Meus dispositivos domésticos inteligentes estão me espionando?

Alguns, sim – intencionalmente. Alto-falantes inteligentes ouvem palavras de ativação e enviam amostras de áudio para a nuvem quando acionados. Câmeras inteligentes podem transmitir vídeo para armazenamento em nuvem. Os controles de privacidade variam de acordo com o fornecedor; Apple, Amazon e Google publicam políticas de privacidade detalhadas, mas o histórico de implementação é desigual. Verifique as configurações do dispositivo e a política do fornecedor antes de comprar.

Meu dispositivo inteligente pode ser usado para atacar outros sites?

Sim, se comprometido. Um dispositivo IoT comprometido se junta a uma botnet alugada para ataques DDoS. Você não notaria a atividade, exceto possivelmente a Internet lenta durante as janelas de ataque. O padrão Mirai continua funcionando hoje em muitos dispositivos de consumo.

Devo colocar dispositivos IoT em uma rede separada?

Sim. Muitos roteadores de consumo oferecem redes convidadas que impedem que dispositivos IoT alcancem outros dispositivos LAN. Alguns oferecem suporte a VLANs adequadas ou segmentos IoT dedicados. A segmentação de rede limita os danos se um dispositivo for comprometido — ela pode atacar a Internet, mas não o seu laptop.

Por quanto tempo os dispositivos IoT devem receber atualizações de segurança?

A boa prática da indústria é pelo menos a vida útil esperada do dispositivo – 5+ anos para produtos como câmeras, 7+ para roteadores e principais aparelhos. A maioria dos fornecedores fica aquém. Procure um compromisso por escrito nas especificações do produto; a ausência de compromisso é uma bandeira amarela.

O firmware de código aberto é mais seguro?

Às vezes. OpenWrt, Tasmota, Home Assistant ESPHome oferecem alternativas com suporte de longo prazo para algumas categorias de dispositivos. A segurança é quase tão boa quanto a dos mantenedores originais – geralmente melhor do que o firmware abandonado do fornecedor, mas não é mágica. As listas de hardware compatível informam quais dispositivos suportam firmware de substituição.

Explicação da segurança da IoT: por que sua câmera inteligente entrou em uma botnet

Os dispositivos da Internet das Coisas são fornecidos com senhas padrão, nunca recebem atualizações de firmware e permanecem nas redes por anos depois que o fabricante deixa de se importar. Combinadas, essas propriedades criaram os maiores exércitos de botnets que a Internet já viu – Mirai, Mozi e seus sucessores. A história da segurança da IoT é a história de como escala e segurança não conseguiram se encontrar.

O corpo completo do artigo é fornecido em inglês abaixo.

Segurança

IoT (Internet das Coisas) cobre a proteção de dispositivos conectados à rede que não são laptops, telefones ou servidores tradicionais - câmeras, roteadores, alto-falantes inteligentes, termostatos, campainhas, lâmpadas, babás eletrônicas, sensores industriais. A categoria explodiu de algumas centenas de milhões de dispositivos em 2015 para mais de 25 bilhões em 2026, e a postura de segurança não acompanhou o ritmo.

Por que a segurança da IoT é excepcionalmente ruim

Quatro razões estruturais:

Margens extremamente finas. Uma câmera IP de US$ 20 compete em preço; o fabricante não tem orçamento para engenharia de segurança ou suporte de longo prazo.
Credenciais padrão. A maioria dos dispositivos é fornecida com admin/admin, admin/senha ou um padrão documentado por fornecedor. Muitos usuários nunca os alteram.
Mecanismo de atualização ausente ou quebrado. Muitos dispositivos não possuem atualização automática; alguns possuem atualizações que requerem download e instalação manuais; alguns têm atualizações que o fabricante para de lançar após 1–2 anos.
Conectado por padrão. Muitos dispositivos IoT alcançam serviços em nuvem sem serem solicitados, exigindo caminhos de entrada ou conexões de saída persistentes que ignoram NAT.

A história da Mirai

Em 2016, o O botnet Mirai comprometeu centenas de milhares de dispositivos IoT – principalmente DVRs e câmeras IP – e os usou em ataques DDoS que estabeleceram recordes contra Krebs on Security, OVH e o provedor de DNS Dyn (que derrubou metade da Internet do consumidor por horas). de pares de nome de usuário/senha padrão de fábrica, instale o bot se for bem-sucedido. Não houve explorações, nem dias zero, nem truques inteligentes. A vulnerabilidade era “o dispositivo é fornecido com admin/admin e está na Internet pública”. Só isso foi suficiente para centenas de milhares de infecções. O código-fonte do

Mirai vazou publicamente no final de 2016. Dezenas de derivados – Hajime, Persirai, Reaper, Mozi, IZ1H9 – o seguiram. O mesmo padrão de ataque funciona em 2026; apenas os destinos de dispositivos e listas de credenciais evoluem.

As principais classes de vulnerabilidade de IoT

Credenciais padrão ou codificadas. Ainda as mais comuns.
Interfaces de gerenciamento expostas na Internet. Painéis de administração Telnet, SSH, HTTP acessível de qualquer lugar.
Software desatualizado. Distribuições Linux embarcadas anos após atualizações de segurança do kernel.
Vulnerabilidades de corrupção de memória. Código incorporado C e C++ sem mitigações modernas (sem ASLR, sem canários de pilha em alguns plataformas).
Serviços de nuvem inseguros. Aplicativos móveis que se comunicam com a nuvem do fornecedor por meio de APIs sem autenticação, expondo dispositivos de outros usuários.
Superfícies de ataque físico. Cabeçalhos de depuração, JTAG, serial exposta, flash não criptografado armazenamento.

O problema do ciclo de vida

Uma câmera de segurança típica que você compra em 2026 tem:

1–3 anos de atualizações de firmware do fabricante (se houver)
Uma vida útil de 5–10 anos em seu rede
Nenhum mecanismo para alertá-lo quando as atualizações param

Depois que as atualizações param, o dispositivo continua funcionando, mas acumula vulnerabilidades não corrigidas. O usuário não tem sinal de que algo está errado. O dispositivo está felizmente comprometido e acessível pela Internet há anos.

O que os reguladores estão fazendo

A resposta política começou:

Lei de resiliência cibernética da UE (em vigor em 2026) exige requisitos de segurança, tratamento de vulnerabilidades e compromissos de atualização de segurança para produtos conectados vendidos no EU.
UK Lei de infraestrutura de telecomunicações e segurança de produtos (2022) proíbe dispositivos com credenciais padrão e exige períodos de suporte divulgados.
Califórnia SB-327 (2020) requer recursos de segurança "razoáveis" e padrão exclusivo senhas.
FCC's Cyber Trust Mark (EUA, lançamento em 2024-2026) - rotulagem voluntária para dispositivos compatíveis.

O efeito no mercado é lento, mas visível: os principais fabricantes (TP-Link, Netgear, Eufy) começaram a enviar dispositivos com senhas iniciais aleatórias exclusivas e pelo menos atualização anunciada janelas.

O que você pode fazer como usuário

Altere a senha padrão. Etapa um para cada dispositivo.
Desative a exposição de interfaces de gerenciamento na Internet. Se a câmera não precisar ser acessível de fora, não encaminhe a porta para it.
Segmente a rede. Uma VLAN/SSID separada para dispositivos IoT, isolada de seus laptops e telefones. A maioria dos roteadores de consumo agora oferece suporte a redes convidadas; alguns suportam segmentação VLAN completa.
Atualizar firmware. Verifique periodicamente; muitos fornecedores não enviam push automaticamente.
Prefira dispositivos com compromissos de atualização documentados. As marcas que publicam um cronograma de suporte são mais confiáveis do que aquelas que não o fazem.
Compre dos principais fornecedores quando possível. A câmera sem nome de US$ 7 na Amazon é quase certamente menos segura do que uma Eufy ou Ring de US$ 40 produto. Nem sempre, mas em média.
Substitua dispositivos abandonados. Quando as atualizações param, o dispositivo deve ser desativado e não mantido em execução.

Perguntas frequentes

Meus dispositivos domésticos inteligentes estão me espionando?: Alguns, sim – intencionalmente. Alto-falantes inteligentes ouvem palavras de ativação e enviam amostras de áudio para a nuvem quando acionados. Câmeras inteligentes podem transmitir vídeo para armazenamento em nuvem. Os controles de privacidade variam de acordo com o fornecedor; Apple, Amazon e Google publicam políticas de privacidade detalhadas, mas o histórico de implementação é desigual. Verifique as configurações do dispositivo e a política do fornecedor antes de comprar.
Meu dispositivo inteligente pode ser usado para atacar outros sites?: Sim, se comprometido. Um dispositivo IoT comprometido se junta a uma botnet alugada para ataques DDoS. Você não notaria a atividade, exceto possivelmente a Internet lenta durante as janelas de ataque. O padrão Mirai continua funcionando hoje em muitos dispositivos de consumo.
Devo colocar dispositivos IoT em uma rede separada?: Sim. Muitos roteadores de consumo oferecem redes convidadas que impedem que dispositivos IoT alcancem outros dispositivos LAN. Alguns oferecem suporte a VLANs adequadas ou segmentos IoT dedicados. A segmentação de rede limita os danos se um dispositivo for comprometido — ela pode atacar a Internet, mas não o seu laptop.
Por quanto tempo os dispositivos IoT devem receber atualizações de segurança?: A boa prática da indústria é pelo menos a vida útil esperada do dispositivo – 5+ anos para produtos como câmeras, 7+ para roteadores e principais aparelhos. A maioria dos fornecedores fica aquém. Procure um compromisso por escrito nas especificações do produto; a ausência de compromisso é uma bandeira amarela.
O firmware de código aberto é mais seguro?: Às vezes. OpenWrt, Tasmota, Home Assistant ESPHome oferecem alternativas com suporte de longo prazo para algumas categorias de dispositivos. A segurança é quase tão boa quanto a dos mantenedores originais – geralmente melhor do que o firmware abandonado do fornecedor, mas não é mágica. As listas de hardware compatível informam quais dispositivos suportam firmware de substituição.