¿Dispositivos inteligentes? La seguridad en el Internet de las Cosas
Sean bienvenidos una vez más a Código Seguro, en el día de hoy estimados lectores, les hablaré acerca de un tema que pudiera parecer ciencia ficción para muchos pero que cada día gana más adeptos y realmente facilitan nuestras vidas en la era moderna. La abrumadora aceptación y la creciente necesidad de Internet de las Cosas (IoT, según sus siglas en idioma inglés) en cada aspecto de la vida cotidiana está creando una perspectiva prometedora para la implicación de los seres humanos, datos y sus procedimientos. Los vastos campos de aplicación crean oportunidades desde el hogar hasta la industria, pudiendo implementar diversos ciclos de vida automatizados. La vida humana se encuentra inmersa en enormes transformaciones que conllevan al transporte, la sanidad, la red y la ciudad inteligente.
El término “Internet de las Cosas” fue acuñado en el año 1999 por Kevin Ashton, un científico computacional inglés, mientras trabajaba en Procter & Gamble (P&G). Ashton propuso el uso de etiquetas de identificación por radiofrecuencia (RFID) en la cadena de suministro. A partir del próximo año comenzó a materializarse con el desarrollo de sensores más avanzados y la expansión de la conectividad a Internet. Los dispositivos comenzaron a interconectarse y a compartir datos de manera más eficiente.
En los últimos años esto se ha convertido en un importante tema de investigación debido a que integra diversos sensores y objetos para que se comuniquen directamente entre sí sin intervención humana. Solo para ilustrar su relevancia se estima, según estadísticas globales, que el 70% de los dispositivos serán dispositivos basados en IoT y que para el próximo año existirán 75.000 millones de estos en la red mundial. De forma general incluyen dispositivos físicos, como los dispositivos sensores, que controlan y recopilan todo tipo de datos sobre las máquinas y la vida social humana. Su llegada ha propiciado la conexión universal constante de personas, objetos, sensores y servicios.
El principal objetivo es proporcionar una infraestructura de red con protocolos de comunicación y software interoperables para permitir la conexión e incorporación de sensores físicos/virtuales, computadoras personales, dispositivos inteligentes, automóviles y artículos, como refrigeradores, lavavajillas, microondas, incluso alimentos y medicamentos, en cualquier momento y en cualquier red. El desarrollo de la tecnología de los teléfonos inteligentes permite que innumerables objetos formen parte del IoT a través de los diferentes sensores que vienen incorporados con estos artefactos. Sin embargo, los requisitos para el despliegue a gran escala cada vez más están en aumento, lo que se traduce en un gran problema de seguridad.
Los dispositivos conectados sufren distintos tipos de amenazas, que aumentan día a día. Sin aras de crear un pánico rotundo sobre esta tecnología, según un informe recientemente publicado por una empresa que investiga en esta área del conocimiento dictaminó que:
- Los edificios inteligentes, los dispositivos médicos, los equipos de red y los teléfonos VoIP representan los grupos de dispositivos IoT más arriesgados.
- Seis de los 10 tipos de dispositivos IoT de mayor riesgo pertenecen a las categorías de dispositivos médicos y equipos de red.
- Las estaciones de trabajo con Windows representan un importante riesgo de ciberseguridad para las organizaciones, ya que más del 30% de los dispositivos gestionados en el sector manufacturero y más del 35% en el sector sanitario ejecutan versiones recientes de este sistema operativo no compatible.
Muchos de estos dispositivos además son de baja potencia por lo que en la mayoría de los casos no pueden satisfacer los requisitos de los métodos tradicionales para garantizar una aceptable seguridad. Por tanto, es esencial bloquear la entrada de adversarios en los dispositivos o la red. Estas cuestiones, como son la privacidad, la autorización, la verificación, el control de acceso, la configuración del sistema, el almacenamiento y la gestión de la información, constituyen los principales retos en este sentido. Tanto las aplicaciones IoT, como los teléfonos inteligentes y los dispositivos integrados, ayudan a proporcionar un entorno digital para la conectividad global que simplifica la vida al ser adaptable y sensible a las necesidades humanas. Sin embargo, todos los aspectos de seguridad no siempre están garantizados.
La interfaz administrativa, la interfaz web del dispositivo/nube, los mecanismos de actualización, las aplicaciones móviles, las interfaces físicas, el firmware y la memoria del dispositivo, entre otros, podrían ser posibles superficies de ataque. Una superficie de ataque agrupa numerosas ubicaciones que un atacante puede explotar para obtener acceso a un sistema y robar, filtrar o alterar información. Detrás de cada superficie de ataque, hay elementos y funciones particulares de los dispositivos de una red IoT donde radica un conjunto de fallas de seguridad.
Una vez identificada la superficie de ataque, es posible identificar los riesgos de seguridad y las áreas potencialmente vulnerables en las que se requiere una protección de nivel profundo. Es evidente que la seguridad del ecosistema IoT está en entredicho desde varias perspectivas. La enorme cantidad de superficies de ataque que un atacante podría utilizar para llevar a cabo sus operaciones dañinas es, sin duda, una motivación para desarrollar soluciones de seguridad eficaces. Además, debido a la limitación de recursos de los nodos IoT, las medidas de seguridad convencionales no pueden aplicarse, lo que pone en peligro toda la red.
La privacidad de los usuarios también puede verse comprometida y la información sobre los usuarios puede filtrarse cuando se interrumpe o intercepta la señal del usuario. Para adoptar ampliamente la IoT, debe abordarse esta cuestión para proporcionar confianza al usuario en términos de privacidad y control de la información personal. El desarrollo de esta tecnología depende en gran medida de que se aborden estos problemas. Estos dispositivos generalmente recopilan y transmiten grandes cantidades de datos sensibles. Si estos dispositivos no están adecuadamente protegidos, pueden ser vulnerables a ataques cibernéticos que comprometan la privacidad y la seguridad de sus usuarios. Además estos dispositivos se comunican con diferentes tipos de dispositivos y utilizan con frecuencia diversas tecnologías de comunicación, lo que dificulta el establecimiento de medidas y protocolos de protección uniformes.
Por otro lado, los componentes del dispositivo pueden ser vulnerables. Otro de los principales riesgos en la seguridad de IoT es el uso de contraseñas por defecto. Muchos dispositivos vienen con contraseñas predeterminadas que son fáciles de adivinar, lo que facilita los ataques de fuerza bruta. Además, algunos fabricantes no priorizan la seguridad en el desarrollo de sus productos, lo que resulta en una falta de actualizaciones de seguridad. Esto deja a los dispositivos expuestos a vulnerabilidades conocidas que pueden ser explotadas por atacantes.
También un desafío importante es la presencia de programas malignos en dispositivos IoT. Debido a la falta de conocimientos de seguridad de los usuarios, los dispositivos inteligentes pueden estar expuestos a zonas de riesgo y posibilidades de ataque. Muchos dispositivos IoT permiten a los usuarios integrar apps de terceros, lo que también podría llevar al dispositivo a una zona de peligro. Algunos incluso pueden ser enviados con malware preinstalado, lo que puede infectar la red a la que se conectan y comprometer otros dispositivos conectados.
La siguiente tabla muestra los principales tipos de ataques que pueden afectar a los dispositivos IoT, entre los más comunes según la literatura científica consultada se encuentran:
- Ataques de denegación de servicios: Los atacantes utilizan una red de dispositivos IoT comprometidos para inundar un servidor o red con tráfico, haciendo que los servicios sean inaccesibles.
- Suplantación de identidad: Se produce cuando un atacante obtiene acceso a otro dispositivo o usuario de una red. El adversario explota el dispositivo del usuario además de lanzar ataques contra los hosts de la red, robar datos, propagar malware o sortear los controles de acceso.
- Ataques de fuerza bruta: Los atacantes intentan adivinar las contraseñas de los dispositivos IoT utilizando combinaciones repetitivas hasta encontrar la correcta.
- Secuestro de firmware: Los atacantes modifican el firmware de un dispositivo IoT para tomar el control del mismo y realizar acciones maliciosas.
- Inyección de nodo malicioso: Los atacantes introducen un dispositivo malicioso en la red IoT para interceptar y manipular datos.
- Manipulación física: Los atacantes acceden físicamente a un dispositivo IoT para modificar su configuración o instalar malware.
| Físicos | De encriptación | De red | De aplicación |
| Interferencias de nodos | Ataques de hombre en el medio | Ataques de Análisis de Tráfico | Virus y gusanos |
| Daños físicos | Ataques de canal lateral | Suplantación RFID | Scripts maliciosos |
| Manipulación de nodos | Criptoanálisis | Clonación de RFID | Spyware y Adware |
| Ingeniería Social | Acceso no autorizado RFID | Troyanos | |
| Inyección de nodos maliciosos | Ataque al hombre de en medio | Ataques de denegación de servicios | |
| Ataques Sleep Deprivation | Denegación de servicios | Secuestro de firmware | |
| Inyección de código malicioso | Ataque de socavón | Ataque de botnet | |
| Interferencias RF | Ataque a la información de enrutamiento | Ataque de fuerza bruta a la contraseña | |
| Clonación de etiquetas | Ataque Sybil | Ataques de Phishing | |
| Espionaje | Ataque de repetición | ||
| Manipulación de etiquetas | Ataque Hello Flood | ||
| Ataque de interrupción | Ataque Blackmail | ||
| Replicación de objetos | Ataque Blackhole | ||
| Troyano de hardware | Ataque Wormhole | ||
| Ataque Grayhole |
Para mitigar estos riesgos, es esencial seguir algunas buenas prácticas de seguridad. En primer lugar, los usuarios deben cambiar las contraseñas por defecto de sus dispositivos IoT por contraseñas fuertes y únicas. Además, es importante asegurarse de que los dispositivos reciban actualizaciones de seguridad regularmente para protegerse contra nuevas vulnerabilidades.
Otra práctica recomendada es la segmentación de redes. Al aislar los dispositivos IoT en una red separada, se puede minimizar el riesgo de que un dispositivo comprometido afecte a otros dispositivos en la misma red. Para evitar ataques debidos a la ingeniería social, es preciso que los fabricantes o productores destinen un presupuesto a concienciar a los clientes y consumidores para que identifiquen la señal de posibles ataques debidos a phishing o ingeniería inversa. Muchos usuarios no están muy al tanto de las cosas tecnológicas, por lo que sin una concienciación adecuada, podrían ser un punto de entrada para que los atacantes entren en el sistema. Además, los técnicos deben recibir formación especializada para mantener la seguridad del sistema y la información confidencial de los usuarios.
La IoT está siendo aceptada en todos los ámbitos, lo que exige una gobernanza que establezca los objetivos de las organizaciones, la calidad de los productos, las características, las medidas de seguridad, las acciones para mitigar los riesgos, la toma de decisiones, los análisis previos y posteriores a la comercialización, la supervisión continua, etc. A medida que la IoT sigue creciendo, es crucial que tanto los fabricantes como los usuarios tomen medidas proactivas para proteger sus dispositivos y datos. La implementación de estándares de seguridad más estrictos y la educación de los usuarios sobre las mejores prácticas de seguridad son pasos fundamentales para garantizar un futuro seguro en la era del Internet de las Cosas. Por hoy es todo, nos despedimos hasta la próxima semana.
