El protocolo Z-Wave lo utilizan dispositivos en el ámbito del Internet de las Cosas. Es decir, por ejemplo, bombillas, termostatos, ventanas, cerraduras y un largo etcétera de equipos de domótica para el emparejamiento y control remoto en distancias de hasta 100 metros. Y este protocolo es utilizado por más de 100 millones de dispositivos que, según se ha descubierto, son vulnerables a un ataque para el acceso no autorizado a los mismos.

En los últimos años, los dispositivos en el ámbito del IoT han aumentado su presencia de manera exponencial. Y este protocolo Z-Wave, que se basa en señales de radiofrecuencia para la comunicación con otros dispositivos, ya se demostró que no era seguro en el año 2013, cuando se encontró una vulnerabilidad crítica. Se detectó que era posible ejecutar un ataque para interceptar las comunicaciones entre estos dispositivos, pero más adelante se introdujeron mejoras de seguridad; el problema, en esta ocasión, está precisamente en que el estándar S2 –que es el más actual- permite un ataque de degradación para volver a S0, y por tanto ejecutar aquella vulnerabilidad de hace cinco años.

Más de 100 millones de dispositivos son vulnerables a este ataque, que inicialmente se descubrió en el año 2013 y no se consideró ‘una amenaza en el mundo real’

SensePost fue la compañía que destapó el problema sobre S0 en el año 2013, y aseguraron que este problema no era ‘una amenaza seria en el mundo real’, por algunas de las limitaciones del protocolo. Ahora, con la versión más actual del protocolo Z-Wave, desde Silicon Labs consideran que no hay vulnerabilidades conocidas y que se trata del mejor estándar de su clase para la seguridad del hogar inteligente a día de hoy. Efectivamente, no se han encontrado vulnerabilidades que afecten directamente al protocolo en el estándar S2, pero sí se puede hacer downgrade a S0 para ejecutar un ataque.

El problema sobre S0 tiene que ver con el cifrado en las comunicaciones, y de ahí que sea posible interceptar la transmisión de información entre estos equipos. Por lo tanto, aunque sea de una manera ‘indirecta’, lo cierto es que al protocolo Z-Wave le afecta una importante vulnerabilidad que ya había sido descubierta hace nada menos que cinco años.