*Por Denis Riviello
Sistemas de segurança conectados, eletrodomésticos controlados remotamente, assistentes virtuais ativados por voz e sistemas de iluminação automatizados não são mais invenções de filmes futuristas e já fazem parte do dia a dia das pessoas.
Impulsionado por avanços tecnológicos e pela demanda por maior conectividade e automação nos últimos anos, o crescimento significativo na adoção da Internet das Coisas (IoT) nas residências promove a interconexão de dispositivos e objetos cotidianos à rede, permitindo que se comuniquem e compartilhem informações entre si.
E, apesar dessa tecnologia oferecer aos moradores maior conveniência, eficiência energética e praticidade, permitindo que controlem e monitorem diversos aspectos de suas casas por meio de aplicativos em dispositivos móveis ou assistentes virtuais, ela também apresenta riscos.
Tradicionalmente construídos em sistemas de código aberto, os dispositivos IoT, voltados ao mercado residencial, têm como principal foco a praticidade e a economia, que, por sua vez, buscam otimizar a rotina dos moradores. Porém, em muitos casos, esses moradores não têm como prioridade uma parte importante nos dias de hoje e que deve ser levada em consideração: a segurança e a privacidade.
Cresce cada vez mais o número de dispositivos IoT residencial que funcionam com sistemas operacionais obsoletos, muitos há mais de cinco anos e com brechas extremamente altas de segurança. Este cenário acaba se tornando convidativo a invasores e hackers que se aproveitam dessas falhas para conseguir se infiltrar nas redes residenciais e vazar informações ou até mesmo dados confidenciais de empresas que estejam sendo acessadas por essas redes desprotegidas.
Segundo um relatório da Check Point Software Technologies, de 2023, houve um aumento de 41% nos ataques aos dispositivos da Internet das Coisas (IoT). Os riscos incluem acesso não autorizado, controle remoto dos dispositivos, vazamento de informações pessoais e até interrupção de câmeras de vigilância ou sistemas de alarme, causando uma brecha na segurança residencial e acarretando problemas financeiros e até relacionados à própria integridade física dos moradores.
Além de senhas fracas ou padrões previsíveis, falta de atualizações de segurança e configurações incorretas facilitarem a invasão do sistema, existem fraquezas dos próprios dispositivos que auxiliam na eclosão desses cenários de risco, como protocolos de comunicação inseguros, HTTP não criptografado, falta de autenticação adequada e falhas de firmware, que podem ser exploradas para executar códigos maliciosos ou obter acesso não autorizado a qualquer dispositivo.
Como sei que minha casa está sob ataque?
Hoje, identificar que um dispositivo foi invadido é também um grande desafio, já que, empenhados em não ser descobertos, os hackers buscam formas de se manter ocultos para poderem retornar quando necessário. Apesar de, algumas vezes, o comportamento de um dispositivo invadido se assemelhar muito ao daqueles próximos de quebrar ou que estão obsoletos, existem alguns sinais que podem indicar uma possível invasão do sistema de uma casa automatizada.
Comportamentos anormais dos dispositivos, que passam a ligar ou desligar sozinhos, executando ações não autorizadas; mau funcionamento frequente; alterações nas configurações sem consentimento, como senhas, nomes de usuário e regras de automação, entre outros, são alguns exemplos de que o sistema de uma casa está sendo invadido.
Além disso, o uso excessivo de dados, inclusão de novos dispositivos ou contas desconhecidas no sistema de casa automatizada, acesso remoto não autorizado e comunicações não solicitadas também podem indicar que algum hacker está acessando remotamente os dispositivos IoT.
Caso o usuário esteja convicto de que algum dispositivo tenha sido comprometido, a primeira ação a ser feita é desligar o equipamento. Em seguida, a recomendação é desligar a internet da residência, aguardar um período de uma hora para que a conexão mude de endereço digital e ligar novamente. Posteriormente, como medida de segurança, todos os dispositivos da residência devem ser inspecionados para garantir que o invasor não comprometeu nenhum outro dispositivo. Para isso, é recomendado que um profissional de segurança faça esta checagem.
Isso não significa que as pessoas devam desistir de investir em IoT
O uso de uma casa automatizada possui diversas vantagens para o dia a dia, e existem maneiras de evitar possíveis ataques. Os primeiros cuidados devem estar relacionados à rede, sendo sempre necessário utilizar uma rede Wi-Fi doméstica segura, com criptografia WPA2 ou WPA3 e uma senha forte, alterando o padrão de tempos em tempos. Se possível, uma medida de segurança é separar a rede Wi-Fi dos dispositivos IoT da rede principal da casa, criando uma rede separada ou usando VLANs (Virtual Local Area Networks) para isolar os dispositivos IoT do restante.
Além disso, é imprescindível manter o roteador Wi-Fi e os dispositivos alinhados com as últimas atualizações de firmware, pois incluem correções de segurança. É importante considerar o uso de firewalls e soluções de segurança de rede para monitorar o tráfego e estar alinhado com as informações do fabricante sobre atualizações de segurança.
Outrossim, cuidados relacionados à configuração dos dispositivos rotineiramente devem ser uma preocupação para os moradores. Logo que o produto é comprado, o usuário deve alterar as configurações padrão dos dispositivos IoT, como senhas, nomes de usuário e informações de autenticação, desabilitar recursos desnecessários e que não serão utilizados, pois, quanto menos serviços e portas estiverem expostas, menor será a superfície de ataque. Utilizar autenticação de dois fatores também é sempre uma sugestão válida, adicionando uma camada extra de segurança.
*Denis Riviello é especialista em Segurança Digital com mais de 20 anos de experiência em concepção e estruturação personalizada de núcleos responsáveis por segurança da informação de grandes empresas brasileiras. na Compugraf, está à frente das áreas de Segurança, Serviços, Customer Success e GRC.
Aviso: A opinião apresentada neste artigo é de responsabilidade de seu autor e não da ABES – Associação Brasileira das Empresas de Software
PT 
EN 
