Redazione RHC : 29 julio 2025 08:08
Los dispositivos inteligentes en red ya no son simples ayudantes, sino enemigos potenciales. Con cada nuevo termostato o televisor conectado a internet, se abre una nueva vulnerabilidad en la infraestructura digital de nuestros hogares.
Esto nos recuerda una nueva amenaza descubierta en los termostatos WiFi Network Thermostat X-Series, ampliamente utilizados. La vulnerabilidad se considera crítica: en la escala CVSS, recibió 9,8 sobre 10 puntos. Si un dispositivo de este tipo está conectado a internet, está indefenso. Pero incluso tras un cortafuegos, puede utilizarse como punto de acceso a una red corporativa o industrial.
Según el investigador de ciberseguridad Sovik Kandar de MicroSec, el servidor web integrado en estos termostatos no requiere autenticación. Un atacante solo necesita estar conectado a la misma red o acceder mediante el reenvío de puertos para eliminar las credenciales y tomar el control total del dispositivo. Este escenario es totalmente posible, especialmente en un entorno donde los dispositivos IoT rara vez reciben actualizaciones y a menudo se dejan desatendidos.
Este no es el primer ataque a termostatos. El año pasado, los dispositivos Bosch se enfrentaron a una amenaza similar: permitieron la carga de firmware arbitrario y su vulnerabilidad total. El problema radica en la arquitectura general del IoT. Estos dispositivos no están protegidos por defecto, y su distribución en áreas críticas, desde oficinas hasta fábricas, los convierte en una plataforma ideal para ataques.
Pero eso no es todo. En el mismo informe, un representante de MicroSec reveló otra vulnerabilidad peligrosa, esta vez en los sistemas de videovigilancia LG Innotek. El modelo obsoleto LNV5110R todavía se utiliza activamente en instalaciones comerciales, a pesar de que ya se le retiró el soporte. La vulnerabilidad permite la ejecución remota de código arbitrario a nivel de administrador. Este error basta para cargar una solicitud HTTP POST especial en la memoria no volátil de la cámara. El fallo permite el control total del sistema de videovigilancia, con la posibilidad de instalar troyanos, realizar videovigilancia encubierta o acceder a otros segmentos de la red.
Pero estas no son las debilidades, según Kandar. Argumenta que los televisores inteligentes son el principal talón de Aquiles de cualquier infraestructura moderna. Casi todos los modelos de Android tienen depuración abierta a través del puerto ADB, que no está protegido por contraseña ni advertencia. Estos televisores están en todas partes: desde salas de conferencias hasta salas de hospital, desde aeropuertos hasta salas de servidores. El control se puede tomar de forma remota, y esto ya no es una teoría: hay una demostración práctica disponible públicamente en YouTube. A través de la televisión, es posible no solo acceder a la pantalla, sino también lanzar un ataque a gran escala contra toda la red local.
Kandar, que cuenta con 21 vulnerabilidades CVE en su haber, traza una línea inquietante: Los dispositivos IoT no son solo riesgos, sino vectores de ataque activos, invisibles y familiares. Muchos de ellos son considerados inicialmente confiables por el sistema, rara vez reciben actualizaciones y su ataque no despierta sospechas hasta que es demasiado tarde.
Bitdefender, otra empresa de monitorización de amenazas, recomienda aislar completamente todos los dispositivos IoT de la red principal, restringiendo el acceso mediante una VLAN o un enrutador independiente. Es especialmente importante eliminar cualquier acceso directo a Internet. Incluso las VPN, a menudo utilizadas para el acceso seguro, pueden volverse vulnerables si no se actualizan y configuran correctamente. Como señala la CISA, la seguridad de las VPN no se determina tanto por el cifrado como por el estado del equipo conectado.
CISA aún no ha registrado ningún intento de explotar las nuevas vulnerabilidades, pero ha emitido boletines al respecto. Pero es solo cuestión de tiempo. La agencia insta a limitar urgentemente la visibilidad de la red de todos los dispositivos industriales y del IoT, eliminando el acceso externo y utilizando métodos de comunicación seguros solo cuando sea absolutamente necesario. Estas no son recomendaciones, sino instrucciones de supervivencia.
RedazioneEl investigador de seguridad Alessandro Sgreccia , miembro del equipo HackerHood de Red Hot Cyber, ha informado de dos nuevas vulnerabilidades en Zyxel que afectan a varios dispositivos de la familia ...
La Agencia de Seguridad Cibernética y de Infraestructura (CISA) y el Centro de Análisis e Intercambio de Información Multiestatal (MS-ISAC) están emitiendo este Aviso Conjunto de Ciberseguridad (C...
El 20 de octubre de 2025 marca un aniversario significativo en la historia de la informática: el procesador Intel 80386 , también conocido como i386 , celebra su 40.º aniversario . ¡Y es un cumple...
Investigadores de VUSec han presentado un artículo titulado «Entrenamiento en solitario», que cuestiona los principios fundamentales de la protección contra ataques Spectre-v2 . Anteriormente , se...
El 20 de septiembre, informamos sobre un ciberataque que paralizó varios aeropuertos europeos, incluidos los de Bruselas, Berlín y Londres-Heathrow. Se trató de un ataque a la cadena de suministro ...
