Internet de las cosas. Sobre la seguridad en los dispositivos IoT

Tu cámara o el juguete de tu hijo pueden ser un riesgo

Lejos quedaron los tiempos en los que las amenazas informáticas estaban limitadas al disco duro de los ordenadores. Hoy en día es común oír hablar de móviles infectados, de tabletas hackeadas, y hasta de dispositivos inteligentes que forman parte de una red global de amenazas cibernéticas.

Este tipo de contenido suele leerse dentro de artículos que comentan los efectos de un ataque a una web específica, que habría necesitado mejores sistemas de seguridad o quizás una eliminación de malware a tiempo, o a una red de servidores, pero pocas veces comentan con detalle cómo una cámara de seguridad en Madrid puede ayudar a que la web de un gobierno extranjero esté horas no disponible.

No es necesario invadir un ordenador con altas prestaciones para realizar un ataque a un servidor web, basta con invadir miles de pequeños dispositivos conectados

Para entender este punto es necesario tener en cuenta que no es necesario invadir un ordenador con altas prestaciones para realizar un ataque a un servidor web, basta con invadir miles y miles de pequeños dispositivos conectados para, en cualquier momento, sincronizar un ataque donde cada uno haga su parte.

Así es, en muchas ocasiones son pequeños aparatos conectados a Internet que deciden conectarse a una web en un momento determinado, justo al mismo tiempo que otros miles de aparatos, por lo que la web destino acaba siendo derrumbada por no poder gestionar la conexión de tantas peticiones simultáneas.

Cualquier dispositivo conectado es susceptible de ser utilizado

Juguetes, cámaras, relojes… la cantidad de dispositivos que pueden formar parte de esta red de ataques DDos es interminable. Y lo será aún más cuando las redes 5G estén disponibles en las grandes ciudades, ya que la cantidad de dispositivos conectados por metro cuadrado se multiplicará enormemente, siendo mayor la posibilidad de que un porcentaje de ellos estén infectados y puedan así transformarse en herramientas para hacer ataques constantes.

El asunto es tan serio que los legisladores del Estado de California han propuesto un proyecto de ley para reforzar la seguridad de los dispositivos conectados a internet. Seguramente se aprobará, y de esa forma California se convertirá en la primera región con una ley creada para el mundo IoT.

¿Entendemos los riesgos?

La combinación de IoT, botnets y DDoS es muy peligrosa, tal y como se comprobó con el ataque botnet (Mirai), creado gracias al ataque de miles de dispositivos IoT desprotegidos que atacaron a la compañía proveedora de DNS Dyn, dejando prácticamente sin conexión a Internet la costa Este de Estados Unidos.

Pero no se trata solo de parar ataques DDos, también es necesario crear una protección para evitar desgracias que pueden cobrar vidas. Hace poco un par de expertos consiguieron desactivar remotamente el sistema de frenado de un Jeep Cherokee mientras lo conducía un periodista, mostrando cómo puede ser peligroso dejar que los coches autónomos dependan completamente de dispositivos inteligentes conectados.

Estas leyes, cada vez más necesarias, tienen que aprobarse para obligar a que los dispositivos conectados presenten características de seguridad razonables o apropiadas para la naturaleza y la función del dispositivo. Será necesario que cualquier aparato tenga una contraseña propia, nada del 123456 que viene por defecto en nuestro router, o que obliguen a poner una contraseña segura antes de que el usuario pueda usarlo.

La ley que está aprobándose en California aún es muy vaga, pero es un primer paso necesario.

Los análisis confirman el peligro

Recientemente vimos un estudio que confirmaba que no son necesarios más de tres minutos para hackear un dispositivo IoT.  Fue el fabricante de soluciones de seguridad ForeScout Technologies, en su informe “IoT Enterprise Risk Report”, quien analizó el riesgo de estos dispositivos, y para ello analizó dispositivos IoT que las empresas utilizan normalmente:

  • Sistemas de seguridad conectados
  • Medidores de energía
  • Sistemas de videoconferencia
  • Impresoras conectadas.

Hablando sobre seguridad web siempre comentamos que es fundamental mantener todos los componentes de tu página actualizados. En el caso de estos dispositivos ocurre exactamente lo mismo, todos ellos contaban con firmware peligroso y anticuado, y en algunos casos (como el de una cámara de seguridad). Se consiguió una entrada por la puerta de atrás que podría ser controlada desde fuera.

Los cibercriminales pueden instalar backdoors, puertas traseras, para crear un ataque DDoS, tal como indicó el hacker ético Samy Kamkar, pero también pueden crear mandos para desbloquear coches y abrir puertas de garaje, o cargadores USB para detectar, espiar, descifrar, almacenar y enviar pulsaciones efectuadas desde teclados inalámbricos.