La llamada Internet de las Cosas (IoT) ha llegado para quedarse. El concepto no es nuevo pero su democratización sí lo es, especialmente en los últimos tiempos y gracias a la popularización de esta tecnología y a la llegada al mercado de soluciones inteligentes de todo tipo. La clave de este éxito es la posibilidad que la IoT ofrece para interconectar objetos cotidianos a Internet, con lo que es posible que el usuario los controle de forma remota.
En la actualidad, se conectan más artefactos que nunca a la red y, a medida que Internet de las Cosas se convierte en una realidad, esta cantidad creciente de dispositivos pasa a ser el principal objetivo de las amenazas a la seguridad. De hecho, ante este auge muchas voces comienzan a preguntarse si esta tecnología es realmente segura; una interrogante no menor si tenemos en cuenta que, si se conectan a Internet las puertas y ventanas de una oficina, una posible vulnerabilidad de estos sistemas podría, literalmente, poner en manos de un delincuente las llaves del centro de trabajo.
Para tratar de responder a estas cuestiones, Symantec realizó una investigación en la que se han puesto a prueba hasta 50 sistemas inteligentes que actualmente se encuentran en el mercado y que muchas empresas ya han comenzado a implantar en sus sedes. Las conclusiones del estudio obligan a las compañías e industrias a seguir implementando nuevas medidas para protegerse. De hecho, la investigación encontró que muchos de estos dispositivos y servicios presentan varios problemas de seguridad básica.
En este sentido, los dispositivos que fueron objeto del estudio fueron algunos como termostatos, cerraduras, focos, detectores de humo, dispositivos de administración de energía o hubs inteligentes. Todos ellos de gran interés para el sector empresarial. Además, las conclusiones son extrapolables a otros sistemas muy utilizados en entornos laborales como alarmas de seguridad, cámaras de vigilancia IP, sistemas de entretenimiento, routers de banda ancha o dispositivos de almacenamiento conectados a la red (NAS).
Según explican los expertos de Symantec, todos estos dispositivos pueden utilizar un servicio de nube back-end para monitorear el uso o permitir a los responsables de las compañías controlar de manera remota estos sistemas. Igualmente, los usuarios pueden tener acceso a la información o controlar su dispositivo mediante un portal web o desde una aplicación móvil.
Diversos problemas de seguridad
Desde Symantec alertan que “los desarrolladores de los dispositivos de Internet de las Cosas no suelen tener muchos conocimientos sobre los principios de seguridad”. Así, las conclusiones del estudio revelaron diversos problemas de seguridad en los dispositivos analizados, especialmente relacionados con una autentificación débil, vulnerabilidades web o potenciales ataques.
Con respecto a los problemas de autentificación débil, Symantec señala que “ninguno de los dispositivos utilizaba autenticación mutua o contraseñas fuertes”. Peor aún, algunos impidieron al usuario configurar una contraseña fuerte en la interfaz de nube, al restringir la autenticación a un simple código PIN de cuatro dígitos. “Si se combina esto con la ausencia de una autenticación de doble factor (2 FA) y ninguna contraseña para mitigar un ataque de fuerza bruta, entonces podrían ser un blanco fácil para los agresores”, advierten los expertos de la marca.
Además de una autenticación débil, muchas interfaces web de la oficina inteligente sufrían de vulnerabilidades de aplicaciones web conocidas. De esta manera, una prueba rápida realizada con 15 interfaces de nube IoT reveló algunas vulnerabilidades graves, y eso aunque este análisis solo fue superficial. “Encontramos y reportamos diez vulnerabilidades relacionadas con path transversal, carga de archivos sin restricciones (ejecución remota de código), inclusión remota de archivos (RFI), e inyección SQL”, aseguran los investigadores. “Y aquí no solo hablamos de focos inteligentes; uno de los dispositivos afectados era una cerradura de puerta inteligente, que podía ser abierta de manera remota por Internet, sin siquiera conocer la contraseña”, ejemplifican.
Finalmente, otra de las conclusiones de la investigación de Symantec pone de manifiesto que los atacantes que han accedido a una red doméstica, al irrumpir por ejemplo, en una red Wi-Fi con un cifrado débil, tienen otros vectores de ataque a su disposición: “Vimos dispositivos que transmiten localmente contraseñas en texto simple, o que no utilizan ninguna autenticación en absoluto. El uso de actualización de firmware sin validar, es también un rasgo común entre los dispositivos IoT. Este paso en falso de seguridad, le da a un agresor la capacidad para buscar en la red doméstica contraseñas de dispositivos IoT. Estas credenciales robadas luego pueden utilizarse para ejecutar otros comandos e, incluso, asumir el control del dispositivo al actualizarlo con una actualización de firmware maliciosa”, señalan.
Una estrategia, no una solución
Pese a lo preocupante de estas conclusiones, los investigadores aseguran que “hasta ahora” no se han visto ataques de malware generalizados que apunten a los dispositivos inteligentes, como routers y unidades de almacenamiento conectadas a la red. Este hecho puede deberse a que en la actualidad, la mayoría de los ataques IoT son “pruebas de concepto” y todavía no generan ganancias para los agresores, aunque esto no significa que los ciberdelincuentes no vayan a atacar a los dispositivos IoT en un futuro, cuando la tecnología se vuelva más convencional, según pronostican.
Asimismo, y dada la experiencia de la compañía, los analistas de Symantec explican que los agresores son “creativos y siempre buscarán nuevos métodos de ataque”. “Incluso si es solo para hacer un uso indebido de la tecnología, chantajear a un trabajador o a la compañía, o tener un enlace permanente en una red doméstica, los cibercriminales están siempre listos y deseosos de atacar cualquier blanco que puedan y que les represente un beneficio”, agregan.
Ante estas amenazas, los analistas dicen que la mejor opción es “adoptar una estrategia, no una solución” y recomiendan “adoptar un enfoque integrado mediante el aumento de la inteligencia en seguridad”. Esto significa compartir la información con respecto a las amenazas y las vulnerabilidades y maximizar los servicios de seguridad en toda la empresa.
Finalmente, reconocen que las organizaciones siempre tendrán que hacer frente a las ciberamenazas, dado que es imposible eliminarlas todas de forma permanente. Sin embargo, “una estrategia completa de aplicación en toda la compañía ayudará a las empresas a hacer frente a estos ataques, a la vez que continúan siendo ágiles y son capaces de responder con celeridad”, comentan.
Recomendaciones
• Utilizar contraseñas fuertes y únicas para cuentas de dispositivos y redes Wi-Fi.
• Cambiar las contraseñas que vienen por “default”.
• Usar un método de cifrado más fuerte al configurar redes Wi-Fi, como WPA2.
• Deshabilitar o proteger el acceso remoto a los dispositivos IoT, cuando no se requiera.
• Utilizar conexiones por cable en lugar de wireless, donde sea posible.
• Tener cuidado al comprar dispositivos IoT usados, ya que pueden haber sido manipulados.
• Investigar las medidas de seguridad del fabricante o vendedor del dispositivo.
• Modificar la configuración de privacidad y seguridad del dispositivo, según las necesidades de la compañía.
• Deshabilitar características que no sean necesarias o no se usen.
• Instalar las actualizaciones en cuanto estén disponibles.
• Asegurar que una interrupción generada, por ejemplo, por saturaciones o a fallas en la red, no resulte en un estado inseguro de la instalación.
• Verificar si las características inteligentes son realmente necesarias o si un dispositivo normal sería suficiente.