Descubren una vulnerabilidad en el protocolo de las bombillas Philips HUE que permitía espiar y acceder a la red de casa

Enrique Pérez

Editor Senior - Tech

Editor especializado en tecnología de consumo y sociedad de la información. Estudié física, pero desde hace más de diez años me dedico a escribir sobre tecnología, imagen y sonido, economía digital, legislación y protección de datos. Interesado en aquellos proyectos que buscan mejorar la sociedad y democratizar el acceso a la tecnología. LinkedIn

Zigbee es el protocolo abierto utilizado por las bombillas inteligentes Philips HUE, pero también el estándar por el que apuestan gigantes como Google, Amazon o Apple. Se trata de un protocolo ampliamente utilizado y con tecnología de encriptación AES-128 para que las comunicaciones sean seguras, sin embargo, según un informe de la firma de ciberseguridad Check Point, se ha descubierto una vulnerabilidad que abre la puerta a poder espiar en nuestra casa y acceder a nuestra red a través de una de estas bombillas inteligentes.

La vulnerabilidad (CVE-2020-6007) ha sido probada en una de estas bombillas Philips HUE, pero se trata de un fallo en el protocolo ZigBee por lo que teóricamente también sería aplicable a otros dispositivos similares como las Ikea Tradfri, Samsung SmartThings o los Amazon Ring. Según la firma de seguridad, con este fallo unos supuestos hackers podrían implantar spyware o ransomware en las redes de nuestra casa.

No se trata de un proceso inmediato, pues un potencial atacante debería haber sido bastante paciente para poder acceder. Según describe Check Point, "se utiliza la vulnerabilidad del protocolo ZigBee para desencadenar un desbordamiento del buffer en el puente de control enviando una gran cantidad de datos". Este desbordamiento permite "instalar también malware en el puente, que a su vez está conectado a la red comercial o doméstica".

Tampoco es la primera vez que el Internet de las Cosas y más en concreto las bombillas HUE son objeto de un fallo de seguridad. A principios de noviembre de 2016, se publicó un hackeo similar aprovechándose de una debilidad en el sistema Touchlink de Zigbee.

Si tienes una Philips HUE conectada a internet, asegúrate de tenerla actualizada

"Muchos de nosotros somos conscientes de que los dispositivos inteligentes pueden suponer un riesgo para la seguridad, pero esta investigación muestra cómo incluso los dispositivos más mundanos y aparentemente "tontos", como las bombillas, pueden ser explotados por piratas informáticos y utilizados para hacerse cargo de las redes o plantar malware", explica Omri Herscovici, investigador de Check Point.

"Es fundamental que las organizaciones y los individuos se protejan contra estos posibles ataques actualizando sus dispositivos con los últimos parches y separándolos de otras máquinas en sus redes, para limitar la posible propagación de malware".

Afortunadamente, los investigadores explicaron esta vulnerabilidad a los responsables de Philips Hue durante el pasado mes de noviembre y el 13 de enero de 2020 se presentó el parche de seguridad que corregía esta importante falla. Si dispones de una bombilla Philips HUE conectada a internet junto a un Bridge, por defecto se debería actualizar automáticamente a través de la red a la versión 1935144040 que contiene el parche. Aún así, recomendamos a los usuarios asegurarse de que efectivamente tienen la última versión instalada.

Desde Signify, empresa responsable de Philips HUE, nos remiten al siguiente comunicado:

"Los investigadores de Checkpoint nos contactaron este invierno sobre una potencial vulnerabilidad. Hemos solucionado y reparado dicha situación antes de que los detalles de la investigación hayan sido revelados públicamente en el día de hoy. Recomendamos a todos los usuarios del sistema que instalen la última actualización de software a través de la aplicación Philips Hue, así como cualquier otra actualización que lancemos, a pesar de evaluar el riesgo para los productos Philips Hue como bajo".

"Los investigadores, con los que hemos cooperado a través de nuestro proceso de divulgación responsable, simplemente nos informaron sobre la posibilidad de un ataque. No han revelado la información necesaria para que otras personas lo hagan. Los hallazgos de su investigación nos han ayudado a desarrollar e implementar la actualización del software".

Ver todos los comentarios en https://www.xataka.com

VER 13 Comentarios

Portada de Xataka