No va ser el meu purificador d'aigua el que va ser piratejat primer. Va ser la meva nevera intel·ligent. A les 3:00 AM, el calendari familiar de la pantalla es va esborrar i es va substituir per un missatge en un anglès deficient que exigia 0,5 Bitcoin. La màquina de gel va començar a abocar cubs a terra. Els llums interns van brillar com una alarma silenciosa. La meva llar intel·ligent, un conjunt de comoditats interconnectades, s'havia convertit en una situació d'ostatges a la meva pròpia cuina.

Vaig haver de fer una trucada costosa i plena de pànic a un especialista en ciberseguretat per recuperar els meus electrodomèstics. Però la seva pregunta final em va fer venir un calfred més profund que el gel del terra: "Teniu un purificador d'aigua connectat a la mateixa xarxa?"

Ho vaig fer. I de sobte, la meva por més gran va passar de l'aigua bruta a un altre tipus de verí: el sabotatge digital.

Assegurem la nostra xarxa Wi-Fi, actualitzem els nostres portàtils i desconfiem dels correus electrònics de phishing. Però connectem despreocupadament a la nostra xarxa un dispositiu que té control físic directe sobre un recurs vital (la nostra aigua), amb una seguretat sovint no més robusta que la d'una joguina infantil. Un purificador d'aigua piratejat no és només un aparell trencat; és una violació al nivell més íntim.

La vulnerabilitat de la "nevera digital": la superfície d'atac del purificador

El meu expert en ciberseguretat va dibuixar els paral·lelismes en una pissarra blanca. Com la meva nevera, el meu purificador d'aigua "intel·ligent" d'alta gamma és un ordinador en xarxa amb una carcassa de plàstic. La seva superfície d'atac és àmplia:

• Una aplicació/portal al núvol feble: l'inici de sessió per controlar-lo o veure les seves dades sovint està protegit per una contrasenya simple, de vegades fins i tot una de predeterminada.
• Firmware obsolet i impossible de modificar: la majoria de purificadors són de tipus "activació i desactivació". És possible que l'empresa no publiqui mai una actualització de seguretat després del dia d'enviament.
• Un flux de dades permanent: Truca constantment a casa i envia dades d'ús, estat del filtre i informació de diagnòstic al servidor d'un fabricant. Això és una possible filtració de dades sobre els hàbits de la teva llar.
• Vàlvules de control físic: aquesta és la part que més espanta. Té solenoides i vàlvules que poden activar i desactivar el flux d'aigua o iniciar una bugada del sistema.

En mans d'un actor maliciós, això no és un risc teòric. És un pla per fer mal.

Els escenaris impensables: de la molèstia al malson

Deixem de banda la "filtració de dades" abstracta i passem a atacs tangibles i plausibles:

1. Bloqueig per ransomware: L'escenari més probable. La interfície del purificador està bloquejada per un ransomware. Apareix un missatge a la pantalla o a l'aplicació que exigeix ​​un pagament per restaurar la funció. No es pot comprovar l'estat del filtre, executar un cicle de neteja o, en casos extrems, el sistema es pot negar a dispensar aigua, cosa que manté la hidratació com a ostatge.
2. L'estafa del "frau dels filtres": Un pirata informàtic obté accés als informes del sistema. Falseja una alerta que diu que tots els filtres i la membrana d'osmosi inversa tenen una fallada crítica i insta a la seva substitució immediata amb un enllaç a una botiga falsa (o maliciosa) que ven peces falsificades i amb preus excessius. Aprofita la teva confiança en el dispositiu per estafar-te.
3. Vandalisme per bloqueig del sistema: un script o un atacant envia una ordre de firmware corrupta, bloquejant permanentment la placa de control. La màquina és un pisàpigues mort i amb fuites fins que pagueu per un reemplaçament complet de la placa base.
4. El sabotatge físic (el pitjor dels casos): Un atacant amb un accés més profund podria, teòricament, fer funcionar les vàlvules de buidatge i purga del sistema de manera erràtica. Això podria causar un cop d'ariet, una pujada de pressió que pot rebentar accessoris i causar una inundació dins dels armaris i les parets. No està enverinant l'aigua; està convertint l'aparell en una arma per enverinar la vostra llar.

El vostre protocol de seguretat hídrica digital de 7 punts

Després del meu incident amb la nevera, vaig implementar aquest protocol per a tots els electrodomèstics connectats, especialment el meu purificador. Tu també ho hauries de fer.

1. Aïlla-ho en una xarxa de convidats: crea una xarxa Wi-Fi separada (la majoria d'encaminadors moderns poden fer això) exclusivament per als teus dispositius IoT. El purificador, els llums i la nevera viuen aquí. Els teus ordinadors portàtils, telèfons i dispositius de treball romanen a la xarxa principal. Una bretxa a la xarxa de convidats està continguda.
2. Elimina els valors predeterminats: canvia el nom d'usuari i la contrasenya predeterminats de l'aplicació i el portal web del purificador per una contrasenya única i forta. Fes servir un gestor de contrasenyes.
3. Audita els permisos de l'aplicació: A l'aplicació mòbil del purificador, denega TOTS els permisos que no necessiti absolutament per funcionar (ubicació, contactes, etc.). Necessita Wi-Fi. Sí que ho fa.nocal saber on ets.
4. Desactiva l'accés remot si és possible: L'aplicació et permet controlar-la des de qualsevol lloc? Si només la necessites a casa, comprova si hi ha un mode "Només xarxa local".
5. Comproveu si hi ha un "interruptor de desactivació de Wi-Fi" físic: alguns models tenen un petit botó per desactivar el Wi-Fi. Si no feu servir les funcions intel·ligents diàriament, desactiveu el Wi-Fi permanentment. Un purificador sense ànim de lucre és un purificador segur. Configureu recordatoris manuals de calendari per als canvis de filtre.
6. Superviseu la vostra xarxa: utilitzeu una eina senzilla d'escaneig de xarxa (com ara Fing) per veure quins dispositius estan connectats a la vostra xarxa domèstica. Si veieu alguna cosa que no reconeixeu, investigueu.
7. Feu la pregunta difícil abans de comprar: Quan busqueu un purificador "intel·ligent", envieu un correu electrònic al servei d'atenció al client de l'empresa. Pregunteu: "Quina és la vostra política de divulgació de vulnerabilitats? Amb quina freqüència publiqueu pegats de seguretat per als vostres dispositius connectats?" Una no-resposta és la vostra resposta.