Un fallo de seguridad en Amazon Key permite colarse a los mensajeros

Alejo I
Hace algunas semanas Amazon lanzó en Estados Unidos un novedoso servicio llamado Key gracias al cual sus mensajeros pueden dejar los paquetes dentro de casa. El sistema requiere una cerradura electrónica y utiliza la cámara domótica Amazon Cloud Cam para informar al usuario de la llegada de sus pedidos, dejando constancia del paso en forma de vídeo.

Pese a que todo el proceso está supervisado y se puede seguir por el móvil, más de un cliente de Amazon ha mostrado sus reticencias a dejar que un completo desconocido pueda abrir la puerta de casa aunque sea por solo unos instantes. Bien, la firma Rhino Security Labs ha descubierto que un fallo en la Cloud Cam podría permitir que un repartidor con malas intenciones se colara fácilmente en casa o que un ladrón aprovechara una entrega para hacer lo mismo.

El método desarrollado por Rhino Security es relativamente sencillo y consiste en enviar una señal de desautorización a la Cloud Cam mediante un dispositivo Wi-Fi como por ejemplo una Raspberry Pi, expulsando temporalmente a la cámara de la red. Este ataque puede repetirse continuamente, permitiendo al mensajero entrar en casa sin que pueda ser monitorizado.

La apertura no autorizada de la puerta es posible puesto que el cierre se desconecta cuando la cámara pierde la conexión a la red Wi-Fi. Esto se debe a que la cerradura electrónica carece de acceso a Internet por sí misma y utiliza la cámara de seguridad como puente al router.

Peor aún, cuando la cámara pierde la conexión a la red Wi-Fi muestra al usuario el último frame capturado antes de la desconexión. Esto hace sencillo engañar al cliente, haciéndole creer que la puerta está cerrada cuando en realidad hay un desconocido haciendo lo que no debería hacer.


Al margen del acceso no autorizado por parte de un mensajero, también existe la posibilidad de que un ladrón le esté esperando y desconecte la cámara justo cuando se está cerrando la puerta, impidiendo su bloqueo.

Según los investigadores, este ataque presenta más dificultades. De entrada, el mensajero podría percatarse de que no se activa el cerrojo. Asimismo, la aplicación de Amazon utilizada para abrir y entregar los paquetes muestra una notificación cuando se activa el cerrojo, y la compañía ha instruido a su personal para que comprueben que la puerta está correctamente asegurada antes de abandonar el domicilio. Si ven que el cierre permanece desactivado tras varios minutos, deben llamar al cliente.

Amazon ha sido alertada y afirma que esta misma semana lanzará una actualización que proporcionará notificaciones cuando la cámara pierda la conexión durante el proceso de entrega. Además, la compañía ha querido tranquilizar a sus clientes afirmando que examina los antecedentes de los repartidores y que cada una de sus rutas está asignada de forma individual.

Como señala Wired, una forma de evitar posibles problemas sería instalar una cámara de respaldo fabricada por otra compañía para comprobar si la imagen se ha congelado en el momento de la entrega o si por el contrario funciona correctamente y no hay actividad. O como señala Ben Caudill, fundador de Rhino Security y algo más tajante, basta con no usar Amazon Key.
Fuente: Wired