Local Menu

Schneiderman Anuncia Acuerdo Con Empresa De Tecnología Sobre La Venta De Puertas Y Candados Que Operan Vía Bluetooth

Productos inalámbricos de seguridad transfirieron contraseñas sin cifrado, dejando a los consumidores susceptibles al ‘hackeo’ y robo

Primero en su tipo, este acuerdo requiere a Safetech Products LLC reformar las prácticas de seguridad de datos e implementar un programa integral de seguridad

Schneiderman: Las empresas que ofrecen seguridad inalámbrica tienen una obligación legal de proteger la información personal de los consumidores y los activos, y mi oficina se asegurará de que así sea

NUEVA YORK - El Fiscal General Eric T. Schneiderman anunció hoy que su oficina ha llegado a un acuerdo con Safetech Products LLC y su propietario Ryan Hyde sobre la venta de puertas inalámbricas y candados inseguros. La empresa, con sede en Lehi, Utah, vende puertas y candados habilitados para funcionar con Bluetooth a través de Amazon y el sitio de venta al por menor en línea de la compañía y garantiza a los usuarios la capacidad de proteger sus pertenencias dentro del hogar convirtiendo puertas y armarios en áreas seguras. Sin embargo, el año pasado, un grupo de investigadores independientes de seguridad descubrió que las cerraduras de Safetech no lograron asegurar las contraseñas y otra información de seguridad requerida para operar, dejando a los consumidores susceptibles de piratería y robo. Después de una investigación y el arreglo con la oficina del Fiscal General, Safetech ha acordado cifrar todas las contraseñas, llaves electrónicas u otras credenciales en sus cerraduras y otros dispositivos Bluetooth-, poner a los usuarios sobre aviso para cambiar la contraseña inicial de la comunicación inalámbrica, y establecer un programa de seguridad integral.

"El acuerdo de hoy con Safetech marca la primera vez que una Fiscalía General ha emprendido acciones legales contra una compañía de seguridad inalámbrica por no proteger la información personal y privada de sus clientes", dijo el Fiscal General Schneiderman. "Las empresas que emplean nuevas tecnologías deben implementar y promover buenas prácticas de seguridad y garantizar que sus productos sean seguros, incluso mediante el uso de cifrado. Juntos, con la ayuda de compañías como Safetech, podemos salvaguardar contra infracciones e intrusiones ilegales en nuestros datos privados”.

En agosto de 2016, un grupo de investigadores independientes de seguridad informó que las cerraduras habilitadas por Bluetooth de Safetech transmitían contraseñas entre las cerraduras y el teléfono inteligente del usuario en texto plano y sin encriptación, permitiendo potenciales violadores a interceptar las contraseñas y proceder a desactivar las cerraduras (ver figuras 1, 2, y 3). Los investigadores también informaron que las cerraduras contenían contraseñas instaladas débiles que no eran seguras y podían ser fácilmente accedidas o descubiertas a través de uso de fuerza bruta de software automatizado utilizado para generar un gran número de suposiciones consecutivas.

Figura 1: Quicklock App

 Figure 1

Figura 2: Quicklock Padlock Diagram

Figure 2

En octubre de 2016, la Fiscalía General se puso en contacto con Safetech acerca de las conclusiones de los investigadores y la seguridad de las cerraduras. Justo antes de ser contactada por la Fiscalia, Safetech colocó la siguiente advertencia en su sitio web:

ADVERTENCIA DE SEGURIDAD ... Las claves Bluetooth para el hardware se pasan "sin cifrar" en todos los productos actuales.

También recomendamos que cambie la contraseña predeterminada en la configuración inicial. Por favor lea "Riesgos de seguridad explicados". Al hacer clic en el hipervínculo "Riesgos de seguridad explicados", el usuario fue llevado a una página web que explica los riesgos identificados anteriormente.

Bluetooth es un estándar de tecnología inalámbrica para el intercambio de datos a distancias cortas. Utiliza ondas de radio de longitud de onda corta entre 2,4 y 2,485 GHz. Las cerraduras de Safetech limitaron el alcance de Bluetooth a aproximadamente 50 pies (ver figuras 3 y 4). Por lo tanto, un infractor tendría que estar muy cerca de la cerradura para interceptar las contraseñas Bluetooth. Además, el cierre de bloqueos durante dos minutos después de dos intentos fallidos de contraseña, proporcionando cierta protección contra los ataques de fuerza bruta.

Figura 3: Quicklock Doorlock Demonstration

Figure 3

Figura 4: Quicklock Padlock Demonstration

Figure 4

Según el acuerdo, Safetech debe cifrar todas las contraseñas, claves electrónicas u otras credenciales de seguridad en sus candados y otros dispositivos habilitados para Bluetooth, así como solicitar a los usuarios que cambien la contraseña predeterminada al configurar inicialmente el cliente la comunicación inalámbrica.

Además, Safetech acordó establecer e implementar un programa de seguridad comprensivo, razonablemente diseñado para (1) abordar los riesgos de seguridad relacionados con el desarrollo y administración de dispositivos nuevos y existentes que usan información de seguridad, y (2) proteger la privacidad, confidencialidad e integridad de la información de seguridad, incluyendo:

  1. La designación de un empleado o empleados para coordinar y ser responsable del programa de seguridad;
  2. La identificación de los riesgos internos y externos materiales para (1) la seguridad de los dispositivos que podrían resultar en acceso no autorizado o modificación no autorizada del dispositivo y (2) la privacidad, seguridad, confidencialidad e integridad de la información de seguridad;
  3. Las evaluaciones de riesgo requeridas por la subparte b deben incluir la consideración de los riesgos en cada área de operación relevante, incluyendo pero no limitado a: (1) capacitación y administración de empleados, incluyendo ingeniería segura y programación defensiva; (2) diseño, desarrollo e investigación de productos; (3) diseño, desarrollo y pruebas de software seguro; (4) revisión, evaluación y respuesta a informes de vulnerabilidad de seguridad de terceros, y (5) prevención, detección y respuesta a ataques, intrusiones o fallas de sistemas;
  4. El diseño e implementación de salvaguardas razonables para controlar los riesgos identificados mediante la evaluación del riesgo;
  5. Pruebas regulares de la efectividad de los controles, sistemas y procedimientos claves de los salvaguardias, incluyendo técnicas de prueba de seguridad razonables y apropiadas tales como pruebas de vulnerabilidad y penetración, revisiones de arquitectura de seguridad y revisiones de código;
  6. El desarrollo y uso de medidas razonables para seleccionar y retener a los proveedores de servicios (si los hay) capaces de mantener prácticas de seguridad consistentes con el acuerdo y exigir a los proveedores de servicios por contrato que implementen y mantengan las salvaguardias adecuadas consistentes con el acuerdo; y
  7. La evaluación y ajuste del programa de seguridad de Safetech a la luz de los resultados de las pruebas y monitoreo requeridos por el acuerdo. 

Este caso fue manejado por el Jefe Adjunto del Buró de Internet y Tecnología Clark Russell bajo la supervisión de la Jefe de la Oficina Kathleen McGee. La Oficina de Internet y Tecnología es supervisada por la Fiscal General Adjunta de Justicia Económica Manisha M. Sheth.