El jueves por la noche, mientras volvÃa de una estupenda velada con amigos, me sobresalte leyendo una noticia preocupante sobre un análisis que realizó una asociación de consumidores sueca a unos routers de la marca Linksys.
En dicho análisis descubrieron unos fallos de seguridad que nos dejan a todos con los pelos de punta al realizar la configuración inicial de los mismos desde la app que Linksys te ofrece para tu smartphone.
Resulta que varios paquetes de datos se enviaban a un servidor AWS en EE. UU una vez confirmas tu configuración. El contenido de esos paquetes incluye el nombre SSID y la contraseña en texto plano. SÃ, no has leÃdo mal: ¡sin cifrar ni nada! El desaguisado se completa con tokens de identificación para la red y un token de acceso para una sesión de usuario.
¡TOMA!
El problema radica en que la aplicación de Linksys envÃa esos datos sin cifrar para que el router los descargue y realice la autoconfiguración. A ver, que obviamente, de alguna manera tendrá que enviar la app la configuración al router, pero estoy seguro de que esta no es la correcta...
Cualquiera con un poco de habilidad técnica y acceso a estos paquetes podrÃa colarse en tu red Wi-Fi, espiar tu tráfico de internet y acceder a tus dispositivos. Y lo más escalofriante es que estos datos se envÃan a un servidor externo sin que te enteres, sin que sepas si después se borran o quien tiene acceso a los mismos...
Lo que viene siendo una puerta abierta de par en par para un posible atacante.
Además, Linksys recomienda su lÃnea de productos Velop para el mercado SOHO (Small Office Home Office). Esto significa que no solo los hogares están en riesgo, sino también entornos profesionales que se decidan por estos cacharros.
Si a todo esto le sumamos que, a dÃa de hoy, la confianza en las empresas tecnológicas está bajo mÃnimos, esta metedura de pata de Linksys no hace más que abonar el mercado de la paranoia total y la desconfianza. Porque incluso, a pesar de haber sido advertidos sobre el problema, se limitaron a lanzar un nuevo firmware que no solucionaba nada.
Sinceramente, las empresas deben ponerse las pilas y ser transparentes con la gestión de datos. Y nosotros, los usuarios, tenemos que estar más atentos y tomar medidas extra para proteger nuestra privacidad y seguridad.
¿Pero realmente existe la privacidad? Eso son los padres. En cuanto conectas a Internet, tus datos empiezan a ser moneda de cambio. Todos esos términos y condiciones que aceptamos sin leer, esconden cláusulas que permiten a las empresas recolectar y utilizar nuestra información sin el más mÃnimo escrúpulo. Desde el historial de navegación hasta las preferencias de compra, todo se convierte en datos muy valiosos.
En teorÃa, existen regulaciones y auditorÃas para proteger nuestra información. Pero, ¿de verdad alguien cree que sirven para algo? Las brechas de seguridad y los escándalos de privacidad siguen apareciendo un dÃa tras otro. Las empresas aseguran que toman medidas para protegernos, pero incidentes como el de Linksys nos muestran que la realidad es diferente. La vigilancia efectiva y la transparencia son más una excepción que la norma.
Al final del dÃa, la responsabilidad recae en nosotros, los usuarios. Debemos ser conscientes de los riesgos y tomar medidas para protegernos. La privacidad en la era digital es frágil, y aunque no podemos controlarlo todo, podemos hacer nuestra parte para minimizar los riesgos.
Por cierto, si tienes uno de los routers afectados y en estos momentos estás acordándote de la familia de Linksys, la recomendación es cambiar el nombre y la contraseña de la red Wi-Fi a través de la interfaz web en lugar de usar la aplicación. Esta precaución evita que el nombre SSID y la contraseña se transmitan en texto plano hacia AWS. Un parche temporal, pero necesario hasta que se resuelva el problema de fondo.
¡Feliz Domingo!
Los enlaces que he ido recopilando esta semana:
Â
Â
Â
Â
Â
Â
Â
Â
Â
Â
Â
Â
Nada, que el podcast sigue en suspenso... Pero he colaborado en un capÃtulo sobre herramientas de red en Linux para 24H24L: Aquà lo tenéis disponible.
¡Ahora sà que ha llegado el verano! "Noches tropicales" llaman al infierno.
Ya sabes que seguimos hablando por los canales habituales:Â Twitter y Telegram.
¿O sea que la gente configura la wifi con una APP? ¿No usan el CLI? ¡Pues a joderse! ¡Por vagos!