñas y otros datos confidenciales con la ayuda de la clave privada de HTTPS del dispositivo.
Cuando analizaron las 580 claves los investigadores encontraron que al menos 230 de ellas se utilizaban en 4 millones de dispositivos IoT. Otros 150 certificados de servidor HTTPS eran utilizados por 3,2 millones de dispositivos y 80 claves de host SSH eran utilizadas por al menos 900.000 dispositivos.
El problema radica en la manera de crear y desplegar sus productos. Por lo general, los vendedores construyen el firmware de sus dispositivo basándose en kits de desarrollo de software (SDK) procedentes de los fabricantes de chips «sin molestarse en cambiar el código fuente e incluso si las claves o certificados ya están presentes en los SDKs», explican.
SEC Consult identificó más de 900 productos vulnerables de aproximadamente 50 fabricantes y ha listado compañías que reutilizan claves de cifrado: ADB, AMX, Actiontec, Adtran, Alcatel-Lucent, Alpha Networks, Aruba Networks, Aztech, Bewan, Busch-Jaeger, CTC Union, Cisco, Clear, Comtrend, D-Link, Deutsche Telekom, DrayTek, Edimax, General Electric (GE), Green Packet, Huawei, Infomark, Innatech, Linksys, Motorola, Moxa, NETGEAR, NetComm Wireless, ONT, Observa Telecom, Opengear, Pace, Philips, Pirelli , Robustel, Sagemcom, Seagate, Seowon Intech, Sierra Wireless, Smart RG, TP-LINK, TRENDnet, Technicolor, Tenda, Totolink, unify, UPVEL, Ubee Interactive, Ubiquiti Networks, Vodafone, Western Digital, ZTE, Zhone y ZyXEL.
Entre los países afectados se incluyen España, México, Colombia o Brasil.