La facilidad a la hora de instalar un nuevo dispositivo IoT (Internet of Things) en casa nos ha llevado a olvidar lo inseguros que pueden ser.
Estamos hablando de esos inofensivos cacharros como las cámaras IP de seguridad, las bombillas inteligentes, los robots de limpieza, los modernos electrodomésticos como lavadoras, tostadoras o frigoríficos. Y un largo etcétera de dispositivos en los que confiamos ciegamente. Definitivamente, nos hemos olvidado de esa época en la que lo primero que hacíamos al configurar un PC era instalar un antivirus temerosos de que alguien nos atacara.
A pesar de todo, un antivirus tradicional queda muy alejado de este nuevo concepto de dispositivos inteligentes. La industria del Internet de las Cosas está trabajando en ello, tanto los tradicionales fabricantes de antivirus como muchos otros más especializados en distintas áreas. Para entender el riesgo que supone tener un cacharro inseguro, vamos a repasar algunos de los problemas y ataques a los que estás expuesto.
Las vulnerabilidades acechan a cualquier dispositivo IoT
El simple hecho que tus dispositivos tengan acceso a internet los hace inseguros (más por WiFI o bluetooth). Esa es una máxima en la industria de la seguridad informática que se aplica con certeza en este caso del Internet of Thing.
Los ataques DDoS que crean botnets formados por dispositivos IoT son posibles y ya están sucediendo. En Xataka, un malware llamado Mirai había infectado más de 145.000 cámaras IP y dispositivos grabadores para tumbar Dyn, un importante proveedor de DNS que da servicio a clientes como Netflix, Twitter o Spotify.
Otro ejemplo de vulnerabilidad “silenciosa” fue el malware conocido como ProxyM que utilizaba frigoríficos y cualquier dispositivo IOT basado en Linux para distribuir spam a través de los puertos SMTP abiertos inocentemente. Miles de dispositivos fueron afectados y utilizados para enviar cerca de 400 mails por día. Así que, tu frigorífico puede estar mandando mails de spam sin que tú lo sepas.
La forma de actuar de los hackers es básicamente escanear dispositivos que aún tengan las claves por defecto configuradas o firmwares vulnerables y, una vez descubiertos, instalar scripts maliciosos. Sin ninguna anomalía visible para el usuario, el cual podría estar usando el aparato sin problema, enviando ciertos datos a los ciberdelincuentes. El modus operandi suele ser dejar los dispositivos en modo stan by o zombie hasta que llegue el momento preciso para realizar el ataque coordinado de DDos, por ejemplo.
El caso de las bombillas Hue y cómo fueron hackeadas
Un ejemplo ilustrativo para comprender cómo puede funcionar un ataque a un dispositivo IoT es el experimento con las bombillas LED conectadas, siendo uno de los objetos más populares y que rápidamente han adoptado los usuarios como los primeros dispositivos IoT en el hogar.
Este hack fue documentado para demostrar la importancia de la seguridad en este tipo de dispositivos. Fue realizado por Nitesh Dhanjani, un afamado investigador de seguridad y autor del recomendadisimo Abusing the Internet of Things. Consistió en utilizar un malicioso script capaz de apagar y encender las bombillas Philips Hue de su víctima. Y es que las bombillas Hue, como muchos dispositivos IoT, se han diseñados con una API abierta que confía en cualquier dispositivo conectado en la misma red local.
Nitesh Dhanjani desarrolló un malware para infectar a los usuarios del experimento a través de una web comprometida. Con ello fue capaz de encontrar una dirección MAC válida y tomar el control, apagando las luces una y otra vez sin que el usuario fuera capaz de saber qué estaba ocurriendo.
Una de las conclusiones es que estos dispositivos están menos protegidos debido a su bajo coste y sus limitaciones funcionales. ¿En cuántas ocasiones nos hemos encontrado la misma clave para enlazar un dispositivo? ¿El simple hecho de conectarlo a la Wifi sirve para poder entrar en él como usuario autenticado? ¿Os imagináis instalando un antivirus a cada bombilla de casa? La verdad es que no.
Estamos hablando de dispositivos que dependen al 100% de que el fabricante actualice el firmware. El usuario apenas puede hacer nada por protegerlo, es decir, sin usar herramientas externas de las cuales hablaremos más adelante. Un usuario medio es incapaz de llevar el control de los parches de seguridad que debería instalar ante las vulnerabilidades que aparecen de cada uno de sus dispositivos inteligentes. Es fácil quedar desactualizado en poco tiempo.
Los antivirus del futuro para el IoT no son un paquete de software simplemente
Como mencionamos al principio, los antivirus, tal como los conocimos en el pasado, no sirven de mucho en la heterogeneidad de dispositivos, fabricantes y entornos que existen en el Internet of Things. Los omnipresentes Kasperky o Panda se están poniendo las pilas ante el aluvión de amenazas que los dispositivos IoT pueden traer consigo, pero hay otros actores en la industria que están presentando soluciones en distintos ámbitos.
Según el informe Forrester sobre la seguridad en Internet of Thing, podemos extraer estas 6 áreas de investigación y desarrollo:
- Seguridad de red: Proteger y securizar las conexiones de red entre los dispositivos y los sistemas back-end es vital. Las redes IoT tienen una mayor complejidad que las tradicionales debido al amplio abanico de protocolos, estándares y capacidades, lo que provoca estar expuesto a una enorme cantidad de problemas. Los principales puntos de seguridad residen en los firewalls que tienen que incorporar analizadores de tráfico y detectar posibles malwares o intrusiones en cada paquete de datos enviado a internet. En este campo nos encontramos a clásicos como Cisco, Bayshore Networks, Darktrace o Senrio.
- Autenticación: en este caso debemos tener en cuenta cómo los usuarios pueden acceder a usar los dispositivos. Existen un amplio abanico de posibilidades desde los clásicos passwords, PIN o hasta lo más complejos 2FA, certificados digitales o biométricos. Proveer un sistema confiable en el que los usuarios puedan acceder a los distintos dispositivos es vital, así como la autenticación entre dispositivos distintos para poder comunicarse entre sí. Entre las compañías que desarrollan** soluciones se encuentran: BlueId, Covisint, Gemalto y Entrust Datacard.
- Encriptación: Una de las formas más eficaces de prevenir posibles ataques es asegurar la integridad de los datos y evitar que los hackers pueda interceptar las comunicaciones. Para ello se utilizarán los algoritmos criptográficos. Aunque, el gran problema sigue siendo el gran número de dispositivos y la capacidad de muchos de ellos para proveer el suficiente procesamiento. Sin ello, es inviable tener un ciclo completo de encriptación extremo a extremo. Algunos de los fabricantes más destacados en el desarrollo de soluciones son: Symantec, Lynx Software Technologies y los antes mencionados Cisco o Gemalto.
- PKI (Public Key Infraestructure): fundamental para verificar que los dispositivos IoT con los que nos estamos comunicando tienen la identidad correcta y nadie nos está engañando. Para ello es necesario la generación, distribución, gestión y revocación de claves públicas y privadas. Muchas de las alternativas en el mercado buscan poder tener un mecanismo en que cualquier dispositivo pueda instalar un certificado digital a través de un third-party seguro. Algunas de las compañías implicadas son WISekey o HPE.
- Análisis y monitorización: Este es el área que es capaz de predecir los posibles ataques, incluso cuando están enmascarados de forma sigilosa. Recolectando, agregando, monitorizando y normalizando esos datos para poder ser procesados por aprendizajes de machine learning que detecten cualquier anomalía. No ha sido una práctica habitual en los firewalls tradicionales, basados en reglas estáticas de control. Pero la IoT requiere de un modelo de análisis más dinámicos que pueda ver si hay algún comportamiento no esperado. De este modo evitaremos gran parte del malware que hace uso sigiloso de los dispositivos evitando ser detectado por las herramientas de análisis tradicionales. Aquí destacan Kasperky, SAP, Aperio System o Indegy.
- Seguridad en las API de comunicación: Es fundamental que las APIs de comunicación, ya sean REST, GraphQL, Webservices deben ir autenticadas, con las suficientes medidas de autorización y revocación. De este modo, los desarrolladores y los usuarios pueden estar seguros que las aplicaciones se comunican con dispositivos autorizados evitando ataques o posibles hackers interceptando dichas comunicaciones. Aquí nos podemos quedar con algunos nombres conocidos como Amazon AWS, Google Cloud IoT, Apigee, AKana, Mashery, MuleSoft o WSo2.
Algunas de las plataformas para desarrolladores como Amazon y Google están viendo el potencial de securizar la heterogeneidad de dispositivos. Y de paso están ayudando a crear un sistema que ayude a comunicarse entre los dispositivos y analizar más fácilmente qué están haciendo, colaborando entre sí ante una amenaza o un comportamiento inesperado.
Por ejemplo, AWS IoT Core pone a disposición de los desarrolladores una plataforma para securizar las conexiones de los dispositivos mediante tokens y certificados confiables para enrutar los millones de mensajes que comparten los dispositivos IoT. Además de proveer una plataforma de lectura y procesamiento para que los diferentes dispositivos conectados colaboren entre ellos.
Fuente: Genbeta
- Encuesta septiembre 2021: ¿Cómo crees que afectan las tecnologías de la información en la educación? – 6 septiembre, 2021
- ¡Ya llega Programmer’s Week 2021! – 3 septiembre, 2021
- Encuesta agosto 2021: ¿En qué sector IT te desarrollas o te gustaría desarrollarte? – 6 agosto, 2021
Deja una respuesta