Con un panorama actual donde la domótica (IoT) está adquiriendo cada vez más importancia, tanto a nivel empresarial como a nivel doméstico; empieza a ser acuciante tomarse en serio todo lo relacionado con su privacidad y de forma especial con su seguridad.
Cada vez es más común encontrarse hogares donde conviven ordenadores personales, portátiles para el trabajo, móviles de empresa y particulares, bombillas, interruptores y altavoces inteligentes, etcétera. Todos, conectados al mismo Router, mediante WiFi o cable y lo que resulta más importante, compartiendo la misma red.
El riesgo en el esquema anterior es evidente, cualquier vulnerabilidad en un dispositivo domótico podría habilitar el acceso a nuestra red, y al estar ésta compartida por toda nuestra electrónica, abrir la posibilidad de atacar todo lo que se halle conectado: Pc, móvil, Nas, etcétera.
Por tanto la domótica, hasta el momento en que los fabricantes se tomen su seguridad en serio mediante protocolos específicos (Matter) o actualizaciones de software, representa la parte más débil de nuestra red.
Una primera posibilidad para minimizar dicho riesgo consiste en la segmentación de redes, a grosso modo: una técnica de seguridad que divide una red en distintas subredes más pequeñas, permitiendo controlar y segurizar de forma independiente cada cada subred.
En el esquema anterior, hemos separado los elementos domóticos del resto creando una red específica para ellos: 10.10.0.X. Con lo cual, cualquier intrusión aprovechando alguna vulnerabilidad no repercutirá en el resto de nuestra electrónica. Además, conseguimos una mejora adicional muy importante. Los elementos domóticos, están constantemente generando tráfico, tanto en forma de peticiones DNS’s como en forma de broadcast. Pues bien, al segmentar la red rompemos también el domino de Broadcast, por lo que dicho tráfico ya no llegará al resto de dispositivos.
Pero aún podríamos ir más allá. Si la domótica no es algo que brille por su seguridad, también podemos coincidir en que una conexión WiFi es mucho menos segura que una mediante cable Eth. Y por tanto, podríamos añadir un extra de seguridad segmentando a su vez las conexiones inalámbricas:
En el esquema anterior, disponemos de tres redes totalmente independientes entre sí:
- 10.10.0.X para domótica mediante Wifi
- 192.168.0.X para datos mediante Wifi
- 192.168.100. X para conexiones cableadas
Y ahora la pregunta del millón ¿Cómo segmento redes en mi domicilio?.
Pues ése es el mayor problema hoy en día. La forma más sencilla, y es realmente sencilla de realizar, es que nuestro router permita crear Vlans en la parte LAN/Wifi. Algo que en la actualidad sólo esta disponible en muy pocas marcas y con modelos tope de gama.
- QNAP QHora-301W
- D-Link DSR-1000AC
- Alguno de la marca FRITZ!Box
Esperemos que con el tiempo más marcas y en más modelos vayan añadiendo esta característica que de forma sencilla, nos permitirá añadir un punto muy importante en todo lo relativo a control y seguridad de nuestra red doméstica.