Seguridad en dispositivos IoT
El Internet de las cosas (IoT) ha tomado el mundo por asalto. Según las predicciones, en el año 2020 habrá unos 30.000 millones de dispositivos conectados. Esto significa que algunos o todos sus aparatos domésticos, como televisores, aparatos de aire acondicionado, frigoríficos, etc., podrían tener la capacidad de ser controlados a distancia. Aunque las aplicaciones de la IO ofrecen una gran cantidad de ventajas que sin duda causarán un trastorno en la tecnología tal y como la conocemos, vienen acompañadas de una nueva serie de retos que hay que abordar para que funcionen con eficacia. El reto de la seguridad Todos los dispositivos habilitados para IoT contienen sensores que transmiten y reciben datos; estos son actuadores que controlan físicamente el dispositivo.
El firmware basado en el sistema operativo de IoT suele contener una pequeña instalación basada en el sistema operativo de las aplicaciones de IoT y la comunicación WiFi, que permite enviar y recibir los datos a través del router de Internet. Todos los componentes anteriores son vulnerables a los ataques al sistema. Forman la superficie de ataque, lo que significa que el hacker puede elegir uno de los componentes anteriores para introducir malware y comprometer el sistema. A continuación se detallan los tipos de ataques que se pueden lanzar contra el sistema: Escaneo y toma de posesión: Si la autenticación y la autorización de la aplicación IoT son débiles, con una protección deficiente de las contraseñas y un cifrado deficiente debido a la limitación de los recursos de hardware para ejecutar algoritmos complejos, el hacker puede entrar en el sistema, controlarlo y hacerse con él.
DOS distribuido (denegación de servicio): Si el tráfico de solicitudes enviado a la aplicación IoT es tan grande que el sistema no puede manejarlo, el host objetivo se cae y no responde ni es funcional. Si el dispositivo está conectado a Internet, es comparativamente más fácil que el ataque se produzca desde múltiples fuentes, y el hacker puede hacer caer el sistema fácilmente. Ataque de spam: Si la IP de la abuela está conectada a la red, las direcciones IP pueden enviar fácilmente ataques de malware a la aplicación IoT si no hay seguridad. Interceptación de mensajes mediante spyware: Como muchas aplicaciones IoT tienen pocos recursos, puede que no sea posible habilitar la comunicación encriptada en la capa de red mediante TLS u otros mecanismos de seguridad.
Esto compromete el sistema, ya que el spyware puede leer los datos enviados y manipularlos a su antojo. Ataques de inyección: Todas las aplicaciones web, incluidas las de IoT, son susceptibles de sufrir esta forma de ataque, que añade una petición adicional a la existente, haciendo que el sistema se vea comprometido. SQL y XML son algunas formas de ataques de inyección. Bibliotecas 3pp vulnerables: Algunas 3pps que han sido hackeadas anteriormente muestran que si entra en la aplicación a través de las actualizaciones del sistema, puede comprometer completamente y tomar el control del sistema. Sólo se deben utilizar 3pps seguras y se debe hacer un seguimiento continuo de las actualizaciones.
Aunque son muy serios, los ataques anteriores pueden ser prevenidos siguiendo los pasos y procedimientos operativos estándar para asegurar que las vulnerabilidades en la aplicación IoT sean identificadas y minimizadas, y se puede hacer un monitoreo constante del sistema para asegurar que está funcionando como se espera, ya que varios sistemas que están comprometidos, continúan siéndolo, ya que el usuario y el administrador del sistema no son conscientes de que el sistema ha sido hackeado. Gestión de los retos de seguridad en las aplicaciones IoT: En esta era del IoT, los ataques anteriores pueden fácilmente paralizar el sistema e incluso toda la red del IoT si no se toman medidas para proteger y mantener el sistema. Las aplicaciones y los dispositivos de IoT suelen desplegarse en zonas complejas, incontroladas y hostiles, por lo que deben tomar medidas para hacer frente a los siguientes retos de seguridad: Gestionar las actualizaciones del dispositivo y de la aplicación IoT instalada: Debe habilitarse la actualización periódica de la aplicación IoT con parches de seguridad para que la protección del sistema esté al día.
Los datos del sistema deben estar protegidos en todas las áreas de confidencialidad, disponibilidad e integridad. Esto debe garantizarse en todas las superficies, es decir, el dispositivo, la red, la aplicación y el nivel del sensor. Si el dispositivo está conectado a la nube, la comunicación debe ser segura. Comunicación segura: Las conversaciones entre dispositivos deben estar aseguradas mediante TLS u otros protocolos para garantizar que los sistemas no se vean comprometidos. Supervisar y detectar: Ejecutar escaneos constantes y asegurarse de que los registros de auditoría se escriben y se supervisan en busca de entradas de ataques.
También deben existir otros mecanismos preventivos para evitar ataques. Autenticación y autorización: La protección de las contraseñas es imprescindible para las aplicaciones de IoT, y deben ser fuertes para evitar que el sistema se vea comprometido por un ataque de fuerza bruta. Dispositivos seguros: Los cortafuegos, el endurecimiento, el cifrado ligero y la desactivación de los canales de puerta trasera de los dispositivos son formas de proteger el sistema IoT de los daños. Integridad de los datos: La protección de los datos es una necesidad para los sistemas seguros, y también hay que tener cuidado con lo mismo en el ámbito del IoT. Todos los datos sensibles deben ser encriptados durante la transmisión y el almacenamiento. Aplicaciones de control seguras: Las aplicaciones que acceden a las aplicaciones IoT deben ser totalmente seguras para evitar que el sistema IoT cliente se vea comprometido. En conclusión, asegurar las aplicaciones es de suma importancia, ya que son de misión crítica, y hacerlas caer puede tener graves repercusiones en la vida real. El reto de la seguridad debe ser gestionado, supervisado y evitado.
¿Qué más hay que tener en cuenta en relación con la seguridad de los dispositivos del IoT?
El Internet de las cosas (IoT) está creciendo a un ritmo increíble. Según Gartner, el número de dispositivos IoT pasará de 5.000 millones en 2017 a más de 20.000 millones en 2020. Eso es un aumento de casi siete veces en sólo dos años. Con este crecimiento, también estamos viendo un fuerte aumento de los ciberataques dirigidos a los dispositivos IoT. De hecho, estos ataques se están volviendo tan comunes que algunos proveedores ofrecen ahora protección integrada para sus dispositivos contra las amenazas conocidas. En esta entrada del blog, hablaremos de los distintos riesgos de seguridad que plantean los dispositivos IoT y de cómo puede proteger su propia solución IoT de ataques maliciosos o de invitados no deseados.
Tipos de ataques a dispositivos IoT
Hay varios tipos de ataques que se pueden llevar a cabo contra los dispositivos IoT, entre ellos:
Ataques DDoS
Los ataques de denegación de servicio distribuidos (DDoS) son el tipo más común de ciberataque. Un ataque DDoS se produce cuando un gran número de dispositivos se infectan con malware y luego se controlan de forma remota para enviar una cantidad abrumadora de datos a un solo servidor. Esto hace que el servidor se sobrecargue y sea incapaz de procesar las peticiones legítimas, colapsando el sistema. Por eso los ataques DDoS se denominan a veces "Super Botnet".
No sólo los dispositivos utilizados para el ataque ya están infectados, sino que es barato y fácil escalar el ataque a millones de dispositivos controlándolos con un solo comando. Los ataques DDoS suelen llevarse a cabo contra sitios web o servidores, pero también pueden utilizarse para derribar dispositivos IoT. De hecho, algunos expertos en seguridad predicen que el número de ataques DDoS basados en el IoT aumentará a medida que esta tecnología sea más común.
Ataques a la cadena de suministro
Un ataque a la cadena de suministro se produce cuando un hacker se infiltra en la cadena de suministro de una organización, a menudo aprovechando un socio de la cadena de suministro existente. Por ejemplo, un hacker que fabrica una versión falsificada de un dispositivo IoT puede intentar colar esos dispositivos falsificados en la cadena de suministro y hacerlos pasar por los auténticos. Esto puede ser especialmente peligroso porque los consumidores no siempre saben si un producto ha sido comprometido.
Los consumidores compran un producto esperando que provenga de una empresa determinada, y esperan que esa empresa tenga ciertas prácticas de seguridad, como un sistema de autenticación fuerte. Por ejemplo, si un pirata informático fabrica una versión falsificada de un sistema de seguridad para el hogar muy popular, muchos clientes podrían comprar el producto falsificado sin saberlo y utilizarlo para proteger su casa. Esto podría suponer un enorme riesgo para el cliente, junto con el resto de clientes que también utilizan ese sistema de seguridad.
Autenticación y encriptación rotas
Los problemas de autenticación pueden ocurrir cuando el sistema de autenticación de un dispositivo está comprometido, o si el dispositivo no utiliza ningún sistema de autenticación. Esto es especialmente peligroso cuando se trata de dispositivos médicos del IoT, ya que la falta de autenticación puede conducir a la violación de los datos de los pacientes, incluidos los datos médicos sensibles. Por ejemplo, si un hospital utiliza un dispositivo IoT no seguro y sin autenticación, un hacker podría robar el nombre de usuario y la contraseña del dispositivo y acceder a los registros de los pacientes del hospital. Otro problema de autenticación que podría ocurrir es un dispositivo que utilice el algoritmo incorrecto para cifrar los datos. Esto puede llevar a que los datos sean robados o alterados, incluso si están cifrados.
Ataque a dispositivos rebeldes
Los dispositivos rebeldes son dispositivos IoT que no están realmente conectados a la red, pero que siguen formando parte de la solución IoT de una organización. Estos dispositivos suelen utilizarse para supervisar ciertas operaciones y funciones, como el tráfico de la red o la cantidad de energía que utiliza una organización. Los dispositivos rebeldes suelen estar conectados a sensores u otros dispositivos mediante conexiones por cable, pero, como su nombre indica, no están conectados a una red central. Como estos dispositivos no están conectados a una red central, no pueden ser controlados a distancia y no están protegidos por los sistemas de seguridad de los otros dispositivos. Los dispositivos rebeldes suponen un gran riesgo para la solución de IoT de una organización porque suelen tener la capacidad de afectar a otros dispositivos conectados.
Aspectos positivos de la seguridad de los dispositivos IoT
Los piratas informáticos tienen muchas posibilidades de introducirse en los dispositivos del Internet de las Cosas. El gran volumen y la variedad de dispositivos del Internet de las cosas que hay actualmente en el mercado significa que los desarrolladores se han apresurado a comercializarlos sin pensar en todas las implicaciones. No se trata sólo de que haya vulnerabilidades en los dispositivos o el software del Internet de las Cosas, sino que hay importantes problemas sistémicos en la forma en que se desarrollan, construyen y lanzan muchos productos del Internet de las Cosas. Afortunadamente, también hay algunas cosas que los fabricantes pueden hacer para reforzar sus dispositivos contra los ciberataques. A continuación se presenta un resumen de los aspectos positivos de la seguridad de los dispositivos IoT.
Instalar Parches de Firmware
Uno de los problemas de seguridad más comunes en los dispositivos conectados en red es la falta de actualizaciones periódicas. Cuando los fabricantes dejan de publicar parches y actualizaciones de firmware, las vulnerabilidades que antes estaban cerradas acaban siendo explotadas. Una de las mejores cosas que puede hacer un fabricante del Internet de las Cosas es mantener actualizaciones regulares y sólidas para sus dispositivos. Esto ayudará a endurecer los dispositivos contra los ataques. Un fuerte compromiso del proveedor con las actualizaciones del firmware puede contribuir en gran medida a reducir las vulnerabilidades de los dispositivos del Internet de las cosas. Esto es especialmente cierto para los dispositivos en entornos de infraestructuras críticas. Los dispositivos conectados en red en entornos energéticos y de servicios públicos son objeto de ataques con regularidad.
Utilizar contraseñas únicas y enérgicas
Muchos de los problemas de seguridad más comunes en los dispositivos IoT se deben a que éstos tienen contraseñas muy débiles. Las contraseñas débiles son una de las formas más comunes en que los hackers consiguen entrar en los dispositivos. Una de las mejores cosas que pueden hacer las empresas es crear contraseñas fuertes. Los proveedores deben crear contraseñas que tengan al menos 12 caracteres y que contengan tanto letras como números. Los usuarios también deberían cambiar sus contraseñas con regularidad. Una de las formas más fáciles de convertir un dispositivo IoT en un lastre es establecer la contraseña por defecto como "admin". Esta es una contraseña por defecto muy común y es una manera fácil para que alguien pueda acceder al dispositivo. Si las empresas se toman la molestia de crear contraseñas seguras, se contribuirá en gran medida a la seguridad de sus dispositivos IoT.
Uso de cortafuegos y muros virtuales
Una forma de combatir las amenazas que plantean los dispositivos con acceso a Internet es desplegar cortafuegos y muros virtuales. Los dispositivos de cortafuegos pueden utilizarse para bloquear ciertas amenazas determinando lo que puede entrar o salir de la red. En un entorno empresarial, esto puede significar bloquear todo el tráfico de ciertos dispositivos. Los cortafuegos son especialmente importantes en los entornos de la Internet de las Cosas porque pueden bloquear los dispositivos IoT que, de otro modo, podrían introducir vulnerabilidades. Los muros virtuales también pueden utilizarse para bloquear el tráfico de ciertos dispositivos. Esto puede incluir el bloqueo de todos los dispositivos del Internet de las Cosas para que no accedan a determinados recursos de la red.
No confíe en los servicios basados en la nube
Otra forma de proteger las redes contra las vulnerabilidades es no depender de los servicios basados en la nube. Los dispositivos del Internet de las Cosas a menudo dependen de los servicios basados en la nube para recuperar datos como las actualizaciones de software. Si un dispositivo está conectado a Internet, puede ser vulnerable a un ciberataque que podría secuestrar el servicio basado en la nube. Si un dispositivo es accesible de forma remota, es posible que los hackers obtengan un acceso no autorizado y tomen el control del dispositivo. Si los dispositivos del Internet de las Cosas dependen de servicios basados en la nube, pueden introducir vulnerabilidades de seguridad que pueden ser explotadas por los hackers. Las empresas deberían considerar la posibilidad de alojar sus propios datos para no depender de servicios de terceros basados en la nube.
Actualizar regularmente el firmware de los dispositivos.
Otra forma en que los fabricantes pueden reforzar sus dispositivos contra los ciberataques es actualizar regularmente el firmware de los mismos. Esto garantiza que cualquier vulnerabilidad sea parcheada tan pronto como se descubra. La actualización periódica del firmware es una parte fundamental de la seguridad de un dispositivo IoT. Si los fabricantes actualizan el firmware con regularidad, podrán parchear cualquier vulnerabilidad descubierta en el dispositivo. Si los fabricantes esperan demasiado tiempo para publicar las actualizaciones del firmware, puede ser demasiado tarde para corregir las vulnerabilidades y protegerse contra los ataques. Si un dispositivo está conectado a Internet y tiene vulnerabilidades sin parchear, es probable que sea objeto de ciberataques.
No se apresure a comercializar los dispositivos del Iot
Otro aspecto importante de la seguridad de los dispositivos contra los ciberataques es no apresurarse a comercializar los dispositivos del Internet de las cosas. En lugar de intentar sacar los dispositivos al mercado lo antes posible, los fabricantes deberían tomarse el tiempo necesario para asegurarse de que sus dispositivos son seguros frente a los ciberataques. Para asegurarse de que sus dispositivos son seguros, los fabricantes deben seguir un estricto proceso de desarrollo que incluya pruebas de seguridad en cada etapa. Esto garantizará que las posibles vulnerabilidades se descubran y se corrijan antes de que los dispositivos se pongan a disposición del público.
Conclusión
El Internet de los objetos es una red de dispositivos conectados entre sí y a Internet. Muchas personas han acogido con satisfacción este desarrollo, pero otras tienen serias dudas sobre la seguridad. El gran número de dispositivos y el creciente mercado de los mismos significa que los fabricantes se enfrentan a una serie de retos cuando intentan asegurar sus dispositivos contra los ciberataques. Hay algunas cosas que los fabricantes pueden hacer para reforzar sus dispositivos contra los ciberataques. Una forma de hacerlo es asegurarse de que actualizan regularmente el firmware de los dispositivos. Otra forma de reforzar los dispositivos contra los ciberataques es seguir un estricto proceso de desarrollo que incluya pruebas de seguridad en cada fase. Esto garantizará que se descubran y corrijan las posibles vulnerabilidades antes de que los dispositivos se pongan a disposición del público.
A medida que el mundo se vuelve más conectado y automatizado, la seguridad física será aún más importante. No se trata sólo de mantener alejados a los malos, sino de proteger sus objetos de valor de las catástrofes naturales o provocadas por el hombre. En esta entrada del blog, aprenderá más sobre el estado actual de la seguridad física y sus implicaciones futuras. Vivimos en un mundo acelerado en el que la transformación digital sigue impulsando nuevas innovaciones y tasas de adopción de tecnologías emergentes. A medida que la transformación digital continúa acelerando en todas las industrias, también lo hace su adopción de dispositivos y servicios de IoT. Si bien esta nueva era de la tecnología presenta muchos beneficios para las empresas, también aumenta la necesidad de soluciones de seguridad física con el fin de proteger la información y los datos sensibles de los ciberdelincuentes, así como de los desastres naturales.
