Cómo la ciberseguridad va a ser fundamental para el desarrollo de productos de Iluminación IoT de consumo

JOSÉ ENRIQUE ÁLVAREZ MENÉNDEZnº6 Conectividad137 visitas

El Internet de las cosas (IoT, por sus siglas en inglés) ya está siendo una realidad y cada vez más productos y servicios están “conectados”. Las cifras varían pero algunas previsiones ya sitúan para el año 2020 en los 20 mil millones de productos conectados a internet en todo el mundo y con entre 10 y 15 dispositivos conectados en cada hogar (1).

El crecimiento de estos enormes mercados relacionados con el IoT va a ofrecer grandes oportunidades para las empresas y para la economía global. Se espera que para este 2020 los ingresos anuales mundiales puedan superar los 470 mil millones para aquellas empresas relacionadas con el IoT que vendan hardware, software y soluciones integrales (1)

Si nos centramos en el ámbito del IoT de Consumo, el internet de las cosas en hogares y para el consumidor general, este ofrece enormes oportunidades a los ciudadanos permitiendo el aumento de la funcionalidad de muchas características en el hogar. En los próximos años van a surgir nuevos productos y servicios que hasta ahora no podíamos imaginar en un ámbito doméstico. Por ejemplo, el uso de los datos para anticipar y satisfacer mejor las necesidades de las personas, brindar información útil y personalizada para una mejor toma de decisiones y funciones para ahorrar tiempo y dinero en los hogares en materia de energía y seguridad. 

Pero todo no es un camino de rosas. A medida que se incremente el número de aparatos conectados en la red también lo harán nuevas formas de ciberdelincuencia, con ciberataques cada vez más complejos y sofisticados. Ahora que estamos en una etapa temprana de la adopción de IoT de Consumo es necesario reflexionar sobre la ciberseguridad y cómo los fabricantes y desarrolladores de nuevos productos conectados deben tomar la seguridad como un punto clave en su proceso de diseño. 

Mientras que los datos actuales ya son en cierta forma preocupantes, uno de cada diez adultos es víctima de delitos cibernéticos (2), el futuro conectado que nos espera pueden incrementar estas cifras de forma dramática sino nos tomamos la ciberseguridad con seriedad. Mucho de los dispositivos conectados que actualmente se venden carecen de las mínimas disposiciones de seguridad, constituyendo un importante peligro y una oportunidad para que ciberdelincuentes aprovechan estas vulnerabilidades y produzcan daños a nivel individual,  incluso global cuando puedan explotarse de forma escalada. 

Un aspecto que hace que de forma general bajemos la guardia ante estos dispositivos “inteligentes” es que hasta ahora eran productos cotidianos no relacionados para nada con la tecnología. 

Bombillas, termostatos, cerraduras se están transformando en productos tecnológicos conectados a internet, que no relacionamos de forma directa con posibles riesgos de privacidad o ciberdelincuencia. Tradicionalmente para garantizar la seguridad de una vivienda solo se requerían medidas de seguridad física; el proteger una casa conectada, que dispone de múltiples dispositivos IoT, implica un elemento cibernético que no depende de la ubicación geográfica y que conlleva necesariamente tomar medidas adicionales. 

Las consecuencias de estos bajos niveles de seguridad pueden producir situaciones de vulneración de la privacidad o comprometer la seguridad física de las viviendas. Es el caso reciente de algunos productos IoT diseñados para niños, que han tenido problemas de seguridad dejando conversaciones e imágenes que las familias creían que eran privadas, abiertas al público o fácilmente accesibles para que pudieran ser explotadas. Un dispositivo comprometido que esté conectado a la calefacción u otros electrodomésticos del hogar pueden causar importantes riesgos de seguridad, como interrumpir la calefacción durante el inverno o desbloquear los sistemas de seguridad de la vivienda. Un caso más gráfico y fácil de entender es si las cerraduras inteligentes o sistemas de control de acceso físico conectados se ven comprometidos, los delincuentes pueden ingresar a cualquier domicilio sin necesidad de forzar la entrada. 

Si a nivel personal las consecuencias pueden ser graves, son aún más preocupantes los ataques cibernéticos a gran escala que aprovechan las vulnerabilidades de estos dispositivos IoT y puedan afectar a servicios claves. Estos ataques masivos a dispositivos IoT no son un concepto teórico, sino que ya se han producido. Un importante caso fue el malware Mirai descubierto en 2016 y que utilizó dispositivos como cámaras de acceso a internet (cámaras IP) y otros productos IoT, para realizar un ataque DDoS a importantes servicios de internet. El malware se usó en varios ataques de alto perfil, evitando temporalmente que usuarios del todo el mundo pudieran acceder a plataformas tan populares como Netflix, GitHub y Twitter (3).

Como vemos, la ciberseguridad no es una cuestión ajena que no nos afecta, sino que se va convertir en un aspecto fundamental de nuestra propia seguridad y de nuestro hogares, a la vez que de seguridad nacional para los estados. 

Pero, ¿es tan grave el problema? ¿son inseguros los productos IoT que actualmente se venden en el mercado? ¿qué están haciendo las autoridades de los diferentes países para atajar el problema o promover un mercado más seguro y fiable?

Situación actual de mercado IoT de Consumo

La realidad nos muestra como hoy en día hay una gran cantidad de dispositivos IoT puestos a disposición del consumidor que carecen de las más mínimas disposiciones de seguridad cibernética. Más del 90% de 331 fabricantes analizados en el mercado británico en el 2018, no poseían un programa integral de divulgación de vulnerabilidades básico (4). Las deficiencias y fallas que involucran a los dispositivos conectados se están volviendo cada vez más comunes, simplemente porque los fabricantes no han incorporado requisitos de ciber-seguridad elementales, como el simple uso de contraseñas únicos en sus productos. Además, los consumidores no siempre utilizan de forma activa las funciones de seguridad cuando estas están disponibles y la vigilancia de los mercados por parte de las autoridades competentes son realmente inexistentes en estos aspectos. 

Esta es la realidad del mercado y de los fabricantes y proveedores de soluciones IoT. En la mayoría de procesos de desarrollo de estos productos, los requisitos de seguridad se implementan a última hora y en algunos casos solo se tienen en cuenta hasta que el productos ya está en el mercado. Además los fabricantes carecen de la capacidad de soportar controles y actualizaciones de seguridad, y no están los suficientemente enfocados en la seguridad y la privacidad como una prioridad del diseño. Esto es debido en parte al enfoque ágil que se utilizan en el desarrollo de productos y que hay poco o ningún incentivo económico para que los fabricantes aborden la seguridad al no existir sanciones o regulación específica que se les puede aplicar. 

Como resultado los consumidores compran productos conectados desconociendo que pueden ser potencialmente peligrosos y no se les aporta la información suficiente como para tomar decisiones de compra informadas. Todo ello a pesar que los consumidores si se preocupan por la seguridad. 

En una reciente encuesta a más de 6.400 consumidores han demostrado que al comprar un nuevo producto IoT para su hogar, la “seguridad” es la tercera categoría de información más importante (más alta que la privacidad o el diseño). Además el 72% dijo que esperaban que la seguridad ya estuviera integrada en los dispositivos que se encuentren en el mercado (5). En una encuesta reciente del Eurobarómetro, el 87% de los europeos consideran los ciberataques como un desafío importante de seguridad interna de la UE y a la mayoría le preocupa ser víctima de ellos (6).

Por lo que está claro que los consumidores sí que se preocupan por la seguridad, pero no tienen las herramientas necesarias como para tomar decisiones de compra informadas en estos aspectos. El IoT sólo podrá prosperar si el público en general confía en que dichos productos, servicios y procesos ofrecen un nivel mínimo de seguridad. Ya se están dando los primeros pasos por parte de países y autoridades nacionales para elaborar una acción conjunto con la industria que permita abordar estos desafíos. 

Garantizar la ciberseguridad en la Unión Europea

La Ley de Ciberseguridad de la UE (CSA, EU Cybersecurity ACT) (7), que entró en vigor en junio de 2019, ha supuesto un cambio radical en el ámbito de la evaluación de la ciberseguridad al crear un marco único para armonizar la evaluación de la ciberseguridad en toda la Unión Europea y, por consiguiente, crear un único mercado europeo de ciberseguridad. 

Los objetivos principales de la Ley se basan por una parte en reforzar la Agencia Europea de Ciberseguridad (ENISA) y en establecer un marco común de Certificación de Ciberseguridad para dispositivos conectados, ya que ni los Gobiernos ni la industria pueden por sí solos afrontar el desafío de garantizar un mayor nivel de ciberseguridad. Por ello, la Unión Europea contará con una certificación estandarizada sobre el IoT. Aunque al principio solo será voluntaria, la Comisión evaluará hasta qué punto pueda ser obligatoria para 2023. Esta certificación desempeñará un papel importante a la hora de aumentar la confianza y la seguridad de los productos, servicios y procesos IoT. Con las nuevas normas, los usuarios recibirán recomendaciones sobre configuraciones seguras y el mantenimiento de sus dispositivos, la disponibilidad y la duración de las actualizaciones, así como de los riesgos percibidos. 

Esta certificación de ciberseguridad para dispositivos IoT se centra en dos estándares o esquemas principales: ETSI 3036455 y Certificación Eurosmart IoT (Eurosmart, 2019)(8).

Certificación Eurosmart IoT (Eurosmart, 2019)

Eurosmart es el primer esquema de certificación IoT que se desarrolló en base a la Ley de Ciberseguridad de la UE. Este esquema permite a los usuarios determinar el nivel de garantía previsto de seguridad (básico, sustancial y elevado), garantizando que estas características de seguridad se verifiquen de forma independiente. 

El alcance del esquema Eurosmart es la certificación para dispositivos IoT centrándose en un nivel de seguridad “sustancial”, tal como define la Ley. En este nivel de seguridad, la certificación tiene la intención de minimizar el riesgo de ataques exitosos que comúnmente aprovechan el diseño ineficiente de los dispositivos IoT. Dado que muchos dispositivos IoT en el rango inferior del mercado tienen características de seguridad muy limitadas por cuestiones de coste o tamaño,  este esquema de certificación tiene en cuenta todas estas consideraciones económicas y de evaluación de riesgo para que la certificación sea justa y pueda ser aplicada de forma general. 

Norma Europea (EN) 303645 Ciberseguridad para el IoT de Consumo

La especificación técnica ETSI 303645, es un estándar clave de la industria en seguridad del IoT del consumidor, y actualmente se está transponiendo a un estándar europeo. La misma proporciona orientación sobre la forma de evaluar y asegurar los productos IoT.

El borrador del estándar ETSI EN 303645 específica, hasta la fecha, alrededor de 75 requisitos detallados, clasificados en los siguientes grupos de control:

  • No hay contraseñas predeterminadas universales.
  • Implementar un medio para gestionar informes de vulnerabilidades.
  • Mantenga actualizado el software.
  • Almacenar credenciales y datos confidenciales de forma segura.
  • Comunicarse de forma segura.
  • Minimizar las superficies de ataque expuestas.
  • Garantizar la integridad del software.
  • Garantizar la protección de los datos personales.
  • Hacer que los sistemas sean resistentes a las interrupciones.
  • Examinar los datos de telemetría del sistema.
  • Facilitar a los consumidores la eliminación de datos personales.
  • Facilite la instalación y el mantenimiento de los dispositivos y valide los datos de entrada.

El ejemplo británico: “Secure by Design”

El Reino Unido es pionero en ciberseguridad ya que ha sido uno de los primeros países en imponer estándares de seguridad IoT para productos de consumo. Desde hace años el Gobierno británico está evaluando, con el desarrollo de diferentes iniciativas, la seguridad cibernética de los productos IoT de Consumo y sus servicios asociados. 

En el 2018 el gobierno del Reino Unido publicó el ​informe Secure by Design​ (2). El el mismo se incluía un borrador del Código de Prácticas, donde se establecen trece pautas que los fabricantes necesitan implementar para mejorar la seguridad cibernética de sus productos de IoT de consumo y que sean seguros por Diseño. 

Teniendo en cuenta estos antecedentes, y con el objetivo de no frenar la innovación y no aplicar una fuerte carga a los fabricantes, el Gobierno está trabajando en que al menos las 3 principales pautas de las 13 que aparecen en la guía sean los requisitos mínimos de seguridad que tengan que implementar de forma obligatoria los fabricantes de productos IoT de consumo. Estas son: 

  1. Sin contraseñas determinadas: las contraseñas de los dispositivos IoT serán únicas y no reiniciables a ninguna configuración de fábrica universal. 
  2. Divulgación de vulnerabilidades: el fabricante proporcionará una forma de contacto público como parte de una política de divulgación de vulnerabilidades para que los investigadores de seguridad y otros pueden informar de posibles problemas. 
  3. Política de fin de vida útil: los fabricantes indicarán explícitamente el período mínimo de tiempo durante el cual el producto recibirá actualizaciones de seguridad. 

El cumplimiento de estas medidas básicas y fácilmente implementables protegería a los consumidores de los riesgos más significativos (como el ataque Mirai en 2016). Además otorgaría al sector de transparencia y permitiría identificar productos que satisfagan sus necesidades durante la vida útil del producto. Por ejemplo, las políticas obligatorias de divulgación de vulnerabilidades permitirán que funcione un mecanismo de retroalimentación efectivo entre la comunidad de investigación de seguridad y los fabricantes. 

En el futuro las autoridades británicas pretende adoptar un enfoque por etapas para exigir requisitos de seguridad adicionales, más allá de las tres pautas iniciales, garantizando que la regulación se mantenga al ritmo del cambio tecnológico y de las diferentes amenazas (9). Además, se va a crear un esquema de etiquetado de ciberseguridad para productos IoT de Consumo que diseñado para ayudar a los consumidores a tomar decisiones más informadas cuando compren estos dispositivos, basado, en un primer momento, en las tres pautas principales. 

Como vemos la ciberseguridad va a ser un factor fundamental para el desarrollo de productos y servicios IoT, y va tener que tomarse de forma muy seria en toda la etapa de diseño y desarrollo del producto. 

13 pautas de ciberseguridad

En marzo de 2018, el gobierno del Reino Unido describió lo que consideran una buena seguridad para los productos de IoT de consumo  Su código de práctica seguro (CoP) describe 13 principios que los fabricantes deben seguir.

  1. No hay contraseñas predeterminadas
  2. Implementar una política de divulgación de vulnerabilidades
  3. Mantener el software actualizado
  4. Almacenar de forma segura las credenciales y lo datos confidenciales de seguridad
  5. Comunicarse de forma segura
  6. Minimizar las superficie de ataque expuestas
  7. Garantizar la integridad del software
  8. Asegurarse de que los datos personales estén protegidos
  9. Hacer que los sistemas sean resistentes a las interrupciones
  10. Monitorizar los datos de telemetría del sistema
  11. Facilitar a los consumidores la eliminación de lo datos personales
  12. Facilitar la instalación y el mantenimiento de los dispositivos
  13. Validar los datos de entrada

La guía se enumera en orden de importancia y los tres primeros deben abordarse como una cuestión de prioridad. Se da una indicación de en qué parte interesada se basa principalmente la responsabilidad. Estas partes interesadas se definen como:

  • Fabricante del dispositivo: ​la entidad que crea un producto final ensamblado conectado a Internet. Un producto final puede contener los productos de muchos otros fabricantes diferentes
  • Proveedores de servicios de IoT: ​empresas que brindan servicios como redes, almacenamiento en la nube y transferencia de datos que se empaquetan como parte de las soluciones de IoT. Se pueden ofrecer dispositivos conectados a Internet como parte del servicio.
  • Desarrolladores de aplicaciones móviles: ​​entidades que desarrollan y proporcionan aplicaciones que se ejecutan en dispositivos móviles. A menudo se ofrecen como una forma de interactuar con dispositivos como parte de una solución de IoT.
  • Minoristas: ​los vendedores de productos conectados a Internet y servicios asociados a los consumidores.

Vulnerabilidades y peligros de la iluminación inteligente en el hogar

El hecho de poblar nuestros hogares, oficinas y vecindarios con una densa red de miles de millones de pequeños transmisores y receptores que tienen capacidades de red pueden traer importantes riesgos. En los últimos años se han publicado numerosos trabajos de investigación sobre la seguridad de los dispositivos y protocolos IoT. En particular, las lámparas conectadas han sido objeto de muchos de ellos, al ser uno de los primeros dispositivos conectados que se están instalando de forma masiva en los hogares, encontrado múltiples vulnerabilidades. Extracción de claves red, posibilidad de realizar ataques de DDOS, vulnerabilidades de privacidad e incluso la posibilidad de crear efectos estroboscópicos que puedan causar ataques epilépticos, son algunos de las vulnerabilidades descritas con relación a las lámparas inteligentes. 

Un estudio de investigación realizado en el 2017, “IoT Goes Nuclear: Creating a ZigBee Chain Reaction” (11), hacía una advertencia de cómo el llegar a una masa crítica de dispositivos IoT en nuestros hogares, en particular bombillas inteligentes, podría desencadenar una reacción en cadena que infectara a toda una ciudad. El ataque comenzaría con la introducción de una bombilla inteligente infectada en cualquier lugar de la ciudad, y luego extenderse de forma catastrófica a todas partes en cuestión de minutos. En particular los investigadores estimaron cuál sería esa masa crítica de dispositivos IoT instalados para que afectase a una urbe como París, llegando a la conclusión que a partir de de 15.000 productos inteligentes se podría producir esta reacción en cadena. Una cifra que ya en el 2017 se sobrepasaba y que actualmente es ridícula.

Los investigadores demostraron cómo incluso dispositivos IoT fabricados por grandes empresas, que incorporan protocolos de seguridad estandarizados, pueden ser mal utilizados por ciberdelincuentes para crear un nuevo tipo de ataque que afecte a una ciudad entera. En concreto se analizaron las lámparas inteligentes Philips Hue que desde el 2012 se han vendido en grandes cantidades. La comunicación entre las lámparas y el controlador (Gateway) se realiza mediante el protocolo Zigbee. Las lámparas Hue, analizadas en su momento para hacer la investigación, contenían un chip ZigBee fabricado por Atmel, que utiliza múltiples capas de protección criptográfica y no criptográfica para evitar que los piratas informáticos utilicen mal las lámparas una vez que estén conectadas de forma segura con sus controladores (gateways). Sin embargo, los investigadores descubrieron la pila Atmel tiene un error importante en su prueba de proximidad, que permite que cualquier transmisor ZigBee estándar (que se puede comprar por unos pocos euros en forma de una pequeña placa de evaluación) inicie un procedimiento de reinicio de fábrica que disociará las lámparas de sus controladores actuales, hasta un rango de 400 metros. Una vez que esto se logra, el transmisor puede emitir instrucciones adicionales que tomarán el control total de todas esas lámparas.

Recientemente, febrero 2020, se descubrió otra vulnerabilidad (CVE-2020-6007) que afecta a las bombillas Philips Hue por un fallo en el protocolo ZigBee (ya solventada por Signify con una actualización de software). Investigadores de la firma de seguridad ChekPoint (12), basándose en el anterior estudio mencionado, mostraban cómo se podía explotar una red IoT, formada por las bombillas inteligentes y el gateway, para lanzar ataques contra redes informáticas convencionales en hogares, empresas o incluso en ciudades inteligentes. Con la ayuda del Instituto Check Point para la Seguridad de la Información (CPIIS) en la Universidad de Tel Aviv, los investigadores pudieron controlar una bombilla inteligente en una red objetivo e instalar firmware malicioso en ella. A partir de ese momento, utilizaron la bombilla como plataforma para hacerse cargo del controlador de las bombillas y atacaron la red objetivo de la siguiente manera:

  1. El hacker controla el color e intensidad de las bombillas para engañar a los usuarios haciéndoles creer que la bombilla está fallando. La bombilla aparece como “Inaccesible” en la aplicación de control del usuario, por lo que intentará “restablecerla”.
  2. La única forma de restablecer la bombilla es eliminarla de la aplicación y luego indicarle al gateway  que vuelva a encontrarla. 
  3. El gateway descubre la bombilla comprometida y el usuario la agrega nuevamente a su red.
  4. La bombilla controlada por los hackers utiliza las vulnerabilidades del protocolo ZigBee para desencadenar un desbordamiento de búfer en el gateway al enviarle una gran cantidad de datos. Estos datos también permiten al hacker instalar malware en el gateway, que a su vez está conectado a la red comercial o doméstica objetivo.
  5. El malware se conecta de nuevo al pirata informático y, utilizando un exploit conocido (como EternalBlue), puede infiltrarse en la red IP de destino desde el puente para propagar ransomware o spyware.

Otra reciente investigación llevada a cabo por Universidad de Texas en San Antonio (UTSA) hacía una revisión de los agujeros de seguridad que existen en las marcas más populares de luces inteligentes, y alertan sobre cómo estos elementos pueden utilizarse de forma maliciosa para violar la privacidad y seguridad de los usuarios. El artículo científico, que lleva como título “Light Ears: Information Leakage via Smart Lights” evalúa los nuevos ataques que aprovechan la luz emitida por las modernas bombillas inteligentes para inferir información privada de los usuarios (14).

“Su bombilla inteligente podría estar estar equipada con capacidades infrarrojas, y la mayoría de lo usuarios no saben que este espectro de onda invisible puede controlarse, haciendo un mal uso de estos aparatos”, declaraba Murtuza Jadliwala, profesora y directora del Laboratorio de Investigación de Seguridad, Privacidad, Confianza y Ética en Computación del Departamento de Informática de UTSA. “Cualquier información puede ser robada: textos o imágenes. Cualquier cosa que esté almacenada en una computadora”.

Una nueva característica de las modernas bombillas inteligentes es la conocida como visualización-multimedia. La visualización-multimedia está diseñada para usarse junto con una canción o video que se reproduce en otro dispositivo multimedia cercano, para producir efectos de luz sincronizados con la música o con los colores predominantes en un video. Si bien estos efectos de iluminación pueden ser realmente inmersivos y entretenidos, los investigadores consideran que también pueden conducir a la pérdida de privacidad si no se protege de forma adecuada. Los investigadores evaluaron la posibilidad de explotar la funcionalidad de la iluminación infrarroja de una luz inteligente para extraer de manera invisible los datos privados de un usuario. Estos ataques se pueden lograr manipulando y controlando cuidadosamente la luz infrarroja para crear un “canal secreto” entre la bombilla y otro dispositivo “adversario” con capacidad de detección infrarroja. Con la ayuda de un malware en el smartphone o en el ordenador del usuario, se puede codificar la información privada que reside en estos dispositivos y luego transmitirla por el canal infrarrojo secreto disponible en la bombilla. Además, dado que varias marcas populares de luces inteligentes no requieren ninguna forma de autorización para controlar las luces (infrarrojas o de otro tipo) en la red local, cualquier aplicación instalada en el teléfono inteligente o la computadora del usuario objetivo puede actuar un agente malicioso de filtración de datos.

Finalmente, una investigación realizada en la Universidad Estatal de Ohio (15) ha encontrado que las aplicaciones móviles que funcionan con bombillas Bluetooth tiene un defecto de diseño inherente que hacen que sean vulnerables al hackeo. El problema radica en la forma en que los dispositivos con Bluetooth Low Energy, la conexión utilizado en la actualidad para la mayoría de dispositivos IoT, se comunican con las aplicaciones móviles que los controlan.

“Hay una falla fundamental que hace que estos dispositivos sean vulnerables, primero cuando se emparejan inicialmente con una aplicación móvil y luego nuevamente cuando están funcionando”, declara Zhiqiang Lin, profesor asociado de ciencias de la computación e ingeniería en la Universidad Estatal de Ohio. “Y aunque la magnitud de esta vulnerabilidad varía, encontramos que es un problema constante entre los dispositivos equipados con Bluetooth Low Energy cuando se comunican con las aplicaciones móviles”.

REFERENCIAS

  1. “Mandating Security Requirements for Consumer ‘IoT’ Products”, 2019. Department for Digital, Culture, Media & Sport. UK Government.
  2. “Secure by Design: Improving the cyber security of consumer Internet of Things Report”, 2018. Department for Digital, Culture, Media & Sport. UK Government.
  3. “Understanding the Mirai Botnet”. 2017. Antonokakis, y otros. 
  4. “Understanding the Contemporary Use of Vulnerability Disclosure in Consumer Internet of Things Product Companies”, 2018. IoT Security Foundation
  5. “Consumer Internet of Things Security Labelling Survey Research Findings”. Harris Interactive.
  6. “Europeans’ attitudes towards cyber security”, 2017. Eurobarometer.
  7. “REGLAMENTO (UE) 2019/881 de 17 de abril de 2019 relativo a ENISA  y a la certificación de la ciberseguridad de las tecnologías de la información y la comunicación”, 2019. UE.
  8. “A Cartography of Security Certification Schemes/Standards for IOT”, 2019. Internet of Trust S.A.S. (IOTR) – TÜV Informationstechnik GmbH (TÜViT).
  9. “Mapping of IoT security recommendations, guidance and standards”, 2018. Department for Digital, Culture, Media & Sport.  UK Government.
  10. “Code of Practices for Consumer IoT Security”, 2018. Department for Digital, Culture, Media & Sport. UK Government.
  11. “IoT Goes Nuclear: Creating a ZigBee Chain Reaction”, 2017. Eyal Ronen, Colin O’Flynn, Adi Shamir, Achi-Or Weingarten. 
  12. “The Dark Side of Smart Lighting: Check Point Research Shows How Business and Home Networks Can Be Hacked from a Lightbulb”, 2019. Checkpoint.
  13. “IoT Goes Nuclear: Creating a ZigBee Chain Reaction”, 2017. Eyal Ronen, Colin O’Flynn, Adi Shamir, Achi-Or Weingarten. 
  14. “Light Ears: Information Leakage via Smart Lights”. 2019. Anindya Maiti, Murtuza Shabbir Jadliwala
  15. “Design flaw could open Bluetooth devices to hacking”, 2019. Zhiqiang LinThe Ohio State University.

Autor: José Enrique Álvarez Menéndez

Director Editorial y de Tecnología de smartlighting

Este artículo aparece en el nº6 de SMLmagazine dedicado a la «CONECTIVIDAD»