Se está utilizando la cerradura inteligente Sesame. Crédito: Candy House, Inc.
(Crédito de la imagen: se está utilizando la cerradura inteligente Sesame. Crédito: Candy House, Inc.)

¡TOC Toc! ¿Quién está ahí? Usted está. ¡Bienvenido a casa!

Esa es la promesa de Sesame, un nuevo "candado inteligente" que se comercializa en una campaña de Kickstarter como "tus llaves, reinventadas". (No está conectado a una campaña de Indiegogo muy similar.) No solo puede abrir el candado Sesame con una aplicación de teléfono inteligente, sino que también puede hablar en la aplicación, dejar entrar amigos designados que tienen la aplicación e incluso crean un patrón de golpe personalizado que abrirá su frente puerta.

¿Suena bien? Tal vez no. Algunas de las características de Sesame son ejemplos perfectos de cómo las ideas brillantes sobre conveniencia pueden no tener en cuenta la seguridad. De todas las ideas tontas que surgen de la llamada "casa inteligente" o Internet de las cosas, estas características pueden ser las más tontas hasta ahora.

MÁS: Cómo podría matarte Internet de las cosas

La cerradura inteligente Sesame es muy prometedora. Es económico ($ 99 al por menor cuando salga en el verano, $ 89 a través de Kickstarter ahora), bastante elegante (parece un reloj de arena) y fácil de instalar. No reemplaza el pestillo existente, sino que encaja sobre el pestillo en el interior de la puerta).

Sin embargo, el bloqueo es quizás demasiado conveniente, ya que permite tres modos separados de comunicación con el usuario: Bluetooth, Wi-Fi y sonido.

Afeitado y corte de pelo, estás en

"Simplemente cierre y desbloquee la puerta con la aplicación Sesame en su teléfono", dice el comunicado de prensa de Sesame. "Mejor aún, abre Sesame con un toque personalizado en tu teléfono o puerta".

Para que el golpe personalizado funcione, el teléfono en el que está instalada la aplicación Sesame debe estar dentro del alcance de Bluetooth de la cerradura, teóricamente 33 pies (10 metros). Un representante de Candy House, Inc., la compañía con sede en Palo Alto, California que fabrica el candado Sesame, nos dijo que el rango predeterminado de la función es de 15 pies, que puede ser ajustado por el usuario. (La cerradura en sí detecta el golpe a través de un acelerómetro incorporado).

A pesar del requisito de proximidad, es posible que pueda aprovechar esta función para robar las cosas de mi vecino. Primero, tendría que escucharlo realizar su golpe personalizado unas cuantas veces. Entonces, la próxima vez que salió de su apartamento y dobló la esquina hacia el ascensor, bingo, especialmente si había extendido el alcance a los 30 pies completos, y si usaba auriculares para no poder escucharme golpes.

Si quisiera ser realmente descarado, llamaría a algunos amigos y organizaría un robo allanamiento de morada cuando supe que mi vecino y su teléfono definitivamente estarían en casa. Duplicar su golpe personalizado sería como jugar a "Simon", pero con una recompensa real.

Habla las palabras mágicas

La campaña Sesame Kickstarter viene con un clip promocional protagonizado por Adam Lisagor, el hipster barbudo y divertido que se ha convertido en el rey de los videos de startups tecnológicas. "Ábrete sésamo", Lisagor habla en su iPhone y la puerta se abre, pero no antes de que él toque la aplicación con el pulgar.

Sin embargo, la campaña de promoción de Sesame afirma que la cerradura, de hecho, se puede abrir con la voz. Eso es increíblemente conveniente y sorprendentemente aterrador. ¿Qué pasa si le roban el teléfono del usuario? ¿Qué evitaría que el ladrón a) vea que el usuario tiene una aplicación Sesame yb) averigüe dónde vive? ¿No podría el ladrón simplemente ir a la casa y pronunciar las palabras mágicas?

"Si no hay una huella digital ni un código de acceso para proteger el teléfono, la aplicación solicitará [una] contraseña de cuenta cada vez", dice una publicación de Candy House en la sección de comentarios de uno de los clips promocionales de YouTube de la empresa. "Además, puede cerrar la sesión [de] su cuenta desde el teléfono perdido iniciando sesión [desde] otro dispositivo".

Por lo tanto, lo único que impide que un ladrón entre en una casa es un PIN de bloqueo de pantalla, una huella digital o una contraseña. Eso no es una gran defensa, porque las contraseñas de muchas personas se pueden adivinar, los códigos PIN de la mayoría de las personas se pueden descifrar y no es difícil engañar a los lectores de huellas dactilares de iPhone.

Supongo que Sesame permitirá al usuario personalizar sus propias palabras mágicas para abrir la cerradura. También asumo que "abrir sésamo" será la frase predeterminada, y que al menos la mitad de todas las personas que compran este candado nunca lo cambiarán, al igual que millones de personas nunca cambian ninguna configuración predeterminada.

Desbloqueo de la puerta principal de todo el mundo

El candado Sesame no tiene un chip Wi-Fi, pero sí un accesorio opcional de $ 50 para el candado. El accesorio se conecta a una toma de corriente cercana, se conecta a la cerradura a través de Bluetooth y enruta la señal a la red Wi-Fi doméstica.

De esta manera, explica el video promocional, el candado Sesame se puede usar para controlar el candado de forma remota a través del Internet, y también puede recibir instrucciones de forma remota para dejar entrar a amigos e invitados designados que también tienen el Sesame aplicación.

"Puedo elegir quién tiene acceso y quién no", dice Lisagor en el video.

Eso es bueno, pero conectar la cerradura inteligente Sesame a la red Wi-Fi doméstica crea muchos nuevos ángulos de ataque.

Si usa cifrado WEP en su red Wi-Fi (y espero que use WPA2 en su lugar), un ladrón inteligente podría descifrar la contraseña de la red en unos segundos. Si tienes un enrutador de puerta de enlace de casa barato- como uno que alquila a la compañía de cable - probablemente hay media docena de formas en que un atacante podría hacerse cargo del enrutador. Ninguno de los métodos piratea directamente la cerradura Sesame, pero estar en la misma red local te lleva a la mitad del camino.

Ni siquiera hemos descubierto cómo se comunica la cerradura con su maestro a través de Internet, o cómo autenticará los mensajes de él o ella. Podría ser posible organizar un "ataque man-in-the-middle"que interceptaría y luego cambiaría los mensajes entre los dos, sin que ninguno de los dos estuviera al tanto de los cambios.

Debido a que la aplicación Sesame no estará disponible hasta mayo, tampoco sabemos cómo funciona la política de puertas abiertas de "amigos y familiares". Si yo fuera un ladrón decidido, lo primero que haría es descargar la aplicación en mi propio teléfono y luego intentar engañarme en la lista de invitados de todos los propietarios de Sesame Lock.

MÁS: Cómo proteger su hogar inteligente (fácilmente pirateable)

Gira la perilla virtual

Hay una forma menos emocionante, pero mucho más segura, de abrir la cerradura inteligente Sesame: párese frente al puerta, abra la aplicación en su teléfono y toque la gran perilla animada, que luego gira de forma remota la mando. Sin voz, sin golpes, sin amigos, sin Internet. La única conexión es de corto alcance a través de Bluetooth 4.0, que es un protocolo bastante seguro, como nos recuerda Lisagor en el video.

"Tiene cifrado de grado militar", dice. "Nadie hackeando esta cosa".

El "cifrado de grado militar" es un término de marketing vacío: el ejército de EE. UU. Utiliza los mismos protocolos que todos los demás, y Es encantador que Lisagor piense que un pirata informático comenzaría un ataque contra la cerradura inteligente Sesame intentando lo más difícil. primero. Aún así, como muchos expertos en seguridad pueden decirle, lo que importa no es la fuerza del cifrado, sino su implementación.

El cifrado Bluetooth más potente del mundo no pudo evitar que un hacker experto pusiera una versión dañada de la aplicación Sesame en la tienda de aplicaciones Google Play. (Sería más difícil, pero no imposible, hacerlo en la App Store de Apple). El cifrado de Bluetooth tampoco podía detenerse software malintencionado que ya está en el teléfono intercepte la comunicación entre la aplicación y el chip Bluetooth.

Siempre hay llaves

Los riesgos de seguridad imprevistos son factores a los que debe enfrentarse todo dispositivo de "Internet de las cosas", desde refrigeradores hasta automóviles. Algunos automóviles, por ejemplo, no aíslan sus sistemas de entretenimiento, que pueden tener conexiones celulares, Wi-Fi y Bluetooth, de los sistemas informáticos que controlan los frenos o la dirección. En comparación con los posibles estragos que podrían causar esas vulnerabilidades, las fallas de la cerradura inteligente Sesame parecen leves.

Quizás la forma más segura de abrir la cerradura inteligente Sesame es a la antigua, con una llave física. (Debido a que Sesame aumenta en lugar de reemplazar la cerradura existente, las llaves antiguas siempre funcionarán).

Por supuesto, la mayoría de las llaves normales se pueden copiar, y muchas cerraduras se pueden abrir o abrir con llaves especiales de "golpe". Pero los fabricantes de cerraduras físicas han tenido siglos para mejorar su tecnología, mientras que los fabricantes de cerraduras inteligentes solo han tenido unos pocos años.

Ninguna casa es absolutamente inexpugnable. Siempre hay una forma de entrar, como una ventana del segundo piso o un ariete. Lo que quiere hacer es hacer que sea lo más inconveniente posible para un ladrón entrar y, en este sentido, la cerradura inteligente Sesame puede estar dando un paso atrás.

  • Cómo proteger sus dispositivos de IoT
  • 10 cosas que no sabías que podrían ser pirateadas
  • Hackear el Internet de las cosas

Paul Wagenseil es editor senior de Tom's Guide centrado en la seguridad y los juegos. Síguelo en @snd_wagenseil. Siga la guía de Tom en @tomsguide, en Facebook y en Google+.