Por Nick Viney
Quando Samantha Westmoreland instalou dispositivos conectados por toda a casa, ela quis se sentir segura. Junto com uma nova câmera de segurança Google Nest, ela comprou uma campainha inteligente e um termostato para sua casa de Milwaukee, em Wisconsin, nos EUA.
Mas em setembro do ano passado, algo extraordinário aconteceu: Samantha voltou e encontrou o aquecimento ligado, os alto-falantes sem fio tocando música alta e alguém falando através da sua câmera de segurança. Rapidamente, tudo ficou muito claro: um cibercriminoso obteve acesso aos dispositivos conectados da sua casa. “Meu coração estava disparado”, comentou ela para o canal de TV Fox 6, de Milwaukee. “Senti uma grande violação, naquele ponto”.
Infelizmente, esses incidentes se tornarão cada vez mais comuns. Os avanços tecnológicos estão transformando os lares. Nos Estados Unidos, por exemplo, cada cidadão americano terá em média 13 dispositivos conectados até 2021, de acordo com a Cisco. Para o Brasil, um estudo do Statista aponta que o número de dispositivos de Internet das Coisas (IoT) vai saltar de 178,2 milhões em 2019 para 415,7 milhões em 2023. Em 2021, o mercado brasileiro de IoT deverá valer 3,29 bilhões de dólares. Com mais pessoas trabalhando em casa, devido à pandemia de Coronavírus, as redes domésticas estão transferindo mais dados sigilosos do que nunca: seja para aulas online em casa, por meio de apps de videoconferência ou usando ferramentas de trabalho colaborativo, como o Trello.
Esse uso intensivo traz mais oportunidades para ciberataques, que estão considerando as redes domésticas como alvos fáceis. Os cibercriminosos estão tentando tirar proveito das fragilidades dos dispositivos para casas inteligentes ou de questões confusas causadas pela COVID-19. Muitas violações provém de erro humano, quando os usuários clicam em links maliciosos ou instalam um software perigoso pensando ser seguro. As famílias precisam tomar medidas para melhorar sua segurança, reforçando a autenticação de login, introduzindo linhas seguras para servidores corporativos e até mesmo dividindo suas redes domésticas em duas para evitar ataques.
Nos Estados Unidos, infelizmente, muitos americanos já passaram pelo pior. Em 2019, cerca de um quarto de todos os cidadãos nos EUA tinham maior probabilidade de relatar o roubo de seus dados confidenciais ou informações de cartão de crédito, do que serem vítimas de agressão ou vandalismo, de acordo com Gallup. Também há preocupações com as ameaças. Dados do Statista revelaram que 72% dos americanos estavam mais preocupados em ter suas informações sigilosas e de cartão de crédito obtidas no último ano, do que ter seu carro arrombado.
As famílias podem ter paz se tomarem algumas medidas simples, para reforçar sua segurança. Uma das maneiras mais fáceis de se manter seguro é ser cuidadoso com nomes de usuários e senhas. Isso pode ser simples, quando se trata de laptops e smartphones, mas com relação a dispositivos domésticos inteligentes nem todos sabem que os dados de login padrão precisam ser alterados. Ao optar por não fazer isso, os proprietários estão facilitando o acesso aos cibercriminosos.
A maioria dos malfeitores consegue adivinhar a senha padrão, permitindo que eles violem uma rede para vincular um dispositivo doméstico inteligente a uma botnet – uma coleção de dispositivos conectados à internet, que são controlados por cibercriminosos. As investigações sobre as vulnerabilidades de dispositivos domésticos inteligentes são preocupantes. Em um teste recente, dentre os 16 dispositivos domésticos inteligentes comprados em lojas, 14 deles poderiam ter suas senhas violadas e anexadas a uma botnet em meia hora, concluiu um estudo realizado pelo Laboratório de Ataques de Canal Lateral e Implementação de Segurança.
Uma abordagem semelhante para nomes de usuários e senhas deve ser realizada com redes Wi-Fi domésticas. Estes dois pontos são vulneráveis a ataques, se não houver alterações em sua configuração. Muitos roteadores vêm com um nome padrão que, se não for alterado, pode ser um sinal aos cibercriminosos de que alguém está negligenciando sua segurança. Ao alterar o SSID (Service Set Identifier) e fazer uso de uma senha longa e complexa, as chances de ser alvo de um ataque são menores. É um ajuste rápido, mas pode evitar que uma família seja pega por um ataque generalizado. Em 2018, cerca de meio milhão de roteadores em 50 países foram infectados com um software malicioso, o qual extraiu dados sigilosos e desligou alguns roteadores. Sempre que possível, os proprietários devem fortalecer a segurança do dispositivo, usando a verificação em duas etapas – um processo em que dois métodos de autenticação são necessários para obter o acesso.
Segurança durante o home office
Para aqueles que trabalham remotamente, os empregadores devem implementar medidas para proteger os dados que trafegam entre as redes domésticas e as corporativas. Uma solução simples é uma rede privada virtual – um link criptografado entre o computador de um usuário e o servidor da empresa. Uma VPN impede que qualquer pessoa acesse dados sigilosos, enquanto se está em trânsito. O recurso também pode oferecer um ambiente seguro, se um usuário quiser utilizar uma rede Wi-Fi pública. Mesmo que os cibercriminosos criem um ponto Wi-Fi falso, para tentar interceptar os dados, eles não seriam capazes de traduzir o que significam.
Dividir uma rede doméstica em duas também pode ser benéfico. Como parte de recomendação para uma segurança digital robusta, o Federal Bureau of Investigation sugeriu que os proprietários de residências mantenham os dispositivos que transportam dados confidenciais – como um laptop e smartphones -, em uma rede diferente daquelas que oferecem suporte a dispositivos domésticos inteligentes. Usando essa configuração, um cibercriminoso não seria capaz de acessar diretamente um laptop pessoal, caso violasse um dispositivo doméstico inteligente. Essa rede poderia ainda operar como uma rede secundária para os visitantes; protegendo dispositivos sensíveis se algo ruim acontecer durante a navegação e gerar uma questão de segurança.
Essas medidas são úteis devido ao ambiente regulatório em torno dos dispositivos IoT. Até recentemente, nos EUA, não existiam leis de segurança para dispositivos conectados, fazendo com que a responsabilidade recaísse sobre o usuário quanto ao fato de manter os seus dispositivos protegidos. No entanto, tudo isso mudou quando a Califórnia introduziu uma lei exigindo que todos os dispositivos IoT sejam equipados com “recursos razoáveis de segurança”.
Isso abrange uma variedade de dispositivos, desde TVs e termostatos até lâmpadas e geladeiras inteligentes. A lei instrui todos os dispositivos IoT fabricados na Califórnia a transportar segurança apropriada à natureza e à função; apropriada aos dados que podem ser coletados; e projetados para proteger tanto o dispositivo quanto às informações contra acessos não autorizados, destruição, uso, modificações ou divulgações. É uma etapa bem-vinda aos usuários, apesar de algumas indústrias criticarem os termos por serem muito amplos.
À medida que os proprietários se acostumam com o “novo normal”, o foco em segurança cibernética deve fazer parte do dia a dia. Os dispositivos domésticos inteligentes podem nos entreter e poupar o nosso tempo, quando aproveitamos as coisas que eles importam, mas também podem se tornar passivos e causar prejuízos financeiros. No caso da Samantha Westmoreland, o Google disse que a verificação de dois fatores teria evitado o ataque. Independentemente de como a violação ocorreu, nenhum proprietário quer que seus dispositivos inteligentes se voltem contra ele. A lição a ser aprendida é clara: neste ‘novo normal’, a vigilância com a segurança cibernética é uma necessidade, caso queira permanecer seguro.
*Por Nick Viney, Vice-Presidente Sênior de Parcerias da Avast