FlagMartes, 23 Octubre 2018

Información de valor para integradores de Seguridad Electrónica y Ciberseguridad

 

 

paessler iot

 

La digitalización está progresando y con ella también Internet de las Cosas (IoT). Los dispositivos inteligentes se comunican entre sí y conectan en red incluso en áreas muy sensibles, para facilitar la vida de los usuarios. Recientemente hemos escrito sobre LPWA y continuaremos publicando mucho sobre Smart Home e IoT. Hoy hablemos sobre algo suele ser olvidado. Internet de las Cosas también tiene una desventaja, ya que en los últimos meses un gran número de ciberataques han demostrado el peligro que puede surgir de estas redes cada vez más amplias. Pero, ¿qué tan fácil es hackear un dispositivo de IoT?

En resumen: es comparativamente simple. Una vez que los ciberdelincuentes descubren dispositivos de IoT vulnerables, sólo necesitan saber cómo hackear el dispositivo, y eso es sorprendentemente rápido. La forma más fácil de ingresar un dispositivo inteligente es utilizar el método de fuerza bruta para determinar la contraseña o utilizar los datos de inicio de sesión predeterminados de fábrica. Los botnets que pueden conseguirse en lo que se denomina “la red oscura” facilitan la infección de miles de dispositivos de una sola vez. Porque está claro que muchos fabricantes usan los mismos datos de inicio de sesión estándar para todos sus dispositivos por razones de costo, en lugar de definir una contraseña diferente para cada uno.

¿Qué podemos aprender del pasado?

Lo primero que pensamos es que los dispositivos de IoT nunca han sido realmente seguros. Y es obvio que ciertos riesgos se intensificarán. Una de las peores amenazas en Internet de las Cosas en los últimos dos años ha sido el Botnet Mirai, que infectó miles de dispositivos inteligentes al desencadenar ataques DDoS masivos usando inicios de sesión estándar. Se ha demostrado que los productos chinos baratos, como las webcams, se encuentran entre los dispositivos de IoT más vulnerables. La mayoría de estos son productos que únicamente deberían usarse en un entorno aislado. Desde que se publicó el código fuente de Mirai, prácticamente todo el mundo puede operar su propio botnet IoT o reescribir el código de programación arbitrariamente, por lo que han surgido numerosas mutaciones de Mirai. Otras formas de infectar un dispositivo de IoT son mucho más complejas y sólo están disponibles por un costo alto y, por lo tanto, son menos comunes. La ingeniería inversa del firmware o del sistema operativo requiere profundos conocimientos técnicos e inversiones de tiempo. Sin embargo, aquí es exactamente donde se pueden aplicar las estrategias de seguridad.

¿Qué hacer al respecto?

Una solución posible y efectiva para mejorar la seguridad en IoT sería permitir a los usuarios cambiar fácilmente los datos de inicio de sesión para sus dispositivos inteligentes. Esto sólo ayuda con los métodos más simples utilizados por los hackers, pero estos han sido y son, precisamente, los más utilizados. Por ejemplo, los fabricantes podrían "forzar" a sus clientes a cambiar los datos de inicio de sesión de sus dispositivos haciendo que la entrada de una contraseña única y "sólida" sea un paso obligatorio en la puesta en marcha inicial del dispositivo. De hecho, cambiar los datos de inicio de sesión reduciría significativamente la cantidad de dispositivos "vulnerables" y haría que a los hackers y bots les resultara mucho más difícil ingresar a los dispositivos de IoT. Otra de las alternativas es que los fabricantes de dispositivos IoT podrían asignar una contraseña única y generada aleatoriamente a cada dispositivo y enviarla al cliente junto con el dispositivo.

El problema de las contraseñas

Integrar la seguridad en los dispositivos desde el principio es más difícil y tedioso de lo esperado. Esto se aplica igualmente a los dispositivos IoT destinados a usuarios finales que a aquellos utilizados en las empresas. Por lo tanto, sería hipócrita, criticar a todos los fabricantes de dispositivos IoT. Un ejemplo: cifrado. Existe la capacidad de cifrar datos que un dispositivo IoT recopila mientras está en el dispositivo y también cuando se envía a otro dispositivo (o se analiza en la Nube). En lo que respecta al cifrado, hay muchas recomendaciones muy buenas sobre qué algoritmos son adecuados y están disponibles con qué longitudes de clave. Además, hay varias soluciones de cifrado de código abierto. Pero es mucho más difícil proteger y administrar las claves asociadas a él, y la administración insuficiente de claves invalida todo el proceso de cifrado. Una clave mal administrada puede inutilizar los datos cifrados, por ejemplo, si la clave utilizada para encriptar los datos en cuestión no puede estar disponible dentro del proceso de autenticación. La gran cantidad de dispositivos en IoT aumenta exponencialmente los desafíos de encriptación y administración de claves.

El punto brillante

Además, debe decirse aquí que, desafortunadamente, muchos dispositivos IoT son bastante débiles para una encriptación poderosa. Con poco espacio de almacenamiento, una buena implementación de SSL generalmente no es posible. También se puede suponer que los fabricantes de dispositivos IoT, especialmente para clientes finales, continuarán llevando dispositivos al mercado que están mal o nada seguros. Es así, no hay nada que podamos hacer al respecto. Sin embargo, la conciencia de la seguridad del consumidor está creciendo (aunque aún no es lo suficientemente fuerte como para cambiar el comportamiento de compra). Las características más geniales y un precio asequible siguen siendo los factores decisivos para comprar este tipo de dispositivos. Por primera vez, Amazon Echo y Google Home se encuentran en la parte superior de la lista de deseos de los consumidores conocedores de la tecnología. Por otro lado, existe un pequeño pero creciente grupo de consumidores que tienen serias dudas sobre la seguridad de estos productos. Especialmente con dispositivos que escuchan casi todo lo que se habla dentro de su rango. Las primeras grandes olas de ataques, como el Botnet Mirai, han atraído la atención de expertos en seguridad.

El consumidor promedio aún no es consciente del alcance de este tipo de ataques. Sin embargo, la presión sobre los fabricantes está creciendo y con ella la demanda de mejores medidas de seguridad y protección de datos.


David Montoya, Director de Canales de Paessler Latinoamérica